UNIDAD N°7. Informática Forense.

Informática Forense. Evidencia digital. Distintos Tipos de Análisis. PAIF-PURI.

Informática Forense

La informática forense es una rama de las ciencias forenses que se encarga de

adquirir, preservar, analizar y presentar datos que han sido almacenados en un
medio digital. De esta manera, es el uso de las tecnologías de la información para
la recuperación y análisis de la evidencia digital.
La necesidad de realizar forensia de medios digitales es producto de la
digitalización de la información en los últimos tiempos. Esto ha provocado que ya
no se deba sólo buscar un rastro de una huella con un reactivo químico o
magnético, sino con complejas herramientas computacionales que buscan ese
indicio escondido, ese rastro, en un código binario que genera complejos laberintos
digitales de información. De la pronta adaptación y capacidad de respuesta que
tengan los operadores judiciales a este cambio social, dependerá que en muchos
procesos penales se pueda acceder a prueba de carácter crucial para la
averiguación y juzgamiento de una creciente cantidad de hechos donde los medios
de almacenamiento digital actúan de testigos

Algunos conceptos:
  Imagen forense: es una copia exacta, sector por sector, bit a bit, de un
medio de almacenamiento. De esta manera, es posible trabajar con la
imagen de la misma manera que si se hiciera sobre el original. En cambio,
se denomina copia forense a una copia a nivel sistema de archivos, de uno
o varios archivos que constituyen la evidencia lógica, y se efectúa luego del
análisis, cuando ya se ha detectado cuáles serán los datos de interés para
el caso.
 Sniffing: técnica mediante la que se puede ver todo lo que pasa por una red.
Por ello, por ejemplo, es importante que el contenido de lo que se transmite
a través de una red esté cifrado.

Evidencia digital

La evidencia digital es un tipo de evidencia física construida de campos

magnéticos y pulsos electrónicos, que por sus características deben ser
recolectados y analizados con herramientas y técnicas especiales.
A modo de ejemplo, se mencionan algunos hallazgos que pueden convertirse en
evidencia digital:
 Un archivo en un medio de almacenamiento
 Una línea de texto en un log de transacciones
 El registro de acceso a un sitio web
 Rastros de acceso a un dispositivo
 Rastros de procesos ejecutados
  Rastros de conexiones abiertas
 Rastros de intento de cifrado de información
La evidencia digital puede dividirse en tres categorías:
- Archivos almacenados en un medio de almacenamiento digital (por
ejemplo, archivos de ofimática, archivos multimedia, correos electrónicos,
etc.)
- Registros generados por la actividad de un usuario en una aplicación o
equipo (por ejemplo, registros de auditoría de una aplicación, registros de
transacciones, registros de eventos, etc.).
- Archivos y registros parciales han sido generados y almacenados en un
medio de almacenamiento (consultas especializadas en bases de datos,
vistas parciales de datos, porciones de archivos, registros parciales de
actividad, etc.).
La labor de los informáticos forenses gira principalmente
alrededor de la evidencia digital.

Para el investigador judicial, el objetivo del hallazgo de la evidencia es establecer

un vínculo entre la escena, la víctima y el victimario. Este esquema resulta útil aún
en casos complejos (por ejemplo, con pluralidad de escenas, sospechosos y/o
víctimas, etc.). En lo que hace a la informática forense, los principios de la
criminalística, operan bajo modalidades sumamente variadas, incluso, la “escena
del hecho” puede llegar a estar diseminada en diferentes lugares físicos,
constituyendo entre todos ellos una escena virtual. No sólo el contenido visible de
un documento, sino también los metadatos, registros del sistema y otras clases de
evidencia digital, pueden ser relevantes para descubrir y/o probar los vínculos
entre los distintos aspectos de un suceso. Ahora bien, los diversos rastros digitales
que deja el contacto entre escena, víctima y victimario (intercambios en los cuales
también interactúan otras variables, tales como momentos, instrumentos, objetos y
consecuencias) requieren de un análisis complejo para poder reconstruir esta
vinculación.
La ciencia informático forense proporciona los principios y técnicas aplicables para
identificar, obtener, analizar y contribuir a interpretar la evidencia digital durante
una investigación. La evidencia se convierte luego en elemento material probatorio
cuando el perito la somete a examen, pues de manera separada evidencia,
dictamen pericial y testimonio del perito serán, cada uno, elemento material
probatorio. La presentación de estos en audiencia pública ante autoridad judicial y
contradicción de las partes será la prueba.

La aparición de nuevas tecnologías en los lugares donde ocurrió un hecho que

requiere análisis forense ha motivado a los equipos de técnicos o peritos que
participan en la recolección, a contar con una necesaria formación y capacitación
para la adecuada preservación y levantamiento de la evidencia digital.
De esta forma, quienes participen en un lugar del hecho o escena de crimen
producto de una habilitación judicial (como ocurre con los allanamientos,
secuestros u órdenes de presentación), o por solicitud o autorización de una
persona o entidad (sea la víctima o un tercero), o por un procedimiento policial
urgente en la escena del crimen, deberán tener en cuenta distintas pautas
elaboradas especialmente para la adecuada recolección de la evidencia digital.
La recolección debe realizarse de un modo tal que asegure la utilidad procesal de
los artefactos recogidos, en sus distintos aspectos. Los principios de relevancia,
suficiencia, confiabilidad y validez legal deben ser plenamente observados. En
particular, el principio de confiabilidad exige garantizar la identidad e integridad de
la evidencia. Eventualmente y a esos fines, será necesaria la inspección y
recolección de otros objetos vinculados con los dispositivos.
Deberán atenderse en especial si existen equipos a los que deba realizarse una
adquisición in situ de la evidencia digital, así como las cuestiones relativas al
aseguramiento de la evidencia como acontece con los dispositivos móviles,
procurando evitar cualquier circunstancia de destrucción que pudiera darse.
Cuestiones relativas a la inspección de la escena y de los dispositivos, de
aseguramiento de las evidencias según su tipo, la forma en que deben levantarse
los equipos contenedores de la evidencia digital, las recomendaciones para su
clasificación, embalaje, rotulado y transporte, son consideradas especialmente en
la Guía Integral de empleo de la Informática Forense en el Proceso Penal (Fase de
Recolección en PURI, se verá más adelante en esta unidad), cuya lectura es
sugerida para un correcto abordaje del tema.

La evidencia digital y su cadena de custodia

La cadena de custodia está definida como el registro cronológico y minucioso de la

manipulación adecuada de los elementos, rastros e indicios hallados en el lugar del
hecho, durante todo el proceso judicial.
La cadena de custodia es una secuencia o serie de recaudos destinados a
asegurar el origen, identidad e integridad de la evidencia, evitando que ésta se
pierda, destruya o altere. Se aplica a todo acto de aseguramiento, identificación,
obtención, traslado, almacenamiento, entrega, recepción, exhibición y análisis de la
evidencia, preservando su fuerza probatoria. Permite, además, hacer transparente
todo eventual cambio o alteración del material probatorio.
En otras palabras, si el proceso de la cadena de custodia no ha presentado
alteraciones ni variaciones de ningún tipo durante su traslado y análisis, se dice
que permite garantizar la autenticidad de la evidencia que se utilizará como prueba
dentro del proceso judicial.
En la cadena de custodia intervienen todos aquellos empleados y/o funcionarios
que participen durante las diferentes etapas del proceso judicial. Este proceso se
inicia desde la obtención de la evidencia y finaliza cuando se dispone judicialmente
sobre la misma. Constituye el conjunto de procedimientos formales realizados
dentro del proceso judicial respecto de un indicio.
Al momento de la recolección de la evidencia se deberá describir cada uno de sus
elementos de manera detallada e idéntica a la que conste en el Acta.
La recolección de indicios dependerá de la capacidad, destreza y conocimientos
técnicos del perito encargado de extraer o levantar los indicios. La tarea pericial
estará avalada por el acta descriptiva y de detalle de todos los indicios recopilados.
Deberá prestarse especial atención en el embalaje y el rotulado de los indicios
obtenidos en la escena del crimen. Los mismos deberán ser de características
tales que impidan la modificación, alteración, contaminación o destrucción.
Es imprescindible el conocimiento de los protocolos existentes en la materia por
parte de los funcionarios y personas que se pongan en contacto con la evidencia
de un hecho presuntamente delictivo, y que serán los responsables de velar por su
aseguramiento, conservación y registro. En el ámbito de la provincia de Buenos
Aires, deberá considerarse lo previsto por el Protocolo de Cadena de Custodia
aprobado por Resolución General Nº 889/15 de la Procuración General, a fin de
integrar sus disposiciones en todo cuanto sea compatible con la Guía de empleo
de la Informática Forense en el Proceso Penal.
En estricta referencia a la prueba informática, para que pueda considerarse válida
y tenga fuerza probatoria, será necesario que la misma sea garantizada respecto
de su confiabilidad.
Es como consecuencia de las características particulares que presenta este tipo de
evidencia (digital), que deberán seguirse algunos recaudos extras:

● Consultar con anterioridad a la recolección (siempre que sea posible) a un

forense informático y/o Especialista en Recolección.
● Estar en conocimiento que para cada tipo de medio digital, la preservación de la
prueba será distinta, y habrá que tener en cuenta la volatilidad de los datos que
almacenan.
● Impedir la manipulación de los equipos por personas que no estén capacitadas
para hacerlo.
● Realizar una planilla de cadena de custodia por cada equipo secuestrado.
● Fotografiar todo lo que se encuentre, y describirlo lo más detalladamente
posible.

Por otra parte, será necesario tener en cuenta todos los procedimientos de cadena
de custodia previstos por la institución. Además, si hubiere copias forenses, éstas
deben seguir el mismo curso que el original en cuanto a su conservación y
preservación, siendo igual de relevante la realización de la cadena de custodia.
En definitiva, lo importante será aplicar los métodos correctos de acuerdo al tipo de
evidencia a recolectar respetando los protocolos de levantamiento respectivos.
Será responsabilidad de todo funcionario/empleado que participe en el proceso de
cadena de custodia, conocer, cumplir y ejecutar los procedimientos generales y
específicos establecidos para tal fin durante el desarrollo de dicho proceso penal.
En conclusión, el proceso de cadena de custodia se basa en los principios
probatorios de protección del indicio, buscando que el mismo no sufra alteraciones;
legitimidad, respetando las normas legales; veracidad, libre de vicios de nulidad y
de la necesidad de que los hechos sobre los cuales se basa la acusación y
sentencia se encuentren acreditados.

PURI

PURI, sigla de “Proceso Unificado de Recuperación de Información”, se origina en

el año 2011 como resultado de un proyecto de investigación de la facultad de
ingeniería de la Universidad FASTA, cuyo objetivo consistió en establecer una guía
de las tareas a desarrollar para la prestación de un servicio de informática forense,
ya sea en un ámbito judicial o privado.
Este primer trabajo, orientado en sus inicios a la recuperación de información en
equipo de escritorio, fue evolucionando y transformándose de acuerdo al objeto
sobre el que se realizaría su aplicación. Surge entonces la necesidad de elaborar
una versión de PURI adaptada a Smartphones, desarrollada junto con la
Universidad UNIANDES de Ecuador, y una versión de PURI adaptada a redes y a
entornos distribuidos.
Hoy PURI se ha convertido en un modelo, de manera tal que el mismo pueda ser
abordado en diferentes fases de acuerdo al caso origen a resolver, y a las
características del objeto sobre el que realizar las tareas forenses.
El diccionario de la real academia española define un modelo como un “esquema
teórico, generalmente en forma matemática, de un sistema o de una realidad
compleja que se elabora para facilitar su comprensión y el estudio de su
comportamiento”. Los modelos pueden utilizarse tanto para hacer una
representación fiel de un sistema existente orientado a un objeto de estudio, por
ejemplo, el modelado del sistema solar; así como también para representar un
sistema inexistente a fin de estudiar cómo se comportaría.
Siguiendo este lineamiento, el modelo PURI es un esquema teórico de las tareas
involucradas en la aplicación forense de las ciencias de la información. Este
esquema agrupa las tareas en actividades de mayor abstracción, y a estas
actividades en fases. A su vez, el modelo se complementa con las técnicas para
llevar a cabo cada una de esas tareas y las herramientas disponibles que ejecutan
dichas técnicas.

 Fases
Se entiende por fase a cada uno de los estados sucesivos en el que puede
encontrarse un proceso de recuperación de información que se ejecute sobre el
modelo.
Estas fases son sucesivas debido a que llevan un orden lógico; están compuestas
por actividades, y cada una de estas actividades engloba un conjunto de tareas,
las que pueden o no realizarse, de acuerdo al caso sobre el que trabajar y el objeto
de estudio.
El modelo PURI constituye un gran conjunto de actividades y sus tareas, las que
serán enhebradas en un proceso particular de acuerdo a las características del
objeto origen, y el servicio a realizar.
Se presenta a continuación un gráfico explicativo de las fases que intervienen en el
modelo.

Fases del modelo PURI

1. Relevamiento: Fase inicial. Se relaciona con la investigación a realizar para
conocer el caso e Identificar los posibles objetos contenedores de datos de
interés susceptibles de transformarse en evidencia digital. El resultado de
esta fase puede ser un plan de investigación penal, donde se determinen el
conjunto de pasos a seguir. Siempre es conveniente que esta fase se
aborde desde una perspectiva técnico-legal, donde el informático adopte un
rol de asesoramiento que en ciertos casos pueda ser determinante para el
éxito de la investigación.
2. Recolección: Fase que abarca todas las acciones y medidas necesarias
para obtener los objetos (equipos, medios de almacenamiento, entre otros)
sobre los cuales se trabajará posteriormente.
3. Adquisición: Fase técnica donde se realizan las copias forenses, se
adquieren las imágenes de los medios de almacenamiento originales. Esta
fase inicia las tareas propias de los técnicos en el laboratorio forense.
4. Preparación: Fase técnica interna del laboratorio forense que involucra las
tareas en las que se prepara el entorno de trabajo de acuerdo al caso a
analizar. Esta fase es estructural, ya que implica la reflexión del forense y la
selección de las herramientas apropiadas de acuerdo a las tareas que
deberá realizar.
 5. Extracción y Análisis: Fase de exploración, búsqueda y descubrimiento de la
evidencia digital. Comprende las tareas de extracción de la información de
las copias forenses, selección de la potencial evidencia digital, y su análisis
en relación al caso y a los puntos periciales o requerimientos de un
particular. Se denomina de extracción y análisis dado que son las dos
acciones principales de esta fase, pero no son estrictamente secuenciales,
sino que se retroalimentan, en un ida y vuelta cíclico hasta que se llega a
los valores buscados o al fin del ciclo de trabajo.
6. Presentación: Fase final. Comprende las actividades vinculadas a la
presentación de las tareas realizadas, de los resultados obtenidos, y de la
evidencia digital recuperada. Incluye tanto la presentación escrita como la
exposición oral.
Las fases de relevamiento y recolección, son de tipo exploratorio y es esperado
que sean ejecutadas por un profesional con perfil orientado a la investigación,
donde el profesional técnico tenga un rol de asistencia y asesoramiento. En
cambio, las fases subsiguientes, esto es: adquisición, preparación, extracción y
análisis, y presentación, son netamente de informática forense, y se espera que
dichas tareas sean desarrolladas por profesionales especializados en esta
temática, con la asistencia que se requiera de los “investigadores del caso”.
Más allá de las preponderancias de un perfil profesional sobre otro, en cada una de
las fases, se recomienda siempre el trabajo conjunto de las tres orientaciones,
legal, criminalística y de informática forense, ya que, como en todo sistema, “el
todo es más que la suma de las partes”.

 Actividades
En PURI cada fase se comprende de al menos una actividad cuyo propósito es
proporcionar una guía teórica de un nivel de abstracción superior.
Se entiende por actividad al conjunto de tareas forenses relacionadas entre sí y
agrupadas en función del objetivo que persiguen. Las actividades, a su vez, se
encuentran vinculadas entre sí de forma tal que sugieren un orden en el que
podrían ser llevadas a cabo. En determinadas situaciones es posible que no sea
preciso llevar a cabo todas las actividades de la fase, sino sólo algunas de ellas. A
continuación se presentan algunos casos a modo de ejemplo:
● ¿Qué ocurre si una actividad de la fase no se encuadra en lo requerido? Se
recurre a otra actividad dentro de la misma fase que sí corresponda realizar.
Por ejemplo, en la fase de Adquisición, la actividad “Adquisición de
paquetes de red” no es necesaria si sólo se debe adquirir un medio de
almacenamiento de datos persistente.
● ¿Qué ocurre si no puede realizarse la actividad? Es posible que una
actividad no pueda llevarse a cabo por impedimentos legales y/o técnicos,
en cuyo caso se recurre a otra actividad dentro de la misma fase que sí
pueda realizarse. Por ejemplo, en la fase de adquisición, la actividad
“Adquisición de datos volátiles” podría no llevarse a cabo si no contamos
con la correspondiente autorización judicial.
● ¿Es preciso seguir el proceso completo? El proceso finaliza en el momento
en que se obtiene el resultado esperado, en cuyo caso no hace falta
continuar. Por ejemplo, en la fase de análisis se presentan tres tipos de
extracciones que van aumentando en complejidad, por lo que se espera
que se continúe con las tareas complejas en caso de no haberse satisfecho
el requerimiento con las tareas más sencillas.

 Tareas
Una tarea en PURI es un trabajo específico y concreto dentro de una actividad. Las
tareas no pueden ser divididas, y arrojan un resultado concreto. Entonces, una
tarea es el eslabón más pequeño que puede ser asignado a un responsable, y
sobre las que se pueden estimar todos los recursos a ser utilizados para su
ejecución.
A su vez, cada tarea puede ser realizada aplicando una o varias técnicas, y estas
técnicas son implementadas en distintas herramientas, las que son sugeridas en el
modelo para su utilización.

 Técnicas y herramientas
En el nivel inferior del modelo de PURI, y ya a un nivel más práctico y concreto que
teórico, se encuentran las técnicas y herramientas.
Conceptualmente, y desde sus orígenes, las técnicas siempre estuvieron
asociadas a tareas artesanales, donde lo importante es saber “cómo” hacer algo
para llegar a un objetivo, conociendo o no la explicación o fundamentación teórica
de los actos. En PURI, una técnica es un procedimiento, una serie de pasos a
realizar para llevar a cabo una tarea.
En cambio, las herramientas en PURI son programas, aplicaciones o frameworks
que implementan una o varias técnicas, y son utilizados para llevar a cabo una
tarea. Por ejemplo, si la tarea es hacer una imagen forense de disco, se puede
emplear la técnica de copiar bloque por bloque del dispositivo a un archivo
utilizando como herramienta el comando DD de Debian, que implementa dicha
técnica. Esto no implica que la herramienta implementa una única técnica, ni
tampoco que una técnica sea exclusiva de una herramienta. También puede
suceder que una técnica determinada requiera el uso de varias herramientas para
llevar a cabo una tarea.
El detalle de las técnicas en el modelo tiene el objetivo de que el informático
forense pueda discernir qué técnica utilizar para llegar a su propósito, así como,
que conozca qué procedimiento sigue una determinada técnica.
Estos detalles de técnicas cobran una importancia aún mayor cuando las tareas
forenses se realizan con herramientas integrales, lo que por un lado, facilita el
desempeño del informático, pero también, suelen dirigir el uso de las técnicas a las
que sólo aplica esa herramienta en particular.
Desde PURI se procura generar una conciencia de: ¿Qué hacer?: se encuentra
descripto en la lista de tareas; ¿Qué objetivo persiguen estas tareas?: se
desprende de la agrupación lógica de las tareas en actividades; ¿En qué momento
del trabajo forense se debe llevar a cabo la tarea?: está definido por la fase a la
que pertenece la tarea; y por último, se procura promover el discernimiento de
“¿Cómo hacerlo?”: es respondido por las técnicas y las sugerencias de “¿Con qué
hacerlo?”: son las herramientas.

 PURI: Detalle de actividades y tareas

A continuación se propone un recorrido teórico a través del modelo de PURI

brindando una breve explicación del propósito de cada una de las seis fases junto
con las actividades y tareas que las componen.
La Fase de Relevamiento abarca la investigación para conocer el caso e identificar
los posibles objetos de interés. Esta fase puede identificarse con las labores
investigativas de una investigación judicial, o con labores de “reconocimiento o
exploración” en el caso de un trabajo privado no judicial.
En este sentido, debe considerarse la volatilidad de los datos y priorizar los objetos
de interés. Por lo tanto, se recomienda considerar todas las situaciones y decidir
en función del caso hasta qué puntos y qué tipo de dispositivos puede abarcar la
Identificación/Investigación.
Las actividades que la componen son:
 ● Identificación de documentación legal y técnica: consiste en identificar toda la
documentación, ya sea legal, de infraestructura, diseño, hardware, software
o cualquier otra documentación relevante para conocer el caso en
profundidad y poder tomar las decisiones adecuadas. Si no hay
documentación sobre la cual trabajar, o no hay consideraciones legales que
deban tenerse en cuenta, no es necesario profundizar en esta tarea.
● Identificación de infraestructura IT: consiste en identificar la infraestructura
de red y/o hardware sobre la cual se va a trabajar. En investigaciones
donde se involucran redes de computadoras en las que múltiples usuarios,
potencialmente desde más de un dispositivo acceden a servicios, ya sea en
servidores internos o externos como sistemas de computación en la nube,
es muy importante identificar correctamente los objetos intervinientes para
preparar adecuadamente las fases de Recolección y Adquisición. En el
anexo “Casos prácticos y aplicaciones del modelo PURI” se detallan las
técnicas y herramientas recomendadas de acuerdo al componente de la
infraestructura a identificar.
La Fase de Recolección abarca las acciones y medidas necesarias para obtener
los equipos físicos, y/o las posibles fuentes de datos, sobre los cuales se deberá
trabajar posteriormente. Esto se corresponde con el acceso a la posible fuente de
evidencia digital, en el caso de una investigación judicial, esto se corresponde con
el “secuestro” del efecto o su “presentación espontánea” en el caso.
Las actividades que la componen son:
● Detección de Infraestructura IT: esta actividad se compone de tareas
relacionadas con inspeccionar el lugar para detectar todos los objetos de
interés para la investigación. Estas inspecciones pueden ser oculares, como
también a partir del uso de técnicas y herramientas específicas, como por
ejemplo, la técnica de enumeración implementada en la herramienta nmap
 para detección de servidores y dispositivos conectados a la red, el comando
dig para la consulta de nombres de dominio, o la herramienta Wireshark
para hacer un monitoreo de la red.
● Recolección de objetos: esta actividad se centra en la correcta realización
de las tareas de secuestro, embalaje y transporte, a fin de garantizar la
validez de la prueba obtenida, así como asegurar la trazabilidad de los
efectos y su correcta preservación y custodia. Esta actividad, denominada
en el ámbito judicial “Cadena de Custodia”, toma especial importancia
cuando el servicio forense se realiza en un ámbito judicial, en cuyo caso se
deberán seguir los protocolos, guías y/o recomendaciones vigentes.
La Fase de Adquisición abarca todas las actividades en las que se obtiene la
imagen forense del contenido que se analizará. Esta fase puede realizarse tanto “in
situ”, es decir, en el lugar del hecho o durante un allanamiento, o bien en un
laboratorio forense luego de haber recolectado los objetos. Las actividades que
componen esta fase son:
● Adquisición de datos en medio de almacenamiento persistente: consiste en
realizar una imagen forense, esto es, una copia exacta bit a bit del medio de
almacenamiento persistente, a modo de ejemplo se pueden mencionar:
discos rígidos, CD/DVD/Blu-Ray, tarjetas de memoria, pen drive, entre
otros. Esta actividad también contempla un paso previo a la imagen forense
que es la protección contra escritura del medio de almacenamiento para
evitar que los datos sean alterados en el proceso. Para garantizar esto,
según disponibilidad, se pueden utilizar dispositivos que generen imágenes
forenses en modo “solo lectura”; se puede utilizar el interruptor de “solo
lectura” propio de los medios de almacenamiento que lo tengan incorporado
o se puede hacer el bloqueo de escritura desde el sistema operativo antes
de conectar el medio de almacenamiento.
● Adquisición de datos volátiles: consiste en realizar un volcado del contenido
de la memoria principal en un archivo para su posterior análisis. De esta
manera, se obtiene una copia del contenido de la memoria principal al
momento de realizar el volcado. La importancia de esta actividad radica en
que la memoria principal ofrece un panorama del estado general del
dispositivo al momento de la adquisición y, además, existe información
alojada en memoria principal que puede no estar replicada en otro medio de
almacenamiento. Con esta adquisición se pueden llegar a obtener, por
ejemplo, indicios de presencia de malware, datos de cifrado, procesos, hilos
de procesos (threads), módulos, archivos, conexiones, sockets, entradas de
registro, drivers y timers entre otros. Se considera que esta actividad puede
ser realizada en paralelo con las actividades de la fase de recolección,
teniendo el recaudo de no apagar el dispositivo justamente por la naturaleza
volátil de estos datos.
● Adquisición de paquetes de red: consiste en adquirir un volcado del
contenido del tráfico de red mediante la técnica de sniffing. A diferencia de
otras adquisiciones que se realizan una vez que el equipo se encuentra en
el laboratorio forense y por única vez, la adquisición de paquetes de red se
realiza generalmente en el lugar del hecho como medida de investigación,
con autorización judicial, y con frecuencia, en diferentes momentos en el
tiempo. Es factible, sin embargo, que en situaciones particulares durante el
análisis de un equipo se deba realizar adquisición de paquetes de red.
● Adquisición de tarjeta inteligente: consiste en adquirir una copia de la
información contenida en algún tipo de tarjeta inteligente como por ejemplo
una tarjeta SIM (subscriber identity module) comúnmente utilizada en la
telefonía móvil. Esta tarea se distingue de la adquisición de medio de
 almacenamiento persistente, dado que contempla técnicas y herramientas
particulares, vinculadas a la o las normas de cada tipo de tarjeta inteligente.
● Validación y resguardo: esta actividad consiste en asignar una cadena
alfanumérica como resultado de un proceso matemático conocido como
hash (MD5, SHA-1, SHA-2, entre otros) a las imágenes forenses, y
volcados de memoria capturados durante las tareas de adquisición. Ésta
actividad busca asegurar la identidad del original respecto a la imagen
forense basándose en que la probabilidad de que exista otra imagen
forense con el mismo valor de hash y que los datos contenidos en ambas
sean consistentes es casi nula.
● Transporte no supervisado: se entiende como transporte no supervisado al
acto de transportar la imagen forense sin la supervisión del “Especialista en
Adquisición” o el responsable asignado. En esta situación, se recomienda el
cifrado de la imagen forense previo al traslado, de manera tal de asegurar la
confidencialidad del acceso a los datos.
La Fase de Preparación involucra las actividades técnicas en las que se prepara el
ambiente de trabajo del informático forense, la restauración de las imágenes
forenses y volcados de datos, junto con su correspondiente validación, y la
selección de las herramientas y técnicas apropiadas para trabajar en la extracción
y el análisis, de acuerdo al objeto origen, y a las necesidades del caso. La
preparación del ambiente de trabajo adecuado es fundamental para la correcta
realización de las operaciones encomendadas. Esta fase incluye las siguientes
actividades:
● Preparación de extracción: consiste en preparar el espacio de
almacenamiento en disco necesario requerido, y el entorno de trabajo para
descomprimir, recomponer y validar las imágenes forenses; mapear la
 imagen a un dispositivo del sistema operativo, y generar las máquinas
virtuales.
● Identificación de tecnologías de la información en el objeto: consiste en
identificar la cantidad de particiones, sistemas operativos, sistemas de
archivos, máquinas virtuales y medios de cifrado presentes. Una
identificación correcta de estos ítems es esencial para una selección
adecuada del set de técnicas y herramientas a utilizar.
● Preparación del ambiente: consiste en preparar en el entorno de trabajo el
conjunto de técnicas y herramientas necesarias para efectuar el servicio
forense encomendado.
La Fase de Extracción y Análisis comprende las tareas forenses de extracción de
la información de las imágenes forenses, la selección de la potencial evidencia
digital, y su análisis en relación al caso y a los puntos periciales o requerimientos
de servicio forense. Con el fin de abstraer estas tareas y no vincularlas a ninguna
tecnología o plataforma en particular, se separa en tres niveles teóricos, el nivel de
Extracción de Aplicación, el nivel de Extracción de Plataforma y el de Extracción de
Bajo Nivel. Esta clasificación es simple y permite separar adecuadamente las
actividades específicas de acuerdo al objeto de análisis y su dependencia con
técnicas y herramientas particulares.
Se distingue la extracción del análisis en la descripción del nombre de la fase, ya
que son dos labores independientes que se realizan en conjunto y están
íntimamente ligadas entre sí. Por un lado, está el proceso de extraer datos de las
posibles fuentes de evidencia digital y por otro lado, el análisis particular de
acuerdo al caso que debe realizarse sobre los datos extraídos. De esta manera,
por ejemplo, una labor de extracción sería la búsqueda y extracción de archivos de
tipo imagen, mientras que el análisis implica el estudio de cada una de ellas a fin
de separar las imágenes requeridas en el caso. La extracción suele ser
automatizada, e integrada por actividades netamente técnicas, mientras que el
análisis implica un proceso de interpretación de los datos extraídos en el contexto
de los puntos periciales y el interés de los investigadores. Esta fase se compone
de las siguientes actividades:
● Extracción a nivel de aplicación: consiste en la búsqueda y extracción de
datos a nivel de aplicación. Esta actividad requiere un conocimiento
apropiado de todas las aplicaciones instaladas en el equipo sobre el que se
realiza la labor forense a fin de lograr obtener información de uso de las
mismas, archivos abiertos, historiales y registros de auditoría, archivos de
datos, entre otros. El objetivo es conocer la actividad de las aplicaciones
con el mayor grado posible de detalle en la medida que resulte relevante
para el caso. A modo de ejemplo se puede mencionar la búsqueda y
extracción de mensajes en aplicaciones de mensajería instantánea, donde,
más allá de las habilidades forenses típicas, es requerido el conocimiento
específico de la aplicación de la cual es requerido extraer los mensajes.
● Extracción a nivel de plataforma: consiste en la búsqueda y extracción de
información de la plataforma, lo que incluye los sistemas operativos,
sistemas de archivos, y su configuración. Esta actividad es de un nivel de
detalle más específico a la extracción a nivel de aplicación, y también
permite un análisis más completo del entorno de uso del equipo. Las tareas
incluidas en esta actividad requieren del informático forense habilidades y
conocimientos particulares del sistema operativo y sistemas de archivos del
equipo sobre el que se realiza el trabajo. A modo de ejemplo se puede
mencionar la extracción de información del registro del sistema operativo
para reconstruir la actividad de un usuario en el equipo, o la recuperación
de archivos eliminados, entre otros.
 ● Extracción a bajo nivel: en esta actividad se concentran las tareas de
recuperación de información lógica al nivel más bajo de abstracción, es
decir, a nivel bloque de datos puro, excluyendo el sistema operativo. Incluye
tareas directas sobre los bloques de datos, tales como la búsqueda de
información por medio de expresiones regulares, la búsqueda de
información en las áreas de paginado o bases de datos en particiones sin
formato. Toda tarea donde se esté trabajando a un nivel inferior al sistema
operativo y sus mecanismos es considerada de bajo nivel.
● Análisis de contenidos: incluye el conjunto de tareas de alto nivel que
implican un análisis del contenido, la información propiamente dicha que se
almacena en los datos extraídos en las tareas anteriormente mencionadas.
● Análisis de correlaciones: incluye el conjunto de tareas de alto nivel que
implican el análisis de las relaciones entre los distintos elementos extraídos,
el contenido recuperado y los elementos previos aportados, con el fin de
encontrar su peso, relevancia y significancia en el caso.
Es importante destacar que las actividades de análisis de contenidos y análisis de
relaciones tiene la particularidad de extenderse a lo largo de todo el proceso, y
está ceñido a las habilidades intrínsecas del forense de vinculación de los datos
obtenidos, características de los objetos, y particularidades que le permitan brindar
una respuesta integral y objetiva a los puntos consultados.
Finalmente la Fase de Presentación comprende el armado de los informes
necesarios y la presentación del caso en un juicio o a los solicitantes. Las
actividades involucradas son:
● Armado del Informe: implica la documentación de todas las actividades y
tareas realizadas en un informe pericial que sea claro, preciso, concreto y
redactado en un lenguaje apropiado, lo que implica, un lenguaje técnico-
científico comprensible para una autoridad judicial. Se espera que en este
 informe se respondan los puntos solicitados con un nivel de detalle de
operaciones tal que permita reproducir y replicar el proceso de análisis
llevado a cabo por el cual se arriba a esa conclusión.

Preparación de la Información a Presentar: consiste en la preparación de la

información y la evidencia digital hallada en el caso para una eventual
presentación, ya sea en juicio o a los solicitantes del servicio forense. En
ocasiones es posible que el informático forense deba realizar una exposición
donde explique el trabajo realizado, además del informe escrito correspondiente.

PAIF-PURI

El “Protocolo de Actuación en Informática Forense a partir del Proceso Unificado

de Recuperación de Información - PAIF-PURI” es un Proyecto que tiene sus inicios
en el año 2014 y que conforme fue avanzando el desarrollo del protocolo, fueron
haciéndose evidentes otras necesidades más allá del alcance definido en un
principio, lo que dio lugar a nuevos requerimientos. De esta manera, el proyecto
fue extendido para satisfacer estas necesidades, confeccionándose un protocolo
cuya primer versión fue formalmente entregada ante el Dr. Homero Alonso, a cargo
de la Secretaría de Política Criminal, Coordinación Fiscal e Instrucción Penal, en el
mes de mayo de 2015. Una vez analizada por las autoridades, con fecha 30 de
noviembre de 2015, la Sra. Procuradora General dictó la Resolución General No
1.041/15 por la cual dispuso la aplicación de la Guía Integral de Empleo de la
Informática Forense en los Departamentos Judiciales de Mar del Plata y Mercedes,
a efectos de su evaluación por parte de los Ingenieros a cargo de las Oficinas
Periciales correspondientes.

El protocolo tiene como referencia básica el Código Procesal Penal de la Provincia

de Buenos Aires y, ante la ausencia de regulación específica y de líneas
jurisprudenciales firmes sobre las cuestiones vinculadas con la evidencia digital en
el ámbito nacional, se ha tenido especialmente en cuenta la normativa
constitucional y los aportes provenientes del derecho comparado. Es por tal
motivo, que la guía integral y el protocolo en particular pueden representar un
estándar válido para modelos procesales similares al bonaerense, adaptable a
diferentes modelos procesales, incluso extranjeros, constituyendo un aporte sin
precedentes y sumamente valioso para el sistema procesal penal en general.

En este instrumento se presentan los aspectos básicos a considerar en las labores

de búsqueda, obtención, preservación, examen pericial y presentación de
evidencias digitales en el proceso penal, a fin de garantizar la validez y eficacia
probatoria de dichas actividades.
En el plano técnico, este protocolo se basa en el Proceso Unificado de
Recuperación de Información – Proceso, en adelante PURI, desarrollado por el
grupo de investigación en Sistemas Operativos e Informática Forense de la
Facultad de Ingeniería de la Universidad FASTA. PURI se nutre de procesos y
guías de buenas prácticas en informática forense nacionales e internacionales,
adaptándolas e integrándolas en un esquema de fases, etapas, tareas, técnicas y
herramientas recomendadas. Se contemplan, de este modo, la planificación previa,
identificación, recolección, validación, análisis, interpretación, documentación y
presentación de la evidencia digital para ayudar a esclarecer y/o probar sucesos de
naturaleza delictiva.
Lo relativo a los equipos de telefonía celular es objeto de tratamiento genérico, sin
formularse mayores precisiones respecto de las específicas técnicas y
herramientas de análisis pericial. Esta última cuestión está siendo objeto de otro
proyecto de investigación y desarrollo.
Este protocolo deberá ser cumplido por los especialistas e idóneos informáticos (en
sus distintos niveles y roles), ya que refleja consensos técnicos en la materia y
ofrece suficiente respaldo jurídico para su labor. Fiscales e investigadores
judiciales deben conocer adecuadamente el protocolo. El mismo es, por un lado,
una herramienta para planificar y controlar el curso de una investigación penal. Por
el otro, poder invocar su observancia otorga un importante sustento para la
presentación eficaz de evidencias digitales y dictámenes periciales durante la labor
de litigación.
Para desarrollar las tareas informático-forenses y utilizarlas procesalmente es
imprescindible alinear la dimensión técnica con sus aspectos jurídico, estratégico y
organizacional. Por tal motivo, el protocolo sólo podrá ser aplicado e invocado en
forma eficiente teniendo debidamente en cuenta las nociones y recomendaciones
generales que obran en el Anexo IV (Aspectos Legales y Estratégicos del Empleo
de la Informática Forense en el Proceso Penal).

Di Iorio, A. H., Castellote, M. A., Constanzo, B., Curti, H., Waimann, J., Lamperti, S.
B., et al. (2017). El rastro digital del delito: aspectos técnicos, legales y estratégicos
de la Informática Forense (Cap. 5). Mar del Plata, Buenos Aires: UFASTA.