Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INFORMÁTICA FORENSE
28/7/2018
UNIDAD 10: INFORMÁTICA FORENSE. La Prueba digital Informática Forense. Concepto
Incorporación en los Códigos de Forma. Análisis en escena y en laboratorio. Evidencia Digital en
Fuentes Abiertas
Informática Forense:
Uno de los propósitos de la Informática Forense consiste en determinar los responsables de los
delitos informáticos, también permite esclarecer la causa original de un ilícito o evento particular
para asegurarse que no vuelva a repetirse, por lo tanto, puede aplicarse tanto en los casos
llevados a juicio como en investigaciones particulares solicitadas por empresas u organismos
privados. Por lo que se puede decir que:
2.- Cada caso específico debe ser analizado como si fuera a juicio, de esta manera cualquier
investigación en Informática Forense puede soportar un escrutinio legal.
Fte: Manual de Informática Forense (Prueba Indiciaria Informático Forense) María Elena
Darahuge y Luis E. Arellano Gonzalez, Errepar S.A., Argentina, Agosto 2011
La informática forense interviene en aquellos delitos que tiene relación con la tecnología, ya sea
de forma directa, como aquellos casos donde la tecnología es el fin del delito, aquellos casos
donde la tecnología es el medio que se utilizó para cometer el delito y por supuesto todos
aquellos casos en donde la tecnología no es ni el medio ni el fin del delito, sino que solo está
presente de forma incidental. En resumen, podríamos decir que dado el nivel de presencia que
hoy tiene la tecnología y las comunicaciones en nuestra sociedad, la gran mayoría de los delitos
tiene alguna conexión con estas.
Internet y su ecosistema está en permanente evolución, hoy estamos en la puerta del IOT
“Internet de las cosas”, donde ya no solo veremos conectados a Internet computadoras,
teléfonos inteligentes, televisores inteligentes o consolas de videojuegos, sino que otros
dispositivos que habitualmente utilizamos en la vida diaria formaran parte de Internet y su
entorno, solo por mencionar algunos, las heladeras, los lavadoras, las luces del hogar, las
cámaras de seguridad, los relojes inteligentes entre otros, todos ellos podrían brindar en el
marco de una investigación información que puede ser relevante. Por ejemplo, analizar el sensor
acelerómetro y el sensor que mide el ritmo cardiaco de un reloj inteligente, podría decirnos si
una persona estuvo activa en un determinado día y horario, a tal punto que podríamos saber si
corrió, camino o reposo.
Evidencia Digital:
De acuerdo con el HB:171 2003 Guidelines for the Management of IT Evidence “la evidencia
digital, es un término utilizado de manera amplia para describir "cualquier registro generado por
o almacenado en un sistema computacional que puede ser utilizado como evidencia en un
proceso legal".
Registros almacenados en el equipo de tecnología informática (correos electrónicos, archivos de
aplicaciones de ofimática, imágenes, etc.)
Registros generados por los equipos de tecnología informática (registros de auditoría, registros
de transacciones, registros de eventos,etc.).
Características de la evidencia digital:
Existen diferencias entre la evidencia tradicional y la informática, que podríamos enumerarlas
como la volatilidad, la posibilidad de duplicación, la facilidad de alteración y eliminación y la
gran cantidad de "metadatos" que posee esta última con relación a la primera.
Son puntos críticos de la evidencia digital: 1) el lugar físico donde se encontraba al momento de
ser obtenida, 2) el instante en que fue obtenida, 3) la identificación de el/los individuos que la
descubrieron y la aseguraron y 4) identificación de el/los individuos que la controlaron y/o
mantuvieron su posesión. Los últimos puntos refieren a la cadena de custodia de la evidencia
digital.
Derecho de Fondo:
El CCyC establece en el Libro Primero, Parte General, Titulo IV – Hechos - Hechos y actos jurídicos
SECCIÓN 3ª
ARTÍCULO 284.- Libertad de formas. Si la ley no designa una forma determinada para la
exteriorización de la voluntad, las partes pueden utilizar la que estimen conveniente.
Las partes pueden convenir una forma más exigente que la impuesta por la ley.
ARTÍCULO 285.- Forma impuesta. El acto que no se otorga en la forma exigida por la ley no queda
concluido como tal mientras no se haya otorgado el instrumento previsto, pero vale como acto
en el que las partes se han obligado a cumplir con la expresada formalidad, excepto que ella se
exija bajo sanción de nulidad.
ARTÍCULO 286.- Expresión escrita. La expresión escrita puede tener lugar por instrumentos
públicos, o por instrumentos particulares firmados o no firmados, excepto en los casos en que
determinada instrumentación sea impuesta. Puede hacerse constar en cualquier soporte,
siempre que su contenido sea representado con texto inteligible, aunque su lectura exija medios
técnicos.
a. en cuanto a que se ha realizado el acto, la fecha, el lugar y los hechos que el oficial público
enuncia como cumplidos por él o ante él hasta que sea declarado falso en juicio civil o criminal;
b. en cuanto al contenido de las declaraciones sobre convenciones, disposiciones, pagos,
reconocimientos y enunciaciones de hechos directamente relacionados con el objeto principal
del acto instrumentado, hasta que se produzca prueba en contrario.
ARTÍCULO 319.- Valor probatorio. El valor probatorio de los instrumentos particulares debe ser
apreciado por el juez ponderando, entre otras pautas, la congruencia entre lo sucedido y
narrado, la precisión y claridad técnica del texto, los usos y prácticas del tráfico, las relaciones
precedentes y la confiabilidad de los soportes utilizados y de los procedimientos técnicos que se
apliquen.
En los instrumentos generados por medios electrónicos, el requisito de la firma de una persona
queda satisfecho si se utiliza una firma digital, que asegure indubitablemente la autoría e
integridad del instrumento.
Los terceros no pueden valerse de la correspondencia sin asentimiento del destinatario, y del
remitente si es confidencial.
Códigos de Forma:
La prueba digital:
En materia civil, nuestro CPCCLRyM establece, en su art. 382.1 que son medios de prueba los
documentos, la declaración de parte, la de testigos, el dictamen pericial, el examen judicial y las
reproducciones de hechos y en el art. 382.2. especifica que también podrán utilizarse otros
medios probatorios aplicando analógicamente las normas que disciplinan a los expresamente
previstos por la ley.
Por su parte, en materia penal, el CPP provincial, establece el principio de libertad probatoria en
su art. 188.
Se ha señalado que las disposiciones del Código Procesal Penal Nacional no regulan los actos de
los particulares dirigidos a la obtención de medios de prueba para ser ofrecidos posteriormente
en el proceso penal. Ello no implica que la actividad de los particulares resulte ilimitada. Mientras
concurren al proceso, la actividad de las personas se reconduce por las instituciones reguladas en
el mismo, debiendo sujetarse a las disposiciones que establece, teniendo facultad de proposición
y contralor de las medidas de prueba, aportando las que posea e incluso actuando como órgano
de prueba, pero no poseen facultad legal de efectuar medidas asegurativas por propia iniciativa;
pues conforme la ley procesal la autorización para la ejecución de actividades coercitivas recae
sobre el magistrado (o en el agente fiscal cuando así está previsto).
En ese sentido las acciones de salvaguarda no pueden consistir en acciones ilícitas. Es decir que
un individuo no puede interceptar correspondencia electrónica o comunicaciones, ni introducirse
en la vivienda de otro sin su autorización, como tampoco puede acceder por medios informáticos
a aquellos ámbitos que le están vedado por su titular por no estar destinado a su conocimiento.
Cualquiera de estas actividades constituye además de una accionar ilegítimo un avasallamiento
de bienes jurídico encontrando su encuadre normativo en las disposiciones del Código Penal.
Desde esta perspectiva las acciones dirigidas a obtener elementos de prueba (prueba
documental) efectuadas empleando esta modalidad coercitiva no sólo invalida el hallazgo, sino
que resulta delictiva.
Cabe preguntase pues sobre qué pueden hacer los particulares que preocupa tanto a la doctrina
y divide a la jurisprudencia. Descartadas las actividades ilícitas queda remanente un conjunto de
acciones por parte de los particulares englobadas por lo general bajo la denominación de
“grabaciones subrepticias” y consisten en la toma de audio e imagen -en conjunto o
independiente- de las acciones de un individuo para llevarlas posteriormente al proceso. Ahora
bien, negada la posibilidad de efectuar a los particulares medidas de coerción, la actividad a
desarrollarse para no caer en el campo de la ilicitud penal, debe consistir en comunicaciones
donde el aportante sea parte del proceso comunicacional, es decir el receptor de la
comunicación telefónica, el destinatario de la correspondencia, o sujeto presencial en la
comunicación. De esta manera el ámbito de lo subrepticio se ve drásticamente reducido pero no
eliminado. Entonces podemos plantearnos sobre qué es lo subrepticio que interfiere con la
intimidad y privacidad de los terceros en el proceso de obtención de prueba que no resulta
delictivo (y que por añadidura importe descartar la documental obtenida). El carácter subrepticio
de una acción surge cuando ella se realiza de manera oculta, secreta o encubierta, de modo tal
que no es conocida por quien ejecuta la acción que está siendo documentada. En este caso, la
actividad desplegada por los particulares, sin que sea delictiva, puede interferir o no en la esfera
de reserva de otra persona. El baremo diferenciador en este último binomio señalado lo
encuentro en el “carácter de espectador consentido por quien realiza la acción receptada
subrepticiamente”.
Los posibles escenarios en los que puede situarse a dicho espectador son múltiples. Pero
situémonos en el punto de vista de quien exterioriza la acción, respecto de quien la intimidad o
privacidad será puesta en crisis por las acciones del espectador y descartemos aquellas
situaciones en las que el sujeto se mueve en un ámbito público, esfera en la cual no habría (en
principio) interferencia con lo privado. Dentro de los posibles contextos donde se desarrollarían
acciones privadas, aquí vimos las comunicaciones telefónicas, las manifestaciones por vía correo,
las desarrolladas en el interior de la vivienda o propiedad. Pero podemos agregar otras
situaciones como las reuniones que se desarrollan en una oficina alquilada, las conversaciones
privadas mantenidas vía chat en las redes sociales, nuestros datos sensibles que suministramos al
registrarnos en determinado sitio con el objeto de acceder al mismo pero solo para información
del administrador, entre otros contextos marcan la multiplicidad y proliferación de situaciones
fácticas (dentro y fuera de la red) donde nuestra intimidad puede ser afectada sin nuestro
consentimiento. Entonces podemos cuestionarnos sobre el punto donde cede nuestra intimidad
frente a los demás en esos ámbitos. En otros términos, si nuestras acciones trasuntan un proceso
de comunicación (corporal o verbal, gestual o discursiva) el caso pasa por cuando se interfiere
arbitrariamente sobre el mismo desarrollado en la intimidad.
La determinación de un estándar tempo especial a partir del cual una acción de salvaguarda
resulta legitima ante el derecho a la intimidad y privacidad no se sujeta a las variaciones
tecnológicas. El momento en el que surge la posibilidad de efectuar la grabación subrepticia
difiere según el ámbito o el contexto en el que se desarrolla. Así para determinar si hubo un
accionar legítimo por quien efectúa la grabación debemos situarnos antes del inicio de la misma
y analizar la trama que dio origen al accionar de auto tutela.
Fte: Los avances tecnológicos y la prueba en el proceso penal frente al derecho a la intimidad,
José Luis Agüero Iturbe, El Dial.com
Cadena de custodia:
Es “el procedimiento de control documentado que se aplica a la evidencia física, para garantizar y
demostrar la identidad, integridad, preservación, seguridad, almacenamiento, continuidad y
registro de la misma”.
Por las características de la evidencia digital (volatibilidad, eliminación, sobre escritura, perdida
de datos, etc.) la preservación de la cadena de custodia se convierte en un punto crítico en
cuanto a la validez de la prueba informática.
Ahora bien, sin perjuicio de la poca (o nula) importancia brindada al tema en cuestión, la
cadena de custodia de los elementos hallados en el marco de procedimientos penales
resulta fundamental para que el proceso penal pueda ser llevado con total transparencia
y con resultados efectivos.
A) una hoja de ruta, en donde se anotan los datos principales sobre descripción de la evidencia,
fechas, horas, identificación del encargado de custodia, identificaciones, cargo, y firmas de
quien recibe y quien entrega.
C) Etiquetas con la misma información de los rótulos que van atadas con cuerda al paquete de
la prueba que corresponda.
D) Libros de registros de entradas y salidas, o cualquier otro sistema informático que se deben
llevar en los laboratorios.
El Código Procesal Penal provincial, establece en su art. 211, que el Juez podrá ordenar, mediante
auto fundado, la intervención de comunicaciones telefónicas o cualquier otro medio de
comunicación del imputado, para impedirlas o conocerlas.
Datos de abonado: Es la información que posee una ISP relacionada con los abonados de sus
servidores (identificación, dirección, n° de teléfono, datos de facturación, pago, lugar donde
están los equipos).
Datos de tráfico: Es la información sobre el circuito de una comunicación realizada por medio de
un sistema informático: origen, destino, ruta, hora, duración y fecha de la comunicación.
Datos de contenido: Son los que permiten determinar la información intercambiada por las
partes que intervinieron en la comunicación (por ejemplo el contenido de una conversación de
voz por IP, el contenido de un correo electrónico, un mensaje privado de twitter o FB, etc.)
En este sentido, la ley 25.873, que fuera conocida como ley espía, y modificatoria de la ley
Nacional de Telecomunicaciones, ley 19.798 establecía que:
Art. 45 Bis.- Todo prestador de servicios de telecomunicaciones deberá disponer de los recursos
humanos y tecnológicos necesarios para la captación y derivación de las comunicaciones que
transmiten, para su observación remota a requerimiento del Poder Judicial o el Ministerio
Público de conformidad con la legislación vigente. Los prestadores de servicios de
telecomunicaciones deberán soportar los costos derivados de dicha obligación y dar inmediato
cumplimiento a la misma a toda hora y todos los días del año.
El Poder Ejecutivo nacional reglamentará las condiciones técnicas y de seguridad que deberán
cumplir los prestadores de servicios de telecomunicaciones con relación a la captación y
derivación de las comunicaciones para su observación remota por parte del Poder Judicial o el
Ministerio Público.
Art. 45 Quater.- El Estado nacional asume la reponsabilidad por los eventuales daños y
perjuicios que pudieran derivar para terceros, de la observación remota de las comunicaciones
y de la utilización de la información de los datos filiatorios y domiciliarios y tráfico de
comunicaciones de clientes y usuarios, provista por los prestadores de servicios de
telecomunicaciones.
Pero, posteriormente, en el año 2005, por Decreto 357 se suspendió la aplicación del decreto
1563/2004 Reglamentario de la ley de de Regulación del Servicio de Comunicaciones.
H. 270. XLII. – “Halabi, Ernesto c/ P.E.N. - ley 25.873 - dto. 1563/04 s/ amparo ley
16.986.” – CSJN – 24/02/2009
El Estado Nacional sostuvo que la vía del amparo no resultaba apta para debatir el
planteo del actor. Afirmó, además, que la cuestión se había tornado abstracta en virtud
del dictado del decreto 357/05, que suspendió la aplicación del decreto 1563/04, toda
vez que con ello se disipó la posibilidad de que exista un daño actual o inminente para el
actor, o para cualquier usuario del sistema.
La magistrada de primera instancia hizo lugar a la demanda y declaró la
inconstitucionalidad de los arts. 1° y 2° de la ley 25.873 y del decreto 1563/04. La Cámara
Nacional de Apelaciones en lo Contencioso Administrativo Federal confirmó dicho
pronunciamiento. Sin perjuicio de advertir que el recurso de apelación del Estado
Nacional exhibía defectos técnicos que conducían a declararlo desierto, estimó que, por
la trascendencia de la cuestión debatida, correspondía tratar los argumentos
desarrollados en defensa de las normas impugnadas.- Al respecto y, en primer lugar,
aclaró que la pretensión no se había torna do abstracta, pues la ley cuestionada seguía
vigente por el hecho de que el decreto 1563/04 que la reglamentó sólo había sido
suspendido "por tiempo indeterminado" mediante el decreto 357/05 sin que hubiese
sido "expulsado del plexo normativo vigente".-
Este Tribunal ha subraya do que sólo la ley puede justificar la intromisión en la vida
privada de una persona, siempre que medie un interés superior en resguardo de la
libertad de los otros, la defensa de la sociedad, las buenas costumbres o la persecución
del crimen (Fallos: 306:1892; 316:703, entre otros). Es en este marco constitucional que
debe comprenderse, en el orden del proceso penal federal, la utilización del registro de
comunicaciones telefónicas a los fines de la investigación penal que requiere ser emitida
por un juez competente mediante auto fundado (confr. art. 236, segunda parte, del
Código Procesal Penal de la Nación, según el texto establecido por la ley 25.760), de
manera que el común de los habitantes está sometido a restricciones en esta esfera
semejantes a las que existen respecto a la intervención sobre el contenido de las
comunicaciones escritas o telefónicas. Esta norma concuerda con el artículo 18 de la ley
19.798 que establece que "la correspondencia de telecomunicaciones es inviolable. Su
interceptación sólo procederá a requerimiento de juez competente".-
Cabe recordar que en el precedente de Fallos: 318: 1894 (en el voto de los jueces Fayt,
Petracchi y Boggiano) se afirmó que, para restringir válidamente la inviolabilidad de la
correspondencia, supuesto que cabe evidentemente extender al presente, se requiere:
a) que haya sido dictada una ley que determine los "casos" y los "justificativos" en que
podrá procederse a tomar conocimiento del contenido de dicha correspondencia;
b) que la ley esté fundada en la existencia de un sustancial o importante objetivo del
Estado, desvinculado de la supresión de la inviolabilidad de la correspondencia epistolar y
de la libertad de expresión;
c) que la aludida restricción resulte un medio compatible con el fin legítimo propuesto; y
d) que dicho medio no sea más extenso que lo indispensable para el aludido logro. A su
vez, fines y medios deberán sopesarse con arreglo a la interferencia que pudiesen
producir en otros intereses concurrentes.-
Tal como ha sido apreciado por los magistrados de los tribunales intervinientes en las
instancias anteriores, es evidente que lo que las normas cuestionadas han establecido no
es otra cosa que una restricción que afecta una de las facetas del ámbito de la autonomía
individual que constituye el derecho a la intimidad, por cuanto sus previsiones no
distinguen ni precisan de modo suficiente las oportunidades ni las situaciones en las que
operarán las interceptaciones, toda vez que no especifican el tratamiento del tráfico de
información de Internet en cuyo contexto es indiscutible que los datos de navegación
anudan a los contenidos.-
Se añade, a ello, la circunstancia de que las normas tampoco prevén un sistema
específico para la protección de las comunicaciones en relación con la acumulación y
tratamiento automatizado de los datos personales.-
En suma, como atinadamente ha sido juzgado en autos, resulta inadmisible que las
restricciones autorizadas por la ley estén desprovistas del imprescindible grado de
determinación que excluya la posibilidad de que su ejecución concreta por agentes de la
Administración quede en manos de la más libre discreción de estos últimos, afirmación
que adquiere primordial relevancia si se advierte que desde 1992 es la Dirección de
Observaciones Judiciales de la SIDE, que actúa bajo la órbita del poder político, la que
debe cumplir con los requerimientos que formule el Poder Judicial en orden a la
interceptación de comunicaciones telefónicas u otros medios de transmisión que se
efectúen por esos circuitos.-
El caso “Halabi” y la intervención en Internet, Por Fernando Adrián García
“El Estado Nacional, mediante uno de sus poderes, pretendió avasallar el derecho a la
intimidad de las personas mediante la recolección indiscriminada de información
transmitida básicamente por medios electrónicos, hoy fundamentalmente hablamos de
Internet. ¿Por qué hablamos de indiscriminada? Porque requería que las empresas
proveedoras de servicios de telecomunicaciones e Internet guardaran todos los datos
transmitidos por sus respectivas redes durante el término de diez años, no quedando
claro quién o quiénes podrían tener acceso a dichos datos. Es decir, se podría evitar que
el Poder Judicial, el único capacitado por ley para solicitar una intercepción en las
telecomunicaciones, interviniera, quedando a pleno arbitrio del Poder Ejecutivo el
potencial uso de dichos datos.”
“Mas allá de la importancia que este fallo posee al haber traído a nuestro Derecho el
tema de la acción de clase, entendemos que la Justicia ha dado un mensaje muy claro a
los gobernantes acerca de cuáles son los límites que deben respetar en relación a los
derechos de los ciudadanos. Nuestra región íntima nos pertenece, y salvo muy contadas
excepciones establecidas por ley y ejecutadas por el poder correspondiente, debe ser
respetada de manera inflexible.”
En la etapa de obtención y de Análisis Forense se realizan búsquedas por tipo de archivos, por
contenidos, archivos ocultados. ¿Se efectúan análisis de logs, para saber Qué?; Quién?; Cuándo?
Se llevan a cabo exploraciones de áreas especiales en sistemas Windows, tales como archivos de
intercambio, espacio no utilizado, espacio descuidado (slack space).-
Independientemente de las herramientas empleadas, se trata de buscar suficiente evidencia para
sostener un caso, lo que usualmente incluye: obtención de elementos eliminados (particiones,
carpetas y archivos); búsquedas simples y complejas de palabras claves (en todas las áreas); de
acceso a archivos protegidos; análisis de signaturas (firmas) y hashes; actividades en Windows
(archivos abiertos, apps ejecutadas, impresiones); actividades en Internet (sitios visitados,
actividades realizadas);intercambio de correos (clientes, servidores y web mail).
Es fundamental no alterar el objeto de estudio, lo que puede ocurrir cuando se apaga y prende el
equipo antes de que intervenga el experto.
Para realizar una búsqueda de archivos que sirvan como evidencia es conveniente tener en
cuenta las características del sistema de archivos, ya que los sistemas de archivos muestran la
estructura con la que se organiza un volumen.
Cada Sistema operativo tiene sus propios sistemas de archivos.
Un sistema de archivos cumple las siguientes funciones de registro: a) registra el nombre de un
archivo o directorio; b) registra el punto donde el archivo comienza; c) registra la longitud del
archivo; d) registra la metadata del archivo (permisos, fechas, etc.); e) registra los bloques que el
archivo utiliza; f) registra los bloques que están siendo utilizados y los disponibles.
Para la recuperación de datos el investigador debe analizar las unidades de disco y determinar
que los mismos estén asignados a particiones de la unidad. En caso contrario debería realizar una
recuperación y montar las eventuales particiones eliminadas, recuperar los archivos eliminados,
realizar una búsqueda de posibles carpetas eliminadas.
El análisis de Hash permite restringir el objeto de estudio y el Investigador forense puede utilizar
hash sets públicos (NIST), privados (LE) o propios.
Este análisis de índices le permite también identificar unívocamente archivos "notables", y el
investigador realizará análisis de hashes y eventualmente creará sus propios hash sets.
La "Papelera de Reciclaje" de Windows es una fuente valiosa de información, ya que archivos que
se creen eliminados se encuentran allí. Estos archivos tienen la forma "Dxnn.ext" donde: la "D"
significa "Deleted" (borrado); la "X" indica la letra de unidad original; "Nn" es un numero
secuencial comenzando desde 0 y "ext" informa la extensión original. Por ejemplo: Un archivo
imagen.jpg eliminado del disco C puede aparecer como: DC7.jpg.
La fecha y hora del archivo corresponden a su eliminación y la carpeta al usuario.
Los Archivos LNK representan enlaces a programas y archivos abiertos que permiten determinar
programas ejecutados y archivos abiertos, la existencia de medios removibles, fecha y hora de la
ejecución, el número de serie de la unidad (importante para medios removibles) y la ubicación
del LNK (importante para probar posesión).-
La esteganografia es una práctica que permite el ocultamiento de archivos de texto dentro de
archivos más complejos.
Otra faceta de la investigación informática forense es el análisis de los sitios visitados en Internet
y su correlación temporal con la investigación, que incluye la evaluación de las eventuales
actividades.
Este análisis se realiza sobre las carpetas y archivos del espacio conocido como caché de Internet,
el cual es creado y mantenido por los navegadores de Internet (Internet Explorer, Firefox, Opera,
Safari). El navegador de Internet almacena los siguientes campos de un sitio visitado en el archivo
Index.dat: a) URL; b) Type: Browsed o Redirected; c) Modified Time (última vez que el sitio fue
modificado); d) Access Time (cuando fue accedido).
La investigación del correo electrónico puede ser de varias modalidades: a) estática (análisis del
contenido de un correo electrónico (cuerpo y adjuntos) sobre las bandejas de correo; b) Análisis
de depurados; c) análisis de intercambio.
Las búsquedas estáticas pueden ser simples o complejas, indexadas sobre contenido. Se realiza
sobre clientes locales, Web mail o servidores corporativos.
La Investigación dinámica comprende la investigación del origen geográfico y el análisis de logs
de servidores SMTP.
En cualquier correo los datos que se obtienen de su encabezado son fundamentales. Si se utiliza
el menú de "propiedades" se accede a la formación, que debe leerse de atrás para adelante,
sobre el servidor de correo saliente, el servidor de correo entrante, la cuenta e IP desde la que se
envió y lo mismo sobre quien lo recibió.
Desde un punto de vista de la pericia informática es bueno recordar que cuando enviamos un
correo electrónico, el mismo se prepara con el auxilio de un cliente de correo electrónico que es
un programa que permite editar y administrar los correos electrónicos, ordenarlos en carpetas y
almacenarlos para su posterior control o seguimiento y que también se almacenan a través del
cliente de correo electrónico los correos entrantes, es decir los dirigidos a una dirección
determinada. Con independencia de cuál sea el programa de correo electrónico empleado, el
comportamiento de todos ellos es similar en cuanto a su operación.
Para el análisis pericial del contenido de los correos electrónicos se debe tener presente donde
están almacenados los archivos de datos que contienen la información de las carpetas de correo
electrónico, que si bien usualmente son almacenadas el disco rígido de la computadora bajo
investigación, podrían estar almacenados en otra computadora o en un servidor de correo,
especialmente si la computadora bajo investigación forma parte de una red informática.
Aunque es posible ensayar diversas clasificaciones sobre los servidores de correo electrónico,
Presman los agrupa según su ubicación y almacenamiento en tres clases: Servidores generales,
Servidores corporativos y Servidores Web.
Los servidores generales son aquellos que son de propiedad y administración exclusiva de los
distintos proveedores de Internet (ISP) y que concentran las casillas de correo entrante y saliente
de los usuarios comunes que se han suscripto a ese servicio.
Los correos electrónicos dirigidos a un individuo bajo investigación que posea una casilla de
correo en este tipo de servidores son almacenados allí hasta que el usuario se conecte, a través
de su cliente de correo electrónico y baje esos correos, los cuales usualmente se eliminan del
servidor ya que los mismos cuentan con un límite de espacio de almacenamiento. A partir de ese
momento los correos electrónicos quedan almacenados en la ubicación que haya
predeterminado el cliente de correo electrónico que usualmente es el disco local de la
computadora bajo investigación.
Los correos salientes siguen un proceso similar a los entrantes, pero con la diferencia de que
estos han sido redactados en la computadora bajo investigación, de manera que, aunque hayan
sido eliminados de la misma, existen tecnologías que permitirían recuperarlos del mismo modo
que se recuperan archivos eliminados de cualquier tipo de aplicación (texto, planillas de cálculo,
etc...)
Los servidores corporativos son muy comunes en empresas medianas y grandes, ya que tienen
funciones colaborativas que permiten, entre otras, compartir correos, agendas y carpetas entre
los usuarios del sistema que forzosamente deben tener sus computadoras en red. En este caso la
propiedad y la administración de estos servidores está a cargo de la empresa.
El proceso de envío y recepción de correos es en todo similar al descripto para los servidores
generales, salvo que los archivos que contienen las bandejas de correo electrónico del usuario se
encuentran almacenados en el propio servidor de correo electrónico que a su vez se encuentra
físicamente dentro del perímetro de la empresa.
En este caso, resulta de vital importancia para el éxito de la medida tener en cuenta esta
situación, ya que la investigación y búsqueda de evidencia podría resultar infructuosa si
solamente se analizara la computadora del usuario bajo investigación, dejando de lado el
servidor corporativo.
Los servidores Web, también conocidos como servicios de Webmail, son aquellos donde, a
diferencia de los otros dos casos descriptos, el usuario no necesita contar con un cliente de
correo electrónico, dado que los correos son enviados y recibidos en el mismo servidor, por lo
que el contenido de los mismos está entera y permanentemente almacenado en el servidor del
proveedor, hasta que el usuario decida eliminarlo, generalmente motivado por la limitación de
espacio de estos servicios.
Estas casillas son las más complicadas para la obtención de resultados, ya que al no almacenar
archivos en la computadora del sujeto investigado, no siempre es posible obtener evidencia
electrónica de una zona de memoria de intercambio conocida como caché de Internet y
frecuentemente solo es posible reconstruir la secuencia de conexión al servicio y en ocasiones
encontrar vestigios de archivos adjuntos que se hayan visualizado en la computadora, por este
motivo se recomienda tener especial cuidado en la selección de los puntos de pericia, cuando la
prueba pericial de correos electrónicos involucra direcciones en este tipo de servidores de modo
que la prueba no se torne ilusoria.
En cualquiera de las alternativas descriptas, puede ser oportuno contar con copias de seguridad o
Backup del correo electrónico, donde puede existir información que no se encuentra vigente o
que se ha resguardado por cuestiones de espacio físico y que puede contener aquello que
estamos buscando.
En el caso de los servidores de correo electrónico, existen listados de las actividades de los
mismos, denominados logs que pueden ayudarnos a probar la recepción o el envío de un
determinado correo electrónico.
El análisis del contenido de un correo electrónico, incluyendo archivos adjuntos, debe ser
realizado por un investigador forense informático equipado con herramienta de análisis forense
que permitan la búsqueda en todo el contenido de la computadora y no solamente en aquellos
lugares que el sistema operativo muestra, esto incluye información eliminada o deliberadamente
ocultada.
Es necesario tener presente, en función de la investigación a realizar, si necesitamos acceso a la
computadora del emisor del correo electrónico, del receptor o de ambos, sin perjuicio de la
eventual colaboración del proveedor de servicios de Internet de alguno de los dos usuarios
involucrados, el cual no se encuentra obligado por ley a conservar y resguardar la información de
las comunicaciones, sobretodo luego del caso "Halaba" al que nos referiremos más adelante.
En caso de querer aportar el disco rígido de una computadora, para que su contenido pueda ser
posteriormente peritado, también es importante tener en cuenta que el mismo debe ser
adquirido con procedimientos de Informática forense que garanticen la inalterabilidad de la
prueba desde su extracción hasta la conclusión de la pericia informática. …”
Fte: “Eficacia probatoria de los correos y comunicaciones electrónicas” - Eduardo Molina Quiroga,
18/07/2013, elDial.com – Editorial Albrematica