No. 095 - Junio del 2006

Guía Operativa para Procedimientos Judiciales con secuestro de tecnología Informatica

Por Leopoldo Sebastián Gomez,

1.      Introducción

Los procedimientos judiciales complejos conllevan en muchos casos al contacto con elementos tecnológicos. Existen numerosas razones que pueden llevar a cometer errores en la identificación y preservación de potencial evidencia digital, así como también en el aseguramiento de la cadena de custodia. A modo ilustrativo puede citarse la falta de formación técnica, la ausencia de procedimientos formales, y la dificultad para obtener documentación en lenguaje nativo ya que la mayor parte del personal policial y muchos profesionales del derecho no cuentan con un nivel de lectura adecuado en idioma inglés.

Siempre que se trate con personal no técnico, es conveniente realizar -como parte de la planificación general del procedimiento judicial- una breve explicación de los recaudos a tomar durante el secuestro de equipamiento informático. Si bien puede suceder que existan integrantes del equipo de trabajo que ya tengan alguna experiencia previa con este tipo de material, no todos ellos suelen contar con documentación y/o formación adecuada.

Es evidente que durante las tareas de campo es preferible intentar minimizar cualquier error que pueda hacer fracasar la identificación y secuestro de elementos probatorios, sobre todo cuando se realizan procedimientos simultáneos con numerosa cantidad de personal operativo y de coordinación. La base de cualquier caso que involucre evidencia digital es el manejo apropiado de dicha evidencia. De esta forma, la práctica de identificar, almacenar y acceder a la evidencia debe ser una rutina al punto de la perfección [1].

2.      Sobre formularios y registros de evidencia digital

Actualmente existe en otros países un número considerable de formularios para registrar sistemáticamente toda la información atinente al secuestro de evidencia digital. El objetivo principal de un formulario consiste en concentrar toda la información referida a las intervenciones realizadas sobre el material secuestrado, garantizando la cadena de custodia y facilitando la tarea pericial. En primer lugar se registra el número del caso, su carátula, enumeración del material secuestrado, cantidades, y descripción técnica de los elementos que forman parte del secuestro. Adicionalmente, se incorpora una hoja de ruta, sobre la que se van registrando las fechas de envío y el nombre y firma del emisor, así como también las fechas de recepción y el destinatario. Interesa saber quién intervino, quién lo autorizó, la fecha de la intervención  y la actividad realizada. Además de utilizarse estos documentos en el ámbito judicial y policial a nivel internacional, es muy frecuente el uso de formularios en laboratorios de informática forense privados y estatales [2].

Si bien estas prácticas son deseables, no es lo que sucede actualmente en el quehacer jurisdiccional. En Argentina, todos estos pasos quedan registrados en forma discontinua respecto a la evidencia digital y se incorporan mediante diversas actuaciones al expediente judicial. El contenido descriptivo del material informático secuestrado queda plasmado en el acta de allanamiento. Diferido en el tiempo, se realizan diferentes actuaciones conforme lo requiera la investigación judicial, procediendo a dar intervención a distintos órganos jurisdiccionales que procesarán la evidencia y determinarán si ésta puede ser utilizada como material probatorio. La modalidad de trabajo descripta no facilita la atribución de responsabilidades ante un posible punto de ruptura de la cadena de custodia o una falla en el manejo de la evidencia.

Es usual que por impericia del operador jurídico o por carencia de idoneidad del equipo de investigaciones no queden registradas formalmente ciertas intervenciones, lo que conlleva a asumir riesgos materiales sobre la evidencia, así como también posibles fallas procesales. Por lo anteriormente expuesto, es necesario que la identificación y traslado de la evidencia digital sea efectuada con el debido rigor que la ciencia forense impone a este tipo de procedimientos. Si bien la guía operativa no tiene por finalidad inmediata cambiar la modalidad de registrar la información inherente al material informático en el expediente judicial, contribuye a propiciar un enfoque metodológico para el tratamiento de dichos elementos probatorios.

3.      Guía de procedimiento

En este punto se exponen los pasos prescriptos para la identificación y el resguardo de la evidencia digital. Si bien es cierto que existen en la actualidad guías de buenas prácticas [3], [4], [5], muchas de ellas están orientadas a profesionales informáticos [6], [7] o no son totalmente operativas para ser aplicadas en allanamientos. Existen otras guías sobre manejo de evidencia digital que abordan esta temática, pero en el ámbito local también presentan inconvenientes por estar expuestas en otros idiomas [8], lo que las hace inaccesibles a personas sin estos conocimientos. Todo ello hace que sea necesario ofrecer en la siguiente guía, un conjunto ordenado de pasos que el personal policial deberá realizar durante un allanamiento, a saber:

a) Se deben separar las personas que trabajen sobre los equipos informáticos lo antes posible y no permitirles volver a utilizarlos. Si es una empresa, se debe identificar al personal informático interno (administradores de sistemas, programadores, etc.) o a los usuarios de aplicaciones específicas que deban someterse a peritaje. Dejar registrado el nombre del dueño o usuarios del equipamiento informático ya que luego pueden ser de utilidad para la pericia. Siempre que sea posible obtener contraseñas de aplicaciones, dejarlas registradas en el acta de allanamiento.

b) Se deben fotografiar todos los elementos antes de moverlos o desconectarlos.  Fotografiar una toma completa del lugar donde se encuentren los equipos informáticos, y fotos de las pantallas de las computadoras, si están encendidas. Si un especialista debe inspeccionar el uso de programas, puede ser conveniente realizar una filmación.

c) Evitar tocar el material informático sin uso de guantes descartables. Dependiendo el objeto de la investigación, el teclado, monitores, mouse, diskettes, CDs, DVDs, etc. pueden ser utilizados para análisis de huellas dactilares, ADN, etc. Si se conoce que no se realizarán este tipo de pericias puede procederse sin guantes.

d) Si los equipos están apagados deben quedar apagados, si están prendidos deben quedar prendidos. Si participa del procedimiento un perito informático y los equipos informáticos están encendidos, se debe consultar o esperar que el profesional determine la modalidad de apagado y desconexión de la red eléctrica. Si los equipos están apagados, desconectarlos desde su respectiva toma eléctrica y no del enchufe de la pared. Si son notebooks es necesario quitarles la o las baterías.

e) Identificar si existen equipos que estén conectados a una línea telefónica,  y en su caso el número telefónico para registrarlo en el acta de allanamiento.

f) Impedir que nadie –excepto un perito informático- realice búsquedas sobre directorios o intente ver la información almacenada ya que se altera y destruye la evidencia digital (esto incluye intentar hacer una “copia” sin tener software forense específico y sin que quede documentado en el expediente judicial el procedimiento realizado). Sólo un especialista puede realizar una inspección en el lugar del hecho tendiente a determinar si el equipamiento será objeto del secuestro y de recolectar –en caso de ser necesario- datos volátiles que desaparecerán al apagar el equipo.

g) Identificar correctamente toda la evidencia a secuestrar:

      g.1) Siempre debe preferirse secuestrar únicamente los dispositivos informáticos que almacenen grandes volúmenes de información digital (computadoras, notebooks y discos rígidos externos). También pueden secuestrarse DVD, CDs, diskettes, discos Zip, etc. pero atento a que pueden encontrarse cantidades importantes, debe ser consultado a un perito en informática si es procedente o no realizar el secuestro de este material. Los diskettes u otros medios de almacenamiento (CDs, discos Zips, etc.) deben ser secuestrados únicamente por indicación de un perito informático designado en la causa o cuando lo especifique la orden de allanamiento.

      g.2) Rotular el hardware que se va a secuestrar con los siguientes datos:

o        Para computadoras, notebooks, palmtops, celulares, etc.: N° del Expediente Judicial, Fecha y Hora, Número de Serie, Fabricante, Modelo.

o        Para DVDs, CDs, Diskettes, discos Zip, etc: almacenarlos en conjunto en un sobre antiestático, indicando N° del Expediente Judicial, Tipo (DVDs, CDs, Diskettes, discos Zip, etc.) y Cantidad.

      g.3) Cuando haya periféricos muy específicos conectados a los equipos informáticos y se deban secuestrar –por indicación de un perito informático designado en la causa- se deben identificar con etiquetas con números los cables para indicar dónde se deben conectar. Fotografiar los equipos con sus respectivos cables de conexión etiquetados.

h. Usar bolsas especiales antiestática para almacenar diskettes, discos rígidos, y otros dispositivos de almacenamiento informáticos que sean electromagnéticos (si no se cuenta, pueden utilizarse bolsas de papel madera). Evitar el uso de bolsas plásticas, ya que pueden causar una descarga de electricidad estática que puede destruir los datos.

i) Precintar cada equipo informático en todas sus entradas eléctricas y todas las partes que puedan ser abiertas o removidas. Es responsabilidad del personal policial que participa en el procedimiento el transporte sin daños ni alteraciones de todo el material informático hasta que sea peritado.

j) Resguardar el material informático en un lugar limpio para evitar la ruptura o falla de componentes. No deberán exponerse los elementos secuestrados a altas temperaturas o campos electromagnéticos. Los elementos informáticos son frágiles y deben manipularse con cautela.

k) Mantener la cadena de custodia del material informático transportado. Es responsabilidad del personal policial la alteración de la evidencia antes de que sea objeto de una pericia informática en sede judicial. No se podrá asegurar la integridad de la evidencia digital (por lo tanto se pierde la posibilidad de utilizar el medio de prueba) si el material informático tiene rotos los precintos al momento de ser entregado, siempre que no esté descripta en el expediente judicial la intervención realizada utilizando una metodología y herramientas forenses por profesionales calificados.

4.      Caso práctico de aplicación

En vísperas de efectuar un allanamiento por infracción a la Ley 11.723 (Ley de Propiedad Intelectual) que incluía el secuestro de material informático, se efectuaron reuniones con personal policial para coordinar el procedimiento e informar algunas pautas de trabajo. El equipo estaba constituido por operadores judiciales –Fiscal, Perito Informático Oficial-, personal policial y otros peritos de parte. Se realizó la entrega de la guía a los participantes, y se brindó una exposición minuciosa de los pasos prescriptos, en especial a los oficiales encargados de coordinar los grupos de trabajo. Es sabido que el conocimiento transmitido requiere cierto tiempo de asimilación para ponerlo efectivamente en práctica, y por ello, a fin de minimizar la curva de aprendizaje, las virtudes de la guía ofrecida se centran en su extensión reducida y practicidad para la ejecución de las actividades prescriptas.

Un operador judicial podría preguntarse si es necesario tomar estos recaudos a la hora de planificar allanamientos. Es evidente que en procedimientos que involucran elementos tecnológicos se hace indispensable contar con equipos de trabajo altamente calificados para obtener resultados que sean relevantes a la investigación judicial. A modo de referencia, interesa destacar en el presente trabajo que dicha guía fue utilizada exitosamente en varias oportunidades, entre ellas un procedimiento judicial que involucró treinta allanamientos simultáneos con más de cien efectivos policiales y personal de apoyo técnico y jurídico.

La simplicidad del lenguaje, sumada a la orientación altamente operativa del documento permitieron que se lograse respetar la cadena de custodia y realizar una correcta intervención para la obtención de los elementos probatorios.

5.      Conclusiones

El personal que participa en allanamientos que involucra tecnología requiere contar con capacitación adecuada para evitar que se viole la cadena de custodia, cuyo cometido es esencial para garantizar la integridad de la evidencia, así como también otras fallas materiales y procesales. La experiencia demuestra que es necesario proponer un conjunto de acciones que deben ser ejecutadas sistemáticamente en procedimientos judiciales que involucren el secuestro de material tecnológico, en especial, en materia informática.

Con la consecución del presente documento se ha logrado definir una guía de procedimiento estándar para la actuación del personal no técnico en allanamientos. Si bien la misma es susceptible de actualizaciones y revisiones que amplíen los aspectos considerados, tiene la cualidad necesaria para ser utilizada de manera efectiva por el personal no técnico que participe en allanamientos: su operatividad.

6.      Referencias

1.       Digital Evidence and Computer Crime, Second Edition, Elsevier Academic Press, Casey E., (2004).

2.       Regional Computer Forencics Laboratory – http://www.rcfl.gov/

3.       Electronic Crime Scene Investigation: A Guide for Law Enforcement, National Institute of Justice, Office of Justice Programs, U.S. Department of Justice, (2001).

4.       Seizing Computers and other Electronic Evidence: Best Practice Guide, Australasian Center for Policing Research, (2003).

5.       Best Practices for Computer Forensics, Scientific Working Group on Digital Evidence, (2005).

6.       Buenas Prácticas en la Administración de la Evidencia Digital, Cano J., Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática, (2006).

7.       First Responder Guide for Computer Forensics, Handbook, CMU/SEI-2005-HB-001, (2005).

8.       Good Practice Guide for Computer based Electronic Evidence, Association of Chief Police Officers, (2003).