Recolección de

Evidencia Digital
La evidencia digital se refiere a cualquier tipo de
información almacenada o transmitida en formato digital
que puede utilizarse como prueba en investigaciones
legales o procesos judiciales. Esta evidencia puede incluir
una amplia variedad de datos, como archivos
electrónicos, registros de comunicaciones, metadatos,
historiales de navegación, registros de transacciones y
otros elementos digitales que puedan ser relevantes para
esclarecer un delito o sustentar un caso legal.
El proceso de recopilación y preservación de la evidencia digital.
La recopilación y preservación de evidencia digital es un proceso crucial en las
investigaciones judiciales y forenses modernas. El proceso generalmente consta de los
siguientes pasos:

[Link]ón y aseguramiento de la evidencia.

[Link]ón de la evidencia.
[Link]álisis de la evidencia.
[Link]ón y presentación de la evidencia.
[Link]ón de la evidencia.

La recopilación y preservación de evidencia digital es un proceso complejo que implica la

identificación y aseguramiento de la evidencia, la adquisición de la misma, el análisis de
la información recopilada, la documentación y presentación de la evidencia, y la
preservación de la evidencia. Este proceso es esencial para garantizar la integridad y la
confiabilidad de la evidencia digital en investigaciones judiciales y forenses.
Identificación y aseguramiento de la evidencia.
La identificación y aseguramiento de la evidencia digital es un paso crucial en cualquier investigación criminal o civil que involucre
tecnología. Este proceso se inicia en la escena del crimen o en el lugar donde se encuentra la fuente potencial de evidencia.

En primer lugar, el equipo de investigación identificaría todos los dispositivos que se han utilizado, incluyendo computadora s,
dispositivos móviles, servidores y dispositivos de almacenamiento en la nube. Luego, los dispositivos identificados se asegur arían
mediante técnicas de copia forense, que garantizan que se copia toda la información, incluyendo los datos que han sido
eliminados o que no son fácilmente visibles.

En este caso, se podrían copiar los discos duros de las computadoras utilizadas por el sospechoso, su teléfono móvil y cualqu ier
cuenta de almacenamiento en la nube a la que tenga acceso. Además, se asegurarían los registros de acceso a los sistemas y
otros registros de actividad en la red.

Para evitar la alteración de la evidencia digital, se utilizarían herramientas especializadas para la copia forense que garan tizan la
integridad de los datos. Además, se tomarían medidas para bloquear la escritura en los dispositivos de almacenamiento y para
evitar el uso de cualquier equipo que pueda alterar la evidencia.

Una vez que se ha asegurado la evidencia, se debe almacenar en un lugar seguro y protegido por medidas de seguridad
apropiadas para garantizar su integridad y confidencialidad. La cadena de custodia de la evidencia, que documenta el manejo y
traslado de la misma, debe ser cuidadosamente documentada para garantizar su autenticidad y para asegurarse de que se
mantenga intacta a lo largo del proceso de investigación.

La identificación y aseguramiento de la evidencia digital es un proceso crucial en cualquier investigación que involucre
tecnología. Al seguir cuidadosamente este proceso, se puede garantizar que se recopila y se preserva la evidencia de manera
adecuada para su posterior análisis y uso en la investigación.
Adquisición de la evidencia (El momento crítico)

La adquisición de evidencia digital es el proceso de recopilar la información de los dispositivos electrónicos que podrían contener
pruebas en una investigación. Este proceso es fundamental para garantizar que se recolecta toda la información relevante y se
preserva de manera adecuada para su posterior análisis.
En el caso de los computadores, la adquisición de la evidencia puede implicar la extracción de todo el contenido del disco duro,
incluyendo los archivos eliminados y los sectores no utilizados. Esto se puede lograr mediante técnicas de copia forense, que
crean una imagen exacta del contenido del disco duro, o mediante la extracción de los archivos relevantes.
Para realizar una copia forense, se utiliza un software especializado para crear una imagen exacta del disco duro. Es importa nte
utilizar un software que garantice la integridad de los datos y cree un registro hash para verificar la autenticidad de la copia.
Además, se deben tomar medidas para evitar la escritura en el disco duro y para garantizar que la copia sea lo más exacta
posible.
En el caso de los teléfonos móviles, la adquisición de la evidencia puede implicar la extracción de los datos del teléfono,
incluyendo los mensajes de texto, el registro de llamadas, las imágenes y otros datos. Esto se puede lograr mediante técnicas de
copia forense, la extracción de los archivos relevantes o mediante el uso de herramientas especializadas de análisis de teléf onos
móviles.

Un ejemplo de la adquisición de la evidencia digital en un caso criminal podría ser una investigación de un posible delito de
fraude financiero. En este caso, los investigadores podrían obtener una orden judicial para incautar los dispositivos electró nicos
utilizados por los sospechosos, incluyendo sus computadoras y teléfonos móviles. Luego, se utilizarían técnicas de copia forense
para obtener una imagen exacta del contenido de estos dispositivos y analizarlos en busca de pruebas relevantes, como correos
electrónicos, registros bancarios y otros documentos.

La adquisición de la evidencia digital es un proceso crítico en cualquier investigación que involucre dispositivos electrónic os. Al
seguir cuidadosamente este proceso y utilizar herramientas especializadas, los investigadores pueden garantizar que se recole cta
toda la información relevante y se preserva adecuadamente para su posterior análisis.
Análisis de la evidencia.
El análisis de la evidencia digital es el proceso de examinar la información recopilada para identificar patrones,
relaciones y pistas que puedan ser relevantes para la investigación. El objetivo del análisis es encontrar pruebas
que apoyen o refuten la hipótesis del caso, lo que puede ser crucial para el éxito de una investigación.
Durante el análisis de la evidencia, los investigadores pueden utilizar una variedad de herramientas y técnicas para
examinar los datos. Algunas de estas técnicas incluyen:
•Análisis de metadatos: El análisis de los metadatos, que incluyen información como la fecha, la hora, la ubicación
y el tamaño de los archivos, puede proporcionar pistas importantes sobre el comportamiento y las actividades del
sospechoso.
•Análisis de archivos: El análisis de los archivos puede incluir la recuperación de archivos eliminados, la
identificación de archivos ocultos y la identificación de archivos relevantes para la investigación.
•Análisis de comunicaciones: El análisis de las comunicaciones, como los correos electrónicos, los mensajes de
texto y las llamadas telefónicas, puede ayudar a identificar patrones de comportamiento y a establecer relaciones
entre las personas involucradas en el caso.
•Análisis de redes sociales: El análisis de las redes sociales puede proporcionar información valiosa sobre la
actividad en línea del sospechoso y sus conexiones con otras personas.
•Análisis forense de memoria: El análisis forense de la memoria RAM puede proporcionar información sobre las
actividades que se estaban realizando en el dispositivo en el momento de la incautación.

Existen varios software disponibles para llevar a cabo el análisis de la evidencia digital.
Documentación y presentación de la evidencia.

La documentación y presentación de la evidencia digital es el aspecto mas importante en cualquier investigación,

ya que permite que los hallazgos del análisis sean comunicados claramente a los tribunales, otros investigadores y
partes interesadas. La documentación y presentación efectivas de la evidencia digital son importantes para
garantizar que los resultados de la investigación sean comprensibles, precisos y convincentes.
La documentación de la evidencia digital implica registrar y catalogar cuidadosamente los detalles de la
investigación, incluyendo la fuente de la evidencia, la fecha y hora en que se adquirió, los procedimientos
utilizados para adquirirla y las herramientas y técnicas utilizadas en el análisis. La documentación debe ser
detallada y precisa, y debe estar respaldada por cualquier otra información relevante, como fotografías, videos o
declaraciones de testigos.
Una vez que se ha documentado la evidencia digital, es necesario presentarla de manera clara y efectiva. La
presentación de la evidencia puede variar dependiendo del caso y del contexto en el que se presentará. Por
ejemplo, la evidencia puede ser presentada en un tribunal durante un juicio o en una reunión con otros
investigadores o partes interesadas.
Preservación de la evidencia.

La preservación de la evidencia es el paso que garantiza que la evidencia no se

modifique o destruya de ninguna manera y se mantenga intacta y segura para su uso
en investigaciones futuras. La preservación adecuada de la evidencia también
garantiza la integridad de la cadena de custodia y la adhesión a los requisitos legales y
reglamentarios.
5.3 Requisitos para el manejo de la evidencia digital
5.3.1 Generalidades
Los principios establecidos pueden cumplirse de la manera siguiente:

--Pertinencia: se recomienda que sea posible demostrar que el material adquirido sea
pertinente a la investigación, es decir, que contiene información que aporta valor a la
investigación de un incidente específico y que existe una razón fundada para haberlo
adquirido. A través de la auditoría y la justificación, se recomienda que el PIED (primer
interviniente en la evidencia digital ) sea capaz de describir los procedimientos seguidos y
explicar cómo se tomó la decisión para realizar la adquisición de cada elemento.

--Confiabilidad: se recomienda que todos los procesos utilizados en el manejo de potenciales

evidencias digitales sean auditables y repetibles. Se recomienda que los resultados de la
aplicación de estos procesos sean reproducibles.

--Suficiencia: Se recomienda que los PIED reúnan suficiente material para permitir que se
realice una investigación apropiada. Se recomienda que los PIED sean capaces, a través de la
auditoría y la justificación, de indicar cuánto material, en total, fue considerado y los
procedimientos utilizados para decidir cuánto y qué material fue adquirido.
Dispositivos electrónicos:
 Teléfonos celulares: Obtener Nro. de IMEI:
- debajo de la batería
- IPHONE: en la contratapa, o en bastidor de SIM (chip)
- *#06# (si el dispositivo se encuentra apagado
no lo encienda)
- Apagado: retirar batería, tarjeta SIM, y memoria, pegarlos
con cinta al teléfono.

- Todos los datos registrados en cadena de custodia:

- Marca y modelo
- Nro. de IMEI
- Nro. de tarjeta SIM y proveedor.
- Datos de memoria externa si la tiene.

- Dispositivo ensobrado, solapa del sobre pegada con plasticola y con las firmas
correspondientes. De ser posible un sobre y una cadena de custodia por cada
dispositivo.
eSIM
Dispositivos electrónicos:
 Nro. de IMEI y de SIM
CADENA DE CUSTODIA DE
CELULARES Y TABLETS
 Protocolo de cadena de custodia Resolución 889/15

LA CADENA DE CUSTODIA ES EL CONJUNTO DE MEDIDAS QUE DEBEN ADOPTARSE A FIN DE PRESERVAR LA

IDENTIDAD E INTEGRIDAD DE LOS OBJETOS O MUESTRAS QUE PUEDEN SER FUENTE DE PRUEBA DE HECHOS
CRIMINALES (PRESERVACIÓN TOTAL DE SU EFICACIA PROCESAL). LA DOCUMENTACIÓN DE DICHA ACTIVIDAD A
PARTIR DE LA PLANILLA CORRESPONDIENTE, PERMITE DETALLAR LAS PARTICULARIDADES DE LOS ELEMENTOS
MATERIA DE PRUEBA, LOS CUSTODIOS, EL LUGAR, EL SITIO EXACTO, FECHA Y HORA DE LOS TRASPASOS Y
TRASLADOS DE LOS MISMOS.

ALGUNOS MAGISTRADOS (PARTICULARMENTE, EN LA ETAPA DE CELEBRACIÓN DEL JUICIO ORAL), HAN

RECHAZADO Y DECLARADO NULA LA PRUEBA APORTADA -NO POR CUESTIONES VINCULADAS A LA PRUEBA EN SÍ
MISMA-, SINO EN FUNDAMENTO A LA AUSENCIA, IRREGULARIDAD, DESPROLIJIDAD O VISOS DE ALTERACIÓN EN
LA CADENA DE CUSTODIA.
Dispositivos electrónicos:

 PCs: Apagar el dispositivo desenchufándolo del toma de energía.

 (en el caso de las Notebook apagarlas manteniendo presionado el botón de
encendido durante 4 o 5 segundos hasta que se apague)

-Colocar fajas de papel con plasticola tapando puertos USB, botones de

encendido, y parte posterior a fin de asegurar durante la pericia que el
equipo no ha sido adulterado luego del allanamiento.

- Todos los datos registrados en cadena de custodia:

- Marca y modelo
- Nro. de serie
- características particulares (color, descripción)
Dispositivos electrónicos:
 Fajar puertos, conectores y ensobrar:
NO
- Fajas con plasticola tapando todos los puertos y conectores.
- Faja que impida abrir la tapa o visualizar la pantalla.
- El dispositivo ensobrado y con las firmas correspondientes.
- El rotulo pegado sobre el sobre, no sobre el dispositivo.
NO
- Cadena de custodia adjunta al sobre con el efecto.
- Retirar la batería y guardarla en el sobre.

NO NO
NO
Dispositivos electrónicos:
 Número de Serie (S/N o Serial Number):
QUE ES ESTO?
BILLETERAS VIRTULES
¿Preguntas?
Muchas gracias