PROTOCOLO DE LA SECCIÓN

INFORMÁTICA FORENSE
Índice
1. INTRODUCCIÓN...................................................................................................... 1

2. FUNDAMENTOS DE LA PERICIA INFORMÁTICA........................................................2

3. FUNCIONES DE LOS PERITOS Y AUXILIARES A PERITOS..........................................3

3.1. De los Peritos................................................................................................... 3

3.2. De los Auxiliares de Perito............................................................................... 4

4. PROCESO DE ATENCIÓN GENERAL PARA PERICIAS INFORMÁTICAS........................5

4.1. Preparación...................................................................................................... 5

4.2. Planificación..................................................................................................... 6

4.3. Recopilación de evidencia:............................................................................... 7

4.4. Preservación de la evidencia:..........................................................................7

4.5. Análisis de la evidencia:................................................................................... 8

4.6. Presentación de la evidencia:..........................................................................8

4.7. Cierre y seguimiento........................................................................................ 9

4.8. Deterioros de evidencia................................................................................... 9

5. RECOMENDACIONES............................................................................................. 11

6. BIBLIOGRAFÍA....................................................................................................... 12

DIAGRAMA DE FLUJO DE LA SECCIÓN INFORMÁTICA FORENSE DEL IITCUP................13

 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

1. INTRODUCCIÓN
Increíblemente los delincuentes hoy están utilizando la tecnología para facilitar el
cometimiento de infracciones y eludir a las autoridades, este hecho ha creado
la necesidad de que tanto la Policía Boliviana, la Fiscalía General del Estado y
la Función Judicial deba especializarse y capacitarse en estas nuevas áreas en
donde las TICs se convierten en herramientas necesarias en auxilio de la
Justicia y la persecución de delito y el delincuente.

La obtención de Información (elementos de convicción) se constituye en una de

las facetas útiles dentro del éxito de en una investigación criminal, aspecto
que demanda de los investigadores encargados de la recolección
preservación, análisis y presentación de las evidencias digitales una eficaz
labor que garantice la autenticidad e integridad de dichas evidencias, a fin de
ser utilizadas posteriormente ante el Tribunal Penal.

El objetivo de la Informática forense es el de recobrar los registros y mensajes de

datos existentes dentro de un equipo informático, de tal manera que toda esa
información digital, pueda ser usada como prueba ante un tribunal.

El presente Manual pretende ser una guía de actuación para miembros del
Instituto de Investigación Técnico Científicas de la Universidad Policial, el
objetivo del presente protocolo es dar a conocer los pasos que se sugieren
seguir para así poder elaborar una óptima Pericia Informática Forense.

1
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

2. FUNDAMENTOS DE LA PERICIA INFORMÁTICA

Por medio de este protocolo damos a conocer los servicios periciales de la

Sección de Informática Forense del Instituto de Investigaciones Técnico
Científicas de la Universidad Policial “Mcal. Antonio José de Sucre”

La prueba dentro del proceso penal es de especial importancia, ya que desde

ella se confirma o desvirtúa una hipótesis o afirmación precedente, se llega a
la posesión de la verdad material.

De esta manera se confirmará la existencia de la infracción y la

responsabilidad de quienes aparecen en un inicio como presuntos
responsables, todo esto servirá para que el Tribunal de Justicia alcance el
conocimiento necesario y resuelva el asunto sometido a su conocimiento.

El informe pericial informático se considera un medio de prueba documental

dentro del proceso judicial, que sirve como vehículo para introducir pruebas
digitales al proceso. Se une al interrogatorio de partes, a los documentos
públicos o privados que se consideren, a las pruebas que se aporten, a los
registros de todo tipo.

El dictamen del perito introduce dentro del proceso un análisis especializado

de hechos complejos, que el juez no sabe analizar por su naturaleza. El perito
no debe introducir nuevos hechos dentro del debate del proceso, solo
interpreta los hechos que están ya dentro del análisis, como instrumento para
ayudar en la resolución del conflicto.

El dictamen pericial es un medio probatorio, por lo que el informe pericial

informático tiene carácter de prueba en la resolución de un conflicto. Este
tipo de informes persiguen analizar cómo se ha producido un hecho y
determinar su causa y consecuencias, desde una perspectiva puramente
técnica.

2
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE
Así, por ser una prueba documental, el informe pericial informático puede ser
necesario para que el procedimiento pueda decantarse hacia uno u otro lado.
Por ello, es necesario contar con un dictamen pericial informático en procesos
de marcada índole digital, sobre

3
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

todo si la parte contraria también cuenta con otro. Ello favorecerá el debate
racional en juicios complejos, que permitirá al juez tomar una decisión basada
en razonamientos científicos y lógicos.

3. FUNCIONES DE LOS PERITOS Y AUXILIARES A PERITOS

3.1. De los Peritos

Los peritos de la Sección Informática Forense tienen las siguientes funciones:

 Estará encargado de la protección y cuidado de la Evidencia de tipo

Discos ópticos o dispositivos de almacenamiento portátiles

 Realizará el estudio pericial de acuerdo con los servicios periciales

de la Sección, o en su defecto asignará la tarea de estudio pericial al
Auxiliar de Perito que tenga las aptitudes idóneas para que proceda
a la realización de la Pericia.

 Elaborará la Pericia Informática Forense correspondiente a los puntos

de pericia solicitados en el requerimiento pericial.

 Revisará los Documentos Periciales elaborados por los Auxiliares de

Perito para posteriormente firmarlo antes de su remisión.

 Se presentará a las audiencias o juicios donde requieran la presencia

del perito que realizó la Pericia Informática Forense.

 Implementará medidas que incluyen revisiones y mejoras en los

procedimientos de manejo de evidencia, capacitación adicional para
el personal, y mejoras en la seguridad.

 Dará parte al superior inmediato de cualquier novedad que se

suscite respecto a los casos asignados.

4
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

3.2. De los Auxiliares de Perito

Los Auxiliares de Perito de la Sección Informática Forense tienen las

siguientes funciones:

 Recepcionará y revisará de los requerimientos periciales con sus

respectivas evidencias (de contener las mismas), y la devolución del
mismo adjunto al Informe de Representación o Pericia Informática
Forense (tres copias).

 Estará encargado de la protección y cuidado de la Evidencia de tipo

dispositivos móviles de la Sección Informática Forense de acuerdo a
la cadena de custodia dentro del Instituto.

 Cumplirá con las tareas y estudios periciales asignados por el perito

de acuerdo a los puntos de pericia solicitados en los requerimientos
periciales de cada caso, para posteriormente pase a revisión del
Perito.

 Consultará y coordinará con el Perito las actividades a realizar para

el estudio pericial.

 Dará parte inmediato al Perito respecto a cualquier novedad que se

suscite respecto a las tareas o estudios periciales que se le
asignaron.

5
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

4. PROCESO DE ATENCIÓN GENERAL PARA PERICIAS

INFORMÁTICAS

En la sección de informática forense del Instituto de Investigaciones Técnico

Científicas de la Universidad Policial “Mcal. Antonio José de Sucre” brinda los
siguientes servicios periciales:

 Determinación de Origen y Autenticación de Datos

 Reconstrucción de Ruta por Geolocalización de Dispositivos.

 Extracción de Información Digital

 Recuperación de Información Digital

 Consultas Técnicas y Asesoramiento en Informática

Los lineamientos que se realizan para la elaboración de una Pericia Informática

Forense de la Sección Informática Forense para dar respuesta a los diferentes
requerimientos recepcionados son:

4.1. Preparación:

Es el conjunto de actividades que la Sección de Informática Forense

realiza para asegurar que la evidencia digital sea válida, confiable y
admisible en un contexto legal.

 Recepción del requerimiento pericial de la Sección Cadena de

Custodia con su respectiva evidencia (si contiene el mismo), por
parte del Auxiliar de perito.

 Identificación del alcance y los objetivos del estudio pericial que

contiene el requerimiento pericial.

6
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

 Asignación de perito para la elaboración de la Pericia Informática

Forense de la Sección Informática Forense.

 En caso de que la demanda de requerimientos periciales sea

excesiva, el Perito asignara a un Auxiliar de Perito para los estudios
periciales de Informática Forense para su posterior revisión y
corrección si es necesario.

 Revisión de la Evidencia para su realización o representación (en

caso de que tenga deterioros).

 Determinación de un equipo forense competente y asegúrate de

contar con las herramientas del software con licencia como Autopsy,
FTK y NUIX para Dispositivos de Almacenamiento y Oxygen Forensic,
MOBILedit o Cellebrite UFED pata Dispositivos Móviles adecuadas
para llevar a cabo el proceso.

4.2. Planificación:

El perito o Auxiliar de Perito debe entender los detalles del caso y planificar
cómo recopilará y analizará la evidencia. Esto incluye determinar qué
dispositivos, sistemas o redes se investigarán.

 Documentar detalladamente los pasos que seguirás durante el estudio

pericial.

 Identificar los recursos necesarios, como software forense, hardware

especializado y personal acreditado.

 Plasmar específicamente los puntos periciales que refieren en el

requerimiento pericial.

 Elaborar la Pericia Informática Forense para su posterior revisión por

parte del Perito de Informática Forense.
7
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

4.3. Recopilación de evidencia:

El perito o Auxiliar de Perito recopila datos relevantes, como archivos,

registros, correos electrónicos, registros de acceso, etc. Es importante
preservar la cadena de custodia durante este proceso.

 Identificar y asegurar los dispositivos y sistemas relevantes para la

investigación.

 Documentar el estado inicial de los dispositivos y sistemas, y

asegúrate de tomar medidas para evitar la contaminación o
alteración de la evidencia.

4.4. Preservación de la evidencia:

La preservación de evidencia se refiere a las acciones tomadas para evitar la

alteración o destrucción de los datos recopilados durante una investigación
forense, el objetivo es mantener la evidencia en su estado original para
que sea válida y confiable.

 La protección y cuidado de la Evidencia de tipo Discos ópticos o

dispositivos de almacenamiento portátiles estará a cargo del Perito o
Auxiliar de Perito asignado con las tareas de estudios periciales.

 La protección y cuidado de la Evidencia de tipo dispositivos móviles,

estará a cargo del Auxiliar de Perito, quien deberá utilizar las
medidas necesarias para su preservación óptima.

 En caso de Evidencia Digital, utilizar técnicas adecuadas para

preservar la integridad de la evidencia digital como Autopsy, FTK y
NUIX para Dispositivos de Almacenamiento y Oxygen Forensic,
MOBILedit o Cellebrite UFED pata Dispositivos Móviles.

 Documentar cuidadosamente todas las acciones realizadas

8
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE
durante el proceso de preservación.

9
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

4.5. Análisis de la evidencia:

El análisis forense digital se define como el proceso de preservación,

identificación, extracción y documentación de evidencia informática que
puede ser utilizado por el tribunal de justicia.

 Utilizar Autopsy, FTK y NUIX para Dispositivos de Almacenamiento,

para analizar la evidencia digital de manera rigurosa y objetiva.

 Utilizar Oxygen Forensic, MOBILedit o Cellebrite UFED pata

Dispositivos Móviles, para analizar la evidencia digital de manera
rigurosa y objetiva.

 Documentar los hallazgos y asegúrate de que sean verificables y

reproducibles.

4.6. Presentación de la evidencia:

La presentación de evidencia en informática forense implica organizar y

exponer la evidencia de manera clara y convincente para que sea
aceptada por un tribunal o autoridad legal.

 Preparar las Pericias Informática Forense claros y concisos que

documenten los hallazgos de la investigación de acuerdo con los
puntos de pericia solicitados por los administradores de justicia.

 Asegurarse de que la evidencia presentada sea admisible y pueda

ser defendida en un tribunal de justicia.

El manejo y envió de las evidencias es elemental para una óptima pericia, ya

que un manejo adecuado asegura que la evidencia se mantenga en su
estado original, lo que es vital para que los peritos puedan realizar análisis
precisos y confiables, cualquier alteración en las evidencias (ya sea por
mal transporte o mala manipulación de la misma) puede comprometer la
10
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE
integridad de los resultados, que como consecuencia

11
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

pueden ser impugnadas en un juicio, lo que puede llevar a la

desestimación de pruebas cruciales y, en consecuencia, afectar la
resolución.

Asegurar que la evidencia se maneje correctamente protege los derechos

tanto de las víctimas como de los acusados, asimismo garantiza que las
decisiones judiciales se basen en pruebas sólidas y verificables, por lo cual
se sugieren las siguientes modalidades de remisión de evidencias que
corresponden a la sección de Informática Forense del Instituto de
Investigaciones Técnico Científicas de la Universidad Policial “Mcal. Antonio
José de Sucre”.

4.7. Cierre y seguimiento:

El cierre en informática forense se refiere al final de una investigación o

análisis específico, es el momento en que se concluye la recopilación de
pruebas, el análisis y la documentación.

 Revisión de la Pericia Informática Forense por parte del Perito en

Informática Forense para su remisión con el requerimiento pericial.

 Devolución del requerimiento pericial a la Sección Custodia de

evidencias adjuntando la respuesta de la sección por parte del
Auxiliar de Perito (tres copias).

 Revisar y validar el trabajo realizado durante el estudio pericial.

 Proporcionar seguimiento si es necesario y asegurarse de que

se hayan cumplido todos los objetivos del punto de pericia.

4.8. Deterioros de evidencia

En caso de deterioro de evidencias posterior a la recepción del
requerimiento pericial, se sugiere seguir los siguientes pasos:

12
PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

 Identificar y preservar la evidencia digital lo antes posible para

evitar cualquier deterioro adicional, bloquear y proteger
cualquier puerto del dispositivo.

 Crear una copia exacta (imagen forense) del dispositivo o

medio de almacenamiento; debe ser una réplica MB igual al
MB del original, asegurando que no se altere ninguna
información.

 Extraer el Código hash de la imagen forense para asegurar que

no haya sido manipulada.

 Documentar todo el proceso, incluyendo la hora y el lugar de

la recolección, las personas involucradas y cualquier acción
realizada durante la adquisición de la evidencia.

 Preservar la evidencia en un lugar seguro y controlado para

evitar cualquier manipulación o deterioro adicional.

 Realizar el análisis forense exclusivamente en la imagen

forense (en caso de que se haya logrado la copia de
seguridad), nunca en el medio original.

 Presentar los resultados del análisis de manera clara y

organizada, asegurando que la evidencia sea
comprensible y admisible en un tribunal, justificando el
motivo del deterioro.

13
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

5. RECOMENDACIONES

1. Formación y actualización constante: Mantente al día con las últimas

tendencias, técnicas y herramientas en informática forense
mediante educación continua y formación profesional.
2. Preservación de la integridad de la evidencia: Asegúrate de recopilar y
preservar la evidencia digital de manera que mantenga su
integridad y sea admisible en un tribunal de justicia.
3. Documentación meticulosa: Documenta cuidadosamente todos los
pasos del proceso forense, desde la recopilación de evidencia hasta
el análisis y la presentación de informes, para garantizar la
transparencia y la verificabilidad de tu trabajo.
4. Seguridad de la información: Prioriza la seguridad de la información
durante todo el proceso forense, desde la recopilación hasta la
presentación de informes, para proteger la confidencialidad y la
integridad de los datos.
5. Colaboración y comunicación efectiva: Trabaja en colaboración con
otros profesionales y partes interesadas, y comunica de manera
clara y efectiva tus hallazgos y conclusiones durante todo el proceso
forense.
6. Respeto a la legalidad y ética: Asegúrate de cumplir con todas las
leyes, regulaciones y estándares éticos aplicables en informática
forense, y actúa de manera imparcial y objetiva en todas tus
investigaciones.

14
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

6. BIBLIOGRAFÍA

 Aguilera, P. (2011). Redes seguras (Seguridad informática). Editex.

 Astudillo, S., y Morales, G. (2018). Software y dispositivos
utilizados en la computación forense.
 Course Hero. (s.f.). [Link]
 Domínguez, F. L. (2013). Introducción a la informática forense. Grupo
Editorial RA- MA.
 Estrada, A. C. (2010). La informática forense y los delitos
informáticos. Revista Pensamiento Americano, (4), 81-88.
[Link] La_inform
%C3%A1tica_forense_y_los_delitos_inform%C3%A1ticos
 Gallego, J. C., y Folgado, L. (2011). Gestión de discos (Montaje y
mantenimiento de equipos). Editex.
 Gómez Ocampo, L. M. (2009). Informática Forense Para Móviles.
Revista de Información, Tecnología y Sociedad, 32.
[Link] bo/[Link]?script-
sci_arttext&pid-S1997-40442009000200007&Ing=en&
 nrm-iso3
 Gómez, H. H. S. (2009). Informática Forense.
[Link] Informatica-forense-hernan-herrera-
[Link]
 Mena, Y. (2009). Algoritmos HASH y vulnerabilidad a ataques.
Revista de Información, Tecnología y
Sociedad, 108.
[Link]
 php?script-sci_arttext&pid-S1997-
40442009000200026&lng=es&nrm=iso
 Pacheco, F. G., y Jara, H. (2010). Hackers al descubierto. USERSHOP.
 Rascagneres, P. (2016). Seguridad informática y malwares:
15
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE
análisis de amenazas e implementación de contramedidas.

Ediciones ENI.

16
 PROTOCOLO DE LA SECCIÓN IITCUP
INFORMÁTICA FORENSE

DIAGRAMA DE FLUJO DE LA SECCIÓN INFORMÁTICA FORENSE DEL IITCUP

17