UNIDAD Nº 10:

INFORMÁTICA FORENSE

Derecho de las Nuevas Tecnologías

28/7/2018
UNIDAD 10: INFORMÁTICA FORENSE. La Prueba digital Informática Forense. Concepto
Incorporación en los Códigos de Forma. Análisis en escena y en laboratorio. Evidencia Digital en
Fuentes Abiertas

Informática Forense:
Uno de los propósitos de la Informática Forense consiste en determinar los responsables de los
delitos informáticos, también permite esclarecer la causa original de un ilícito o evento particular
para asegurarse que no vuelva a repetirse, por lo tanto, puede aplicarse tanto en los casos
llevados a juicio como en investigaciones particulares solicitadas por empresas u organismos
privados. Por lo que se puede decir que:

1.- La informática forense es un método probatorio consistente en la revisión científica,

tecnológica y tecnica, con fines periciales, de una colección de evidencias digitalizadas para
fines de investigaciones o legales.

2.- Cada caso específico debe ser analizado como si fuera a juicio, de esta manera cualquier
investigación en Informática Forense puede soportar un escrutinio legal.

Fte: Manual de Informática Forense (Prueba Indiciaria Informático Forense) María Elena
Darahuge y Luis E. Arellano Gonzalez, Errepar S.A., Argentina, Agosto 2011

Técnicamente, se denomina "forense" al uso de procedimientos científicos o tecnológicos para

conducir una investigación o establecer hechos (evidencia) en un caso criminal. (Conf.
Schweitzer, Douglas, "Incident response. Computer forensics toolkit", 2003, Ed. Wiley,
Indianapolis).

La informática forense interviene en aquellos delitos que tiene relación con la tecnología, ya sea
de forma directa, como aquellos casos donde la tecnología es el fin del delito, aquellos casos
donde la tecnología es el medio que se utilizó para cometer el delito y por supuesto todos
aquellos casos en donde la tecnología no es ni el medio ni el fin del delito, sino que solo está
presente de forma incidental. En resumen, podríamos decir que dado el nivel de presencia que
hoy tiene la tecnología y las comunicaciones en nuestra sociedad, la gran mayoría de los delitos
tiene alguna conexión con estas.

Internet y su ecosistema está en permanente evolución, hoy estamos en la puerta del IOT
“Internet de las cosas”, donde ya no solo veremos conectados a Internet computadoras,
teléfonos inteligentes, televisores inteligentes o consolas de videojuegos, sino que otros
dispositivos que habitualmente utilizamos en la vida diaria formaran parte de Internet y su
entorno, solo por mencionar algunos, las heladeras, los lavadoras, las luces del hogar, las
cámaras de seguridad, los relojes inteligentes entre otros, todos ellos podrían brindar en el
marco de una investigación información que puede ser relevante. Por ejemplo, analizar el sensor
acelerómetro y el sensor que mide el ritmo cardiaco de un reloj inteligente, podría decirnos si
una persona estuvo activa en un determinado día y horario, a tal punto que podríamos saber si
corrió, camino o reposo.

Evidencia Digital:
De acuerdo con el HB:171 2003 Guidelines for the Management of IT Evidence “la evidencia
digital, es un término utilizado de manera amplia para describir "cualquier registro generado por
o almacenado en un sistema computacional que puede ser utilizado como evidencia en un
proceso legal".
Registros almacenados en el equipo de tecnología informática (correos electrónicos, archivos de
aplicaciones de ofimática, imágenes, etc.)

Registros generados por los equipos de tecnología informática (registros de auditoría, registros
de transacciones, registros de eventos,etc.).
Características de la evidencia digital:
Existen diferencias entre la evidencia tradicional y la informática, que podríamos enumerarlas
como la volatilidad, la posibilidad de duplicación, la facilidad de alteración y eliminación y la
gran cantidad de "metadatos" que posee esta última con relación a la primera.

Procedimiento sobre la evidencia digital:

Involucra: la identificación, extracción, documentación, preservación y, finalmente, la
presentación en la que se rinde el informe de resultados.

En imprescindible cuando se trabaja sobre la evidencia digital: asegurar y garantizar que la

evidencia no ha sido alterada, minimizar pérdida de datos y evitar agregar datos

Son puntos críticos de la evidencia digital: 1) el lugar físico donde se encontraba al momento de
ser obtenida, 2) el instante en que fue obtenida, 3) la identificación de el/los individuos que la
descubrieron y la aseguraron y 4) identificación de el/los individuos que la controlaron y/o
mantuvieron su posesión. Los últimos puntos refieren a la cadena de custodia de la evidencia
digital.

Derecho de Fondo:

El CCyC establece en el Libro Primero, Parte General, Titulo IV – Hechos - Hechos y actos jurídicos

SECCIÓN 3ª

Forma y prueba del acto jurídico

ARTÍCULO 284.- Libertad de formas. Si la ley no designa una forma determinada para la
exteriorización de la voluntad, las partes pueden utilizar la que estimen conveniente.

Las partes pueden convenir una forma más exigente que la impuesta por la ley.

ARTÍCULO 285.- Forma impuesta. El acto que no se otorga en la forma exigida por la ley no queda
concluido como tal mientras no se haya otorgado el instrumento previsto, pero vale como acto
en el que las partes se han obligado a cumplir con la expresada formalidad, excepto que ella se
exija bajo sanción de nulidad.

ARTÍCULO 286.- Expresión escrita. La expresión escrita puede tener lugar por instrumentos
públicos, o por instrumentos particulares firmados o no firmados, excepto en los casos en que
determinada instrumentación sea impuesta. Puede hacerse constar en cualquier soporte,
siempre que su contenido sea representado con texto inteligible, aunque su lectura exija medios
técnicos.

ARTÍCULO 287.- Instrumentos privados y particulares no firmados. Los instrumentos particulares

pueden estar firmados o no. Si lo están, se llaman instrumentos privados.

Si no lo están, se los denomina instrumentos particulares no firmados; esta categoría comprende

todo escrito no firmado, entre otros, los impresos, los registros visuales o auditivos de cosas o
hechos y, cualquiera que sea el medio empleado, los registros de la palabra y de información.

ARTÍCULO 296.- Eficacia probatoria. El instrumento público hace plena fe:

a. en cuanto a que se ha realizado el acto, la fecha, el lugar y los hechos que el oficial público
enuncia como cumplidos por él o ante él hasta que sea declarado falso en juicio civil o criminal;
b. en cuanto al contenido de las declaraciones sobre convenciones, disposiciones, pagos,
reconocimientos y enunciaciones de hechos directamente relacionados con el objeto principal
del acto instrumentado, hasta que se produzca prueba en contrario.

Valor probatorio de los instrumentos particulares no firmados:

ARTÍCULO 319.- Valor probatorio. El valor probatorio de los instrumentos particulares debe ser
apreciado por el juez ponderando, entre otras pautas, la congruencia entre lo sucedido y
narrado, la precisión y claridad técnica del texto, los usos y prácticas del tráfico, las relaciones
precedentes y la confiabilidad de los soportes utilizados y de los procedimientos técnicos que se
apliquen.

ARTÍCULO 288.- Firma. La firma prueba la autoría de la declaración de voluntad expresada en el

texto al cual corresponde. Debe consistir en el nombre del firmante o en un signo.

En los instrumentos generados por medios electrónicos, el requisito de la firma de una persona
queda satisfecho si se utiliza una firma digital, que asegure indubitablemente la autoría e
integridad del instrumento.

ARTÍCULO 318.- Correspondencia. La correspondencia, cualquiera sea el medio empleado para

crearla o transmitirla, puede presentarse como prueba por el destinatario, pero la que es
confidencial no puede ser utilizada sin consentimiento del remitente.

Los terceros no pueden valerse de la correspondencia sin asentimiento del destinatario, y del
remitente si es confidencial.

Códigos de Forma:
La prueba digital:
En materia civil, nuestro CPCCLRyM establece, en su art. 382.1 que son medios de prueba los
documentos, la declaración de parte, la de testigos, el dictamen pericial, el examen judicial y las
reproducciones de hechos y en el art. 382.2. especifica que también podrán utilizarse otros
medios probatorios aplicando analógicamente las normas que disciplinan a los expresamente
previstos por la ley.

Por su parte, en materia penal, el CPP provincial, establece el principio de libertad probatoria en
su art. 188.

Acciones de salvaguarda por los particulares.

Las acciones de salvaguarda constituyen actividades de resguardo o custodia que asume el

particular frente a la necesidad de tutelar sus bienes (materiales o inmateriales). Esa actividad se
encauza mediante el derecho a la seguridad o tranquilidad. Derecho que -como vimos- tiene por
principal sujeto obligado al Estado pero que no alcanza a excluir la actividad de los particulares
frente al propio resguardo, que encuentra su límite en la ley. De esta manera las actividades de
salvaguardia desarrolladas no pueden interferir con derechos de terceros de manera ilegítima. En
esta perspectiva tales actividades pueden ser catalogadas como de prevención o de
investigación. El límite entre prevención e investigación no es preciso. Tal imprecisión se advierte
ante la posibilidad del sujeto de desarrollar actividades antes del inicio del proceso penal con el
fin de servir de prueba durante el desarrollo del mismo (incluso puede suceder que la actividad
resulte paralela al desarrollo del proceso).

Se ha señalado que las disposiciones del Código Procesal Penal Nacional no regulan los actos de
los particulares dirigidos a la obtención de medios de prueba para ser ofrecidos posteriormente
en el proceso penal. Ello no implica que la actividad de los particulares resulte ilimitada. Mientras
concurren al proceso, la actividad de las personas se reconduce por las instituciones reguladas en
el mismo, debiendo sujetarse a las disposiciones que establece, teniendo facultad de proposición
y contralor de las medidas de prueba, aportando las que posea e incluso actuando como órgano
de prueba, pero no poseen facultad legal de efectuar medidas asegurativas por propia iniciativa;
pues conforme la ley procesal la autorización para la ejecución de actividades coercitivas recae
sobre el magistrado (o en el agente fiscal cuando así está previsto).

En ese sentido las acciones de salvaguarda no pueden consistir en acciones ilícitas. Es decir que
un individuo no puede interceptar correspondencia electrónica o comunicaciones, ni introducirse
en la vivienda de otro sin su autorización, como tampoco puede acceder por medios informáticos
a aquellos ámbitos que le están vedado por su titular por no estar destinado a su conocimiento.
Cualquiera de estas actividades constituye además de una accionar ilegítimo un avasallamiento
de bienes jurídico encontrando su encuadre normativo en las disposiciones del Código Penal.
Desde esta perspectiva las acciones dirigidas a obtener elementos de prueba (prueba
documental) efectuadas empleando esta modalidad coercitiva no sólo invalida el hallazgo, sino
que resulta delictiva.

Cabe preguntase pues sobre qué pueden hacer los particulares que preocupa tanto a la doctrina
y divide a la jurisprudencia. Descartadas las actividades ilícitas queda remanente un conjunto de
acciones por parte de los particulares englobadas por lo general bajo la denominación de
“grabaciones subrepticias” y consisten en la toma de audio e imagen -en conjunto o
independiente- de las acciones de un individuo para llevarlas posteriormente al proceso. Ahora
bien, negada la posibilidad de efectuar a los particulares medidas de coerción, la actividad a
desarrollarse para no caer en el campo de la ilicitud penal, debe consistir en comunicaciones
donde el aportante sea parte del proceso comunicacional, es decir el receptor de la
comunicación telefónica, el destinatario de la correspondencia, o sujeto presencial en la
comunicación. De esta manera el ámbito de lo subrepticio se ve drásticamente reducido pero no
eliminado. Entonces podemos plantearnos sobre qué es lo subrepticio que interfiere con la
intimidad y privacidad de los terceros en el proceso de obtención de prueba que no resulta
delictivo (y que por añadidura importe descartar la documental obtenida). El carácter subrepticio
de una acción surge cuando ella se realiza de manera oculta, secreta o encubierta, de modo tal
que no es conocida por quien ejecuta la acción que está siendo documentada. En este caso, la
actividad desplegada por los particulares, sin que sea delictiva, puede interferir o no en la esfera
de reserva de otra persona. El baremo diferenciador en este último binomio señalado lo
encuentro en el “carácter de espectador consentido por quien realiza la acción receptada
subrepticiamente”.

Los posibles escenarios en los que puede situarse a dicho espectador son múltiples. Pero
situémonos en el punto de vista de quien exterioriza la acción, respecto de quien la intimidad o
privacidad será puesta en crisis por las acciones del espectador y descartemos aquellas
situaciones en las que el sujeto se mueve en un ámbito público, esfera en la cual no habría (en
principio) interferencia con lo privado. Dentro de los posibles contextos donde se desarrollarían
acciones privadas, aquí vimos las comunicaciones telefónicas, las manifestaciones por vía correo,
las desarrolladas en el interior de la vivienda o propiedad. Pero podemos agregar otras
situaciones como las reuniones que se desarrollan en una oficina alquilada, las conversaciones
privadas mantenidas vía chat en las redes sociales, nuestros datos sensibles que suministramos al
registrarnos en determinado sitio con el objeto de acceder al mismo pero solo para información
del administrador, entre otros contextos marcan la multiplicidad y proliferación de situaciones
fácticas (dentro y fuera de la red) donde nuestra intimidad puede ser afectada sin nuestro
consentimiento. Entonces podemos cuestionarnos sobre el punto donde cede nuestra intimidad
frente a los demás en esos ámbitos. En otros términos, si nuestras acciones trasuntan un proceso
de comunicación (corporal o verbal, gestual o discursiva) el caso pasa por cuando se interfiere
arbitrariamente sobre el mismo desarrollado en la intimidad.

Resulta parte de la manifestación de nuestro señorío de la voluntad la determinación y

conducción de un plan de vida escogido, el que resulta resguardado en la medida en que no dañe
a terceros. En dicha tarea hacemos y dejamos de hacer cuanto queremos. Aceptamos y
excluimos de nuestros ámbitos de reserva a terceros en la medida en que nos interrelacionamos.
Pero cuando lo hacemos nuestro ámbito se entrelaza con el de quienes entran en contacto con
nosotros. Esos terceros, en la medida que no sean objeto de obligación legal de resguardar
nuestra información, actividades, etc., pueden exteriorizar cuanto adquieran de conocimiento. Es
decir que mientras no exista sobre ellos un deber legal de guardar secreto, no tendremos más
opción que efectuar una prudente selección respecto de con quienes interactuamos. Entonces,
cuando nos manifestamos con libertad, dicha manifestación exteriorizada se vuelca sobre un
contexto determinado respecto del cual carecemos de dominio. Deja de ser algo enteramente
nuestro para compartirse con otro. Así el mensaje contenido en la correspondencia una vez
receptada por el destinatario seguirá siendo manifestación de mi pensamiento, pero la
propiedad de la epístola digital será del destinatario quien dado el caso podrá presentarlo en
sede judicial sin violentar la intimidad del creador de la carta. Lo mismo sucede cuando hablamos
por teléfono, intercambiamos datos con nuestro interlocutor, con quien accedimos a concretar
un diálogo, lo que él otro reciba de mí ya no será enteramente mío, pues es una manifestación
que me refleja como persona y que otorgué libremente. También sucede cuando dejamos entrar
a nuestras viviendas libremente a terceros para interactuar en nuestro ámbito material de
reserva, lo que allí suceda, lo que el otro vea o escuche, si no tiene obligación legal de guardarlo,
quedará sujeto a su prudencia guardarlo, pues ya no será mi intimidad la que se extienda sobra la
situación, sino que será la intimidad de ambos. Esas situaciones pueden darse también mediante
video conferencias o mediante conversaciones privadas en la red.

Si esa comunicación tiene por finalidad afectar ilegítimamente al interlocutor o a un tercero, la

misma trasciende el plan de vida resguardado por la Constitución y posibilita la denuncia del
hecho u obliga (de ser el caso) prestar declaración en el proceso. Entonces la voluntad de reserva
ya no es guarecida con la misma intensidad. Si el individuo graba una lesión en el proceso de
interrelación no se inmiscuye en el ámbito de reserva, ejecuta una acción de salvaguarda de sus
intereses con el objeto de evitar una lesión o hacerla cesar en pos del mantenimiento del
derecho a la tranquilidad. El consentimiento surge de la aceptación voluntaria de interrelación
con quien efectúa la acción de resguardo o de quien en cuyo nombre actúa; de quien no puede
pedirse que devele su accionar por el incremento en el riesgo que importa ya de por sí su
posición, lo que anularía su derecho a la seguridad en favor de una intimidad desbordada. Así
quien no participa activa o pasivamente del proceso comunicacional (actuando o solo
presenciando el mismo) para el grabado resultará un tercero quien no puede interferir, en el
modo visto en este punto, legítimamente en la intimidad de la comunicación. El consentimiento,
dado el carácter subrepticio de la acción de salvaguarda, solo abarca al acto presencial. No
reducido a la presencia meramente física dado que el mismo puede desarrollarse por otros
medios. Consecuentemente toda grabación subrepticia efectuada fuera de ese ámbito de
interrelación, ya sea porque se dejó un dispositivo activado en la vivienda luego del retiro de
quien concreta la grabación, ya sea porque se adoptó mediante elementos tecnológicos desde la
oficina contigua a la sala de reunión en la que no debía estar presente, ya fuere porque se captó
la comunicación presencial de otros con la intención de conocer su contenido deliberadamente,
etc., carece de valor por interferir en un ámbito de intimidad sobre el cual no se está llamado a
participar.

La determinación de un estándar tempo especial a partir del cual una acción de salvaguarda
resulta legitima ante el derecho a la intimidad y privacidad no se sujeta a las variaciones
tecnológicas. El momento en el que surge la posibilidad de efectuar la grabación subrepticia
difiere según el ámbito o el contexto en el que se desarrolla. Así para determinar si hubo un
accionar legítimo por quien efectúa la grabación debemos situarnos antes del inicio de la misma
y analizar la trama que dio origen al accionar de auto tutela.

Fte: Los avances tecnológicos y la prueba en el proceso penal frente al derecho a la intimidad,
José Luis Agüero Iturbe, El Dial.com

Cadena de custodia:
Es “el procedimiento de control documentado que se aplica a la evidencia física, para garantizar y
demostrar la identidad, integridad, preservación, seguridad, almacenamiento, continuidad y
registro de la misma”.
Por las características de la evidencia digital (volatibilidad, eliminación, sobre escritura, perdida
de datos, etc.) la preservación de la cadena de custodia se convierte en un punto crítico en
cuanto a la validez de la prueba informática.

Cabe recordar que la cadena de custodia ha sido definida como el conjunto de

procedimientos de seguridad destinados a garantizar que los elementos de pruebas
materiales que se incorporan y exhiben en el juicio guardan identidad física con el
material que se sostiene ha sido hallado, recolectado e incautado en el lugar donde se
afirma, relacionado con el delito que se investiga.
Por ende, no se trata de un hecho o acto sino de un procedimiento, que posee dos
finalidades fundamentales: la legalidad de la obtención, conservación y análisis de los
elementos probatorios, bajo las leyes procesales que se encuentren vigentes; y la
autenticidad, lo que en la doctrina se ha denominado también como "principio de
mismidad" o conservación de la identidad fenomenológica de la evidencia. Es decir que
su función no se limita a la integridad, conservación e inalterabilidad de la evidencia, sino
que lo esencial es garantizar su "identidad fenomenológica" para ser presentada en el
juicio oral. La utilización correcta de la cadena de custodia y el cumplimiento de sus
procedimientos es una garantía para el derecho de defensa, así como una obligación de la
parte acusadora” ¿Hackeo con orden judicial?: Buscando el modo de sostener la
facultad estatal de monitorear comunicaciones en el nuevo contexto tecnológico-
Blanco, Hernán

Ahora bien, sin perjuicio de la poca (o nula) importancia brindada al tema en cuestión, la
cadena de custodia de los elementos hallados en el marco de procedimientos penales
resulta fundamental para que el proceso penal pueda ser llevado con total transparencia
y con resultados efectivos.

En el mismo sentido, se ha dicho que “...cadena de custodia es la serie de registros que

permiten conocer la identidad, estado y ubicación de un determinado objeto de prueba,
así como también las diferentes operaciones técnicas aplicadas sobre aquél, con
indicación de responsables intervinientes, desde que es habido y puesto a disposición por
su aparente potencial probatorio, hasta que es incorporado al debate como prueba, ello
tendiente a evitar su desaparición, destrucción o sustitución sin control.” (Fenoll
Alejandro Marcelo e Hidalgo Marcelo José, “Cadena de custodia de la prueba material en
el sistema adversarial. Comenzar por el final”, en Aproximaciones a un nuevo modelo de
proceso penal, Cafferata Nores José I, Compilador, Editorial Mediterránea, pág. 204)

Es posible advertir al menos tres modelos diferentes de regulación; los primeros se

caracterizan por la sanción legislativa de normas específicas sobre la materia; en los
segundos es el propio códigos de procedimientos el que establece una regulación –en la
mayoría de los casos mínima, delegando en el Ministerio Público Fiscal la
especificaciones correspondientes- y, finalmente, existen modelos procesales en los que
si bien no establecen disposición legal alguna al respecto, diseñan protocolos de
actuación enmarcados en las facultades reglamentarias de organismos oficiales, tales
como el Ministerio Público Fiscal, aunque evidentemente sus normas alcanzan la
actuación de otros organismos (vgr. fuerzas de seguridad).

“Es común observar el trato desprejuiciado, indolente y desprevenido, respecto de los

elementos que se entregan en custodia, desde el momento en que son dejados en la
barandilla (rotura de lacre, sellos, fajas de clausura, incumplimiento de cadena de
custodia, etc.) hasta el almacenamiento (apilados en cualquier lugar, sometidos a
condiciones extremas de temperatura, presión por estiba inadecuada, campos
electromagnéticos de todo tipo y accesibles por cualquier persona que ingrese al reciento
del Juzgado). Por una vez surge la duda respecto de la idoneidad implícita en los Juzgados
para proteger la prueba retenida en custodia y bajo su responsabilidad” … El juez debe
asegurar la protección estricta de los archivos informáticos secuestrados, durante toda su
gestión, incluyendo el almacenamiento de los mismos dentro del local del Juzgado”. (cfr.:
María Elena Darahuge y Luis E. Arellano González, Manual de Informática Forense -
Prueba Indiciaria Informático Forense-, Errepar S.A., Argentina, Agosto 2011

CPP TDF- Custodia del objeto secuestrado

Artículo 208.- “Los efectos secuestrados serán inventariados y puestos, bajo segura custodia, a
disposición del Tribunal. En caso necesario podrá disponerse su depósito. El Juez podrá ordenar la
obtención de copias o reproducciones de las cosas secuestradas cuando éstas puedan
desaparecer, alterarse, sean de difícil custodia o convenga así a la instrucción.
Las cosas secuestradas serán aseguradas con el sello del Tribunal y con la firma del Juez y
Secretario, debiéndose firmar los documentos en cada una de sus hojas.
Si fuere necesario remover los sellos, se verificará previamente su identidad e integridad.
Concluido el acto, aquéllos serán repuestos y de todo se dejará constancia.”

El PROTOCOLO GENERAL DE ACTUACIÓN PARA LAS FUERZAS POLICIALES Y DE SEGURIDAD EN

LA INVESTIGACIÓN Y PROCESO DE RECOLECCIÓN DE PRUEBAS EN CIBERDELITOS del
MINISTERIO DE SEGURIDAD mediante Resolución 234/2016 en fecha 07/06/2016

Establece que la cadena de custodia debe contener:

A) una hoja de ruta, en donde se anotan los datos principales sobre descripción de la evidencia,
fechas, horas, identificación del encargado de custodia, identificaciones, cargo, y firmas de
quien recibe y quien entrega.

B) Rótulos que van pegados a los envases de la prueba.

C) Etiquetas con la misma información de los rótulos que van atadas con cuerda al paquete de
la prueba que corresponda.

D) Libros de registros de entradas y salidas, o cualquier otro sistema informático que se deben
llevar en los laboratorios.

Intervención de comunicaciones telefónicas o cualquier otro medio de comunicación:

El Código Procesal Penal provincial, establece en su art. 211, que el Juez podrá ordenar, mediante
auto fundado, la intervención de comunicaciones telefónicas o cualquier otro medio de
comunicación del imputado, para impedirlas o conocerlas.

Con relación a las comunicaciones, debemos distinguir:

Datos de abonado: Es la información que posee una ISP relacionada con los abonados de sus
servidores (identificación, dirección, n° de teléfono, datos de facturación, pago, lugar donde
están los equipos).
Datos de tráfico: Es la información sobre el circuito de una comunicación realizada por medio de
un sistema informático: origen, destino, ruta, hora, duración y fecha de la comunicación.
Datos de contenido: Son los que permiten determinar la información intercambiada por las
partes que intervinieron en la comunicación (por ejemplo el contenido de una conversación de
voz por IP, el contenido de un correo electrónico, un mensaje privado de twitter o FB, etc.)
En este sentido, la ley 25.873, que fuera conocida como ley espía, y modificatoria de la ley
Nacional de Telecomunicaciones, ley 19.798 establecía que:

Art. 45 Bis.- Todo prestador de servicios de telecomunicaciones deberá disponer de los recursos
humanos y tecnológicos necesarios para la captación y derivación de las comunicaciones que
transmiten, para su observación remota a requerimiento del Poder Judicial o el Ministerio
Público de conformidad con la legislación vigente. Los prestadores de servicios de
telecomunicaciones deberán soportar los costos derivados de dicha obligación y dar inmediato
cumplimiento a la misma a toda hora y todos los días del año.

El Poder Ejecutivo nacional reglamentará las condiciones técnicas y de seguridad que deberán
cumplir los prestadores de servicios de telecomunicaciones con relación a la captación y
derivación de las comunicaciones para su observación remota por parte del Poder Judicial o el
Ministerio Público.

Art. 45 Ter.- Los prestadores de servicios de telecomunicaciones deberán registrar y sistematizar

los datos filiatorios y domiciliarios de sus usuarios y clientes y los registros de tráfico de
comunicaciones cursadas por los mismos para su consulta sin cargo por parte del Poder Judicial
o el Ministerio Público de conformidad con la legislación vigente. La información referida en el
presente deberá ser conservada por los prestadores de servicios de telecomunicaciones por el
plazo de diez años.

Art. 45 Quater.- El Estado nacional asume la reponsabilidad por los eventuales daños y
perjuicios que pudieran derivar para terceros, de la observación remota de las comunicaciones
y de la utilización de la información de los datos filiatorios y domiciliarios y tráfico de
comunicaciones de clientes y usuarios, provista por los prestadores de servicios de
telecomunicaciones.

Por decreto 1563/2004, se reglamentó la ley de telecomunicaciones y en el mismo se dijo que el

objetivo de la ley era combatir el delito, y a la par servir al esquema de seguridad colectivo de la
Nación, ello mediante la utilización de modernas herramientas de captación y monitoreo de
comunicaciones de las redes públicas y/o privadas de telecomunicaciones, cualquiera sea su
naturaleza, origen o tecnología, en tanto operen en el territorio nacional, orientado a desbaratar
las amenazas que resultan factibles de vislumbrar.

Pero, posteriormente, en el año 2005, por Decreto 357 se suspendió la aplicación del decreto
1563/2004 Reglamentario de la ley de de Regulación del Servicio de Comunicaciones.

H. 270. XLII. – “Halabi, Ernesto c/ P.E.N. - ley 25.873 - dto. 1563/04 s/ amparo ley
16.986.” – CSJN – 24/02/2009

Ernesto Halabi promovió acción de amparo reclamando que se declare la

inconstitucionalidad de la ley 25.873 y de su decreto reglamentario 1563/04, en virtud de
considerar que sus disposiciones vulneran las garantías establecidas en los artículos 18 y
19 de la Constitución Nacional, en cuanto autorizan la intervención de las
comunicaciones telefónicas y por Internet sin que una ley determine "en qué casos y con
qué justificativos". Alegó que esa intromisión constituye una violación de sus derechos a
la privacidad y a la intimidad, en su condición de usuario, a la par que menoscaba el
privilegio de confidencialidad que, como abogado, ostenta en las comunicaciones con sus
clientes.

El Estado Nacional sostuvo que la vía del amparo no resultaba apta para debatir el
planteo del actor. Afirmó, además, que la cuestión se había tornado abstracta en virtud
del dictado del decreto 357/05, que suspendió la aplicación del decreto 1563/04, toda
vez que con ello se disipó la posibilidad de que exista un daño actual o inminente para el
actor, o para cualquier usuario del sistema.
La magistrada de primera instancia hizo lugar a la demanda y declaró la
inconstitucionalidad de los arts. 1° y 2° de la ley 25.873 y del decreto 1563/04. La Cámara
Nacional de Apelaciones en lo Contencioso Administrativo Federal confirmó dicho
pronunciamiento. Sin perjuicio de advertir que el recurso de apelación del Estado
Nacional exhibía defectos técnicos que conducían a declararlo desierto, estimó que, por
la trascendencia de la cuestión debatida, correspondía tratar los argumentos
desarrollados en defensa de las normas impugnadas.- Al respecto y, en primer lugar,
aclaró que la pretensión no se había torna do abstracta, pues la ley cuestionada seguía
vigente por el hecho de que el decreto 1563/04 que la reglamentó sólo había sido
suspendido "por tiempo indeterminado" mediante el decreto 357/05 sin que hubiese
sido "expulsado del plexo normativo vigente".-

Este Tribunal ha subraya do que sólo la ley puede justificar la intromisión en la vida
privada de una persona, siempre que medie un interés superior en resguardo de la
libertad de los otros, la defensa de la sociedad, las buenas costumbres o la persecución
del crimen (Fallos: 306:1892; 316:703, entre otros). Es en este marco constitucional que
debe comprenderse, en el orden del proceso penal federal, la utilización del registro de
comunicaciones telefónicas a los fines de la investigación penal que requiere ser emitida
por un juez competente mediante auto fundado (confr. art. 236, segunda parte, del
Código Procesal Penal de la Nación, según el texto establecido por la ley 25.760), de
manera que el común de los habitantes está sometido a restricciones en esta esfera
semejantes a las que existen respecto a la intervención sobre el contenido de las
comunicaciones escritas o telefónicas. Esta norma concuerda con el artículo 18 de la ley
19.798 que establece que "la correspondencia de telecomunicaciones es inviolable. Su
interceptación sólo procederá a requerimiento de juez competente".-

Cabe recordar que en el precedente de Fallos: 318: 1894 (en el voto de los jueces Fayt,
Petracchi y Boggiano) se afirmó que, para restringir válidamente la inviolabilidad de la
correspondencia, supuesto que cabe evidentemente extender al presente, se requiere:
a) que haya sido dictada una ley que determine los "casos" y los "justificativos" en que
podrá procederse a tomar conocimiento del contenido de dicha correspondencia;
b) que la ley esté fundada en la existencia de un sustancial o importante objetivo del
Estado, desvinculado de la supresión de la inviolabilidad de la correspondencia epistolar y
de la libertad de expresión;
c) que la aludida restricción resulte un medio compatible con el fin legítimo propuesto; y
d) que dicho medio no sea más extenso que lo indispensable para el aludido logro. A su
vez, fines y medios deberán sopesarse con arreglo a la interferencia que pudiesen
producir en otros intereses concurrentes.-

Tal como ha sido apreciado por los magistrados de los tribunales intervinientes en las
instancias anteriores, es evidente que lo que las normas cuestionadas han establecido no
es otra cosa que una restricción que afecta una de las facetas del ámbito de la autonomía
individual que constituye el derecho a la intimidad, por cuanto sus previsiones no
distinguen ni precisan de modo suficiente las oportunidades ni las situaciones en las que
operarán las interceptaciones, toda vez que no especifican el tratamiento del tráfico de
información de Internet en cuyo contexto es indiscutible que los datos de navegación
anudan a los contenidos.-
Se añade, a ello, la circunstancia de que las normas tampoco prevén un sistema
específico para la protección de las comunicaciones en relación con la acumulación y
tratamiento automatizado de los datos personales.-
En suma, como atinadamente ha sido juzgado en autos, resulta inadmisible que las
restricciones autorizadas por la ley estén desprovistas del imprescindible grado de
determinación que excluya la posibilidad de que su ejecución concreta por agentes de la
Administración quede en manos de la más libre discreción de estos últimos, afirmación
que adquiere primordial relevancia si se advierte que desde 1992 es la Dirección de
Observaciones Judiciales de la SIDE, que actúa bajo la órbita del poder político, la que
debe cumplir con los requerimientos que formule el Poder Judicial en orden a la
interceptación de comunicaciones telefónicas u otros medios de transmisión que se
efectúen por esos circuitos.-
El caso “Halabi” y la intervención en Internet, Por Fernando Adrián García
“El Estado Nacional, mediante uno de sus poderes, pretendió avasallar el derecho a la
intimidad de las personas mediante la recolección indiscriminada de información
transmitida básicamente por medios electrónicos, hoy fundamentalmente hablamos de
Internet. ¿Por qué hablamos de indiscriminada? Porque requería que las empresas
proveedoras de servicios de telecomunicaciones e Internet guardaran todos los datos
transmitidos por sus respectivas redes durante el término de diez años, no quedando
claro quién o quiénes podrían tener acceso a dichos datos. Es decir, se podría evitar que
el Poder Judicial, el único capacitado por ley para solicitar una intercepción en las
telecomunicaciones, interviniera, quedando a pleno arbitrio del Poder Ejecutivo el
potencial uso de dichos datos.”

“Mas allá de la importancia que este fallo posee al haber traído a nuestro Derecho el
tema de la acción de clase, entendemos que la Justicia ha dado un mensaje muy claro a
los gobernantes acerca de cuáles son los límites que deben respetar en relación a los
derechos de los ciudadanos. Nuestra región íntima nos pertenece, y salvo muy contadas
excepciones establecidas por ley y ejecutadas por el poder correspondiente, debe ser
respetada de manera inflexible.”

“El Estado, como organización de instituciones destinadas a gobernar a un conjunto de

individuos, debe respetar y hacer respetar a rajatabla tal derecho y libertad. Decimos que
es prácticamente absoluto, porque nos queda claro que algunas veces la intimidad debe
ceder en favor del bienestar general, sobre todo cuando se observen cuestiones que
comprometan la paz y la seguridad de la sociedad. Pero debe ser la excepción y no la
regla. Y fundamentalmente, tal ruptura del ámbito íntimo de la persona y de sus
comunicaciones con terceros, debe ser dispuesta exclusivamente por el poder
jurisdiccional, con basamento en leyes que definan en modo claro y conciso en qué casos
procede.”
Citar: elDial DC1298
copyright © 2012 editorial albrematica - Tucumán 1440 (1050) - Ciudad Autónoma de
Buenos Aires – Argentina

Aspectos importantes para una prueba pericial:

Pueden distinguirse dos clases de investigación en la informática forense: a) Análisis Forense:
consistente en la búsqueda de información específica, a la vista, oculta o eliminada (residual) y
también el análisis de tiempos y actividades y b) el Descubrimiento Electrónico (e-discovery), que
se dedica a la obtención de grandes volúmenes de información general para su posterior
procesamiento y análisis o su procesamiento y selección en tiempo real.
Quizás el mayor desafío que presentan los conflictos que tienen su origen en la informática, para
ser atendidos y entendidos en el ámbito jurídico sean el desconocimiento, la incomprensión del
lenguaje y la obvia desconfianza que estos extremos despiertan en los operadores del Derecho.
En cualquier equipo informático habrá datos que pueden ser obtenidos con herramientas
comunes (p.ej Windows Explorer) pero también datos adicionales, tales como los archivos
borrados, renombrados, ocultos y otros, que sólo se pueden obtener con herramientas de
informática forense. Esta conjunción de datos visibles y ocultos se ha presentado como una
suerte de "iceberg".
El análisis forense de la evidencia informática nos permite lograr resultados de distinta
naturaleza. Con los datos visibles podemos capturar documentos, correos electrónicos, fotos
digitales, listados y logs.
Con los "metadatos"podemos conocer los usuarios del sistema y sus claves, la actividad que se
desarrolló en el sistema operativo, las líneas de tiempo, la actividad en Internet, la ubicación
geográfica de una computadora, el uso del webmail, las impresiones realizadas, los medios
removibles conectados (disquetes, discos compactos, pendrive, etc), las fotos digitales y su
relación con cámaras.
La evidencia puede encontrarse tanto en los "medios de almacenamiento" (disquetes, disco
rígido, CD/DVD, pendrive, compact Flash/ Memory stick, cinta magnética, cinta DAT, PC Card,
minidisk, smart Card, etc), así como en los "dispositivos de almacenamiento" tales como las
computadoras personales, los servidores, las computadoras portátiles, las manuales (PDA/Palm),
los teléfonos celulares, los contestadores electrónicos, los identificadores de llamadas, faxes con
memoria, impresoras, escáners con memoria, cámaras y filmadoras digitales, consolas de
videojuegos, rastreadores digitales (GPS), dispositivos de acceso biométricos, etc.
El proceso de almacenamiento y borrado, el acceso a Internet, la ejecución de impresiones e
incluso el sistema operativo de la computadora son fuente de "metadatos".
Como dijimos, es frecuente que se recurra a un escribano para constatar datos, pantallas, u otros
objetos encontrados en un equipo informático, con la idea de que posteriormente esa evidencia
sirva como prueba, o lo que hemos denominado etapa de adquisición de la evidencia. Los
expertos aconsejan, como complemento, el informe de un perito en informática forense, y el
acta notarial puede incluir un acta técnica o informe del experto presente en el acto de
constatación, contenga los siguientes datos: datos filiatorios del investigador, identificación de
los medios magnéticos examinados, identificación de la plataforma empleada para la obtención
de la evidencia (hardware y software), explicación sucinta del procedimiento técnico realizado,
nombre del archivo de destino, algoritmo de autenticación y resultado (hash). Si se tratara de un
disco rígido extraído de una computadora, es necesario que quede constancia de los valores "rtc"
y la comparación con el tiempo real.
Aclaramos que "rtc" (del inglés, real-time clock, RTC), o "reloj en tiempo real" es un reloj de un
ordenador, incluido en un circuito integrado, que mantiene la hora actual. Aunque el término
normalmente se refiere a dispositivos en ordenadores personales, servidores y sistemas
embebidos, los RTCs están presentes en la mayoría de los aparatos electrónicos que necesitan
guardar el tiempo exacto.
También es frecuente que se impriman las pantallas de una computadora, o los correos
electrónicos y que un escribano autentique estos documentos, pero omita obtener evidencia del
sitio web, o del servidor de correo de donde se obtuvieron.
En supuestos como éste, la intervención de un experto, como señalamos previamente, es
fundamental para otorgar calidad probatoria a la evidencia que se recolecte.
En la etapa siguiente, de conservación de la evidencia, una adecuada cadena de custodia debe
incluir el nombre de la persona y la fecha de contacto con la evidencia, el registro del pasaje de
una persona a otra, así como el registro del pasaje de una ubicación física a otra, las tareas
realizadas durante la posesión del o de los objetos y el sellado de la evidencia al finalizar la
posesión. También deben registrarse testigos de este procedimiento, fotografías de la evidencia
en las tareas realizadas, así como el "log" de actividades durante la posesión.
Existen varios procedimientos para obtener archivos de evidencia informática y resguardar un
medio magnético, tales como a) hacer una copia forense; b) hacer un clonado forense y c)
aportar el disco original.
Un archivo de evidencia debe realizar una copia "bit a bit" del disco, lo que incluye también los
metadatos del sistema operativo, el espacio utilizado y el no utilizado, o sea que no se limita a los
datos visibles sino a la totalidad del contenido, independientemente del espacio utilizado.
Para crear el archivo de evidencia, se debe emplear una tecnología forense que permita cubrir
determinados requerimientos mínimos, tales obtener como una imagen "cruda" (formato raw)
sin alterar el original, el acceso a discos rígidos de cualquier tecnología, la posibilidad de verificar
la integridad del archivo, todo lo cual debe estar documentado y crear un "log" de errores.
La autenticación de la evidencia informática se logra utilizando un algoritmo de hash que se
aplica al contenido de la evidencia, fundamentalmente los más utilizados son el MD5 (128 bits) y
el SHA-1(160 bits).
Los modos de adquisición del archivo de evidencia pueden dividirse de acuerdo al lugar en que se
adquieren (laboratorio o campo) o el método empleado (adquisición directa o indirecta).
Para elegir el modo de adquisición hay que tener en cuenta el lugar, la posibilidad y riesgo de
apertura del CPU, el tiempo disponible, el espacio de almacenamiento (con que cuenta el
investigador).
Si la adquisición se lleva a cabo en el campo debe verificarse la secuencia de arranque, registrar la
fecha y hora RTC.
Cuando se va a adquirir la evidencia directamente del equipo se recomienda utilizar un
bloqueador de escritura (write blocker), que es un dispositivo de Hardware o Software para
bloquear el acceso de escritura al medio bajo análisis, garantizando la integridad de los datos
durante el acto de adquisición.
Si se va a hacer un "clonado" de la evidencia, existen Duplicadores Forenses por Hardware.
En la adquisición por método directo, los pasos a seguir son: a) extraer el disco de la PC de
origen; b) montar dicho disco en la CPU del investigador; c) adquirir la imagen y d) reinstalar el
disco en la PC de origen.
Cuando la adquisición es por método indirecto, se debe: a) conectar el equipo a investigar con el
Investigado; b) adquirir la imagen "a través del cable".
Existen varios formatos de archivo de evidencia: a) Formato Abierto "dd", que es el formato
universal de Linux/Unix; y los formatos comerciales: Expert Withness (ASR, Encase Forensic), FTK,
Safeback, que son formatos aceptados en numerosos tribunales del mundo, con funcionalidades
adicionales.
También es posible la adquisición de evidencia en red, tanto en la modalidad de respuesta a
incidentes inmediata, como de servidores en producción, o de de imágenes de cualquier nodo e
incluso la adquisición en modo invisible.

En la etapa de obtención y de Análisis Forense se realizan búsquedas por tipo de archivos, por
contenidos, archivos ocultados. ¿Se efectúan análisis de logs, para saber Qué?; Quién?; Cuándo?
Se llevan a cabo exploraciones de áreas especiales en sistemas Windows, tales como archivos de
intercambio, espacio no utilizado, espacio descuidado (slack space).-
Independientemente de las herramientas empleadas, se trata de buscar suficiente evidencia para
sostener un caso, lo que usualmente incluye: obtención de elementos eliminados (particiones,
carpetas y archivos); búsquedas simples y complejas de palabras claves (en todas las áreas); de
acceso a archivos protegidos; análisis de signaturas (firmas) y hashes; actividades en Windows
(archivos abiertos, apps ejecutadas, impresiones); actividades en Internet (sitios visitados,
actividades realizadas);intercambio de correos (clientes, servidores y web mail).
Es fundamental no alterar el objeto de estudio, lo que puede ocurrir cuando se apaga y prende el
equipo antes de que intervenga el experto.
Para realizar una búsqueda de archivos que sirvan como evidencia es conveniente tener en
cuenta las características del sistema de archivos, ya que los sistemas de archivos muestran la
estructura con la que se organiza un volumen.
Cada Sistema operativo tiene sus propios sistemas de archivos.
Un sistema de archivos cumple las siguientes funciones de registro: a) registra el nombre de un
archivo o directorio; b) registra el punto donde el archivo comienza; c) registra la longitud del
archivo; d) registra la metadata del archivo (permisos, fechas, etc.); e) registra los bloques que el
archivo utiliza; f) registra los bloques que están siendo utilizados y los disponibles.
Para la recuperación de datos el investigador debe analizar las unidades de disco y determinar
que los mismos estén asignados a particiones de la unidad. En caso contrario debería realizar una
recuperación y montar las eventuales particiones eliminadas, recuperar los archivos eliminados,
realizar una búsqueda de posibles carpetas eliminadas.
El análisis de Hash permite restringir el objeto de estudio y el Investigador forense puede utilizar
hash sets públicos (NIST), privados (LE) o propios.
Este análisis de índices le permite también identificar unívocamente archivos "notables", y el
investigador realizará análisis de hashes y eventualmente creará sus propios hash sets.
La "Papelera de Reciclaje" de Windows es una fuente valiosa de información, ya que archivos que
se creen eliminados se encuentran allí. Estos archivos tienen la forma "Dxnn.ext" donde: la "D"
significa "Deleted" (borrado); la "X" indica la letra de unidad original; "Nn" es un numero
secuencial comenzando desde 0 y "ext" informa la extensión original. Por ejemplo: Un archivo
imagen.jpg eliminado del disco C puede aparecer como: DC7.jpg.
La fecha y hora del archivo corresponden a su eliminación y la carpeta al usuario.
Los Archivos LNK representan enlaces a programas y archivos abiertos que permiten determinar
programas ejecutados y archivos abiertos, la existencia de medios removibles, fecha y hora de la
ejecución, el número de serie de la unidad (importante para medios removibles) y la ubicación
del LNK (importante para probar posesión).-
La esteganografia es una práctica que permite el ocultamiento de archivos de texto dentro de
archivos más complejos.
Otra faceta de la investigación informática forense es el análisis de los sitios visitados en Internet
y su correlación temporal con la investigación, que incluye la evaluación de las eventuales
actividades.
Este análisis se realiza sobre las carpetas y archivos del espacio conocido como caché de Internet,
el cual es creado y mantenido por los navegadores de Internet (Internet Explorer, Firefox, Opera,
Safari). El navegador de Internet almacena los siguientes campos de un sitio visitado en el archivo
Index.dat: a) URL; b) Type: Browsed o Redirected; c) Modified Time (última vez que el sitio fue
modificado); d) Access Time (cuando fue accedido).
La investigación del correo electrónico puede ser de varias modalidades: a) estática (análisis del
contenido de un correo electrónico (cuerpo y adjuntos) sobre las bandejas de correo; b) Análisis
de depurados; c) análisis de intercambio.
Las búsquedas estáticas pueden ser simples o complejas, indexadas sobre contenido. Se realiza
sobre clientes locales, Web mail o servidores corporativos.
La Investigación dinámica comprende la investigación del origen geográfico y el análisis de logs
de servidores SMTP.
En cualquier correo los datos que se obtienen de su encabezado son fundamentales. Si se utiliza
el menú de "propiedades" se accede a la formación, que debe leerse de atrás para adelante,
sobre el servidor de correo saliente, el servidor de correo entrante, la cuenta e IP desde la que se
envió y lo mismo sobre quien lo recibió.
Desde un punto de vista de la pericia informática es bueno recordar que cuando enviamos un
correo electrónico, el mismo se prepara con el auxilio de un cliente de correo electrónico que es
un programa que permite editar y administrar los correos electrónicos, ordenarlos en carpetas y
almacenarlos para su posterior control o seguimiento y que también se almacenan a través del
cliente de correo electrónico los correos entrantes, es decir los dirigidos a una dirección
determinada. Con independencia de cuál sea el programa de correo electrónico empleado, el
comportamiento de todos ellos es similar en cuanto a su operación.
Para el análisis pericial del contenido de los correos electrónicos se debe tener presente donde
están almacenados los archivos de datos que contienen la información de las carpetas de correo
electrónico, que si bien usualmente son almacenadas el disco rígido de la computadora bajo
investigación, podrían estar almacenados en otra computadora o en un servidor de correo,
especialmente si la computadora bajo investigación forma parte de una red informática.
Aunque es posible ensayar diversas clasificaciones sobre los servidores de correo electrónico,
Presman los agrupa según su ubicación y almacenamiento en tres clases: Servidores generales,
Servidores corporativos y Servidores Web.
Los servidores generales son aquellos que son de propiedad y administración exclusiva de los
distintos proveedores de Internet (ISP) y que concentran las casillas de correo entrante y saliente
de los usuarios comunes que se han suscripto a ese servicio.
Los correos electrónicos dirigidos a un individuo bajo investigación que posea una casilla de
correo en este tipo de servidores son almacenados allí hasta que el usuario se conecte, a través
de su cliente de correo electrónico y baje esos correos, los cuales usualmente se eliminan del
servidor ya que los mismos cuentan con un límite de espacio de almacenamiento. A partir de ese
momento los correos electrónicos quedan almacenados en la ubicación que haya
predeterminado el cliente de correo electrónico que usualmente es el disco local de la
computadora bajo investigación.
Los correos salientes siguen un proceso similar a los entrantes, pero con la diferencia de que
estos han sido redactados en la computadora bajo investigación, de manera que, aunque hayan
sido eliminados de la misma, existen tecnologías que permitirían recuperarlos del mismo modo
que se recuperan archivos eliminados de cualquier tipo de aplicación (texto, planillas de cálculo,
etc...)
Los servidores corporativos son muy comunes en empresas medianas y grandes, ya que tienen
funciones colaborativas que permiten, entre otras, compartir correos, agendas y carpetas entre
los usuarios del sistema que forzosamente deben tener sus computadoras en red. En este caso la
propiedad y la administración de estos servidores está a cargo de la empresa.
El proceso de envío y recepción de correos es en todo similar al descripto para los servidores
generales, salvo que los archivos que contienen las bandejas de correo electrónico del usuario se
encuentran almacenados en el propio servidor de correo electrónico que a su vez se encuentra
físicamente dentro del perímetro de la empresa.
En este caso, resulta de vital importancia para el éxito de la medida tener en cuenta esta
situación, ya que la investigación y búsqueda de evidencia podría resultar infructuosa si
solamente se analizara la computadora del usuario bajo investigación, dejando de lado el
servidor corporativo.
Los servidores Web, también conocidos como servicios de Webmail, son aquellos donde, a
diferencia de los otros dos casos descriptos, el usuario no necesita contar con un cliente de
correo electrónico, dado que los correos son enviados y recibidos en el mismo servidor, por lo
que el contenido de los mismos está entera y permanentemente almacenado en el servidor del
proveedor, hasta que el usuario decida eliminarlo, generalmente motivado por la limitación de
espacio de estos servicios.
Estas casillas son las más complicadas para la obtención de resultados, ya que al no almacenar
archivos en la computadora del sujeto investigado, no siempre es posible obtener evidencia
electrónica de una zona de memoria de intercambio conocida como caché de Internet y
frecuentemente solo es posible reconstruir la secuencia de conexión al servicio y en ocasiones
encontrar vestigios de archivos adjuntos que se hayan visualizado en la computadora, por este
motivo se recomienda tener especial cuidado en la selección de los puntos de pericia, cuando la
prueba pericial de correos electrónicos involucra direcciones en este tipo de servidores de modo
que la prueba no se torne ilusoria.
En cualquiera de las alternativas descriptas, puede ser oportuno contar con copias de seguridad o
Backup del correo electrónico, donde puede existir información que no se encuentra vigente o
que se ha resguardado por cuestiones de espacio físico y que puede contener aquello que
estamos buscando.
En el caso de los servidores de correo electrónico, existen listados de las actividades de los
mismos, denominados logs que pueden ayudarnos a probar la recepción o el envío de un
determinado correo electrónico.
El análisis del contenido de un correo electrónico, incluyendo archivos adjuntos, debe ser
realizado por un investigador forense informático equipado con herramienta de análisis forense
que permitan la búsqueda en todo el contenido de la computadora y no solamente en aquellos
lugares que el sistema operativo muestra, esto incluye información eliminada o deliberadamente
ocultada.
Es necesario tener presente, en función de la investigación a realizar, si necesitamos acceso a la
computadora del emisor del correo electrónico, del receptor o de ambos, sin perjuicio de la
eventual colaboración del proveedor de servicios de Internet de alguno de los dos usuarios
involucrados, el cual no se encuentra obligado por ley a conservar y resguardar la información de
las comunicaciones, sobretodo luego del caso "Halaba" al que nos referiremos más adelante.
En caso de querer aportar el disco rígido de una computadora, para que su contenido pueda ser
posteriormente peritado, también es importante tener en cuenta que el mismo debe ser
adquirido con procedimientos de Informática forense que garanticen la inalterabilidad de la
prueba desde su extracción hasta la conclusión de la pericia informática. …”
Fte: “Eficacia probatoria de los correos y comunicaciones electrónicas” - Eduardo Molina Quiroga,
18/07/2013, elDial.com – Editorial Albrematica