Curso Perito Telemático Forense

Curso de Perito Telemtico Forense
Contenido
Presentacin.................................................................................................................................. 4 NUEVAS TECNOLOGIAS, NUEVAS PROFESIONES ................................................................... 4 El Perito Judicial Telemtico.......................................................................................................... 8 Derechos y deberes del Perito Telemtico ............................................................................. 10 reas de actuacin de los Peritos Telemticos ....................................................................... 13 Capacitacin Profesional del Perito Judicial en los Tribunales de Espaa .............................. 14 Acreditacin de la capacitacin profesional........................................................................ 19 Derecho Informtico ................................................................................................................... 20 Contexto legal del perito ......................................................................................................... 20 Qu es un Perito? .................................................................................................................. 21 Cundo se nombrar a un perito?......................................................................................... 21 El procedimiento de solicitud de un perito ............................................................................. 22 La designacin del perito ........................................................................................................ 24 La recusacin y la tacha........................................................................................................... 25 El nombramiento del perito judicial........................................................................................ 26 El informe pericial ................................................................................................................... 26 La asistencia a juicio oral ......................................................................................................... 27 Reconocimiento in situ............................................................................................................ 27 La valoracin del informe ........................................................................................................ 28 Responsabilidades y derecho del perito ................................................................................. 28 Como extraer y recuperar evidencias digitales y telemticas .................................................... 30 Cdigo Deontolgico ................................................................................................................... 33 Utilidades Forenses ..................................................................................................................... 34 Informe Pericial Telemtico ........................................................................................................ 40 Gua del Peritaje Informtico ...................................................................................................... 43 Introduccin ............................................................................................................................ 43 Primera Intervencin Pericial .................................................................................................. 44 Procedimiento ......................................................................................................................... 44 Trabajo en nuestro laboratorio Forense Informtico ............................................................. 46 Informe Pericial ....................................................................................................................... 47 Dictamen con Conclusiones .................................................................................................... 47 Ratificacin .............................................................................................................................. 48 www.antpji.com Pgina 2

Como realizar una auditora telemtica ...................................................................................... 49 Como se realiza un peritaje telemtico para un cliente ............................................................. 54 Presupuesto del servicio: ........................................................................................................ 54 Aceptacin del presupuesto: .................................................................................................. 54 AUDITORIA INFORMATICA ...................................................................................................... 54 PERITAJE TELEMTICO ............................................................................................................ 54 Declaracin ante Tribunales:................................................................................................... 55 Gua de buenas prcticas para el peritaje telemtico en recuperacin de imgenes y documentos ................................................................................................................................ 56 Marketing para Peritos Telemticos ........................................................................................... 65 Plan de Negocio para Peritos Informticos ................................................................................. 68 1. Resumen Ejecutivo .............................................................................................................. 68 2. Descripcin de tu nueva Empresa ....................................................................................... 69 3. Productos y Servicios........................................................................................................... 69 4. Plan de Marketing ............................................................................................................... 69 5. Plan de desarrollo................................................................................................................ 70 6. Plan Operacional ................................................................................................................. 70 7. Administracin y Organizacin............................................................................................ 70 8. Plan Financiero .................................................................................................................... 70 9. Financiacin......................................................................................................................... 70 1. Negocios con Futuro ............................................................................................................... 71
www.antpji.com
Pgina 3

Presentacin
Muchas entidades pblicas y privadas e incluso la Administracin de Justicia, se van dando cuenta de que la tecnologa es una parte cada vez ms importante de nuestra vida laboral, social y personal. Pero tambin este empuje tecnolgico es aprovechado por profesionales de la estafa y el engao ciberntico con lo que es imprescindible la figura de detectives tecnolgicos, expertos informticos y telemticos que asesoren de manera tcnica y profesional y que garanticen los derechos, la privacidad de datos y que brinde una proteccin ante individuos que se amparan ante el anonimato de Internet como es el Perito Telemtico. El Perito Telemtico es un nuevo perfil profesional, que surge de las nuevas tecnologas y que est especializado en Tics, con una demanda al alza debido al aumento de conflictos, tanto privados como aquellos que deben resolverse mediante juicio, en los que intervienen sistemas informticos. Este curso ofrece los conocimientos tcnicos y legales necesarios para ejercer como Perito Telemtico Forense y generar informes periciales con validez legal, en procesos judiciales y extrajudiciales, as como el protocolo pericial y la obtencin de evidencias electrnicas. ANTPJI, ha reunido a expertos relacionados con la pericia de la Telemtico Forense, ofreciendo un curso intensivo, para Especialistas Telemticos que deseen ejercer como Peritos Telemticos, Responsables de Seguridad para conocer el proceso de la Investigacin Forense, Auditores de Seguridad que necesitan aumentar sus conocimientos en la Pericia Investigadora, Consultores Informticos que quieren conocer el proceso de un Dictamen Forense y a cualquier profesional que desea conocer como buscar evidencias con validez judicial o extrajudicial, cuando se ha producido hechos como: un fraude, uso mal intencionado de los ordenadores por empleados o terceros, robo de identidad, correo electrnico, datos personales, nmeros de tarjeta de crdito, bajas fingidas, amenazas o sencillamente se han utilizado datos sensibles o personales para la realizacin de actividades no autorizadas y en muchos casos delictivos. NUEVAS TECNOLOGIAS, NUEVAS PROFESIONES
Una nueva profesin ha nacido al amparo de las nuevas tecnologas con una gran demanda: es la figura del Perito judicial Telemtico. El perito Judicial Telemtico o Perito Auditor Forense es un profesional dotado de conocimientos especializados en materia de las nuevas tecnolgicas, a travs de su capacitacin y experiencia, que suministra informacin u opinin fundada a profesionales, empresas y a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. El es el encargado de analizar los diferentes elementos telemticos, y buscar aquellos datos que puedan constituir la evidencia digital que servir, de manera contundente, para el esclarecimiento del litigio al que ha sido asignado en un proceso legal, solucionando de esta manera los aspectos y conocimientos que el juez o los tribunales no estn obligados de conocer. www.antpji.com Pgina 4

Puede ser nombrado judicialmente y propuesto por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio. Entre sus funciones esta la funcin de asesorar, emitir informes judiciales o extrajudiciales, a partir de sus conocimientos cientficos y tcnicos siendo su papel el de auxiliar de Magistrados, Jueces, Abogados, Tribunales.. y a cuantas personas lo necesiten a travs de sus conocimientos segn lo dispuesto en la leyes. En su carcter de auxiliar de la justicia tiene como tarea primordial la de asesorar al juez respecto a temas relacionados con la informtica. Para ejercer como Perito Judicial Telemtico en Espaa es indispensable una titulacin oficial o por una Asociacin Profesional de Peritos Informticos o Telemticos, reconocida por el Ministerio del Interior como ANTPJI, en la que haya acreditado sus conocimientos y su pericia. Su titulacin le acredita como encargado experto con amplios conocimientos sobre informtica y legalidad para que avale cualquier conocimiento, vestigio, prueba o hecho de cualquier ndole, que pueda ser imputable como delito. Su acreditacin profesional es suficiente para ejercer en los Juzgados y Tribunales espaoles, de conformidad con lo establecido en los artculos 340 y 341 de la LEC y la instruccin 5/2001 de 19 de diciembre del Consejo General del Poder Judicial y el Protocolo de 9 de febrero de 2005, modificada recientemente por el Acuerdo del Pleno del Consejo General del Poder Judicial de 28 de octubre de 2010 sobre la remisin y validez de las listas de Peritos Judiciales remitidas a los Juzgados y Tribunales por las Asociaciones y Colegios Profesionales, publicado en el BOE n 279 de 18 de noviembre de 2010, pgs. 96464 y ss. Cuando un Perito Telemtico es nombrado por un Juez, Magistrado o Administracin, automticamente se convierte en auxiliar de la justicia y debe realizar la funcin pblica de acuerdo con el cargo conferido; de igual manera que la polica judicial y se rigen por las leyes y reglamentos especiales (art. 470 a 480, LOPJ). En el mbito jurdico, el Perito Judicial Telemtico es un profesional nombrado por la autoridad del proceso, a fin de que mediante juicio cientfico-tcnico, dictamine con veracidad e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con hechos o circunstancias, sus causas o efectos, para cuya apreciacin son indispensables conocimientos especializados. El Peritaje Telemtico es aportado en funcin de los conocimientos del Perito Telemtico, la localizacin de las evidencias electrnicas, la metodologa, las herramientas y la aplicacin de su especializacin en la realizacin de todas las pruebas digitales, combinando la auditoria forense y su pericia. El anonimato que da la nube, la pantalla del ordenador y la cantidad de informacin que circula libremente es utilizado por delincuentes que utilizan la tecnologa para facilitar el acometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de que tanto los Cuerpos de Seguridad del Estado, la Polica Judicial, la Fiscala y la los distintos profesionales de la Justicia deban especializarse y capacitarse en estas nuevas reas en donde www.antpji.com Pgina 5

las TICs1 se convierten en herramientas necesarias en auxilio de la Justicia y la persecucin de delito y el delincuente. La obtencin de Informacin digital (evidencias electrnicas) se constituye en una de las facetas tiles dentro del xito de en una investigacin criminal, aspecto que demanda de los Peritos Telemticos encargados de la recoleccin preservacin, anlisis y presentacin de las evidencias digitales una eficaz labor que garantice la autenticidad e integridad de dichas evidencias, a fin de ser utilizadas posteriormente ante el Tribunal. Cada da se va requiriendo ms la figura del Perito Telemtico al proceso judicial, ya que sin duda las nuevas tecnolgicas dominan cada sector, industrial, profesional, personal y su pericia e investigacin en la localizacin de evidencias electrnicas hace ms necesaria su dictamen como valor probatorio de un procedimiento judicial. No hay que olvidar que la prueba dentro del proceso penal es de especial importancia, ya que desde ella se confirma o desvirta una hiptesis o afirmacin precedente, se llega a la posesin de la verdad material. De esta manera se confirmar la existencia de la infraccin y la responsabilidad de quienes aparecen en un inicio como presuntos responsables, todo esto servir para que el Tribunal de Justicia alcance el conocimiento necesario y resuelva el asunto sometido a su conocimiento. El objetivo del Perito Telemtico es la de recuperar los registros y mensajes de datos existentes dentro de un equipo informtico, de tal manera que toda esa informacin digital, pueda ser usada como prueba ante un tribunal. La Administracin de Justicia, est comprobando lo infalible y rpido que resulta la localizacin de las evidencias digitales, que sirven para el esclarecimiento de los caso. El Perito Judicial Telemtico debe tener ciertas cualidades adecuadas para su correcta funcin, entre ellas estn una integridad intachable para determinar neutralmente los hechos sin ninguna preferencia o aficin por ninguna de las partes. Debe poseer un perfil tcnico, con amplios conocimientos legales con una formacin Universitaria en derecho procesal civil, penal, administrativo y laboral que le permitan desarrollar su tarea sin que la misma sea descalificada o impugnada durante su presentacin judicial. Tiene que ser experto y tener conocimientos forenses, de investigacin legal y criminalstica; siendo de vital importancia que est familiarizado con las pruebas electrnicas. La evidencia electrnica (informacin de valor probatorio almacenada o transmitida en forma digital) es una realidad. Actualmente se observa la convergencia de tcnicas de anlisis, estrategias y procedimientos cientficos que se disponen para obtener, revisar, analizar y salvaguardar la exactitud y la confiabilidad de este tipo de evidencia. Se exige adems de la formacin pragmtica y acadmica la adquisicin de habilidad tcnica y cientfica usando un lenguaje cientfico, no cientificista, que permita al profano en esta ciencia comprender el mismo. www.antpji.com Pgina 6

Ante el creciente desarrollo de la criminalidad en medios informticos, es de suma importancia no arrojar ninguna duda sobre los medios probatorios tecnolgicos correspondientes para recoger, analizar y sustentar hiptesis sobre escenarios donde la tecnologa acta como medio o fin para configurar una conducta ilcita. El dictamen del Perito Telemtico, es una declaracin de ciencia que debe sustentarse en reglas probadas, lgicas y verificadas que prevalecen en su cultura cientfico-tcnica, y ha de valerse de los procedimientos tcnicos forenses en medios electrnicos que fortalecen y desarrollan una lnea de investigacin forense en informtica. Las tareas a desarrollar por el perito telemtico no son distintas de la de otros peritos judiciales. Por lo tanto deber recopilar la informacin que es puesta a su disposicin, analizar la misma en busca de los datos que el juez le ha requerido y emitir un informe o dictamen en donde vuelque las conclusiones de la investigacin realizada. Deberes del Perito Telemtico: Aceptar el cargo que le es asignado, colaborar con el resto de los peritos o consultores tcnicos y declarar ante el juez en el caso de que este lo requiera. Fundamentar sus conclusiones tcnicas, expresando claramente los elementos analizados y las tcnicas utilizadas para llegar a las mismas. Respetar el cdigo de tica que le impone su profesin. reas de actuacin de los Peritos Telemticos: Propiedad industrial: Espionaje / Revelacin de secretos. Acceso o copia de ficheros de la empresa, planos, frmulas, costes, Uso de informacin: Competencia desleal de un empleado. Vulneracin de la intimidad. Lectura de correo electrnico. Despido por causas tecnolgicas. Valoraciones de bienes informticos. Interceptacin de telecomunicaciones. Proteccin de datos personales y datos reservados de personas jurdicas. Apoderamiento y difusin de datos reservados. Manipulacin de datos o programas. Valoraciones de bienes informticos. Hardware, redes y componentes (todos los sistemas). Instalaciones y desarrollos llave en mano. Vulneracin de la buena fe contractual. Publicidad engaosa, competencia desleal. Delitos econmicos, monetarios y societarios. Delitos contra el mercado o contra los consumidores. Delitos contra la propiedad intelectual. Uso de de software sin licencia. Piratera. Copia y distribucin no autorizada de programas de ordenador. Daos mediante la destruccin o alteracin de datos. Sabotaje. Estafa, fraudes, conspiracin para alterar el precio de las cosas. Pornografa infantil: acceso o posesin, divulgacin, edicin. Uso indebido de equipos informticos: daos o uso abusivo. Sin duda, El Perito Judicial Telemtico ser el profesional ms demandado por una sociedad cada vez ms tecnolgica y la prueba electrnica es reina en la investigacin criminal actual. ANTPJI, se cre hace seis meses con el objetivo de que los tcnicos en la ciencia de la Informtica valorizaran sus conocimientos, prestando un servicio a la Administracin de Justicia y a la sociedad en general, hoy en da el grupo aglutina a ms de 80 profesionales con presencia en cinco ciudades espaolas y est en cuatro pases. Este tipo de iniciativas empresariales que fomentan el autoempleo, la capacitacin profesional y el auxilio tecnolgico a la sociedad es un ejemplo de cmo quedan aun nichos de mercado sin explotar. Ms informacin en www.antpji.com www.antpji.com Pgina 7

El Perito Judicial Telemtico
El perito Judicial Telemtico o Perito Auditor Forense es un profesional dotado de conocimientos especializados en materia de las nuevas tecnolgicas, a travs de su capacitacin y experiencia, que suministra informacin u opinin fundada a profesionales, empresas y a los tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. El Perito Judicial Telemtico es el encargado de analizar los diferentes elementos informticos, y buscar aquellos datos que puedan constituir la evidencia digital que servir, de manera contundente, para el esclarecimiento del litigio al que ha sido asignado en un proceso legal, solucionando de esta manera los aspectos y conocimientos que el juez o los tribunales no estn obligados de conocer. Puede ser nombrado judicialmente y propuesto por una o ambas partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio. Entre sus funciones esta la funcin de asesorar, emitir informes judiciales o extrajudiciales, a partir de sus conocimientos cientficos y tcnicos siendo su papel el de auxiliar de Magistrados, Jueces, Abogados, Tribunales.. y a cuantas personas lo necesiten a travs de sus conocimientos segn lo dispuesto en la leyes. En su carcter de auxiliar de la justicia tiene como tarea primordial la de asesorar al juez respecto a temas relacionados con la informtica. Para ejercer como Perito Judicial informtico en Espaa es indispensable una titulacin oficial o por una Asociacin Profesional de Peritos Informticos, reconocida por el Ministerio del Interior como ANTPJI, en la que haya acreditado sus conocimientos y su pericia. Su titulacin le acredita como encargado experto con amplios conocimientos sobre informtica y legalidad para que avale cualquier conocimiento, vestigio, prueba o hecho de cualquier ndole, que pueda ser imputable como delito. Su acreditacin profesional es suficiente para ejercer en los Juzgados y Tribunales espaoles, de conformidad con lo establecido en los artculos 340 y 341 de la LEC y la instruccin 5/2001 de 19 de diciembre del Consejo General del Poder Judicial y el Protocolo de 9 de febrero de 2005, modificada recientemente por el Acuerdo del Pleno del Consejo General del Poder Judicial de 28 de octubre de 2010 sobre la remisin y validez de las listas de Peritos Judiciales remitidas a los Juzgados y Tribunales por las Asociaciones y Colegios Profesionales, publicado en el BOE n 279 de 18 de noviembre de 2010, pgs. 96464 y ss. www.antpji.com Pgina 8

Cuando un Perito Informtico es nombrado por un Juez, Magistrado o Administracin, automticamente se convierte en auxiliar de la justicia y debe realizar la funcin pblica de acuerdo con el cargo conferido; de igual manera que la polica judicial y se rigen por las leyes y reglamentos especiales (art. 470 a 480, LOPJ). En el mbito jurdico, el Perito Judicial Informtico es un profesional nombrado por la autoridad del proceso, a fin de que mediante juicio cientfico-tcnico, dictamine con veracidad e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con hechos o circunstancias, sus causas o efectos, para cuya apreciacin son indispensables conocimientos especializados. El Peritaje Informtico es aportado en funcin de los conocimientos del Perito Informtico, la localizacin de las evidencias electrnicas, la metodologa, las herramientas y la aplicacin de su especializacin en la realizacin de todas las pruebas digitales, combinando la auditoria forense y su pericia. El anonimato que da la nube, la pantalla del ordenador y la cantidad de informacin que circula libremente es usado por delincuentes que utilizan la tecnologa para facilitar el cometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de que tanto los Cuerpos de Seguridad del Estado, la Polica Judicial, la Fiscala y la los distintos profesionales de la Justicia deban especializarse y capacitarse en estas nuevas reas en donde las TICs1 se convierten en herramientas necesarias en auxilio de la Justicia y la persecucin de delito y el delincuente. La obtencin de Informacin digital (evidencias electrnicas) se constituye en una de las facetas tiles dentro del xito de en una investigacin criminal, aspecto que demanda de los Peritos Informticos encargados de la recoleccin preservacin, anlisis y presentacin de las evidencias digitales una eficaz labor que garantice la autenticidad e integridad de dichas evidencias, a fin de ser utilizadas posteriormente ante el Tribunal. Cada da se va requiriendo ms la figura del Perito Telemtico al proceso judicial, ya que sin duda las nuevas tecnolgicas dominan cada sector, industrial, profesional, personal y su pericia e investigacin en la localizacin de evidencias electrnicas hace ms necesaria su dictamen como valor probatorio de un procedimiento judicial. No hay que olvidar que la prueba dentro del proceso penal es de especial importancia, ya que desde ella se confirma o desvirta una hiptesis o afirmacin precedente, se llega a la posesin de la verdad material. De esta manera se confirmar la existencia de la infraccin y la responsabilidad de quienes aparecen en un inicio como presuntos responsables, todo esto servir para que el Tribunal de Justicia alcance el conocimiento necesario y resuelva el asunto sometido a su conocimiento. El objetivo del Perito Telemtico es la de recuperar los registros y mensajes de datos existentes dentro www.antpji.com Pgina 9

de un equipo informtico, de tal manera que toda esa informacin digital, pueda ser usada como prueba ante un tribunal. La Administracin de Justicia, est comprobando lo infalible y rpido que resulta la localizacin de las evidencias digitales, que sirven para el esclarecimiento de los caso. El Perito Judicial Telemtico debe tener ciertas cualidades adecuadas para su correcta funcin, entre ellas estn una integridad intachable para determinar neutralmente los hechos sin ninguna preferencia o aficin por ninguna de las partes. Debe poseer un perfil tcnico, con amplios conocimientos legales con una formacin Universitaria en derecho procesal civil, penal, administrativo y laboral que le permitan desarrollar su tarea sin que la misma sea descalificada o impugnada durante su presentacin judicial. Tiene que ser experto y tener conocimientos forenses, de investigacin legal y criminalstica; siendo de vital importancia que est familiarizado con las pruebas electrnicas. La evidencia electrnica (informacin de valor probatorio almacenada o transmitida en forma digital) es una realidad. Actualmente se observa la convergencia de tcnicas de anlisis, estrategias y procedimientos cientficos que se disponen para obtener, revisar, analizar y salvaguardar la exactitud y la confiabilidad de este tipo de evidencia. Se exige adems de la formacin pragmtica y acadmica la adquisicin de habilidad tcnica y cientfica usando un lenguaje cientfico, no cientificista, que permita al profano en esta ciencia comprender el mismo. Ante el creciente desarrollo de la criminalidad en medios informticos, es de suma importancia no arrojar ninguna duda sobre los medios probatorios tecnolgicos correspondientes para recoger, analizar y sustentar hiptesis sobre escenarios donde la tecnologa acta como medio o fin para configurar una conducta ilcita. El dictamen del Perito Judicial Telemtico, es una declaracin de ciencia que debe sustentarse en reglas probadas, lgicas y verificadas que prevalecen en su cultura cientfico-tcnica, y ha de valerse de los procedimientos tcnicos forenses en medios electrnicos que fortalecen y desarrollan una lnea de investigacin forense en informtica. Las tareas a desarrollar por el perito informtico no son distintas de la de otros peritos judiciales. Por lo tanto deber recopilar la informacin que es puesta a su disposicin, analizar la misma en busca de los datos que el juez le ha requerido y emitir un informe o dictamen en donde vuelque las conclusiones de la investigacin realizada.
Derechos y deberes del Perito Telemtico

Derechos El perito tiene el derecho bsico de cobrar honorarios por la elaboracin del dictamen, conforme al arancel correspondiente, en su caso. El tema se resuelve de manera satisfactoria en la nueva regulacin del proceso civil ya que, frente a la situacin anterior, se prev, de un lado, quin deber abonar los honorarios del perito designado por el juez y, de otro, la
www.antpji.com
Pgina 10

necesidad de que se realice provisin de fondos al perito nombrado. De esta forma se resuelve el problema prctico de la adecuada y tempestiva remuneracin de los peritos (Exposicin de Motivos de la Ley de Enjuiciamiento Civil, apdo XI). De esta forma, el dictamen que emita el perito de designacin judicial ser a costa de quien lo haya pedido, sin perjuicio de lo que se pueda acordar posteriormente en materia de costas (art. 339.2.1 LEC). Cuando ambas partes lo hubieran pedido inicialmente, el juez podr designar, si se muestran conformes, un nico perito que emita el informe solicitado. En tal caso, el abono de los honorarios del peritos corresponder a ambos litigantes por partes iguales, sin perjuicio de lo que pudiera acordarse en materia de costas (art. 339.2.3 LEC). Por tanto, de acuerdo con el art. 241 LEC, las costas y gastos del proceso se irn pagando a medida que se vayan produciendo; todo ello sin perjuicio del derecho que le asiste de repercutir esos gastos en la parte contraria, una vez firme la resolucin judicial que ponga fin al proceso a travs del procedimiento de apremio, previa su tasacin. En lo que se refiere a la provisin de fondo, sta podr ser solicitada, a cuenta de la liquidacin final, por los peritos de designacin judicial en el plazo de los tres das siguientes a su nombramiento. El tribunal decidir sobre la provisin solicitada y ordenar a la parte o partes que hubieren propuesto la prueba pericial y no tuviesen derecho a la asistencia jurdica gratuita, que procedan a abonar la cantidad fijada en la cuenta de Depsitos y Consignaciones del tribunal en el plazo de cinco das. Transcurrido dicho plazo si no se hubiere procedido al depsito, el perito quedar eximido de emitir el dictamen (art. 342.3 LEC). Deberes El deber primordial de los peritos es el de elaborar y emitir el dictamen correctamente, es decir, aplicando cientficamente los conocimientos profesionales y que se requieren para el caso concreto, deber que no se expresaba en la ley anterior (simplemente se aluda a que emitiesen el dictamen bien, fielmente y dentro del plazo establecido por el juez) pero que se recoge en la nueva ley procesal en la que se alude a la obligacin de prestar juramento o promesa de decir verdad y de actuar con la mayor objetividad posible, tomando en consideracin tanto lo que pueda favorecer como lo que pueda perjudicar a cualquiera de la partes (art. 335.2 LEC) y que se deriva tambin del rgimen de responsabilidad que examinaremos con detenimiento a continuacin. Para ello tienen la obligacin previa de comparecer en juicio y as, acto seguido, jurar o prometer decir verdad, indicando que va a actuar o que ha actuado con la mayor objetividad posible, manifestando que conoce las sanciones penales previstas para el caso de incumpliendo de este deber. De esta forma, una vez designado el perito por el juez y hecho el correspondiente llamamiento, tiene obligacin de comparecer para aceptar el cargo, salvo que concurra justa causa que deber ser alegada en ese momento (art. 342.2 LEC). Solamente cuando el motivo de la causa sea aceptado por el juez, quedar el perito relevado de su obligacin de aceptar el nombramiento. Por ltimo, no siempre ser necesario proceder a la ratificacin posterior del dictamen pericial presentado puesto que la presencia del perito en el juicio queda al criterio del rgano judicial, www.antpji.com Pgina 11

pudiendo hacer peticiones en ese sentido las partes (arts. 337.2 y 346 LEC), si bien, el rgano judicial puede acordar en todo caso mediante providencia que considera necesaria la presencia del perito en el juicio o la vista para comprender y valorar mejor el dictamen realizado (art. 346 LEC). En estos casos, cuando se considere necesaria la intervencin del perito, ste estar obligado a comparecer en el da sealado para la celebracin del acto del juicio en el procedimiento ordinario o la vista del juicio verbal, salvo que le resulte imposible por causa mayor u otro motivo de anloga entidad, en cuyo caso deber manifestarlo as al juez (art. 183.1 LEC). Si el juez acepta la excusa, decidir, previa audiencia de las partes, si deja sin efecto el sealamiento del juicio o de la vista y efecta otro nuevo, o si cita al perito para la prctica de la actividad probatoria fuera del juicio o vista (arts. 183.4 y 430 LEC). Por el contrario, si el juez no considera debidamente acreditada o suficiente la excusa del perito, mantendr el sealamiento del juicio o vista y se lo har saber a travs de la correspondiente notificacin, al tiempo que le requiere para comparecer, bajo apercibimiento de proceder contra l por desobediencia al a autoridad judicial (arts. 183.4 y 292 LEC). A esto se aade adems que si el juez, en el momento de resolver sobre la suficiencia de la excusa del perito aprecia que ste actu con dilacin injustificada o sin fundamento, podr imponerle una multa de hasta cien mil pesetas (art. 183.5 LEC). Los funcionarios pblicos que hayan accedido a un cuerpo o escala del grupo A en su condicin Perito Judicial, estarn exceptuados de obtener el ttulo de Perito Judicial de los Tribunales de Justicia a los efectos descritos en el artculo 1 de este proyecto de Ley. 2. La actuacin del personal contratado y al servicio de las Administraciones Pblicas o entidades pblicas ante juzgados y Tribunales en el desempeo de las funciones propias del cargo del Perito Judicial, se regir por lo dispuesto en este proyecto de ley (servicios de asistencia tcnica contratada mediante Ley de Contrataciones Pblicas al amparo del REAL DECRETO LEGISLATIVO 2/2000, de 16 de junio). Disposicin adicional cuarta. Adaptacin de las normas colegiales a lo previsto en esta ley. Los colegios profesionales de Peritos Judiciales que puedan crearse adaptarn su normativa a lo previsto por esta ley. Disposicin adicional quinta. Accesibilidad. Al objeto de favorecer el acceso de las personas con discapacidad a las profesiones de Perito Judicial, en el diseo y realizacin de los cursos y evaluaciones a que se refiere el artculo 2.2 del presente proyecto de Ley, se tendrn en cuenta criterios de accesibilidad. Disposicin adicional sexta. Consejos autonmicos. Las referencias al Consejo General de Peritos Judiciales, o a sus respectivos Estatutos, contenidas en el articulado de la Ley, se entendern hechas, en su caso, a los respectivos Consejos autonmicos o a su normativa reguladora, de conformidad con lo que disponga la legislacin aplicable. Disposicin adicional sptima. Especialista en Pericia Judicial. A los efectos de la presente Ley, la referencia a la especializacin de 2 grado se entender hecha a la Licenciatura de las diferentes especialidades, cuando as corresponda. Disposicin transitoria nica. Profesionales colegiados o asociados a la entrada en vigor de la exigencia de ttulo profesional.
www.antpji.com
Pgina 12

1. Los ttulos profesionales regulados en esta norma no sern exigibles a quienes ya estn en posesin de algn ttulo universitario de 2 grado en la especialidad de Pericia Judicial y estuvieran incorporados algn Colegio o Asociacin profesional en el momento de la entrada en vigor de la presente ley. 2. Los ttulos profesionales regulados en esta Ley tampoco sern exigibles a quienes, sin estar incorporados a un Colegio o Asociacin profesional a su entrada en vigor, hubieran estado incorporados antes de su entrada en vigor como ejercientes durante un plazo continuado o discontinuo no inferior en su cmputo total a un ao, siempre que concurran en los dems requisitos de acceso y procedan a colegiarse antes de volver a ejercer como tales, y no hubieran causado baja por sancin disciplinaria. Disposicin final primera. Ttulo competencial. Las disposiciones contenidas en esta ley, dictadas al amparo del artculo 149.1. Ia, 6a y 30a de la Constitucin Espaola y la Ley Orgnica 5/1980, de 19 de junio, por la que se regula el Estatuto de Centros Escolares, en el nmero dos, apartado b) de la disposicin adicional establecen entre las competencias del Estado la de regular las condiciones para la obtencin, expedicin y homologacin de los ttulos acadmicos y profesionales no universitarios, con validez en todo el territorio espaol. Disposicin final segunda. Habilitacin reglamentaria. Se faculta al Gobierno, al Ministro de Justicia, al Ministro de Educacin y Ciencia y a los titulares de los Departamentos ministeriales competentes para dictar cuantas disposiciones reglamentarias fueran necesarias para el desarrollo y ejecucin de la presente ley. Disposicin final tercera. Entrada en vigor de esta ley. Esta Ley entrara en vigor transcurrido 1 ao desde su publicacin en el Boletn Oficial del Estado.
reas de actuacin de los Peritos Telemticos

Propiedad industrial: Espionaje / Revelacin de secretos. Acceso o copia de ficheros de la empresa, planos, frmulas, costes, Uso de informacin: Competencia desleal de un empleado. Vulneracin de la intimidad. Lectura de correo electrnico. Despido por causas tecnolgicas. Valoraciones de bienes informticos y Telemticos. Interceptacin de telecomunicaciones. Proteccin de datos personales y datos reservados de personas jurdicas. Apoderamiento y difusin de datos reservados. Manipulacin de datos o programas. Valoraciones de bienes informticos. Hardware, redes y componentes (todos los sistemas). Instalaciones y desarrollos llave en mano. Vulneracin de la buena fe contractual. Publicidad engaosa, competencia desleal. www.antpji.com Pgina 13

Delitos econmicos, monetarios y societarios. Delitos contra el mercado o contra los consumidores. Delitos contra la propiedad intelectual. Uso de de software sin licencia. Piratera. Copia y distribucin no autorizada de programas de ordenador. Daos mediante la destruccin o alteracin de datos. Sabotaje. Estafa, fraudes, conspiracin para alterar el precio de las cosas Pornografa infantil: acceso o posesin, divulgacin, edicin Uso indebido de equipos informticos: daos o uso abusivo.
Sin duda, El Perito Judicial Telemtico, ser el profesional ms demandado por una sociedad cada vez ms tecnolgica y la prueba electrnica es reina en la investigacin criminal actual.
Capacitacin Profesional del Perito Judicial en los Tribunales de Espaa

La regulacin del rgimen de acceso a la profesin del Perito Judicial en Espaa es una exigencia derivada del artculo 9.3, 24 y 103 de la Constitucin Espaola: estos profesionales son Auxiliares (operadores tcnico-jurdicos) fundamentales de la justicia, y la calidad del servicio que prestan redunda directamente en la tutela judicial efectiva que nuestra Constitucin garantiza a la ciudadana (Segn el art.24 CE). La experiencia del Derecho comparado muestra que la actuacin ante los Tribunales de Justicia y las dems actividades de Auxilio y asistencia jurdica requieren una acreditacin previa de una capacitacin profesional especfica que va ms all de la obtencin de una simple diplomatura o titulacin universitaria. Ello justifica la regulacin de una especializacin profesional complementaria al ttulo universitario en una materia determinada, exigible para desarrollar la actividad de "Perito Judicial" como un operador ms, asiente o auxiliar de la justicia ad hoc utilizando la denominacin de "Perito Judicial"; exigible para actuar ante los Tribunales de Justicia en calidad de tal. En una Europa que camina hacia una mayor integracin, se hace imprescindible la homologacin de esta profesin jurdica, en orden a garantizar la fluidez en la circulacin y el establecimiento de profesionales, uno de los pilares del mercado nico que constituye base esencial de la Unin Europea. Son profesiones aquellas que se caracterizan por la aplicacin de conocimientos y tcnicas propias de una ciencia o rama del saber para el ejercicio de las cuales es necesario estar en posesin de conocimientos tcnicos especficos y, en su caso, cumplir otras condiciones habilitadoras establecidas por la ley. PROFESIN: (Real Academia Espaola) Empleo, facultad u oficio que alguien ejerce y por el que percibe una retribucin.
www.antpji.com
Pgina 14

Teniendo en cuenta que la necesaria capacitacin profesional de estos operadores jurdicos (Peritos Judiciales) en el ejercicio de sus funciones deben garantizar la tutela judicial efectiva, esto ha sido una reivindicacin constante de los representantes profesionales en algunos de los Congresos celebrados por los Peritos Judiciales .El reconocimiento a efectos profesionales de la formacin prctica adicional al ttulo profesional en una especialidad permite coordinar e integrar el proceso con el sistema de estudios universitarios, con el que, sin embargo, y con pleno respeto a la autonoma universitaria y a su regulacin sectorial, no se interfiere. Ahora bien, tal y como prev ya la regulacin universitaria, no puede prescindirse en este caso del establecimiento de criterios a los que debern sujetarse los estudios universitarios a los efectos de posibilitar el acceso a la obtencin de los ttulos profesionales que se regulan segn la actual ley de titulaciones universitarias (Ley Orgnica 6/2001, de 21 de Diciembre, de Universidades; art. 1.2 apartados a,b,c y 34.3). A tal fin es necesaria una acreditacin de los contenidos formativos conjuntamente por el Ministerio de Justicia y el Ministerio de Educacin y Ciencia (Real Decreto 1564/1982, de 18 de junio, Art. 3, 4 y 5 por el que se regulan las condiciones para la obtencin, expedicin y homologacin de los ttulos acadmicos y profesionales no universitarios), con la decisiva exigencia de prcticas externas, profesorado especialmente cualificado para la imparticin de esta formacin especfica de contenido prctico, etc. Por otra parte, el modelo no puede obviar la realidad de la existencia de numerosas y prestigiosas Escuelas de Prctica Jurdica para Peritos, cuya integracin en el sistema descrito se produce por su necesario concierto con las Universidades. (Actualmente Universidad de Alcal de Henares y la Universidad Autnoma de Barcelona, estn impartiendo titulaciones especficas).En todo caso, para garantizar de forma objetiva la capacitacin profesional del "Especialista en Pericia Judicial" as formado, se incluye al final del perodo formativo Prctico una evaluacin de naturaleza general, creando a tal fin una Comisin plural con importante representacin de los sectores universitarios y profesionales afectados. Entrando ya en el anlisis del articulado, cabe destacar que se regula el ttulo acreditativo de aptitud profesional, "Perito Judicial de los Tribunales de Justicia"(Al igual que el de Procurador de los Tribunales de Justicia). La Ley no interfiere, ms all de constituir estos ttulos, en los presupuestos de ejercicio profesional con los de cualquier otra titulacin oficial. Como establece el captulo II, la formacin que nos ocupa podr ser impartida por las Universidades, si bien no puede olvidarse que estamos ante un ttulo profesional, de manera que, como ya se ha indicado, a efectos de admitir los correspondientes programas de estudios como suficientes para la capacitacin profesional, y sin que ello interfiera en su validez acadmica, stos cursos sern acreditados conjuntamente por el Ministerio de Justicia y el Ministerio de Educacin y Ciencia. Ello otorga una gran flexibilidad al modelo y respeta al mximo la autonoma universitaria, pues permite que las Universidades decidan qu configuracin tendrn estos estudios en cada, sin interferir en la posibilidad de que, adems las Universidades organicen otros estudios jurdicos de postgrado con la validez acadmica que les otorgue la normativa sectorial vigente. Asimismo se reconoce la validez de la formacin prctica impartida en las Escuelas de Formacin y Prctica Jurdica de Peritos Judiciales y dems centros que puedan ser homologados por las Corporaciones profesionales, dentro de los convenios antes referidos, como reconocimiento a la labor de preparacin de los profesionales. En cuanto a la evaluacin www.antpji.com Pgina 15

final se refiere, si bien la misma, para garantizar la objetividad, ser nica en todo el territorio nacional, razones de operatividad aconsejan su descentralizacin, con la creacin de una comisin evaluadora para el territorio de cada Comunidad Autnoma donde tengan su sede los Centros que impartan esta formacin prctica. En cuanto a las Disposiciones que complementan el texto, debe destacarse el establecimiento de un periodo de "vacatio legis" para la entrada en vigor de esta norma, durante el que no se exigirn el ttulo profesional de Perito Judicial de los tribunales para colegiarse y ejercer la respectiva profesin, valorndose la experiencia adquirida en el ejercicio de su actividad mediante certificado por Secretario Judicial de los procedimientos en que ha intervenido en los ltimos 5 aos como mnimo. Asimismo, se ha resuelto la cuestin de aquellos que ejercen la Pericia Forense desde otra funcin para cuyo desempeo han superado pruebas selectivas acreditativas de capacitacin jurdica, respecto de los cuales carecera de sentido someterlos a un proceso formativo y a una evaluacin reiterativa si deciden pasar a desempear la profesin del Perito Judicial. La competencia estatal est amparada en el artculo 14, 149.1. 1.a, 6.a y 30.a de la Constitucin, por lo que las previsiones de esta Ley sern de aplicacin en todo el territorio nacional. Los Peritos Judiciales son Auxiliares fundamentales en la imparticin de justicia, y la calidad del servicio que prestan redunda directamente en la tutela judicial efectiva que nuestra Constitucin garantiza a la ciudadana. Complementando lo ya dispuesto al efecto en la Ley Orgnica 6/1985, de 1 de julio, del Poder Judicial, y en la Ley 1/1996, de 10 de enero, de Asistencia Jurdica Gratuita, que consagran la funcin del perito judicial, a los que reserva su actuacin, de modo que a los mismos corresponde garantizar la asistencia al ciudadano mediante la prueba pericial en el proceso, de forma obligatoria cuando as lo exija la norma procesal y, en todo caso, como derecho a la defensa expresamente reconocido por la Constitucin. La intervencin del Perito Judicial, conforme al concepto amplio de tutela judicial efectiva. 2. La experiencia del Derecho comparado muestra que la actuacin ante los tribunales de justicia y las dems actividades de asistencia tcnica jurdica requieren la acreditacin previa de una capacitacin profesional que va ms all de la obtencin de una titulacin universitaria. Ello justifica la regulacin de un ttulo profesional complementario al ttulo universitario de una ciencia determinada: el ttulo profesional de Perito Judicial, exigible para prestar asistencia jurdica utilizando la denominacin de Perito Judicial de los tribunales de justicia; exigible para actuar ante los tribunales en calidad de tal. 3. La obtencin del ttulo profesional de Perito Judicial de los tribunales de justicia en la forma determinada por este estudio de proposicin de proyecto de Ley es necesaria para el desempeo de la asistencia Tcnica en aquellos procesos judiciales y extrajudiciales en los que la normativa vigente imponga o faculte la intervencin del Perito Judicial y/o extrajudicial y, en todo caso, para prestar asistencia o asesoramiento en derecho utilizando la denominacin de Perito Judicial; todo ello sin perjuicio del cumplimiento de cualesquiera otros requisitos exigidos por la normativa vigente para el ejercicio de la Pericia Forense. 4. La obtencin del ttulo profesional de Perito Judicial de los tribunales de justicia en la forma determinada por esta Ley es necesaria para desempear la representacin legal de las partes en los procesos judiciales en calidad de Perito Judicial, realizando los actos de cooperacin con la Administracin de Justicia que la ley les autorice, as como para utilizar la denominacin de Perito judicial, sin perjuicio del cumplimiento de www.antpji.com Pgina 16

cualesquiera otros requisitos exigidos por la normativa vigente para la actuacin ante los tribunales de justicia. 5. La obtencin de los ttulos profesionales de Perito Judicial de los tribunales de justicia ser requisito imprescindible para la colegiacin en los correspondientes Colegios profesional que puedan crearse para tal fin. Artculo 2. Acreditacin de aptitud profesional. 1. Tendrn derecho a obtener el ttulo profesional de Perito Judicial de los tribunales de justicia, las personas que se encuentren en posesin de algn ttulo universitario de segundo grado como "Especialista Universitario en Pericia Judicial" , o del Ttulo de Grado que lo sustituya de acuerdo con las previsiones contenidas en los artculos 34.3, 38 y 88 de la Ley Orgnica 6/2001, de 21 de diciembre de Universidades y su Normativa de desarrollo y que acrediten su capacitacin profesional mediante la superacin de la correspondiente formacin especializada y la evaluacin regulada por esta Ley. La formacin especializada necesaria para poder acceder a las evaluaciones conducentes a la obtencin de estos ttulos es una formacin reglada y de carcter oficial que se adquirir a travs de la realizacin de cursos de formacin acreditados conjuntamente por el Ministerio de Justicia y el Ministerio de Educacin y Ciencia a travs del procedimiento que reglamentariamente se establezca. 3. Los ttulos profesionales regulados en esta ley sern expedidos por el Ministerio de Justicia y/o de Educacin y Ciencia ((Real Decreto 1564/1982, de 18 de junio, Art. 3, 4 y 5 por el que se regulan las condiciones para la obtencin, expedicin y homologacin de los ttulos acadmicos y profesionales no universitarios). Real Decreto 942/2003, de 18 de julio, por el que se determinan las condiciones bsicas que deben reunir las pruebas para la obtencin de los ttulos de Tcnico y Tcnico Superior de Formacin Profesional Especfica. La Ley Orgnica 5/2002, de 19 de junio, de las Cualificaciones y de la Formacin Profesional, establece en su artculo 8 que los ttulos de formacin profesional tienen carcter oficial y validez en todo el territorio nacional y que acreditan las correspondientes cualificaciones profesionales a quienes los hayan obtenido. Asimismo establece, que la evaluacin y la acreditacin de las competencias profesionales adquiridas a travs de la experiencia laboral o de vas no formales de formacin, tendr como referente el Catlogo Nacional de Cualificaciones Profesionales y que el reconocimiento de las competencias profesionales as evaluadas, cuando no completen las cualificaciones recogidas en algn ttulo de formacin profesional, se realizar a travs de una acreditacin parcial acumulable con la finalidad, en su caso, de completar la formacin conducente a la obtencin del correspondiente ttulo. Los cursos de formacin para Peritos Judiciales podrn ser organizados e impartidos por Universidades pblicas o privadas, Escuelas de Prctica Jurdica y otros centros de formacin prctica profesional. 2. Todos estos centros debern establecer al efecto los convenios a los que se hace referencia en el presente captulo. Artculo 4. Formacin Universitaria. 1. Los cursos de formacin para "Peritos Judiciales" podrn ser organizados e impartidos por Universidades pblicas o privadas, de acuerdo con la normativa reguladora de la enseanza universitaria de postgrado (art. 34.3 Ley Orgnica de Universidades) y, en su caso, www.antpji.com Pgina 17

dentro del rgimen de precios pblicos, y debern ser acreditados, a propuesta de stas (81.3.c. de la Ley Orgnica 6/2001, de 21 de diciembre). Esta acreditacin se otorgar sin perjuicio de las autorizaciones y aprobaciones exigidas por la normativa educativa a los efectos de la validez y titulacin acadmica de los referidos cursos. 2. Constituirn requisitos indispensables para la acreditacin de los referidos cursos que stos comprendan la realizacin de un periodo de prcticas externas en los trminos del artculo 6, y que incluyan la realizacin de la evaluacin regulada en el captulo III. 3. Reglamentariamente se establecer el procedimiento y los requisitos que debern cumplir tales cursos para su acreditacin peridica en lo referente a su contenido y duracin, as como a la titulacin y cualificacin del profesorado, de modo que quede garantizada la presencia de la mitad, al menos, de profesionales colegiados. La duracin de los cursos ser de un mnimo de 27 crditos (Ttulo de Especialista), ms los crditos necesarios para la realizacin de las prcticas externas referidas en el artculo 6. Artculo 5. Escuelas concertadas de prctica jurdica y otras enseanzas. 1.Las Escuelas de Prctica Jurdica que puedan crearse por los Colegios o Asociaciones de reconocido prestigio de Peritos Judiciales que hayan sido homologados por el Consejo General de Peritos Judiciales conforme a su normativa reguladora podrn organizar e impartir cursos que permitan acceder a la evaluacin regulada en el artculo 7, siempre que los citados cursos sean acreditados por los Ministerios de Justicia y/o de Educacin y Ciencia en la forma que reglamentariamente se determine. 2. Tambin podrn impartir cursos que permitan acceder a la evaluacin regulada en el artculo 7 otros centros de formacin prctica profesional para Titulados en Especialistas en Pericia Judicial por distintas Universidades, siempre que los citados cursos sean acreditados conjuntamente por los Ministerios de Justicia y/o de Educacin y Ciencia en la forma que reglamentariamente se determine. 3. Para que se pueda proceder a la acreditacin y reconocimiento de sus cursos a los efectos de la determinacin de su programa, contenido, profesorado y dems circunstancias, las Escuelas de prctica jurdica y otros centros referidos en este artculo debern haber celebrado un convenio con una Universidad, pblica o privada, por el que se garantice el cumplimiento de las exigencias generales previstas en el artculo 4 para los cursos de formacin. Asimismo, debern prever la realizacin de un periodo de prcticas externas en Pericia Jurdica, segn estn orientados a la formacin profesional de los Peritos Judiciales, en los trminos del artculo siguiente, y la realizacin de la evaluacin regulada en el captulo III. Artculo 6. Prcticas externas. 1. Las prcticas externas en actividades propias del ejercicio profesional del Perito Judicial, con los requisitos que reglamentariamente se determinen, debern constituir un tercio, como mximo, del contenido formativo de los cursos a que se refieren los artculos precedentes, quedando como parte integrante de los mismos. En ningn caso implicarn relacin laboral o de servicios. www.antpji.com Pgina 18

2. Las prcticas se realizarn bajo la tutela de un Perito Judicial, segn se dirijan a la formacin para el ejercicio de la Pericia judicial. Los tutores sern Peritos Judiciales con un ejercicio profesional superior a cinco aos. Los respectivos Estatutos Generales del Perito Judicial reglamentarn los dems requisitos para el desempeo de la tutora, as como los derechos y obligaciones del tutor, cuya infraccin dar lugar a responsabilidad disciplinaria. 3. En los supuestos regulados en los artculos 4 y 5.2, deber haberse celebrado un convenio entre la Universidad o Centro formativo y al menos un Colegio Profesional o Asociacin de reconocido prestigio de Peritos Judiciales, que establezca la fijacin del programa de prcticas y la designacin de los correspondientes tutores, el nmero mximo de alumnos que podr asignarse a cada tutor, los lugares o instituciones donde se efectuarn las prcticas, as como los mecanismos de control del ejercicio de stas, dentro de los requisitos fijados reglamentariamente.
Acreditacin de la capacitacin profesional

Artculo 7. Evaluacin. 1. La evaluacin de la aptitud profesional, que culmina el proceso de capacitacin profesional, tiene por objeto acreditar, de modo objetivo, formacin prctica suficiente para el ejercicio de la profesin de Perito Judicial, as como el conocimiento de las respectivas normas deontolgicas y profesionales. Las comisiones para la evaluacin de la aptitud profesional sern convocadas por el Ministerio de Justicia y/o el Ministerio de Educacin y Ciencia, odas las Comunidades Autnomas, el Consejo de Coordinacin Universitaria y el Consejo General de Peritos Judiciales. Reglamentariamente se establecer la composicin de la comisin evaluadora para el acceso a Perito Judicial de los tribunales de Justicia, que sern nicas para los cursos realizados en el territorio de una misma Comunidad Autnoma, asegurando la participacin en ellas de representantes del Ministerio de Justicia y/o del Ministerio de Educacin y Ciencia, y de miembros designados a propuesta de la respectiva Comunidad Autnoma. Tanto la evaluacin para el acceso profesional del Perito Judicial tendr contenido nico para todo el territorio espaol en cada convocatoria. 4. Reglamentariamente se determinar el procedimiento por el cual el Ministerio de Justicia fijar el contenido concreto de cada evaluacin, con participacin de las Universidades organizadoras de los cursos, del Consejo General de los Perito Judiciales Espaoles. 5. Las convocatorias tendrn una periodicidad mnima anual y no podrn establecer un nmero limitado de plazas. 6. Reglamentariamente se regular el procedimiento de convocatoria, lugares y forma de celebracin de la evaluacin, publicacin y comunicacin de los resultados y dems requisitos necesarios para su realizacin. Asimismo, se regularn los programas y sistema de evaluacin, de los Peritos Judiciales, de acuerdo con la capacitacin necesaria para el desempeo de la profesin. Disposicin adicional primera. Libertad de establecimiento. El ejercicio permanente en Espaa de la profesin del Perito Judicial con ttulo profesional obtenido en otro Estado miembro de la Unin Europea o del Acuerdo sobre el Espacio www.antpji.com Pgina 19

Econmico Europeo se regular por su legislacin especfica. Disposicin adicional segunda. Informe en Derecho. Lo previsto en esta Ley no constituye obstculo para que los peritos Licenciados o Graduados en alguna ciencia o prctica sin ttulo profesional de Perito Judicial de los tribunales de Justicia puedan informar jurdicamente en aquellos supuestos en que no est legalmente reservado al Perito Judicial de los tribunales de Justicia. 2. Dichos peritos Licenciados, Graduados o Diplomados podrn inscribirse como tales Licenciados, Graduados o Diplomados como especialistas en Pericia Judicial en los Colegios de Peritos Judiciales en los trminos que debern establecerse en el Estatuto General del Perito Judicial.
Derecho Informtico
Aspectos legales y jurdicos del Perito Judicial
Contexto legal del perito

Como en cualquier estudio legal que a la ley espaola se refiera, en primer lugar debemos acudir, a la carta magna, nuestra constitucin del ao 1978, en esta constitucin nos encontramos, en lo referente al proceso judicial, el artculo 24, que hace referencia a la tutela judicial efectiva y dice as: Artculo 24. 1. Todas las personas tienen derecho a obtener la tutela efectiva de los jueces y tribunales en el ejercicio de sus derechos e intereses legtimos, sin que, en ningn caso, pueda producirse indefensin. 2. Asimismo, todos tienen derecho al Juez ordinario predeterminado por la Ley, a la defensa y a la asistencia de letrado, a ser informados de la acusacin formulada contra ellos, a un proceso pblico sin dilaciones indebidas y con todas las garantas, a utilizar los medios de prueba pertinentes para su defensa, a no declarar contra s mismos, a no confesarse culpables y a la presuncin de inocencia. En lo que afecta al tema que estamos tratando hoy debemos fijarnos en la siguiente expresin: a utilizar los medios de prueba pertinentes para su defensa. Es aqu donde nuestro ordenamiento jurdico otorga calidad de derecho fundamental a la tutela judicial efectiva, y como parte integrante de la misma al derecho a presentar los medios de prueba pertinentes para la defensa de sus intereses. Como medio de prueba relevante en este da nos encontramos con la prueba pericial, como uno de los medios probatorios, junto con muchos otros, para la estrategia procesal de defensa o acusacin. Una vez visto el marco constitucional debemos establecer ahora cuales son las leyes que regulan de forma ms especifica la figura del perito judicial. www.antpji.com Pgina 20

As tenemos que hacer parada obligatoria en la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, que regula la figura del perito judicial y la pericia, entre sus artculos 340 y 352. Del mismo modo debemos recalar en la Ley de enjuiciamiento Criminal, que regula el informe pericial entre sus artculos 456 a 485. La diferencia entre las leyes de enjuiciamiento civil y criminal es el mbito de cada una de ellas. Mientras que la ley de enjuiciamiento criminal se dedica a lo que conocemos como derecho penal, es decir su mbito de accin es el Cdigo Penal, las faltas y delitos que un individuo puede cometer y que, en ltima instancia, pueden llevarle a prisin, la Ley de Enjuiciamiento civil, se dedica por el contrario al mbito civil, o lo que es lo mismo, a aquellos conflictos entre particulares, ya sean personas fsicas o jurdicas, que no constituyen ninguna falta o delito pero que si pueden conllevar responsabilidades de otro tipo, en especial dinerarias.
Qu es un Perito?
El perito judicial o perito forense es un profesional dotado de conocimientos especializados y reconocidos, a travs de sus estudios superiores, que suministra informacin u opinin fundada a los juzgados o tribunales de justicia sobre los puntos litigiosos que son materia de su dictamen. En concreto la Ley de Enjuiciamiento Civil, en su artculo 340, exige en referencia a los peritos, las siguientes condiciones: Los peritos debern poseer el ttulo oficial que corresponda a la materia objeto del dictamen y a la naturaleza de ste. Si se tratare de materias que no estn comprendidas en ttulos profesionales oficiales, habrn de ser nombrados entre personas entendidas en aquellas materias. Podr asimismo solicitarse dictamen de Academias e instituciones culturales y cientficas que se ocupen del estudio de las materias correspondientes al objeto de la pericia. Tambin podrn emitir dictamen sobre cuestiones especficas las personas jurdicas legalmente habilitadas para ello. Mientras que la Ley de Enjuiciamiento Criminal, mucho ms escueta, nos dice que podrn ser peritos tanto aquellos que tienen un ttulo oficial como los que no, si bien los primeros tendrn preferencia sobre los segundos.
Cundo se nombrar a un perito?

Se nombrar a un perito, en un procedimiento civil, cuando sean necesarios conocimientos cientficos, artsticos, tcnicos o prcticos para valorar hechos o circunstancias relevantes en el asunto o adquirir certeza sobre ellos, las partes podrn aportar al proceso el dictamen de peritos que posean los conocimientos correspondientes o solicitar, en los casos previstos en la ley, que se emita dictamen por perito designado por el tribunal. Mientras que en un procedimiento penal el Juez acordar el informe pericial cuando, para conocer o apreciar algn hecho o circunstancia importante en el sumario, fuesen necesarios o convenientes conocimientos cientficos o artsticos. www.antpji.com Pgina 21

Como podemos ver el perito suministra al juez el peritaje u opinin fundada de una persona especializada en determinadas ramas del conocimiento que el juez no est obligado a dominar, a efecto de suministrarle argumentos o razones para la formacin de su convencimiento.
El procedimiento de solicitud de un perito

El procedimiento de peritaje puede iniciarse de dos formas: 1. De oficio: En cuyo caso el juez o tribunal es quien considera necesaria la intervencin de uno o varios peritos. Bien sea a iniciativa propia o porque una de las partes le solicite que lo haga. 2. A instancia de parte: Cuando una de las partes interesadas en el proceso es quien aporta el informe pericial. En el procedimiento civil el informe pericial a instancia de parte puede presentarse en el mismo momento de la demanda. De esta forma los dictmenes de que los litigantes dispongan, elaborados por peritos por ellos designados, y que estimen necesarios o convenientes para la defensa de sus derechos, habrn de aportarlos con la demanda o con la contestacin, si sta hubiere de realizarse en forma escrita. Los dictmenes se formularn por escrito, acompaados, en su caso, de los dems documentos, instrumentos o materiales adecuados para exponer el parecer del perito sobre lo que haya sido objeto de la pericia. Si no fuese posible o conveniente aportar estos materiales e instrumentos, el escrito de dictamen contendr sobre ellos las indicaciones suficientes. Podrn, asimismo, acompaarse al dictamen los documentos que se estimen adecuados para su ms acertada valoracin. Se entender que al demandante le es posible aportar con la demanda dictmenes escritos elaborados por perito por l designado, si no justifica cumplidamente que la defensa de su derecho no ha permitido demorar la interposicin de aqulla hasta la obtencin del dictamen. En los juicios con contestacin a la demanda por escrito, el demandado que no pueda aportar dictmenes escritos con aquella contestacin a la demanda deber justificar la imposibilidad de pedirlos y obtenerlos dentro del plazo para contestar. Si no les fuese posible a las partes aportar dictmenes elaborados por peritos por ellas designados, junto con la demanda o contestacin, expresarn los dictmenes de que pretendan valerse, que hayan de aportar, para su traslado a la parte contraria, en cuanto dispongan de ellos, y en todo caso con carcter previo al juicio ordinario o vista en verbal. Una vez aportados los dictmenes, las partes habrn de manifestar si desean que los peritos autores de los dictmenes comparezcan en el juicio o, en su caso, en la vista del juicio verbal, expresando si debern exponer o explicar el dictamen o responder a preguntas, objeciones o propuestas de rectificacin o intervenir de cualquier otra forma til para entender y valorar el dictamen en relacin con lo que sea objeto del pleito.
www.antpji.com
Pgina 22

Del mismo modo la necesidad de la intervencin pericial puede observarse durante la realizacin del juicio oral o despus de la contestacin a la demanda, dndose trmite en este caso para la entrega del informe y la oportuna participacin del perito en la fase oral. Para el caso de peritos designados por el juez debemos distinguir varios casos. En primer lugar y si cualquiera de las partes fuese titular del derecho de asistencia jurdica gratuita, no tendrn que aportar con la demanda o la contestacin el dictamen pericial, sino simplemente anunciarlo, a los efectos de que se proceda a la designacin judicial de perito, conforme a lo que se establece en la Ley de Asistencia Jurdica Gratuita. Por otro lado tanto el demandante o como demandado, podrn solicitar en sus respectivos escritos inciales que se proceda a la designacin judicial de perito, si entienden conveniente o necesario para sus intereses la emisin de informe pericial. En tal caso, el Tribunal proceder a la designacin, siempre que considere pertinente y til el dictamen pericial solicitado. Dicho dictamen ser a costa de quien lo haya pedido, sin perjuicio de lo que pudiere acordarse en materia de costas. Cuando ambas partes la hubiesen pedido inicialmente, el Tribunal podr designar, si aqullas se muestran conformes, un nico perito que emita el informe solicitado. En tal caso, el abono de los honorarios del perito corresponder realizarlo a ambos litigantes por partes iguales, sin perjuicio de lo que pudiere acordarse en materia de costas. En el juicio ordinario, si, a consecuencia de las alegaciones o pretensiones complementarias permitidas en la audiencia, las partes solicitasen, la designacin por el tribunal de un perito que dictamine, lo acordar ste as, siempre que considere pertinente y til el dictamen, y ambas partes se muestren conformes en el objeto de la pericia y en aceptar el dictamen del perito que el tribunal nombre. Lo mismo podr hacer el tribunal cuando se trate de juicio verbal y las partes solicitasen designacin de perito. Por su parte, y respecto al proceso penal, la Ley de Enjuiciamiento Criminal es ms escueta en cuanto a la regulacin del procedimiento pericial. En este caso los peritos podrn ser nombrados igualmente: De Oficio por el propio tribunal, en este caso el nombramiento se realizar por el titular del juzgado y se har saber a los peritos por medio de oficio, o incluso, si la urgencia del caso lo exige, podr hacerse el llamamiento verbalmente de orden del Juez. En este caso nadie podr negarse a acudir al llamamiento del Juez para desempear un servicio pericial, si no estuviere legtimamente impedido. Tenemos que aclarar aqu que aquellos que presten informe como peritos en virtud de orden judicial tendrn derecho a reclamar los honorarios e indemnizaciones que les correspondan.
www.antpji.com
Pgina 23

As mismo, y al igual que en el procedimiento civil, la pericia podr solicitarse a instancia de parte. Tanto por el querellante como por el procesado, que tendrn derecho a nombrar a su costa un perito que intervenga en el acto pericial. Si los querellantes o los procesados fuesen varios, se pondrn respectivamente de acuerdo entre s para hacer el nombramiento. Estos peritos debern ser titulados, a no ser que no los hubiere de esta clase en el partido o demarcacin, en cuyo caso podrn ser nombrados sin ttulo. Las partes manifestarn al Juez el nombre del perito y ofrecern al hacer esta manifestacin los comprobantes de tener la cualidad de tal perito la persona designada.
La designacin del perito

En el caso del proceso civil, y para el caso de la designacin del perito por parte del rgano jurisdiccional, en el mes de enero de cada ao se solicitar de los distintos Colegios profesionales o, en su defecto, de entidades anlogas, as como de las Academias e instituciones culturales y cientficas el envo de una lista de colegiados o asociados dispuestos a actuar como peritos. La primera designacin de cada lista se efectuar por sorteo realizado en presencia del Secretario Judicial, y a partir de ella se efectuarn las siguientes designaciones por orden correlativo. Igualmente y para cuando haya de designarse perito a persona sin ttulo oficial, prctica o entendida en la materia, previa citacin de las partes, se realizar la designacin por este procedimiento, usndose para ello una lista de personas que cada ao se solicitar de sindicatos, asociaciones y entidades apropiadas. Si, por razn de la singularidad de la materia de dictamen, nicamente se dispusiera del nombre de una persona entendida o prctica, se recabar de las partes su consentimiento y slo si todas lo otorgan se designar perito a esa persona. Seguidamente el secretario judicial comunicar esta decisin al perito titular, requirindole para que manifieste si acepta el cargo. En caso afirmativo, se efectuar el nombramiento y el perito har, en la forma en que se disponga, la manifestacin bajo juramento o promesa. Si el perito designado adujere justa causa que le impidiera la aceptacin, y el Secretario judicial la considerara suficiente, este ser sustituido por el siguiente de la lista, y as sucesivamente, hasta que se pudiere efectuar el nombramiento. Es importante conocer que el perito designado podr solicitar, en los tres das siguientes a su nombramiento, la provisin de fondos que considere necesaria, la cual correr a cuenta de su liquidacin final. El Secretario judicial decidir sobre la provisin solicitada y ordenar a la parte o partes que hubiesen propuesto la prueba pericial y no tuviesen derecho a la asistencia jurdica gratuita, que procedan a abonar la cantidad fijada en la Cuenta de Depsitos y Consignaciones del Tribunal. En caso de que no se deposite en tiempo y forma esa cantidad, el perito quedar eximido de emitir el dictamen, sin que pueda procederse a una nueva designacin.
www.antpji.com
Pgina 24

En contraposicin, y si el dictamen pericial se aporta en la demanda o contestacin a la demanda directamente por el demandante o el demandado, el perito ser el que ellos seleccionen, si bien debern probar en juicio la validez de su designacin, en caso de que la otra parte o el juzgado as se lo soliciten. En cuanto al procedimiento penal una vez seleccionado el perito, como veamos anteriormente, por orden directa del juzgado, el Secretario judicial lo notificar inmediatamente al Ministerio Fiscal, al actor particular y al procesado. En caso de que el informe pericial se aporte por una de las partes se seguirn las mismas normas que en el proceso civil.
La recusacin y la tacha
Es importante detenernos en este punto en la recusacin y la tacha, cuando alguno de los implicados tiene algo que oponer a la designacin de un perito en concreto. En primer lugar cabe decir que solo podrn ser objeto de recusacin los peritos designados judicialmente. En cambio, los peritos no recusables podrn ser objeto de tacha cuando concurra en ellos alguna de las siguientes circunstancias: 1. Ser cnyuge o pariente por consanguinidad o afinidad, dentro del cuarto grado civil de una de las partes o de sus abogados o procuradores. 2. Tener inters directo o indirecto en el asunto o en otro semejante. 3. Estar o haber estado en situacin de dependencia o de comunidad o contraposicin de intereses con alguna de las partes o con sus abogados o procuradores. 4. Amistad ntima o enemistad con cualquiera de las partes o sus procuradores o abogados. 5. Cualquier otra circunstancia, debidamente acreditada, que les haga desmerecer en el concepto profesional. Al formular tachas de peritos, se podr proponer la prueba conducente a justificarlas. Igualmente cualquier parte interesada podr dirigirse al tribunal a fin de negar o contradecir la tacha, aportando los documentos que consideren pertinentes. Si la tacha menoscabara la consideracin profesional o personal del perito, ste podr solicitar del tribunal que declare que la tacha carece de fundamento. En este punto el tribunal podr emitir declaracin de falta de fundamento de la tacha, o por el contrario apreciarla conforme a derecho con lo que el informe pericial carecer de valor y no se tendr en cuenta. En el caso de la recusacin, peritos nombrados a instancia de parte, no podrn prestar informe pericial acerca del delito, cualquiera que sea la persona ofendida, los que no estaran obligados a declarar como testigos. En concreto son causa de recusacin de los peritos: www.antpji.com Pgina 25

1. El parentesco de consanguinidad o de afinidad dentro del cuarto grado con el querellante o con el reo. 2. El inters directo o indirecto en la causa o en otra semejante. 3. La amistad ntima o enemistad manifiesta. Tenemos que destacar que el perito que, hallndose comprendido en alguno de los casos de dicho artculo, preste el informe sin poner antes esa circunstancia en conocimiento del Juez incurrir en la multa e incluso en responsabilidad criminal. El procedimiento consistir en que el actor o el procesado que intente recusar al perito o peritos nombrados por el Juez debern hacerlo por escrito antes de empezar la diligencia pericial, expresando la causa de la recusacin y las pruebas que ofrezca. El juez examinar los documentos que produzca el recusante y oir a los testigos que presente en el acto, resolviendo lo que estime justo respecto de la recusacin. Si hubiera lugar a ella, suspender el acto pericial por el tiempo estrictamente necesario para nombrar el perito que haya de sustituir al recusado hacrselo saber y constituirse el nombrado en el lugar correspondiente. Si por el contrario no la admite, se proceder a continuar con la pericia.
El nombramiento del perito judicial

En el proceso penal y antes de darse principio al acto pericial, todos los peritos, tanto los nombrados por el Juez como los que lo hubieren sido por las partes, prestarn juramento, de proceder bien y fielmente en sus operaciones y de no proponerse otro fin ms que el de descubrir y declarar la verdad. As mismo la Ley de Enjuiciamiento civil nos dice que al emitir el dictamen, todo perito deber manifestar, bajo juramento o promesa decir verdad, que ha actuado y, en su caso, actuar con la mayor objetividad posible, tomando en consideracin tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera de las partes, y que conoce las sanciones penales en las que podra incurrir si incumpliere su deber como perito.
El informe pericial
El Juez manifestar clara y determinadamente a los peritos el objeto de su informe, cuando este se emita por peticin suya. En cualquier caso el informe pericial comprender, como mnimo: 1. Descripcin de la persona o cosa que sea objeto del informe, y del estado o modo en que se halle. 2. Relacin detallada de todas las operaciones practicadas por los peritos y de su resultado. www.antpji.com Pgina 26

3. Las conclusiones que en vista de tales datos formulen los peritos, conforme a los principios y reglas de su ciencia o arte.
La asistencia a juicio oral

Tanto el juzgado como las partes podrn solicitar la asistencia a juicio del perito. En caso de solicitud en este sentido el tribunal slo denegar las solicitudes de intervencin que, por su finalidad y contenido, hayan de estimarse impertinentes o intiles, o cuando existiera un deber de confidencialidad derivado de la intervencin del perito en un procedimiento de mediacin anterior entre las partes. En especial, las partes y sus defensores podrn pedir: La exposicin completa del dictamen, cuando esa exposicin requiera la realizacin de otras operaciones, complementarias del escrito aportado, mediante el empleo de los documentos, materiales y cualesquiera otros elementos. La explicacin del dictamen o de alguno o algunos de sus puntos, cuyo significado no se considerase suficientemente expresivo a los efectos de la prueba. Las respuestas a preguntas y objeciones, sobre mtodo, premisas, conclusiones y otros aspectos del dictamen. Las respuestas a solicitudes de ampliacin del dictamen, por si pudiera llevarse a cabo en el mismo acto y a efectos de conocer la opinin del perito sobre la posibilidad y utilidad de la ampliacin, as como del plazo necesario para llevarla a cabo. La crtica del dictamen de que se trate por el perito de la parte contraria. La formulacin de las tachas que pudieren afectar al perito. Del mismo modo el tribunal podr por su propia iniciativa o por reclamacin de las partes presentes o de sus defensores, hacer a los peritos, cuando produzcan sus conclusiones, las preguntas que estime pertinentes y pedirles las aclaraciones necesarias. Hemos de tener en cuenta que las contestaciones de los peritos se considerarn como parte de su informe.
Reconocimiento in situ
La pericia tambin puede consistir en el desplazamiento del perito o los peritos a un lugar para examinar una cosa o situacin concreta. Cuando la emisin del dictamen requiera, en el proceso civil, de este reconocimiento de lugares, objetos o personas, las partes y sus defensores podrn presenciarlo, si con ello no se impide o estorba la labor del perito y se puede garantizar el acierto e imparcialidad del dictamen. Si alguna de las partes solicita estar presente, el tribunal decidir lo que proceda y, en caso de admitir esa presencia, ordenar al perito que d aviso directamente a las partes del da, hora y lugar en que aquellas operaciones se llevarn a cabo.
www.antpji.com
Pgina 27

En el caso del proceso penal, al acto pericial podrn concurrir, el querellante, con su representacin, y el procesado con la suya, aun cuando este preso, en cuyo caso se adoptarn las precauciones oportunas. El acto pericial ser presidido por el Juez instructor o, en virtud: de su delegacin, por el Juez municipal o funcionario de Polica judicial. Del mismo modo las partes que asistieren a las operaciones o reconocimientos podrn someter a los peritos las observaciones que estimen convenientes, hacindose constar todas en la diligencia. De este reconocimiento in situ se redactar igualmente un informe pericial que se presentar ante el rgano jurisdiccional competente.
La valoracin del informe

Finalmente y en cuanto a la valoracin del informe pericial, la Ley de Enjuiciamiento Civil nos dice que El tribunal valorar los dictmenes periciales segn las reglas de la sana crtica. Es decir, la valoracin del informe quedar en manos del juez o tribunal, si bien siempre su valor probatorio ser mucho ms alto que el de una prueba testifical, al tratarse en este caso de expertos acreditados e independientes. Lo cual nos lleva en la prctica a que el informe del perito, y su asistencia a la fase oral, sea una de las pruebas determinantes para inclinar la balanza en uno u otro sentido.
Responsabilidades y derecho del perito

Antes de despedirnos debemos realizar parada obligada en las responsabilidades que el perito acarrea como tal. A este respecto debemos fijarnos en varios aspectos diferenciados para establecer las oportunas responsabilidades del perito: 1. La primera de ellas es su nombramiento: Como hemos visto en puntos anteriores el perito judicial designado por un juzgado, en el proceso penal, no podr negarse a realizar la pericia, salvo que exista justa causa para ello. Lo que viene siendo, que exista una imposibilidad manifiesta y real de realizar la misma. En caso de inexistencia de esta y persistencia en la negativa el perito deber asumir la imposicin de una multa, que variara entre los 200 a los 5.000 euros, y si persistiere en su resistencia ser conducido en el primer caso a la presencia del Juez instructor por los agentes de la autoridad, y perseguido por el delito de obstruccin a la justicia tipificado en el artculo 463.1 del Cdigo Penal o el de desobediencia grave a la autoridad. En el caso del procedimiento civil se nos dice que si el perito designado alega justa causa que le impidiere la aceptacin, y el Secretario judicial la considera suficiente, ser sustituido por el siguiente de la lista, y as sucesivamente, hasta que se pueda efectuar el nombramiento.
www.antpji.com
Pgina 28

2. La segunda de estas responsabilidad radica en la existencia de una causa de recusacin o tacha: Si el perito, aun conociendo esta incompatibilidad continua adelante con su labor como perito judicial, sin avisar al juez de la misma podr imponrsele una multa de 200 a 5.000 euros, a no ser que el hecho de lugar a responsabilidad criminal. La tercera de las responsabilidades del perito es la de actuar lealmente y no faltar a su juramento, consistente como hemos visto en: a. proceder bien y fielmente en sus operaciones y no proponerse otro fin ms que el de descubrir y declarar la verdad. (LECrim) b. Actuar con la mayor objetividad posible, tomando en consideracin tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera de las partes, y que conocer las sanciones penales en las que podra incurrir si incumple su deber como perito.(LEC)
3.
El incumplimiento de estas obligaciones es el caso ms grave de responsabilidad en que puede incurrir un perito, ya que puede ser constitutivo de actitudes tipificadas como delito en nuestro Cdigo Penal. Paso a leeros los artculos en concreto que regulan la cuestin:
Artculo 458. 1. El testigo que faltare a la verdad en su testimonio en causa judicial, ser castigado con las penas de prisin de seis meses a dos aos y multa de tres a seis meses. 2. Si el falso testimonio se diera en contra del reo en causa criminal por delito, las penas sern de prisin de uno a tres aos y multa de seis a doce meses. Si a consecuencia del testimonio hubiera recado sentencia condenatoria, se impondrn las penas superiores en grado. 3. Las mismas penas se impondrn si el falso testimonio tuviera lugar ante Tribunales Internacionales que, en virtud de Tratados debidamente ratificados conforme a la Constitucin Espaola, ejerzan competencias derivadas de ella, o se realizara en Espaa al declarar en virtud de comisin rogatoria remitida por un Tribunal extranjero. Artculo 459. Las penas de los artculos precedentes se impondrn en su mitad superior a los peritos o intrpretes que faltaren a la verdad maliciosamente en su dictamen o traduccin, los cuales sern, adems, castigados con la pena de inhabilitacin especial para profesin u oficio, empleo o cargo pblico, por tiempo de seis a doce aos. Artculo 460. Cuando el testigo, perito o intrprete, sin faltar sustancialmente a la verdad, la alterare con reticencias, inexactitudes o silenciando hechos o datos relevantes que le fueran conocidos, ser castigado con la pena de multa de seis a doce meses y, en su caso, de suspensin de empleo o cargo pblico, profesin u oficio, de seis meses a tres aos. www.antpji.com Pgina 29

Artculo 462. Quedar exento de pena el que, habiendo prestado un falso testimonio en causa criminal, se retracte en tiempo y forma, manifestando la verdad para que surta efecto antes de que se dicte sentencia en el proceso de que se trate. Si a consecuencia del falso testimonio, se hubiese producido la privacin de libertad, se impondrn las penas correspondientes inferiores en grado. Como vemos el asunto de la responsabilidad, civil y criminal, de un perito no es asunto balad, y por tanto el perito judicial ha de extremar siempre su compromiso con la exactitud, la veracidad y la imparcialidad en el ejercicio de sus funciones ante los rganos jurisdiccionales. Finalmente y como derechos de los peritos, a parte de los relacionados con el cobro de sus oportunos honorarios, hemos de mencionar el artculo 485 de La Ley de Enjuiciamiento Criminal, que nos dice que el Juez facilitar a los peritos los medios materiales necesarios para practicar la diligencia que les encomiende, reclamndolos de la Administracin pblica, o de autoridades de las que sea necesario. Estableciendo de esta forma el derecho del perito a tener todas las facilidades necesarias para llevar a cabo su tarea de la mejor forma posible.
Como extraer y recuperar evidencias digitales y telemticas

Metadatos (del griego , meta, despus de y latn datum, lo que se da, dato), literalmente sobre datos, son datos que describen otros datos. Los metadatos son datos que caracterizan a un fichero que contiene ciertos tipos de datos, de modo que a travs de los metadatos podemos conocer caractersticas de un fichero como el autor, revisiones del documento, etc. Los metadatos pueden tener varias aplicaciones como: En informtica forense: Para demostrar en un juicio que unos archivos de imgenes pertenecen a una determinada cmara de fotos. En ataques a sistemas o servidores web: Atreves de los metadatos podemos obtener los nombres de posibles usuarios, sistema operativo, nombres de red para despus realizar un ataque de fuerza bruta. En el anlisis forense informtico, la extraccin de los metadatos es una disciplina que se emplea frecuentemente en procesos judiciales. En determinados eventos criminales, una carpeta, archivo, imagen, mensaje, correo son evidencias digitales y/o telemticas que incriminen o eximan a un acusado en la comisin de un delito, y por tanto, es importante analizar los metadatos que contenga el dispositivo para poder obtener de ellas evidencias suficientes que sustenten una acusacin o una defensa ante un juez.
www.antpji.com
Pgina 30

Los metadatos, es la informacin insertada en los archivos por el software de edicin o creacin de los mismos, ests metadatos contienen informacin acerca de la creacin del archivo como: nombre de autor, autores anteriores, nombre de compaa, cantidad de veces que el documento fue modificado, fecha de creacin Los metadatos contienen toda la informacin del archivo, fecha, hora, autor, geoposicion, modificacin del archivo En fotografas digitales, la cmara captura las imgenes y va guardando en forma de metadatos, informacin de cmo fue tomada la fotografa: fecha, hora, diafragma, velocidad, uso de flash, modo de captura, entre otros datos, uno de ellos prximo a llegar: geoposicionamiento satelital. De esto nos podemos dar cuenta fcilmente cuando subimos las fotografas a un servicio de almacenamiento web, como Flickr, si quieres haz la prueba y verifica los metadatos fotogrficos de muchas imgenes y podrs darte cuenta que el "dato" es la imagen y el resto son los "metadatos", es decir, la informacin sobre la fotografa. En una cancin en formato MP3, el "dato" es el sonido que estamos acostumbrados a escuchar, y los metadatos es toda aquella informacin extra, como ttulo de la obra, lbum, ao, autor, cartula, gnero, etc. Windows Media Player (y otros reproductores) muestra los metadatos de una cancin, entre ellos la cartula del disco que estamos escuchando. Por supuesto, las pginas web no podran ser ajenas a este esquema y tienen datos (que es lo que normalmente un usuario visualiza) pero tambin metadatos (que desafortunadamente no es tan visible, aunque a la larga tan importante como los datos). En las pginas web los datos se ven por un usuario normal. Los metadatos estn de cierta forma ocultos en el cdigo fuente. Si enfocamos la obtencin de metadatos al mundo de la fotografa digital, podemos en algunos casos obtener incluso la geolocalizacin de la obtencin de la imagen en concreto. Para ello utilizaremos la herramienta exif (que simplemente accede a los datos del formato Exif). Queda clara la importancia de mantener en la fotografa nicamente informacin que deseamos que sea pblica, para evitar que circule informacin oculta a primera vista y que no deseamos ofrecer. Herramientas como Metagoofil o la foca estn enfocadas a la obtencin de los metadatos, lo que puede ser el primer paso de un anlisis ms exhaustivo, que d pie a posteriores etapas en un proceso de investigacin tcnica. Como no puede ser de otra manera, la recomendacin es eliminar aquellos metadatos innecesarios que impliquen informacin privada que en cierta manera nos hace vulnerables, ya sea por dar a conocer nombres de usuarios, o ubicaciones de objetos a travs de imgenes. La informacin bsica de imagen suele ser la fecha de toma de la imagen, el fabricante de la cmara y el modelo de cmara utilizado. Esta informacin se puede deducir mediante la invocacin de las propiedades de una imagen. Cualquier sistema operativo lo permite (en www.antpji.com Pgina 31

Windows, por ejemplo, haciendo botn derecho --> propiedades sobre una imagen). Nosotros vamos a ver dos procesos automatizables para evitar tener que extraer los datos imagen a imagen, y que adems, permiten extraer mucha ms informacin. Tambin veremos como cuando se toma una fotografa, existen muchos ms datos que se graban en ella, y que pueden resolver el grado de culpabilidad de un acusado. A veces, la fecha, el fabricante y el modelo no bastan, y quizs sea necesario deducir, por ejemplo, si dos imgenes han sido tomadas con la misma cmara o no. Un anlisis de metadatos puede proporcionarnos esta informacin. Para la extraccin de metadatos de archivos existen numerosos mtodos. Unos son ms sencillos de interpretar y otros producen resultados ms complejos. A la hora de realizar una pericial informtica, uno de los primeros pasos a dar es la recopilacin de la mayor cantidad de informacin til del objeto de la pericia, lo que en el mbito de la seguridad denominamos como information gathering. Dentro de esta fase, podemos incluir el anlisis de metadatos obtenidos a partir de ficheros contenedores como pueden ser de tipo pdf, odt, jpg, etc En cuanto a las herramientas de extraccin de metadatos, y aunque hay en Internet mltiples recursos al respecto: RDFMetadata, Benubird PDF, Mi TeC Exe Explorer, Format Factory Portable, EMS My SQL Manager.. y el que ms utilizo el de nuestro socio la Foca Forense, cuyo funcionamiento es muy sencillo. Por nombrar algunas de estas herramientas de adquisicin de metadatos tiles estn: hachoir-metadata, es una de las mas completas soporta 32 formatos distintos de archivos, y est disponible para: Debian, Mandriva, Gentoo, Arch y FreeBSD. ExifTool, la mejor herramienta para extraer metadatos de imgenes ya que puede trabajar con EXIF e IPTC (estndares utilizados por cmara de fotos para intercambiar ficheros de imgenes con compresin JPEG). Adems reconoce metadatos insertados por cmaras: Canon, Casio, FujiFilm, HP, JVC/Victor, Kodak, Leaf, Minolta/KonicaMinolta, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi, Ricoh, Sanyo, Sigma/Foveon y Sony. Disponible para Windows, Mac OSX y en modulo Perl lo que permite utilizarla en Linux. Metagoofil, diseada para extraer archivos: pdf, doc, xls y ppt de un sitio web a travs de google, y analizar los metadatos de los archivos. Para obtener informacin y realizar un ataque o un test de intrusin. Esta escrita en python. Pinpoint Metaviewer, permite a los usuarios extraer rpidamente meta datos del sistema de archivos, meta datos OLE contenidos en Microsoft Office y valores "hash". Destaca que puede obtener antiguos usurarios, en el caso de que fuera varias veces modificado por diferentes personas. FOCA 3.2 Free es una herramienta para la realizacin de procesos de fingerprinting e information gathering en trabajos de auditora web. La versin Free realiza bsqueda de servidores, dominios, URLs y documentos publicados, as como el descubrimiento de versiones de software en servidores y clientes. FOCA se hizo famosa por la extraccin de metadatos en documentos pblicos, pero hoy en da es mucho ms que www.antpji.com Pgina 32

eso. Para el anlisis de metadatos en ficheros ofimticos puedes utilizar una versin online de la FOCA. Gracias a esta herramienta, podemos extraer en primer lugar los datos para obtener la informacin contenida en los metadatos de un fichero. De esta manera podemos obtener informacin como nombres de usuarios, nombres de equipos, rutas del equipo donde se ha creado/modificado un fichero, etc. Podemos observar los datos que podemos obtener de un fichero .doc que no ha sido previamente limpiado, entre los cuales cabe destacar rutas de unidades de red, nombres de usuarios, nombre del registrador de la aplicacin, aplicacin con la que est creado el documento y su versin, etc. Es muy importante y debemos de prestar mucha atencin a los metadatos, sobre todo si el documento va a ser pblicamente accesible.
Cdigo Deontolgico
1. Ejercer la profesin de Perito Informtico con dignidad, lealtad y cientifismo, colaborando siempre con la Justicia y concedindole la importancia que merece, siendo plenamente consciente de la responsabilidad que supone emitir un informe o dictamen. 2. Defender siempre la Informtica como ciencia especializada en la obtencin de evidencias electrnicas al servicio de la Justicia, para ello no permitir que se desprestigie por falta de cientifismo y menos por falta de tica. 3. Como Perito Informtico continuar capacitacin, mediante una formacin continua y actualizando mis conocimientos, mantenindome informado de manera puntual de los ltimos adelantes de que se produzcan en el mbito de las Nuevas Tecnologas. 4. Pedir ayuda a la Junta Directiva de la Asociacin cuando existiera alguna duda en mi dictamen, a fin de que puedan orientarme de manera profesional orientarme; sometindome al arbitrio de la Junta Directiva cuando existiera un conflicto o contradiccin en un dictamen. 5. Ser objetivo en mis criterios y no me dejar llevar por la subjetividad emotiva en la elaboracin de un dictamen a pesar de la informacin recibida sobre el caso. 6. Conservar siempre mi tica profesional. No aceptar jams ni indicaciones, bienes o promesas para emitir un dictamen tendencioso, confuso o con inters preconcebido y contrario a la Justicia. 7. Ajustar mis honorarios a la dificultad del caso, horas empleadas, gastos que origine, segn los baremos que establezca la Asociacin, si bien no dejar de auxiliar a la Justicia por razn de precio, aceptando siempre que me sea posible las designaciones para intervenir por turno de oficio en los casos que procedan. 8. Expondr siempre la verdad en mis dictmenes, segn mi leal saber y entender, con la mxima claridad posible a fin de que pueda comprenderse bien el motivo de las conclusiones. Caso de faltar voluntariamente a la verdad aceptar la decisin de la Junta en cuanto a mi expulsin de la Asociacin. www.antpji.com Pgina 33

9. Respetar la dignidad del ser humano, sus derechos y libertad personal, guardando estricta neutralidad, sin desviar mi recto juicio profesional por motivos discriminatorios, ya sean de raza, sexo, religin, clase social, ideas polticas o prejuicio de cualquier clase. 10. Me solidarizo con el espritu de hermandad que tutela la "ASOCIACIN NACIONAL DE TASADORES Y PERITOS JUDICIALES INFORMATICOS", evitando la deslealtad y competencia ilcita hacia mis compaeros. Asimismo respetar la clientela de mis colegas, sin apoderarme previo conocimiento de la misma. En el caso de que me fuera solicitado un dictamen respecto del contenido u objeto de otro realizado por un miembro de la Asociacin, previamente a la emisin del mismo dar la oportunidad al autor del dictamen previo de aclarar aquello que crea conveniente, sin que esto suponga ninguna limitacin a mis obligaciones de independencia, objetividad y veracidad, y respetando, en todo caso, la identidad y derechos de mi cliente.
Utilidades Forenses
Esta es una seleccin de software para intervenciones informticas forenses que es til compartir. Sirven para analizar ordenadores, correos, dispositivos mviles, buscar malware, localizar archivos borrados, encontrar evidencias. Programa Advanced Prefetch Analyser Agent Ransack Analyze MFT Fabricante Hallan Hay Mythicsoft David Kovar Descripcin Lee los ficheros prefetch de Windows. Busca mltiples ficheros usando Perl Regex Permite realizar Parses de MFT en sistemas NTFS con objeto de analizarlos con otras herramientas. Visualizador utilizado en combinacin con Memoryze Reconocida herramienta grafica para entornos Linux. Suite de 'Penetration testing' y seguridad para la realizacin de auditoras de seguridad. Analiza dispositivos mviles como LG, Sanyo, etc. Caine University of Modena e Reggio Emilia forensicsoftware Nirsoft ChromeCacheView DCode Defraser www.antpji.com Digital Detective Varios Live CD, con numerosas utilidades y herramientas. Herramienta que permite el anlisis del histrico de internet del famoso Google Crom Lee los ficheros de la cache de Google Crom y visualiza en una lista lo que se encuentra almacenado. Convierte varios tipos de fechas y tiempos. Detecta ficheros multimedia en espacios Pgina 34
Audit Viewer Autopsy Backtrack
Mandiant Brian Carrier Backtrack
Bitpim
Bitpim
ChromeAnalysis

'unallocated'. Framework que permite el anlisis de volmenes, sistemas de ficheros, aplicaciones de usuario, extraccin de metadatos, ficheros borrados y ocultos. Realiza un volcado de la memoria a fichero. Funciona en 32 y 64 y se puede ejecutar desde un USB Visualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server. Potente herramienta de reconocido prestigio internacional. Vale para todo en el mbito forense.
Digital Forensics Framework
ArxSys
DumpIt
MoonSols
EDB Viewer
Lepide Software
EnCase
Guidance
Encrypted Disk Detector
Exif Reader FastCopy
FAT32 Format Foca
Comprueba discos fsicos en busca de ficheros o volmenes cifrados con TrueCrypt, PGP, o Bitlocker. Ryuuji Extrae datos (metadatos) Exif de Yoshimoto fotografas digitales. Shirouzu Hiroaki Uno de los ms rpidos en copiar y/o borrar, permite utilizar SHA-1. Utilizado para copia masiva de datos con muy buenos resultados Ridgecrop Habilita la capacidad de almacenamiento de discos formateados en FAT32 Herramienta para fingerprinting e informacin Informatica64 gathering en trabajos de auditora web. Lo utilizo para casi todo, especialmente el tema de metadatos Visor de varios formatos con posibilidad de extraer metadatos Exif o datos de geolocalizacin GPS. Lo suelo emplear bastante. Extrae informacin relacionada con los usuarios en Windows utilizando los ficheros SAM, SOFTWARE y SYSTEM hives tambin desencripta hashes LM/NT. Herramienta que permite el anlisis del histrico de internet de firefox. Herramienta para adquirir, montar y analizar de forma bsica imgenes de equipos. Tambin es capaz de volcar la memoria a fichero. Muy completa Obtiene de ficheros HTML informacin que se ha 'cacheado' al utilizar 'artefactos' de Gmail Pgina 35
JAD software
Forensic Viewer
Image Sanderson Forensics
ForensicUserInfo
Woanware
FoxAnalysis
forensicsoftware AccessData
FTK Imager
Gmail Parser
Woanware
www.antpji.com

HashMyFiles Highlighter Nirsoft Mandiant Calcula hashes MD5 y SHA. Examina ficheros log usando texto, grficos o histogramas. Lee los ficheros de la cache de Internet Explorer y lo visualiza en una lista. Extrae detalles de las cookies de Internet Explorer. Extrae las visitas recientes de las URL's de Internet Explorer. Extrae las passwords de Internet Explorer en las versiones 4 a 8. Extrae informacin del famoso programa P2P KAZA. Permite al analista examinar y 'arrancar' imgenes en formato dd y VMware. Tambin muy til Visor que permite exportar los contactos y otros detalles de Windows Live Messenger. Maravilloso visor de Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird y ficheros basados en ficheros EML. Adquiere y analiza imgenes RAM. Lo bueno es que permite analizar el fichero pagefile en sistemas vivos. Muestra y decodifica contenidos extrados en ficheros MTF. Ejecuta un ISO Linux desde Windows sin tener que reiniciar. Basado en QEMU. Para utilizar servidores FTP sin tener que tocar Windows. Recoge todos los datos posibles desde el telfono mvil, a continuacin, genera un amplio informe que se puede almacenar o imprimir. Soporta la mayora de los mviles. "Flash & Backup" - actualiza el firmware y "MExplorer" - administrador de archivos pequeos, fciles de usar y gratis
IECacheView
Nirsoft
IECookiesView IEHistoryView
Nirsoft Nirsoft
IEPassView
Nirsoft
KaZAlyser
Sanderson Forensics CERT
Live View
LiveContactsView
Nirsoft
Mail Viewer
MiTeC
Memoryze
Mandiant
MFTview
Sanderson Forensics Mobatek
MobaLiveCD
MobilEdit
MobilEdit
Motorola Tools
www.antpji.com
Pgina 36

MozillaCacheView Nirsoft Lee los ficheros de la cache de Mozilla y visualiza en una lista lo que se encuentra almacenado. Extrae detalles de las cookies de Mozilla. Herramienta que permite el anlisis del historico de internet de Mozilla. Extrae bsquedas utilizadas en los buscadores mas populares (Google, Yahoo y MSN) tambin en redes sociales (Twitter, Facebook, MySpace) Analizador de red y detector de intrusiones Analizador de paquetes de red. Increblemente bueno. Programa de captura con el fin de detectar los sistemas operativos, las sesiones, los nombres de host, Puertos abiertos, etc. Ya jams volver al notepad clsico despus de utilizar este Notepad. Lee los ficheros de la cache de Opera y visualiza en una lista lo que se encuentra almacenado. Desencripta las password del fichero 'wand.dat' de Opera. Herramienta comercial analiza todos los datos disponibles de un mvil. No puedo vivir si ella. Realiza montajes virtuales de unidades y de imgenes. Casi toda la suite, por no decir toda es muy interesante y til. Suite maravillosa que permite montar remotamente discos, captura de trfico de red, de RAM, utilidades de bsqueda etc. Al igual que las anteriores, recoge todos los datos posibles desde el telfono mvil, a continuacin, genera un amplio informe que se puede almacenar o imprimir. Extrae usuario y contraseas almacenadas en Mozilla Firefox. Pgina 37
MozillaCookieView MozillaHistoryView
Nirsoft Nirsoft
MyLastSearch
Nirsoft
Netdetector Netwitness Investigator NetworkMiner
Niksun Netwitness
Netresec
Notepad ++
Notepad ++
OperaCacheView
Nirsoft
OperaPassView
Nirsoft
Oxygen
Oxygen
P2 eXplorer
Paraben
P2 Shuttle Free
Paraben
Paraben Forensics
Paraben
PasswordFox
Nirsoft
www.antpji.com

Process Monitor Microsoft Examina los procesos windows y permite hacer un seguimiento en tiempo real del registro y accesos a disco. Excelente y genial herramienta Abre y visualiza (tampoco exporta) ficheros PST sin necesidad de Outlook. Maravillosa Suite de utilidades en modo comando. Siempre lo llevo encima. Has querido recuperar tus ficheros en Windows? Entonces esta es tu utilidad
PST Viewer
Lepide Software
PsTools
Microsoft
recuva
Piriform
Registry Decoder
Digital Forensics Para la adquisicin, anlisis e informe del Solutions contenido del registro. Harlan Carvey Herramienta de correlacin y extraccin de evidencias forenses del registro. Realiza snapshots del registro con objeto de comparar y ver los cambios que se producen. Ideal para ver que hace un malware. Es una suite de software de recuperacin de datos que puede recuperar archivos de FAT (12-32), NTFS, NTFS 5, + HFS / HFS, FFS, UFS/UFS2 (* BSD, Solaris), ext2/ext3 (Linux Shadow Explorer Visualiza y extrae ficheros de copias shadow. Lo utilizo en busca de malware. VMware Appliance de SANS configurado con multiples herramientas para el anlisis forense. Analizador del famoso Skype El mas versatil y magnifico detector de intrusos. Kant, add-on en Firefox que permite ver contenidos de bases de datos SQLite.
RegRipper
Regshot
Regshot
rstudio
Shadow Explorer
SIFT
SANS
SkypeLogView Snort SQLite Manager
Nirsoft Snort Mrinal Tarakant Tripathy Microsoft
Strings
No puedo vivir sin el. Busca contenido de texto en ficheros. Visualiza y maneja estructuras basadas en ficheros MS OLE.
Structred Viewer
Storage MiTec
www.antpji.com
Pgina 38

Suite Getdata getdata Magnifica suite de herramientas forenses para el montaje de discos virtuales, imgenes y recuperacin y anlisis de datos. Herramienta indispensable para el anlisis forense de IPHONE del magnifico Juanito. Si la quieres te la proporcionan si vas a los cursos Guia para usar con Unbuntu live con objeto de utilizar recuperacin de particiones, ficheros, etc. Es el sistema ms completo que combina la extraccin lgica y fsica, la recuperacin de clave de acceso By Si quieres detectar procesos 'raros' este es tu software Detalles de las unidades USB que se han conectado a un equipo. Habilita la posibilidad de escribir o bloquear puertos USB. Habilita la posibilidad de escribir o bloquear puertos USB. Muestra una lista de programas que se han ejecutado incluyendo ltima ejecucin, nmero de veces y fechas y horas. Convierte discos e imgenes al formato VHD que se puede montar en Windows. Produce miniaturas de ficheros de video con objeto de apreciar imgenes o movimientos perdidos en la pelcula. Framework que se compone de una coleccin de herramientas para la extraccin de ficheros RAM. Maravillosa herramienta para la deteccin de Malware. La tengo configurada en SIFT de SANS. Magnifica herramienta que rene las anteriores y permite de los navegadores mas utilizados obtener el histrico de navegacin.
Triana Tools
Informatica64
Ubuntu guide
How-To Geek
UFED
Cellebrite
Unhide
Security default Woanware
USB Device Forensics
USB Write Blocker
DSi
USBDeview
Nirsoft
UserAssist
Didier Stevens
VHD Tool
Microsoft
VideoTriage
QCC
Volatility Framework
Volatile Systems
Web Historian
Mandiant
www.antpji.com
Pgina 39

WindowsFile Analyzer MiTeC Otra maravillosa suite para analizar ficheros thumbs.db, Prefetch, INFO2 y .lnk. Guia de Brett Shavers para crear y trabajar con un CD que arranque un Windows (Similar a Windows PE). Algo que decir de esta maravillosa herramienta? Entorno grfico para poder entender y visualizar el contenido de ficheros PCAP.
Windows Forensic Troy Larson Environment
Wireshark Xplico
Wireshark xplico
Informe Pericial Telemtico

Estructura de un Informe Pericial Informtico. PORTADA Titulo del informe Nmero de Expediente TABLA DE CONTENIDOS INFORMACIN IDENTIFICATIVA
ASUNTO
Nombre Descripcin TITULO DE LA PERICIA
www.antpji.com
Pgina 40

BREVE DESCRIPCIN DEL MOTIVO DE LA PERICIA
CLIENTE PETICIONARIO
Nombre Representado por Telfono Direccin e-mail
CONTACTO INICIAL
Fecha Va Hora / Duracin
PROFESIONAL ANTPJI
Titular Nombre Telfono . e-mail
Soporte Nombre Telfono Domicilio Social e-mail
INFORMACIN DECLARATIVA Declaracin de Abstencin y Tachas El firmante del presente informe o dictamen, en lo concerniente a los temas y alcance tratados, As como las partes y terceros involucrados o afectadas por el mismo y conocidos hasta este momento, en base a los expresados en el art. 105 de la Ley de Enjuiciamiento Civil y el art. 219 De la Ley Orgnica del Poder Judicial, DECLARA, a priori y en la fecha de elaboracin del informe, desconocer causa o motivo alguno por la que deba de abstenerse de la realizacin del presente informe. Y en base al art. 343 de la Ley de Enjuiciamiento Civil, www.antpji.com Pgina 41

DECLARA, a priori y en la fecha de elaboracin del informe, conocer causa o motivo alguno por el cual el perito pueda ser tachado por Tercero interesado o Parte en un proceso judicial derivado de las acciones posteriores llevadas a cabo con el presente informe o dictamen judicial. Declaracin o Juramento de Promesa El perito firmante del presente informe o dictamen, en lo concerniente a los temas y el alcance tratados en el mismo, y en base a lo expresado en art. 335 de la Ley de Enjuiciamiento Civil, DECLARA, decir la verdad y haber actuado con la mayor objetividad e imparcialidad posible tomando en consideracin tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a tercero o parte solicitante del informe y conoce las responsabilidades civiles, penales, disciplinarias y asociativas que comporta la aceptacin de la elaboracin de un informe o dictamen judicial. Asimismo, bajo su nica responsabilidad, DECLARA, que lo expresado y reflejado en el presente informe o dictamen pericial est basado en los hechos, informacin y circunstancias que se han podido constatar, por medio de los conocimientos propios y la experiencia adquirida a lo largo de la trayectoria profesional, quedando las conclusiones siempre sujetas y abiertas a la consideracin de nuevas informaciones, exmenes y aportaciones o de un mejor criterio u opinin que pudiese ser aportado.
INFORMACIN DESCRIPTIVA Antedecedentes del asunto Asunto que se expone INFORMACIN APORTADA / UTILIZADA Se menciona toda la informacin aportada por el cliente, y la que hemos utilizado para la elaboracin de la pericia as como su tratamiento para realizar el informe. DICTAMEN Y CONCLUSIONES ANEXOS
www.antpji.com
Pgina 42
Gua del Peritaje Informtico

Introduccin
Esta gua tiene como objeto el difundir un protocolo comn, y homogeneizar la realizacin de peritajes informticos, especialmente los orientados a recuperar documentos e imgenes. Para la elaboracin de un dictamen, es necesario la obtencin de evidencias electrnicas de los equipos informticos, tanto los que existen como los que han sido borrados o eliminados y que pueden ser relevantes en el procedimiento al que nos han solicitado nuestra pericia. No debemos de olvidar respetar la LOPD, y presentar tan solo los ficheros por los que nos han solicitado nuestra pericia que pueden tener una relevancia jurdica informando de su contenido y no otros. Debemos de:
www.antpji.com
Pgina 43

Mantener segura la cadena de custodia asegurando la nulidad del proceso En nuestra intervencin, deberemos de seleccionar los elementos relevantes, descartando los dems equipos tecnolgicos, previo examen inicial Detallar los pasos en nuestra intervencin al igual que el uso de programas y herramientas que hemos utilizado en nuestra pericia. Cuando localizamos los ficheros, se imprimen y se realizan transcripciones escritas No alterar los elementos informticos originales, trabajando con copias clnicas. Realizar el informe pericial, repasndolo varias veces, antes de la entrega al cliente, analizando todos los posibles errores en su confeccin. Cuanto ms claro e irrefutable sea el dictamen, la ratificacin en juicio ser menor, aunque muchas veces sea preciso nuestra presencia en el juicio.
Primera Intervencin Pericial

Cuando realicis la primera intervencin, deberis de estar atentos a lo que hay a vuestro alrededor, quien maneja los equipos informticos, empleados, personal externo, proveedores identificar al informtico o responsable del departamento informtico, quien es el encargado de la seguridad informtica, cuantas personas acceden a la empresa desde la red como el web mster, proveedores de servicios, comerciales, directivos Especial atencin a los aparatos y equipos tecnolgicos como: Equipos informticos, tanto equipos de sobremesa como porttiles Servidores Smartphone Tablet Agendas electrnicas E-Book PDA Pen drives Discos Duros Reproductores MP3 Dispositivos USB Grabadores de Tarjetas Magnticas Discos pticos CDs y DVS, eliminando los grabados por los fabricantes Programas de instalacin Telfonos mviles Impresoras Fotocopiadoras...
Procedimiento
Todos los equipos han de ser fotografiados e inventariados en nuestra agenda con la resea y ficha del sealando en el momento que fueron encontrado en el lugar de la intervencin y con
www.antpji.com
Pgina 44

las caractersticas tcnicas de cada elemento, tanto si estn en funcionamiento como apagados Equipo Marca Modelo Numero de Serie
www.antpji.com
Pgina 45

Es importante que nadie en el momento de nuestra intervencin, manipulen los equipos con el objeto de que alguien introduzca algn archivo que invalide el peritaje y si se ha de proceder al apagado de algn equipo, retiraremos la corriente elctrica, para no perder ficheros temporales significativos. De esta manera no dar lugar a conjeturas acerca del proceso de la cadena de custodia en el peritaje inicial. Nuestra actuacin en los equipos relevantes y sin apagarlos ni dejar que el monitor se apague consistir en la copia de los discos duros, memorias y similares mediante las docking station de grabacin y utilizando las herramientas y programas forense que utilizamos normalmente. Si en nuestra intervencin, normalmente judicial hay que intervenir los equipos, deberemos de realizar un inventariado anotando y firmando cada elemento intervenido, procediendo de la siguiente manera: Ordenadores de sobremesa: Comprobamos si las lectoras tienen algn disco ptico, si hay algn pendrive, tarjeta de memoria u otro dispositivo usb conectado y procedemos al apagado el ordenador, desenchufando directamente de la corriente para no perder archivos que pueden ser relevantes, desconectamos los cables y extraemos todos los discos duros. Ordenadores Porttiles: comprobamos si hay algn disco ptico en la lectora, si i hay alguna tarjeta o pendrive u otro dispositivo usb y desenchufamos el cargador, la batera y procedemos a la extraccin del disco duro, sabiendo que algunos equipos porttiles tienen dos discos duros. Discos pticos: anotaremos el nmero de serie que est en el orificio central Todos los discos tanto rgidos como pticos han de ser firmados y guardados en bolsas antiestticas Todos los dems equipos tecnolgicos de la intervencin debern inventariarse, firmarse y guardarse en bolsas antiestticas por separado, con sus cargadores correspondientes.
Trabajo en nuestro laboratorio Forense Informtico

Aconsejo la utilizacin de una cmara videograbadora que nos servir a nosotros para saber todo el proceso que hemos realizada, y nos ayudara a corregir los errores habituales. Nuestra mesa de trabajo a de estar asptica y contar con las herramientas, programas y ordenadores que tendrn diferentes sistemas operativos. Procederemos a las lecturas de los discos rgidos, pticos, pendrives y dems elementos; con los distintos soportes operativos, ordenadores, docking station y elementos que componen nuestro laboratorio forense informtico. Realizaremos una recuperacin de posibles archivos borrados, para localizar archivos potenciales o relevantes, al igual que las grabaciones y hay que recalcar el fichero borrado y recuperado en el informe, explicando el mtodo por el que se a obtenido, indicando los programas y las herramientas. Aquellos archivos que no podamos leer por tener archivos daados, encriptacin, dao fsico o similar se enviaran a la cmara de vaco de los laboratorios de recuperacin de datos. www.antpji.com Pgina 46

Para la localizacin de archivos en los discos clonados, necesitaremos discos limpios y sistemas auto arrancables para no alterar ningn dato que pudiera invalidar la prueba pericial. Escribiremos todo el proceso realizado, indicando los programas y herramientas utilizadas, etiquetando por separado en CDs cada archivo que pueda ser relevante para el caso y cerrados para evitar la manipulacin futura. Cada archivo ha de examinarse por separado y verificar los metadatos del mismo. Verificar con detenimiento carpetas y subcarpetas, y antes de la eliminacin de cada uno de ellos, mirar las propiedades y su peso, ya que pueden estar ocultos o encriptados. Adems de la transcripcin escrita, indicando la ruta completa del archivo, fecha de creacin del fichero, usuario del equipo informtico y su localizacin, hay que imprimir un pantallazo, con indicacin nica del archivo, carpeta o dato encargado en la pericia. Es habitual el uso de remotos para la realizacin de actos delictivos, con lo que si en los archivos aparece la manipulacin de archivos desde otra ip distinta al ordenador de la pericia, resear la ip manipuladora. Cuando intentamos abrir un archivo y no tenemos el programa en nuestro laboratorio con el que se habra normalmente, es recomendable el block de notas o utilizar un sistema independiente como Linux.
Informe Pericial
El informe pericial es una primera valoracin por el perito que se entrega generalmente al consejero jurdico del cliente, para poder examinar las evidencias electrnicas halladas y dirimir como se va a llevar el proceso en vista a las pruebas obtenidas. Se realiza un informe tipo en donde se hace constar de manera clara y con un lenguaje no tecnicista los datos obtenidos.
Dictamen con Conclusiones

Cuando recibimos la contestacin del asesor legal y el visto bueno del cliente que nos realizado la provisin de fondos y ha firmado el contrato de servicio pericial nos dedicamos a la emisin de un dictamen de la pericia encargada con las conclusiones finales. En dicho dictamen, se indican que componentes informticos, se han encontrado los ficheros relevantes y el resumen de su contenido de la evidencia digital, referencindose en el informe como evidencia electrnica relevante. Todos los dictmenes han de tener una excelente caligrafa con lo que el ordenador es una opcin recomendable, cuidando la revisin de faltas ortogrficas, no escatimando en cuanto a la presentacin, numero de hojas ni discos pticos en donde estn las evidencias electrnicas vinculantes al esclarecimiento del caso. En nuestro dictamen tiene que constar: Nombre y Apellidos del cliente (En los peritajes penales, es mejor omitir los datos personales, identificndose con el carnet profesional) www.antpji.com Pgina 47

Nmero de diligencias y Juzgado Objeto de la Pericia Identificacin del Perito Si pertenece a alguna Organizacin o Colegio Profesional Inventario de los equipos analizados con sus fichas tcnicas y la procedencia de los mismos Herramientas y programas utilizados Informe imparcial de las evidencias obtenidas, describiendo desde la recepcin de equipos hasta la obtencin de las evidencias electrnicas relevantes, describiendo el protocolo utilizado en la cadena de custodia, copias y obtencin de datos, detallando las caractersticas de los equipos que forman la pericia, enumerando los equipos informticos y los ficheros y datos enumerados. No olvidaros de firmar el dictamen con vuestros datos profesionales y telfono de contacto Se devuelven todos los materiales informticos intervenidos y guardamos una copia del dictamen pericial que nos servir de archivo y de refresco para una posible ratificacin de nuestra pericia en un juicio. Tambin es conveniente realizar una copia de los discos pticos relevantes y los discos rgidos.
Ratificacin
Cuando el juez acuerde nuestra presencia en el procedimiento, nos citara con antelacin suficiente para poder refrescar la pericial realizada con lo que conviene tener todos los datos ordenados y enumerados. Nuestra actuacin en el juicio es bsicamente la de ratificarnos en el dictamen realizado, pudiendo las partes realizar preguntas sobre el proceso del mismo o las evidencias electrnicas halladas. Con lo que es muy importante la presentacin de un dictamen con la letra legible, con indicacin de todo el protocolo y la enumeracin de equipos en los que hemos realizado la pericia y los pasos realizados; ya que el legislador no tiene que tener ninguna duda al or el dictamen aportado. Un informe mal realizado, puede llevarnos a una contra pericial con lo que el trabajo se multiplica y mermara nuestra reputacin.
www.antpji.com
Pgina 48

Como realizar una auditora telemtica
Antiguamente la comprobacin de la gestin, control y actividad econmica-financiera de las empresas se realizaba mediante largos, costosos y exhaustivos procesos de auditora financiera. La implantacin de sistemas informticos, deja anulado estos sistemas, debido a que hay que no pueden detectar las entradas y salidas generadas y si haban sido objeto o no de manipulacin. Una empresa que cuente con una plantilla mnima de 50 personas, ha de tener una auditoria informtica independiente que garantice la seguridad de sus sistemas, bases de datos, fuga de activos; capaz de detectar ataques internos como externos. Una auditora de seguridad informtica es una evaluacin de los sistemas informticos cuyo fin es detectar errores y fallas y que mediante un informe detallado entregamos al responsable en el que describimos: Equipos instalados, servidores, programas, sistemas operativos Procedimientos instalados Anlisis de Seguridad en los equipos y en la red Anlisis de la eficiencia de los Sistemas y Programas informticos Gestin de los sistemas instalados Optimizacin del Parque Informtico (Software y Hardware) Verificacin del cumplimiento de la Normativa vigente LOPD Vulnerabilidades que pudieran presentarse en una revisin de las estaciones de trabajo, redes de comunicaciones, servidores. Protocolo de Seguridad ante una amenaza tecnolgica Una vez obtenidos los resultados y verificados, se emite otro informe, indicndole el establecimiento de las medidas preventivas de refuerzo y/o correccin siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditoras de seguridad permiten conocer en el momento de su realizacin cul es la situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad. Una Auditoria de Seguridad conlleva: Amenazas y elementos de Seguridad de entrada y salida de datos. Aspectos Gerenciales Anlisis de Riesgos Identificacin de amenazas. Seguridad en Internet www.antpji.com Pgina 49

Control de Sistemas y Programas instalados Protocolo de Riesgos, Seguridad, Seguros, Programas instalados Protocolo ante perdidas, fraude y ciberataques Planes de Contingencia y Recuperacin de Desastres Seguridad Fsica Seguridad de Datos y Programas Plan de Seguridad Polticas de Seguridad Medidas de Seguridad (Directivas, Preventivas y Correctivas) Cadena de Custodia LOPD
Es necesario en las empresas, dependiendo de la cantidad de empleados y facturacin un Plan de Auditoria Informtica que oriente sobre la planificacin de un sistema seguro y un plan de emergencia ante posibles desastres; implementando una metodologa a seguir en caso de que ocurra alguna vulnerabilidad. Nadie est a salvo y es conveniente contar con la ayuda de un profesional que oriente sobre el control interno y evitar situaciones no deseadas. Hay que instalar un sistema apoyado en herramientas de anlisis y verificacin que permitan determinar las debilidades y posibles fallos y su inmediata reparacin, reposicin o contraataque. Los servicios de auditora pueden ser de distinta ndole: Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carcter interno Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada. Es un complemento fundamental para la auditora perimetral. Anlisis forense. El anlisis forense es una metodologa de estudio para el anlisis posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el sistema, a la par que se valoran los daos ocasionados. Auditora de pginas web. Entendida como el anlisis externo de la web, comprobando vulnerabilidades.
www.antpji.com
Pgina 50

Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de aplicaciones pginas Web como de cualquier tipo de aplicacin, independientemente del lenguaje empleado. Auditoria de Seguridad ante la amenaza de un ataque ciberntico, extorsin empresarial ciberntica y creacin de un gabinete y protocolo de actuacin ante cualquier ataque, chantaje o fuga de datos. Una Auditoria de Seguridad Informtica se realiza en base a un conjunto de directrices de buenas prcticas que garanticen la seguridad de los sistemas.
Existen estndares base para auditorias informticas como: COBIT (objetivos de Control de la Tecnolgica de la Informacin) ISO 17799 ISO 27001 ISO 27002 Normas NFPA75 TIA 942 ISACA
ANBASO (Certificacin propia de ANTPJI para Software) ANBAET(Certificacin propia de ANTPJI para Hardware) No me decanto por ninguna, puesto que las TIC avanzan muy deprisa y es necesario actualizarlas, pero a modo de ejemplo el procedimiento a seguir por el Perito Informtico a la hora de implantar un modelo de Auditoria de Seguridad Informtica sera el siguiente: Estudio General, evaluando la empresa, el personal, equipos y programas Observacin de los sistemas implantados y realizacin de cuestionarios y entrevistas, sobre todo al personal que tenga acceso a documentacin o datos sensibles. Elabora grficos estadsticos y flujogramas. Anlisis de datos (Comparacin de programas, Mapeo y rastreo de programas, Anlisis de cdigo de programas, Datos de prueba, Datos de prueba integrados, Anlisis de bitcoras, Simulacin paralela) Enumera los equipos, redes, protocolos Analiza e inspecciona los servicios utilizados, aplicaciones y procedimientos usados Identifica y confirma todos los sistemas operticos instalado Identifica, ejecuta anlisis, inspecciona, verifica, comprueba y evala las evidencias y fallas (OJO con el factor humano)
www.antpji.com
Pgina 51
Disea controles y medidas correctivas en las actividades y recursos dentro de la empresa. Conciencia sobre la normativa y legislacin vigente Realiza un completo Anlisis de Riesgos. Realiza un informe completo sobre la implantacin de la Auditoria de Seguridad, implantacin de medidas preventivas y protocolo de Seguridad a instalar Emite un certificado de Seguridad de Auditoria Informtica Visitas cada tres meses para la comprobacin de la aplicacin de las normas. Es necesario pensar de manera analtica, reflexiva y critica a la hora de integrar equipos y personas. Debemos ser creativos en la implantacin de los paquetes de medidas a instalar concienciando al personal, facilitndole la labor de controles internos y aplicacin de medidas correctivas con un lenguaje sencillo y aplicaciones bsicas pero efectivas que garanticen la seguridad ante un ataque externo. Un sistema implantado de Auditoria Informtica ha de ser vlido y efectivo, sin que dependa exclusivamente de una ayuda externa, ofreciendo soluciones integradas a problemas organizacionales. Cualquier ataque o falla de sistema, ha de ser detectable de manera inmediata, para que el personal de la empresa pueda activar el protocolo de seguridad inicial, sin que afecte a las visitas de control que se indiquen segn el nmero de empleados y facturacin de la empresa. El cliente conoce el valor de la seguridad fsica, pero en contadas ocasiones conoce el precio de la seguridad de la red, ni el coste empresarial que puede suponer estar debidamente protegido o sanciones por la prdida de informacin sensible o la quiebra del negocio por un ciberataque. No solo es necesario una Auditoria de Seguridad Informtica, sino realizar un mantenimiento, al igual que se hace con los equipos informticos, ya que as podemos asegurar la integridad de los controles de seguridad aplicados. No olvidemos que los avances tecnolgicos avanzan metericamente al igual que los delitos cibernticos, con lo que es necesario parches, actualizaciones de software, adquisicin de nuevos productos tanto en software como hardware. Es necesario desde el primer momento realizar una evaluacin de la empresa con sus variables de personal, equipos, facturacin, delegaciones para calcular los tiempos y realizar un coste aproximado de la implantacin de una Auditoria Informtica, identificando los riesgos actuales y la forma de superarlos.
www.antpji.com
Pgina 52

No olvidemos que adquirimos responsabilidades no solo con la persona con la que contratamos, sino con un nmero de personas desconocidas que van a utilizar el resultado de nuestro trabajo como base para tomar decisiones. Una Auditoria de Seguridad requiere el ejercicio de un juicio profesional, slido maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos El informe inicial de Auditoria de Seguridad Informtica ha de contener: Tipo de Auditoria a instalar (mbito, Aplicacin, y Planificacin de la misma) Riesgos actuales Seguridad fsica y lgica del Centro Tecnolgico (Central, Servidores) Auditoria de direccin y personal autorizado a integrar en la Auditoria Auditoria del desarrollo del negocio (Fsica, Forense y Financiera) Base de Datos ( LOPD, normativa, irregularidades, correos personales) Implantacin de medidas de seguridad Anlisis de Negocio Electrnico y administracin de la WEB Aplicacin de tcnicas y procedimientos de auditora forense. Aplicacin de nuevas tecnologas en equipos o programas en la Empresa. Aplicacin de los sistemas instalados ante incidentes Protocolo de Seguridad ante ataques cibernticos
Curso de gestin de conocimiento al personal sobre: Amenazas y problemas en el uso de las tecnolgicas de informacin Conceptos de Seguridad Control de Confidencialidad Correos Redes sociales Privacidad Instalacin de programas Medidas de control ante un ataque Normas de seguridad a instalar en la empresa Normativa de seguridad SCII Sistema de Control Informtico Interno Riesgos y control de los mismos
www.antpji.com
Pgina 53

Como se realiza un peritaje telemtico para un cliente
ANTPJI ofrece un servicio integral de Asesoramiento Tcnico gratuito para poder solucionar sus dudas o problemas en cuanto a Delitos Informticos, Consultora Informtica, Auditoria de Seguridad Informtica o Peritaje telemtico. El protocolo de actuacin empieza con la toma de contacto bien por correo electrnico contacto@antpji.com o de manera telefnica, donde atenderemos su consulta. A continuacin ha de rellenar la solicitud de un Perito Telemtico que puede realizarlo desde nuestra web www.antpji.com En esta primera toma de contacto el cliente en solitario o con su asesor laboral y el Perito Telemtico llevara a cabo un anlisis de la situacin inicial con la informacin facilitada por el propio cliente donde se determinaran los objetivos de la consulta o investigacin y se establecer el procedimiento a seguir para la extraccin de las evidencias electrnicas determinantes para la labor y se estiman los costos y tiempos de ejecucin.
Presupuesto del servicio:

Tras el anlisis inicial, se realiza un presupuesto del servicio que incluye la tarificacin de las acciones llevadas a cabo para la Auditoria de Seguridad Informtica o para la obtencin de evidencias informticas. Se realiza una valoracin inicial, detallando las partidas referentes a horas realizadas, desplazamientos, labores tcnicas del laboratorio forense, redaccin y elaboracin de informes, actuacin de otros profesionales para que el cliente sepa de manera transparente la operatividad del proceso y los costos del mismo.
Aceptacin del presupuesto:

El cliente recibe el presupuesto y si est conforme, lo devuelve firmado y sellado, dando comienzo a la siguiente fase.
AUDITORIA INFORMATICA
Tras la toma de contacto, se procede a la visita en donde se encuentran los equipos informticos para detectar las posibles deficiencias , realizndose un test de penetracin, por donde puede haber problemas en cuanto a la Seguridad Informtica. El Perito telemtico realiza un anlisis exhaustivo de dichos elementos, para posteriormente elaborar un manual de seguridad, estableciendo una formacin del personal implicado en los procesos de seguridad informtica o que manejen datos sensibles tanto internos como externos. Finalizado la Auditoria de Seguridad, el perito informtico redactara el informe final y establecer un calendario de mantenimiento de Seguridad.
PERITAJE TELEMTICO
Desarrollo de la investigacin y elaboracin del Informe:
www.antpji.com
Pgina 54

Tras la toma de contacto, se procede a efectuar la recogida de evidencias electrnicas, asegurando la cadena de custodia con el fin de que no existan motivos de anulacin por manipulacin de los equipos tecnolgicos que puedan intervenir en la investigacin (equipos informticos, telfonos, Smartphone, discos de almacenamiento) Posteriormente los datos obtenidos sern trasladados al Laboratorio Forense Telemtico, donde el Perito realizara un informe inicial que entregara antes de 78 horas al al cliente y en donde constara la transcripcin del proceso, la metodologa empleada en la extraccin de la evidencia digital, las herramientas y programas utilizados, as como todos los test realizados para la elaboracin y anlisis final. Finalizado el anlisis, el perito informtico comienza a redactar el informe pericial que presentar ante los Tribunales de Justicia.
Declaracin ante Tribunales:

En caso de que sea necesario, el perito informtico de ANTPJI que ha elaborado el informe, testificar ante los Tribunales de Justicia para aportar las conclusiones de la investigacin. Los Tribunales de Justicia aceptan la metodologa empleada por los tcnicos de ANTPJI, ya que los procesos de examen realizados en el laboratorio, no alteran la informacin almacenada en los soportes informticos, garantizando as la conservacin de la evidencia electrnica en perfecto estado. Adems, el cuidadoso protocolo de Peritaje Informtico desarrollado por ANTPJI garantiza la seguridad, la autenticidad y la cadena de custodia de la prueba, desde su adquisicin hasta su presentacin ante los tribunales.
www.antpji.com
Pgina 55

Gua de buenas prcticas para el peritaje telemtico en recuperacin de imgenes y documentos
Esta gua de buenas prcticas tiene como objeto el difundir un protocolo comn, y homogeneizar la realizacin de peritajes informticos, especialmente los orientados a recuperar documentos e imgenes. Estas buenas prcticas son el resultado de variadas experiencias en la realizacin de pericias Informticas, as como de la consulta de documentacin referente al tema. Son una plasmacin de los cdigos de prctica y conducta de la Asociacin Nacional de Peritos Judiciales Informticos. El mbito del peritaje informtico en recuperacin de imgenes y documentos est orientado a extraer de equipos informticos intervenidos aquellos ficheros que puedan ser relevantes, muchas veces en un contexto de mbito penal, aunque tambin puede seguirse, exactamente el mismo procedimiento, para el mbito civil u otros. La lgica del peritaje de este tipo est basada en presentar el contenido de ficheros que puedan tener relevancia jurdica, informando de su significado y caractersticas. Esos ficheros deben haberse mantenido en una "cadena de custodia", por lo que se detallarn los pasos desde que se intervienen o reciben los equipos informticos, hasta que se presentan los ficheros relevantes. El peritaje ha de poder ser repetido, por lo que no se pueden alterar los elementos informticos originales, trabajndose siempre sobre copias clnicas. La mayora de estos peritajes estn referidos a ordenadores de usuario con sistema operativo Windows. Para efectuar peritajes en equipos servidores y/o en otros sistemas operativos. Seguiremos un protocolo estandarizado con las adaptaciones que requiera el informe, cliente o entorno; pero bsicamente sern cuatro pasos: 1. 2. Intervencin. Se intervienen los elementos informticos.(Conveniente la presencia de un notario) Examen y revisin visual, descartndose los elementos informticos irrelevantes y se preparan los dems, inventarindose e indicndose su ficha tcnica, localizacin, estado y datos relevantes. Exploracin de ficheros. Se localizan, imprimen y describen los ficheros informticos relevantes. Informe pericial. Se confecciona el informe, y se cierra el peritaje.
3. 4.
Siguiendo estas precauciones, el peritaje se explicar por s mismo, y el perito simplemente se remitir a lo ya expuesto en su peritaje. Cuanto ms claro e irrefutable el peritaje, menos presencia posterior del perito.
www.antpji.com
Pgina 56
1.- INTERVENCION En la entrada a los locales donde estn los equipos informticos, se deber acudir provisto de: Ordenador porttil Cmara fotogrfica Vdeo, rotulador para CD Destornilladores varios Estacin de clonado de discos La mquina fotogrfica ser utilizada para obtener imgenes de las pantallas de los ordenadores, en el caso de que estuvieran en funcionamiento. Tambin se fotografiarn los equipos. No se deber permitir que nadie toque los ordenadores encendidos bajo ningn concepto. La forma de apagar los ordenadores es directamente quitndoles la energa elctrica. Esto se debe a que, en un apagado ordenado, parte de los ficheros temporales, que pudieran ser significativos, seran automticamente borrados. Tampoco se tiene la garanta de que, en el proceso de apagado, no se borren o introduzcan intencionadamente ficheros, lo que podra invalidar el peritaje. De esta manera, apagando los equipos sin ninguna manipulacin, no ha lugar a ningn tipo de conjetura sobre la cadena de custodia. Un perito profesional informtico podra, antes de apagar, extraer una imagen pericial del estado de los procesos en ejecucin mediante herramientas periciales del tipo de Forensic and Incident Response Environment. Si se quitase algn cable antes de apagar, quiz se disparase un auto apagado, lo que se debe evitar. Los elementos a peritar en una intervencin son fundamentalmente los soportes de datos. Los siguientes elementos informticos no son Relevantes a efectos de pericias informticas: Pantallas de ordenador Teclados y ratones Impresoras Equipos de telecomunicaciones Cables CD o DVD grabado en fbrica Aquellos equipos que no almacenen datos De todos estos elementos lo nico que se debe hacer es inventariarlos, y fotografiarlos, para poder sealar en su momento que fueron encontrados en el lugar de la intervencin. Fsicamente, su peritacin no aportara ninguna luz. En el caso de las impresoras, no hay un mtodo eficiente para individualizar una en concreto a travs de su "huella" en el papel, por lo que no son relevantes en peritajes informticos.
www.antpji.com
Pgina 57
Se debern intervenir los siguientes elementos informticos: Ordenadores (sobremesa, porttiles y agendas PDA) Discos pticos -CD y DVD- (excepto los grabados en fbrica) Discos flexibles -disquetesDiscos duros de ordenador Unidades de almacenamiento externas (PenDrive, Reproductores MP3, Discos, Memorias, dispositivos USB) Telfonos mviles (almacenan datos, mensajes, agendas e informacin relevante) Todo tipo de soporte de almacenamiento permanente de datos en general. Los lectores grabadores de tarjetas magnticas (si existiesen) se intervendrn, por ser equipos que habitualmente carecen de uso fuera de la manipulacin de tarjetas. Todos los soportes de datos debern ser inventariados. Los discos duros tienen nmero de serie. Los discos pticos suelen tener un nmero de serie en la parte transparente del orificio central. Los discos flexibles tienen nmeros de serie frecuentemente repetidos, y eso cuando los tienen. Una alternativa es firmar con un rotulador de CD todos los discos pticos y discos flexibles intervenidos. Los ordenadores porttiles deben ser intervenidos, por la dificultad que entraa extraer sus sistemas de almacenamiento en el mismo lugar de la intervencin. En los ordenadores de sobremesa se recomienda extraer e intervenir sus sistemas de almacenamiento. La carcasa, CPU, placas, memoria RAM y otros componentes del ordenador no tienen inters a efectos de pericias informticas. Slo los sistemas de almacenamiento permanente de datos son relevantes. Para extraer los sistemas de almacenamiento de datos de un ordenador de sobremesa, normalmente solo se necesita un destornillador de estrella y seguir las siguientes instrucciones: 1. 2. 3. 4. 5. 6. 7. 8. Apagar el ordenador Quitar la carcasa Desconectar el cable de datos (normalmente IDE) y de alimentacin del disco duro Quitar los tornillos al disco duro Extraer el disco duro SIN TOCAR LOS CIRCUITOS (peligro de daos) Firmar el disco duro Guardar el disco duro en un sobre antiesttico o de papel Una vez extrado el o los discos duros, se volver a conectar el ordenador, para abrir el lector de CD y extraer algn CD, DVD o disquete que hubiera dentro 9. Inventariar los nmeros de serie del ordenador y de los elementos extrados y fotografiarlos
www.antpji.com
Pgina 58

2.- REVISION PRELIMINAR Discos flexibles y pticos Los discos flexibles y pticos pueden leerse en cualquier ordenador personal. Se tomar la precaucin de mover la pestaa en los discos flexibles para que queden en posicin de solo lectura. Tomadas estas precauciones, los discos pticos y flexibles pueden explorarse en cualquier ordenador personal, abriendo los ficheros sin miedo a alterar el soporte original. En caso de que un disco de errores de lectura, o est deteriorado, se le har una copia clnica, intentando recuperar los sectores defectuosos, y solo se utilizar la copia clonada. Para hacer una copia clnica de un disco flexible, es valido cualquier clonador de CDs, utilizo una regrabadora de DVD y el Nero, hay otros programas que saltan el antycopi como el Clon Oves o similar. Si los sectores defectuosos lo son por daos en el medio fsico, da igual que la copia clnica tenga ese sector daado de la misma manera o de cualquier otra. Lo importante es que la copia clnica del disco ptico sea completa. Discos Duros La precaucin es evitar cualquier modificacin del disco duro. Al abrir un fichero, muchos programas crean un fichero temporal en la misma carpeta. Esto altera el disco duro original, y no es una buena prctica. Arrancar un ordenador hace que se modifiquen y escriban mltiples ficheros, por lo que se ha de evitar siempre. Se recomienda clonar el disco duro intervenido y explorar la copia clonada. Con esto se evita modificar en lo ms mnimo el disco duro intervenido, lo que podra invalidarle como prueba pericial. Para hacer una copia clnica de un disco duro, se necesita un disco duro virgen, un ordenador de sobremesa, y cualquier programa de copia de discos auto arrancable desde disquete -que no intervenga para nada el sistema operativo del disco duro-, como puede ser Drive Image o Knoppix STD. El disco duro copia ha de estar limpio de cualquier tipo de dato previo. Se recomienda un disco duro de fbrica a estrenar. Si se quiere reutilizar algn disco duro, previamente habr que hacerle un formateo completo a bajo nivel, rellenndolo de ceros binarios. El objetivo es evitar que sectores existentes en el disco duro que va a recibir la copia, puedan aparecer como pertenecientes al disco duro intervenido. La copia ha de ser clnica, incluyendo todos los sectores, para evitar que ficheros en borrado lgico queden sin copiar. La particin del disco duro intervenido y la de la copia han de tener, por tanto, el mismo tamao.
www.antpji.com
Pgina 59

Es admisible que la particin en la copia no sea primaria, sino secundaria o extendida, para poder poner varios discos duros intervenidos dentro de un solo disco duro de copia fsico. El disco duro copia se etiquetar con las indicaciones de los discos duros originales intervenidos. Los discos originales intervenidos no se tocarn ms. Soportes de datos de Lectura/Escritura En cualquier soporte de datos que admita escritura, se utilizar la misma estrategia que en los discos duros, esto es, se clonarn a un soporte de datos virgen del mismo tipo. Ordenador porttil Para obtener una copia de los datos de un porttil existen varias soluciones. Si el porttil dispone de grabadora de CDs, se arrancar el porttil con un programa con sistema operativo integrado (no arrancar desde el disco duro) y se obtendr una imagen del disco duro en un disco ptico. El disco ptico se volcar a su vez, a travs de un ordenador de sobremesa a un disco duro virgen. Otra opcin es extraer el disco duro del porttil, y con un adaptador conectarlo a un ordenador personal, para entonces copiarlo a un disco duro virgen. En todo caso, nunca se debe arrancar el ordenador porttil desde su disco duro, pues lo alterara. Si estis familiarizados con Linux o unidades virtuales o incluso es vlida la utilizacin del Hiren Boot 8 o 9. Ficheros borrados Una vez realizada una exploracin de los ficheros existentes, se deber utilizar un programa de recuperacin de ficheros borrados (como el programa Revive) para localizar potenciales ficheros relevantes que hubiesen sido borrados. El los discos pticos, se puede grabar a continuacin de lo ya grabado, haciendo inaccesible lo anterior, tambin se debern revisar estas grabaciones previas, si existiesen. En caso de incluir un fichero borrado y recuperado en el informe pericial, deber explicarse prolijamente el mtodo por el que se ha obtenido. 3.- EXPLORACION DE FICHEROS Imgenes Las imgenes, sobre todo las referentes a falsificaciones, tienen una caracterstica fundamental: para tener cierta calidad han de tener bastante tamao. El procedimiento ms sencillo para localizar las imgenes de un medio es el programa estndar de exploracin de Windows. Se utilizar la bsqueda, seleccionando opciones de bsqueda para que el tamao mnimo del fichero a buscar sea superior a un tamao determinado, por ejemplo 100 KB. www.antpji.com Pgina 60

Teniendo en cuenta que la gran mayora de los ficheros en un ordenador son de pequeo tamao, seleccionar todos los ficheros superiores a un lmite determinado reduce enormemente el nmero de ficheros. Una vez seleccionados los ficheros superiores a un tamao, se procede a revisar los resultados, clasificndolos por fecha, opor carpeta o por tipo. Normalmente la experiencia indica que los ficheros relevantes se suelen encontrar en los directorios normales de usuario, por ejemplo en Mis documentos. Para mirar antecedentes y procedencia, podis utilizar el programa FOCCA, que os indicara muchos registros de los que necesitis. Las tcnicas de esteganografa, basadas en ocultar una imagen relevante dentro de otra imagen de apariencia anodina, no suelen estar al alcance de personas sin slidos conocimientos informticos, por lo que, salvo en casos muy concretos, no se realizarn anlisis esteganogrficos. Un caso particular es la localizacin de imgenes en Internet. Normalmente, los ficheros de un ordenador, a efectos periciales, se pueden dividir en aquellos referidos a Internet y aquellos no referidos a Internet. Una buena prctica, si se dispone de tiempo y recursos, especialmente en aquellos discos duros que contienen un gran nmero de imgenes, es copiar la informacin de Internet a una particin y el resto a otra particin, explorando entonces cada particin por separado. Una forma de realizar esta copia es clonar el disco duro y luego, desde el explorador de Windows cortar y pegar el directorio de Internet (dentro de las carpetas del sistema operativo Windows) a otra participacin en el disco copia. Hay que tener en cuenta que los ficheros de Internet, especialmente los grficos, tienen tamaos menores que los ficheros distribuidos en soporte fsico. En temas de fotografas de menores, es en los ficheros del directorio de Internet el sitio ms probable donde encontrar ficheros relevantes. Tambin en el directorio de Internet es ms probable localizar ficheros de imgenes relevantes que identifiquen actividades a las que el usuario del ordenador se ha dedicado. Por ejemplo gestiones bancarias o de otro tipo donde va a figurar el nombre y la identificacin del usuario. Esto es muy interesante a la hora de poder justificar que ese disco duro ha sido utilizado por un usuario determinado. Un programa muy til para la localizacin de imgenes es el que busca y muestra todas las imgenes de una carpeta o de un soporte determinado, selecciona aquellas que contienen imgenes, y las presenta como miniaturas en pantalla.
www.antpji.com
Pgina 61

El programa ACDsee es paradigmtico en este aspecto. Con un programa de este tipo se pueden recuperar, por ejemplo, todas las imgenes contenidas en el directorio de Internet y presentarlas en pantalla como miniaturas, inclusive clasificadas por tamao. De esta manera se puede revisar rpidamente miles de imgenes. Por cada imagen relevante seleccionada se proceder de la siguiente manera: 1. Se obtendr una "foto" del directorio donde estaba el fichero. Esto se puede hacer mediante el explorador de Windows hasta localizar el fichero. Luego se "fotografa" la pantalla pulsando simultneamente las teclas alt y impr pant y, en un documento de Word, pulsar el botn derecho del ratn y seleccionar pegar. La "foto" quedar pegada en el documento Word. 2. Se copiar la imagen imgenes relevantes. a un directorio de trabajo, que podemos denominar
3. Se imprimir cada imagen con un pie que consista en la ruta completa del fichero. Para ello se utilizar un buen programa de tratamiento de imgenes, como Photoshop o PhotoPaint. En el caso de falsificacin de billetes o documentos con nmeros de serie, se har una ampliacin digital de los nmeros de serie. El objetivo es revisar si los nmeros de serie, especialmente los ltimos dgitos han sido manipulados. Es habitual encontrar una misma imagen que da lugar a distintas falsificaciones por el procedimiento de alterar el nmero de serie. Tambin revisar formularios sellados en blanco, por si hubiesen sido manipulados para borrar lo escrito y dejar los campos en blanco. Documentos La exploracin de documentos no tiene relacin con la exploracin de imgenes. Los ficheros de documentos son de tamaos muy variados, y tambin pueden estar en cualquier sitio. La buena prctica indica que los ficheros con documentos suelen estar en las carpetas de usuario, y adems con las extensiones habituales (.doc .xls .txt . pdf .rtf .htm y similares). Por tanto es muy til el explorador de Windows, buscando en el disco duro completo por tipo de fichero.
Es importante localizar ficheros relevantes que identifiquen al usuario del ordenador, especialmente los ficheros donde figuren el nombre y los datos del usuario. Esto es muy www.antpji.com Pgina 62

interesante a la hora de poder justificar que ese disco duro ha sido utilizado por un usuario determinado. Hay gran cantidad de ficheros de distribucin que pueden dificultar la bsqueda de ficheros relevantes. habitualmente, con una simple clasificacin por fecha, se detecta rpidamente cuales son los ficheros de distribucin de un producto determinado, ya que suelen tener todos la misma fecha. Para ver el contenido de un fichero que no tiene una extensin reconocida, y no es de un gran tamao, una opcin muy rpida es abrirlo con el programa de utilidad bloc de notas. Programas Desde el punto de vista pericial, es tambin importante determinar qu programas se han utilizado en un ordenador. No es lo mismo que el ordenador disponga exclusivamente de los programas de tratamiento de imgenes que vienen ya instalados con el sistema operativo, a que se encuentre toda una panoplia de software de exploracin, de tratamiento y de impresin de imgenes, sobre todo si tambin se encuentran imgenes relevantes. Aun que cada uno de estos programas no tiene relevancia independiente, el conjunto de un elenco de programas de tratamiento de imgenes con ficheros con imgenes de falsificaciones si que puede tener relevancia. Los efectos de la relevancia no han de ser determinados por el Perito, que deber ceirse a indicar si los medios tcnicos, programas y ficheros forman un conjunto apto para el tratamiento de imgenes. Un caso especial son los programas utilizados para la falsificacin de tarjetas magnticas. Se suelen reconocer porque estn escritos en Visual Basic (extensin .vba). Abierto el fichero con el bloc de notas, se pueden ver los comentarios del programa que indicarn su uso. Por su propia naturaleza, no hay software de difusin masiva para el manejo de lectores grabadores de tarjetas magnticas, que sea accesible al pblico en general, por lo que es habitual el desarrollo de programas "ad hoc". Es muy conveniente relacionar el programa con los lectores de tarjetas magnticas intervenidos, ya que cada programa suele tener opciones para el manejo de unos determinados modelos de lectores grabadores de tarjetas. 4.- INFORME PERICIAL Los informes periciales suelen seguir la misma pauta cuando se refieren a similares asuntos. Se adjunta un informe tipo utilizado en informes periciales referentes a falsificacin de billetes.
www.antpji.com
Pgina 63

Portada Los apartados ms relevantes son los siguientes: Deber orientarse a identificar clara y rpidamente el contenido del informe pericial. Donde se ha hecho el peritaje, la referencia y a quien va destinado (normalmente identificando Juzgado y diligencias). Los datos de la portada se resumirn y repetirn como pie de pgina a lo largo del peritaje. Peritos Identificacin del Perito o los Peritos. En los peritajes de ndole penal, es muy comn omitir el nombre y apellidos del Perito y sustituirlo por un nmero de identificacin, como puede ser un nmero de colegiado. Antecedentes Es un inventario de los equipos intervenidos y de su procedencia. Prueba pericial Se describen los pasos dados desde la recepcin de los equipos intervenidos hasta la obtencin de los ficheros relevantes. Se debe indicar el cdigo o cdigos de conducta o de buenas prcticas que se han seguido. Por ejemplo el cdigo deontolgico, de prctica y conducta de ANTPJI. Se describe los pasos realizados para la obtencin de discos copia. Se detallan las caractersticas tcnicas de los elementos informticos intervenidos. Se enumeran los ficheros relevantes encontrados, y los equipos informticos donde fueron hallados. Ficheros relevantes Se describe, para cada fichero relevante encontrado, el contenido que le hace relevante. En los casos de falsificacin, este apartado suele ser cumplimentado por un experto pericial en falsificaciones. Conclusiones Se indica en que componentes informticos se han encontrado ficheros relevantes, y un resumen del contenido que les hace relevantes, inclusive enlazando con datos de identificacin de usuario que se hubieran encontrado. Este apartado es generalmente un resumen del apartado de ficheros relevantes.
www.antpji.com
Pgina 64
Firma Se inventaran los elementos informticos relevantes que quedan como resultado de la prueba pericial, y que se remiten con el informe, esto es, todos los soportes de almacenamiento donde se han encontrado ficheros relevantes. Es muy conveniente grabar los ficheros relevantes y el propio informe pericial en un CD, (grabarlo con sesin cerrada para que no se pueda manipular), que permitir acceder con facilidad a los ficheros relevantes. En otra relacin, se devuelven los elementos informticos que no hayan resultado relevantes. El Perito no debe quedarse con ningn elemento informtico intervenido. Debe devolverlos todos, sealando y distinguiendo aquellos elementos informticos que contienen elementos relevantes de aquellos donde no se han encontrado elementos relevantes. Anexos I: equipos peritados Se incluirn las fotografas de los equipos peritados, as como de las imgenes de las carpetas donde se encontraron los ficheros relevantes. Anexo II: ficheros relevantes Se incluir el contenido de cada fichero relevante con la ruta completa donde fue encontrado. Conservacin de elementos periciales Una vez realizado el informe pericial se deben conservar los siguientes elementos en poder del Perito: 1. 2. 3. Copia del informe pericial Copia del CD con los ficheros relevantes y el informe pericial Disco duro copia utilizado en la realizacin del peritaje.
Si por algn motivo el disco duro copia se alter durante la realizacin del peritaje, deber volver a clonarse de nuevo, para su conservacin.
Marketing para Peritos Telemticos

No eres ni el primero, ni sers el ltimo. Cuando recibimos el titulo de Perito Judicial Telemtico, todos tratamos de posicionar nuestra nueva actividad, por lo general, miramos lo www.antpji.com Pgina 65

que estn haciendo los colegas y trata de copiar lo mejor que puede. Miramos artculos, web y blog de otros Peritos Informticos o incluso de otras disciplinas. Lo primero que tienes que hacer es ser consciente de que la Organizacin a la que perteneces, se preocupa de que tu nueva actividad sea lo ms lucrativa posible con el objetivo de que hables bien de la misma y sirva para otros profesionales, ya que no tiene contemplado una partida ni mensual ni anual en cuanto a publicidad. Su reconocido respeto tan solo ha de crearse gracias al boca a boca de sus asociados, clientes y proveedores. No olvidar que el Presidente de la Organizacin, dejo su agencia de publicidad, tras pasar por varios medios de comunicacin tanto en prensa escrita, radio y televisin como director de marketing y se decanto por las Nuevas Tecnologas con el objetivo de ayudar a informticos buscando la manera de una capacitacin profesional. Voy a tratar de dar unas pinceladas para que tu imaginacin haga el resto. El marketing y el saber venderse es fundamental con lo que tenemos que comunicar nuestro nuevo status laboral, y repartir tarjetas, iniciar contactos con personas que pueda serles til nuestra nueva capacitacin como abogados, fiscales, empresas y profesionales autnomos. No debemos de olvidar el publicitarnos en portales gratuitos como www.porticolegal.com y crear un blog e incluso una pgina web en donde sabemos que el coste econmico es asumible y la creacin de una pgina no excede de los 100 . Las facultades no forman a sus alumnos sobre el mercado, las pautas de comunicacin interna o externa, las relaciones con los medios, el acercamiento a clientes, gerencia sobre departamentos de responsabilidad informtica, tributos, estudios de calidad, de responsabilidad social En la Organizacin en la que te encuentras, te ofreceremos herramientas que te permitirn hacer desde un Plan bsico de Empresa, como otras herramientas para que puedas planificar y gestionar mejor tu nueva actividad, porque sabemos que la fortaleza de de un servicio de Auditora y Peritaje Informtico, est en el Capital Humano que lo brinda, sumado a un conocimiento continuo y actualizado agregado al saber de un colectivo que trabaja en lo mismo y esa sinergia creada da como resultado una conocimiento superior a la mayora de profesionales. No pretendemos que seas un Perito Informtico cualquiera, sino que tus clientes vean la diferencia entre otros Peritos Profesionales y t.
Te ayudaremos con la imagen corporativa, con el visado de informes, pericias, dictmenes segmentar el mercado al que te vas a dedicar, ordenar los esfuerzos, proporcionndote todo el material que necesites y alinear los costos, para asegurarnos el xito en tu nueva andadura profesional. Te ofrecemos algunos consejos, cumpliendo la norma y la tica de la profesin para que promuevas la atencin personalizada de tus clientes, el seguimiento de sus necesidades y las www.antpji.com Pgina 66

ventas cruzadas. No hay que esperar la llamada del telfono, sino salir para ofrecer nuestros servicios, porque hay mucha gente que los necesita y no conocen nuestro telfono. No es una parrafada, pero cada da llama ms gente a la Organizacin buscando Peritos y agradecindonos nuestra existencia porque no saban a dnde dirigirse. PRIMEROS PASOS Como hemos apuntado empezaremos a trabajar sobre un listado de acciones y herramientas: Imagen Corporativa. Tarjetas, Hojas con membrete, Papelera personalizada. (Enviamos modelos) Blog (Dedicarle media hora diaria) New Lester (Compartamos Plataformas del conocimiento con otros colegas e intercambiemos datos) Pagina Web (Diseemos algo gil y funcional) Presencia en las redes sociales (No olvidemos el dicho que si no estamos en la Red, no existimos, y todos sabemos que no hay coste en publicitarnos en facebook, twiter, redes profesionales como Linkendin, Xing) Organizacin de seminarios, desayunos o congresos. (La organizacin, te apoyara en estas actividades con su experiencia y merchandaising) Publicidad en medios de comunicacin tcnicos o generales. (No se trata de gastar dinero en publicidad, sino en ofrecerse como especialistas en informticas a revistas del barrio, profesionales, cadenas de radio e incluso de televisin, y en donde sabemos que la retribucin econmica es escasa, pero se puede intercambiar con publicidad) Participacin Acadmica (Estamos en un escaln superior y es necesario el compartir nuestro conocimiento con escuelas de FP, academias o similar en donde vern un profesional y el retorno de la inversin de nuestro tiempo repercutir en breve con ventas cruzadas.Es cierto que podemos dar unas clases gratis, pero tambin es cierto que llevamos el mantenimiento de los equipos, la auditoria de seguridad, la implantacin de la LOPD Y e aprendido mucho de los alumnos de FP) Actividades como ponentes o asesores en cmaras empresariales o espacios sociales como Juntas de Distrito,Ayuntamientos, Institutos de Arbitraje
Networking on y off line. Responsabilidad Social Corporativa, colaborando con ONGs (Aunque no creis, la red hablara de vosotros y cuando hagis alguna accin que beneficie a un grupo determinado en riesgo de exclusin o marginado por la brecha digital, el reconocimiento ser mayor) www.antpji.com Pgina 67

Meditar el nicho de mercado que tenemos y en donde no est presente los aparatos tecnolgicos y por ende la informtica que nosotros dominamos, y es muy cierto, la gente tiene muchas dudas sobre la seguridad en general, no hablemos de la seguridad en equipos informticos. Muchas veces he odo a otros compaeros porque sala ms que ellos en medios de comunicacin. La respuesta era fcil, cuando firmaba una columna o un artculo en una revista o en un diario, ellos desconocan que semanas antes haba enviado decenas de cartas y artculos y que segn la ley sagrada del marketing REPETICION es igual a REPUTACION, de cada diez acciones de ventas que se realizan una se materializa seguro y si encima nos esforzamos en perfeccionarla el resultado es ms que satisfactorio. Mucha gente ha seguido mis consejos y doctrinas de los artculos y otros me han criticado con diferentes argumentos ya que tambin ellos son expertos, olvidando que mi objetivo se haba cumplido de manera doble, porque al margen de quien llevara razn, saban quin era yo desde ese instante que me replicaban. Meditarlo porque estas apariciones en los medios de comunicacin adquieren un valor muy fundamental sobre todo para vuestros clientes actuales o futuros que les hace sentir que eligieron bien al seleccionaros, porque es una voz autorizada para opinar en la materia de la que me representa o en la que e confiado la seguridad de mis equipos informticos y eso nos coloca en un lugar privilegiado convirtindose en publicidad del de boca a boca. Nunca olvidis cuidar la imagen, ni la vuestra ni la del Gabinete, ni de vuestros colaboradores y si un da estamos mal, escribirlo en un papel y tirarlo por el retrete todos los problemas, salir con una sonrisa de oreja a oreja y veris como el da nos trae logros fructferos. Conozco muchos informticos, algunos muy buenos que no consiguen trabajos, no por su no conocimiento en la materia, sino porque no cuidan su imagen o usan un lenguaje tcnico que aleja al profano olvidando que es nuestro cliente y que cuanto ms nos entienda, mas trabajo nos dar. No inventar, no utilizar vocablos informticos para salir al paso de problemas que nos plantean, solo hay que interactuar como personas sin olvidar que somos especialistas de una ciencia en la que hay un universo por descubrir.
Plan de Negocio para Peritos Informticos

1. Resumen Ejecutivo
Escribe una breve resea de tu empresa, como Perito Judicial Informtico, que hace, quin eres, qu vas a hacer, cunto necesitas, en qu mercado y cules son tus proyecciones. www.antpji.com Pgina 68

2. Descripcin de tu nueva Empresa
Misin, en que te vas a especializar, promociones, pagina web, publicidad..: Historia Mercado y Productos Objetivos Situacin Actual
3. Productos y Servicios
Descripcin Produccin: Asesoramiento: Nuevos productos
4. Plan de Marketing
Anlisis del Mercado: No hay muchos Peritos Judiciales en la actualidad. Aprovecha ese nicho de mercado existente Investigacin del Mercado: Proyecciones: Tendencias Anlisis de la competencia
Factor Producto Precio Cualidad Seleccin Servicio Fiabilidad Estabilidad Experiencia Reputacin Locacin Apariencia Mtodo de Poltica de Publicidad Imgen
Mi Empresa
Fortaleza Debilidad
Competidor A
Competidor B
Cliente
Estrategia de Marketing Demografa Proyeccin de Ventas
www.antpji.com
Pgina 69

Mes Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre 2014 2015 2016 2017
5. Plan de desarrollo
Estado Actual Planes de desarrollo Expansin Cronograma Riesgos
6. Plan Operacional
Locacin: Seguros: Ambiente Legal Produccin:
7. Administracin y Organizacin
Personal: Personal Externo: Outsoursing
8. Plan Financiero 9. Financiacin
www.antpji.com
Pgina 70

1. Negocios con Futuro
Escribe los 5 negocios o actividades relacionados con el Peritaje Informtico a los que les ves ms futuro en los prximos 5 aos 1. 2. 3. 4. 5.
2. Lo que ms me gusta hacer Escribe las 5 actividades que ms te gusta hacer en la Informtica 1. 2. 3. 4. 5. 2. Lo que mejor hago Escribe las 5 actividades que sabes hacer 1 2. 3. 4. 5.
Qu producto o Servicio ofrezco? A qu mercado me voy a dedicar
www.antpji.com
Pgina 71

Qu productos o servicios ofrecerle a mis clientes como valor agregado? Qu productos o servicios puedo crear como Fast Cash Product para generar dinero rpido? Cliente Ideal Cmo es?: Recuerda que los abogados tienen ya clientes y que necesitan de tu dictamen. Dnde lo busco?: Empresas, Colegios Profesionales, eres Perito y Tasador tambin Qu Estrategia voy a implementar para alcanzar ms clientes ideales: Cundo la voy a implementar: Cmo voy a medir los resultados?: Cmo es tu Marca Qu colores usas? Cmo es tu logotipo? Cmo quieres que sea tu imagen? Proposicin nica de Ventas Cul es mi PUV?: Proposicin nica de Ventas Cul es mi PUV?: En Materia de Peritaje Informtico, Auditoria Forense, Ciberdelitos o similar.. a cuantos cursos has ido? Seminarios? Qu vas a hacer para mejorar tu situacin?: Cundo?: Nuestro xito, es tu xito por eso te damos las claves del xito en esta aventura que te has Propuesto y en la que cosecharas momentos gratificantes. Todos tenemos derecho al xito, solo por ser humanos, y el que logres tus metas solo depender de tus creencias. Ya has dado el primer paso asocindote a ANTPJI. Eres uno de los que han visto que hay una oportunidad de triunfar, hay un nicho de mercado sin cubrir actualmente y has sabido aprovecharlo.
Anexo I: Normativa ISO 27001 Y 27002

TTULO Criterios generales para la elaboracin de informes y dictmenes periciales www.antpji.com Pgina 72

CORRESPONDENCIA
OBSERVACIONES
ANTECEDENTES
Esta norma ha sido elaborada por el comit tcnico AEN/CTN 197 Informes Periciales cuya Secretara desempea el COLLEGI DENGINYERS TCNICS
INDUSTRIALS DE BARCELONA en nombre y representacin del CONSEJO GENERAL DE PERITOS E INGENIEROS TCNICOS INDUSTRIALES. 0 INTRODUCCIN
El creciente nmero de actuaciones periciales profesionales, lleva a la necesidad de establecer una garanta para asegurar que aquellas son adecuadas al uso a que se destinan. 1 OBJETO Y CAMPO DE APLICACIN
Esta norma tiene por objeto el establecimiento de las consideraciones generales que permitan precisar los requisitos formales de las caractersticas de informes y dictmenes periciales, sin determinar los mtodos y procesos especficos para la
elaboracin de los mismos. Las normas especficas que se desarrollarn bajo el marco de esta norma sern de aplicacin para determinadas actividades profesionales y podrn complementar los aspectos generales contenidos en esta norma.
NORMAS PARA CONSULTA
Los documentos que se citan a continuacin son indispensables para la aplicacin de esta norma. nicamente es aplicable la edicin de aquellos documentos que aparecen con fecha de publicacin. Por el contrario, se aplicar a la ltima edicin (incluyendo cualquier modificacin que existiera) de aquellos documentos que se encuentran referenciados sin fecha. www.antpji.com Pgina 73

UNE-EN ISO 9000 Sistemas de gestin de la calidad. Fundamentos y vocabulario (ISO 9000:2005) UNE 50132 Documentacin. Numeracin de las divisiones y subdivisiones en los documentos escritos.
DEFINICIONES
Para los fines de este documento, se aplican los trminos y definiciones incluidos en la Norma UNE-EN ISO 9000 junto con los siguientes. En el caso de posible conflicto entre las definiciones contenidas en esta norma con las incluidas en las normas anteriormente mencionadas, prevalece la definicin dada en esta norma 1.1 Cdigo o referencia de identificacin:
Conjunto de caracteres alfanumricos que identifican un informe o dictamen pericial. Debe existir una correspondencia unvoca entre el cdigo o la referencia de identificacin y el informe correspondiente, de forma que no pueda haber en un mismo emisor otro informe pericial u otro dictamen que dispongan de la misma identificacin. 1.2 Dato de partida:
Cualquier cantidad, magnitud, caracterstica, relacin, parmetro, criterio, hiptesis o requisito empleado en los documentos tcnicos del informe o dictamen pericial, externo a stos y cuyo conocimiento y aplicacin es necesario y obligatorio para el desarrollo del informe o dictamen pericial. 3.3 Dictamen pericial: Opinin tcnica y experta que se emite sobre hechos o cosas. 4 4.1 REQUISITOS GENERALES Ttulo
Todo informe y dictamen pericial deben tener un ttulo que los identifique de forma clara e inequvoca. 4.2 Documento
Todo informe o dictamen pericial debe constar de la siguiente estructura bsica: www.antpji.com Pgina 74

Identificacin, ndice; Cuerpo del informe; y cuando corresponda Documentos anejos. 4.3 Paginacin
En todas las pginas del informe o dictamen pericial debe figurar el cdigo o referencia de identificacin, el nmero de pgina y el nmero total de pginas 5 5.1 IDENTIFICACIN Generalidades
Es el elemento que contiene los datos necesarios para identificar el informe o dictamen pericial. 5.2 Contenido
El informe o dictamen pericial debe iniciarse con la siguiente informacin: El ttulo y su cdigo o referencia de identificacin. El nombre del Organismo u Organismos a los que se dirige el informe o dictamen pericial y el nmero de expediente o procedimiento, si lo hubiera. El nombre y apellidos del perito, su titulacin, y, en su caso, colegio o entidad a la que pertenece, Documento Nacional de Identidad (DNI), domicilio
profesional, telfono, fax, correo electrnico y cualquier otro identificador profesional que pudiera existir, salvo aquellos cuya revelacin legalmente procedente. El nombre, apellidos y Documento Nacional de Identidad (DNI) del solicitante del informe o dictamen pericial, sea en nombre propio o en representacin de otra persona fsica o jurdica, cuyos datos tambin figurarn y cualquier otro identificador que pudiera existir, cuya revelacin sea legalmente procedente. En el caso en que el objeto del informe o dictamen pericial contemple un emplazamiento geogrfico concreto, se debe definir dicho emplazamiento (direccin y poblacin) y, si procede, sus coordenadas UTM (Universal Transverse Mercator). www.antpji.com Pgina 75 no sea

Cuando proceda, nombre y apellidos del letrado y del procurador del solicitante. La fecha de emisin del informe o dictamen pericial. 6 DECLARACIN DE TACHAS
En este captulo se establece, cuando proceda, que el perito puede aplicar el sistema de tachas o hacer constar su imparcialidad. 7 JURAMENTO O PROMESA
En este captulo se establece, cuando proceda, que al emitir su dictamen, el perito manifiesta bajo juramento o promesa de decir verdad, que actuar con veracidad y con la mayor objetividad posible, que ha tomado y tomar en consideracin todo aquello que sea susceptible de favorecer o causar un perjuicio a cualquiera de las partes y que conoce las sanciones penales en que puede incurrir en el caso de incumplir su deber como perito. 8 8.1 NDICE GENERAL Generalidades
El ndice general del informe o dictamen pericial tiene como misin el facilitar la localizacin de todos y cada uno de los captulos y apartados. 8.2 Contenido
El ndice debe indicar el nmero de pgina en que se inicia cada uno de los captulos y apartados del informe o dictamen pericial. 9 9.1 CUERPO DEL INFORME O DICTAMEN PERICIAL Generalidades
El cuerpo del informe o dictamen pericial es el documento principal de su estructura y asume la funcin de presentar y justificar las conclusiones. El cuerpo del informe o dictamen pericial debe ser claramente comprensible por todos los interesados, especialmente en lo que se refiere a sus objetivos, las investigaciones realizadas y las razones que han conducido a las conclusiones adoptadas. 9.2 Contenido Pgina 76
www.antpji.com

En los puntos siguientes se indica la numeracin, de acuerdo con la norma UNE 50132, ttulo y contenido de cada uno de los captulos y apartados en los que se compone el cuerpo del informe o dictamen pericial: 1 OBJETO
En este captulo del cuerpo del informe o dictamen pericial se debe indicar su finalidad. 2 ALCANCE
En este captulo del cuerpo del informe o dictamen pericial se deben indicar las cuestiones planteadas por el solicitante. 3 ANTECEDENTES
En este captulo se deben indicar los hechos, cosas, sucesos o asuntos que se hayan producido con anterioridad al inicio del informe o dictamen pericial y que estn en conocimiento del perito. 4 CONSIDERACIONES PRELIMINARES
En este captulo se deben enumerar todos aquellos aspectos necesarios para la comprensin de la investigacin y la metodologa empleada. Se podr incluir, en caso necesario, los criterios y tcnicas utilizadas para garantizar la representatividad de la muestra objeto del informe o dictamen pericial. 5 DOCUMENTOS DE REFERENCIA
Este captulo debe recoger el conjunto de disposiciones normativas, otras normas de no obligado cumplimiento, la buena prctica profesional y la bibliografa que se han tenido en cuenta, y que hayan sido citados en el informe o dictamen pericial. 6 TERMINOLOGA Y ABREVIATURAS
En este captulo se deben relacionar todas las definiciones de palabras tcnicas, as como el desarrollo y significado de todas las abreviaturas o siglas que se hayan utilizado en el informe o dictamen pericial. 7 ANLISIS
www.antpji.com
Pgina 77

En este captulo del cuerpo del informe o dictamen pericial se deben describir las bases y datos de partida establecidos por el solicitante y los que se deriven de: La legislacin, reglamentacin y normativa aplicables; La investigacin realizada encaminada a la definicin de las conclusiones Las referencias, documentos, muestras y procedimientos de toma y conservacin de las mismas que puedan fundamentar las conclusiones del informe o dictamen pericial; Tambin se deben indicar los distintos razonamientos estudiados, qu caminos se han seguido para llegar a ellos, las ventajas e inconvenientes de cada uno y cul es la justificacin de las conclusiones. 8 CONCLUSIONES
En este captulo del cuerpo del informe o dictamen pericial se debe establecer de forma inequvoca la interpretacin tcnica y experta resumida que se emite sobre los extremos que constan en el captulo Alcance. Se podrn aadir consideraciones adicionales que a juicio del perito maticen las conclusiones. 10 10.1 ANEXOS Generalidades
Los anejos forman parte inseparable de la estructura del informe o dictamen pericial, y deben estar recogidos en el ndice general. Asimismo deben estar identificados de manera correlativa y paginada de forma inequvoca 10.2 Contenido
Como anexo, el perito puede incluir las referencias, documentos, muestras y procedimientos de toma y conservacin de las mismas que puedan fundamentar las
conclusiones del informe o dictamen pericial.
www.antpji.com
Pgina 78
Juan Luis Garca Rambla
www.antpji.com
Pgina 79
Un forense llevado a juicio
[
www.antpji.com
]
Pgina 80
Juan Luis Garca Rambla A JUICIO CursoUN deFORENSE Perito LLEVADO Telemtico Forense
Hay ciertas pistas en la escena de un crimen que por su naturaleza nadie puede recoger o examinar cmo se recoge el Amor, la Ira, el Odio, el Miedo? son cosas que hay que saber buscar Dr. James T Reese.
Juan Luis Garca Rambla UN FORENSE A JUICIO Curso de PeritoLLEVADO Telemtico Forense
http://creativecommons.org/licenses/by-nc/2.5/es/legalcode.es
Juan Luis Garca Rambla A JUICIO Curso UN deFORENSE Perito LLEVADO Telemtico Forense
Indice
Captulo 1 El anlisis forense .............................................. 5 Captulo 2 La importancia de las evidencias........................ 8 Captulo 3 El procedimiento de copiado de discos .............12 Captulo 4 La cadena de custodia ......................................24 Captulo 5 Las buenas prcticas en el anlisis. ..................28 Captulo 6 El informe pericial .............................................34 Captulo 7 Prueba anticipada en un proceso civil ...............40 Captulo 8 Un juicio civil ....................................................43 Captulo 9 Claves de un forense en juicio ...........................47
Juan Luis Garca Rambla UN de FORENSE LLEVADO A JUICIO Forense Curso Perito Telemtico
Prlogo
A diario los medios de comunicacin nos informan de noticias relacionadas con filtraciones, abusos o ataques relacionados con la tecnologa y la informtica. Esta realidad es cada vez ms evidente y no es ms que la punta del iceberg. Junto a estos casos juzgados socialmente, se dan otros miles de ellos que se dirimen en una sala y son conocidos slo por unos pocos, los afectados. Pero sin embargo, para esta gran mayora de ciudadanos tienen una transcendencia mucho mayor que aquellos casos con un gran impacto social y meditico. El esclarecimiento de esta situaciones, que pueden acarrear consecuencias mayores, incluida la privacin de libertad para los afectados, son tareas de muy pocos y realmente crticas. Evidentemente no se trata de cuestiones que puedan tomarse a la ligera y deben ir acompaadas de investigaciones rigurosas y de los procedimientos adecuados. Cualquier investigacin forense se encuentra rodeada de un cierto misticismo. Tambin es as en esta ocasin, cuando la informacin manejada es fundamentalmente tecnolgica. Sin embargo, no debemos olvidar que aunque la carga tcnica es importante, existen tambin en este tipo de escenarios muchos detalles que se encuentran alejados de una visin puramente informtica de la situacin que se est analizando. Todo ello resulta an ms acusado cuando el caso forense tiene posibilidades de derivar finalmente en un proceso judicial. Ante estas circunstancias es frecuente que el parapeto tecnolgico detrs del cual se protegen muchos consultores desaparezca, dejando paso a situaciones donde los profesionales de la informtica no se encuentran cmodos. En un proceso judicial, el tcnico ya no se encuentra en su elemento, no es el juez ni quin tiene el control de la situacin. Es simplemente una parte ms dentro del proceso e incluso, aunque no sea la persona enjuiciada, puede llegar a sentirse juzgado en su labor profesional. Situaciones que tcnicamente se dan como definitivas en un entorno profesional informtico pueden ser cuestionadas en una vista judicial. El especialista forense digital debe por lo tanto conjugar su pericia tcnica con la capacidad para enfrentarse a temas para los que no se encuentra tan preparado profesionalmente. El xito depende de muchos factores de los que a menudo el perito es un mero espectador. A lo largo de esta publicacin, Juan Luis Garca Rambla Director Tcnico del rea de Seguridad de Sidertia Solutions S. L., realizar el anlisis de un proceso forense digital completo. Incorporando en l, desde los apartados ms tcnicos, que incluyen herramientas y procedimientos, hasta aspectos legales que podran llegar a ser determinantes en un juicio en el que un profesional de la informtica interviene en calidad de perito.
En este documento tcnico Juan Luis aporta no slo su conocimiento en la materia sino fundamentalmente su experiencia, procedente de la directa intervencin en casos forenses bien como perito informtico bien como coordinador de equipos de analistas forenses. Nos aporta su visin particular de la cuestin, pero sin lugar a dudas la informacin suministrada permitir al perito llegar al proceso judicial con un mayor porcentaje de posibilidades de xito. La publicacin ser de especial utilidad para aquellos que inician sus pasos en el delicado mundo del anlisis forense, pero tambin ofrece una visin interesante para aquellos analistas experimentados que nunca han participado en un proceso judicial. Juan Antonio Calles Garca
Captulo 1 El anlisis forense

Como especialidad dentro del mbito de la seguridad informtica el anlisis forense digital puede aportar al profesional resultados plenamente gratificantes, pero tambin situaciones realmente desagradables. Escenarios de actuacin en principio sencillos, pueden complicarse hasta lmites insospechados. A todo esto se suma una circunstancia difcil de digerir, especialmente para un informtico, la subjetividad. Por muy tcnicos que sean los resultados obtenidos, por metdicos que lleguen a ser los procedimientos y claras las conclusiones tcnicas, todo el proceso no deja de estar cargado de cierta subjetividad. Es ms, en un determinado momento la decisin final ser adoptada por alguien que presenta lgicas limitaciones tcnicas para apreciar lo dispuesto en un informe pericial informtico. Desde su inicio un anlisis forense digital debe responder a la pregunta es posible que las conclusiones lleguen a un proceso judicial? Inicialmente, esta cuestin puede parecer poco relevante para un anlisis tcnico. Sin embargo, esta impresin cambia radicalmente al entrar en calidad de perito en la sala donde se desarrolla el proceso. Probablemente, en el desarrollo del mismo, el tipo de preguntas a las que se enfrente el informtico no sern tan claras y directas como las que en sus labores tcnicas contesta habitualmente. Y por qu no decirlo, en muchas ocasiones stas sern directamente malintencionadas e incluso retorcidas. Una mala respuesta puede llegar a desbaratar judicialmente una buena labor de anlisis digital. En estos momentos es cuando se aprecia lo determinante que es haber realizado correctamente el anlisis desde sus inicios. De este modo la duda, la inseguridad y falta de claridad en la respuesta sern infrecuentes. La frustracin de que estaba casi todo bien y de que por lo menos lo intentamos ser inusual si la labor tcnica de anlisis ha sido la adecuada. Enfrentarse a un caso forense implica tener que anticipar inicialmente la posibilidad de llegar a juicio. A menudo, y en funcin del escenario, es posible que ese hecho no se observe en un principio, pero tal y como se desencadenen los acontecimientos pueda llegar a darse. Expongamos a continuacin un hipottico caso y que sin embargo recoge situaciones que no son inusuales en la realidad y que ilustran la posibilidad de que un anlisis tcnico
desemboque en un proceso judicial. El equipo de trabajo de un directivo comienza a hacer cosas raras. En consecuencia se decide realizar un anlisis del mismo y averiguar que est ocurriendo. Se detecta la presencia de un malware. En ese momento son mltiples las cuestiones a abordar: por qu el antivirus no lo ha detectado?, pueden otros ordenadores estar afectados?, cmo eliminarlo? Sin embargo, en el transcurso del anlisis digital no slo se detecta al elemento malicioso, sino que est provocando una fuga de informacin. Se localiza quin ha sido el actor (denominacin judicial, para ir entrando en materia) culpable de la accin maliciosa y a qu tipo de informacin ha tenido acceso. Se trata de otro empleado de la compaa que ha sustrado informacin crtica respecto de la poltica corporativa de recursos humanos. La empresa afectada no querra llevarle a juicio o despedirlo de forma procedente? Probablemente s. Frecuentemente en los casos forenses se sabe cules son los inicios de la investigacin digital, pero no cul puede ser su final. Por ello es interesante conocer si el promotor de la investigacin tiene de partida la intencin de llevar el caso a los juzgados. En mltiples ocasiones los interesados desestimarn esta posibilidad. Sin embargo, es posible que no sean conscientes de las circunstancias reales y al disponer progresivamente de mayor informacin sus intenciones iniciales se pueden modificar. Es recomendable por lo tanto desde un primer momento indicar que ante la posibilidad ineludible de que el anlisis pueda finalizar en una fase judicial, la recogida de evidencias debe realizarse teniendo esta circunstancia en consecuencia o al menos en caso de no hacerlo comunicrselo a los interesados. En todo momento se debe hablar de posibilidades. El desarrollo de una investigacin digital correcta en sus procedimientos y conclusiones, no asegura el xito de la misma. En un juicio la decisin final se dirime en un momento y localizacin puntual. En ocasiones slo la habilidad y experiencia de unos y otros hacen que la balanza se incline hacia uno u otro lado. No hay que olvidar que el desarrollo de la recogida de evidencias y de todo el anlisis atendiendo de forma rigurosa a los procedimientos adecuados demanda una mayor dedicacin y en el mundo profesional el tiempo es dinero. En cada escenario es necesario valorar si la inversin econmica, el porcentaje de posibilidades de xito y el propio desgaste del proceso hacen recomendable el inicio del mismo. En ocasiones lo idneo ser desestimar la realizacin del peritaje. Tras valorar los anteriores factores no es inusual en casos laborales que una organizacin puede llegar a la conclusin de que le es ms conveniente afrontar un despido improcedente que iniciar una investigacin. Es necesario tener presente aquellos anlisis que pueden derivar en un juicio, deben ser atendidos con mayor pulcritud y rigor procedimental para que las conclusiones obtenidas a
partir de las evidencias, sean vlidas, crebles y lo ms importante rotundas e irrefutables sea cules fueren los argumentos utilizados. Aquellas actuaciones cuyo objetivo no es atender a un proceso judicial, sino obtener una determinada informacin, permiten una mayor flexibilidad, reduciendo con ello los tiempos dedicados a la recogida y tratamiento de evidencias. La tendencia habitual es hacer uso de procedimientos, que siendo ms o menos reglados pueden resultar algo imprecisos o inapropiados para tener valor judicial. Pngase un ejemplo. Para tareas de adquisicin de evidencias un especialista puede operar haciendo uso de las normas marcadas en la RFC 3227 Gua para la recogida y almacenamiento de evidencias. Pero actualmente en Espaa, aplicar esta norma de forma escrupulosa puede ser una temeridad, fundamentalmente porque rompe el principio de que antes de tocar cualquier evidencia, prevalece la rigurosa recogida de la misma. El escenario nunca debe alterarse. Esta circunstancia puede llegar incluso a eliminar la validez de la evidencia. En otros pases, ms avanzados judicialmente en materia de procedimientos forenses informticos y que incluso disponen de leyes y regulaciones para ello, esta RFC pueda tener su validez. Sin embargo, en otros muchos, como es el caso de Espaa, es mucho ms importante poder acreditar la no alteracin de evidencias que cualquier otra cuestin. Dicho de forma ms coloquial, para el perito es crtico poder afirmar en cualquier caso cuando yo llegu, esto ya estaba as. En caso contrario, las pruebas pueden ser recusadas por posible alteracin de las mismas en el anlisis. Aunque la imparcialidad del perito es obligatoria por ley, finalmente sus servicios son contratados habitualmente por una de las partes y se diluye por lo tanto esa esencia de independencia asociada a su labor. Si es claro que independientemente de cmo se desarrolle el caso, ste no acabar en un juicio, el nivel de exigencias y pulcritud se relaja dejando paso a la efectividad en el anlisis Todas estas claves se irn valorando a lo largo de esta publicacin. Ser consciente en todo momento de la importancia del proceso que se tiene entre manos, anticiparse a las cuestiones a abordar antes de hacerlo y conocer las herramientas necesarias para ello. Pero especialmente, cmo abordar la dichosa experiencia que un juicio supone para cualquiera, pero especialmente para un informtico, que adems tiene una labor crtica en las actuaciones judiciales.
Captulo 2 La importancia de las evidencias

Uno de los aspectos fundamentales a la hora de afrontar un anlisis forense digital, constituye la necesidad de contar con evidencias vlidas. A priori, todas aquellas correctamente recogidas potencialmente lo son, pero una mala prctica puede llegar a invalidarlas. Hay que tener presente a lo largo de todo el proceso que el perito debe poder defender y contar con el principio de independencia. Sin lugar a dudas la informacin proporcionada por el afectado es vital. Sin embargo, su visin de los acontecimientos puede condicionar en exceso al perito, provocando incluso que su impulso e inters por llegar a la realidad de los hechos le haga actuar a ste sobre el equipo e infraestructuras afectadas sin respetar el procedimiento adecuado para ello. Es un riesgo fundamental en el inicio de un anlisis digital luchar contra ese impulso. Cuando se sospecha que sobre un determinado equipo se ha realizado una accin perniciosa y que por lo tanto debe ser objeto de anlisis, la prudencia es fundamental. Inicialmente debe asumirse que es posible que contenga evidencias interesantes y que por ello es necesario tratarlo como un sistema con informacin importante y sensible para el caso. No hacerlo as y caer en la tentacin de actuar sobre l precipitadamente, permite en caso de juicio poder alegar que las evidencias pueden haber sido manipuladas con el objetivo de favorecer o incriminar a alguien. Este es tambin habitualmente un argumento frecuentemente utilizado en anlisis contra periciales. Y si no debe tocarse el equipo qu ha de hacerse? A da de hoy no hay nada reglado en este sentido, pero existen una serie de buenas prcticas y normas no escritas cuya aplicacin es recomendable. Si el equipo est encendido es una buena opcin obtener una fotografa de la pantalla y apagarlo. Puesto que pudiera haber informacin importante relativa a ficheros temporales o incluso en sistemas Windows, el propio fichero de paginacin de memoria, podra optarse por apagar el equipo por la va rpida, cortando el suministro de energa. En este procedimiento, la prdida ms importante la constituye la informacin de conectividad de red y la memoria RAM, pero hay que tener presente las circunstancias del caso y el tipo de escenario al que hay que enfrentarse para adoptar la decisin adecuada. Si esa informacin resulta vital, sera imprescindible contar con testigos que pudieran refrendar las acciones realizadas y que pudieran atestiguar que no se ha realizado ninguna accin
enfocada a manipular datos, slo a extraerlos. No obstante, siempre habr que tener prevista una respuesta en la vista judicial para una defensa de las acciones realizadas. La presencia de testigos es una cuestin a considerar en procesos comprometidos. Formulados a travs de reglamentaciones de uso de medios corporativos o protocolos de seguridad internos, muchas organizaciones cuentan entre sus procedimientos con mecanismos que hacen uso de testigos para la intervencin de equipos, en muchas ocasiones herederos de acciones tales como el registro de una taquilla. Para estos casos, suele requerirse que todo el proceso de recogida de las evidencias sea llevado a cabo con la presencia de una persona del comit sindical y el propio afectado, o en su defecto dos personas de la organizacin, totalmente independientes a las circunstancias del caso. Estos procedimientos ofrecen la seguridad, sobre todo de cara a procesos judiciales, de que, habindose realizado una serie de acciones especficas, testigos concretos pueden refrendar los hechos. Estas acciones se tratan de forma muy anloga al hecho de la apertura de una taquilla y que en cierta medida quedan regulados por el Estatuto de los Trabajadores. Aunque con una orientacin diferente, sirva como ejemplo una sentencia de noviembre del 2000 de la Sala de lo Social en Mlaga del Tribunal Superior de Justicia de Andaluca, en la que se juzgaba la denuncia efectuada por un trabajador contra el empresario que le intervino y copi todos sus correos y ficheros personales, an en presencia del comit de empresa. La sentencia se inclina en este apartado por el criterio empresarial, a pesar de que la sentencia en cuestin da la razn al trabajador, pero slo por el hecho de que no se justific el registro tal y como obliga el artculo 18 del Estatuto de los Trabajadores. La resolucin afirma implcitamente, que el mencionado artculo 18 autoriza el registro en la terminal de ordenador que utiliza el trabajador. A todos los efectos, un equipo se asimila a la taquilla, basndose en que el ordenador es un instrumento de trabajo propiedad de la empresa. Por lo tanto, no deber ser utilizado con otros fines diferentes que la realizacin de la propia actividad laboral. Sin embargo nunca deber obviarse el hecho de que en un juicio la palabra y la interpretacin ltima es siempre tarea del juez atendiendo para ello a su criterio, interpretando las leyes y aplicndolas segn su entender. Por lo tanto cualquiera de los procesos efectuados y las acciones llevadas a cabo son validadas y refrendadas exclusivamente por su seora. Pero finalmente teniendo en consideracin lo expuesto hasta el momento, llegar la hora de adquirir las evidencias como fase crtica del proceso. En este momento vuelve a aparecer la cuestin fundamental, cul es el procedimiento adecuado? De nuevo la respuesta es compleja, no existe un procedimiento nico, as como tampoco existen unas herramientas
10
validadas y que sirvan especficamente a efectos judiciales. Como ya se ha indicado, en muchos pases de la Unin Europea, entre ellos Espaa, no existe una legislacin para el anlisis forense digital. Por ello no puede expresarse de forma taxativa qu proceso es el adecuado ni cules son las herramientas necesarias y cmo deben utilizarse. Bsicamente hay que dar respuestas a una serie de preguntas fundamentales: 1. Cul es el escenario ante el que hay que enfrentarse? 2. Qu quiere analizarse: un fichero, un directorio, un disco o todo un sistema? 3. De cunto tiempo se dispone para hacer la adquisicin de las evidencias? 4. Dnde se almacenarn las evidencias? 5. Cuntas copias deben realizarse? Sin lugar a dudas, una operacin crtica para el analista forense es la copia. Normalmente los escenarios a los que se enfrentar demandarn procesos complejos y voluminosos de copiado de informacin, haciendo incluso uso para ello de distintos medios. La propia configuracin del equipo analizado, desconocer la ubicacin especfica de los ficheros o su ubicacin en mltiples medios de almacenamiento, son algunas de las circunstancias posibles que pueden complicar la realizacin de la copia. Muy probablemente el tiempo invertido ser alto y el coste en recursos tambin. El proceso de copiado de un disco o de determinados ficheros debe de garantizar las siguientes condiciones: Las copias realizadas deben ser idnticas al origen y por lo tanto entre ellas tambin. Bajo ningn concepto el origen de datos debe ser alterado. Tampoco el destino. En este caso la copia queda inutilizada para el proceso de anlisis y deber repetirse. Si no se hiciese as todo el proceso de anlisis podra quedar invalidado. El copiado debe ser completo, incluyendo el supuesto espacio libre. Muchas veces es posible que aparezca all informacin interesante, especialmente si se ha hecho uso de herramientas antiforenses. Debe aplicarse una funcin hash sobre la informacin adquirida con objeto de obtener su huella digital.
Este ltimo aspecto es fundamental. A travs de l se garantiza que las conclusiones a las que se llega tras el anlisis de las copias realizadas de las evidencias, parten de un disco o ficheros idnticos al original y por lo tanto no ha habido una manipulacin de los mismos tras las copias binarias realizadas.
11
Inicialmente es necesario determinar cuntas copias deben realizarse. Es recomendable un mnimo de dos adicionales al original. Una de ellas destinada al analista forense, la otra a la empresa implicada o al afectado por el caso, para dar continuidad al trabajo, y finalmente el original que deber salvaguardarse como elemento crtico. Para esto ltimo son varias las posibilidades. En caso de denuncia se podr presentar junto a sta, quedar depositada en un notario o bien almacenada por la organizacin o persona afectada con las garantas de seguridad debidas. Es fundamental tener en cuenta su importancia de cara al posterior juicio. El hash garantizar que el disco no ha sido manipulado y este aspecto es fundamental. Permite reproducir las pruebas originales ante la posible realizacin de anlisis contrapericiales. Para la obtencin del hash existen multitud de algoritmos, se recomienda el uso de al menos SHA-1 (Secure Hash Algorithm) para ello. Las herramientas enfocadas al procedimiento de copiado utilizan habitualmente la funcin dd para el copiado. Esta se realiza bien por la clonacin del disco fsico o las unidades lgicas, o bien generando un nico fichero de imagen que pueda ser tratado directamente por las herramientas forenses. Para ello existen elementos hardware que permiten realizar estos procesos de forma cmoda, precisa y con altas garantas. Aunque no es la solucin ms econmica, si es la que ofrece mayor profesionalidad y seguridad a un analista forense. No obstante hay que tener en cuenta la diversidad de tipos de discos existentes en el mercado. Su evolucin llega a suponer que un determinado hardware adquirido podra no ser vlido para un proceso de copia, al no disponer de los accesorios adecuados para recuperar un modelo de disco especfico. No obstante existen conversores que facilitan la labor, pero que no garantizan que la compatibilidad pueda mantenerse a lo largo del tiempo. A modo de ejemplo se presentan a continuacin algunos enlaces orientativos sobre dispositivos existentes en el mercado que permiten las operaciones de adquisicin de evidencias. Logicube (http://www.logicube.com/) ICS (http://www.ics-iq.com/Computer-Forensic-Hand-Held-Units-s/33.htm) Data Device International (http://www.datadev.com/hard-drive-forensics-dod-
approved-data-security-erase.html)
12
Captulo 3 El procedimiento de copiado de discos

Ya se ha tratado en el captulo anterior la importancia de llevar a efecto un procedimiento adecuado para la adquisicin de evidencias. Se citaba el equipamiento hardware como la opcin ms profesional e idnea para realizar los procesos de copiado necesarios. Sin embargo, existen como alternativa, soluciones basadas en software que pueden encargarse de esta fase fundamental en todo anlisis forense. La mayor parte de ellas hacen uso de la funcin dd, existente en entornos Unix y Linux, para la copia de un nmero determinado de bytes o de bloques. En esta publicacin se citan y muestran las opciones proporcionadas por las suites forenses Helix y Caine. La suite Helix de e-fense (http://www.e-fense.com/), ha evolucionado en el tiempo, naci con una inspiracin diferente, sobre todo en lo que se refiere al aspecto econmico. Era una solucin de libre distribucin y ofreca funcionalidades para realizar anlisis Live Forensics sobre sistemas Microsoft y Post Mortem, a travs de un arranque sobre distribucin Linux. Totalmente gratuito, tanto en el anlisis Live Forensics como Post Mortem, proporcionaba mecanismos para la realizacin de copias de evidencias digitales que podran ser utilizadas en los casos forenses. Para los no iniciados en el anlisis forense, se realiza a continuacin una breve descripcin de las tipologas mencionadas en el prrafo anterior. El anlisis Live Forensics presenta como premisa la obtencin de evidencias y anlisis de un equipo mientras el sistema operativo se encuentra iniciado. Resulta especialmente interesante en escenarios como los de identificacin de aplicaciones con cdigo malicioso o de ataques que se producen en red. Hay que tener especial cuidado con este tipo de anlisis, puesto que existe una alta posibilidad de alterar las evidencias. Por lo tanto, ser especialmente crtico el haber realizado una copia binaria adecuada antes de iniciar el peritaje. Por otra parte el anlisis Post Mortem se realiza sin arrancar el sistema operativo del equipo a analizar. Es la tipologa ms frecuentemente utilizada puesto que el riesgo de modificacin de evidencias es muy bajo. Es especialmente til en bsqueda de datos, anlisis de registros o reconstruccin de ficheros eliminados por citar algunos ejemplos significativos. Mltiples herramientas forenses basan su funcionalidad en este tipo de investigacin. A da de hoy las distribuciones de este producto presentan un coste, sin embargo todava es posible localizar en Internet versiones de la suite que como la 1.9 o la 2008 R1 pueden ser
13
utilizadas para la adquisicin de evidencias. Basadas en la distribucin de Linux Knoppix, pueden utilizar su funcionalidad de Live-CD para la adquisicin de discos. Las distintas versiones presentan diferencias, no slo en su presentacin sino tambin en las aplicaciones proporcionadas para la ejecucin de procedimientos forenses. La versin 1.9 a diferencia de la posterior 2008 R1, aportaba una funcionalidad adicional a travs de la aplicacin Air. A continuacin se muestran dos imgenes con el la interfaz de cada una de las versiones.
Imagen. 1.- Helix versin 1.9. Como es posible apreciar las diferencias aparecen tanto en el aspecto visual, como en las herramientas aportadas por cada una de las versiones.
14
Imagen. 2.- Helix versin 2008 R1.
15
Ambas versiones incluyen una las aplicaciones ms utilizadas para la realizacin de operaciones de copia, Adepto. Esta aplicacin permite dos modos diferentes de emplear la funcionalidad dd para la adquisicin de evidencias: Adquisicin en un nico fichero dd, volcando en el mismo todo el contenido del disco seleccionado. Realizacin de una clonacin del disco, generando una copia idntica del disco seleccionado.
La siguiente imagen muestra la operacin de la adquisicin de disco haciendo uso de la aplicacin Adepto. Dentro de las opciones significativas que se pueden observar, se encuentra la posibilidad de indicar ruta de destino donde volcar la informacin. Para ello, podr hacerse uso de una ruta local, una conexin de red tipo Netbios o incluso una salida de datos a travs de Netcat sobre la direccin IP y puerto especificado.
Imagen. 3.- Adquisicin de disco. Como se ha comentado en captulos anteriores, es un elemento fundamental en el proceso la opcin de poder obtener el hash de las evidencias originales. Esta funcionalidad permitir verificar, en cualquier momento tras la realizacin de copias, que origen y destino son
16
idnticos, dando as plena validez a la prueba y a los procesos de anlisis que hagan uso de ella, as como a las conclusiones a las que pueda llegarse. Es recomendable modificar el algoritmo predeterminado de clculo del hash, MD5. La utilizacin en su lugar de al menos SHA1 mejora sensiblemente el nivel de seguridad de la operacin. Algunas de las motivaciones de esta modificacin se recogen en el siguiente artculo del blog Legalidad Informtica:
http://legalidadinformatica.blogspot.com.es/2012/04/md5-prohibido-su-uso-en-la.html
Queda por lo tanto de este modo garantizado que el analista forense no ha realizado manipulacin alguna de las pruebas desde el momento en que se realiza la adquisicin de las mismas. Claro est que ste no puede extender esta garanta de no alteracin con anterioridad a su intervencin. No es inusual que los afectados o bien personal informtico en su representacin, s que hayan modificado las evidencias originales, de forma ms o menos malintencionada dependiendo del caso. Slo el posterior anlisis dar respuesta a esta incertidumbre propia de toda investigacin. Partiendo de la ya mencionada aplicacin dd, otras metodologas de posible uso como DCFLDD y AFF presentan caractersticas avanzadas en las prcticas de adquisicin de evidencias forenses. El primero de estos mtodos fue desarrollado por el departamento de los EEUU, Defense Computer Forensics Lab. El segundo denominado Advanced Forensics Format, fue diseado como un mecanismo ms avanzado que el formato dd estndar, siendo ms flexible y permitiendo el almacenamiento extensivo de metadatos, adems de requerir menor espacio de disco que otros formatos propietarios existentes en el mercado, como el propio de EnCase. Teniendo en consideracin el tipo de implementacin, es recomendable decantarse por la metodologa DCFLDD. El segundo de los mtodos de adquisicin es el proporcionado por Adepto, una de las herramientas fundamentales de la suite Helix, y basado en la posibilidad de clonacin completa de un disco, manteniendo tanto la informacin como su estructura fsica, de tal forma que la copia ser un calco del disco origen. En esta circunstancia tambin se realizar una funcin hash del mismo, que ser mostrada a travs del sistema Log que proporciona la propia herramienta. Como es posible observar en la siguiente imagen, tambin a travs del men de Restauracin/Clonado de Adepto, se ofrece la alternativa de restaurar un fichero tipo dd bien sobre un disco o bien sobre otro fichero imagen. De tal forma que se verifique nuevamente la idoneidad del procedimiento mediante funcin hash del origen y del destino.
17
Imagen. 4.- Clonacin de un disco En ambas circunstancias es importante tener en consideracin una serie de detalles: El tamao de disco es relativamente importante. Los discos origen y destino no deben presentar las mismas caractersticas, ni ser idnticos en tamao, pero al menos el disco destino deber ser superior en tamao al de origen. Los discos implicados en el proceso de copia no deben ser idnticos en formato. Un disco tipo IDE puede volcarse sobre otro SATA o ste ltimo sobre un disco USB. Para ello es posible utilizar componentes hardware que permiten la conversin y conexin de diferentes tipos de unidades de disco a USB. Aunque es un mtodo bastante ms lento e inseguro que el uso de una clonadora convencional, resulta bastante ms econmico, permitiendo adems tratar todos los discos como externos y controlar de este modo la identificacin de unidades. Puede parecer obvio y realmente lo es, pero la experiencia indica que es til recordar que en todo proceso de clonacin es imprescindible identificar con claridad disco origen y destino. No sera la primera ocasin en que tras la realizacin de la copia el analista comprueba que origen y destino presentan exclusivamente los ceros que existiran en la supuesta unidad que iba a ser utilizada originalmente como destino.
18
Es indispensable que el disco destino no disponga de ningn dato previo. Con ello se evitara que en el espacio no copiado se encontraran por ejemplo datos de otros casos, con el consiguiente problema de mezcla de evidencias. Sera peculiar ver como el analista intenta desentramar relaciones existentes entre diferentes casos motivado todo ello por el cruce de las evidencias, adems de que stas pueden quedar comprometidas como pruebas del caso. Se tratar posteriormente qu metodologa es posible aplicar para que un disco quede limpio de trazas previas.
La utilizacin de un mtodo u otro de copiado, depender fundamentalmente del tipo de escenario al que se enfrente el analista, el tipo de pruebas que sea necesario efectuar y las herramientas con las que se cuente para el anlisis. Por ejemplo, en un anlisis de malware donde hay un componente muy importante de anlisis activo sera necesario realizar un clonado de disco. Sin embargo si se va a realizar un rastreo en busca de una determinada cadena de caracteres o un documento concreto, el mtodo adecuado podra ser la generacin de un fichero nico de imagen. El tiempo de adquisicin de una evidencia depender de mltiples factores: el espacio a copiar o clonar, la velocidad de los discos, el soporte, el tipo de hash a realizar o si se va a incorporar una verificacin de copias son, junto a otros factores, elementos que influyen directamente sobre el tiempo de copiado. Para el que nunca haya realizado una adquisicin de este tipo es necesario tener en consideracin que se trata de un proceso bastante lento. Como mnimo, para un disco duro convencional y sin que se produzcan errores, estaremos hablando de unas cuantas horas. Una aportacin importante proporcionada por la herramienta Adepto es que finalizado el proceso, sta nos suministrar un fichero de suma importancia en el procedimiento forense, el fichero de cadena de custodia. Este ser objeto de tratamiento posterior, pero resulta fundamental como parte de la informacin que deber acompaar a cualquier evidencia digital que sea presentada en un proceso judicial. Otra suite interesante para la adquisicin de evidencias y anlisis forenses es CAINE (http://www.caine-live.net/). Computer Aided Investigative Environment es un conjunto de herramientas de libre distribucin, agrupadas en una suite GNU/Linux Live basada en la distribucin UBUNTU. Es de origen italiano y se encuentra dirigida como Product Manager por Nanni Bassetti. CAINE ofrece un conjunto de herramientas, que al igual que en el caso de Helix, opera en modalidad tipo Live-CD. Aporta algunas aplicaciones para interactuar con discos y poder realizar tambin la adquisicin de los mismos.
19
Imagen 5. Utilidades forenses de CAINE V 2.5.1 Para la adquisicin de evidencias, la aplicacin ms destacada con la que cuenta la suite CAINE es AIR (Automated Imaged and Restore). Con ella es posible adquirir discos y realizar algunas operaciones interesantes y habituales en los procedimientos forenses, como es la limpieza de los discos sobre los que realizar el volcado de informacin. Tal y como muestra la Imagen 6, a pesar de las diferencias de interfaz y las particularidades de cada herramienta, en esencia AIR aporta funcionalidades muy similares a las suministradas por la aplicacin Adepto, comentada previamente.
20
Imagen. 6.- Aplicacin AIR.
21
Los procesos que se llevan a cabo en todas las herramientas de este tipo son similares, debiendo establecerse los orgenes y destinos, bien de ficheros o bien de dispositivos completos. En todas ellas, se puede proceder a la adquisicin de un fichero tipo dd o a la realizacin de un clonado de disco. En la realizacin de estos procesos debe tenerse tambin en cuenta la comprobacin del hash como operacin fundamental. Al contrario que en el caso de Adepto, la aplicacin AIR no genera el fichero de cadena de custodia y por lo tanto esta operacin deber efectuarse manualmente, tal y como se mostrar en el siguiente captulo de esta publicacin. AIR dispone de una interesante funcin para asegurar la limpieza de discos, Disk Wiping. A travs de este proceso se vuelcan sobre un disco seleccionado como destino, datos de tipo 0 que sern identificados como origen de los datos, eliminando de este modo cualquier informacin anterior.
Imagen 7.- Funcionalidad para realizar Disk Wiping. Tal y como se coment en pginas previas, esta operacin de limpieza constituye un procedimiento indispensable para garantizar la higiene en el tratamiento y posterior anlisis de las evidencias de cada caso. De esta forma, existe la certeza de que un disco contendr informacin exclusiva de un caso, no quedando rastro de informacin alojada anteriormente
22
en el dispositivo. Como hemos visto, esta circunstancia es especialmente importante ante la existencia en un disco de espacio supuestamente no utilizado. No es inusual que muchos analistas se planteen exclusivamente el anlisis del espacio particionado. Sin embargo el no particionado puede contener informacin perfectamente vlida. No debe olvidarse que la eliminacin de las particiones de un disco a travs de los procedimientos utilizados habitualmente, no elimina la informacin que pueda residir en el espacio no particionado. Cuando un disco es clonado fsicamente, se duplica tambin el espacio no particionado. De este modo, ante la necesidad de recuperacin de ficheros eliminados, que puede darse en determinados procesos forenses, sta puede efectuarse tanto en el espacio particionado como en aquel que no lo est. Es importante que el disco sobre el que se va a volcar informacin tenga condiciones lgicas similares al de origen. De este modo, aunque no es obligatorio, s muy recomendable que si la tecnologa del dispositivo origen es USB, IDE o cualquier otra, sta se corresponda con la del disco destino. Este aspecto resulta crtico en anlisis tipo Live Forensics, para evitar la aparicin de problemas a la hora de arrancar el sistema operativo y reconocer y trabajar con el disco. Como es posible apreciar en la Imagen 8, se ha seleccionado como origen el conjunto de bits ZERO y como destino la unidad SDA. Tras aceptar el mensaje de advertencia que aparecer en pantalla, se iniciar la operacin.
Imagen. 8.- Inicio del proceso de eliminacin de datos

23
La revisin de ste proceso podr realizarse aprovechando el mdulo de estado que proporciona la herramienta AIR. En la siguiente imagen, ste muestra informacin sobre el volcado de bits 0 sobre el disco SDA. Como ya se indicaba para la adquisicin de evidencias, estos procesos de copiado son lentos y requieren de un tiempo considerable para ser completados. Esta circunstancia debe tenerse en consideracin en la asignacin de tiempos que el analista realice para este tipo de operaciones. No olvidemos que en la mayora de las ocasiones stas se desarrollan en las instalaciones de los clientes o afectados. En estos escenarios es recomendable contar de partida con discos limpios. Los procesos de copiado resultarn por si mismos tediosos, requirindose en muchas ocasiones por procedimiento la presencia de varias personas, con lo que es ms que aconsejable evitar demoras adicionales provocadas por la necesidad de realizar la limpieza de discos in situ con antelacin a la adquisicin de evidencias propiamente dicha.
Imagen. 9.- Estado del proceso El proceso mostrado de Disk Wiping, no debe confundirse con el de eliminacin segura de informacin, del que se habla en otras ocasiones. Este ltimo trata de garantizar la no recuperacin de la informacin que hubiese estado alojada en un disco. Para ello se requiere de la realizacin de varias pasadas de bits de 1 y 0, asegurando de este modo que una informacin no ser recuperable bajo ninguna circunstancia, ni siquiera haciendo uso de elementos hardware altamente especializados. En el caso del proceso de Disk Wiping, ste es ms ligero, siendo slo necesario realizar una pasada de bits 1.
24
Aunque el proceso de eliminacin segura de informacin puede realizarse con AIR, resulta ms aconsejable hacer uso de soluciones que han sido especficamente diseadas con este propsito. Sirva de ejemplo el conjunto de aplicaciones DBAN (http://www.dban.org/), cuyo uso se encuentra ampliamente extendido a nivel mundial en diversidad de grandes empresas y organizaciones para la realizacin de este tipo de acciones de borrado seguro de informacin. Una aplicacin para el tratamiento de discos aparentemente ms simple, al menos es lo que a su aspecto se refiere, es Guymager. Esta forma parte de la suite CAINE, mencionada ya en repetidas ocasiones en esta publicacin, y aporta tambin la funcionalidad de adquirir y clonar discos mediante una interface realmente sencilla de manejar.
Imagen. 10.- Guymager Sin embargo la aparente sencillez no debe asociarse necesariamente a la falta de potencia o efectividad. Al seleccionar la opcin Adquirir imagen o clonar dispositivo ser posible introducir un gran nmero de parmetros y seleccionar diversidad de opciones para la realizacin del proceso en unas determinadas condiciones. Esto ampla considerablemente las capacidades de la aplicacin, hacindola mucho ms verstil que las anteriormente citadas. La siguiente figura muestra las opciones que la herramienta Guymager aporta para la adquisicin del fichero imagen. Son varias las posibilidades. No slo mediante la funcin dd, tal y como se ha mostrado hasta ahora, sino tambin generando un fichero de formato
25
nativo utilizado por software de anlisis forense, EnCase. De igual modo, ser posible suministrar a la evidencia informacin relevante para su identificacin, incluyendo datos asociados al caso objeto de investigacin o al analista responsable de la operacin.
Imagen. 11.- Adquisicin de discos Se ha mostrado en este captulo la importancia de una correcta adquisicin de evidencias, as como algunas de las metodologas para llevarla a efecto. Evidentemente, son mltiples las posibilidades vlidas. Sin embargo es crtico para el buen desarrollo de la investigacin que en todos los casos la higiene de las pruebas sea la mxima observada por el procedimiento utilizado. Es necesario dar al proceso de copiado de evidencias el tempo adecuado. A pesar de la presin externa y circunstancial de la investigacin, que los afectados pueden incluso incrementar, el analista debe ser coherente con su labor profesional, valorando cada aspecto con rigor y siendo consecuente con la responsabilidad que adquiere. En las operaciones de copiado es la persona clave que dispone del conocimiento, especializacin y capacitacin necesaria. Debe por lo tanto, abstraerse de cualquier presin externa, que con objeto de acelerar los procesos, pueda influir negativamente en el rigor de la operacin.
26
Captulo 4 La cadena de custodia

Ha quedado claro en los captulos anteriores que el fundamento para llegar a un proceso judicial en una buena posicin como perito, es garantizar la consistencia de las evidencias digitales adquiridas. Desde un punto de vista formal esto se consigue mediante la utilizacin de un procedimiento vlido que garantice la no alteracin de las pruebas. En esta misma lnea, la posterior custodia rigurosa y documentada de las evidencias ser otro aspecto que afianzar la garanta de no alteracin, crtica para el proceso. En este cuarto capitulo se aportar informacin relacionada con este aspecto. No existe en Espaa una regulacin especfica para procedimentar y garantizar la custodia de pruebas, aunque s en otros pases del mbito europeo. Sin embargo, se prev de forma inminente la aparicin de la norma que regular y garantizar la custodia de las pruebas policiales. El encargado de su elaboracin ha sido el Instituto Universitario de Investigacin en Ciencias Policiales. Actualmente existen protocolos internos pero no unificados. Esta norma deber tenerse en consideracin para las diferentes unidades de cuerpos de seguridad del estado. Sin embargo aunque puede ser tomada como referencia, no afectar a aquellos anlisis y peritajes que sean realizados en el mbito privado. Sin embargo, aunque no exista oficializacin del procedimiento, est ampliamente aceptada la figura de la cadena de custodia como norma de facto para dar garantas al proceso de mantenimiento de las evidencias. La cadena de custodia asegura en cualquier investigacin, sea o no informtica, que las pruebas aportadas y las conclusiones a las que se llega partiendo de las evidencias, son consistentes y vlidas, no habiendo sido alteradas para ningn fin con posterioridad al momento de su adquisicin. A lo largo de la investigacin es necesaria la cesin tanto de las evidencias como de las copias garantizadas de las mismas, fundamentalmente entre distintos peritos, pero tambin entre personas u organizaciones involucradas en el proceso. Sobre ellos recaer en cada momento el compromiso de mantenimiento de las pruebas. Es por ello que la cadena de custodia deber recoger en todo momento: quin es el depositario?, durante qu espacio temporal lo es? y cul es la razn por la que la evidencia queda bajo su custodia? La cadena de custodia permite identificar con claridad quin ha estado en posesin de las evidencias antes de que stas sean utilizadas en instancias judiciales, permitiendo que cualquier depositario de las mismas pueda ser citado judicialmente si las evidencias
27
quedaran en entredicho durante el proceso. Este hecho atiende habitualmente a posibles errores respecto de los procedimientos utilizados durante el peritaje. Queda recogido en la Ley 1/2000 de Enjuiciamiento Civil el objeto y finalidad del dictamen de peritos a travs de su artculo 335: Objeto y finalidad del dictamen de peritos. Juramento o promesa de actuar con objetividad. 1. Cuando sean necesarios conocimientos cientficos artsticos, tcnicos o prcticos para valorar hechos o circunstancias relevantes en el asunto o adquirir certeza sobre ellos, las partes podrn aportar al proceso el dictamen de peritos que posean los conocimientos correspondientes o solicitar, en los casos previstos en esta Ley, que se emita dictamen por perito designado en el Tribunal. 2. Al emitir el dictamen todo perito deber manifestar, bajo juramento o promesa de decir la verdad, que ha actuado y, en su caso, actuar con la mayor objetividad posible, tomando en consideracin tanto lo que pueda favorecer como lo que sea susceptible de causar perjuicio a cualquiera de las partes, y que conoce las sanciones penales en las que podr incurrir si incumpliere su deber como perito. La custodia de las pruebas, se convierte por lo tanto en un procedimiento fundamental que permite al perito garantizar la independencia y objetividad en la elaboracin de sus conclusiones, sin haber realizado manipulacin de las evidencias para favorecer a alguna de las partes. Teniendo en consideracin lo anterior, es necesario incorporar un fichero de cadena de custodia para cada evidencia existente. En el caso de los procedimientos que se llevan a cabo en Sidertia Solutions, compaa en la que desarrollo mi labor profesional, tambin las copias adquiridas se acompaan de su correspondiente fichero para dar mayor consistencia a la investigacin. De este modo, cuando un analista recibe un disco previamente copiado del original, para a su vez realizar otra copia que le permita efectuar acciones de anlisis de datos deber proceder tambin a formalizar el fichero de cadena de custodia correspondiente. Gracias a ello, ser posible tambin tener identificada y controlada la copia de trabajo generada, que contiene la misma informacin que ser tratada como evidencia en el juicio. No es posible mencionar la existencia de un nico modelo de fichero de cadena de custodia homologado y de uso generalizado. Es posible localizar en la red diversidad de formularios que pueden ser vlidos. En otras ocasiones son las propias herramientas de adquisicin de evidencias las que proporcionan sus propios modelos. Pero incluso es factible la generacin del fichero de forma manual si este recoge la informacin necesaria. Haciendo uso de
28
cualquiera de las posibilidades mencionadas, lo importante es contar con algn archivo de cadena de custodia asociado a la evidencia y que contenga la informacin de identificacin imprescindible. A continuacin se muestra el formulario generado por la herramienta Adepto, que ha sido objeto de anlisis en captulos anteriores de este documento.
Imagen. 12.- Funcionalidad de cadena de custodia Haciendo uso de la funcionalidad que aporta el mdulo de cadena de custodia en Adepto, es posible generar un fichero PDF conteniendo la informacin correspondiente al procedimiento realizado y que permitir acompaar a la prueba desde su adquisicin. La siguiente imagen permite apreciar el archivo generado por Adepto tras la operacin de
29
adquisicin del disco. En l se incorporan los datos que dan validez al procedimiento y que
30
han sido proporcionados al iniciar la herramienta. De igual modo, se adjunta de forma automtica informacin como la identificacin del disco y las opciones empleadas para la adquisicin.
Img. 13.- Fichero de cadena de custodia de Adepto. Una vez generado el fichero de cadena de custodia, ste debe acompaar siempre a la propia evidencia. La transferencia de la misma de un perito a otro, conlleva el cambio de la custodia y por lo tanto tambin la actualizacin y traspaso del fichero. Para su formalizacin deben suministrarse los datos requeridos, incluyendo el motivo por el que se realiza la transferencia de la evidencia. No es inusual que un profesional sea el encargado de realizar la adquisicin, mientras que el proceso de anlisis de las pruebas es realizado por un segundo analista. El fichero de cadena de custodia no implica en esencia ms que un formalismo, pero como tal es parte esencial del proceso. Es posible que nunca sea requerido en el proceso judicial, pero en algn caso puede ser crtico para afrontar las dudas y desconfianzas sobre las pruebas que alguna de las partes puede intentar fomentar en su beneficio.
31
Captulo 5 Las buenas prcticas en el anlisis.

Llegados a este punto, el analista cuenta con las evidencias del caso, que adems han debido ser recogidas a travs de los procedimientos y buenas prcticas comentadas en captulos anteriores. Ha llegado pues el momento de iniciar el anlisis propiamente dicho. No es objetivo de este manual realizar un exhaustivo estudio de cmo analizar evidencias digitales. Este aspecto dara lugar a un estudio de mayor calado tcnico y cuyo contenido sera indudablemente ms extenso. S se pretende sin embargo ofrecer toda una serie de buenas prcticas y consideraciones generales, que permitan, tenindolas en consideracin, la obtencin de unos correctos resultados en el proceso de anlisis. Evidentemente ser necesario valorar que cada escenario presenta sus peculiaridades y no todos pueden analizarse de la misma forma. Las diferencias son significativas de unas situaciones a otras. Poco tiene que ver un caso donde es necesario localizar en un equipo una conversacin mantenida a travs de Messenger, con otros donde existen indicios de accesos ilcitos a cuentas de correo electrnico corporativo o donde se intenta detectar la posible accin de aplicaciones maliciosas en un caso de espionaje industrial. Los posibles ejemplos objeto de anlisis pericial y sus diferencias podran completar un listado interminable. Porqu no decirlo? El trmino forense conlleva un cierto aire de misterio que puede resultar atractivo. Se asocia a la idea de investigacin y descubrimiento y esto tambin ocurre en el mbito de la informtica. Sin embargo, en la mayora de las ocasiones, las tareas de anlisis no resultan nada edificantes, sino ms bien todo lo contrario. Pueden incluso llegar a ser tediosas y requieren de un gran esfuerzo personal para no caer en la desidia. Muchos de los casos forenses que finalizan en un proceso judicial, demandan como tareas fundamentales el anlisis de interminables log (registros de actividad) o la bsqueda de cadenas de carcteres entre el gran volumen de ficheros que pueden estar alojados en un determinado servidor o equipo de trabajo. Labores habitualmente poco gratificantes. Es cierto que hay otros muchos tipos de actividades forenses ms atractivas que las citadas anteriormente, sin embargo es inusual que las investigaciones basadas exclusivamente en ests tcnicas deriven en un juicio. Los casos relacionados con aplicaciones maliciosas, los anlisis de memoria, el descubrimiento de tcnicas antiforenses o de ocultacin (esteganografa) son algunos ejemplos de los muchos posibles. No debe obviarse que la
32
informacin y conclusiones a las que el perito debe llegar tienen que ser rotundas y difcilmente refutables y stas interesantes tcnicas no suelen aportar el nivel de certeza requerido. Frente a lo anterior, lo habitual es que sean aquellas investigaciones donde sea necesario analizar correos, ficheros de registros o ficheros de datos los que terminen en un proceso judicial. En definitiva hay que hablar de interpretaciones, ante lo cual sern los datos ms simples y asequibles, alejados de complejos planteamientos tcnicos los ms tiles para la labor tanto de peritos como abogados. Frente a lo anterior, lo habitual es que sean los procedimientos de anlisis de correos, logs o ficheros los que aporten datos de valor para una investigacin que tenga un fin judicial. En definitiva estamos hablando de interpretaciones, ante lo cual sern los datos ms simples y asequibles, alejados de complejos planteamientos tcnicos los ms tiles para la labor tanto de peritos como abogados. Planteemos un ejemplo ilustrativo de lo anterior, la necesidad de explicar a un juez que a travs de la identificacin de una direccin de memoria se tiene constancia de la manipulacin de un proceso del sistema que interfiere en las pulsaciones del teclado. Adems dicha manipulacin se produjo por la instalacin de una aplicacin que aunque en el registro del sistema aparezca realizada por el usuario demandante, se estima que en realidad fue llevada a efecto por el demandado, mediante una intrusin en el sistema a travs de una vulnerabilidad en la mquina virtual de Java del equipo del demandante. Como es fcil deducir la posibilidad de transmitir esta informacin a un juez es una labor casi imposible. Regularmente, y ms en la coyuntura econmica actual, son muchos los casos relacionados con despidos que buscan una causa justificada que los convierta en procedentes. De igual modo la gran competitividad hace que sean numerosas las investigaciones por espionaje industrial o robo de propiedad intelectual. Pues bien, este tipo de casos se resuelven habitualmente escarbando entre los registros de los sistemas o en ficheros de datos. En la actualidad, los casos de investigacin forense suelen presentar desde sus inicios objetivos concretos. No suelen ser habituales los anlisis realizados en funcin de la posibilidad de estar afectado por una aplicacin maliciosa o sospechas similares poco definidas. Cuando se adopta la decisin de iniciar un proceso, que adems puede desembocar en un juicio, es porque existe una clara sospecha o al menos indicios razonables como punto de partida de la investigacin. Los anlisis realizados con ausencia de objetivos concretos, adems de ser ms complejos y costosos en el tiempo, suelen dar resultados poco tangibles y en muchas ocasiones incluso denotan falta de coherencia en la sospecha.
33
Adicionalmente estos resultados finales no suelen satisfacer al cliente, que ha visto fantasmas donde no los hay, y que no es inusual que ante ello presente dificultades para abonar los servicios prestados. En el momento de afrontar el anlisis de evidencias, debern tenerse en consideracin una serie de criterios y obtener del cliente unos datos fundamentales para la investigacin: Definicin de la lnea temporal. Es crtico en cualquier anlisis definir tiempos, tanto para acotar temporalmente la investigacin como para definir las conclusiones siguiendo para ello patrones claramente definidos. Muchas de las conclusiones a las que se puede llegar se apoyarn en informacin de fechas y horas. Bsqueda de elementos o palabras clave. En ocasiones los indicios no estarn definidos con claridad, pero resulta totalmente indispensable tener una orientacin respecto de qu buscar. Un nombre, una web o una direccin de correo suelen ser datos que el cliente puede llegar a facilitar y que suponen un buen punto de origen para desarrollar el anlisis. Sin estos datos es realmente complicado realizar una investigacin rpida y fructfera. Quin es quin? Es vital conocer los mximos datos posibles de las personas involucradas. Usuarios afectados, direcciones, telfonos, etc., son elementos que en determinados escenarios son determinantes. A veces en la bsqueda de conversaciones almacenadas en un equipo no aparecen nombres directamente pero s alias de las personas involucradas. Definir un cuadro relacional puede resultar esclarecedor en este tipo de circunstancias. No sera el primer caso en el que tras una investigacin pueden salir a la luz relaciones personales, incluso sentimentales, desconocidas hasta el momento por la persona u organizacin que haba solicitado la investigacin.
El analista en su labor de investigacin debe tener en todo momento amplitud de miras y evitar la posible prdida de evidencias por haber circunscrito la investigacin al marco operativo e indicios originales exclusivamente. Nunca debera descartarse la posibilidad de incorporar nuevas evidencias a un escenario. Cuando la existencia de un caso pasa a ser pblica de forma inevitable ante acciones que no pueden efectuarse con discrecin, como son la retirada de un ordenador o la comunicacin a los investigados, es habitual la eliminacin de evidencias por parte de los afectados. En este sentido y en la medida de lo posible, es importante haber sido previsor, planteando al cliente una estrategia de adquisicin de evidencias de mayor alcance del que podra considerarse inicialmente. Es por ello que ante la existencia de algn tipo de sospecha, aunque no totalmente fundada sobre una persona, debera procederse a clonar el disco de su equipo desde el momento inicial. De
34
este modo si en el desarrollo la investigacin fuese necesario, sera posible realizar un anlisis posterior del disco recogido. No debe olvidarse que este aspecto puede resultar especialmente conflictivo. Poner en guardia o crear supuestos sospechosos de personas que a larga pudieran no estar involucrados en el caso, genera una desestabilidad palpable en el ambiente laboral. Situacin nada deseable en ninguna organizacin. Por ello, es importante desde un primer momento valorar con el cliente las prioridades, definiendo hasta que punto la correcta adquisicin y preservacin de las evidencias prevalece sobre el resto de circunstancias. A la hora de analizar un disco, las bsquedas realizadas sobre el mismo deben ser exhaustivas, incluyendo la localizacin de informacin que inicialmente podra parecer inexistente. Mas all de los escenarios donde se han implementado tcnicas antiforense, muchos casos requieren de la recuperacin de ficheros eliminados. No es inusual que el sospechoso haya podido tener la precaucin de eliminar ficheros o datos que puedan ser contraproducentes para l. Incluso, si dispone de las capacidades para ello, puede que la eliminacin de informacin haya sido irreversible. La recuperacin de ficheros eliminados es una tarea que implica mucho tiempo y a veces los resultados no son positivos o difciles de gestionar para fines judiciales. A pesar de ello, su recuperacin puede aportar al menos indicios importantes para la lnea de investigacin. Medio fichero es mejor que nada. Herramientas forenses tales como EnCase o FTK (Forensic ToolKit), cuentan con mdulos para realizar bsquedas de ficheros eliminados y sobre ellos poder localizar palabras o frases clave. La dificultad aqu estriba en hacer creble la prueba de cara al juicio. Otro aspecto fundamental en la fase de anlisis de muchos casos forenses, es la deteccin de patrones de conducta ms o menos definidos. Usuarios que se conectan a unas horas concretas, correos que se envan desde unas IP especficas que aunque dinmicas pertenecen a un mismo rango, frases o palabras muy especiales, representan ejemplos de patrones que pueden ser fciles de rastrear. En un caso abordado recientemente, una cuenta que acceda a datos de otros usuarios de forma ilegtima, era utilizada por dos personas diferentes. Se lleg a esta conclusin, adems de por otros indicios, porque en el mtodo de validacin empleado se usaban dos patrones de autenticacin vlidos, aunque totalmente diferentes (dominio\usuario y usuario@dominio). Analizar patrones, a priori puede resultar algo complejo, sin embargo haciendo uso de tablas de relacin adecuadas esta labor puede ser un potente instrumento. A nadie se le exige tener la mente analtica, relacional y obsesiva del matemtico y economista John Forbes Nash que inspir la novela y posteriormente la pelcula Una mente maravillosa . Sin
35
embargo, s es interesante para un forense disponer de ciertas capacidades de razonamiento analtico. Son muchos los casos en los que gracias a ellas, salen a la luz determinados patrones que dan pie en la elaboracin de conclusiones bien fundamentadas. Por otra parte, la experiencia muestra que convenientemente introducidas en el juicio, los patrones de comportamiento constituyen un elemento esencial para poder conducir de forma efectiva las alegaciones y conclusiones que se presentan ante el Juez. Es interesante contrastar los patrones obtenidos con el cliente. En ocasiones se llegar a apreciaciones realmente valiosas para la investigacin. Pongamos un sencillo ejemplo de esta afirmacin. En un determinado escenario laboral, todos los das se producen determinadas conexiones a recursos corporativos desde un mismo equipo. Sin embargo en determinadas fechas de la lnea temporal de investigacin puede observarse que esto no sucede as, lo cul hace sospechar que en esos das la persona que opera desde el equipo en cuestin no desarroll su labor habitual. Tras contrastar con la organizacin la inexistencia en esos das de alguna cuestin que justifique estas excepciones, es evidente que en las fechas sealadas sucedi algo distinto a lo habitual y que puede ser sintomtico de los comportamientos anmalos que la investigacin intenta localizar. Estos datos podrn ser introducidos en el informe como parte esencial de las conclusiones derivadas. No obstante hay que matizar que un informe pericial nunca puede encontrarse condicionado por el cliente y mucho menos, parcial o totalmente, elaborado por l. Ser tarea del analista solicitar determinada informacin y por lo tanto atendiendo a su criterio como perito introducirla en el informe en un trmino u otro. Este contraste de informacin con el cliente puede aportar valor a la investigacin en algn otro sentido adems del ya indicado. Retomemos el escenario anterior para ilustrar esta afirmacin y pongmonos en la situacin de que a diferencia de lo expuesto, el cambio en el patrn de comportamiento del profesional investigado en determinadas fechas s responde a causas justificadas, como pueden ser visitas mdicas. El analista dispone de esta informacin tras su comunicacin con la organizacin cliente. Estos resultados por lo tanto afianzan la veracidad de las evidencias utilizadas, puesto que los resultados obtenidos por el investigador no eran conocidos por l de antemano y sin embargo se ha detectado claramente un cambio en el patrn de comportamiento habitual, a pesar de estar en este caso totalmente justificado. Aprovchese este breve ejemplo para recalcar que en cualquier caso el analista tendr que ser muy cuidadoso con el tratamiento de aquellos datos que puedan resultar invasivos de la intimidad de las personas afectadas, pudiendo tener con ello consecuencias nada deseables
36
ante una posible violacin de la intimidad o de los datos personales de las personas objeto de investigacin. Evidentemente es crtico ser extremadamente escrupuloso en la realizacin del anlisis e inevitablemente esto implica ser organizado. Hay que tener claro desde el principio cuales son los objetivos sin desdear por ello alternativas. Si eres catico saltars desde una pista a otra sin una clara visin y esto se reflejar indefectiblemente sobre el informe resultante de la labor de peritaje. Es importante anotar cualquier apreciacin relativa a informacin obtenida directamente o a partir del cruce de resultados. No hay que confiar nunca en las capacidades de memoria personales, puesto que ante la avalancha de informacin es posible la prdida de detalles relevantes. Es una buena prctica llevar un cuaderno de bitcora donde anotar cualquier apreciacin, evidencia, horas, fechas, nombres o cualquier dato o impresin que pueda considerarse de inters. Las herramientas son elementos fundamentales para el desarrollo de tareas de anlisis, pero ni mucho menos lo ms esencial. La experiencia, eficacia y buen hacer del especialista, son la clave para obtener resultados vlidos y fiables. Las herramientas no utilizadas de forma adecuada sern de escasa o nula utilidad. La experiencia ha mostrado lo potentes que pueden llegar a ser aplicaciones sencillas utilizadas por manos expertas. No existen varitas ni teclas mgicas para afrontar en un caso la fase de anlisis. Cada uno de ellas presenta sus peculiaridades y es muy importante desprenderse desde un principio de prejuicios y conclusiones preconcebidas. El asesino no siempre es el mayordomo. No debe olvidarse tampoco, que en ocasiones la visin profesional de un tercero puede dar aire fresco a la investigacin en momentos de bloqueo de sta.
37
Captulo 6 El informe pericial

El informe pericial constituye, sino el ms importante, uno de los elementos esenciales en un caso forense. En definitiva es el nico lugar donde se recoge el resultado y la informacin de todo el proceso. Hay que tener presente que por muy buenos que hayan sido los procedimientos llevados a cabo, las tcnicas empleadas y los resultados obtenidos, si no se reflejan correctamente en un documento, no tendrn valor alguno. Al final, al igual que en un proyecto de auditora, el valor del trabajo reside en el documento y ser ste el elemento de juicio fundamental respecto de la labor del analista forense. Un informe de estas caractersticas presenta sus peculiaridades y hay que tener presente que aunque la carga tcnica resulta importante, su objetivo final es transmitir informacin a personas que en muchas ocasiones no tienen una relacin directa con la informtica. Son meros usuarios tecnolgicos. Por lo tanto, sin desdear los datos tcnicos fundamento de la investigacin, el profesional que lo realiza debe tener en consideracin en todo momento a quin va dirigido, siendo para l un reto hacerlo inteligible a estas personas, sin que ello implique una prdida de rigor en la informacin presentada. Obviamente, ser necesario evitar la tentacin de que el informe sea una muestra de las amplias capacidades informticas del perito. Evidentemente no es ste su objetivo. Un informe pericial ininteligible pierde todo su valor de cara al juicio. Es ms, el propio abogado tendr complicada su intervencin en el proceso judicial si no es capaz de conocer y comprender la informacin esencial contenida en l. Para un nefito en informtica, comprender aspectos tan bsicos como el concepto de direccin IP, puede suponer un problema. En la elaboracin del informe pericial, el analista deber aplicar en ocasiones una cierta dosis de pedagoga para facilitar su comprensin. Es necesario tener presente en la elaboracin de este documento final del peritaje la condicin de independencia del perito. Aunque existir una tendencia inevitable a reflejar cierta parcialidad en las conclusiones, sta no debe condicionar la elaboracin del informe, que en ningn caso debe recoger otra informacin que no sea la realidad de los resultados obtenidos en la investigacin. Un informe debe presentar una lnea maestra bien definida. No pueden plantearse unos objetivos de inicio y que sin embargo en el desarrollo del informe pericial la informacin recogida se dirija a otras cuestiones no asociables a su resolucin. Es necesario ser
38
consecuente y evitar en todo trmino que el informe presente hilos sueltos o cuestiones no resueltas adecuadamente. Este hecho podra arrojar dudas sobre la validez de la totalidad del documento. El informe forense debe atender a un tempo en su desarrollo, que se vea articulado a travs de una estructura de documento claramente definida. En este sentido, pueden ser varias los modelos y apartados incorporados en el informe. Una posible estructura valida puede ser la que se presenta a continuacin: Antecedentes. Evidencias. Anlisis y tratamiento. Resultados. Conclusiones y recomendaciones.
Los antecedentes suponen la mejor forma para iniciar el informe. Estos deben recoger tanto los objetivos del caso forense, como las reuniones e informaciones iniciales suministradas al analista. Es importante definir los motivos por los que se ponen en contacto con nosotros para iniciar el proceso, definiendo as el alcance del mismo. Estos objetivos constituyen la lnea maestra de la investigacin y las conclusiones deben ser fiel reflejo de haberlos resuelto, en un sentido o en otro. Es importante tambin exponer a travs de los antecedentes las lneas temporales que el anlisis debe observar y en que medida se relacionan con el caso. Como ya se indic en repetidas ocasiones en captulos anteriores, el segundo de los apartados es realmente crtico. Se trata de la presentacin de las evidencia digitales asociadas al caso. Hay que recordar que son el elemento fundamental del trabajo de investigacin y por lo tanto de la posterior elaboracin del informe. Su identificacin, recogida y almacenamiento son determinantes para esta tarea documental. Los procedimientos empleados deben reflejarse con claridad, garantizando siempre que se han llevado a efecto las buenas prcticas necesarias, evitando cualquier manipulacin o alteracin de las evidencias Es muy recomendable que las evidencias aparezcan enumeradas en el informe, facilitando adems sobre ellas toda la informacin posible: cul es su origen y cul la motivacin de su obtencin, cmo han sido tratadas, qu cantidad de copias se han realizado de las mismas, quin las ha recogido, almacenado y analizado y cualquier otra informacin disponible que el analista considere oportuno incorporar en el informe. Sera importante definir tambin en el
39
informe, cuando sea factible, los fundamentos existentes que demuestren la no manipulacin de las pruebas. Por ejemplo a travs de la firma tomada de las mismas. Ante la existencia en un determinado caso de evidencias delicadas en lo concerniente a su modo de adquisicin, es recomendable motivar en el informe el porqu de la metodologa empleada, ahondando en las precauciones que se han tomado y su importancia con respecto al caso. Si determinadas evidencias han sido adquiridas una vez iniciada la investigacin, deber tambin indicarse esta circunstancia, as como el motivo que la provoca. Un escenario ilustrativo de esto sera aquel en que tras unas pruebas iniciales se detectan indicios de una conversacin mantenida desde un determinado equipo. En consecuencia, se procede a realizar un anlisis del mismo adquiriendo para ello su disco duro. Los resultados y conclusiones debern derivarse en todo momento de las evidencias presentadas. Aquellas afirmaciones que figuren en el informe sin un sustento en las evidencias, sern tomadas como una elucubracin y por lo tanto su valor puede ser puesto en entredicho. La valoracin del perito es vlida mientras demuestre su imparcialidad, pero con las evidencias bien definidas se afianza siempre esta posicin. El tratamiento de las evidencias digitales adquiridas es el siguiente punto que el informe pericial debe recoger. El anlisis de las mismas proporcionar datos a partir de los cuales se puedan establecer relaciones que a su vez deriven en conclusiones. El factor fundamental para la exposicin de stas debe ser el de causa-efecto. Es interesante atender en este sentido al principio de intercambios formulado por Locard, que aunque aplicable fundamentalmente a indicios y evidencias fsicas, puede ser tenido en consideracin tambin para las de tipo digital. Este principio afirma que "siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto". En el caso de que el analista detecte la existencia de patrones de comportamiento, stos debern citarse como un aspecto importante a la hora de elaborar las conclusiones. El anlisis debe ser escrupuloso, metdico y cuidadoso en su ejecucin. La falta de mtodo se reflejar en gran medida en el informe, produciendo unos resultados muy difciles de consolidar e hilvanar. El informe pericial en su apartado de anlisis debe ir proporcionando paulatinamente los resultados, dosificndolos en su justa medida y preparando con ello los elementos finales del documento. Por otra parte, ser este apartado el que habitualmente se encuentre ms cargado de tecnicismos. En muchas ocasiones, esta circunstancia es interesante contrarrestarla con la generacin de un anexo, en forma de glosario de trminos, que facilite
40
la compresin del informe, hacindolo ms asequible a posibles lectores que no dispongan de una base de conocimientos informticos suficiente. Tambin deben ser presentados como anexos aquellos resultados del anlisis que siendo importantes puedan ser repetitivos en exceso, provocando con ello una perdida de efectividad en la presentacin del informe pericial. Un ejemplo de ello pueden ser los resultados obtenidos del anlisis de mltiples logs y que es recomendable que se condensen en una serie de tablas descriptivas en este apartado del informe. Adicionalmente, toda la informacin tratada puede recogerse en un anexo que sea referenciado en el documento. No debe olvidarse que en ocasiones el exceso de informacin puede desembocar en desinformacin o falta de claridad. Siempre que sea necesaria, podr establecerse la correlacin existente entre los distintos anlisis. Sin embargo no es recomendable anticiparse con ello a las conclusiones. En caso de considerarse importante adelantar en este apartado alguna informacin o relacin concluyente, sta deber volverse a exponer en las conclusiones, aunque pueda parecer reiterativo. Es factible que determinadas personas, especialmente aquellas con un perfil menos tcnico, slo revisen los resultados y conclusiones del documento. La informacin de anlisis recogida en el informe debe reflejar la pericia del investigador como factor determinante. Tambin la eficacia de los mtodos y aplicaciones empleadas, pero siempre dando paso a la labor pericial como elemento fundamental. Esto en Espaa es an ms acusado dado que no existen herramientas homologadas, ni claro est aquellas cuyo empleo garantice un xito de cara al juicio. La exposicin de resultados es una continuacin de la fase documental de anlisis. Aqu se define y presenta toda la informacin obtenida y que pude ser relevante para el caso. Aunque la correlacin de datos es una ms propia de las conclusiones, en este apartado del informe inevitablemente se ir adelantando informacin en este sentido. Sin embargo, los datos deben ser fros y mostrar el fiel reflejo del anlisis. Deben prestarse al hilo conductor de la investigacin, reflejando y realzando los ms significativos frente a los menos importantes. El perito debe tener en consideracin todos ellos, sean o no favorables, obligando fundamentalmente por su condicin profesional de imparcialidad, pero tambin valorando la posible ejecucin de una investigacin contrapericial. En la medida de lo posible, la presentacin de resultados debe ser acorde a la lnea temporal definida en los antecedentes y que junto con otros elementos muestra el hilo conductor del caso. Informacin sensible, particularidades, referencias y un largo etctera de elementos debern ser parte tambin de la presentacin de los hechos.
41
Las conclusiones son uno de los apartados finales del informe, sin embargo muy probablemente ser el punto que se lea en primera instancia. Incluso puede darse el caso de que en aquellos documentos especialmente voluminosos se presenten como uno de los apartados iniciales, a modo de informe ejecutivo. La labor del analista, fundamental en la elaboracin de cualquier elemento del informe, es especialmente determinante a la hora de elaborar las conclusiones. Es en este punto donde, independientemente de las metodologas o herramientas utilizadas, ser la experiencia, el buen hacer o la capacidad de anlisis y sntesis del analista los factores crticos en el establecimiento de las conclusiones del proceso de investigacin. La importancia del apartado de conclusiones respecto de la toma de decisiones en cada caso es absoluta. Es a partir de este punto principalmente desde el que se adoptar la decisin final de considerar a los implicados como inocentes o por el contrario pasar a iniciar una accin judicial. Es el momento de reflejar relaciones, de presentar las pruebas en toda su crudeza, de defender los patrones detectados que indican conductas maliciosas reiteradas, condicionando con ello la gravedad final de las acciones. No debe olvidarse que para las empresas y organizaciones no ser lo mismo la deteccin de un hecho aislado que una conducta maliciosa reiterativa. Por todo lo anterior, es recomendable que el analista se abstraiga de las circunstancias externas del caso, olvidndose de las consecuencias posteriores que las conclusiones de su labor pueden acarrear. En definitiva, las conclusiones son la sntesis y el desenlace del caso. Un mayor nmero de ellas no implica necesariamente un mejor trabajo. En ocasiones la exposicin de datos inconexos y faltos de sentido puede distraer al lector del informe de las conclusiones principales, resultando con ello negativo de cara al juicio y facilitando, por su falta de concrecin, la posibilidad de desmontar la labor pericial realizada. Pocos argumentos y bien planteados sern mejores que un mayor nmero de ellos pero desdibujados. Adicionalmente a los anexos que cada informe forense demande en funcin de las lneas de investigacin desarrolladas, es muy recomendable que en el documento figure un anexo especfico que recoja la pericia, experiencia y capacitacin del perito. Con ello se reforzar la veracidad, profesionalidad y valor de la informacin recogida en el informe. Hay que tener presente que quin suscriba el documento pericial se encuentra obligado, si fuese necesario, a prestar declaracin en el juicio en calidad de testigo pericial. Un informe pericial forense podra recoger en su contenido la necesidad de disponer de informacin que no era inicialmente demandada y cuya obtencin posterior podra ser positiva para el esclarecimiento del caso. Debe existir para ello, una causa que lo justifique y que haya podido surgir en el propio desarrollo de la investigacin. Un ejemplo clarificador de
42
esta circunstancia puede ser la aparicin de IP pblicas, cuya identificacin slo se encuentra en posesin de los proveedores de Internet. No es objetivo del analista elucubrar sobre las posibilidades que pueden aportar estos datos, sino simplemente reflejar que gracias a ellos podra ser posible corroborar o ampliar de una u otra forma las conclusiones. Para todos aquellos que tengan inters en disponer de un ejemplo de informe pericial de carcter oficial, en el siguiente enlace es posible acceder al elaborado por la Interpol sobre los ordenadores y equipos informticos de las FARC decomisados en Colombia.
http://static.eluniversal.com/2008/05/15/infointerpol.pdf
43
Captulo 7 Prueba anticipada en un proceso civil

En determinadas circunstancias, un anlisis forense puede llegar a un punto muerto o bien a unas conclusiones irrelevantes dado que la informacin necesaria se encuentra en manos de un tercero, fuera del alcance del investigador. Un escenario ilustrativo de esto podra ser el mencionado en el captulo anterior, relacionado con la aparicin de direcciones IP pblicas en los registros de actividad de un servidor investigado. En esta situacin slo el proveedor de servicios de Internet conoce a quin han podido ser adjudicadas estas direcciones en una fecha y hora concretas. En ocasiones la ausencia de esta informacin ha provocado que se desestimen evidencias ante la creencia de que no es posible su obtencin. La obtencin de estos datos puede resultar totalmente determinante, permitiendo motivar un hecho o incriminar a una persona concreta en el proceso de investigacin. Puesto que bajo ninguna circunstancia el analista tiene acceso a la informacin y elucubrar sobre posibilidades, aunque factible, no tiene validez en el juicio, ser por lo tanto necesario solicitar la informacin. En este sentido es importante tener en consideracin la volatilidad de estos datos. El proveedor de Internet desechar los registros relativos a las conexiones de sus abonados con el paso del tiempo. Por sta y otras razones, es una buena prctica agilizar todo lo posible su solicitud. Este procedimiento se denomina solicitud de prueba anticipada. Su base se encuentra en la proteccin del derecho fundamental a la prueba. Dado que existe el riego de que una prueba pudiera no practicarse porque para ello es necesario esperar a que llegue la fase de procedimientos del juicio, es posible requerir el adelantamiento de la prueba. De este modo, aunque el proceso judicial no haya sido iniciado podr solicitarse que se practique el proceso de solicitud anticipada. La Ley 1/2000 de Enjuiciamiento Civil a travs de su seccin IV que comprende los artculos del 293 al 298 recoge precisamente el ordenamiento de la prueba anticipada. Dicho proceso puede ser invocado por cualquiera de las partes, debiendo ser motivado y solicitado al tribunal que est llevando el caso siempre con anterioridad al inicio del juicio. El escrito de solicitud es remitido por el abogado que llevar el caso ante el juzgado correspondiente, mediante una splica de oficio. Es recomendable que el escrito sea revisado por el analista forense. Aunque est claro que el lenguaje judicial se encuentra
44
fuera del alcance del investigador, se hace necesario asesorar al abogado y evitar con ello incurrir en errores tcnicos que hagan imposible atender a la splica. Adicionalmente a otras peticiones que puedan ser cursadas mediante este procedimiento, las de mbito informtico ms habituales son las relacionadas con solicitud de datos de actividad a los proveedores de Internet y telefona. Necesidades de informacin asociada a direcciones IP pblicas o envos de SMS, uso de dispositivos Smartphone o identificacin de correos electrnicos, son algunas de las mltiples circunstancias que hacen necesaria la solicitud de informacin a un tercero. El procedimiento de solicitud de prueba anticipada se ve favorecido si se acompaa del mximo de informacin posible, facilitando con ello su ejecucin. Si por ejemplo, se solicita informacin de direcciones IP es recomendable que en la peticin figure el proveedor o proveedores asociados a las mismas, adems de la lnea temporal de conexin claramente indicada. De esta forma la solicitud al juzgado puede ser encaminada de la forma correcta, facilitando adems la labor de ste. En este sentido, es til recordar las posibles discrepancias que pueden tener los ficheros de log, con las horas locales reales donde opera el proveedor correspondiente. Un analista en el desarrollo de su labor de investigacin debe huir en todo momento de ideas preconcebidas. Estas incluso pueden venir fomentadas ante la repeticin habitual de un determinado patrn de comportamiento en el desarrollo del anlisis. Sin embargo, cuando el patrn excepcionalmente deja de cumplirse, la duda sobre la validez de la evidencia puede surgir en el analista pudiendo llegar por ello incluso a desestimar la prueba. Ilustremos este planteamiento con un posible caso. El analista identifica que el autor de los hechos se conecta a una misma hora y desde su casa regularmente. Por el contrario y de forma puntual en determinadas fechas, las conexiones realizadas en una misma franja horaria proceden de direcciones IP pertenecientes a distintos proveedores. Esta excepcionalidad respecto del patrn de comportamiento habitual, genera ciertas dudas en el analista sobre la validez de las evidencias. Esto evidentemente es un error de apreciacin, producido fundamentalmente por presuponer que el investigado realiza siempre las conexiones desde su casa. Sin embargo se dan muchas circunstancias para que este hecho sea factible: Diferentes actores implicados. Un nico actor operando desde distintas ubicaciones, por ejemplo desde su casa y la de un familiar o amigo.
45
Un nico actor utilizando diferentes tecnologas. Por ejemplo, uso de ADSL y smartphone por el que se conecta a travs de su equipo, implicando con ello a diferentes proveedores.
Escenarios como los que se acaban de describir de forma somera en lo puntos anteriores pueden aportar informacin de valor para la investigacin. De todos modos, tal y como se ha indicado en prrafos anteriores, para llegar a conclusiones definitivas debe esperarse a la resolucin de la prueba anticipada. Este tipo de pruebas suelen ser determinantes en el desenlace de un juicio y por lo tanto hay que hacer todo lo factible para su obtencin. Es indudable que ante una informacin que solo puede aportar un tercero, como que en una fecha concreta una IP est asociada directamente a uno de los actores del caso, cobra importancia extrema en el juicio. La imparcialidad total del tercero, al no conocer ni estar involucrado en la causa, hace que la prueba tome mucha fuerza, si el abogado la utiliza apropiadamente. Por lo tanto la splica deber realizarse con la debida anticipacin para que las pruebas lleguen a tiempo a la vista. El resultado obtenido de la solicitud de prueba anticipada puede llegar a condicionar totalmente la estrategia en el juicio
46
Captulo 8 Un juicio civil

Tras la labor realizada, llega el punto final y definitivo del proceso. Es necesario tener en consideracin que aun habindose realizado una labor profesional de valor, cualquier investigacin forense digital que desemboque en un juicio se dirimir en ste de forma definitiva. Anteriormente, la empresa, organizacin o persona afectada habr utilizado el informe pericial fruto de la investigacin como elemento fundamental a la hora de adoptar decisiones, pero el resultado definitivo del peritaje se obtendr al finalizar el proceso judicial. Como paso previo a la vista, es necesario preparar junto a los abogados la estrategia que se va a adoptar para la misma. El perito aportar su perspectiva e importantes apreciaciones tcnicas que pueden ser hilo conductor de las preguntas que el abogado le formular en la vista. La preparacin de sta ser tambin de utilidad para intentar anticiparse a las cuestiones que puedan plantearse por parte del abogado de la otra parte. Finalmente, su labor de asesoramiento tcnico ser tambin considerada para preparar la testificacin de la parte contraria. Sin una preparacin adecuada, incluso habiendo realizado una buena labor pericial, el juicio se puede convertir en una autntica lotera. Una testificacin ambigua, poco veraz, no slo no aportar al desarrollo favorable del proceso judicial, sino que puede llegar a ser abiertamente contraproducente. En un juicio civil, el abogado preparar una nota judicial que presentar en la vista y donde la informacin pericial tiene una importancia significativa. A modo de informe ejecutivo, en ella se describen los conceptos y conclusiones ms importantes que acompaados de los fundamentos legales, permitirn llegar al objetivo perseguido, atender o desestimar una demanda. El perito deber colaborar tcnicamente en su elaboracin. El da de la vista el perito deber asistir a la misma con la correspondiente documentacin identificativa, DNI preferiblemente. Este quedar fuera, a la espera de ser llamado en calidad de testigo pericial. De esta forma y como cualquier otro testigo, se logra que se mantenga ajeno lo que est sucediendo en la vista, siendo por lo tanto y llegado el caso, su intervencin mucho ms objetiva. En un proceso convencional cada parte presentar sus testigos, participando en primer lugar los que presenta el demandado y en segundo los de la parte demandante.
47
Habitualmente y por cuestiones de estrategia de la parte que presenta el peritaje, el perito suele ser el ltimo de los testigos en declarar, para centrar sobre su testimonio y labor de anlisis las correspondientes conclusiones. Sin embargo, en ningn momento debe olvidarse su carcter totalmente imparcial y su deber de independencia. Tras entrar en la sala, habiendo entregado previamente su documento identificativo, el juez se dirige al l, para identificarlo y comunicarle su deber de prestar la verdad y no dar falso testimonio. Hay que tener en consideracin, que en caso de faltar a la verdad, el perito podra ser sancionado con pena de multa o incluso privacin de libertad. En la vista, se le har entrega del informe pericial presentado como prueba, que deber reconocer como suyo. Lo tendr a su disposicin para las aclaraciones o referencias a l que puedan ser necesarias, ante cualquier planteamiento que pudiera darse en las preguntas que se le formulen. En primer lugar ser interrogado por el abogado de la parte por la que se presenta y en segunda instancia intervendr la parte contraria. La intervencin de sta es fundamental puesto que habitualmente su estrategia ser mermar la credibilidad del perito, su testimonio o el informe pericial presentado. Finalmente es el juez el que le plantear aquellas cuestiones que considere oportunas. La intervencin del perito, debido a la relevancia de la informacin que aporta, se presenta siempre como una de los momentos crticos de la vista judicial y suele ser tenida en gran consideracin por parte del juez. Como ya se indicaba en el captulo inicial de esta publicacin, el informtico que desarrolla labores de peritaje se encuentra en una vista judicial fuera de su espacio natural. Por regla general, ningn perito en sus primeras comparecencias suele estar preparado para la situacin que debe afrontar. Mantenerse sereno, en la medida de lo posible, es la clave fundamental. Los nervios no permiten visualizar con claridad la situacin, exponer las conclusiones de forma veraz, pudiendo incluso errar en las apreciaciones como consecuencia de la tensin del momento. Los abogados sin embargo, se enfrentan a esta situacin con la mayor de las normalidades posibles, estn en su espacio profesional y lo controlan, por lo tanto debera dejrseles a ellos el manejar las situaciones. Considerando lo anterior, es til tener en consideracin una serie de cuestiones relacionadas con la intervencin del perito informtico en la vista judicial: Del perito se espera que disponga de la capacidad para analizar los hechos y aportar su experiencia profesional. Esto difiere del resto de los testigos, dado que stos slo declaran en funcin de los hechos que conocen.
48
Hay que estar preparado para las preguntas que pueda plantear la otra parte. No entrar bajo ninguna circunstancia en enfrentamientos, puesto que haran dudar del buen hacer y la imparcialidad pericial. Responder simplemente de forma profesional, sencilla y veraz. Por ello es importante valorar antes del inicio del juicio aquellas preguntas que pudiera formular la otra parte, anticipando as las respuestas y evitando con ello cometer errores o aparecer en la vista de forma dubitativa. Aunque un perito es requerido por su capacitacin tcnica, habitualmente el pblico al que se dirige no tiene este perfil y por lo tanto deber ser comedido en la carga tcnica de sus respuestas. Cuanto ms sencilla y comprensible sea su exposicin, mayor claridad aportar al juez para su toma de decisiones. A pesar de que muchas preguntas presentarn como objetivo respuestas simples de afirmacin o negacin, en todo momento podrn hacerse tantas consideraciones como se considere oportuno. En mltiples ocasiones, estas aclaraciones evitarn caer en aquellas trampas que pudiesen conllevar respuestas tajantes de s o no. Ante una pregunta dudosa, es recomendable solicitar que se replantee de nuevo si no ha sido comprendida. Esto es siempre preferible a dar una respuesta rpida e inadecuada al no haber entendido correctamente la pregunta. Hay que tener presente que es posible suministrar como respuestas un no recuerdo o no lo se. Como perito, no es exigible disponer de conocimientos sobre absolutamente todo, sino simplemente no faltar a la verdad. Hay que esperar preguntas o incluso afirmaciones que cuestionen el proceso de anlisis pericial o las conclusiones emitidas en el informe. Ante todo profesionalidad, suministrando las aclaraciones necesarias para evitar la sensacin de duda, pero nunca entrando en conflicto. Un aspecto clave suele ser el de las preguntas orientadas a poner en entredicho el tratamiento de las evidencias digitales. Si no existe otra posible defensa, la otra parte podra intentar en su estrategia desmontar la pericia, esgrimiendo para ello manipulacin de las pruebas. Si los procedimientos han sido bien llevados, ser solo un trmite que incluso podr reafirmar el valor y la veracidad de la labor forense. Ante preguntas realizadas sobre el informe pericial, especialmente si hace tiempo que se realiz, es preferible acudir al mismo y volver a leerlo que dar una respuesta precipitada y contraria al propio documento.
49
Finalizado su testimonio, el perito podr presenciar el resto del juicio, debiendo mantener en todo momento la compostura. En la exposicin final de conclusiones, los abogados pueden proporcionar informacin contraria al informe pericial o intentar desvirtuar la actuacin del perito en la prctica de las pruebas. A pesar de ello, debe mantenerse la calma en todo momento. Hay que tener en consideracin la profesionalidad de los jueces, habituados a las estrategias de los abogados. Los juicios se graban, se dispone del informe pericial as como de toda la informacin aportada en el juicio como pueden ser las pruebas anticipadas. Todo ello ayudar al juez a emitir su sentencia. Finalizado el juicio y quedando visto para dictamen, todos los testigos, incluidos lgicamente los peritos, procedern a la firma correspondiente que ratifica sus testimonios. Ahora no queda ms que esperar un tiempo a que el juez emita su sentencia. No cabe duda que un juicio constituye una experiencia enriquecedora para cualquier analista forense digital. Ayuda de forma muy especial a comprender la importancia de los procedimientos. Mejora la forma y capacitacin para entender y elaborar informes. Cuestiones que inicialmente se consideran muy importantes en los informes, pierden relevancia en el juicio y sin embargo, ocurre lo contrario con otros aspectos a los que originalmente no se les haba dado mucha importancia. Cada juicio es diferente y la intervencin de cada profesional, juez, abogado o el propio perito hacen impredecible su resultado final. En ocasiones se pasar por la frustracin de una sentencia contraria cuando todo estaba a favor. Pero es parte de un proceso donde en la mejor de las situaciones habr un 99% de posibilidades de xito, nunca la absoluta certeza de ello.
50
Captulo 9 Claves de un forense en juicio

Tal y como se ha mostrado en los captulos anteriores, un analista forense debe seguir en su labor de investigacin unos procesos muy concretos y en ocasiones complejos, siendo necesario en todo momento un alto nivel de rigor profesional en su desarrollo. Como ya se ha recogido en esta publicacin, en Espaa no existen fundamentos regulatorios para la realizacin de los procedimientos en unos trminos concretos, sin embargo debe de atenderse en su ejecucin a una serie de buenas prcticas que garanticen, cuando se llega al proceso judicial, la confianza en unos hechos veraces, probables y reproducibles, basados en evidencias que en ningn momento han sido manipuladas. Este ltimo captulo, se dedicar a repasar todo el procedimiento que permite defender con garantas un informe pericial en un juicio, as como otros aspectos importantes a tener en consideracin dentro del mbito legal. En definitiva se trata de recoger aquellos elementos fundamentales que se ha abordado en mayor detalle en captulos anteriores: Paso I. Obtener informacin previa sobre el caso. Antes incluso de iniciar la recogida de evidencias, el analista debe ser conocedor de las circunstancias del escenario en el que se han desarrollado los hechos, as como disponer de la mxima informacin posible sobre ellos. Para esto es necesario acudir a todos aquellos que pudieran proporcionarla. La complejidad del escenario determinar tambin la cantidad de evidencias a recuperar y tratar. Cuanto mayor sea el volumen de informacin inicial obtenida, menor ser el nmero de problemas posteriores derivados de la falta de datos o de la inconexin de los mismos. Paso II. Obtencin de evidencias. Es determinante la recuperacin rigurosa y la firma de las evidencias asociadas a cada caso, generando adems los ficheros de cadena de custodia correspondientes. De forma especial en nuestro pas, la no alteracin bajo ningn concepto de las pruebas y la garanta por lo tanto de su valor pericial son la mxima fundamental a observar en los procesos de recuperacin de evidencias. Este mismo concepto deber regir el almacenamiento seguro de las pruebas recogidas que pudieran posteriormente ser utilizadas en un juicio. Paso III. Identificar datos relevantes y la lnea temporal de la investigacin. Es estratgico identificar los datos importantes en funcin de las circunstancias de cada caso: nombres, direcciones, correos, nmeros de telfono, ficheros, etc. Con ello se
51
facilitar la posibilidad de realizar bsquedas eficaces. De igual modo, debe definirse la lnea temporal que se tendr en consideracin para el desarrollo de la investigacin pericial. Esto permitir articular una investigacin basada en un proceso secuencial, manejable y que facilite la elaboracin de un informe eficaz. Paso IV. Ordenar y relacionar los datos obtenidos a partir de las evidencias del caso. Teniendo siempre en consideracin la garanta de independencia del perito y la incapacidad para ocultar cualquier dato aunque sea negativo para la parte por la que ha sido contratado. Las conclusiones deben exponerse sin ningn tipo de injerencias si el pericial quiere tener el valor que le corresponde en el juicio. No se debe despreciar tampoco la posibilidad de que pueda realizarse un contrapericial que destape datos que hayan podido ocultarse, con el consiguiente efecto negativo, tanto para la parte como para el propio perito. Paso V. Generacin del informe pericial. El objetivo es construir un informe escrupuloso, tcnico pero legible y con unas conclusiones slidas que permitan arrojar luz sobre el caso. Debern evitarse las verdades a medias y cualquier apreciacin dudosa emitida a travs de prejuicios obtenidos en los pasos previos. Como ya se ha expuesto en el captulo correspondiente, un elemento muy importante del informe consiste en reflejar las garantas observadas en el proceso y que permiten dar absoluta veracidad a las evidencias. Paso VI. Prctica de prueba anticipada. Toda vez que el informe est concluido y se tenga en consideracin la posibilidad de llegar a juicio, se deber aconsejar al abogado, la prctica de la prueba anticipada cuando las circunstancias as lo requieran. Paso VII. Asesoramiento tcnico. Es necesario apoyar al abogado tcnicamente en la estrategia a llevar en el juicio para la defensa de la labor e informe pericial, as como en la preparacin de la nota que deber presentarse para la vista. De igual modo, debern definirse con antelacin aquellas preguntas claves que permitan presentar las conclusiones del informe ms importantes. Paso VIII. Intervencin en la vista judicial. En el juicio, el perito desempea un papel clave. La otra parte en todo momento intentar desmontar los argumentos tcnicos que presente, pero tambin buscar desacreditar su figura, poniendo en duda su imparcialidad. Sabe que cualquier atisbo de duda en este sentido, provocar que pruebas e informes tcnicos tengan menor relevancia sobre el veredicto final. La compostura ser un punto esencial, no debiendo entrar en confrontacin con la otra parte, aunque a veces conseguirlo resulte complicado. Y finalmente, si bien en el
52
informe pericial se presenta la necesidad de incorporar una argumentacin tcnica slida, en la vista judicial es necesario simplificar al mximo la exposicin, de la forma ms clara y concisa posible para su entendimiento, sin dejar por ello de respetar la realidad en todo momento. Otro aspecto clave a tener en consideracin es la legitimidad de determinadas prcticas de acceso a la informacin de los investigados en un caso forense. Es frecuente la duda respecto de la realizacin de determinadas prcticas de investigacin, como puede ser el acceso a las cuentas de correo que proporciona la organizacin a un usuario y donde residen las evidencias necesarias para el esclarecimiento de un caso. En este tipo de escenarios, la lnea que delimita la proteccin de los datos personales no se encuentra claramente definida. Existen lagunas interpretativas entre la proteccin en el mbito estrictamente personal y la que goza la propia empresa para hacer un uso razonable de los medios que proporciona. La existencia en las compaas de un buen documento de uso de medios tecnolgicos y del que los trabajadores se encuentran adecuadamente informados, facilita considerablemente la situacin. Sin embargo la ausencia de ste, deja la interpretacin totalmente abierta a la decisin judicial. En este sentido existen sentencias en una y otra direccin. Hay que recordar que la justicia en Espaa se basa en la interpretacin de la ley y esta puede orientarse en distintos sentidos. En una regulacin de uso de medios slida, el documento correspondiente establecer con claridad que la compaa podr ejercer el control del uso de los mecanismos que a efectos profesionales se faciliten al trabajador, tal y como recoge el Estatuto de los Trabajadores. Con ello se legitima la posibilidad de controlar el uso de Internet, el mantenimiento de estadsticas o el acceso a las cuenta de correo electrnico, junto a otros aspectos relacionados con la actividad ejercida con medios corporativos por parte de los profesionales. Sin este documento, como se ha indicado, la situacin es mucho ms compleja y deber hilarse muy fino, puesto que la experiencia demuestra que circunstancias similares pueden finalizar en dos sentencias totalmente antagnicas. Sirva de ejemplo las que se recogen a continuacin. En el primero de ellos se estima una demanda por despido improcedente al considerar violacin de la intimidad el acceso al correo electrnico de un trabajador en el transcurso de la investigacin pericial (http://www.bufetalmeida.com/64/violacion-de-correo-electronicode-trabajadores-despido-improcedente.html). Se proporciona a continuacin un extracto de la sentencia que recoge este proceder.
53
Del anterior relato de los hechos se dimana que, en el marco del conflicto laboral al que tantas veces se ha hecho alusin y, adems, en paralelo a la interposicin por la actora de la papeleta de conciliacin para la extincin contractual, el empresario encarg a una empresa especializada un anlisis (monitorizacin) de los contenidos del ordenador de la actora, con especial referencia a sus archivos personales (es este ltimo un extremo que queda difano al acto del juicio, ante la clara respuesta dada por el perito compareciente a instancias de la empresa a pregunta de este magistrado). A estos efectos, dicha persona -por rdenes de la empresa- entr en archivos de correo electrnico de la demandante, sac copia y se aportaron como prueba documental. Hay que decir que algunos de dichos correos son de carcter ntimo y personal (especialmente los que figuran numerados como 129 y 136 del ramo de prueba de la demandada). Dichas consideraciones han de comportar la valoracin de si estas pruebas son contrarias a derechos constitucionales y, ms en concreto, a lo establecido en el art. 18.3 de nuestra "norma normarum". En el caso de que se diera una respuesta positiva a esta cuestin, las pruebas practicadas resultaran inhbiles, en aplicacin de lo contemplado en el art. 11.1 LOPJ. Sptimo.- Como se puede desprender del anterior relato fctico -en el que no se ha nombrado en este extremo- este juzgador ha llegado a la conclusin de que dicha prueba es contraria al derecho fundamental al secreto de las comunicaciones -consagrado en el art. 18.3 CE, ya citado-. En contraposicin al anterior, puede citarse tambin el famoso caso de Deutsche Bank, donde se recurri una sentencia en suplicacin ante el Tribunal Superior de Justicia de Catalua, por un uso abusivo por parte de un trabajador del correo electrnico para fines personales, que haba desembocado finalmente en despido. Se citan a continuacin algunos prrafos significativos de la sentencia. doctrina jurisprudencial ha venido sealando (en aplicacin al art. 54.2d ET) como esta causa de despido comprende, dentro de la rbrica general de transgresin de la buena fe contractual, todas las violaciones de los deberes de conducta y cumplimiento de la buena fe que el contrato de trabajo impone al trabajador (STS 27 octubre 1982), lo que abarca todo el sistema de derechos y obligaciones que disciplina la conducta del hombre en sus relaciones jurdicas con los dems y supone, en definitiva, obrar de acuerdo con las reglas naturales y de rectitud conforme a los criterios morales y sociales imperantes en cada momento histrico (STS 8 mayo 1984); debiendo estarse para la valoracin de la conducta que la empresa considera contraria a este deber, a la entidad del cargo de la persona que cometi la falta y sus circunstancias personales (STS 20 octubre 1983); pero sin que se requiera para justificar
54
el despido que el trabajador haya conseguido un lucro personal, ni sea exigible que tenga una determinada entidad el perjuicio sufrido por el empleador, pues simplemente basta que el operario, con intencin dolosa o culpable y plena consciencia, quebrante de forma grave y relevante los deberes de fidelidad implcitos en toda prestacin de servicios, que deben observar con celo y probidad para no defraudar los intereses de la empresa y la confianza en l depositada (STS 16 mayo 1985). En el presente supuesto, la naturaleza y caractersticas del ilcito proceder descrito suponen una clara infraccin del deber de lealtad laboral que justifica la decisin empresarial de extinguir el contrato de trabajo con base en el citado arts. 54.2.d), al haber utilizado el trabajador los medios informticos con que cuenta la empresa, en gran nmero de ocasiones, para fines ajenos a los laborales (contraviniendo, as con independencia de su concreto coste econmico-temporal- un deber bsico que, adems de inherente `a las reglas de buena fe y diligencia que han de presidir las relaciones de trabajo ex art. 5 ET-, parece explicitado en el hecho 11) y comprometiendo la actividad laboral de otros productores Sin embargo, a pesar del fallo favorable a la empresa, posteriormente se realiz por parte de la persona despedida una demanda contra cuatro directivos por el delito de descubrimiento y revelacin de secretos. Como ha sido posible apreciar a lo largo de esta publicacin, las situaciones y escenarios propios de una investigacin forense son muchos y diversos, con el agravante de poder llegar a complicarse en ocasiones hasta lmites insospechados. Recientemente en conversacin con un abogado especializado en este tipo de casos, ste me transmita sus impresiones que me parecen un adecuado final para esta publicacin: Cuanto ms experiencia adquiero, mayor es mi incertidumbre por la cantidad de situaciones que he llegado a ver y que me generan la sensacin de no saber nunca con certeza como va a finalizar un caso.
55

Juan Luis Garca Rambla UN FORENSE LLEVADO A JUICIO
Un forense llevado a juicio

Juan Luis Garca Rambla
Juan Luis Garca Rambla, es en la actualidad el Director del Departamento de Seguridad TIC de Sidertia, donde se encuadra el rea de anlisis forense digital de la compaa. Profesional de contrastada experiencia y reconocimiento en el sector de la seguridad informtica, ha desarrollado su actividad a lo largo de ms de 18 aos en el mbito tanto civil como militar. Su participacin directa y la coordinacin de gran nmero de casos forenses, as como sus intervenciones como perito informtico en juicios de ndole civil, le aportan un conocimiento prctico inestimable para la investigacin forense. Complementa su slido perfil tcnico con un componente de conocimiento legal de alto valor. Dispone de su propio Blog: Legalidad Informtica. Galardonado como Microsoft MVP durante siete aos consecutivos en diferentes categoras vinculadas a la seguridad, publica regularmente artculos en revistas y medios especializados. Es autor de tres libros, a los que ahora suma esta nueva publicacin, cuya lectura sin lugar a dudas, aportar informacin de valor tanto a los profesionales de la tecnologa como a aquellos vinculados al mundo legal y de la investigacin.
Un forense llevado a Juicio es una herramienta de inestimable utilidad a la hora de abordar un anlisis forense digital que finalice en un proceso judicial. En este tipo de escenarios se mezclan dos reas profesionales tan dispares como la tecnologa informtica y el mundo legal, donde el seguimiento de normativas y procedimientos estrictos es determinante. Una buena labor tcnica puede desaprovecharse en un juicio al no haber atendido a buenas prcticas no escritas pero que se consideran virtualmente regladas. Este breve manual aporta la experiencia y el conocimiento de su autor en aspectos fundamentales a la hora de enfocar y desarrollar labores periciales informticas. La adecuada recogida de las evidencias digitales, la correcta elaboracin de un convincente informe para su presentacin a juicio son algunos de estos aspectos. Junto a ellos, la publicacin muestra los errores ms comunes que deben ser evitados o por el contrario las buenas prcticas que permiten llegar a la vista judicial con las garantas de haber realizado una buena labor profesional.
52

Anlisis de Dispositivos Mviles
De todos es sabido que los telfonos mviles cada vez son ms parecidos a un ordenador comn. La punta de lanza de esta tendencia est encabezada por las dos plataformas ms evolucionadas en el marco de la telefona mvil. Hablamos de Android e Iphone. La plataforma Android tiene un ncleo basado en Linux, mientras que el ncleo de los Iphone est basado en BSD. Ambos sistemas operativos son viejos conocidos en el mundo de los ordenadores tradicionales, por lo que existe una menor diferencia entre un ordenador al uso y un telfono mvil. De hecho, el iphone 4G actual presenta unas caractersticas muy similares, si no superiores, al iMac de hace tan solo 10 aos.
Fuente original: http://arstechnica.com/civis/viewtopic.php?f=19&t=1114049 Aterrizando en el mundo del anlisis forense de dispositivos mviles, en absoluto se trata de un tema novedoso, aunque s es cierto que dichos servicios se reclaman cada vez ms, con una asiduidad directamente proporcional al avance de la tecnologa utilizada por nuestros terminales. Hecho comprensible, puesto que a mayor capacidad/funcionalidad para gestionar nuestra informacin sensible, mayor es la probabilidad de que un dispositivo mvil de estas caractersticas se convierta en una evidencia digital. Sin ms dilacin, en el presente post vamos a definir algunas guas que permitan conducir adecuadamente un anlisis forense sobre un dispositivo mvil. Introduccin a la tecnologa Flash Sin nimo de profundizar el tema, ser importante comprender que se trata de memoria no voltil, la cual puede ser borrada y reprogramada por medios electrnicos. Este tipo de memoria es ideal para ser utilizada por terminales mviles actuales. De hecho, eso es lo que hacen. Por lo general, la memoria NOR es utilizada para soportar el firmware del terminal mvil, mientras que la memoria NAND suele utilizarse como unidad de almacenamiento. Con esto se pretende decir que si
buscamos alguna evidencia de carcter personal (emails, SMS, fotografas, etc), muy probablemente se encuentre en la NAND. De todos modos, siempre es interesante echar un vistazo a la memoria NOR, especialmente en la zona no ocupada por el firmware, ya que determinadas plataformas mviles las utilizan para almacenar cierta informacin. La memoria NAND est compuesta de Pginas, que a su vez conforman Bloques, que a su vez conforman Zonas.
Estructura lgica de memorias NAND Resumiendo mucho, y desde un punto de vista lgico, una pgina de memoria NAND es muy similar a un sector de un disco duro, y al igual que stos su tamao es mltiplo de 512 bytes*. Desde un punto de vista fsico, la memoria NAND puede ser escrita byte a byte, aunque para borrar informacin la cosa cambia. Para borrar informacin fsicamente, debe borrarse todo un bloque. Es sumamente fcil detectar bloques borrados, puesto que representa una cantidad ingente (tantos como ocupe el bloque) de 1s. *Anteriormente hemos dicho que una pgina tiene un tamao mltiplo de 512 bytes, y esto requiere una explicacin: Desde un punto de vista fsico, una pgina se compone de datos y de un payload, llamado SPARE, que contiene informacin relativa al estado de los datos. Esto significa que el tamao total de la pgina ser mayor de lo esperado. Conocer este hecho ser de vital importancia para conducir con xito el proceso de adquisicin, y posterior anlisis de los datos. Esto se ver ms claro en el apartado Preparacin previa a la bsqueda de evidencias. Adquisicin de datos La adquisicin de los datos, a partir del soporte fsico, puede realizarse utilizando cualquiera de las siguientes tcnicas: Herramientas de flasheo La utilizacin de herramientas suele ser la va ms fcil, y no invasiva, de las tres tcnicas posibles. El problema reside en que dichas herramientas dependen fuertemente del dispositivo mvil desde el cual se desea realizar la adquisicin de datos. Otro tipo de limitacin suele ser la imposibilidad de recuperar la totalidad de la informacin residente en el dispositivo. Este tipo de herramientas no suelen estar diseadas, de forma expresa, para ser utilizadas en un procedimiento forense, aunque el investigador puede llegar a utilizarlas si fuese oportuno. Tampoco existen garantas de que existan dichas herramientas para todos los posibles dispositivos mviles.
Todo examinador deber conocer, y haber testeado la herramienta utilizada en otro dispositivos mvil igual a la evidencia, el grado de modificacin que puede realizar sobre la memoria flash. De hecho, es muy frecuente que este tipo de herramientas realicen modificaciones que puedan contaminar las evidencias. A modo de ejemplo, se muestra la aplicacin de Sarasoft, la cual puede ayudar al investigador en el proceso de adquisicin de informacin:
Tool de flasheo por Sarasoft JTAG En el caso en que la adquisicin de los datos no haya podido producirse, de forma satisfactoria, mediante la utilizacin de herramientas de flasheo, puede llegarse a utilizar el puerto JTAG. Un puerto JTAG, y dependiendo del dispositivo mvil, suele utilizarse para la realizacin de testeos por el fabricante, y de forma muy particular para realizar tareas de debugging. Dicho puerto JTAG podra llegar a ser utilizado para acceder a la memoria flash del dispositivo mvil, lo cual sera algo muy positivo para un examinador forense. A continuacin se muestra un acceso, va el puerto JTAG, a un Samsung Omnia i900:
Conexin al puerto JTAG de un Samsung Omnia i900 Como sospechareis, este proceso depende fuertemente de las especificaciones del hardware. De todos modos, y siempre dentro de un proceso de adquisicin forense, es preferible realizar la adquisicin mediante este mtodo, puesto que a diferencia de la utilizacin de herramientas de flasheo, la adquisicin va puerto JTAG reduce la posibilidad de escrituras inadvertidas en la memoria flash, reduciendo riesgo de contaminacin de las evidencias digitales. Extraccin directa desde el chip de memoria El tercer, y ms intrusivo, mtodo para realizar una adquisicin de evidencias digitales en dispositivos mviles es la extraccin fsica de la memoria flash. Para esto se recomienda la utilizacin de aire caliente, lo cual facilita la extraccin y posterior limpieza de los pins de la memoria flash. Un dispositivo de este tipo puede adquirirse por algo menos de 200 dlares en ebay:
Desoldadora de aire caliente Una vez el chip est debidamente extrado y sus pines limpiados, mediante una lectora, se puede proceder a realizar un volcado completo de la memoria flash, la cual se deber configurar con ciertas especificaciones tcnicas del chip, tales como tamao del bus de direcciones o tamao del bus de datos. Para esto ltimo, se recomienda un programador universal y diferentes adaptadores, en funcin del formato del chip que se desee analizar. Un programador universal suele ser un dispositivo bastante caro, aunque en ebay se pueden encontrar autenticas maravillas:
Reprogramadora Universal Es fcil encontrar en ebay adaptadores por menos de 100 euros.
Zcalo de adaptacin de encapsulado TSOP (el mas comnmente utilizado en memorias FLASH) para una reprogramadora universal. Como puede observarse, este tercer mtodo es bastante intrusivo y requiere de cierto desembolso econmico. No obstante, cuando el dispositivo mvil no es funcional o est destruido, es la nica forma de realizar una adquisicin coherente de los datos. Preparacin previa a la bsqueda de evidencias Una vez realizada la adquisicin de datos, y dependiendo del mtodo de adquisicin utilizado debemos asegurarnos de filtrar la informacin relativa al SPARE, la cual contiene informacin relativa al estado de los datos. Vamos a generar una imagen limpia (sin SPARE) a partir de la imagen obtenida del proceso de adquisicin: view sourceprint?
1.cosmic@bartolo:/tmp$ ./unspare 2.Modo de empleo: ./unspare <imagen_entrada> <imagen_salida> <data_size_por_pgina> <spare_size_por_pgina> 3. 4.cosmic@bartolo:/tmp$ ./unspare image_adqui.bin imagen_limpia.img 512 16 5.cosmic@bartolo:/tmp$ ls -als image_raw.bin imagen_datos.img 6.65604 -rw-r--r-- 1 cosmic cosmic 67108864 2010-08-04 18:11 imagen_limpia.img 7.67656 -rwxr-xr-x 1 cosmic cosmic 69206016 2010-08-04 18:11 image_adqui.bin
Para esto hemos utilizado una herramienta, llamada unspare, cuyo cdigo fuente se distribuye a continuacin:
view sourceprint?
01./*************************************/ 02./***** unspare by blueliv 2010 *******/ 03./*************************************/ 04.#include <stdio.h> 05.#include <stdlib.h> 06. 07.main (int argc, char** argv) { 08.FILE *flash_image_file; 09.FILE *data_file; 10.FILE *spare_file; 11.unsigned char *buffer; 12.int n,max_size,data_size,spare_size; 13. 14.if (argc<5) { 15.printf("Modo de empleo: %s <imagen_entrada> <imagen_salida> <data_size_por_pgina> <spare_size_por_pgina>\n",argv[0]); 16.exit(0); 17.} 18. 19.flash_image_file = fopen(argv[1], "rb"); 20.data_file = fopen(argv[2], "wb"); 21.spare_file = fopen(argv[3], "wb"); 22.data_size=atoi(argv[3]); 23.spare_size=atoi(argv[4]); 24.max_size=data_size+spare_size; 25.buffer=malloc(sizeof(char)*max_size); 26.if (!buffer) { 27.printf ("Error reservando memoria"); 28.exit(0); 29.} 30.if (flash_image_file) { 31.while (!feof(flash_image_file)) { 32.n=fread(buffer, max_size, 1, flash_image_file); 33.if (n!=0) { 34.n=fwrite(buffer, data_size, 1, data_file); 35.fwrite(buffer+data_size, spare_size, 1, spare_file); 36.} 37.} 38.} 39.else { 40.printf ("Error abriendo fichero\n"); 41.} 42.}
A partir de este momento disponemos de una imagen limpia, equivalente a la que podra haberse obtenido mediante la herramienta dd sobre un disco duro, por lo que desde este momento, y sobre la imagen limpia obtenida, aplicaran todas las tcnicas conocidas para realizar un anlisis postmortem estndar, mxime cuando por norma general los dispositivos mviles suelen utilizar particiones FAT32, FAT16 o FAT12.
Para aquellos que deseen profundizar en materia de anlisis forenses de dispositivos mviles, a continuacin os dejo con una serie de referencias de especial inters: NIST Guidelines on PDA Forensics http://csrc.nist.gov/publications/nistpubs/800-72/sp800-72.pdf NIST PDA Forensics Tools: An Overview and Analysis http://www.csrc.nist.gov/publications/nistir/nistir-7100-PDAForensics.pdf NIST Cell Phone Forensic Tools: An Overview and Analysis http://csrc.nist.gov/publications/nistir/nistir-7387.pdf Interpol Good Practice Guide for Mobile Phone Seizure & Examination http://www.holmes.nl/MPF/Principles.doc http://www.holmes.nl/MPF/FlowChartForensicMobilePhoneExamination.htm NIST Guidelines on Cell Phone Forensics http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf
bluelog un salto en valor

Author Archives: Jose Antonio Lancharro
Rescontruyendo datos mediante el ingenio Anlisis forense en dispositivos mviles (II)

Jose Antonio Lancharro Bervel
22
Sep 2010
Existen situaciones en las que un investigador forense necesita sobrepasar las limitaciones tcnicas intrnsecas a las herramientas existentes en la actualidad. Un claro ejemplo de esto sucede cuando el investigador necesita interpretar datos que contiene un telfono mvil, los cuales pueden sufrir una fuerte fragmentacin y, adems, las entradas de la FAT tambin pueden estar completamente destrudas. El presente artculo es una continuacin del artculo Anlisis forense en dispositivos mviles (I), en dnde repasamos diferentes mtodos para realizar una adquisicin de los datos contenidos en la memoria flash de dispositivos mviles. Para trabajar con datos tangibles, pongamos como ejemplo de
adquisicin un volcado de memoria NAND, descargable desde aqu. Dicho volcado de memoria corresponde al reto forense del 2010, realizado por la Digital Forensics Research Conference. leer ms Comprtelo:
Etiquetas: dispositivos mviles, forensics deja un comentarioleer ms
De cmo evadir las restricciones de seguridad establecidas en un kiosko

Jose Antonio Lancharro Bervel
14
Ago 2010
Se define como kiosco aquella mquina, puesta a disposicin pblica, para que usuarios utilicen los servicios ofrecidos por la empresa que facilita su acceso.
Seguro que muchos habis visto algn kiosko similar, ofreciendo diversos servicios a travs de Internet, ya sea en aeropuertos, estaciones de tren o incluso en oficinas bancarias. Dichos kioskos suelen presentar una serie de restricciones de seguridad, mediante las cuales se trata de acotar las funcionalidades que desde dicho sistema se puedan realizar, ofreciendo como interface con el usuario nicamente un navegador, sin posibilidad aparente de que ste pueda interactuar con el sistema subyacente. En el presente artculo se presentarn una serie de tcnicas, las cuales pueden ser utilizadas para evadir los controles de seguridad dispuestos en el kiosko, logrando en muchos casos interactuar libremente con el sistema operativo, e incluso escalar privilegios dentro del mismo.
Obtencin de herramientas instaladas en el kiosko En el caso en que el navegador proporcionado por el kiosko sea Internet Explorer, podemos utilizar el manejador res:// para inferir la existencia o no de binarios, y por lo tanto enumerar el software instalado. Para realizar dicha comprobacin, deberemos ejecutar, desde la barra de direcciones, el siguiente cdigo javascript, o similar: view sourceprint?
1.javascript:var aux = new Image();aux.src="res://<;strong>c:\\windows\\Microsoft.NET\\Framework\\v1.0.3 705\\mscormmc.dll</strong>/#2/#10";if (aux.height != 30) { alert("El binario existe"); } else { alert("El binario N0 existe"); }
El valor del objeto Image, en nuestro ejemplo llamado aux, por defecto tiene los siguientes atributos: aux.height=30 y aux.width=28. En el caso en que exista el fichero, dichos valores por defecto sern modificados, y por lo tanto podremos inferir si el fichero existe:
Constatacin de la existencia del binario c:\windows\Microsoft.NET\Framework\v1.0.3705\mscormmc.dll Obtencin de informacin sobre el navegador proporcionado por el kiosko Con frecuencia, las polticas establecidas en el kiosko no permiten la consulta directa de cierta informacin relativa al mismo, como por ejemplo una consulta de la versin del navegador utilizado. Para evadir dicho control y obtener el nombre del navegador, versin, plataforma utilizada y useragent, podramos ejecutar el siguiente cdigo javascript, desde el campo de direcciones del navegador proporcionado por el kiosko. view sourceprint?
1.javascript: alert(navigator.appName+","+navigator.appVersion+","+navigator.platform+","+n avigator.userAgent);
Revelacin de variables del navegador Por otro lado, y apoyndonos en un servidor web controlable por el auditor, podemos acceder a una URL que contenga el siguiente cdigo, con el objeto de averigurar la IP pblica del kiosko: view sourceprint?
01.<html> 02.<body> 03.<table> 04.<tr> 05.<td>IP del kiosko:</td><td><? print($_SERVER['REMOTE_ADDR']);$hostname=gethostbyaddr($_SERVER['REMOTE_ADDR' ]);print(" : $hostname"); ?></td> 06.</tr> 07.</table> 08.</body> 09.</html>
Revelacin de la direccin IP con la que el kiosko sale a Internet
Me parece muy bien, pero Cmo puedo acceder al sistema de ficheros? Para aquellos kioskos que, s o s, has de interactuar nicamente con el navegador, la forma ms fcil de poder pegarle un vistazo a lo que hay debajo es la siguiente: Ejecutemos el siguiente cdigo javascript desde el campo de direcciones del navegador: view sourceprint?
1.javascript:document.execCommand("SaveAs");
Con lo que obtendremos un dialog que nos debera permitir navegar por el sistema de ficheros:
Obtencin de un dialog, mediante el cual poder explorar el sistema de ficheros Como plan alternativo, y en el caso en que el cdigo javascript anterior no hubiese resultado exitoso, es posible abrir un dialog desde un componente flash ubicado en un servidor Web controlado por el auditor:
Y ahora Algn modo para ejecutar otros programas residentes en el kiosko?
S. La forma ms rpida es utilizar una serie de manejadores, que el navegador puede tener vinculados al software que se desea ejecutar. Algunos de estos manejadores pueden ser: callto:// Telnet://
gopher://
NNTP://
Hcp://
Ldap://
Rlogin://
Search-ms://
Mailto://
Ejecucin de software no contemplado para uso pblico desde el kiosko Otros modos de abuso? Por supuesto Desde el momento en que cualquier usuario puede conectarse a su propio servidor Web, se abre un amplio abanico de posibilidades que, sin un adecuado bastionado del kiosko, pueden facilitar diversos vectores de abuso. Un vector de abuso puede ser la ejecucin de applets dispuestos por el usuario, los cuales se ejecutar en el kiosko. Como ejemplo de este vector de abuso, se puede disponer de una shell de python, posibilitando a atacantes el desarrollo y ejecucin cualquier tipo de programa realizado en python, java e incluso interactuacin con el sistema.
Consola proporcionada por jython habilitada en el kiosko Una va ms directa es la utilizacin de applets firmados para ejecutar cualquier aplicacin del sistema:
Ejecucin del bloc de notas desde un applet Del mismo modo con el que pueden ejecutarse comandos del sistema desde un applet hecho en java, con su debida firma, pueden ejecutarse comandos del sistema utilizando ActiveX o incluso aplicaciones desarrolladas en .Net. Ejecucin de binarios, albergados en un servidor web controlado por el usuario del kiosko. Dichos binarios podran ser ejecutados tras la descarga directa, encapsulados en un fichero .zip o incluso dispuestos mediante un objeto flash.
Descarga de zip, extraccin de binario y ejecucin del mismo En kioskos, con frecuencia se encuentran establecidas ciertas directivas de grupo que impiden la ejecucin de una shell, como puede ser:
Opcin DisableCMD habilitada En tal caso, para poder visualizar correctamente la shell deberemos parchearla para que no tenga en cuenta la directiva de grupo anteriormente mencionada, o bien utilizar una shell previamente desbloqueada. Una vez obtenida una shell de sistema, completamente operativa, se posibilita que el intruso pueda elevar privilegios o incluso que la intrusin se propague hacia otros entornos, como pueda ser una red de kioskos, o incluso instalar cualquier tipo de malware en los mismos. Por todos estos motivos, no est de ms hacer hincapi en la importancia de bastionado exhaustivo de sistemas tan expuetos a diferentes amenazas como pueden ser los kioskos.
Todas estas tcnicas y herramientas, entre otras, estn dispuestas en una suite orientada a auditar kioskos llamada ikat, de Paul Craig, cuya versin 3 es accesible desde http://ikat.ha.cked.net, las cuales pueden ayudarnos a determinar el nivel de seguridad no slo de kioskos, sino de cierto perfil de estaciones de trabajo e incluso entornos Citrix, cuyas tcnicas de anlisis, y dependiendo de la configuracin, pueden ser anlogas a las aqu enumeradas.

Aplicaciones mviles que se pueden utilizar en las primeras etapas de un PenTest
Generalmente cuando vemos a una persona con un iPad o iPhone en sus manos pensamos que est revisando su correo, leyendo algunas noticias, twitteando, navegando por Facebook o jugando al AngryBirds, no es una actitud que levante sospechas como la de estar con una notebook y algunas terminales o ventanitas extraas abiertas. Y lo cierto es que desde una tablet o smartphone se puede recolectar mucha informacin de una red y realizar varios ataques contra ella. Obviamente no se tiene la misma potencia que la notebook, pero se pueden realizar muchas cosas y pasar desapercibidos. La siguiente es una recopilacin de aplicaciones para iOS de Apple como herramientas de pentesting Es simplemente un ejemplo sobre las distintas etapas de un test de penetracin y mencionando para cada una de ellas varias apps. Fing (descarga para iOS y Android gratis): permite enumerar todos los equipos de una red inalmbrica incluyendo dispositivos como routers e impresoras. Permite ver IPs, MACs, fabricantes y escanear puertos para detectar servicios disponibles. Es muy til para determinar rpidamente cmo est compuesta una red. Net Tools (descarga para iOS y Android gratis): es una herramienta que facilita varias tareas como la de realizar traceroutes, whois, reverse lookups, etc. MobileTerminal (descarga para iOS desde Cydia gratis): como el nombre lo indica, permite acceder a una terminal para trabajar directamente con el dispositivo y aplicaciones como Netcat o Nmap, este ltimo es un escner como Fing muy utilizado durante los pentesting pero mucho mejor y ms completo. Mac2Wpkey (descarga para iOS desde Cydia y Android - gratis): detecta modems Huawei y genera la contrasea WEP/WPA por defecto a partir de la direccin MAC. En relacin al tema de las contraseas, tambin les recomiendo el sitio routerpasswords.com para ver las claves por defecto de todos los routers. Routerpwn (descarga para iOS y Android gratis): hace algn tiempo la recomend en SpamLoco, permite detectar vulnerabilidades conocidas en los routers y explotarlas. iWeb PRO (descarga para iOS desde Cydia de pago): realiza ataques de fuerza bruta para obtener claves de distintos modems. Una alternativa para Android puede ser Router Keygen. Pirni Pro (descarga desde Cydia de pago): til para sniffear la red. Nessus (descarga para iOS y Android gratis): permite escanear equipos y detectar vulnerabilidades.
Estas son algunas de las aplicaciones tiles para recolectar mucha informacin desde una tableta o mvil. Pero tambin se pueden realizar ataques e instalar herramientas como SET (Social Engineering Toolkit), Metasploit, entre otras.

Borra de Facebook tu contenido comprometido
Te disfrazaste de Super-Ratn el ao pasado y ahora te avergenzas de haber subido la foto a Facebook? Escribiste un chiste verde en tu muro y lo quieres borrar pero no lo encuentras? Tu ciclista favorito te ha decepcionado y quieres quitar cualquier referencia a l de tu Facebook? El actual motor de bsqueda de Facebook no facilita para nada la tarea de encontrar contenidos que hayas publicado en tu pgina personal. Por suerte, existe una aplicacin de Facebook llamada FaceWash. Con FaceWash puedes buscar y borrar fcilmente aquel contenido que, por los motivos que sean, ya no quieres seguir compartiendo con el mundo. Cmo funciona? Sigue leyendo... Accede a FaceWash y haz clic en Get started Haz clic en Ir a la aplicacin y dale permisos a la aplicacin para que pueda acceder a tu biografa. (Nota: si haces clic en Omitir, FaceWash podr acceder a todas las partes de tu biografa excepto a los comentarios publicados por otros) Haz clic en Start. La primera vez que lo ejecutes, FaceWash buscar en tu biografa palabras genricas que pueden ser comprometidas (sexo, culo, etctera...). Esta funcin no es muy prctica. Lo mejor viene cuando introduces algn tmino en el campo de bsqueda. Escribe el nombre de alguna, algn lugar, alguna fecha o el comentario de alguien que quieras borrar. Por ejemplo, en este caso quiero borrar una foto de cuando era pequeo en la que mi hermano llevaba una sudadera de Mickey Mouse para olvidar. As que escribo "Mickey Mouse" y rpidamente Facewash encuentra la susodicha foto. Para eliminar la foto, slo tienes que hacer clic en el enlace resaltado y FaceWash te llevar directamente al contenido en tu pgina de Facebook, desde donde podrs eliminarlo para siempre: Nota: FaceWash no es infalible. Recuerda que para que encuentre un contenido, ste debe contener los trminos de bsqueda que hayas introducido, escritos del mismo modo. Hay mucho contenido que quieres borrar de tu Facebook?

Cmo construir su propio laboratorio forense digital?
Paso a paso las instrucciones para descargar y utilizar las herramientas digitales gratis o de bajo costo forense. Con demasiada frecuencia un compaero se pone en contacto en estado de pnico, para recuperar archivos borrados de un disco rgido de un sospechoso, despus que mis colegas han pisoteado la evidencia digital como un oficial de polica novato en su primera escena del crimen.A menudo, la evidencia valiosa se pierde para siempre, y no es posible ser utilizada en la corte, o peor, el sospechoso sabe que est siendo investigado. Con el hardware apropiado que usted probablemente ya tiene disponible en lnea y gratuito, usted puede construir fcilmente su propio equipo bsico de laboratorio forense que le permitir ser utilizado en los tribunales, reducir los costos de E-Discovery y, lo ms importante, recuperar una valiosa evidencia para todas sus investigaciones. Esta es la regla fundamental en el inicio de cualquier investigacin forense: No toque la computadora o el disco rgido del sospechoso. En la televisin se ve detectives y oficiales de CSI entrar en una escena del crimen, iniciar la sesin en la computadora del sospechoso y empezar a buscar pruebas. No hagas esto. Nunca. Cualquier toque del teclado o el ratn, o incluso el simple acto de encender la computadora, desde el punto de anlisis forense, genera un cambio en el disco rgido. Estos son los dos pasos crticos que debe tener en cuenta desde el inicio: - En primer lugar, cuando se acerque el equipo de un sospechoso desenchufe la parte posterior de la computadora (no desde la pared) y deje que la misma muera (energticamente hablando). En el caso de computadoras porttiles se deber extraer su batera para apagar el sistema. Este cierre repentino congela las pruebas del disco rgido mantenindolas en su lugar. - En segundo lugar, no intente leer el disco rgido del sospechoso sin un dispositivo de bloqueo de lectura / escritura. Leer y escribir con aparatos de bloqueo evita que el equipo altere el disco rgido del sospechoso mientras se encuentre buscando de evidencias. Sin estos dos pasos previamente realizados, su evidencia y usted pueden pasar por un difcil momento en la corte. Para obtener ms informacin sobre la recopilacin de pruebas digitales lea el siguiente documento sobre Las Mejores Prcticas del Servicio Secreto para la incautacin de Pruebas Electrnicas, Gua de bolsillo. Con esas normas en claro, nada le impide realizar la construccin de una configuracin bsica de informtica forense que la imagen del sospechoso (es decir, crear una copia duplicada de la misma) y la revisin de la misma para la obtencin de evidencias. El primer paso antes de la obtencin de pruebas es el reconocimiento. Primeramente, encuentre la marca y el modelo de la computadora de su sospechoso. La mayora de las
empresas utilizan cdigos de stock, por lo que conocer el nmero y modelo del equipo sospechoso puede ayudarle a determinar el tipo de disco rgido (SATA vs ATA), su tamao (40 GB o mayor) y, lo ms importante-cmo acceder y desconectar el disco rgido. Los fabricantes de computadoras ensamblan sus discos rgidos en lugares particulares, por lo que una simple bsqueda en YouTube o Google, por ejemplo del disco rgido de Dell Latitude D400, puede ayudarle de forma rpida y fcil cmo extraer la unidad. Para la seleccin del dispositivo de bloqueo de lectura / escritura tiene dos opciones: comprar o construir. Si decide comprar, hay una variedad de opciones comerciales disponibles a diferentes precios. Personalmente uso Logicubes Portable Forensic Lab (http://www.logicubeforensics.com/products/hd_duplication/pfl.asp), que funciona como una copiadora porttil. Este dispositivo cuesta unos pocos miles de dlares, pero permite hacer copias a una velocidad de 4 GB por minuto y es fcil de utilizar para aquellas personas que no conocen de tecnologa. Logicube y otros proveedores tambin fabrican pequeas unidades porttiles de unos pocos cientos de dlares que funcionan muy bien tambin. Sin embargo, les indico un truco sencillo y barato para hacer su propio dispositivo. Usando un dispositivo vaco de disco rgido externo por USB (USD 20) y un simple cambio en su configuracin/registro, puede lograr la imagen de datos como un profesional. Primero abra su registro siguiendo estos pasos. (Nota: Editar el registro no suele ser recomendable si usted no est familiarizado con la tecnologa de la computadora.) Haga clic en el botn Inicio y escriba Regedit y pulse Intro. Navegue a travs de HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control. Haga clic derecho sobre Control y seleccione Nuevo y, a continuacin Clave. Llame a la nueva clave FORENSICWRITEBLOCK. Haga clic derecho sobre FORENSICWRITEBLOCK y seleccione Nuevo y, a continuacin Dword. Llame al nuevo Dword WriteProtect. Haga clic derecho sobre WriteProtect y seleccione Propiedades. Establecer el valor a 1 y pulse Aceptar. Nota: Para volver y quitar el bloqueo de acceso a escritura a dispositivos USB despus de terminar la copia de imagen, simplemente borre la clave del Registro StorageDevicePolicies, o elimine la entrada del Registro WriteProtect, o cambe los datos de valor para WriteProtect a cero.) Cuando haya terminado de configurar su registro, pruebe la unidad externa con un disco rgido personal o en blanco y trate de copiar un archivo en la unidad externa conectada. Windows le dar un mensaje de error indicando que la unidad est protegida contra escritura y su intento de copia de archivos fallar.
Despus de capturar de manera encubierta el disco rgido del sospechoso, enchufe el dispositivo de bloqueo de lectura / escritura. Windows debera reconocer la nueva unidad y el explorador se abrir. En este punto usted puede buscar y utilizar la unidad por su propia cuenta o crear una imagen forense para ver los archivos eliminados, a ser revisados en un momento posterior por usted o por un tercero y llevar a cabo la informacin a la corte. Para hacer una imagen forense, descargue Accessdatas FTK Imager 2.6.1 (http://accessdata.com/) En el mercado forense hay muchos programas de cdigo abierto, software gratuito y licenciado para seleccionar, pero me parece FTK Imager es muy fcil de usar para principiantes, con un asistente paso a paso y, por supuesto, sin costo. Una vez instalado, seleccione Crear imagen de disco, seleccionar la fuente de la imagen (la unidad de disco USB), nombre su archivo y grabe la ubicacin de almacenamiento (recomiendo guardar en una unidad externa de gran tamao) y haga clic en Inicio. Despus de unas pocas horas usted tendr una copia idntica de la unidad del sospechoso a explorar. En este momento usted puede regresar la unidad del sospechoso sin que ellos sepan que usted hizo una copia. FTK Imager tambin puede revisar la unidad asegurada o unidad original seleccionando Agregar evidencia. En esta funcin, Imagen acta tanto como el Explorador de Windows, pero le mostrar muchos archivos borrados marcados con una X. Para grandes proveedores de funcionalidades forenses, como de Guidance y Accessdata, ofrecen soluciones de software que organizan los documentos del sospechoso, correos electrnicos y mensajes instantneos, los ndices completos de unidades para bsquedas; crack de contraseas encriptadas, y mucho ms. Personalmente recomiendo y uso FTK por sus herramientas fciles de usar, alta velocidad de procesamiento y con un equipo de soporte tcnico excelente. Finalmente le digo a la gente de informtica forense que esto es ms un arte que una ciencia. Si usted hace una copia y usa el Explorador de Windows como herramienta para evidencia o compra Encase y FTK para hacer la bsqueda ms fcil, todo se reduce al tiempo que usted emplea en conectar los puntos y el ordenarlos de manera inteligente a travs de una gran cantidad volumen de informacin.

Las 10 mejores apps para blindar tu mvil o tableta
En movilidad, se crea errneamente que las aplicaciones de seguridad eran superfluas, cuando lo cierto es que ahora nuestros dispositivos mviles son un blanco perfecto para ataques. Veamos cmo protegerlos.
La seguridad, cuando se aplica a los terminales mviles, puede tener muchas acepciones que no necesariamente se identifican con el antivirus tradicional para PC. El hecho de que las aplicaciones estn centralizadas en una tienda bajo la supervisin y gestin del proveedor de la plataforma mvil (Google, Microsoft, BlackBerry o Apple) hace que sea ms complicado su uso como vehculo para portar malware. Aun as, hay ocasiones en las que este control no es perfecto y se cuelan en los mviles o tabletas de los usuarios programas que hacen un uso inapropiado de los recursos del dispositivo, por ejemplo para enviar SMS premium o servicios no contratados que pueden suponer un gasto inesperado para el usuario.
La propuesta de los expertos
Kaspersky Mobile Security

La solucin de seguridad para movilidad de Kaspersky incluye, en su versin de pago, todo un repertorio de funcionalidades orientadas a blindar el terminal contra posibles fisuras, desde lagestin de listas blancas y negras de llamadas hasta el filtrado de mensajes SMS. Tambin tiene funcionalidades antirrobo, como la geolocalizacin, el aviso de cambio de SIM o elborrado selectivo de datos, todo ello mediante SMS. Para algunas funcionalidades, tambin se usa el correo electrnico. Muy til es tambin la opcin para ocultar las listas de llamadas y los SMS o contactos que desee el usuario. El antivirus empieza a cobrar relevancia en plataformas como Android, donde no siempre se puede asegurar la integridad de una aplicacin. Dispone de una versin de prueba gratuita, as como de un servicio de suscripcin anual, que es la que ofrece todas las funcionalidades sin restricciones.
Android Lost
Esta aplicacin se encuentra disponible solo para el sistema operativo Android, pero es una de las navajas suizas de la seguridad en el terminal mvil. La solucin est orientada especialmente a situaciones en las que se ha producido la prdida o robo del mvil o tableta y tiene funcionalidades tan exclusivas como la grabacin de audio en segundo plano, lacaptura de fotos con ambas cmaras del terminal o el acceso mediante servidor web a todos los archivos. Y todo ello de un modo tal que quien se haya apropiado del telfono no se dar ni cuenta, porque incluso existe la opcin de borrar remotamente el icono de la aplicacin en el escritorio. La geolocalizacin o la gestin de mensajes que se pueden enviar a quien lo haya encontrado o robado estn entre lo mejor y ms verstil de cuantas soluciones para seguridad se pueden encontrar actualmente en el mercado, incluyendo las de pago.
BlackBerry Protect
Esta firma siempre se ha caracterizado siempre por ser una compaa que ha estado volcada completamente en la seguridad, y su propuesta Protect no es una excepcin a la norma. Adems de disponer de herramientas para localizar mediante un sonido el terminal, enviar mensajes remotamente o geolocalizarlo en caso de robo o prdida, ofrece una buena gestin de los datos, de modo que se puede programar la ejecucin de una copia de seguridad bajo demanda y, as, es posible borrar del dispositivo con la tranquilidad de saber que los datos importantes estn a salvo en la Nube. Posteriormente, esta copia de seguridad podr restaurarse en un nuevo
terminal llegado el caso. Por si fuera poco, brinda la oportunidad de gestionar varios terminales diferentes desde la misma pgina web a la que se accede con el ID de BlackBerry.
Encuentra mi iPhone
En los dispositivos de Apple, una de las mayores amenazas que hay es la de que te roben el flamante terminal, ya sea un iPhone o un iPad. Para esos casos, Apple dispone del servicio denominado Encuentra mi iPhone, que ahora viene integrado dentro del paraguas de iCloud. Es factible programar la app para que emita un sonido en el terminal, as como ubicarlo geogrficamente, bloquearlo o borrar la informacin que contiene. Gracias al servicio iCloud, lo habitual ser que todos los datos estn almacenados en la Nube, lo que es una autntica garanta en caso de que se pierda el dispositivo, aunque se echa de menos un modo para activar la copia de seguridad bajo demanda o para poner en marcha la cmara en remoto con el fin de que se puedan hacer fotos. El servicio, como ya hemos comentado, depende de la cuenta de iCloud con la que se tenga configurado el dispositivo.
Encuentra mi telfono
Microsoft tampoco es ajena a que el terminal se pueda extraviar o ser robado. Su servicio ofrece una funcionalidad bsica para la localizacin y gestin, como el borrado remoto o el bloqueo. Tambin se puede hacer sonar para localizarlo, aunque carece de funcionalidades importantes, como la gestin de copias de seguridad bajo demanda. Adems, la gestin se realiza mediante SMS, de modo que, si se quita la SIM, el sistema dejar de ser prctico. Si se tienen varios terminales, desde https://www.windowsphone.com/es-es/my/find es posible gestionarlos. Sera deseable que se pudiese hacer a travs de SkyDrive o gestionar las cmaras para hacer fotos del entorno del terminal. En lo que se refiere a antivirus, Windows Phoneparece ser una plataforma segura e inmune al malware, al menos a da de hoy.
Google Latitude
Dentro de los servicios de Google, hay algunos que permiten implementar polticas de seguridad aplicables en el da a da. Latitude, por ejemplo, posibilita ver la ubicacin de tus contactos en tiempo real. A pesar de las connotaciones sobre privacidad que se derivan de la exhibicin de este tipo de informacin, lo cierto es que, para grupos cerrados de familiares, profesionales o amigos, es una buena herramienta. Por ejemplo, si tenemos personas que dependan de nosotros, permite saber con bastante fiabilidad dnde estn, con todo lo que ello tiene de control de aquellos que dependen de un familiar o un responsable. En el mbito delocio, y de relaciones de confianza, es una forma simptica y til de localizar a los amigos en un momento dado. En cualquier caso, es una herramienta gratuita y muy intuitiva y fcil de usar que puede configurarse con todo nivel de detalle para que solo aquellos que t quieres vean tu ubicacin.
iOnRoad Smarter Driver

Los terminales mviles empiezan a encontrar aplicacin en otros nichos como el de la seguridad en la conduccin. Ubicando el dispositivo enfrente del parabrisas, mirando a la carretera, y mediante aplicaciones de Realidad Aumentada, es posible conseguir que el mvil nos avise si estamos movindonos fuera del carril o calcular con bastante precisin la distancia que nos separa de otro vehculos, y todo ello mediante avisos sonoros y seales en pantalla. Es de especial inters en viajes largos, de modo que se consigue un plus de atencin al volante, siempre que se tenga la precaucin de no fiarse totalmente de sus indicaciones, que hay que tomar como un refuerzo para la atencin. Adems, puede gestionar msica, as como grabar los trayectos y capturar imgenes dependiendo de las situaciones que hayamos programado o que determinemos de forma peridica.
Ford Sync
Dentro de la seguridad en el automvil, Ford ha conseguido integrar el uso del mvil con lossistemas del vehculo, de modo que no solo se usa el smartphone como repositorio de contenidos multimedia para el sistema de entretenimiento a bordo, sino que tambin se usa para realizar la gestin por voz de algunas funcionalidades o se enlaza con otros sistemas del coche para implementar un sistema de llamadas de emergencia automticas en caso de que se dispare el airbag o se pare la bomba de combustible. Este sistema realiza una llamada a travs del mvil a un nmero de emergencias y permite que los ocupantes hablen a travs del sistema de manos libres, as como proporciona datos sobre la ubicacin del vehculo. Ford cuenta con la tecnologa Sync en algunos de sus modelos, y es una tendencia que se propaga rpidamente en el sector del automvil. Su precio depende de la configuracin y del vehculo.
McAfee Mobile Security

Esta propuesta es una de las ms completas del panorama de la seguridad para mviles, como podemos comprobar en su versin gratuita, que no est limitada en funcionalidades, aunque s en tiempo (solo se dispone de siete das para probarlo y decidir si se contrata el servicio anual o no). En caso de contratarlo, contars con un completo sistema de gestin del terminal tanto a escala local como en remoto, que abarca, desde la gestin de llamadas hasta la proteccin frente a la desinstalacin de la aplicacin, pasando por la administracin de copias de seguridad y la restauracin de datos, una cualidad que lo diferencia de otras soluciones donde este apartado no est resuelto. Por supuesto, tambin cuenta con antivirus, aunque, en la prctica, de momento solo tiene una aplicacin real en dispositivos con plataformas Android.
Completa, pero con pocas funciones gratuitas
Norton Mobile Security

Symantec es otro de los grandes de la seguridad que cuenta con una solucin especfica para mviles. En este caso, se puede descargar una versin gratuita, pero con funcionalidades limitadas. Con esta herramienta, podrs usar alarmas sonoras, realizar borrados remotos ogeolocalizar mediante SMS, realizar un bloqueo y hasta hacer fotografas usando las cmaras de los terminales. Adems, tendrs herramientas de bloqueo de llamadas no deseadas y SMS que no quieras recibir. La parte dedicada a la gestin remota es especialmente atractiva en lo que concierne a hacer fotos, aunque la gestin de copia de seguridad de los datos no est resuelta desde la aplicacin propiamente dicha.

Curso Perito Telemático Forense

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Curso Perito Telemático Forense

Uploaded by

Copyright:

Available Formats

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Derechos y deberes del Perito Telemtico

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

reas de actuacin de los Peritos Telemticos

Curso de Perito Telemtico Forense

Capacitacin Profesional del Perito Judicial en los Tribunales de Espaa

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Acreditacin de la capacitacin profesional

Curso de Perito Telemtico Forense

Contexto legal del perito

Curso de Perito Telemtico Forense

Cundo se nombrar a un perito?

Curso de Perito Telemtico Forense

El procedimiento de solicitud de un perito

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

La designacin del perito

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

El nombramiento del perito judicial

Curso de Perito Telemtico Forense

La asistencia a juicio oral

Curso de Perito Telemtico Forense

La valoracin del informe

Responsabilidades y derecho del perito

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Como extraer y recuperar evidencias digitales y telemticas

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Curso de Perito Telemtico Forense

Audit Viewer Autopsy Backtrack

Mandiant Brian Carrier Backtrack

Curso de Perito Telemtico Forense

Digital Forensics Framework

Encrypted Disk Detector

Exif Reader FastCopy

FAT32 Format Foca

Image Sanderson Forensics

Curso de Perito Telemtico Forense

Sanderson Forensics CERT

Sanderson Forensics Mobatek

Curso de Perito Telemtico Forense

Netdetector Netwitness Investigator NetworkMiner

Curso de Perito Telemtico Forense

SkypeLogView Snort SQLite Manager

Nirsoft Snort Mrinal Tarakant Tripathy Microsoft

Curso de Perito Telemtico Forense

Security default Woanware