Auditoria Informatica Forense 27-09-2019

UNIVERSIDAD POLITÉCNICA DE EL SALVADOR
FACULTAD DE INGENIERÍA Y ARQUITECTURA

ESCUELA DE INGENIERÍA EN CIENCIAS DE LA COMPUTACIÓN
TRABAJO DE GRADUACIÓN
“DISEÑO DE PROCESO DE AUDITORÍA INFORMÁTICA FORENSE Y SU

UTILIDAD EN EL SISTEMA JUDICIAL DE EL SALVADOR”
PRESENTADO POR:
ROSARIO DEL CARMEN CALLES VIERA

CIRO ROLANDO HERNÁNDEZ RIVERA
CARLOS MAURICIO LÓPEZ
PARA OPTAR AL GRADO DE

INGENIERO EN CIENCIAS DE LA COMPUTACIÓN
DICIEMBRE DE 2019
SAN SALVADOR, EL SALVADOR, CENTRO AMÉRICA

UNIVERSIDAD POLITÉCNICA DE EL SALVADOR
ING. ROBERTO ARGUETA QUAN

RECTOR
ING. JULIO CÉSAR RICO

SECRETARIO GENERAL
ING. RAÚL ALBERTO GARCÍA AQUINO

DECANO DE LA FACULTAD
2
JURADOS DEL TRABAJO DE GRADUACIÓN
"DISEÑO DE PROCESO DE AUDITORÍA INFORMÁTICA FORENSE Y SU

UTILIDAD EN EL SISTEMA JUDICIAL DE EL SALVADOR"
ING. CARLOS ALFREDO HÉRCULES CASTRO

ASESOR
LIC. FELIPE EDGARDO ALVARENGA MÁRTIR

JURADO
LIC. ALBERTO SANTOS MEJÍA HERNÁNDEZ

JURADO
3
Dedicatoria
PRINCIPALMENTE A DIOS: por haberme dado la sabiduría y la fortaleza en mi vida,

así ser posible alcanzar este triunfo.
A MIS PADRES: José Teódulo Calles Menjivar y María Gladis Viera de Calles, por ser
los principales motores de mis sueños, por sus consejos y por cada una de sus
palabras que me guiaron durante mi vida.
A MI HERMANO: José Ismael Calles Viera, por su cariño y apoyo incondicional,

durante todo este proceso y por estar conmigo en todo momento.
A Jhovanny Anaya Meléndez: por entenderme en todo momento, fue un apoyo

incondicional en mi vida y siempre estuvo creyendo en mi para alcanzar mis sueños.
A TODA MI FAMILIA: porque con sus oraciones, consejos y palabras de aliento

hicieron de mí una mejor persona y de una u otra forma me acompañan en mis metas.
A MIS AMISTADES: que siempre estuvieron apoyándome y confiando en mí, sin

olvidar a Hazel Acosta, Álvaro Ayala, Astrid Duran, Claudia López, los quiero mucho.
Rosario del Carmen Calles Viera
4
Dedicatoria
AGRADEZCO A DIOS TODOPODEROSO: por permitirme y bendecirme en toda esta

etapa de vida, dándome salud, trabajo y tiempo, poniendo cada una de las
oportunidades y obstáculos a mi alcance para llegar hasta este punto.
A MI FAMILIA: por el enorme apoyo incondicional, incentivándome en cada momento

a continuar, haciéndome sentir muy especial en sus vidas como ejemplo a seguir;
especialmente a mis hermanas, quienes; además de todo el apoyo emocional
aportaron económicamente en muchas ocasiones, para que cumpliera la meta trazada.
A MIS AMIGOS Y COMPAÑEROS DE TRABAJO: por su solidaridad y consideraciones

en infinidad de ocasiones, para que mi preparación académica no tuviera
interrupciones.
A LOS AMIGOS: que de una u otra manera me incentivaron en todo este proyecto a
no desistir.
Ciro Rolando Hernández Rivera.
5
Dedicatoria
A DIOS: manifestado en cada aspecto de nuestras vidas.
A MIS PADRES: María Rosario Mauricio y Pilar López, que, aunque no pudieron
acompañarme físicamente en la bendición de convertirme en padre y en la bendición
de culminar mi carrera, pero sé que me apoyan desde donde estén.
A MI ESPOSA E HIJA: Emelyn Rosibel Portillo de Mauricio y Amy Samantha Mauricio

Portillo, por sacrificarse junto a mí, por soportar mis ausencias debido a mis
compromisos, por su comprensión, amor y apoyo.
A MIS HERMANOS Y SOBRINOS: Ovidio, Julio, Ana, Luis y Roberto, Fernando mi

hijo/sobrino, Mauricio, Edgardo, Marbely, Elena y demás familia por su apoyo y sus
buenos deseos.
¡Gracias y que el buen Dios que está en todo, les bendiga!
Carlos Mauricio López
6
Índice
Índice de ilustraciones ............................................................................................... 10
Índice de tablas ......................................................................................................... 12
Glosario de términos ................................................................................................. 13
Siglas ........................................................................................................................ 23
Introducción ............................................................................................................... 26
Capítulo 1. El problema ............................................................................................. 28
1.1 Planteamiento del problema .............................................................................28

1.2 Enunciado del problema ...................................................................................28
1.3 El tema .............................................................................................................28
1.4 Antecedentes ....................................................................................................29
1.5 Objetivos ...........................................................................................................31
1.5.1 Objetivo general ........................................................................................ 31
1.5.2 Objetivos específicos ................................................................................ 31
1.6 Justificación ......................................................................................................32
1.7 Limitantes .........................................................................................................32
1.7.1 Delimitación temática ................................................................................ 32
1.7.2 Delimitación espacial................................................................................. 33
1.7.3 Delimitación temporal ................................................................................ 33
1.8 Alcances ...........................................................................................................33
1.9 Hipótesis .......................................................................................................33
Capítulo 2. Marco teórico .......................................................................................... 35
2.1 Marco conceptual .............................................................................................35

2.1.1 Definiciones ............................................................................................... 36
2.2 Marco histórico .................................................................................................39
2.2.1 Historia de la informática forense .............................................................. 41
2.3 Marco legal .......................................................................................................43
2.3.1 Decreto 38, Constitución de la República de El Salvador ......................... 43
2.3.2 Decreto 733, Código Procesal Penal ........................................................ 46
7
2.3.3 Decreto 260, Ley Especial contra los Delitos Informáticos y Conexos ...... 50
2.4 Marco regulatorio (buenas prácticas, regulaciones, procesos) .........................54
2.4.1 COBIT 5 (ISACA) ...................................................................................... 55
2.4.2 ITIL ............................................................................................................ 61
2.4.3 ISO 9001:2015 .......................................................................................... 65
2.4.4 ISO/IEC 27001:2013 ................................................................................. 66
2.4.5 ISO/IEC 27037:2012 ................................................................................. 67
2.4.6 ISO/IEC 27040:2015 ................................................................................. 70
2.4.7 ISO/IEC 27042:2015 ................................................................................. 70
2.5 Marco técnico ...................................................................................................72
2.5.1 Seguridad informática ............................................................................... 72
2.5.2 Amenazas ................................................................................................. 75
2.5.3 Seguridad física......................................................................................... 77
2.5.4 Seguridad lógica........................................................................................ 78
2.5.5 Seguridad de redes ................................................................................... 79
2.5.6 Informática forense.................................................................................... 80
2.5.7 Perfil del perito informático forense ........................................................... 86
Perfil del perito propuesto. ......................................................................................90
Capítulo 3. Metodología ............................................................................................ 92
3.1 Metodología ......................................................................................................92

3.2 Diseño de la investigación ................................................................................92
3.3 Técnicas e instrumentos de recolección de datos ..........................................106
3.4 Análisis e interpretación de los datos .............................................................107
3.5 Tipos de investigación realizadas y fuentes de información ...........................107
Capítulo 4. Propuesta de proceso de auditoría informática forense ........................ 108
4.2 Objetivos .........................................................................................................109

4.2.1 Objetivo general ...................................................................................... 109
4.2.2 Objetivos específicos .............................................................................. 109
4.3 Alcance ...........................................................................................................109
4.4 Justificación ....................................................................................................110
4.5 Normativas legales .........................................................................................110
4.6 Proceso de inspección técnica ocular .............................................................110
8
4.7 Proceso de auditoría informática forense .......................................................112
El trabajo de Laboratorio ......................................................................................112
Análisis de Información .........................................................................................113
Documentación y presentación de resultados ......................................................115
Ejemplo de procedimiento de creación de imágenes con el software forense
Forensic Tool Kit (FTK). ........................................................................................132
Conclusiones ........................................................................................................... 137
Recomendaciones................................................................................................... 138
Referencias bibliográficas ....................................................................................... 139
Anexos .................................................................................................................... 143
9
Índice de ilustraciones
Ilustración 1. Historia de la informática forense 1970-1993 Aldo Valdez (2018). ...... 41

Ilustración 4. Evolución de COBIT............................................................................. 57
Ilustración 5. Principios de COBIT 5. ......................................................................... 58
Ilustración 6. Materias relacionadas con auditoría informática forense (2019) .......... 97
Ilustración 7. Materias impartidas en las carreras relacionadas con la informática
(2019) ........................................................................................................................ 98
Ilustración 8. Carreras de las instituciones de educación superior con materias
relacionadas con la informática forense (2019) ......................................................... 99
Ilustración 9. Estadísticas sobre casos y dispositivos analizados por la Sección de
Delitos Tecnológicos de la PNC para los años 2016, 2017 y 2018 (2019) .............. 100
Ilustración 10. Porcentaje de Casos entregados y Casos pendientes de entrega de la
Sección de Delitos Tecnológicos de la PNC para el año 2016 (2019) .................... 101
Sección de Delitos Tecnológicos de la PNC para el año 2017 (2019). ................... 102
Sección de Delitos Tecnológicos de la PNC para el año 2018 (2019) .................... 103
Ilustración 13. Comparativa de Casos entregados para 2016, 2017 y 2018 (2019) 104
Ilustración 14. Comparativa de Casos pendientes de entrega para 2016, 2017 y 2018
(2019) ...................................................................................................................... 104
Ilustración 15. Proceso de inspección técnica ocular .............................................. 111
Ilustración 16. Proceso de auditoría informática forense. ........................................ 119
Ilustración 17. Abriendo FTK ................................................................................... 132
Ilustración 18. Crear imagen. .................................................................................. 132
Ilustración 19. Buscar Dispositivo. ........................................................................... 133
Ilustración 20. Seleccionar dispositivo. .................................................................... 133
Ilustración 21. Ejecutar cuadro de diálogo añadir. ................................................... 134
Ilustración 22. Seleccionar opción E01. .................................................................. 134
Ilustración 23. Completar formulario. ....................................................................... 135
10
Ilustración 24. Seleccionar ruta para guardar temporalmente la imagen. ............... 135
Ilustración 25. Asignar ruta, nombre y nivel de compresión luego seleccionar Finish
................................................................................................................................ 136
Ilustración 26. Esperar creación de imagen forense ............................................... 136
Ilustración 27. Resolución a Solicitud de Información (2019) Fuente: Elaboración
propia. ..................................................................................................................... 147
Ilustración 28. Resolución a Solicitud de Información (2019) Fuente: Elaboración
propia. ..................................................................................................................... 148
Ilustración 29. Respuesta a Solicitud de Información (2019) Fuente: Elaboración
propia. ..................................................................................................................... 149
Ilustración 30. Respuesta a segunda solicitud de información (2019) Fuente:
Elaboración propia. ................................................................................................. 150
Ilustración 31. Respuesta a segunda solicitud de información (2019) Fuente:
Elaboración propia. ................................................................................................. 151
11
Índice de tablas
Tabla 1. Instituciones de educación superior con carreras y / o materias relacionadas

con la auditoría informática forense. ......................................................................... 93
Tabla 2. Software especializado utilizado por la SDT. ............................................ 105
Tabla 3. Hardware especializado utilizado por la SDT. ........................................... 106
Tabla 4. Flujograma de Proceso de Auditoría Informática Forense. ....................... 126
12
Glosario de términos
 Acto Ilícito: es una conducta que transgrede las imposiciones específicas

establecidas en una norma jurídica.
 Alta Disponibilidad: se refiere a sistemas que están disponibles las 24 horas
al día, 7 días a la semana, 365 días al año.
 Amenazas de un Sistema Informático: pueden provenir desde un hacker
remoto que entra en un sistema, se pueden clasificar por tanto en amenazas
provocadas por personas, lógicas y físicas.
 Amenazas Físicas: son los robos, sabotajes, destrucción de sistemas,
suministro eléctrico, condiciones atmosféricas, catástrofes naturales, entre
otras (López P. A., 2010).
 Amenazas Lógicas: software incorrecto; principalmente son dos cosas, los
errores de programación a los que se llama Bugs y los programas que sirven
para aprovechar uno de estos fallos y se les llama Exploits.
 Análisis Forense: es un conjunto de técnicas, cuya utilidad radica en extraer
información valiosa de medios de almacenamiento magnético (discos y otros
dispositivos), sin alterar el estado de estos; de esta forma permite realizar una
búsqueda de datos, intentando hallar un comportamiento o patrón
predeterminado o descubrir información que se encontraba oculta.
 Antropométricas: es el tratado de las proporciones y medidas del cuerpo
humano.
 Auditoría Informática Forense: es un proceso técnico especializado, que sirve
de apoyo a los entes encargados de la investigación de un hecho delictivo,
presentando elementos que permitan inculpar y juzgar a un autor o autores de
un hecho determinado.
 Auditoría: se define como un proceso sistemático de obtener y evaluar los
registros, documentos, entre otros, de un individuo o empresa a fin de verificar
su estado.
 Autenticación: es la capacidad de demostrar que un usuario o una aplicación,
es realmente quién dicha persona y/o aplicación asegura ser.
13
 Bien Jurídico Protegido: es la información que garantice y proteja el ejercicio
de derechos fundamentales como la intimidad, honor, integridad sexual,
propiedad, propiedad intelectual, seguridad pública, entre otros.
 Bugs: Un error de software, error o simplemente fallo es un problema en un
programa de computador o sistema de software que desencadena un resultado
indeseado.
 Caballo de Troya: Es un software malicioso que opera como un programa
legítimo inofensivo y útil para el usuario, pero que una vez acceda a la máquina
del usuario inicia la destrucción de los programas instalados y obtiene acceso a
toda la información contenida en la computadora.
 Cadena de Custodia: se refiere al registro (documento), ineludible que debe
hacerse siempre, sobre la posesión y custodia de los indicios encontrados en el
lugar de la investigación, desde que son descubiertos, transportados y
analizados en el laboratorio hasta su destino final de depósito.
 Ciberdelincuencia: son los delitos asociados con la prevalencia de
computadoras (por ejemplo, violación de derechos de autor, piratería de
software, robo de componentes).
 Ciberofensor: se desplazan del espacio físico al escenario virtual, y de este
modo se manifiesta en sitios como redes sociales, chats, foros, correo
electrónico, páginas web, blogs, videojuegos, entre otros; que incluyen
actuaciones de chantaje, vejaciones e insultos hacia otras personas.
 Computación Forense: es una rama de la ciencia forense digital, cuya razón
de ser, es fundamentar adecuadamente los correctos y estrictos procesos, que
conducen a satisfacer los requerimientos legales en el ámbito digital de los
sistemas judiciales.
 Comunicación Electrónica: es toda transmisión de datos informáticos, cuyo
contenido puede consistir en audio, texto, imágenes, videos, caracteres
alfanuméricos, signos, gráficos de diversa índole o cualquier otra forma de
expresión equivalente, entre un remitente y un destinatario a través de un
sistema informático y las demás relacionadas con las Tecnologías de la
Información y la Comunicación.
14
 Confidencialidad: se trata de la cualidad que debe poseer un documento o
archivo para que éste solo se entienda de manera comprensible o sea leído por
la persona o sistema que esté autorizado. Un ejemplo de control de la
confidencialidad sería el uso cifrado de clave simétrica en el intercambio de
mensajes.
 Crackers: es un término más preciso para describir una persona, que intenta
obtener acceso no autorizado a los recursos de la red, con intención maliciosa.
 Criminología: es una ciencia humana e interdisciplinaria que tiene como
objetivo el estudio del delincuente, el lugar de los hechos, el delito, las
conductas desviadas, el control social, con relación al delito mismo, sin dejar de
lado del todo a la víctima, la cual será en todo caso objeto total de estudio.
 Criminólogo: es el profesional que se encarga del estudio de la delincuencia,
su prevención y tratamiento, a través de la disciplina de la criminología.
 Datos Informáticos: es cualquier representación de hechos, información o
conceptos en un formato digital o análogos, que puedan ser almacenados,
procesados o transmitidos en un sistema informático, cualquiera que sea su
ubicación, así como las características y especificaciones que permiten
describir, identificar, descubrir, valorar y administrar los datos.
 Datos Personales Sensibles: son los que corresponden a una persona en lo
referente al credo, religión, origen étnico, filiación o ideologías políticas,
afiliación sindical, preferencias sexuales, salud física y mental, situación moral,
familiar y otras informaciones íntimas de similar naturaleza o que pudieran
afectar el derecho al honor, a la propia imagen, a la intimidad personal y familiar.
 Datos Personales: es la información privada concerniente a una persona,
identificada o identificable, relativa a su nacionalidad, domicilio, patrimonio,
dirección electrónica, número telefónico u otra similar.
 Datos: es el conjunto de información lógica; los datos constituyen el elemento
que es el más amenazado y seguramente el más difícil de recuperar.
 Delito Cibernético: es toda aquella acción antijurídica que se realiza en el
espacio digital o de internet.
15
 Delito Informático: se considerará la comisión de este delito, cuando se haga
uso de las Tecnologías de la Información y la Comunicación, teniendo por objeto
la realización de la conducta típica y antijurídica para la obtención, manipulación
o perjuicio de la información.
 Disponibilidad: se resume como la capacidad de un servicio, datos o de un
sistema a ser accesible y aprovechable para los usuarios o procesos
autorizados cuando lo requieran. También se refiere a la capacidad de que la
información pueda ser recobrada en el momento que se necesite.
 Dispositivo: es cualquier mecanismo, instrumento, aparato, medio que se
utiliza o puede ser utilizado para ejecutar cualquier función de la Tecnología de
la Información y la Comunicación.
 Drones: son aeronaves no tripuladas que se controlan de forma remota.
 Enrutadores: (Router), se trata de un producto de hardware que permite
interconectar computadoras que funcionan en el marco de una red.
 Espionaje Informático: según el art. 12, Decreto 260, LEY ESPECIAL
CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; el que con fines
indebidos obtenga datos, información reservada o confidencial contenidas en
un sistema que utilice las Tecnologías de la Información y la Comunicación o
en cualquiera de sus componentes.
 Estafa Informática: según el art. 10, Decreto 260, LEY ESPECIAL CONTRA
LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; el que manipule o influya
en el ingreso, el procesamiento o resultado de los datos de un sistema que
utilice las Tecnologías de la Información y la Comunicación, ya sea mediante el
uso de datos falsos o incompletos, el uso indebido de datos o programación,
valiéndose de alguna operación informática o artificio tecnológico o por
cualquier otra acción que incida en el procesamiento de los datos del sistema o
que dé como resultado información falsa, incompleta o fraudulenta, con la cual
procure u obtenga un beneficio patrimonial indebido para sí o para otro.
 Exámenes Serológicos: es el estudio que permite comprobar la presencia de
anticuerpos en la sangre.
16
 Exploits: programas que sirven para aprovechar los fallos en la programación
conocidos como bugs, de un sistema, programa o aplicación informática.
 Firewalls: es un sistema de defensa basado en el hecho de que todo el tráfico
de entrada o salida a la red debe pasar obligatoriamente por un sistema de
seguridad capaz de autorizar, denegar, y tomar nota de todo aquello que ocurre,
de acuerdo con una política de control de acceso entre redes.
 Forense: De la administración de justicia o relacionado con ella.
 Fraude Informático: según el art. 11, Decreto 260, LEY ESPECIAL CONTRA
LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; el que por medio del uso
indebido de las Tecnologías de la Información y la Comunicación, valiéndose
de cualquier manipulación en sistemas informáticos o cualquiera de sus
componentes, datos informáticos o información en ellos contenida, consiga
insertar instrucciones falsas o fraudulentas que produzcan un resultado que
permita obtener un provecho para sí o para un tercero en perjuicio ajeno.
 Gigabytes: es una unidad de almacenamiento de información cuyo símbolo es
el GB, equivalente a 109(1 000 000 000 -mil millones-) de bytes.
 Grafoscópicas: es la prueba que determinar la autenticidad o la falsedad del
origen de un manuscrito o de una firma.
 Gusanos: son programas capaces de ejecutarse y propagarse por sí mismos a
través de redes, en ocasiones portando virus o aprovechando bugs de los
sistemas a los que se conectan para dañarlos, al ser difíciles de programar no
soy muy comunes pero el daño que causan es grave.
 Hackeo: este hace referencia a las actividades que buscan comprometer los
dispositivos digitales, como ordenadores, teléfonos inteligentes, tabletas e
incluso redes enteras.
 Hacker: es alguien que descubre las debilidades de un computador o un
sistema de comunicación e información, aunque el término puede aplicarse
también a alguien con un conocimiento avanzado de computadoras y de redes
informáticas.
 Hardware: entendemos el conjunto de todos los elementos físicos de un
sistema informático.
17
 Holístico(a): La holística es aquello perteneciente al holismo, una tendencia o
corriente que analiza los eventos desde el punto de vista de las múltiples
interacciones que los caracterizan.
 Hubs: (Concentrador), es un elemento de red que sirve para conectar varios
equipos entre sí.
 Hurto por medios Informáticos: según el art. 13, Decreto 260, LEY ESPECIAL
CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; el que por
medio del uso de las Tecnologías de la Información y la Comunicación, se
apodere de bienes o valores tangibles o intangibles de carácter personal o
patrimonial, sustrayéndolos a su propietario, tenedor o poseedor, con el fin de
obtener un provecho económico para sí o para otro.
 Imagen forense: Llamada también "Espejo", la cual es una copia bit a bit de un
medio electrónico de almacenamiento. En la imagen quedan grabados los
espacios que ocupan los archivos, áreas borradas incluyendo particiones
escondidas.
 Informática Forense: rama de las ciencias forenses, disciplina auxiliar a la
justicia, que consiste en la aplicación de técnicas que permiten adquirir, validar,
analizar y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional.
 Integridad: es la cualidad que posee un documento o archivo que no ha sido
alterado y que, además, permite comprobar que no se ha producido
manipulación alguna en el documento original.
 Interceptar: es la acción de apropiarse, interrumpir, escuchar o grabar datos
informáticos contenidos o transmitidos en cualquier medio informático antes de
llegar a su destino.
 Manipulación de Servicio: según el art. 15, Decreto 260, LEY ESPECIAL
CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; los
Administradores de las Plataformas Tecnológicas de instituciones públicas o
privadas, que deshabiliten, alteren, oculten, destruyan, o inutilicen en todo o en
parte cualquier información, dato contenido en un registro de acceso, uso de los
componentes de éstos.
18
 Material Pornográfico de Niñas, Niños y Adolescentes: es toda
representación auditiva o visual, ya sea en imagen o en vídeo, adoptando un
comportamiento sexualmente explícito, real o simulado de una persona que
aparente ser niña, niño o adolescente adoptando tal comportamiento.
 Medio de Almacenamiento de Datos Informáticos: es cualquier dispositivo a
partir del cual la información es capaz de ser leída, grabada, reproducida o
transmitida con o sin la ayuda de cualquier otro medio idóneo.
 Memory Stick: son un tipo de familia memoria flash removible, lanzadas
por Sony en octubre de 1998. Sus principales formatos competidores son
Compact Flash (CF) y Secure Digital (SD), (memorias de almacenamiento).
 No repudio de Destino: el receptor no puede negar que recibió el mensaje,
porque el emisor tiene pruebas de la recepción.
 No repudio en Origen: el emisor no puede negar el envío, porque el
destinatario tiene pruebas del mismo, el receptor recibe una prueba infalsificable
del envío.
 No Repudio: es un servicio de seguridad, estrechamente relacionado con la
autenticación y que permite probar la participación de las partes en una
comunicación.
 Órgano Judicial: es uno de los tres órganos del Estado al cual le corresponde
la administración de justicia (juzgar, ejecutar), (según la Constitución de la
República en el artículo 172 dice: La Corte Suprema de Justicia, las Cámaras
de Segunda Instancia y los demás Tribunales que establezcan las leyes
secundarias, integran el Órgano Judicial.) el cual ejerce el Poder Judicial en la
República de El Salvador.
 Panamá Papers: famoso caso sobre la filtración de información confidencial,
que involucraba a personalidades con grandes capacidades económicas, entre
ellos políticos y empresarios salvadoreños.
 Perito: es un profesional que posee conocimientos especializados, suministra

información u opinión fundada a los tribunales de justicia sobre los puntos
litigiosos que son materia de su dictamen. Según el artículo 227, Decreto N°
733, Código Procesal Penal, 2008. Los peritos deberán tener título en la materia
19
a que pertenezca el punto sobre el que han de pronunciarse, siempre que la
profesión, arte o técnica estén reglamentadas. En caso contrario, podrá
designarse a personas de idoneidad manifiesta. También podrá designarse a
un perito con título obtenido en el extranjero cuando posea una experiencia o
idoneidad especial.
 Peritos Accidentales: son los que nombra la autoridad judicial para una pericia
determinada.
 Peritos Permanentes: son:
a) Los directores o jefes de los centros asistenciales del Estado o los que
aquéllos designen.
b) Los especialistas de las facultades y escuelas de la Universidad de El
Salvador y de las dependencias del Estado e instituciones oficiales
autónomas.
c) miembros de cualquier asociación o institución cuya finalidad sea el
estudio o análisis de la medicina legal y de las ciencias forenses, que
desempeñen algún cargo o empleo público.
d) Los nombrados por la Corte Suprema de Justicia en el Instituto de
Medicina Legal o en cualquier otra dependencia de la misma.
e) Los técnicos y especialistas de la Policía Nacional Civil.
 Proceso Judicial: es el conjunto de actos jurídicos que se llevan a cabo para
aplicar la ley a la resolución de un caso.
 Programa Informático: es la rutina o secuencia de instrucciones en un
lenguaje informático determinado que se ejecuta en un sistema informático,
pudiendo ser éste un ordenador, servidor o cualquier dispositivo, con el
propósito que realice el procesamiento y comunicación de los datos
informáticos.
 Programas Conejo o Bacterias: bajo este nombre se conoce a un programa
que no hace nada útil, sino, que simplemente se delimita a reproducirse, hasta
que el número de copias acaba con los recursos del sistema, produciendo una
negación del servicio.
20
 Proveedor de Servicios: es la persona natural o jurídica que ofrece uno o más
servicios de información o comunicación por medio de sistemas informáticos,
procesamiento o almacenamiento de datos.
 Redes Sociales: es la estructura o comunidad virtual que hace uso de medios
tecnológicos y de la comunicación para acceder, establecer y mantener algún
tipo de vínculo o relación, mediante el intercambio de información.
 Seguridad en Redes: es el que tiene el objetivo de mantener el intercambio de
información libre de riesgo y proteger los recursos informáticos de los usuarios
y las organizaciones.
 Seguridad Física: consiste en la aplicación de barreras físicas y
procedimientos de control como medidas de prevención y contra medidas ante
amenazas a los recursos y la información confidencial, se refiere a los controles
y mecanismos de seguridad dentro y alrededor de la obligación física de los
sistemas informáticos.
 Seguridad Informática: consiste en asegurar que los recursos del sistema de
información de una organización, se utilizan en la manera que se decidió y que
el acceso a la información contenida, así como su modificación solo sea posible
por parte de las personas que se encuentren autorizadas y dentro de los límites
de su acreditación.
 Sistema Informático: es un elemento o grupo de elementos interconectados o
relacionados, pudiendo ser electrónicos, programas informáticos, enlaces de
comunicación o la tecnología que en el futuro los reemplace, orientados al
tratamiento y administración de datos e información.
 Software: entendemos el conjunto de programas lógicos que hacen funcionar
el hardware, tanto sistemas operativos como aplicaciones.
 Switch: es un dispositivo que conecta varios elementos dentro de una red.
 Tarjeta Inteligente: es el dispositivo que permite mediante la ejecución de un
programa la obtención de bienes, servicios, propiedades o información.
 Técnicas de Negación de Servicio: según el art. 14, Decreto 260, LEY
ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; el
que, de manera intencionada, utilizando las técnicas de la denegación de
21
servicio o prácticas equivalentes que afectaren a los usuarios que tienen
pertenencia en el sistema o red afectada, imposibilite obtener el servicio.
 Tecnologías de la Información y la Comunicación: es el conjunto de
tecnologías que permiten el tratamiento, la comunicación de los datos, el
registro, presentación, creación, administración, modificación, manejo,
movimiento, control, visualización, distribución, intercambio, transmisión o
recepción de información en forma automática, de voz, imágenes y datos
contenidos en señales de naturaleza acústica, óptica o electromagnética, entre
otros.
 Tráfico de Datos Informáticos: son aquellos que se transmiten por cualquier
medio tecnológico, pudiendo mostrar el origen, destino, ruta, hora, fecha,
tamaño, duración de la comunicación, entre otros.
 Troll Center: en el año 2015, en El Salvador se dio a conocer lo que se
denominó como caso “Troll Center”, el cual consistió, en dos ataques de
clonación del sitio web de el periódico salvadoreño La Prensa Gráfica.
 Unidad de Navegación por Satélite: estas pueden contener pruebas cruciales
relativas a los movimientos de un sospechoso y descartar hipótesis hechas por
el investigador basadas en reportes externos de ubicación, como publicaciones
falsas en redes sociales por parte del ciberofensor.
 Valores Hash: son algoritmos que consiguen crear a partir de una entrada (ya
sea un texto, una contraseña o un archivo), una salida alfanumérica de longitud
normalmente fija, que representa un resumen de toda la información que se le
ha dado, a partir de los datos de la entrada crea una cadena que solo puede
volverse a crear con esos mismos datos.
 Virus: es una secuencia de código que se inserta en un fichero ejecutable
denominado huésped, de manera que cuando el archivo se ejecuta el virus
también lo hace, insertándose a sí mismo en otros programas.
 Vulnerabilidad: (en términos de informática), es una debilidad o fallo en un
sistema de información que pone en riesgo la seguridad de la información
pudiendo permitir que un atacante pueda comprometer la integridad,
disponibilidad o confidencialidad de la misma.
22
 Wikileaks: (del inglés leak, “fuga”, “goteo”, “filtración [de información]”), es una
organización mediática internacional sin ánimo de lucro, que publica a través de
su sitio web, informes anónimos y documentos filtrados con contenido sensible
en materia de interés público, preservando el anonimato de sus fuentes.
Siglas
 ANSP: Academia Nacional de Seguridad Publica

 ABA ROLI: Asociación de la Barra Americana de Abogados (por sus siglas en
inglés, ABA)
 BIOS: Sistema Básico de Entrada y Salida (en inglés, Basic Input/Output
System; BIOS)
 CART: Análisis de Informática y Equipo de Respuesta (en inglés, Computer
Analysis and Response Team; CART)
 CEO: Director Ejecutivo, (en inglés, Chief Executive Officer; CEO)
 CIA: Agencia Central de Inteligencia (en inglés, Central Intelligence
Agency; CIA)
 Cn.: Constitución de la Republica de El Salvador
 COBIT: Objetivos de Control para la Información y Tecnologías Relacionadas
(en inglés, Control Objectives for Information and related Technology; COBIT)
 CPP: Código Procesal Penal.
 CPU: Unidad Central de Proceso (en inglés, Central Processing Unit; CPU)
 DVD: Disco Versátil Digital, (en inglés, Digital Versatile Disc; DVD)
 ESFE: Escuela Superior Franciscana Especializada
 FBI: Oficina Federal de Investigaciones (en inglés, Federal Bureau of
Investigation; FBI)
 FEPADE: Fundación Especial para El Desarrollo
 FGR: Fiscalía General de la República
 ICTAP: Plan de Asistencia de Transición Profesional Interinstitucional, (en
inglés, Inter-institutional Professional Transition Assistance Plan, ICTAP)
 ID: Identificación (en inglés, Identification; ID)
23
 IDS: Sistema de Detección de Intrusiones, (en inglés, Intrusion Detection
System; IDS)
 INL: Asuntos Narcóticos y Aplicación de la Ley, (por sus siglas en inglés INL)
 INTERPOL: Policía Internacional
 IRS: División de Investigación Criminal del Servicio de Impuestos Internos
 ISACA: Asociación de Auditoría y Control de Sistemas de Información (en
inglés, Information Systems Audit and Control Association; ISACA)
 ISO: Organización Internacional por la Normalización (en inglés, International
Organization for Standardization; ISO)
 ISP: Proveedor de Servicios de Internet, (en inglés, Internet service provider;
ISP)
 ITCA: Instituto Tecnológico Centroamericano
 ITCHA: Instituto Tecnológico de Chalatenango
 ITIL: Biblioteca de Infraestructura de Tecnologías de la Información (en inglés,
Information Technology Infraestructure Library; ITIL)
 JES: Sociedad de Educación y Justicia (en inglés, Justice Education Society)
 NSA: Agencia Nacional de Seguridad (en inglés, National Security Agency;
NSA)
 PHVA: Es el ciclo de mejora continua, Planear, Hacer, Verificar y Actuar.
 PNC: Policía Nacional Civil
 SDT: Sección de Delitos Tecnológicos
 SGC: Sistema de Gestión de la Calidad
 SIN: Subdirección de Investigaciones
 SIAT, S.A de C.V: Servicio Integral de Asistencia Técnica, Sociedad Anónima
de Capital Variable
 TI: Tecnología de Información
 UCA: Universidad Centroamericana José Simeón Cañas
 UCAD: Universidad Cristiana de las Asambleas de Dios
 UDB: Universidad Don Bosco
 UDI: Unidad de Delitos Informáticos
24
 UEES: Universidad Evangélica de El Salvador
 UES: Universidad de El Salvador
 UFG: Universidad Francisco Gavidia
 UGB: Universidad Capitán General Gerardo Barrios
 UJMD: Universidad Dr. José Matías Delgado
 ULS: Universidad Luterana de El Salvador
 UMA: Universidad Modular Abierta
 UMOAR: Universidad Oscar Arnulfo Romero
 UNAB: Universidad Andrés Bello
 UNICAES: Universidad Católica de El Salvador
 UNIVO: Universidad de Oriente
 UNODC: Oficina de Naciones Unidas contra la Droga y el Delito
 UNICEF: Fondo de las Naciones Unidas para la Infancia
 UPED: Universidad Pedagógica de El Salvador
 UPES: Universidad Politécnica de El Salvador
 USAM: Universidad Salvadoreña Alberto Masferrer
 USB: Puerto de Seriado Universal, conocida como “Memoria Flash” (en inglés,
Universal Serial Bus; USB)
 USO: Universidad de Sonsonate
 UTEC: Universidad Tecnológica de El Salvador
25
Introducción
Actualmente el Órgano Judicial, que es el encargado de aplicar justicia en El Salvador,

según el Art. 172 del Decreto N° 38, es decir la Constitución de la República de El
Salvador, Cn. Y los entes auxiliares, Fiscalía General de la República, FGR y Policía
Nacional Civil, PNC, en cuanto a la investigación del delito, según Art. 193 ord 3 Cn.
Tienen algunos vacíos en cuanto al conocimiento y la información, que aportan los
sistemas informáticos en las investigaciones, que mediante procedimientos y
principios, que se rigen por las buenas prácticas para el manejo de evidencia y
entornos digitales, aceptados ampliamente por la comunidad técnico científica de
expertos, a nivel internacional y respaldados por los procedimientos internos de la
División de Policía Técnica y Científica, de la PNC; utilizando además programas y
equipo forense, avalados de igual manera por la comunidad técnico científica de
expertos internacionales, en cuanto a la extracción de información, cuidando su
autenticidad, de eventos generados digitalmente, poniéndola a disposición en un
procesos judicial, para su valoración o análisis.
El acelerado avance tecnológico de las últimas décadas, no solo ha traído desarrollo

y crecimiento económico a El Salvador, cierto que ahora es más fácil realizar diferentes
transacciones, administrar tiendas en línea, negocios, comunicaciones y
almacenamiento de datos, pero también aparecieron una gran cantidad de hechos
ilícitos, que los delincuentes realizan, valiéndose precisamente de estas nuevas
tecnologías. Es necesario comprender que este tipo de actos ilícitos no son exclusivos
de los negocios que exportan, importan, venden o trabajan con equipo informático,
sino, puede afectar a cualquier ciudadano, empresa privada o institución
gubernamental, es decir cualquier persona que tenga acceso a un dispositivo
informático, incluyendo celulares, tabletas y otros.
La auditoría informática forense, es cada día más necesaria y su importancia crece, a

medida que avanza la tecnología informática; e involucra principalmente a
profesionales especialistas del área informática, derecho y otras carreras legalmente
establecidas; y que, utilizando principios y técnicas aprobadas internacionalmente,
26
permiten obtener información íntegra de los soportes informáticos, los cuales son
puestos a disposición en un proceso judicial, para su valoración o análisis. El hecho
de entender los procesos de la auditoría informática forense, será de mucha ayuda
para el Órgano Judicial y los entes auxiliares de investigación, como es la FGR y la
PNC, pues conocerán de las metodologías y equipo forense utilizado, para la
extracción de la información en los equipos informáticos; así mismo las metodologías
utilizadas por algunas personas, para realizar actos que trasgreden la ley, con la
utilización de equipo informático.
27
Capítulo 1. El problema
1.1 Planteamiento del problema
La investigación propuesta, es con el fin de aportar conocimiento en el área

tecnológica, enfocada desde el punto de vista informático y su importancia en la
aplicación, para presentarle al Órgano Judicial, con la ayuda del soporte técnico
eventos procesados digitalmente en un sistema informático y que sirvan como aporte
en los procesos judiciales en El Salvador, en cuanto a la adquisición, preservación,
obtención y presentación de información procesada digitalmente y almacenada en
soportes informáticos. Colaborando con esto al Órgano Judicial y las instituciones que
lo auxilian, en la investigación de hechos ilícitos y por ende aportando desde el
conocimiento informático a la sociedad salvadoreña.
La investigación incluye, describir brevemente, algunos softwares forenses, utilizados

en estos procesos y que son usados por las entidades del estado, dedicadas a
colaborar en la búsqueda de pruebas, para la aplicación de justicia en el Órgano
Judicial; así como una explicación breve de la función que estos realizan.
1.2 Enunciado del problema
¿Hasta qué nivel, la falta de un proceso sistematizado para realizar auditorías

informáticas forenses; ¿afecta o retrasa, el esclarecimiento de los hechos delictivos
realizados digitalmente, en un sistema informático en El Salvador o desde cualquier
parte del mundo, pero realizándose a través de medios de El Salvador?
1.3 El tema
Diseño de proceso de auditoria informática forense y su utilidad en el Sistema Judicial

de El Salvador.
28
1.4 Antecedentes
El flagelo mundial de los actos ilícitos, utilizando equipos informáticos, cada día se está
transformando en un fenómeno de múltiples cambios y mutación permanente,
optimizando su capacidad de adaptación, a toda clase de sistemas de control que se
interpongan a su paso. Una de las particularidades que posee, es su vínculo y progreso
asociado al arrasador avance informático y tecnológico del siglo XXI. Como
consecuencia de ello, los actos ilícitos cometidos utilizando equipos informáticos,
adquieren versatilidad, imponiéndose en cualquier nación o continente, sin importar
idioma, raza, cultura o religión, es decir, sin ninguna clase de impedimentos que
vulneren su existencia o que impidan su devastador avance. Los actos ilícitos
utilizando equipos informáticos, no son un fenómeno estático; la sociedad está en
constante evolución y permanentemente surgen nuevas modalidades de delitos.
Además, la delincuencia adapta su comportamiento en función de los sistemas de
control existentes, por lo que, si éstos permanecen invariables, la eficacia de los
controles se reduce considerablemente.
Por lo tanto, es menester adquirir capacitación, destrezas y habilidades suficientes,

que permitan detectar en tiempo y forma toda clase de conductas delictivas. Frente a
esta situación, diversos países están desarrollando nuevas técnicas de prevención y
judicialización del delito, entre ellas la auditoría informática forense, cuyo alcance se
desarrolla en todos aquellos casos, que conlleven la utilización de equipos informáticos
para cometer un acto ilícito, como puede ser pornografía infantil, estafa, violación de
derechos de autor y otros, ampliando considerablemente su espectro de trabajo, en la
investigación de delitos relacionados con la utilización de equipo tecnológico. Como se
visualiza en este mundo globalizado, el avance tecnológico y las nuevas tecnologías
han venido a ser parte importante en todos los procesos que se realizan, siendo las
computadoras y otros equipos informáticos, herramientas de gran aporte al desarrollo
de la humanidad y que a la vez, son o han sido utilizadas para realizar actividades que
en ocasiones son catalogadas como acciones delictivas, dejando siempre algún tipo
de rastro o huella en su sistema y que utilizando técnicas y software especiales,
29
durante la investigación se recupera información de mucha utilidad, para los procesos
judiciales. Hablando de la historia reciente o al adentrarse a un contexto más
contemporáneo, es posible hacer mención de algunos casos muy conocidos, en donde
la principal herramienta para realizar actividades ilegales, han sido los sistemas y
equipos informáticos, por ejemplo, se tiene:
El interesante caso de Julian Assange, un australiano, fundador del portal Wikileaks,

que por filtrar documentos secretos del ejército de Estados Unidos, estuvo recluido en
la embajada ecuatoriana en Londres por 7 años, desde el 19 de junio de 2012, hasta
el 11 de abril de 2019, debido a que en noviembre de 2010, Wikileaks difundió a un
grupo de periódicos de diversos países, filtraciones de documentos secretos del
Departamento de Estado, de Estados Unidos, sobre las guerras en Irak y Afganistán,
que revelaban violaciones a los derechos humanos, por parte de las tropas
estadounidenses. Assange fue arrestado el 11 de abril del año 2019 (Sampayo, 2019).
Otro caso muy sonado, fue el de Edward Snowden, ex técnico de la CIA, que trabajó
para la Agencia Nacional de Seguridad, (NSA); el 6 de junio 2013 hizo públicos
documentos y programas, que revelaban espionaje de los Estados Unidos en las
comunicaciones a diferentes países, entre ellos a Hong Kong y china, desatándose
una crisis diplomática con muchos países. Hasta la fecha, se mantiene tal situación.
Snowden, solicitó asilo a una decena de países, entre ellos Venezuela y Nicaragua,
finalmente recibió asilo temporal por un año en Rusia, el cual le ha sido extendido
hasta 2020 (El País, 2013).
En 2016, sale a la luz el caso conocido como Panamá Papers, (la firma legal panameña
Mossak Fonseca), sociedad offshore, que ayudó a clientes a lavar dinero, esquivar
sanciones y evadir impuestos. En éste caso, se filtró información confidencial, que
involucraba a personalidades con grandes capacidades económicas, entre ellos
políticos y empresarios salvadoreños (Llorente, 2016).
30
En el año 2015, en El Salvador se dio a conocer lo que se denominó como caso Troll
Center, el cual consistió, en dos ataques de clonación del sitio web de el periódico
salvadoreño La Prensa Gráfica, uno el 8 de julio de 2015 y el segundo el 22 de julio
del mismo año, aparecieron los nombres de Mayra Morán y Andrés Marín, quienes
compraron los dominios para colgar ahí, los sitios falsos. Se vinculó con este acto
ilícito, al entonces alcalde de San Salvador, Nayib Armando Bukele; en parte gracias
a este famoso caso, se terminó de impulsar en El Salvador, la Ley Especial de Delitos
Informáticos y Conexos (López, 2017).
También, pueden mencionarse los procesos en los que se ha visto involucrado el

actual presidente de los Estados Unidos, en donde se menciona intervención de Rusia,
para ayudar a que ganara las elecciones (Gallego, 2019).
De igual forma los problemas que tuvo la candidata Hilary Clinton, por el uso que le
dio a su correo electrónico personal, enviando documentos clasificados (Mars, 2018).
1.5 Objetivos
1.5.1 Objetivo general
Proporcionar el diseño del proceso necesario, para la realización de una auditoría

informática forense y su utilidad, para contribuir en el esclarecimiento de posibles
delitos, que estén relacionados con el uso de equipos informáticos, robusteciendo las
decisiones del Sistema Judicial de El Salvador.
1.5.2 Objetivos específicos
 Proporcionar el perfil, que debe acreditar el profesional encargado de realizar

una auditoría informática forense, en un proceso judicial en El Salvador.
 Proporcionar información factible y veraz, sobre la metodología utilizada en los

procesos necesarios, para la realización de una auditoría informática forense.
31
 Describir algunas herramientas, tanto software (programas), como hardware
(equipo informático especializado), necesarias para realizar el proceso de una
auditoría informática forense.
 Describir la metodología de obtención de datos informáticos, con la aplicación

de valores hash, para robustecer la fidelidad y autenticidad de estos, en el
proceso de una auditoría informática forense.
1.6 Justificación
La realización de la investigación, sobre el diseño de proceso de auditoria informática

forense y su utilidad en el Sistema Judicial de El Salvador, es de suma importancia,
teniendo en cuenta que en el medio, existen muy pocas investigaciones de primera
mano, acerca de este tema; así como la poca difusión de dichos temas o porque se
desconoce de las entidades u órganos que los realizan; valorando de esta manera la
importancia que tiene los conocimientos adquiridos en la carrera de Ingeniería en
Ciencias de la Computación y otras afines; aportando desde la especialidad
informática, al desarrollo del conocimiento técnico científico, tanto para el Órgano
Judicial como a los entes auxiliares, FGR y PNC, encargados de dirigir la investigación
de hechos ilícitos en territorio salvadoreño.
1.7 Limitantes
1.7.1 Delimitación temática
La obtención de la información, relacionada a los procesos de una auditoría informática

forense, resulta ser muy escasa y difícil de encontrar en El Salvador, pocas entidades
de estudios superiores, han elaborado tesis o artículos referentes a la temática.
Del mismo modo, en las instituciones encargadas de realizar auditoría informática

forense, existe poca colaboración a la hora de otorgar información al respecto, esto es
una limitante sumamente grande, pues se manipula información de carácter
32
confidencial; es por ello, que se considera necesario y oportuno realizar este tipo de
investigación, precisamente por la poca información existente respecto al tema.
1.7.2 Delimitación espacial
La presente investigación, se desarrolló en el territorio salvadoreño, en el Órgano

Judicial, institución encargada de aplicar justicia, la FGR y la PNC, entidades
encargadas de auxiliarle dirigiendo la investigación de posibles actos delictivos.
1.7.3 Delimitación temporal
La investigación de este trabajo retoma información de casos atendidos por la División

de Policía Técnica y Científica de la PNC, a partir del año 2016 hasta datos,
estadísticas e información del 2018.
1.8 Alcances
Proporcionar el diseño del proceso de auditoría informática forense, debidamente

documentada, a los entes del estado, encargados de perseguir el delito, que estén
interesados en conocer, sobre esta metodología y desde su aplicación, brinde o facilite
una prueba técnica fehaciente, acerca de los eventos encontrados en equipos
tecnológicos, mediante las pruebas científicas.
El área geográfica que alcanza esta investigación, es el territorio salvadoreño y es

desarrollada, bajo la legislación vigente; sin embargo, también debe considerarse las
investigaciones que desde el extranjero se soliciten a El Salvador, ya sea por actos
ilícitos, utilizando equipos informáticos, cometidos desde El Salvador, cuya
repercusión es percibida en el extranjero o viceversa.
1.9 Hipótesis
1. Proporcionar información, sobre el proceso necesario para realizar una auditoría

informática forense y la aplicación de este, en la cual aumentará la eficiencia, a la
33
hora de esclarecer actos ilícitos, relacionados con el uso de equipos informáticos y
robustecerá el Sistema Judicial de El Salvador.
2. La aplicación de auditoría informática forense, en los procesos judiciales, facilitará

el esclarecimiento de los actos ilícitos, que se cometen utilizando equipo
informático.
34
Capítulo 2. Marco teórico
2.1 Marco conceptual
La auditoría informática forense, está en desarrollo y su aplicación se hace inminente,

dado el crecimiento del uso de la informática en el mundo, en todos los contextos de
la sociedad, laboral, comercial, ocio, educacional, entre otros; esto hace que exista
una nueva modalidad de hechos delictivos, donde la principal herramienta es la
computadora o la tecnología.
Es por eso, que surge en El Salvador, la necesidad de estudiar y analizar el estado de

la informática forense y su aplicación en los hechos delictivos. El Salvador experimenta
una amplia variedad de ilícitos informáticos, siendo este uno de los problemas que
afectan a la ciudadanía y que tienen lugar en todo el mundo. Este tipo de ilícitos,
perjudican a todos los sectores de la población, desde empresarios a ciudadanos
comunes, pues todo tipo de violencia interrumpe las posibilidades de desarrollo de un
país. Por esta razón, la auditoria informática forense en El Salvador, conlleva el diseño
de procesos a seguir, para extraer la información contenida en los equipos informáticos
y este resultado es analizado, para seleccionar la información de interés. En este
trabajo de investigación, se expone, como se encuentra el desarrollo de la auditoria
informática forense y su utilidad en el Sistema Judicial de El Salvador.
La auditoría informática forense, es un proceso técnico especializado, que sirve de

apoyo a los entes encargados de la investigación de un hecho delictivo, presentando
elementos que permitan inculpar y juzgar a un autor o autores de un hecho
determinado.
Del mismo modo, esta investigación muestra la situación actual en tanto a la educación
superior en El Salvador, presentando las mallas curriculares de algunas de las
universidades, escuelas e institutos superiores y también de las escuelas e institutos
técnicos que imparten diplomados, maestrías, cursos y carreras relacionadas con la
35
informática, mostrando en la realidad comprobable, si dichas instituciones de
educación superior, están considerando o no, la importancia de la auditoría informática
forense y están preparando especialistas con conocimientos sólidos, que en un futuro
puedan realizar estas actividades en su campo profesional.
La informática forense, es la ciencia de adquirir, conservar, obtener y

presentar datos procesados electrónicamente y almacenados en
soportes informáticos; disciplina auxiliar del Derecho Penal, que se
encarga de demostrar y explicar un delito, determinar sus autores y la
participación de éstos, por medio de un conjunto de procedimientos y
técnicas; así como de conocimientos científicos (Monroy, 2014).
Así también, la informática forense, se compone de una serie de pasos en su proceso,

que pueden resumirse en, recolectar la evidencia digital, proveer mecanismos para
preservar la información, de manera que se salvaguarde su valor probatorio, analizar
toda evidencia digital y determinar su origen y contenido, recuperar parcial o totalmente
si es posible datos eliminados, alterados o sobrescritos, buscar en grandes volúmenes
de información y encontrar datos en estos, acceder a información oculta, protegida o
encriptada y finalmente, presentar los datos encontrados apropiadamente ante los
organismos judiciales correspondientes. De acuerdo a los procedimientos propios de
la informática forense.
El análisis forense, es un conjunto de técnicas, cuya utilidad radica en extraer

información valiosa de medios de almacenamiento de datos (discos y otros dispositivos
de almacenamiento), sin alterar el estado de estos; de esta forma permite realizar una
búsqueda de datos, intentando hallar un comportamiento o patrón predeterminado o
descubrir información que se encontraba oculta.
2.1.1 Definiciones
Según el Decreto 260, Ley Especial de Delitos Informáticos y Conexos, Art. 3:
36
a) Delito Informático: se considerará la comisión de este delito, cuando se
haga uso de las Tecnologías de la Información y la Comunicación,
teniendo por objeto la realización de la conducta típica y antijurídica para
la obtención, manipulación o perjuicio de la información;
b) Bien Jurídico Protegido: es la información que garantice y proteja el
ejercicio de derechos fundamentales como la intimidad, honor, integridad
sexual, propiedad, propiedad intelectual, seguridad pública, entre otros;
c) Datos Informáticos: es cualquier representación de hechos,
información o conceptos en un formato digital o análogos, que puedan
ser almacenados, procesados o transmitidos en un sistema informático,
cualquiera que sea su ubicación, así como las características y
especificaciones que permiten describir, identificar, descubrir, valorar y
administrar los datos;
d) Medio de Almacenamiento de Datos Informáticos: es cualquier
dispositivo a partir del cual la información es capaz de ser leída, grabada,
reproducida o transmitida con o sin la ayuda de cualquier otro medio
idóneo;
e) Sistema Informático: es un elemento o grupo de elementos
interconectados o relacionados, pudiendo ser electrónicos, programas
informáticos, enlaces de comunicación o la tecnología que en el futuro
los reemplace, orientados al tratamiento y administración de datos e
información;
f) Comunicación Electrónica: es toda transmisión de datos informáticos,
cuyo contenido puede consistir en audio, texto, imágenes, videos,
caracteres alfanuméricos, signos, gráficos de diversa índole o cualquier
otra forma de expresión equivalente, entre un remitente y un destinatario
a través de un sistema informático y las demás relacionadas con las
Tecnologías de la Información y la Comunicación;
g) Dispositivo: es cualquier mecanismo, instrumento, aparato, medio que
se utiliza o puede ser utilizado para ejecutar cualquier función de la
Tecnología de la Información y la Comunicación;
37
h) Interceptar: es la acción de apropiarse, interrumpir, escuchar o grabar
datos informáticos contenidos o transmitidos en cualquier medio
informático antes de llegar a su destino;
i) Programa Informático: es la rutina o secuencia de instrucciones en un
lenguaje informático determinado que se ejecuta en un sistema
informático, pudiendo ser éste un ordenador, servidor o cualquier
dispositivo, con el propósito que realice el procesamiento y comunicación
de los datos informáticos;
j) Proveedor de Servicios: es la persona natural o jurídica que ofrece uno
o más servicios de información o comunicación por medio de sistemas
informáticos, procesamiento o almacenamiento de datos;
k) Tráfico de Datos Informáticos: son aquellos que se transmiten por
cualquier medio tecnológico, pudiendo mostrar el origen, destino, ruta,
hora, fecha, tamaño, duración de la comunicación, entre otros;
l) Tecnologías de la Información y la Comunicación: es el conjunto de
tecnologías que permiten el tratamiento, la comunicación de los datos, el
registro, presentación, creación, administración, modificación, manejo,
movimiento, control, visualización, distribución, intercambio, transmisión
o recepción de información en forma automática, de voz, imágenes y
datos contenidos en señales de naturaleza acústica, óptica o
electromagnética, entre otros;
m) Datos Personales: es la información privada concerniente a una
persona, identificada o identificable, relativa a su nacionalidad, domicilio,
patrimonio, dirección electrónica, número telefónico u otra similar;
n) Datos Personales Sensibles: son los que corresponden a una persona
en lo referente al credo, religión, origen étnico, filiación o ideologías
políticas, afiliación sindical, preferencias sexuales, salud física y mental,
situación moral, familiar y otras informaciones íntimas de similar
naturaleza o que pudieran afectar el derecho al honor, a la propia
imagen, a la intimidad personal y familiar;
38
o) Material Pornográfico de Niñas, Niños y Adolescentes: es toda
representación auditiva o visual, ya sea en imagen o en vídeo, adoptando
un comportamiento sexualmente explícito, real o simulado de una
persona que aparente ser niña, niño o adolescente adoptando tal
comportamiento. También se considerará material pornográfico, las
imágenes realistas que representen a una niña, niño o adolescente
adoptando un comportamiento sexualmente explícito o las imágenes
reales o simuladas de las partes genitales o desnudos de una niña, niño
o adolescente con fines sexuales;
p) Tarjeta Inteligente: es el dispositivo que permite mediante la ejecución
de un programa la obtención de bienes, servicios, propiedades o
información; y,
q) Redes Sociales: es la estructura o comunidad virtual que hace uso de
medios tecnológicos y de la comunicación para acceder, establecer y
mantener algún tipo de vínculo o relación, mediante el intercambio de
información (Decreto 260, LEY ESPECIAL CONTRA LOS DELITOS
INFORMÁTICOS Y CONEXOS, 2016).
r) Debido Proceso: envuelve, comprensivamente, el desarrollo progresivo de
prácticamente todos los derechos fundamentales de carácter procesal o
instrumental, como conjuntos de garantías de los derechos de goce, cuyo disfrute
satisface inmediatamente las necesidades o intereses del ser humano, es decir de
los medios tendientes a asegurar su vigencia y eficacia.
2.2 Marco histórico
El acelerado crecimiento de las tecnologías informáticas, puede auxiliar a los

organismos encargados de impartir justicia, a plantearse nuevas formas de descubrir
los actos ilícitos, que se realicen por medios digitales, ya que existen pruebas que sólo
pueden encontrarse con la ayuda de los procedimientos y las herramientas que
componen una auditoría informática forense, para estos organismos, es conveniente
actualizarse, adquirir nuevos conocimientos; así como los criminales hacen uso de las
39
nuevas tecnologías para delinquir, las autoridades pueden hacer uso de estas, no solo
para prevenir el delito, sino para descubrirlo y encontrar pruebas fidedignas, esto hace
necesario que aparezcan nuevas formas de investigar y analizar.
De esta forma, es que se comenzó a utilizar la tecnología informática, para investigar

actos ilícitos cometidos a través de un dispositivo informático, surgiendo esa nueva
especialización, llamada informática forense, que como lo dice el concepto, sirve para
identificar, preservar, analizar y presentar la evidencia informática digital, de una forma
aceptable legalmente.
Fue en los años ochenta, que ocurrió el surgimiento de la informática

forense, específicamente, en el año 1984 el FBI creó el programa
conocido como: Programa de Medios Magnéticos, ahora llamado CART
del inglés Computer Analysis and Response Team, en español Análisis
de Informática y Equipo de Respuesta. La persona que es reconocida
como el padre de la informática forense, empezó a trabajar en este
campo ese mismo año, su nombre era Michael Anderson, era agente
especial de la División de Investigación Criminal del Servicio de
Impuestos Internos (IRS). Él trabajó en el gobierno estadounidense,
hasta la década de los noventa.
Con el paso del tiempo, hasta la actualidad, y con el desarrollo de la

tecnología, la informática forense ha evolucionado; donde las
instituciones de seguridad y los sistemas judiciales, se auxilian de los
conocimientos y capacidades de los especialistas en seguridad de la
información e informática forense. Las empresas desarrolladoras
continúan produciendo software, aplicaciones y programas forenses
novedosos y más robustos; a nivel mundial, existe una búsqueda
continua, para identificar y capacitar las instituciones, en respuesta a los
delitos relacionados con la tecnología (Salmeron, 2017).
40
2.2.1 Historia de la informática forense
Ilustración 1. Historia de la informática forense 1970-1993 Aldo Valdez (2018).

Fuente: Elaboración Propia

Fuente: Elaboración Propia.
41
 El rápido desarrollo de la tecnología y los crímenes relacionados con

computadoras crean la necesidad de especialización:
 “First Responders” (Técnicos de escena de crimen digital): expertos en
recogida de datos de una escena del crimen.
 Analistas de Evidencias Digitales, procesan la evidencia adquirida por
los anteriores para extraer todos los datos posibles sobre la
investigación.
 Investigadores digitales, analizan todas las evidencias presentadas por
los dos anteriores para construir un caso y presentarlo ante los
encargados de tomar decisiones. (Salmeron, 2017)
42
2.3 Marco legal
2.3.1 Decreto 38, Constitución de la República de El Salvador
Como principio y base de este marco legal y en busca de garantizar el debido proceso,
se ha tomado en cuenta los Artículos 2, 3 y los Artículos 11 inciso primero, 12, 13 y 14
de la Cn. Ya que estos explican los derechos individuales de cada persona y la garantía
del debido proceso.
“Art. 2. Toda persona tiene derecho a la vida, a la integridad física y moral, a la libertad,
a la seguridad, al trabajo, a la propiedad y posesión, y a ser protegida en la
conservación y defensa de los mismos.
Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Se establece la indemnización, conforme a la ley, por daños de carácter moral.
Art. 3. Todas las personas son iguales ante la ley. Para el goce de los derechos civiles
no podrán establecerse restricciones que se basen en diferencias de nacionalidad,
raza, sexo o religión.
No se reconocen empleos ni privilegios hereditarios.” (DECRETO N° 38
CONSTITUCIÓN DE LA REPÚBLICA DE EL SALVADOR, 1983)
Art. 11. Ninguna persona puede ser privada del derecho a la vida, a la
libertad, a la propiedad y posesión, ni de cualquier otro de sus derechos
sin ser previamente oída y vencida en juicio con arreglo a las leyes; ni
puede ser enjuiciada dos veces por la misma causa.
Art. 12. Toda persona a quien se impute un delito, se presumirá inocente

mientras no se pruebe su culpabilidad conforme a la ley y en juicio
público, en el que se le aseguren todas las garantías necesarias para su
defensa.
43
La persona detenida debe ser informada de manera inmediata y
comprensible, de sus derechos y de las razones de su detención, no
pudiendo ser obligada a declarar. Se garantiza al detenido la asistencia
de defensor en las diligencias de los órganos auxiliares de la
administración de justicia y en los procesos judiciales, en los términos
que la ley establezca.
Las declaraciones que se obtengan sin la voluntad de la persona carecen

de valor; quien así las obtuviere y empleare incurrirá en responsabilidad
penal.
Art. 13. Ningún órgano gubernamental, autoridad o funcionario podrá

dictar órdenes de detención o de prisión si no es de conformidad con la
ley, y estas órdenes deberán ser siempre escritas. Cuando un
delincuente sea sorprendido infraganti, puede ser detenido por cualquier
persona, para entregarlo inmediatamente a la autoridad competente.
La detención administrativa no excederá de setenta y dos horas, dentro

de las cuales deberá consignarse al detenido a la orden del juez
competente, con las diligencias que hubiera practicado.
La detención para inquirir no pasará de setenta y dos horas y el tribunal

correspondiente estará obligado a notificar al detenido en persona el
motivo de su detención, a recibir su indagatoria y a decretar su libertad o
detención provisional, dentro de dicho término.
Por razones de defensa social, podrán ser sometidos a medidas de

seguridad reeducativas o de readaptación, los sujetos que por su
actividad antisocial, inmoral o dañosa, revelen un estado peligroso y
ofrezcan riesgos inminentes para la sociedad o para los individuos.
44
Dichas medidas de seguridad deben estar estrictamente reglamentadas
por la ley y sometidas a la competencia del Órgano Judicial.
Art. 14. CORRESPONDE UNICAMENTE AL ORGANO JUDICIAL LA

FACULTAD DE IMPONER PENAS. NO OBSTANTE, LA AUTORIDAD
ADMINISTRATIVA PODRA SANCIONAR, MEDIANTE RESOLUCION O
SENTENCIA Y PREVIO EL DEBIDO PROCESO, LAS
CONTRAVENCIONES A LAS LEYES, REGLAMENTOS U
ORDENANZAS, CON ARRESTO HASTA POR CINCO DIAS O CON
MULTA, LA CUAL PODRA PERMUTARSE POR SERVICIOS
SOCIALES PRESTADOS A LA COMUNIDAD. (DECRETO N° 38
CONSTITUCIÓN DE LA REPÚBLICA DE EL SALVADOR, 1983)
Ahora bien, también se han considerado como se mencionaba en la parte introductoria

de esta investigación, los Artículos 172 y 193 ord 3 Cn, los cuales hacen referencia a
la institución encargada de aplicar justicia, es decir, el Órgano Judicial y las
instituciones que deben apoyarle dirigiendo la investigación para esclarecer un acto
ilícito, que son la FGR en colaboración con la PNC.
“Art. 172.- La Corte Suprema de Justicia, las Cámaras de Segunda Instancia y los
demás tribunales que establezcan las leyes secundarias, integran el Órgano Judicial.
Corresponde exclusivamente a este Órgano la potestad de juzgar y hacer ejecutar lo
juzgado en materias constitucionales, civil, penal, mercantil, laboral, agraria y de lo
contencioso-administrativo, así como en las otras que determine la ley.
La organización y funcionamiento del Órgano Judicial serán determinados por la ley.
Los Magistrados y Jueces, en lo referente al ejercicio de la función jurisdiccional, son

independientes y están sometidos exclusivamente a la Constitución y a las leyes.”
(DECRETO N° 38 CONSTITUCIÓN DE LA REPÚBLICA DE EL SALVADOR, 1983)
45
“Art. 193.- Corresponde al Fiscal General de la República:
3º- DIRIGIR LA INVESTIGACIÓN DEL DELITO CON LA COLABORACIÓN DE LA

POLICÍA NACIONAL CIVIL EN LA FORMA QUE DETERMINE LA LEY; (1) (11).”
(DECRETO N° 38 CONSTITUCIÓN DE LA REPÚBLICA DE EL SALVADOR, 1983)
2.3.2 Decreto 733, Código Procesal Penal
Sobre los delitos informáticos, el Código Procesal Penal en adelante CPP, no

contempla de forma clara las disposiciones legales a aplicarse con este tipo de delitos,
sin embargo, al respecto se consideran los artículos siguientes:
Artículo 180. La policía comprobará, mediante la inspección de lugares,

personas o cosas, los rastros y otros efectos materiales que por la propia
naturaleza del hecho delictivo hayan dejado señales o pruebas
materiales de su perpetración. También se constituirá en el lugar en que
hubiere ocurrido el hecho, consignando en acta el lugar, la descripción
detallada de rastros, huellas, el estado de las cosas y demás efectos
materiales que el hecho hubiere dejado y, cuando fuere posible,
recolectará y conservará los objetos y documentos útiles a la
investigación, dejando constancia de ello en el acta.
Si en el acto de la inspección estuviere presente el fiscal asignado al
caso, tomará a su cargo la dirección de la inspección. El acta será
firmada por todos los intervinientes.
Artículo 182. Si el hecho no dejó rastros o no produjo efectos materiales

o si estos desaparecieron o han sido alterados, la policía describirá el
estado existente y, en lo posible, verificará el estado anterior. En caso de
desaparición o alteración, averiguará y hará constar el modo, tiempo y
causa de ellas.
46
Artículo 184. Cada objeto y documento incautado en alguna de las
inspecciones reguladas en los artículos anteriores, será asegurado,
embalado y custodiado para evitar la suplantación o la alteración del
mismo. Ello se hará observando las reglas de cadena de custodia
establecidas en este Código.
Artículo 185. Se podrá ordenar la reconstrucción del hecho, de acuerdo

con las declaraciones recibidas o informaciones obtenidas y otros
elementos de convicción, para comprobar si se efectuó o pudo
efectuarse de un modo determinado. La reconstrucción podrá registrarse
por cualquier medio técnico, ya sea fotográfico o de grabación
audiovisual.
Artículo 186. Para mayor eficacia de las inspecciones y reconstrucciones,

y en cualquier caso cuando sea conveniente, se podrán ordenar
operaciones técnicas y científicas, tales como exámenes serológicos,
químicos, microscópicos, microfotografía, macrofotografía, pruebas
ópticas, biogenéticas, antropométricas, fonográficas, grafoscópicas,
electrónicas, acústicas, de rayos X, perfiles genéticos y las demás
disponibles por la ciencia y la técnica (DECRETO N° 38 CONSTITUCIÓN
DE LA REPÚBLICA DE EL SALVADOR, 1983).
Artículo 201. Cuando se tengan razones fundadas para inferir que una
persona posee información constitutiva de delito o útil para la
investigación, almacenada en equipos o instrumentos tecnológicos de su
propiedad o posesión, el fiscal solicitará la autorización judicial para
adoptar las medidas que garanticen la obtención, resguardo o
almacenamiento de la información; sin perjuicio que se ordene el
secuestro respectivo.
47
Durante dispositivos de entrega bajo cobertura policial, operaciones
policiales encubiertas, allanamientos, requisas penitenciarias o de
cualquier lugar de detención y en los casos de flagrancia previa dirección
funcional de la Fiscalía General de la República, la policía podrá adoptar
las medidas que garanticen la obtención, resguardo o almacenamiento
de la información almacenada en equipos o instrumentos tecnológicos y
que sea útil para la investigación, sin perjuicio de que pueda procederse
a su incautación.
Artículo 226. El juez o tribunal ordenará peritajes, cuando para descubrir

o valorar un elemento de prueba, sea necesario o conveniente poseer
conocimientos especiales en alguna ciencia, arte o técnica. En los actos
urgentes de comprobación que no requieran autorización judicial el fiscal
podrá disponer el auxilio de peritos. Los peritos serán de dos clases:
Permanentes o accidentales.
Son peritos permanentes:
a) Los nombrados por la Corte Suprema de Justicia en el Instituto de

b) Los técnicos y especialistas de la Policía Nacional Civil.
c) Los especialistas de las facultades y escuelas de la Universidad de El
autónomas.
d) Los directores o jefes de los centros asistenciales del Estado o los que
aquéllos designen.
e) Los miembros de cualquier asociación o institución cuya finalidad sea el
Son peritos accidentales los que nombre la autoridad judicial para una
pericia determinada. En el caso de los peritos permanentes no será
48
necesaria su juramentación o protesta para la práctica de las diligencias;
su salario habitual serán sus honorarios y la institución para la cual
trabajan estará obligada a conceder el permiso para la pericia.
Artículo 227. Los peritos deberán tener título en la materia a que

pertenezca el punto sobre el que han de pronunciarse, siempre que la
designarse a personas de idoneidad manifiesta.
También podrá designarse a un perito con título obtenido en el extranjero
cuando posea una experiencia o idoneidad especial (Decreto N° 733,
Código Procesal Penal, 2008).
“Artículo 234. Al practicar la pericia se procurará que los objetos a examinar sean en
lo posible conservados, de modo que el peritaje pueda repetirse. Si es necesario
destruir o alterar los objetos o sustancias a analizarse o existe discrepancia sobre el
modo de realizar las operaciones, los peritos informarán a quien ordenó la diligencia
antes de proceder a su realización.” (Decreto N° 733, Código Procesal Penal, 2008)
Artículo 283. El fiscal durante el desarrollo de las diligencias de

investigación, dispondrá que sean incautados o recolectados y
conservados los objetos o documentos relacionados con la comisión de
un hecho delictivo y aquellos que puedan servir como medios de prueba.
El fiscal ordenará el decomiso de aquellos objetos que sean nocivos a la
salud, de tenencia prohibida o peligrosa, de comercio no autorizado o de
ilícita procedencia, así también sobre los demás objetos y documentos
respecto a los cuales no existan o no sea posible ejercer derechos
patrimoniales. La incautación o recolección de objetos o documentos
podrá ser dispuesta en casos urgentes por la policía, quien deberá dar
cuenta en el plazo de ocho horas al fiscal, para ordenar su decomiso,
solicitar el secuestro u ordenar su devolución (Decreto N° 733, Código
Procesal Penal, 2008).
49
Artículo 291. Tratándose de delitos contra derechos de propiedad
intelectual, el fiscal aplicará adicionalmente, las medidas siguientes: La
incautación o decomiso de los objetos presuntamente falsificados, todos
los materiales y accesorios utilizados para la comisión del delito, todo
activo relacionado con la actividad infractora y toda evidencia documental
relevante al delito.
Los materiales incautados serán identificados individualmente cuando
ello sea posible y necesario.
Cuando no fueren útiles al proceso, previa autorización judicial, se
ordenará la destrucción de los objetos falsificados o que impliquen
infracción a los derechos de autor o derechos conexos, con el fin de evitar
su ingreso en el comercio; así como la de los materiales e implementos
utilizados en la creación de los objetos ilícitos (Decreto N° 733, Código
2.3.3 Decreto 260, Ley Especial contra los Delitos Informáticos y Conexos
En el año 2016, entró en vigencia la Ley Especial contra los Delitos Informáticos y
Conexos, la cual trajo consigo una mayor y más específica regulación a los delitos
informáticos, por lo cual es preciso considerar los artículos siguientes:
Artículo 4. El que intencionalmente y sin autorización o excediendo la que

se le hubiere concedido, acceda, intercepte o utilice parcial o totalmente
un sistema informático que utilice las Tecnologías de la Información o la
Comunicación, será sancionado con prisión de uno a cuatro años.
Artículo 5. El que a sabiendas y con la intención de usar cualquier

dispositivo de la Tecnología de la Información o la Comunicación,
accediera parcial o totalmente a cualquier programa o a los datos
almacenados en él, con el propósito de apropiarse de ellos o cometer
otro delito con éstos, será sancionado con prisión de dos a cuatro años.
50
Artículo 6. El que intencionalmente y por cualquier medio interfiera o
altere el funcionamiento de un sistema informático, de forma temporal o
permanente, será sancionado con prisión de tres a cinco años. Se
considerará agravada la interferencia o alteración, si ésta recayera en
programas o sistemas informáticos públicos o en sistemas informáticos
destinados a la prestación de servicios de salud, de comunicaciones, de
provisión y transporte de energía, de medios de transporte u otros de
servicio público, o destinados a la prestación de servicios financieros, la
sanción de prisión será de tres a seis años.
Artículo 7. El que destruya, dañe, modifique, ejecute un programa o

realice cualquier acto que altere el funcionamiento o inhabilite parcial o
totalmente un sistema informático que utilice las Tecnologías de la
Información y la Comunicación o cualquiera de los componentes que las
conforman, será sancionado con prisión de tres a cinco años.
Si el delito previsto en el presente artículo se cometiere de forma culposa,
por imprudencia, negligencia, impericia o inobservancia de las normas
establecidas, será sancionado con prisión de uno a tres años. Si el delito
previsto en el presente artículo se cometiere en contra de cualquiera de
los componentes de un sistema informático que utilicen las Tecnologías
de la Información y la Comunicación, que estén destinadas a la
prestación de servicios públicos o financieros, o que contengan
información personal, confidencial, reservada, patrimonial, técnica o
propia de personas naturales o jurídicas, la sanción de prisión será de
tres a seis años.
Artículo 8. El que utilizando las Tecnologías de la Información y la

Comunicación posea, produzca, facilite, venda equipos, dispositivos,
programas informáticos, contraseñas o códigos de acceso; con el
propósito de vulnerar, eliminar ilegítimamente la seguridad de cualquier
sistema informático, ofrezca o preste servicios destinados a cumplir los
51
mismos fines para cometer cualquiera de los delitos establecidos en la
presente Ley, será sancionado con prisión de tres a cinco años.
Artículo 9. La persona que sin poseer la autorización correspondiente

transgreda la seguridad de un sistema informático restringido o protegido
con mecanismo de seguridad específico, será sancionada con prisión de
tres a seis años. En igual sanción incurrirá quien induzca a un tercero
para que de forma involuntaria, ejecute un programa, mensaje,
instrucciones o secuencias para violar medidas de seguridad. No
incurrirá en sanción alguna quien ejecute las conductas descritas en los
Arts. 8 y 9 inciso primero de la presente Ley, cuando con autorización de
la persona facultada se realicen acciones con el objeto de conducir
pruebas técnicas o auditorías de funcionamiento de equipos, procesos o
programas.
Estafa informática
Artículo 10. El que manipule o influya en el ingreso, el procesamiento o
resultado de los datos de un sistema que utilice las Tecnologías de la
Información y la Comunicación, ya sea mediante el uso de datos falsos
o incompletos, el uso indebido de datos o programación, valiéndose de
alguna operación informática o artificio tecnológico o por cualquier otra
acción que incida en el procesamiento de los datos del sistema o que dé
como resultado información falsa, incompleta o fraudulenta, con la cual
procure u obtenga un beneficio patrimonial indebido para sí o para otro,
será sancionado con prisión de dos a cinco años. Se sancionará con
prisión de cinco a ocho años, si las conductas descritas en el inciso
anterior se cometieren bajo los siguientes presupuestos:
a) En perjuicio de propiedades del Estado;

b) Contra sistemas bancarios y entidades financieras;
52
c) Cuando el autor sea un empleado encargado de administrar, dar
soporte al sistema, red informática, telemática o que en razón de sus
funciones tenga acceso a dicho sistema, red, contenedores electrónicos,
ópticos o magnéticos (Decreto 260, LEY ESPECIAL CONTRA LOS
DELITOS INFORMÁTICOS Y CONEXOS, 2016).
Esta Ley ha tipificado los delitos informáticos en El Salvador, dicha tipificación es

posible encontrarla en los Artículos 11, 12, 13 y 14, que tratan de los delitos
informáticos en perjuicio del Estado, los Artículos 15, 16, 17, 18, 19, 20, 21, 22, 23, 24,
25, 26 y 27, que tratan de los delitos informáticos relacionados con el contenido de los
datos, los Artículos 28, 29, 30, 31, 32 y 33 que tratan de los delitos informáticos contra
niñas, niños y adolescentes o personas con discapacidad, el Artículo 34 que trata
sobre los delitos contra el orden económico.
Delitos informáticos en perjuicio del Estado:

 Fraude Informático.
 Espionaje Informático.
 Hurto por Medios Informáticos.
 Técnicas de Denegación de Servicio.
Delitos informáticos relacionados con el contenido de los datos:
 Manipulación de Registros.
 Manipulación Fraudulenta de Tarjetas Inteligentes o Instrumentos Similares.
 Obtención Indebida de bienes o servicios por medio de Tarjetas Inteligentes o
Medios Similares.
 Provisión Indebida de Bienes o Servicios.
 Alteración, Daño a la Integridad y Disponibilidad de los Datos.
 Interferencia de Datos.
 Interceptación de Trasmisiones entre Sistemas de las Tecnologías de la
 Hurto de Identidad.
 Divulgación No Autorizada.
53
 Utilización de Datos Personales.
 Obtención y Transferencia de Información de Carácter Confidencial.
 Revelación Indebida de Datos o Información de Carácter Personal.
 Acoso a través de Tecnologías de la Información y la Comunicación.
Delitos Informáticos contra Niñas, Niños y Adolescentes o Personas con Discapacidad:

 Pornografía a través del Uso de Tecnologías de Información y la Comunicación.
 Utilización de Niñas, Niños, Adolescentes o Personas con Discapacidad en
Pornografía a través del Uso de las Tecnologías de la Información y la
Comunicación.
 Adquisición o Posesión de Material Pornográfico de Niñas, Niños, Adolescentes
o Personas con Discapacidad a través del Uso de las Tecnologías de la
 Corrupción de Niñas, Niños, Adolescentes o Personas con Discapacidad a
través del Uso de las Tecnologías de la Información y la Comunicación.
 Acoso a Niñas, Niños y Adolescentes o Personas con Discapacidad a través del
Uso de las Tecnologías de la Información y la Comunicación.
Delito contra el Orden Económico:

 Suplementación en actos de Comercialización. (Decreto 260, LEY ESPECIAL
CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016)
2.4 Marco regulatorio (buenas prácticas, regulaciones, procesos)
Para poder realizar las actividades que tienen que ver, tanto con la seguridad
informática como con la informática forense y sus derivaciones en la auditoría
informática forense, es importante contar con un marco regulatorio, con instrumentos
que brinden una serie de regulaciones y buenas prácticas para llevar a cabo con éxito
dichas actividades. En esta investigación se han tomado en cuenta diversas
normativas, las cuales se detallan a continuación.
54
2.4.1 COBIT 5 (ISACA)
ISACA es el acrónimo de Information Systems Audit and Control Association

(Asociación de Auditoría y Control de Sistemas de Información), una asociación
internacional que apoya y patrocina el desarrollo de metodologías y certificaciones
para la realización de actividades de auditoría y control en sistemas de información.
COBIT es el acrónimo de Control Objectives for Information and related Technology,

(Objetivos de Control para la Información y Tecnologías Relacionadas), es el único
entorno de trabajo que ayuda a las empresas a alcanzar un marco integral, para lograr
sus metas y entregar valor mediante un gobierno y una administración efectivos de la
TI de la Organización.
El 10 de abril de 2012, ISACA lanzó la nueva edición de este marco de referencia,

COBIT 5, es la última edición del entorno de trabajo mundialmente aceptado, el cual
proporciona una visión empresarial del gobierno de TI, que tiene a la tecnología y a la
información, como protagonistas en la creación de valor para las empresas. ISACA
lanzó "COBIT 5 para la Seguridad de la Información", actualizando la última versión de
su marco a fin de proporcionar una guía práctica en la seguridad de la organización,
en todos sus niveles prácticos. La relación con la seguridad informática es más que
evidente desde el título de esta versión de COBIT.
Se entiende por COBIT 5, que es un entorno de trabajo para seguridad de la

información, que puede ayudar a las organizaciones a reducir sus perfiles de riesgo a
través de la adecuada administración de la seguridad. La información específica y las
tecnologías relacionadas, son cada vez más esenciales para las organizaciones, pero
la seguridad de la información es esencial para la confianza de los accionistas.
Beneficios que brinda COBIT 5 a las organizaciones:
 Optimizar los servicios, el coste de las TI y la tecnología.
55
 Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las
políticas.
 Gestión de nuevas tecnologías de información.
La misión específica de COBIT 5, es investigar, desarrollar, publicar y

promocionar un conjunto de objetivos de control generalmente
aceptados, para las tecnologías de la información que sean autorizados,
actualizados e internacionales para el uso del día a día de los gestores
de negocios y auditores. Ayuda a decidir el nivel de seguridad y control,
que es necesario para proteger los activos de las compañías, mediante
el desarrollo de un modelo de administración de las tecnologías de la
información (COBIT, 2012).
Para el desarrollo de esta investigación y sobre todo, para la creación de la propuesta

de proceso de auditoría informática forense, se ha considerado la relación que la
auditoría informática forense y la seguridad informática tienen entre sí, con ciertas
normas y entornos de trabajo que son una guía a la hora de realizar las actividades
que conlleva la auditoría informática forense, el análisis forense, la gestión documental,
el manejo de evidencia digital, la cadena de custodia y las tecnologías de información.
Es por ello que entre estas guías y entornos de trabajo no podía faltar COBIT 5.
COBIT es un marco de gobierno de las tecnologías de información, que

proporciona una serie de herramientas, para que la gerencia pueda
conectar los requerimientos de control con los aspectos técnicos y los
riesgos del negocio. COBIT permite el desarrollo de las políticas y
buenas prácticas, para el control de las tecnologías en toda la
organización. COBIT enfatiza el cumplimiento regulatorio, ayuda a las
organizaciones a incrementar su valor a través de las tecnologías, y
permite su alineamiento con los objetivos del negocio (Asociación de
Auditoría y Control de Sistemas de Información, 2019).
56
¿Porque utilizar COBIT 5? Evidentemente a través de los años COBIT ha
evolucionado, hasta convertirse en una herramienta de auditoría a un marco de
gobierno de las TI. Comenzó allá por el año 1996 siendo un entorno de trabajo con
énfasis en la auditoría, con el paso del tiempo fue incluyendo aspectos como el control,
la administración y el gobierno empresarial de las TI.
En la actualidad, COBIT es producto de la mejora estratégica de ISACA impulsando la

próxima generación de guías sobre el gobierno y la administración de la información y
los activos tecnológicos de las organizaciones. Utilizado por más de 15 años de
aplicación práctica, ISACA desarrolló COBIT 5 para cubrir las necesidades de los
interesados y alinearse a las actuales tendencias sobre técnicas de gobierno y
administración relacionadas con la TI. Esta evolución se refleja en la gráfica siguiente.
Ilustración 4. Evolución de COBIT.
COBIT 5 cuenta con cinco principios principales, los cuales son:

1. Satisfacer las necesidades de las partes interesadas.
2. Cubrir la Organización de forma integral.
57
3. Aplicar un solo marco (entorno de trabajo) integrado.
4. Habilitar un enfoque holístico (generalizado).
5. Separa el gobierno de la administración.
Ilustración 5. Principios de COBIT 5.
COBIT 5, une los cinco principios que permiten a la organización, construir un marco
efectivo de gobierno y administración, visualizando en conjunto sus habilitadores, que
optimizan la inversión en tecnología e información, así como su uso en beneficio de
las partes interesadas.
Principio 1: Satisfacer las necesidades de las partes interesadas.

 Las organizaciones tienen muchas partes interesadas y “crear valor” significa
cosas diferentes, a veces conflictivas para cada una de ellas.
 En el gobierno se trata de negociar y decidir entre los diversos intereses de
beneficio, de las diferentes partes interesadas.
58
 El sistema de gobierno, deberá considerar a todas las partes interesadas al
tomar decisiones, con respecto a la evaluación de riesgos, los beneficios y el
manejo de recursos.
 Las necesidades de las partes interesadas, deben ser transformadas en una
estrategia factible para la organización.
 Las metas en cascada de COBIT 5, traducen las necesidades de las partes
interesadas en metas específicas, factibles y personalizadas dentro del contexto
de la organización, de las metas relacionadas con la TI y de las metas
habilitadoras.
Principio 2: Cubrir la compañía de forma integral.

COBIT 5, se concentra en el gobierno y la administración de la tecnología de la
información y se relaciona, desde una perspectiva integral a nivel de toda la
organización.
Esto significa que COBIT 5:

 Integra el gobierno de la TI corporativa, en el gobierno corporativo, o sea, el
sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra,
de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5
esté alineado a los últimos desarrollos en gobierno corporativo.
 Cubre todas las funciones y los procesos dentro de la organización; COBIT 5
no solamente se concentra en la “función de la TI”, sino, trata la tecnología de
la información y las relaciona como activos, que necesitan ser manejados como
cualquier otro activo, por todos en la organización.
Principio 3. Aplicar un único marco integrado.

COBIT 5 está alineado con las últimas normas y marcos relevantes, usados por las
organizaciones.
Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000
Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF,
PMBOK/PRINCE2, CMMI, entre otros.
59
Así se permite, a la Organización utilizar COBIT 5 como integrador macro en el marco
de gobierno y administración. ISACA, está desarrollando el modelo de capacidad de
los procesos, para facilitar al usuario de COBIT, el mapeo de las prácticas y actividades
contra los marcos y normas de terceros.
Principio 4. Habilitar un enfoque holístico (generalizado en el sentido de considerar

todas las partes de un todo).
Los habilitadores de COBIT 5 son:
 Factores que, individual y colectivamente, influyen sobre si algo funcionará. En
el caso de COBIT, gobierno y administración sobre la TI corporativa.
 Impulsados por las metas en cascada, o sea: las metas de alto nivel
relacionadas con la TI, definen qué deberían lograr los diferentes habilitadores.
Principio 5. Separar el gobierno de la administración.

El marco de COBIT 5, plasma una distinción muy clara, entre el gobierno y la
administración. Dichas disciplinas:
 Comprenden diferentes tipos de actividades
 Requieren diferentes estructuras organizacionales
 Cumplen diferentes propósitos
Gobierno. En la mayoría de las organizaciones, el gobierno es responsabilidad de la

junta directiva, bajo el liderazgo de su presidente.
Administración. En la mayoría de las organizaciones, la administración
es responsabilidad de la gerencia ejecutiva, bajo el liderazgo del gerente
general (CEO).
La gran relación que une a COBIT 5, con la seguridad informática y
evidentemente con la auditoría informática forense es su modelo de
negocio, para la seguridad de la información, dicho modelo se resume
en lo siguiente:
 Presenta un enfoque integral y orientado al negocio, para la gestión de
la seguridad de la información.
60
 Establece un lenguaje común, para referirse a la protección de la
información.
 Desafía la visión convencional de la inversión en seguridad de la
información.
 Explica en forma detallada, el modelo de negocio para gestionar la
seguridad de la información, invitando a utilizar una perspectiva sistémica
(Business Model for Information Security (BMIS) , 2019).
2.4.2 ITIL
(Information Technology Infraestructure Library), biblioteca de

infraestructura de tecnologías de la información. En pocas palabras, es
un conjunto de publicaciones o una librería, que describe de manera
sistemática y ordenada un conjunto de buenas prácticas, para la gestión
de los servicios de tecnología informática (TI).
ITIL, está estrechamente vinculada al concepto de gobierno de TI,

mediante la determinación de jerarquías de acceso, toma de decisiones
y responsabilidades, con la mayor satisfacción posible de usuarios y
clientes, para lograr los objetivos de la organización.
ITIL, recoge la gestión de los servicios TI como uno de sus apartados,
habiéndose ampliado el conjunto de “buenas prácticas” a gestión de la
seguridad de la información, gestión de niveles de servicio, perspectiva
de negocio, gestión de activos software y gestión de aplicaciones
(Pacheco, 2017).
El objetivo principal de la ITIL, es crear un sistema de clase mundial que guíe a las
organizaciones para desarrollar sus procesos. ITIL, posee un enfoque metodológico
de administrar y operar las tecnologías de la compañía, destacando el suministro de
servicios de TI que los procesos necesitan. Y como propósito se obtiene asegurarse
de que los servicios de TI, sean capaces de cumplir con los objetivos de la
organización.
61
“Los principios básicos de la metodología ITIL son:
 Describir correctamente, los procesos adecuados para el uso, gestión y soporte

de la infraestructura de TI.
 Asegurar la calidad de los servicios recibidos por los clientes, con un costo
aceptable” (Pacheco, 2017).
Enfoque de riesgo en tecnologías de información (TI).

Riesgo, se define como la eventualidad, que imposibilita el cumplimiento de un
objetivo. Enfocándolo con el tema de la tecnología de información, este se plantea
como amenaza, determinando el grado de exposición a la ocurrencia de una pérdida.
La Organización Internacional por la Normalización (ISO), define riesgo tecnológico

como: La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades
existentes de un activo o un grupo de activos, generándole pérdidas o daños.
Beneficios de ITIL
 Fortalece la comunicación
 Proporcionar un vocabulario común y consistente en un glosario de
términos detalladamente definidos y con un rango altamente aceptado
por las diferentes áreas de la empresa.
 Contar con un Modelo de Gobernabilidad de TI.
 Su objetivo es tener información a través de controles y estructuras que
les aseguren que el área TI está actuando como soporte de las
estrategias del negocio y no como un silo.
 Con la Gestión de Servicio de TI, puede funcionar de una manera más
eficiente, ya que es clave para la Gobernabilidad de TI porque se integra
a los objetivos del negocio y hacen que los indicadores y controles sean
confiables.
 Reducir los costos de TI y mejora de la calidad del Servicio.
62
 Los procesos de TI con mayor madurez, generan mayor productividad es
decir menos errores y más calidad, lo cual automáticamente reduce
costos.
 Eliminar los silos organizacionales, implementando procesos integrados
en toda el área de TI.
 Se define como un modelo de procesos sustentados por roles y
responsabilidades, entre otros, los cuales al ser implementados a lo largo
de toda la organización, generan una nueva forma de trabajo basada en
responsabilidades puntuales, de esta manera constituyen a eliminar los
silos en las organizaciones.
 Mejora la Integración de TI con el Negocio.
 TI quiere tener una mejor integración con el negocio, sin duda es
fundamental contar con un enfoque de Gestión de Servicios de TI que le
permita alinear estos servicios a los procesos de Negocio.
 Cumplir eficientemente con las regulaciones.
 TI buscan cumplir con regulaciones tales como ISO 27001, ISO 38500,
ISO/IEC 20000. Para ello, un marco de referencia generalmente utilizado
es COBIT.
 Una implementación de COBIT con una estrategia de Mejores Prácticas
con ITIL resulta beneficiosa. Debido a que COBIT define qué debemos
controlar e ITIL define cómo debemos hacerlo, esta integración derivará
en el cumplimiento eficiente de las regulaciones.
 Mejorar la Gestión de proveedores.
 Las áreas de TI tienden cada vez más a tercerizar (Outsourcing) sus
Servicios de TI (Pacheco, 2017).
ITIL, define los niveles de servicio que necesita cada componente de los servicios de
TI, con esta información y con un proceso maduro de gestión de proveedores, las áreas
de TI, podrán realmente alinear no sólo el área de TI al negocio, sino también a sus
proveedores. La información constituye un recurso clave, en el cual la tecnología juega
un importante rol en almacenarla, distribuirla y analizarla. Entre estos también esta los
63
objetivos de control para la información y tecnologías relacionadas, este suministra
una red integral, que apoya a las entidades en el logro de sus objetivos, para la
gobernación y administración de la tecnología de información. En otras palabras, crea
el óptimo valor de TI, manteniendo un balance entre la obtención de beneficios y la
optimización de los niveles de riesgos y uso de los recursos.
El uso de este marco normativo incrementa las capacidades de gestión

del riesgo en la entidad:
 Mayor precisión en la identificación de riesgos y la medición del éxito en

el tratamiento de los mismos.
 Mejor entendimiento sobre el impacto del riesgo en la empresa.
 Orientación de extremo a extremo sobre la forma de gestionar el riesgo,
incluyendo un extenso conjunto de medidas.
 Conocimientos de cómo sacar provecho de las inversiones relacionadas
con TI sobre prácticas de gestión de riesgos.
 Compresión sobre como el valor de la gestión de riesgo de TI, junto con
procesos efectivos y eficientes, mejora la calidad y reduce los
desperdicios y costos de la entidad.
 Oportunidades para integrar la gestión de riesgo de TI con el riesgo de
la empresa y su estructura.
 Mejora en la comunicación y entendimiento entre las partes interesadas,
tanto internas como externas, debido a un marco comúnmente aceptado.
 Promoción sobre la responsabilidad del riesgo y la aceptación sobre toda
la empresa.
 Un perfil completo del riesgo, identificando la exposición total de la
entidad al mismo y la mejor utilización de los recursos (Pacheco, 2017).
Es notorio que la relación entre COBIT e ITIL, se basa en que COBIT define qué
debemos controlar, incluyendo seguridad de las TI e ITIL define cómo debemos
64
hacerlo, son herramientas que se complementan perfectamente no solo entre ellas
sino con otras normativas como la ISO 9001 y las ISO 27000, entre otras.
2.4.3 ISO 9001:2015
La Norma ISO 9001:2015, es la base del sistema de gestión de la calidad (SGC). Es

una norma internacional, que se centra en todos los elementos de la gestión de la
calidad, con los que una empresa debe contar, para tener un sistema efectivo que le
permita administrar y mejorar la calidad de sus productos o servicios.
Esta norma, se ha convertido desde el año 2002 en un referente de la

calidad a nivel mundial. En ella se establecen los requisitos de un sistema
de gestión de la calidad, que permiten a una empresa demostrar su
capacidad de satisfacer los requisitos del cliente y para acreditar de esta
capacidad ante cualquier parte interesada. Los requisitos especificados
son genéricos y aplicables a todas las organizaciones sin tener en cuenta
el tipo y el tamaño. La norma ISO 9001 estimula la adopción de la gestión
por procesos como medio de identificar claramente y gestionar el sistema
de gestión de la calidad y las oportunidades para mejora (Normas ISO,
2019).
Sobre la revisión 2015 de ISO 9001
La Norma ISO 9001:2008 fue revisada y actualizada en 9001:2015, para poder reflejar
ciertas evoluciones provocadas por los cambios en el mundo. Su esencia misma queda
inalterada, sigue siendo siempre su objetivo el de satisfacer al cliente con la
conformidad de productos y servicios proporcionados.
Tres evoluciones mayores intervienen:
 El enfoque en procesos sigue siendo parte importante de la norma ISO

9001, permitiendo así a las organizaciones planificar sus procesos e
interacciones.
65
 Se integra el pensamiento basado en riesgos: prevenir que cosas malas
sucedan y aprovechar oportunidades de lo bueno. Reconociendo así,
que no todos los procesos tienen el mismo impacto en la capacidad de
la organización, en la entrega de productos o servicios conformes.
 Ciclo PHVA (Planificar-Hacer-Verificar-Actuar) o espiral de mejora
continua, es una estrategia basada en la mejora continua de la calidad,
en cuatro pasos, según el concepto. Se planifica, se hace, se verifica y
se actúa. La certificación ISO 9001:2015, garantiza el seguimiento de los
principios de buenas prácticas. (NORMAS 9000, 2017).
Estructura de ISO 9001:2015
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operaciones
9. Evaluación del desempeño
10. Mejora (Organismo de Certificación en Normas ISO, 2018).
2.4.4 ISO/IEC 27001:2013
La norma ISO 27001, es una norma internacional que permite el aseguramiento, la

confidencialidad e integridad de los datos y de la información, así como de los sistemas
que la procesan. La ISO 27001, puede estar implantada en cualquier tipo de empresa,
con o sin fines de lucro, ya sea de gestión pública o privada. Esta facilita una
metodología para implementar la gestión de la seguridad de la información en una
empresa. Además, facilita que una empresa se certifique, lo que significa que una
66
entidad de certificación independiente, confirme que la seguridad de la información, ha
sido implementada en esa empresa en cuanto al cumplimiento de la norma ISO 27001.
Esta norma tiene como principal objetivo proteger la confidencialidad, la

integridad y la disponibilidad de la información en una organización. Lo
consigue gracias a la investigación de cuáles pueden ser los problemas
que pueden afectar a la información y después se debe definir qué hacer
para evitar que estos problemas se produzcan. Está basada en la gestión
de riesgos, es decir, investigar donde se encuentra los riesgos y tratarlos
de manera sistemática. Se trata de implementar diferentes medidas, bajo
forma de políticas de seguridad, procedimientos, entre otros (Blog
especializado en Sistemas de Gestión de Seguridad de la Información,
2016).
La norma ISO 27001, detalla cómo se debe realizar este tipo de elementos dentro del
sistema de gestión de seguridad de la información; la cual no se limita sólo a la
seguridad de TI, sino que también se expande a la gestión de procesos, a recursos
humanos, protección jurídica y más.
2.4.5 ISO/IEC 27037:2012
Esta norma internacional proporciona una guía para procesos específicos, en el

manejo de potencial evidencia digital, dichos procesos son: identificación, recolección,
adquisición y preservación, de potencial evidencia digital. Estos procesos son
necesarios en una investigación, la cual esté diseñada, para mantener la integridad de
posible evidencia digital.
La evidencia digital bien procesada puede aprovecharse al máximo en

distintos escenarios. En cada uno de ellos existe una orientación
diferente respecto de lo que se pretende obtener: calidad probatoria,
precisión en el análisis, restauración del servicio y/o el costo de la
recolección de la evidencia, entre otros. Los componentes clave que
67
proporcionan credibilidad en la investigación son la metodología aplicada
durante el proceso y la calificación de los individuos que intervienen en
el desarrollo de las tareas especificadas en la metodología (Santiago
Roatta, María Eugenia Casco, G. Fogliato, 2015).
En esta investigación se ha indagado acerca de las necesidades, limitaciones y

dificultades que aparecen, a la hora de validar los resultados de una auditoría
informática forense, realizada a un sistema o equipo electrónico, por un especialista
calificado, para ser parte de un proceso legal, como posible prueba. De acuerdo con
esta ISO, la evidencia digital es regida por tres principios fundamentales: la relevancia,
la confiabilidad y la suficiencia. Estos tres elementos definen la formalidad de cualquier
investigación, basada en evidencia digital. Esta normativa es muy útil para orientar a
aquellos responsables de la identificación, recolección, adquisición y preservación de
potencial evidencia digital, estos responsables incluyen tanto a los criminalistas de
campo, el especialista o perito informático forense, hasta los directores, jefes o
encargados de los laboratorios periciales. De esta manera se asegura que, las
personas responsables de gestionar la potencial evidencia digital, lo hagan con
prácticas aceptadas y reconocidas a nivel internacional, con el objetivo de realizar la
investigación de una manera sistemática e imparcial, preservando su integridad y
autenticidad. La norma también está destinada a aquellas personas, que necesitan
determinar la confiabilidad de la evidencia digital que se les presenta, por ejemplo,
aplicadores de la ley. La relación con esta investigación y las demás normativas y
buenas prácticas que se han considerado en ella, se vuelve bastante evidente. Es
necesario aclarar que La aplicación de esta norma internacional no sustituye las leyes,
antes bien, exige el cumplimiento de dichas leyes, normas y reglamentos nacionales.
No sustituye los requisitos legales específicos de cualquier jurisdicción, pero puede
servir de guía, para cómo se mencionó antes, ser aplicada por los criminalistas de
campo, los peritos informáticos forenses, los jefes de los laboratorios informáticos
forenses o unidades de análisis informático forense de la policía científica.
En resumen, Esta norma define claramente dos roles principales en la actuación
pericial informática: los especialistas que se presentan, en primera instancia a la
68
escena donde se encuentra la posible evidencia digital, en El Salvador sería el
criminalista de campo y el del especialista reconocido como perito informático. Los
primeros son quienes se encargan de las tareas de campo en procedimientos
judiciales, vinculadas con la identificación y preservación de la posible evidencia digital
y los segundos, son los que realizan el análisis informático forense, a esa posible
evidencia digital. Teniendo presente la escasez de especialistas en informática
forense, que se ha comprobado en esta investigación, es obvia la razón por la cual,
los miembros del personal policial denominados como criminalistas de campo, están
adecuadamente capacitados para realizar esta labor. Sin embargo, las etapas
metodológicas de análisis y presentación de evidencia digital, que usualmente se
realizan en laboratorio, deben quedar exclusivamente reservadas, para aquellos
profesionales informáticos especializados, conocidos como especialistas o peritos
informáticos, que son los responsables de la realización de la pericia informática.
Los criminalistas de campo, son los encargados de seguir los principios

y lineamientos establecidos en informática forense, durante el trabajo de
campo, para garantizar la autenticidad y confiabilidad de la evidencia
digital. Conforme determina el estándar, estos procedimientos procuran:
a) minimizar la manipulación de los dispositivos electrónicos o datos
digitales,
b) documentar todas las acciones y cambios que se hagan a la evidencia
digital, de forma tal que un experto independiente pueda validar y emitir
opinión respecto de la confiabilidad de la evidencia recolectada;
c) proceder conforme el marco legal aplicable de cada país;
d) el criminalista de campo no debe actuar más allá de su área de
competencia (Santiago Roatta, María Eugenia Casco, G. Fogliato, 2015).
69
2.4.6 ISO/IEC 27040:2015
Esta norma internacional llamada ISO/IEC 27040:2015 Tecnología de la

información, Técnicas de seguridad y Almacenamiento seguro,
suministra una orientación técnica detallada sobre cómo gestionar
eficazmente todos los aspectos de seguridad de almacenamiento de
datos, desde la planificación y el diseño, hasta la implementación y
documentación de un sistema de gestión para tal propósito (Global STD
Certification, 2018).
Esta norma Incluye:

 Orientación en la mitigación de riesgos de datos como la infracción o corrupción
de los mismos.
 Tomar en cuenta las nuevas tecnologías, así como las complejidades de
conectividad.
 Es compatible con los requisitos de algún Sistema de Gestión de Seguridad de
la Información según la norma ISO/IEC 27001:2013.
 Tecnología de la información.
 Técnicas de seguridad.
 Sistemas de gestión de la seguridad de la información y sus requisitos.
Sus principales objetivos son:

 Ayudar a llamar la atención a los riesgos;
 Ayudar a las organizaciones en un mejor aseguramiento de sus datos
cuando almacenan; y proporcionar una base para la auditoría, el diseño
y la revisión de los controles de seguridad de almacenamiento (Global
STD Certification, 2018).
2.4.7 ISO/IEC 27042:2015
Esta norma, trata el análisis y la interpretación de evidencias digitales, proporciona

guías sobre como un perito en informática forense, puede afrontar el análisis e
interpretación de una evidencia digital o tecnológica, en un incidente o en una
70
intervención pericial, desde su identificación y análisis, hasta que es aceptada como
prueba en un juicio y las partes que deben tener el informe; así también define
conceptos como examen, análisis e interpretación y refiere los modelos de análisis que
pueden utilizar los peritos informáticos.
El propósito fundamental de las normas forenses digitales, es promover

métodos y procesos de buenas prácticas para la incautación e
investigación forense de evidencia digital. Esta norma, ofrece una guía
sobre el proceso de análisis e interpretación de la evidencia digital, que,
por supuesto, es solo una parte del proceso forense; además, establece
un marco genérico que encapsula las buenas prácticas en esta área
(ISO27k information security, 2019).
Aparte de los controles probatorios estándar (mantenimiento de la cadena de custodia,

la documentación de rigor y otros), el estándar hace hincapié en la integridad de los
procesos de análisis y de interpretación, de tal manera que, aunque diferentes peritos
trabajen en la misma evidencia digital, esta debe arrojar los mismos resultados, o al
menos cualquier diferencia debe ser rastreable, por las elecciones que se hicieron en
el camino.
Dado el volumen, la variedad y la complejidad de la evidencia digital en

estos días, esto se vuelve un gran desafío, de ahí el impulso para la
estandarización, las buenas prácticas, la terminología común y los
enfoques sensatos y racionales. El estándar aborda temas como la
selección y el uso de herramientas forenses, además de la competencia
de los peritos (ISO27k information security, 2019).
Ahora que se ha explicado acerca de ciertos instrumentos que proporcionan normas

regulatorias o patrones de buenas prácticas, es necesario pasar a un siguiente punto
y adentrarse en lo que sirve de raíz y antesala a la auditoría informática forense.
71
2.5 Marco técnico
2.5.1 Seguridad informática
A raíz de que la auditoría informática forense, se fundamenta en el análisis e

informática forense, los cuales, desde el punto de vista de un técnico o especialista
informático, son parte de la disciplina conocida como Seguridad Informática, es
necesario realizar un marco técnico que brinde un panorama completo y demuestre
con conceptos y desde las bases, como funciona esta relación y como desde esta
disciplina se puede concluir en el concepto de una auditoría informática forense.
Seguridad Informática, consiste en asegurar que los recursos del sistema

de información de una organización, se utilizan en la manera que se
decidió y que el acceso a la información allí contenida, así como su
modificación solo sea posible por parte de las personas que se
encuentren autorizadas y dentro de los límites de su acreditación (López
P. A., 2010).
Las características principales de la seguridad informática pueden resumirse en:

 Confidencialidad,
 Integridad (seguridad de la información) y
 Disponibilidad.
Se debe tener en cuenta que tanto las amenazas, como los mecanismos para
neutralizarlas y contrarrestarlas suelen afectar a estas tres características de forma
conjunta, por tanto, un fallo del sistema que haga que la información no sea accesible,
puede llevar consigo una pérdida de integridad.
Ordinariamente tienen que existir las tres características descritas para que haya
seguridad. Dependiendo del ambiente en el que trabaje un sistema, a sus
responsables les interesara dar preferencia a un cierto aspecto de la seguridad. Junto
72
a estas tres características esenciales se suele estudiar conjuntamente la
autenticación y el no repudio.
Disponibilidad: se resume como la capacidad de un servicio, datos o de un sistema a

ser accesible y aprovechable para los usuarios o procesos autorizados cuando lo
requieran. También se refiere a la capacidad de que la información pueda ser
recobrada en el momento que se necesite.
Confidencialidad: se trata de la cualidad que debe poseer un documento o archivo para

que éste solo se entienda de manera comprensible o sea leído por la persona o
sistema que esté autorizado. Un ejemplo de control de la confidencialidad sería el uso
cifrado de clave simétrica en el intercambio de mensajes.
Integridad: es la cualidad que posee un documento o archivo que no ha sido alterado

y que, además, permite comprobar que no se ha producido manipulación alguna en el
documento original.
Alta disponibilidad: se refiere a sistemas que están disponibles las 24 horas al día, 7
días a la semana, 365 días al año.
La disponibilidad se presenta en niveles:

 Base: se produce paradas previstas e imprevistas.
 Alta: incluyen tecnologías para disminuir el número y la duración de
interrupciones imprevistas, aunque siempre existe alguna interrupción
imprevista.
 Operaciones continuas: utilizan tecnologías para segura que no hay
interrupciones planificadas.
 Sistemas de disponibilidad continua: se incluyen tecnologías, para asegurarse
que no habrá paradas imprevistas ni previstas.
 Sistemas de tolerancia al desastre: requieren de sistemas alejados entre sí,
para asumir el control en una interrupción provocada por un desastre.
73
Autenticación: es la capacidad de demostrar que un usuario o una aplicación, es
realmente quién dicha persona y/o aplicación asegura ser. Por ejemplo, se debe
considerar el caso de un usuario, que se conecta a un sistema especificando un ID de
usuario y una contraseña. El sistema utiliza el ID de usuario para identificar al usuario.
El sistema autentica al usuario en el momento de la conexión, comprobando que la
contraseña proporcionada es correcta.
No repudio: es un servicio de seguridad, estrechamente relacionado con la

autenticación y que permite probar la participación de las partes en una comunicación.
Existen 2 posibilidades:
 No repudio en origen: el emisor no puede negar el envío, porque el destinatario

tiene pruebas del mismo, el receptor recibe una prueba infalsificable del envío.
 No repudio de destino: el receptor no puede negar que recibió el mensaje,
porque el emisor tiene pruebas de la recepción.
Elementos vulnerables en un Sistema de Información.
Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia, es

necesario aclarar que no siendo posible la certeza absoluta, el elemento de riesgo está
siempre presente independientemente de las medidas que tomemos, por lo que
debemos hablar de niveles de seguridad, la seguridad absoluta no es posible y en
adelante, se entenderá que la seguridad informática es un conjunto de técnicas
encaminadas a obtener niveles altos de seguridad, la seguridad es un problema
integral, los problemas de seguridad informática no pueden ser tratados aisladamente,
ya que la seguridad de todo el sistema es igual a su punto más débil.
El uso de sofisticados algoritmos y métodos es inútil si no garantizamos

la confidencialidad de las estaciones de trabajo, por otra parte, existe
algo que los hackers llaman ingeniería social, que consiste simplemente
74
en conseguir mediante un engaño, que los usuarios autorizados revelen
sus contraseñas, por lo tanto, la educación de los usuarios es
fundamental para que la tecnología de seguridad pueda funcionar (López
P. A., 2010).
Los tres elementos principales a proteger en cualquier sistema informático son el

software, el hardware y los datos. Por hardware entendemos el conjunto de todos los
elementos físicos de un sistema informático, como CPU, terminales, cableados,
medios de almacenamiento secundarios, tarjeta de red, entre otros.
Por software entendemos el conjunto de programas lógicos que hacen funcionar el

hardware, tanto sistemas operativos como aplicaciones y finalmente, por datos el
conjunto de información lógica. Generalmente los datos constituyen el elemento que
es el más amenazado y seguramente el más difícil de recuperar. También tenemos
que ser conscientes de que las medidas de seguridad que deberán establecerse,
comprenden el hardware, el sistema operativo, las comunicaciones, medidas de
seguridad física, controles organizativos y legales.
2.5.2 Amenazas
Las amenazas de un sistema informático, pueden provenir desde un hacker remoto

que entra en un sistema, desde un troyano, pasando por un programa descargado de
forma gratuita que ayuda a gestionar fotos, pero que supone una puerta trasera al
sistema, permitiendo la entrada a espías, hasta la entrada no deseada al sistema,
mediante una contraseña de bajo nivel de seguridad; se pueden clasificar por tanto en
amenazas provocadas por personas, lógicas y físicas. Existe una relación entre los
elementos que potencialmente pueden amenazar al sistema. El primer elemento son
las personas, la mayoría de los ataques al sistema van a provenir de forma
intencionada o inintencionada de personas y pueden causar enormes pérdidas. A
continuación, se describen brevemente, los diferentes tipos de personas que pueden
constituir un riesgo para los sistemas:
75
 Personas o Personal (comprende desde personas dentro la
organización, hasta personas ajenas a la estructura informática, que
pueden comprometer la seguridad de los equipos)
 Ex-empleados (generalmente se trata de personas descontentas con la
organización, que pueden aprovechar debilidades de un sistema del que
conocen perfectamente, pueden insertar troyanos, bombas lógicas, virus
o simplemente conectarse al sistema, como si aún trabajaran en la
organización)
 Curiosos (son los atacantes junto con los crackers, que más se dan en
un sistema) o Hackers (una persona que intenta tener acceso no
autorizado, a los recursos de la red con intención maliciosa, aunque no
siempre tiende a ser esa su finalidad)
 Crackers (es un término más preciso para describir una persona, que
intenta obtener acceso no autorizado a los recursos de la red, con
intención maliciosa)
 Intrusos remunerados (se trata de personas con gran experiencia en
problemas de seguridad y un amplio conocimiento del sistema, que son
pagados por una tercera parte, generalmente para robar secretos o
simplemente, para dañar la imagen de la organización) (López P. A.,
2010).
 Amenazas lógicas.
 Software incorrecto. Principalmente son dos cosas, los errores de
programación a los que se llama Bugs y los programas que sirven para
aprovechar uno de estos fallos y se les llama Exploits.
 Herramientas de seguridad. Cualquier herramienta de seguridad puede
ser un arma de doble filo, de la misma forma que un administrador las
utiliza para detectar y solucionar fallos en sus sistemas o la subred
completa, un intruso las puede utilizar para detectar esos mismos fallos
y aprovecharlos para atacar los equipos.
 Puertas traseras. Durante el desarrollo de aplicaciones o sistemas
operativos, es usual entre los programadores insertar atajos en los
76
sistemas de autenticación del programa o él núcleo de sistema que se
está diseñando. Se les llama puertas traseras y son parte del código de
ciertos programas que permanecen sin hacer ninguna función, hasta que
son activadas, en ese punto la función que realizan no es la original del
programa, sino, una acción perjudicial.
 Canales cubiertos. Son canales de comunicación que permiten a un
proceso, trasladar información de forma que se vulnere la seguridad del
sistema.
 Virus. Es una secuencia de código que se inserta en un fichero ejecutable
denominado huésped, de manera que cuando el archivo se ejecuta el
virus también lo hace, insertándose a sí mismo en otros programas.
 Gusanos. Son programas capaces de ejecutarse y propagarse por sí
mismos a través de redes, en ocasiones portando virus o aprovechando
bugs de los sistemas a los que se conectan para dañarlos, al ser difíciles
de programar no soy muy comunes pero el daño que causan es grave.
 Caballos de Troya. Son instrucciones escondidas en un programa, de
forma que este aparente realizar, las tareas que el usuario espera de él
pero realmente ejecuta funciones ocultas.
 Programas conejo o bacterias. Bajo este nombre se conoce a un
programa que no hace nada útil, sino, que simplemente se delimitan a
reproducirse, hasta que el número de copias acaba con los recursos del
sistema, produciendo una negación del servicio.
 Amenazas físicas. Robos, sabotajes, destrucción de sistemas,
suministro eléctrico, condiciones atmosféricas, catástrofes naturales,
entre otras (López P. A., 2010).
2.5.3 Seguridad física
Principios de la seguridad física. La seguridad física consiste en la aplicación de

barreras físicas y procedimientos de control como medidas de prevención y contra
medidas ante amenazas a los recursos y la información confidencial, se refiere a los
controles y mecanismos de seguridad dentro y alrededor de la obligación física de los
77
sistemas informáticos, así como los medios de acceso remoto al y desde el mismo,
implementados para proteger el hardware y medios de almacenamiento de datos.
“Cada sistema es único, por lo tanto, la política de seguridad a implementar no será

única, es por ello que siempre se recomendarán pautas de aplicación general y no
procedimientos específicos” (López P. A., 2010).
La seguridad física, está enfocada a cubrir las amenazas, ocasionadas tanto por el
hombre, como por la naturaleza del medio físico donde se encuentra ubicado el centro.
Las principales amenazas que se ven en la seguridad física, son amenazas
ocasionadas por el hombre, como robos, destrucción de la información, disturbios,
sabotajes internos y externos, incendios accidentales, tormentas e inundaciones.
2.5.4 Seguridad lógica
La mayoría de los daños que puede sufrir un sistema informático, no será solo hacia
los medios físicos, sino, contra información almacenada y procesada (datos).
El activo más importante que se posee es la información y por tanto

deben existir técnicas más allá de la seguridad física que la resguarde,
estas técnicas las brinda la seguridad lógica. En otras palabras, la
seguridad lógica consiste en la aplicación de defensas y procedimientos
que resguarden el acceso a los datos y solo se permita acceder a ellos a
las personas autorizadas.
Los objetivos que se plantean son:

 Restringir el acceso desde el arranque (BIOS) al sistema operativo, los
programas y archivos.
 Asegurar que los usuarios puedan trabajar sin una supervisión
meticulosa y no puedan modificar los programas ni los archivos que no
correspondan.
78
 Asegurar que se estén utilizando los datos, archivos y programas
correctos en y por el procedimiento correcto, analizando periódicamente
los mismos (López P. A., 2010).
2.5.5 Seguridad de redes
La Seguridad en redes, tiene el objetivo de mantener el intercambio de información

libre de riesgo y proteger los recursos informáticos de los usuarios y las
organizaciones. Generalmente, se encuentra amenazada por riesgos que van de la
mano con el aumento del uso de internet en las instituciones de todos los ámbitos.
En este sentido, preservar la seguridad en redes también debe

considerar riesgos, como ataques de virus, códigos maliciosos, gusanos,
caballos de Troya y hackers. Asimismo, con la adopción de internet,
como instrumento de comunicación y colaboración, los riesgos han
evolucionado y las organizaciones deben enfrentar ataques de negación
de servicio y amenazas combinadas. Es decir, la integración de
herramientas automáticas de hackeo, accesos no autorizados a los
sistemas, capacidad de identificar y explotar las vulnerabilidades de los
sistemas operativos o aplicaciones para dañar los recursos informáticos
(López P. A., 2010).
En otras palabras, las amenazas informáticas, no solamente incluyen troyanos en los

sistemas o software espías que utilizan las plataformas convencionales de ataque.
Además, existen intervenciones que manipulan el significado del contenido virtual,
provocando confusión del usuario y permitiendo la intrusión en los sistemas. Por otro
lado, es importante considerar que la seguridad en redes, también puede ser
vulnerable desde el interior de las organizaciones. Es decir, existen dos tipos de
amenazas: internas y externas.
Las amenazas internas pueden ser más serias que las externas, porque los IPS y
Firewalls son mecanismos no efectivos en amenazas internas, los usuarios conocen
79
la red, saben cómo es su funcionamiento y tienen algún nivel de acceso a ella. Esta
situación se presenta debido a los esquemas ineficientes de seguridad, con los que
cuentan la mayoría de las compañías y porque no existe conocimiento relacionado con
la planeación de un esquema de seguridad eficiente, que proteja los recursos
informáticos de las actuales amenazas combinadas. El resultado es la violación de los
sistemas, provocando la pérdida o modificación de los datos sensibles de la
organización, lo que puede representar un daño. En cuanto a las amenazas externas,
que se originan fuera de la red. Al no tener información certera de la red, un atacante
tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar
la manera de atacarla. La ventaja que se tiene en este caso, es que el administrador
de la red puede prevenir una buena parte de los ataques externos.
2.5.6 Informática forense
Siguiendo la ruta lógica que se ha trazado, luego de describir lo que compone a la

seguridad informática, el siguiente eslabón en la cadena es la informática forense,
como ya se detalló en el capítulo anterior, hay muchos conceptos sobre este tema y
además la informática forense acompaña al hombre desde los años setenta, en esta
sección de la investigación, se abordará específicamente todo lo que compone y se
relaciona con la informática forense. Para esto se detallan algunos conceptos, como
se mencionaba antes, desde el punto de vista práctico de un técnico en computación,
la computación forense es definida como una serie de procedimientos que permiten,
en lo posible, recopilar y analizar datos de un modo tal, que los mismos estén libres de
distorsión o de cualquier contaminación, para así poder reconstruir otros datos o para
determinar lo que sucedió anteriormente en un sistema de computación. Por otra parte,
desde el punto de vista criminológico, la computación forense es un macro
procedimiento, que permite identificar, preservar, analizar y presentar evidencias
digitales de forma que puedan aceptarse legalmente.
Y es que, para el mundo académico, la computación forense es una rama de la ciencia

forense digital, cuya razón de ser, es fundamentar adecuadamente los correctos y
80
estrictos procesos, que conducen a satisfacer los requerimientos legales en el ámbito
digital de los sistemas judiciales.
Es indispensable que los profesionales de las agencias encargadas de auxiliar el

proceso de administración de justicia, conozcan las diferentes fuentes de la evidencia
digital y como su tratamiento inadecuado puede afectar toda la investigación.
La informática forense surge como una rama de las ciencias forenses, una disciplina
auxiliar a la justicia, que consiste en la aplicación de técnicas que permiten adquirir,
validar, analizar y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional.
Delito informático. El Dr. Julio Téllez Valdés define al Delito Informático

como “una conducta típica, antijurídica y culpable en que se tiene a las
computadoras como instrumento o fin”, es decir, como instrumento para
cometer cualquiera de los delitos ya tipificados, o como un fin en sí
mismo. Por ejemplo, en una estafa a través de sistemas informáticos, la
informática es el medio; en cambio, en el caso de la distribución de virus
informáticos, la informática es el fin (Sansevero, 2012).
Evidencia digital. De acuerdo con el Dr. Kyung-Shick Choi (2015), la

evidencia digital se refiere, a todos los datos digitales que pueden ser
utilizados para determinar, si un crimen fue materializado o proporciona
los elementos vinculantes entre el delito, él o los criminales y la o las
víctimas. Esta información, los datos digitales, son el producto de una
sociedad cada día más conectada y deja rastros de los comportamientos
de los individuos, ya sea durante sus rutinas diarias o de su actuar en
contra de la ley (Toro-Alvarez, 2018).
La evidencia digital es invisible a simple vista, fácilmente modificable, frágil y no se

podría distinguir en el caso de que fuera duplicada con procedimientos forenses.
81
La evidencia digital tiene material masivo y varios formatos y se transfiere a través de
redes cableadas o inalámbricas. Hay muchos tipos de pruebas (evidencias) digitales
que se encuentran en la escena del crimen, pero la más convencional es el sistema
informático. Los sistemas informáticos en general incluyen, pero no se limitan, a
computadoras personales, portátiles, servidores web, servidores de mensajería,
servidores de juegos, servidores de archivos, servidores de bases de datos y
servidores de correo electrónico. Como ya sabemos, un servidor es el sistema
informático que proporciona un servicio al cliente, que responde a la solicitud
usualmente enviada a través de Internet. El servicio puede incluir correo electrónico,
interacción web, bases de datos, video juegos y otros.
Medios de almacenamiento de evidencia digital. El uso generalizado de computadoras

y otros dispositivos digitales, ha dado lugar a un aumento significativo en el número de
diferentes tipos de medios que se utilizan para almacenar archivos digitales, los cuales
pueden convertirse en evidencia dentro de un proceso investigativo. Los almacenes
de datos incluyen la unidad de disco duro de un computador, un disco de estado sólido,
el disquete, el disco compacto, el disco versátil digital, la unidad Zip, la unidad de cinta,
el almacenamiento USB (también conocido como “Unidad Flash” o memoria USB) y la
tarjeta de memoria. Estos almacenadores de datos se pueden encontrar en cualquier
escena del crimen y son fuentes muy confiables de evidencia criminal.
Además de los tipos de medios tradicionales, los archivos suelen almacenarse en

dispositivos de consumo, tales como teléfonos celulares, así como en los nuevos tipos
de medios, como tarjetas de memoria flash, relojes inteligentes y vehículos aéreos no
tripulados, mejor conocidos como drones.
En solo 10 años, el teléfono móvil pasó de ser un artículo de lujo a un elemento de

consumo de necesidad. Incluso el teléfono móvil más simple y barato tiene la
capacidad de almacenar libretas de direcciones, información de programación,
registros de llamadas y otros. Los registros de llamadas pueden proporcionar una
excelente evidencia, así como también los mensajes de texto o multimedia.
82
La naturaleza de la información que los usuarios están dispuestos a transmitir,
utilizando servicios de tecnología puede ser bastante asombrosa.
En estos tiempos una persona que lleve consigo un teléfono inteligente, es sinónimo
de poseer mucha capacidad de almacenamiento interno de información. Para obtener
una imagen completa del uso de un teléfono móvil, a menudo es necesario obtener los
registros de facturación. Los teléfonos móviles no conservan información como la
duración de todas las llamadas realizadas. Sin embargo, el proveedor de la red de
telefonía móvil conserva esa información importante para las investigaciones de
cibercrimen. De igual manera las tabletas también pueden ser usadas como teléfonos
o en su defecto como pequeñas computadoras personales. Sobre otra categoría de
dispositivos se encuentran aquellos que se encargan de conectar los equipos a una
red, ya sea esta internet o una red privada. Esta categoría incluye los dispositivos de
red; por lo general, una computadora requiere conectarse a un enrutador (dispositivo
de red) facilitado por la empresa Proveedora del Servicio de Internet (ISP), con el fin
de acceder a ese servicio. Entre el enrutador e internet a veces se configuran
dispositivos cortafuegos (firewalls) o en su defecto son implementados mediante
software en la computadora del usuario.
En las organizaciones donde se requieren conectar más computadoras al enrutador y
administrar subredes dentro de la corporación, se utilizan los equipos denominados
switches o concentradores (hubs). No obstante, algunos equipos pueden cumplir
varias funciones (ser switches y enrutadores al mismo tiempo o enrutadores y firewalls)
o configurar sistemas más complejos, como los de identificación de intrusos (IDS). En
el caso de encontrar enrutadores, firewalls o switches físicos, el investigador puede
acceder a ellos y obtener registros valiosos acerca del comportamiento en internet, en
una escena de ciberdelito. Los hubs son dispositivos muy básicos que sirven como
multiconectores de red, pero no graban ni permiten configuraciones de conectividad.
No obstante, es necesario tener en cuenta que cada dispositivo de red puede mantener
registros de inicio de sesión o el tráfico de red, y estos son los recursos más valiosos
para la investigación de delito cibernético.
83
Por otra parte, las cámaras digitales y las cámaras de vídeo ofrecen evidencia de
primera clase. Las tarjetas de memoria de alta capacidad, o memory stick, pueden
almacenar cualquier tipo de archivos. Esta capacidad hace que las cámaras digitales
y cámaras de vídeo sean los medios ideales para transportar datos ocultos. En esta
categoría se deben analizar los circuitos cerrados de televisión, los cuales, además de
videograbadoras, también incorporan equipos de almacenamiento de evidencia
multimedia. Además de los anteriores equipos existe una amplia gama de dispositivos
que no son generalmente reconocidos como fuentes iniciales de evidencia digital, pero
almacenan datos valiosos. Entre estos encontramos reproductores de música, iPods,
consolas de videojuegos, grabadoras de DVD y algunos electrodomésticos como
televisores inteligentes y sensores. Varios dispositivos de almacenamiento tienen la
facilidad de conectar una tarjeta de memoria que puede ser el lugar ideal para ocultar
datos relevantes en una investigación. También encontramos las unidades de
navegación por satélite, las cuales se han vuelto extremadamente comunes y
relativamente baratas.
Una unidad de navegación por satélite puede contener pruebas cruciales relativas a
los movimientos de un sospechoso y descartar hipótesis hechas por el investigador
basadas en reportes externos de ubicación, como publicaciones falsas en redes
sociales por parte del ciberofensor.
Información y equipos como evidencia en una investigación. Es

importante identificar los diferentes roles de la evidencia considerando
las diversas formas del delito informático o el ciberdelito. Por lo tanto,
consideremos las siguientes categorías de ciberdelincuencia criminal
que fueron propuestas por el Dr. David L. Carter (1995):
A.1. La computadora como objetivo (por ejemplo, intrusión en la

computadora, robo de datos, tecno vandalismo, intrusión tecnológica).
84
A.2. La computadora como instrumento del crimen (por ejemplo, fraude
con tarjeta de crédito, fraude de telecomunicaciones).
A.3. La computadora como incidental a otros crímenes (por ejemplo,

tráfico de drogas, lavado de dinero, pornografía infantil).
A.4. Delitos asociados con la prevalencia de computadoras (por ejemplo,

violación de derechos de autor, piratería de software, robo de
componentes). En este contexto, el hardware se refiere a todos los
componentes físicos de una computadora y la información se refiere a
los datos y programas que se almacenan o transmiten mientras se utiliza
una computadora. Las tres categorías finales que se refieren a la
información caen bajo las formas de evidencia digital.
1. El hardware como contrabando o frutos del crimen.

2. El hardware como instrumento.
3. El hardware como evidencia.
4. La información como contrabando o fruto del crimen.
5. La información como instrumento.
6. Información como prueba (Toro-Alvarez, 2018).
La ciencia forense se define generalmente, como la aplicación de la ciencia a la ley.

La informática forense, también conocida como forense de computadoras y de la red,
tiene muchas definiciones. En general, se considera la aplicación de la ciencia a la
identificación, recolección, examen y análisis de datos, preservando al mismo tiempo
la integridad de la información y manteniendo una estricta cadena de custodia de la
misma.
“Personal forense. Prácticamente, cada funcionario integrante de una unidad

investigativa, necesita ser capaz de realizar procedimientos de informática forense. Sin
85
tal capacidad, la investigación tendrá dificultades para determinar qué eventos han
ocurrido dentro de los sistemas informáticos y redes” (Toro-Alvarez, 2018).
Investigadores forenses. Los investigadores forenses normalmente son

responsables de investigar las denuncias de actividades delictivas. El
investigador forense, es un experto analista digital forense, que tiene un
profundo conocimiento de las circunstancias próximas del caso y la
capacidad de aplicar el conocimiento integral directamente en el examen
forense. Las instituciones policiales tienden a tener unidades dedicadas
a la cibercriminalidad (Toro-Alvarez, 2018).
Es importante señalar que los objetivos deben ser claramente establecidos durante la
investigación y el investigador forense debe tener la mayor información de
antecedentes sobre el caso como sea posible. El investigador forense usualmente usa
muchas técnicas y herramientas forenses.
2.5.7 Perfil del perito informático forense
Uno de los objetivos de esta investigación es proporcionar el perfil, que debe acreditar
el profesional encargado de realizar una auditoría informática forense, en un proceso
judicial en El Salvador, ya que, para cumplir adecuadamente con el debido proceso,
es necesario que las personas que realicen este trabajo, tengan capacidad e idoneidad
para llevarlo a cabo.
Para responder a este objetivo, la descripción de dicho perfil se basa en los requisitos
aplicados tanto en la Unidad de Investigación de Delitos Informáticos cómo en la
Sección de Delitos Tecnológicos, ambas dependencias de la PNC, encargadas una
por un lado de la Investigación de los posibles delitos informáticos y la otra del análisis
forense de laboratorio de casos de posibles delitos informáticos.
El personal de la Unidad de Investigación de Delitos Informáticos, del cual se omiten

los nombres a raíz de solicitarlo explícitamente, ante la pregunta: ¿Cuál es la
86
capacidad técnica o perfil ideal que debe cumplir una persona para ser parte de la
División Central de Investigaciones, específicamente de la Unidad de Delitos
Tecnológicos?
Respondieron: “Tres años de experiencia como investigador, conocimientos afines a

las ciencias informáticas, aprobar evaluaciones psicológica y poligráfica, entre otras”.
Y El Cabo Zelaya Aquino y el Cabo Henrríquez Molina de la Sección de Delitos

Tecnológicos ante la pregunta: ¿Cuál es la capacidad técnica o el perfil ideal o real
que debe cumplir una persona para pertenecer a esta sección?
Respondieron: que dentro de la institución policial existen dos áreas, la administrativa

y la operativa, esta sección está formada por esos mismos elementos, personal
administrativo y personal operativo, el personal operativo son aquellos elementos que
han sido un policía de carrera, formados en la Academia Nacional de Seguridad
Pública, al que dependiendo de si tiene estudios relacionados a la informática, se le
da una oportunidad para formar parte de la sección, además en la actualidad se
someten a un proceso de selección para ser miembro o pertenecer a la sección, el
estudio requerido va desde técnicos en informática hasta licenciados o ingenieros,
además para pertenecer a cualquiera de las secciones que conforman la división es
rigor la prueba del polígrafo, si una persona cumple los demás requisitos pero no pasa
la prueba del polígrafo, es descartada, porque lo que se busca es que la persona que
funja sea íntegra, además es importante la auto capacitación y las capacitaciones que
se brindan acá, en la división que nos va orientando al área forense. Cabo Henrríquez
Molina: perdón ahí hay un detalle, la informática como tal en el país se encuentra
regida como una carrera, pero no van a encontrar lo que es la informática forense,
entonces para formarse como técnico en el área forense, pues casi forzosamente hay
que pertenecer en este caso a la Policía o la Fiscalía, que son los únicos entes del
estado que preparan personal para realizar este tipo de peritaje, entonces ya partiendo
sobre la base que (el interesado) tiene un técnico, licenciatura, ingeniería, en
cualquiera de las carreras afines a la informática, sobre eso se dan una serie de
87
capacitaciones, que en este caso son (brindadas) por organismos internacionales,
donde participa personal del FBI, de la ONU, de la UNODC, INTERPOL, ABA ROLI y
otra serie de cooperantes internacionales, que nos van preparando para el campo de
la informática (forense) entonces en el país no existe la carrera de nada relacionado a
lo forense, se tiene que ir a trabajar a alguna institución del estado para que ahí lo
preparen, como el caso de los doctores, no existe como tal la carrera de medicina
forense, siendo médico se va luego a sacar cursos forenses, ya puntualmente, la
capacidad técnica de un perito de la Sección de Delitos Tecnológicos es el estudio
formal relacionado con la informática que haya tenido más la preparación técnica
forense inducida por organismos internacionales.
Ahora bien, visto desde el aspecto legal, cuando es necesario que un juez valore un
medio de prueba que requiere un conocimiento fuera de su alcance, es necesaria la
actuación de un perfil experto, independiente y confiable, que pueda valorar los hechos
de una manera científica y objetiva, es decir el perito es una figura legal, definida en la
Ley como un experto en un área de conocimiento o práctica.
En El Salvador esta figura legal se apoya en los Artículos 226 y 227 del CPP, tal como
se muestra en el marco legal de esta investigación, el Artículo 226 explica cuando el
juez considerará necesario la intervención de un peritaje.
Artículo 226. El juez o tribunal ordenará peritajes, cuando para descubrir

o valorar un elemento de prueba, sea necesario o conveniente poseer
conocimientos especiales en alguna ciencia, arte o técnica. En los actos
urgentes de comprobación que no requieran autorización judicial el fiscal
podrá disponer el auxilio de peritos. Los peritos serán de dos clases:
Permanentes o accidentales.
Son peritos permanentes:

a) Los nombrados por la Corte Suprema de Justicia en el Instituto de
b) Los técnicos y especialistas de la Policía Nacional Civil.
88
c) Los especialistas de las facultades y escuelas de la Universidad de El
autónomas.
d) Los directores o jefes de los centros asistenciales del Estado o los que
aquéllos designen.
e) Los miembros de cualquier asociación o institución cuya finalidad sea el
Son peritos accidentales los que nombre la autoridad judicial para una pericia
determinada. En el caso de los peritos permanentes no será necesaria
su juramentación o protesta para la práctica de las diligencias; su salario
habitual serán sus honorarios y la institución para la cual trabajan estará
obligada a conceder el permiso para la pericia (Decreto N° 733, Código
El Artículo 227 describe de manera general el perfil de los peritos.
Artículo 227. Los peritos deberán tener título en la materia a que

pertenezca el punto sobre el que han de pronunciarse, siempre que la
designarse a personas de idoneidad manifiesta. También podrá
designarse a un perito con título obtenido en el extranjero cuando posea
una experiencia o idoneidad especial (Decreto N° 733, Código Procesal
Penal, 2008).
Este Artículo manifiesta que, si el peritaje que se requiere es de una profesión, arte o
técnica que no esté reglamentado, podrá designarse a personas de idoneidad
manifiesta, y este es el caso precisamente de la auditoría informática forense.
Tal como lo ha comprobado la investigación de las mallas curriculares de las
instituciones de educación superior de El Salvador y como lo manifestaron los
89
especialistas en peritaje forense de la PNC, no existe una carrea como tal que forme
profesionales en esta rama de la informática. Una vez analizados todos estos aspectos
es posible resumir el perfil de un perito informático forense de la forma siguiente.
El especialista en informática forense, es un profesional capacitado para realizar

análisis forenses, extraer información de dispositivos físicos, investigar evidencias
encontradas en dispositivos y equipos informáticos, concluir a partir de las evidencias
encontradas y plasmar dichas conclusiones en un informe que es capaz de defender
en tribunales judiciales con un lenguaje sencillo y llano, ajeno a tecnicismos que
podrían confundir al juez.
En El Salvador, según la Unidad (de Investigación) de Delitos Informáticos, encargada

de la investigación relacionada con los delitos informáticos y la Sección de Delitos
Tecnológicos, que realizan la función del perito informático forense, debe cumplir
además los siguientes requisitos:
 Estudios relacionados con la informática desde técnicos hasta licenciados o

ingenieros.
 Aprobar la prueba de polígrafo, ya que se busca personas íntegras.
 Auto capacitación constante.
 Capacitaciones y Certificaciones, los peritos informáticos deben recibir
diferentes tipos de capacitaciones y certificaciones de parte de instituciones
nacionales e internacionales, entre las que se pueden mencionar: la FGR, la
ANSP, el FBI, INTERPOL, ABA ROLI, el INL, ICTAP, la ONU y sus
dependencias como la UNODC la UNICEF, entre otras; del mismo modo,
capacitaciones y certificaciones internas.
Perfil del perito propuesto.
 Ingeniero o licenciado en sistemas informáticos, con amplio conocimiento en la

materia.
90
 Técnicos en el ramo de la informática, con amplios conocimientos en la rama
forense.
 Buena redacción
 Conocimientos solidos de criminalística.
 Conocimientos de las normas nacionales e internacionales en cuanto al manejo
de la evidencia electrónica y digital
 Estabilidad emocional.
 Facilidad de expresión.
 Conocimientos básicos del derecho procesal y leyes relacionadas al campo
91
Capítulo 3. Metodología
3.1 Metodología
El proceso que se siguió para el desarrollo de esta investigación, se basó en la

descripción paso a paso de las actividades que se realizan previamente al
procesamiento de los equipos informáticos, el procesamiento de los dispositivos de
almacenamiento con software especializados, la restauración de archivos y la
recuperación de archivos borrados.
3.2 Diseño de la investigación
Diseño de proceso de auditoria informática forense y su utilidad en el sistema judicial

en El Salvador.
En el capítulo 2, se hizo referencia a las instituciones de educación superior de El

Salvador y a la importancia que dichas instituciones han dado a la auditoría informática
forense, analizando sus mallas curriculares actuales, ya sea para carreras
universitarias, carreras técnicas, cursos, maestrías, postgrados o diplomados, como
se evidenciará más adelante, al analizar esta información se pudo comprobar que
existe una problemática en este ramo de la educación y es que no se ha considerado
lo suficiente, a la informática forense y el análisis informático forense, mucho menos la
auditoría informática forense, entre los conocimientos básicos necesarios para un
informático, tampoco se ha considerado la creación de una carrera especializada en
esta rama de la informática.
La tabla 1 muestra las instituciones de educación superior en las cuales hay escuelas
que imparten carreras afines a la informática, de estas instituciones se obtuvo la malla
curricular de cada una, para observar si de alguna forma se está capacitando y
formando profesionales con conocimiento en auditoría informática forense.
92
Tabla 1. Instituciones de educación superior con carreras y / o materias relacionadas con la auditoría
informática forense.
Materias que Materias
tienen alguna estrechamente
relación con relacionadas con
N° de
N° Institución de educación superior Carreras Auditoría Auditoría
Carreras
Informática Informática
Forense en Forense en esta
esta carrera carrera
Ingeniería en
1 1 0
desarrollo del software
Técnico en hardware
2 0 0
Escuela Especializada en Ingeniería computacional
1
ITCA-FEPADE Técnico en ingeniería
3 0 0
de redes informáticas
Técnico en sistemas
4 0 0
informáticos
Técnico en Ingeniería
Escuela Superior Franciscana
2 5 de Desarrollo de 0 0
Especializada (ESFE)/AGAPE
Software
6 de desarrollo de 0 0
Software
Instituto Tecnológico de Chalatenango, Técnico en Ingeniería
3 7 0 0
ITCHA en Computación
Técnico en
8 Mantenimiento de 0 0
Computadoras
Licenciatura en
9 Ciencias de la 1 0
Computación
Técnico en Desarrollo
Universidad Salvadoreña Alberto 10 0 0
4 de Software
Masferrer, USAM
Técnico en Redes de
11 0 0
Computación
Técnico en Sistemas
12 0 0
de Computación
Ingeniería en Sistemas
13 1 0
y Computación
Licenciatura en
5 Universidad Andrés Bello, UNAB 14 2 0
Computación
Técnico en
15 0 0
Computación
Universidad Capitán General Gerardo Maestría en Ingeniería
6 16 0 0
Barrios, UGB Web
93
Ingeniería en Manejo y
17 Gestión de Bases de 1 0
Datos
Ingeniería en Diseño y
18 Desarrollo de 0 0
Videojuegos
Ingeniería en sistemas
19 1 0
y redes informáticas
20 en Sistemas y Redes 0 0
Informáticas
Ingeniería en
21 0 0
Desarrollo de Software
Licenciatura en
22 Sistemas Informáticos 0 0
Universidad Católica de El Salvador, Administrativos
7
UNICAES Ingeniería en Sistemas
23 2 0
Informáticos
Ingeniería en
24 Telecomunicaciones y 0 0
Redes
Universidad Centroamericana José
8 25 Ingeniería Informática 0 0
Simeón Cañas, UCA
Universidad Cristiana de las Asambleas Ingeniería en Ciencias

9 26 0 0
de Dios, UCAD de la Computación
Licenciatura en
27 Ciencias de la 1 1
Computación
10 Universidad de Oriente, UNIVO Técnico en ciencias de
28 0 0
la Computación
Técnico en Desarrollo
29 1 0
de Software
11 Universidad de Sonsonate, USO 30 1 0
Computacionales
Diplomado de
31 Especialización en 3 1
Seguridad Informática
Maestría en Seguridad
32 y gestión de riesgos 2 1
12 Universidad Don Bosco, UDB
informáticos
Ingeniería en Ciencias
33 1 0
de la Computación
34 0 0
en Computación
94
Licenciatura en
Universidad Dr. José Matías Delgado,
13 35 Tecnologías de la 1 0
UJMD
Información
Ingeniería en
Desarrollo de
36 0 0
Contenidos Digitales y
Robótica Aplicada
Universidad Evangélica de El Salvador,
14 Ingeniería en Sistemas
UEES 37 1 0
Computacionales
Técnico en Redes y
38 Tecnologías 0 0
Informáticas
Ingeniería en
39 0 0
Desarrollo de Software
Ingeniería en Gestión
40 0 0
de Bases de Datos
Ingeniería en
41 Desarrollo de 0 0
15 Universidad Francisco Gavidia, UFG Videojuegos
Licenciatura en
Sistemas de
42 1 0
Computación
Administrativa
43 0 0
de Computación
Licenciatura en
44 Ciencias de 1 0
Computación
Universidad Luterana de El Salvador,
16 Técnico en el
ULS
Desarrollo de
45 0 0
Aplicaciones
Informáticas
46 Técnico en Software 0 0
17 Universidad Modular Abierta, UMA Licenciatura en
47 2 0
Informática
Licenciatura
48 0 0
Informática Educativa
18 Universidad de El Salvador, UES
49 0 0
Informáticos
Licenciatura en
Universidad Oscar Arnulfo Romero,
19 50 Ciencias de la 2 0
UMOAR
Computación
Ingeniero en Sistemas
51 1 0
y Computación
20 Universidad Pedagógica de El Salvador
52 0 0
de la Computación
95
Licenciatura en
53 2 0
Gerencia Informática
54 2 0
Universidad Politécnica de El Salvador, de la Computación
21
UPES Técnico en ciencias de
55 0 0
la Computación
56 0 0
de la Computación.
Ingeniería en Gestión
57 1 0
de Bases de Datos
Licenciatura en
administración de
58 1 0
empresas con énfasis
en computación
Licenciatura en
59 0 0
informática
Universidad Tecnológica de El Salvador,
22 Técnico en Ingeniería
UTEC
60 en Redes 0 0
Computacionales
61 0 0
de Software
62 0 0
de Hardware
Maestría en
63 1 0
Criminología
Maestría en Auditoría
64 0 0
Forense
Fuente: Elaboración propia.
96
Ilustración 6. Materias relacionadas con auditoría informática forense (2019)
De todas las instituciones de educación superior y de las carreras que actualmente

ofrecen dichas instituciones, hay solo 34 materias que tienen alguna relación con la
auditoría informática forense, y solo 3 que tienen estrecha relación con ella. Estas 3
materias son más que todo en la Maestría en Seguridad y Gestión de Riesgos
Informáticos y en el Diplomado Especializado en Seguridad Informática, ambos
impartidos por la Universidad Don Bosco, así como en la Universidad de Oriente
UNIVO, que tiene una materia en la carrera llamada Licenciatura en Ciencias de la
Computación.
Se puede concluir, que es relativamente poco el interés que muestran las instituciones
de educación superior, a la hora de considerar la temática de la auditoría informática
forense, razón por la cual son pocas las personas que pueden especializarse en dicha
rama de la informática.
97
En esta otra gráfica se pudo
observar que, de un total de
64 materias impartidas en
todas las instituciones de
educación superior, solo 34
de ellas tenían alguna
relación con la auditoría
informática forense y solo 3
tenían estrecha relación
con ella.
Ilustración 7. Materias impartidas en las carreras relacionadas con la informática (2019)
98
En la gráfica anterior en
cambio se observó que
sólo en 14 de 22
instituciones de
educación superior
contaban entre sus
carreras con materias
con alguna relación con
la auditoría informática
forense, y solo en 2
instituciones de
educación superior
contaban con materias
que tuvieran una
estrecha relación con la
auditoría informática
forense.
Ilustración 8. Carreras de las instituciones de educación superior con materias relacionadas con la
informática forense (2019)
99
Por otro lado, se realizó una solicitud de información pública, esto gracias al decreto
N° 534 Ley de Acceso a la Información Pública, a la PNC, específicamente a la Sección
de Delitos Tecnológicos, en adelante (SDT), de la cual se obtuvo la siguiente
información mostrada en la imagen.
Ilustración 9. Estadísticas sobre casos y dispositivos analizados por la Sección de Delitos

Tecnológicos de la PNC para los años 2016, 2017 y 2018 (2019)
Haciendo una comparativa entre los casos ingresados en la SDT y los casos
entregados por dicha Sección, ya sea a las unidades fiscales, investigadoras policiales
o juzgados respectivos, y comparando también los dispositivos tecnológicos
analizados en estos casos se concluyó lo siguiente.
Para el año 2016, la SDT recibió 401 casos, los dispositivos tecnológicos recibidos
fueron 433 dispositivos de cómputo, 339 dispositivos de video, 119 dispositivos
telefónicos, 10 dispositivos fonográficos, para el mismo año la SDT entregó 222 casos
de ellos, 155 dispositivos de cómputo, 185 dispositivos de video, 98 dispositivos
telefónicos y 10 dispositivos fonográficos, quedando pendientes de entregarse un total
de 179 casos.
Lo cual estadísticamente se puede observar así:
100
Ilustración 10. Porcentaje de Casos entregados y Casos pendientes de entrega de la Sección de
Delitos Tecnológicos de la PNC para el año 2016 (2019)
Del 100% total de casos solo fue entregado un 55.5% quedando pendiente el 44.5%
para el año siguiente.
Para el año 2017 sin contar con ese total de 179 casos pendientes del año anterior, se
recibieron 553 casos de delitos informáticos, de ellos, 249 dispositivos de computo,
470 dispositivos de video, 335 dispositivos telefónicos, 80 dispositivos fonográficos,
para el mismo año se entregaron 264 casos, de ellos, 190 dispositivos de computo,
169 dispositivos de video, 140 dispositivos telefónicos y 40 dispositivos fonográficos.
Es decir, del 100% de casos ingresados se entregó el 47.7% de éstos, quedando
pendiente de entregarse el 52.3% sin embargo la cantidad de casos y dispositivos
entregados aumentó en comparación al año anterior, es decir el trabajo no disminuyó
al contrario se analizaron más dispositivos que el año anterior, lo cual se muestra en
la gráfica siguiente.
.
101
Delitos Tecnológicos de la PNC para el año 2017 (2019).
Para el año 2018 tomar en cuenta a los 289 casos pendientes del año 2017, se
recibieron 674 casos de delitos informáticos, entre ellos, 153 dispositivos de computo,
525 dispositivos de video, 526 dispositivos de telefonía, para el mismo año se
entregaron 284 casos, 201 dispositivos de computo, 162 dispositivos de video, 197
dispositivos de telefonía y 100 dispositivos de fonográficos, quedando pendientes para
el año 2019 la cantidad de 390 casos.
Lo que implica que del 100% de casos recibidos ese año se entregó 42.13% quedando
pendiente un 57.87% dichos datos se aprecian mejor en la gráfica siguiente.
102
Delitos Tecnológicos de la PNC para el año 2018 (2019)
Un dato muy interesante que arrojó esta investigación es que, aunque cada vez la
cantidad de casos pendientes para el año siguiente fue mayor, es posible comprobar
que el trabajo no disminuyó por parte de los peritos forenses, por el contrario, una vez
más en comparación con el año anterior, se analizaron más dispositivos y se
entregaron más casos.
Es decir que a pesar de haberse realizado una mayor cantidad de análisis informáticos
forenses a dispositivos tecnológicos por parte de la SDT hubo un incremento
directamente proporcional en la cantidad de casos pendientes de entregar como saldo
para el año siguiente, lo cual se aprecia mejor en las siguientes gráficas.
103
Ilustración 13. Comparativa de Casos entregados para 2016, 2017 y 2018 (2019)
Ilustración 14. Comparativa de Casos pendientes de entrega para 2016, 2017 y 2018 (2019)
104
También es importante considerar que la cantidad de personal que labora en la SDT
es de 8 personas, incluidos el Jefe de la Sección y el colaborador administrativo, es
decir que solo cuanta con 6 especialistas o peritos informáticos. Además de esta
solitud de información donde se pidieron datos sobre los casos y dispositivos que
fueron analizados por la PNC a través de la SDT, por medio de una solicitud de
información posterior, se pidió:
 Los nombres de los softwares utilizados para realizar el análisis forense a las
evidencias ingresadas (dispositivos tecnológicos)
 Hardware especializado para extraer la información de las evidencias
ingresadas (dispositivos tecnológicos)
La información obtenida en la respuesta a la solicitud se resume en la tabla siguiente.
Tabla 2. Software especializado utilizado por la SDT.
Software Utilidad
Crear imágenes forenses, de dispositivo de almacenamiento que se analizara y
Encase v.6.19 para montaje de imágenes creadas, para recuperación de archivos borrados del
dispositivo de almacenamiento.
Crear imágenes de dispositivos de almacenamiento, extracción y análisis de
Magnet
Axiom terminales móviles.
Crea imágenes forenses de dispositivo de almacenamiento, que se analizaran,
Tool Kit para ser montadas en el mismo o software Encase y Magnet Axiom; así también
(F.T.K 6.2.1)
para verificar correos.
Oxigen Extracción forense de datos e información de telefonía móvil.
Distribución de sistema operativo gratuito Linux para el análisis forense digital en
Deft
equipo informático.
Lee, procesa y convierte la información extraída de terminal móvil, tarjeta SIM y
Phisical
Analyzer para presentarse a la entidad solicitante
Avid Media Procesamiento, recorte y conversión de video e imágenes.
Composer v.
5y6
Herramienta complementaria para añadir efectos y filtros al procesamiento del
Dtective v.7.2
video, utilizando Avid Media composer.
Fuente Elaboración Propia.
105
Tabla 3. Hardware especializado utilizado por la SDT.
Hardware Utilidad
Equipo informático de alto rendimiento con arreglo de
FRED (Forensic
discos (RAID), con gran capacidad, para almacenar las
Recovery of
Evidence Data imágenes forenses extraídas a los dispositivos de
Center)
almacenamiento a procesar digitalmente.
Bloqueador de escritura, en la adquisición de los datos
Link Master Solo IV
del dispositivo informático que se precisa analizar.
Bloqueador de escritura, en la adquisición de los datos
UltraBlock
del dispositivo informático que se precisa analizar.
Extraer la información de los terminales móviles,
UFED Cellebrite tarjetas SIM, tabletas, drones; así también clonar

tarjetas SIM.
Conjunto de dispositivos electrónicos para reproducir,
Nitrix convertir y procesar archivos de video analógicos y/o

digitales.
Estación de trabajo de alto rendimiento para procesar
Workstation FREDC imágenes forenses de dispositivos informáticos, con la

utilización de aplicaciones especializadas para tal fin.
Extraer y procesar archivos de video e imágenes, con
Estación de trabajo
HP para video la utilización de software forense especializado.
3.3 Técnicas e instrumentos de recolección de datos
La técnica a utilizar en la recolección de datos fue a través de la observación y lectura,

se hizo uso de las solicitudes de información, que se pueden realizar a las instituciones
públicas gracias a la Ley de Acceso a la Información Pública.
106
3.4 Análisis e interpretación de los datos
Se analizaron los datos basados en la observación y lectura de las resoluciones que

emitieron las instituciones públicas como respuesta a las solicitudes de información,
así como de las mallas curriculares de las distintas instituciones de educación superior
de El Salvador.
3.5 Tipos de investigación realizadas y fuentes de información
a. Investigación descriptiva. Según la naturaleza de los objetivos en cuanto al nivel

de conocimiento que se desea alcanzar, la investigación es descriptiva, debido
a que se interpreta y presenta la realidad de cómo se encuentra actualmente la
auditoría informática forense en El Salvador.
b. Investigación explicativa. Según el planteamiento de los alcances, la

investigación es explicativa, debido a que no solo se describe la situación actual
de la informática forense en el país, sino que además se desarrolla el diseño
del proceso para realizar una auditoría informática forense.
107
Capítulo 4. Propuesta de proceso de auditoría informática forense
PROC-01-LAB-01
PROCESO DE AUDITORÍA INFORMÁTICA

FORENSE
Contenido
4.1 Propuesta de solución………………………………………………………………...108

4.2 Objetivos………………………………………………………………………………..117
4.2.1 Objetivo general……………………………………………………………………..117
4.2.2 Objetivos específicos……………………………………………………………….117
4.3 Alcance…………………………………………………………………………………117
4.4 Justificación…………………………………………………………………………….118
4.5 Normativas legales…………………………………………………………………….118
4.6 Proceso de inspección técnica ocular……………………………………………….118
4.7 Proceso de auditoría informática forense……………………………………………120
En la presente propuesta se agrega el proceso, que se realiza en esta investigación

de tesis a la evidencia digital, utilizando hardware y software forense, herramientas
avaladas por la comunidad forense internacional; haciendo uso de las diferentes
normativas nacionales e internacionales, desde su adquisición, resguardo,
procesamiento, análisis y presentación de resultados. La metodología utilizada en este
proceso, se basa en las normativas internacionales, adaptadas a la legislación vigente
en El Salvador y los procesos para el tratamiento de una evidencia digital, los cuales
inician desde su fijación donde esté ubicada, su recolección, embalaje, rotulación,
transporte, procesamiento, análisis y presentación de resultados; amparados con la
elaboración de un informe técnico en el cual se mencione cada uno de los procesos a
los que ha sido sometido, describiendo la información obtenida y el análisis que se ha
108
realizado, extrayendo capturas de pantalla de mensajes o imágenes contenidas en la
información, incluyendo observaciones técnicas y conclusiones; presentado así un
resultado de utilidad para el proceso judicial.
4.2 Objetivos
4.2.1 Objetivo general
 Proveer una guía del manejo de evidencia digital y el desarrollo de la auditoría

informática forense, para todas aquellas personas, entiéndase especialistas, o
peritos informáticos encargados de practicar dicha auditoría en dispositivos o
equipos informáticos que contengan posible evidencia digital, respetando e
incluyendo las normativas nacionales e internacionales, incluida la legislación
vigente en El Salvador.
4.2.2 Objetivos específicos
 Determinar la evidencia involucrada, la metodología a desarrollar, y los

procesos inherentes por normativa, que garanticen la credibilidad del proceso.
 Detallar a los/las diferentes involucrados/as en las actividades y/o responsables
en la ejecución de los procedimientos.
 Visualizar los resultados que se obtienen en la ejecución del proceso.
 Presentar la respectiva información como evidencia resultante, juntamente con
la evidencia recibida, para su proceso Judicial.
4.3 Alcance
El alcance de este proceso, aplica a los especialistas, auditores o peritos informáticos,

que en un determinado momento y a solicitud de un Juez, un fiscal o un investigador,
deben poner en práctica sus conocimientos especializados y realizar una auditoría
informática forense.
109
4.4 Justificación
Este proceso es presentado al lector, para que conozca la importancia de la informática

forense en El Salvador. Es necesario demostrar que aportando desde la especialidad
informática, el desarrollo del conocimiento técnico científico, puede contribuir con una
ayuda valiosa tanto a la labor del Órgano Judicial como a los entes auxiliares, la FGR
y la misma PNC.
4.5 Normativas legales
Las leyes, normas, estándares y buenas prácticas que se tomaron en cuenta para la
creación de este proceso de auditoría informática forense son las siguientes:
 Decreto 38, Constitución de la República de El Salvador

 Decreto 733, Código Procesal Penal
 Decreto 260, Ley Especial contra los Delitos Informáticos y Conexos
 COBIT 5
 ITIL
 ISO 9001:2015
 ISO/IEC 27001:2013
 ISO/IEC 27037:2012
 ISO/IEC 27040:2015
 ISO/IEC 27042:2015
4.6 Proceso de inspección técnica ocular
Es necesario aclarar que este diseño de proceso de auditoría informática forense, no

contempla profundizar en el proceso de inspección técnica ocular, el cual realizan los
criminalistas de campo del Departamento de Criminalística de Campo de la PNC
quienes aplican métodos y técnicas reconocidas internacionalmente; así como
procedimientos propios avalados por esta dependencia especializada de la PNC y para
ello se definen los términos siguientes:
110
Fijación fotográfica, lo cual consiste en ilustrar e informar a través de imágenes, de
forma clara la situación y ubicación del lugar de los hechos. Esta fijación se debe
realizar metodológicamente; es decir, de lo general a lo particular hasta llegar al
detalle. Es un complemento gráfico de la descripción escrita.
Fijación planimétrica, esta consiste en representar a través de medidas, en un
bosquejo, croquis o plano, la distribución del lugar de los hechos, haciendo especial
énfasis en la ubicación de las evidencias localizadas, igual que la fijación fotográfica
es un complemento de la descripción escrita.
Se presenta a continuación un diagrama de proceso que resume el trabajo de dichos
criminalistas.
ESCENA
ASEGURAR LA IDENTIFICAR RECOLECTAR

ESCENA EVIDENCIAS EVIDENCIAS
Policía uniformado acordona Identificar de entre los Documentar detalladamente sus
y protege el lugar de los equipos y dispositivos características, fijar con fotografía
hechos, para evitar cualquier existentes, después de y planimetría cada uno de los
modificación o destrucción aplicar algún método de equipos y dispositivos que se
de elementos que puedan búsqueda, con los que recolectaran, embalándolos y
convertirse en evidencias. han sido numerados y que rotulándolos adecuadamente,
puedan contener para su resguardo y traslado a
información útil para la donde se realizara el análisis.
Cumpliendo mandato investigación.

según Art. 273 Lit. 2 y 3 Cumpliendo con los estándares
CPP. Cumpliendo con los internacionales en cuanto a
métodos y protocoles documentación, manejo y
adoptados por la transporte de la evidencia
División de Policía digital, adoptados por la
Técnica y Científica, de División de Policía Técnica y
la Policía Nacional Civil. Científica de la PNC.
Ilustración 15. Proceso de inspección técnica ocular

111
4.7 Proceso de auditoría informática forense
A continuación se describe el proceso de laboratorio y análisis forense o en otras

palabras el proceso de auditoría informática forense, que tomando en consideración
los métodos y procedimientos establecidos internamente en la División de Policía
Técnica y Científica, adaptados de procedimientos internacionales y avalados por la
comunidad forense internacional, para el manejo de la evidencia digital y equipos
electrónicos, en la Sección de delitos tecnológicos, haciendo uso de las mejores
prácticas de laboratorio. Con el equipo informático debidamente registrado y
cumpliendo todas las normas y requisitos de admisión, en cuanto a embalaje y
rotulación, a la dependencia especializada de la Policial Nacional Civil, según proceso
recién presentado y con la documentación respectiva, llámese cadena de custodia se
inicia el proceso siguiente:
El trabajo de Laboratorio.
La adquisición, preservación, análisis y presentación de resultados del contenido de
los equipos y/o dispositivos aportados en la investigación, los cuales según la
terminología empleada en este campo toman el nombre de evidencia digital, y reúnen
todo el conjunto de datos binarios, fragmentos y/o archivos o ficheros, cuyo contendido
aporta a la valoración de la comisión de un delito determinado. Con la utilización del
documento de cadena de custodia, se revisa detalladamente el embalaje físico de cada
uno de los equipos y/o dispositivos, que componen la evidencia, dejando constancia
de los detalles encontrados, si fuera necesario.
En esta fase de la investigación, es recomendado dejar registro del levantamiento

topográfico y fotográfico del mismo (inspección ocular); así como el acta respectiva.
Para procesar este tipo de equipos electrónicos o dispositivos, es necesario contar con
un equipo de cómputo de alto rendimiento, el cual cuente con los suficientes recursos
a nivel de procesador, memoria RAM, puertos de conexión y almacenamiento, debido
a que los aplicativos forenses consumen muchos de esos recursos. Aunque en el
112
mercado actual existen máquinas diseñadas como estaciones de trabajo forenses, su
costo puede ser muy elevado.
De igual manera es indispensable el uso de equipos bloqueadores de escritura

forenses, herramientas que permitan proteger contra la modificación de datos y la
escritura, las unidades o dispositivos de almacenamiento que se deben analizar. Para
el resguardo de las imágenes forenses, se debe contar con medios de gran capacidad
considerando el hecho que, como resultado del proceso, se obtiene una copia bit a bit
de los dispositivos originales, lo cual incluirá toda la información que el dispositivo
almacene, como es el sistema de archivos, archivos o ficheros eliminados y el espacio
libre.
Análisis de Información
Una vez se han definido cuáles son los objetivos del análisis y se disponga de los
equipos electrónicos y/o dispositivos, como evidencia, recolectados, embalados,
transportados e ingresados al laboratorio de forma segura y debidamente
documentados, se inicia la fase especializada del análisis forense, en la cual
convergen factores como: la pericia, suspicacia, conocimiento y destreza del perito
forense, frente al manejo de cada una de las herramientas, tanto software como
hardware forense, con las que cuenta y sobre todo, de la naturaleza de la evidencia
digital.
Esta fase tendrá por objeto determinar toda una cadena de acontecimientos desde que
se produjeron los hechos hasta su descubrimiento, los cuales deben estar
debidamente documentados, esta finalizará, una vez se hayan dado respuesta a los
interrogantes planteados. Para ello, se planea como requisitos mínimos que garanticen
y documenten con transparencia los resultados:
 Entorno de trabajo, a nivel físico un espacio que garantice la seguridad de las

posibles evidencias (equipos y/o dispositivos) recolectados y su tratamiento, y
113
las condiciones ambientales para desarrollar las actividades. Generalmente
estos espacios son totalmente aislados y restringidos al público, cuentan con
sub divisiones donde se almacenan temporalmente los equipos y/o dispositivos,
y donde se efectúan los procesos de análisis físico y lógico.
 Recursos o herramientas suficientes para desarrollar el estudio de la evidencia

digital, que estén preferiblemente actualizadas y soportados por la comunidad
internacional. Es muy frecuente encontrar, que una herramienta forense de
elección no es capaz de analizar un tipo de evidencia en especial, y es deber
del examinador o perito, utilizar una segunda herramienta.
 Aplicación metódica que permita reproducir los procesos cuantas veces sea
necesario obteniendo siempre los mismos resultados, a través de
Procedimientos avalados.
Entrando en materia, el desarrollo del análisis debe centrase en:
 Identificar el tipo de contenedor, o Dispositivo de almacenamiento digital de

información.
 Identificar los sistemas de archivos, que conlleva a determinar el sistema

operativo instalado en la máquina.
 Considerar recuperar y explorar el sistema de archivos en búsqueda de

particiones o ficheros y carpetas modificados y/o eliminados, reconstruyendo
una estructura, la cual deberá ser descubierta y analizada en su totalidad.
 Examinar los log´s del sistema, fechas y horas del sistema, su respectiva zona
horaria, los recursos y hardware instalado.
114
 La aplicación de funciones contenidas en las herramientas forenses, permiten
que, de manera metódica, en el menor tiempo posible y de forma sencilla, se
obtengan elementos que infieran algún tipo de rastro frente al objeto de la
investigación.
 Recordar que la información se almacena en: fragmentos de archivos y

espacios no asignados en disco, archivos producto de una compresión, de un
proceso de encriptación, o como resultado de un proceso de estenografía, entre
otros.
 Documentar todos los procesos desarrollados y los resultados obtenidos,

determinado que tareas o actividades conllevaron a la consecución de los
resultados, es un buen momento para repasar todo el proceso de análisis y
reforzar las hipótesis, es importante recordar que los procedimientos pueden
ser reproducibles y sus resultados verificables.
Documentación y presentación de resultados
Es necesario observar que el desarrollo de cada una de las fases aquí presentadas,
atienden a un proceso metódico con base en la documentación, y sus resultados,
deben ser debidamente integrados, consolidados y expuestos en un documento al que
podemos llamar: Informe técnico de laboratorio. El cual refiera las posibles
evidencias (equipos y/o dispositivos) analizadas, los equipos y herramientas forenses
empleados, las técnicas y/o procedimientos, resultados y descripción de hallazgos, y
las conclusiones del análisis.
En su estructura, de manera general debe contener:
115
 Un encabezado, el cual refiera como título el tipo de documento que se está
elaborandoEl destino del informe, donde se relacione el usuario o autoridad
solicitante.
 Objetivo de la diligencia, la cual refiera textualmente la solicitud presentada por

el juez.
 Descripción precisa de los equipos y/o dispositivos recolectados como

evidencia, que serán examinados, para ello, se debe transcribir la información
contenida en sus rótulos (descripción, número de hallazgo, cantidad), así como
también, el estado del embalaje y los contenedores.
 Descripción de los Procedimientos Técnicos empleados, entre ellos, la

documentación de la inspección ocular.
 Instrumentos o equipos empleados y su estado al momento de realizar el

examen, los cuales expongan los recursos físicos y lógicos con que cuenta.
 Descripción detallada de cada uno de los procesos adelantados, en el análisis

forense. Presentación de resultados y su interpretación, las cuales señalan la
información o datos obtenidos frente a la solicitud, las recomendaciones,
conclusiones y el destino de los equipos y/o dispositivos analizados.
 Anexos, refieren algún tipo de documentos anexos en cuanto a procedimientos

auxiliares aplicados.
 Especialista o perito quien desarrolla el análisis, relacionando la entidad, código

interno, grupo o laboratorio, nombres completos, número de identificación y su
firma, anexando la impresión de sello húmedo.
A continuación, se muestra en diagrama de procesos, el resumen de todos estos

pasos y procedimientos.
116
LABORATORIO FORENSE
DESMONTAJE DE DISPOSITIVO CONEXIÓN A DISPOSITIVO

DESEMBALAJE (S) DE ALMACENAMIENTO Y BLOQUEADOR DE ESCRITURA
ETIQUETADO
Especialista asignado al Se desmonta el (los) Se conecta dispositivo de almacena-

caso, procede a retirar el dispositivo(s) de miento desmontado, a equipo bloqueador
embalaje y verificar su almacenamiento de escritura (dispositivo forense),
estado físico y instalados dentro del aceptado internacionalmente, por cumplir
características consignadas equipo informático y se los estándares para este fin, pues con
en el documento que le etiquetan con el código de esto se evita la contaminación de la
acompaña, como cadena de registro de ingreso. evidencia, asegurando su inalterabilidad.
custodia.
EJECUCIÓN DE SOFTWARE PARA

CONEXIÓN DE DISPOSITIVO
REALIZAR IMAGEN BIT A BIT DEL
BLOQUEADOR ATERMINAL FORENSE
DISPOSITIVO DE ALMACENAMIENTO
117
Conectar el equipo bloqueador de escritura Con el equipo bloqueador forense conectado y
forense, con el dispositivo de verificado que haya reconocido el dispositivo
de almacenamiento, se ejecuta el software
almacenamiento conectado previamente, a
forense, que podría ser FTK y/o Encase, según
terminal forense, para almacenar su copia sea el caso, para realizar la copia bit a bit
(imagen) bit a bit. (imagen) del dispositivo de almacenamiento.
COMPLETAR FORMULARIO DIGITAL EJECUTAR RETIRAR DISPOSITIVO

DESPLEGADO Y ELEGIR E01 ACCIÓN DE ALMACENAMIENTO
Con formulario completado se Terminado el proceso de

Completar el formulario
realiza la de copia (bit a bit); copia forense, se
desplegado en el escritorio,
proceso por lo general largo, desconecta del dispositivo
colocando en cada campo
más de 8 horas, dependiendo bloqueador de escritura y
la información requerida.
del tamaño lógico del dispositivo se monta en el equipo de
de almacenamiento. donde se extrajo.
118
EJECUTAR SOFTWARE FORENSE HABILITAR PROPIEDAD DE APLICAR
Y MONTAR IMAGEN REALIZADA RECONSTRUIR ARCHIVOS CRITERIOS DE
BÚSQUEDA
Montar imagen realizada del Editar extensiones de

Proceso de recuperación de
dispositivo de almacenamiento en documentos para extraer
archivos, incluyendo borrados.
software forense Encase. estos y luego depurarlos.
.
ASEGURAMIENTO
PRESENTACIÓN FIN PROCESO
DE RESULTADO
Resguardar en soporte de Embalar el soporte de almacena-miento con la

almacenamiento óptico o información extraída, adjuntando los valores hash
masivo la información genera-dos a sus archivos, acompañando a este soporte,
extraída, generándole a sus informe de resultados, conclusiones y describiendo la
archivos valores Hash, para evidencia recibida, la cual se devuelve debidamente
garantizar su autenticidad. embalada y sellada.
Ilustración 16. Proceso de auditoría informática forense.
119
Tabla 4. Proceso de Auditoría Informática Forense
Norma utilizada
Proceso Actividad Responsable
1. Revisión detallada de documentación referente al tipo de
ISO 27037 manejo de evidencia digital

1.Solicitante
análisis solicitado.
(Investigador policial,
2. Verificación del cumplimiento de normas internas en
auxiliar fiscal o
Gestión Documental
cuanto al embalaje y rotulado de la evidencia.
juzgados)
ISO 9001:15
Ingreso de evidencia 3. Registro en libro de control y aplicativa digital, asignando
a la DPTC un código de ingreso a la evidencia (N°. de caso).
2. Técnico en
(Laboratorio PNC) 4. Generación de recibo de cadena de custodia interna, con 2
Recepción de
copias firmando quien entrega y quien recibe la evidencia,
evidencias. (tiene a
agregando fecha y hora.
cargo la custodia de
5. Entrega copia de recibo de cadena de custodia a
la evidencia)
solicitante, con N°. de caso asignado.
120
1. Revisión de documentación y recibo de cadena de 1.Técnico en
ISO 27037 manejo de

Gestión Documental
custodia, generada internamente. recepción de
evidencia digital
ISO 9001:15
2. Verificación detallada de registros documentados, con evidencias (tiene a
Recepción de
registros de rotulación de la evidencia. cargo la custodia de
evidencia para SDT
3. Firmar recibo de cadena de custodia original y copia, la la evidencia) y
cual quedara como registro, anexando hora y fecha.
4. Traslado de la evidencia a resguardo adecuado a SDT. 2.personal SDT
ISO 27040 Técnicas de seguridad y

ISO 9001:15 Gestión Documental
1. Registro en libro de control interno, asignando un código
Registro de la Personal SDT (tiene
de ingreso a SDT.
almacenamiento seguro.
evidencia en SDT por a cargo la custodia de
2. Etiquetado, para su resguardo interno en área preparada
personal SDT la evidencia)
para tal fin.
121
ISO 27040 Técnicas de
1.Personal SDT
ISO 9001:15 Gestión

1. Especialista verifica minuciosamente la documentación
(tiene a cargo la
Documental
seguridad y
Asignación de caso que acompaña a la evidencia.
custodia de la
para el análisis 2. Firma de recibida, a entera satisfacción cadena de
evidencia)
informático. custodia.
2. Especialista
asignado.
ISO 9001:15 Gestión
ISO 27040 Técnicas
almacenamiento
de seguridad y
1. Desembala la evidencia.
Documental
Inicio del Especialista asignado
seguro.
2. Desmonta soporte de almacenamiento
procesamiento de la para el análisis
3. Etiqueta o rotula los elementos que componen la
evidencia informática informático.
evidencia.
1. Conexión de evidencia
almacenamie
Técnicas de
seguridad y
nto seguro.
ISO 27040
Conexión de Especialista asignado
2. Activar bloqueador contra escritura en evidencia.
evidencia a equipo para el análisis
3. Inicio de copia forense (copia bits a bits).
especializado informático.
ISO 27042 Análisis

e interpretación de
1. Activar copia forense en programa especializado, para la
las evidencias
búsqueda de la información solicitada. Especialista asignado
digitales.
Análisis de la copia
2. Revisar, analizar y depurar información concerniente. para el análisis
forense
3. Realizar copia de información encontrada, autenticado con informático.
su valor hash, hacia soporte de almacenamiento.
122
Documental e ISO 27040
Técnicas de seguridad y
SO 9001:15 Gestión
1. Se embala la evidencia y la copia de la información,
debidamente rotulada. Especialista asignado
Documentar
2. Se elabora informe del caso. para el análisis
resultados
3. Se genera anexos, con imágenes de capturas de pantalla informático.
de detalles observados.
Documental e ISO 27040
Técnicas de seguridad y
SO 9001:15 Gestión
Se devuelve a recepción interna de evidencias de la
Especialista asignado
DPTC, la evidencia, copia de información encontrada,
Entrega de resultados para el análisis
ambas debidamente embaladas, junto al respectivo
informático.
informe del caso.
123
Simbología del diagrama de flujo
A continuación, se muestra la simbología utilizada en el flujograma y su significado.
Tabla 5. Simbología del diagrama de flujo.
Símbolo Nombre Descripción
También conocido como "símbolo de

acción", esta figura representa un
Símbolo de
proceso, una acción o una función. Es el
proceso
símbolo más ampliamente usado en los
diagramas de flujo.
También conocido como "símbolo

terminador", este símbolo representa el
Símbolo de inicio y punto de inicio, el punto de fin y los
fin posibles resultados de un camino. A
menudo contiene las palabras "Inicio" o
"Fin" dentro de la figura.
Más específicamente, representa la

entrada o la salida de un documento.
Algunos ejemplos de entradas son
Símbolo de recibir un informe, un mensaje de correo
documento electrónico o un pedido. Algunos
ejemplos de salida que usan un símbolo
de documento incluyen generar una
presentación, un memo o una carta.
Indican una pregunta que debe

responderse —por lo general sí/no o
Símbolo de verdadero/falso. El camino del diagrama
decisión de flujo puede dividirse en diferentes
ramas, según la respuesta o las
consecuencias que se sucedan.
Por lo general, este símbolo se emplea

Símbolo de en los diagramas más complejos y
conector conecta elementos separados en una
página.
124
Símbolo Nombre Descripción
Frecuentemente se emplea en los
diagramas más complejos para conectar
Símbolo de
elementos separados en múltiples
conector/enlace
páginas, con el número de página
fuera de página
colocado sobre o dentro de la propia
figura para una referencia sencilla.
Esta figura, que también se conoce como

"símbolo de datos", representa los datos
que están disponibles como entrada o
salida, y también representa los recursos
Símbolo de
empleados o generados. A pesar de que
entrada y salida
el símbolo de la cinta de papel también
representa la entrada/salida, está
obsoleto y ya no se usa en los diagramas
de flujo.
Este símbolo, empleado junto con

contexto, agrega una explicación o
comentarios necesarios dentro de un
Símbolo de
rango específico. También puede
comentario o nota
conectarse mediante una línea
discontinua a la sección correspondiente
del diagrama de flujo.
125
Tabla 6. Flujograma de Proceso de Auditoría Informática Forense.
Solicitante (investigador, Personal Recepción de Personal SDT

fiscal y/o juzgados) Evidencia
Revisa embalaje y
Inicio documentación de solicitud
del análisis respectivo.
Cumple las
normas
No establecidas
Si
Se registra con #. De caso en

libro de control, aplicativo
digital y genera recibo de
cadena de custodia interna
con 2 copias
Revisa embalaje,
documentación de solicitud
de análisis y cadena de
custodia generada.
La
documentación
es acorde a la
No evidencia.
Si
126
A
Firma cadena de
custodia y transporta a
SDT.
Registra caso en libro de

control interno y aplicativo
digital, se genera # de
ingreso a SDT.
No Se asigna
el caso
Si
Especialista revisa
documentación de lo
solicitado, firma de
recibida cadena de
custodia.
Se rotula y almacena
en lugar adecuado, en
espera de ser
asignado y procesado
posteriormente.
127
A
Especialista desembala y
desmonta dispositivo de
almacenamiento, realiza la
conexión del dispositivo
desmontado de la evidencia a
equipo forense especializado
(bloqueador de escritura) y
este se conecta al equipo
informático forense.
No Se
reconoce el
dispositivo
Si
Especialista crea copia forense

(copia exacta o copia bit a bit),
del dispositivo de
almacenamiento, utilizando
software forense, este proceso
tardara en completarse de
acuerdo al tamaño lógico del
dispositivo a procesar.
Se creó copia
exacta
Si
correctamente
.
No
A C
B
128
A
A
C
B
A
Especialista, monta
copia forense en
software especializado
(software forense) y
ejecuta en este, opción
de recuperación de
archivos borrados,
proceso que tardara de
acuerdo a la capacidad
de almacenamiento del
dispositivo procesado.
Se verifica el dispositivo
minuciosamente para
asegurarse si este, está
en malas condiciones.
Especialista realiza las

búsquedas de la
información útil requerida,
la cual se extrae, para
imprimirse si es mínima o
resguardarse en dispositivo
de almacenamiento para
entregarse a solicitante.
Especialista, realiza
capturas de pantalla y las
adjunta en documento
anexo, para orientar al
solicitante del contenido
de la información
extraída.
A B
129
A
B
Especialista, ejecuta
aplicativo para generar
valores de seguridad
(valores hash) a los archivos
digitales de la información,
extraída, para garantizar la
autenticidad de estos ante
autoridad competente y los
resguarda en dispositivo de
almacenamiento.
Se elabora informe del análisis

realizado en papel diseñado
especialmente para ello, el cual
consta de su encabezado y
otras características que
exigen las normas
internacionales.
Se embala la evidencia
analizada junto a su
embalaje de ingreso; así
también el dispositivo de
almacenamiento con la
información extraída y se
adjuntan las paginas donde
se plasman los anexos, con
su respectiva firma de quien
los elaboro y se estampa
sello húmedo.
130
B
Se fotocopia la
documentación recibida
que incluye cadena de
custodia, para archivo
interno y se prepara en
Revisa registros de conjunto documentación
documentación de ingreso, resultante que comprende
el informe pericial, hojas
embalajes y documentación anexas, el dispositivo de
resultante, firma cadena de almacenamiento con la
información extraída,
custodia y copias. firmada y sellada, junto a la
evidencia analizada.
Si Entrega
Nota: Este proceso tiene
caso.
un tiempo aproximado de
una semana laboral,
Revisa y recibe, firma cadena siempre y cuando se trate
de custodia. No de un solo equipo
informático a procesar;
además se deberá tomar
en cuenta las capacidades
del equipo con el que se
Resguarda temporalmente realizará dicho proceso, en
cuanto a memoria RAM,
Fin proceso para posterior entrega
procesadores y soporte de
almacenamiento
131
Ejemplo de procedimiento de creación de imágenes con el software forense
Forensic Tool Kit (FTK).
o Abrir software forense FTK.

Ilustración 17. Abriendo FTK
o Ejecutar botón crear imagen y seleccionar primer ítem.

Ilustración 18. Crear imagen.
132
Buscar dispositivo de almacenamiento conectado a la PC, para crear imagen.
Ilustración 19. Buscar Dispositivo.
o Seleccionarlo y “Finish”.
Ilustración 20. Seleccionar dispositivo.
133
o Ejecutar en cuadro de diálogo “Add”.
Ilustración 21. Ejecutar cuadro de diálogo añadir.
o Seleccionar en cuadro de diálogo el ítem E01 y “Siguiente”.
Ilustración 22. Seleccionar opción E01.
Fuente: Elaboración Propia.
134
o Completar los datos en cuadro de diálogo y “Siguiente”.
Ilustración 23. Completar formulario.
Fuente: Elaboración propia
o Seleccionar en el cuadro de diálogo, la ruta donde se colocará temporalmente

la imagen, el nombre y el nivel de compresión que se le asignará.
Ilustración 24. Seleccionar ruta para guardar temporalmente la imagen.
135
o Completado la ruta, nombre y nivel de compresión en cuadro de diálogo
ejecutar “Finish”
Ilustración 25. Asignar ruta, nombre y nivel de compresión luego seleccionar Finish
Ejecutada acción esperar la creación de la imagen forense.
Ilustración 26. Esperar creación de imagen forense
136
Conclusiones
En este trabajo de investigación, se proporciona el proceso para la realización de una

auditoria informática forense.
De acuerdo a entrevistas realizadas a especialistas en el área tecnológica de la PNC

y a los especialistas en materia penal del sistema judicial; así como tomando en
consideración lo que reza el Art. 227 del CPP en cuanto al perfil del perito en
informática forense, se proponen los perfiles necesarios a cumplir para estos
profesionales, garantizando los conocimientos necesarios en la materia.
En este trabajo de investigación se presenta la metodología necesaria utilizada para

realizar una auditoria informática forense, desde su incautación, transporte, análisis,
procesamiento y presentación de resultados, utilizando las buenas prácticas en cuanto
al manejo de la evidencia digital.
Dentro del desarrollo de la investigación, se presentan y se describe la utilidad de

algunas herramientas, tanto software como hardware, especializados en la rama
forense, necesarias para realizar una auditoria informática forense.
Se describe claramente durante la fase del procesamiento de la evidencia digital, la

metodología y equipos especializados, utilizados para la obtención de los datos
requeridos, la generación de valores de seguridad (valores hash) y otros, con los
cuales se garantiza la autenticidad de los datos presentados en un proceso judicial.
137
Recomendaciones
Se recomienda a las instituciones involucradas en el quehacer judicial a mantener

comunicación multidisciplinaria, brindando capacitaciones permanentes y actualizadas
sobre informática forense a los señores jueces, fiscales y abogados de la República
ya que corresponde a los primeros admitir una evidencia como prueba y a los
segundos y terceros saber que deben solicitar para robustecer los procesos judiciales
en los cuales tienen que intervenir.
Se hace un llamado a las Instituciones de educación superior con el fin de incentivarles

a impartir carreras informáticas que, contemplen las materias necesarias para poder
desarrollar de forma adecuada y confiable una auditoría informática forense,
convirtiéndose en certificadoras de profesionales en este ramo.
Se recomienda a las instituciones donde se llevan a cabo análisis forense o auditoría

informática forense como apoyo a la investigación de diferentes procesos judiciales,
fortalecer constantemente a los profesionales que ejercen como peritos informáticos,
sobre los procedimientos, el tratamiento y manejo de la evidencia digital; mediante
capacitaciones sobre ésta rama de la informática y otras afines, actualizando
constantemente su conocimiento, ya que la informática forense como todas las ramas
de la informática es cambiante y volátil, esto permitirá que dichos profesionales
realicen de la mejor manera sus labores y desarrollen su pericia en las mejores
condiciones.
Así mismo se recomienda a las instituciones judiciales capacitar a los profesionales o

peritos informáticos forenses, acerca de la legislación vigente en la República,
intercambiando conocimiento sobre los alcances, limitaciones y recursos necesarios
para proveer información fidedigna de forma eficaz.
138
Referencias bibliográficas
Asociación de Auditoría y Control de Sistemas de Información. (18 de julio de 2019).

ISACA - COBIT. Obtenido de ISACA:
http://www.isaca.org/cobit/pages/default.aspx
Blog especializado en Sistemas de Gestión de Seguridad de la Información. (19 de
julio de 2016). ISO 27001: Funcionalidades y ventajas en la empresa.
Obtenido de SGSI Blog especializado en Sistemas de Gestión de Seguridad
de la Información: https://www.pmg-ssi.com/2016/07/normativa-que-utiliza-
norma-iso-27001/
Business Model for Information Security (BMIS) . (2019). Obtenido de 50 ISACA:
http://www.isaca.org/knowledge-center/bmis/pages/business-model-for-
information-
security.aspx?utm_source=multiple&utm_medium=multiple&utm_content=frien
dly&utm_campaign=bmis
COBIT. (2012). COBIT 5 Un Marco de Negocio. Recuperado de
cotana.informatica.edu.bo/downloads/COBIT5-Framework-Spanish.pdf.
Decreto 260, LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS Y
CONEXOS. (2016). Diario Oficial N° 40, Tomo 410. San Salvador, El
Salvador: Asamblea Legislativa de El Salvador.
Decreto 260, LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS Y
CONEXOS. (26 de febrero de 2016). Diario Oficial N° 40, Tomo 410, . San
Salvador, El Salvador: Asamblea Legislativa de El Salvador.
DECRETO N° 38 CONSTITUCIÓN DE LA REPÚBLICA DE EL SALVADOR. (1983).
DIARIO OFICIAL Nº 142, TOMO Nº 280, DE 29 DE JULIO DE 1983. San
Salvador, El Salvador: Asamblea Legislativa República de El Salvador.
Decreto N° 733, Código Procesal Penal. (2008). Diario Oficial N° 20. San Salvador,
El Salvador: Asamblea Legislativa de El Salvador.
Decreto N° 733, Código Procesal Penal. (22 de octubre de 2008). Diario Oficial N°
20. San Salvador, El Salvador: Asamblea Legislativa de El Salvador.
139
El País. (2013). La onda expansiva desatada por Snowden. Obtenido de El País:
https://elpais.com/internacional/2013/12/20/actualidad/1387542392_057942.ht
ml
Gallego, M. (2019). Trump buscó desesperadamente la ayuda de los rusos. Obtenido
de Hoy: https://www.hoy.es/internacional/eeuu/mueller-investigo-diez-
20190418163524-ntrc.html
Global STD Certification. (6 de mayo de 2018). Manteniendo a salvo los datos de tu
empresa - ¿Cuál es tu plan? Obtenido de Global STD Certification:
https://www.globalstd.com/networks/blog/manteniendo-a-salvo-los-datos-de-
tu-empresa-cual-es-tu-plan
ISO27k information security. (2019). ISO/IEC 27042. Obtenido de ISO27k information
security: https://www.iso27001security.com/html/27042.html
Llorente, A. (2016). ¿Cuándo es legal tener una cuenta en un paraíso fiscal?
Obtenido de BBC:
https://www.bbc.com/mundo/noticias/2016/04/160406_paraiso_fiscal_offshore
_panama_papers_cuenta_ilegal_all
López, J. (2017). Implicados en ciberataques a La Prensa Gráfica son enviados a
juicio. Obtenido de elsalvador.com:
https://www.elsalvador.com/noticias/nacional/implicados-en-ciberataques-a-la-
prensa-grafica-son-enviados-a-juicio/312315/2017/
López, P. A. (2010). Seguridad informática. Obtenido de Google books:
https://books.google.com.sv/books/about/Seguridad_inform%C3%A1tica.html?
id=Mgvm3AYIT64C&redir_esc=y
Mars, A. (2018). El exjefe del FBI obró mal en el caso de los correos de Clinton pero
no fue partidista, según el departamento de Justicia. Obtenido de El País:
https://elpais.com/internacional/2018/06/14/actualidad/1528996202_698888.ht
ml
Monroy, R. A. (19 de enero de 2014). Conferencia de Informática Forense para
operadores de Justicia. Obtenido de Academia.edu:
https://www.academia.edu/27140566/Conferencia_de_Inform%C3%A1tica_Fo
rense_para_operadores_de_Justicia
140
NORMAS 9000. (2017). ¿Qué es ISO 9001? Obtenido de NORMAS9000.com:
https://www.normas9000.com/content/que-es-iso.aspx
NORMAS 9000. (2017). Estructura de la Norma ISO 9001:2015. Obtenido de
NORMAS9000.com: https://www.normas9000.com/content/estructura-de-la-
norma-ISO-90012015.aspx
Normas ISO. (1 de enero de 2019). ISO 9001 Sistemas de Gestión de la Calidad.
Obtenido de Normas ISO: https://www.normas-iso.com/iso-
9001/#section_autop_posts
Organismo de Certificación en Normas ISO. (7 de noviembre de 2018). Estructura de
la Norma ISO 9001:2015. Obtenido de ALLIANCE Organismo de Certificación
en Normas ISO: https://qalliance.org/es/estructura-de-la-norma-iso-
90012015/#respond
Pacheco, J. (2017). ¿Qué es la metodología ITIL? – Una mayor satisfacción al
cliente. Obtenido de HEFLO: https://www.heflo.com/es/blog/itil/que-es-
metodologia-itil/
Salmeron, A. (2017). Conceptos de Informática Forense. Obtenido de Informática
Forense y Pericial:
http://forense.info/articulos/conceptosdeinformaticaforense.html
Salmeron, A. (5 de febrero de 2017). Conceptos de Informática Forense. Obtenido de
Informática Forense y Pericial:
http://forense.info/articulos/conceptosdeinformaticaforense.html
Sampayo, A. (2019). Esta es la historia de Julian Assange. Obtenido de Capital:
https://www.capitalmexico.com.mx/nacional/quien-es-julian-assange-wikileaks/
Sansevero, R. E. (2012). La recuperación de la información y la informática forense:
Una propuesta de proceso unificado. Obtenido de researchgate:
https://www.researchgate.net/publication/324063521_La_recuperacion_de_la_
informacion_y_la_informatica_forense_Una_propuesta_de_proceso_unificado
Santiago Roatta, María Eugenia Casco, G. Fogliato. (octubre de 2015). El tratamiento
de la evidencia digital. Recuperado de
http://sedici.unlp.edu.ar/handle/10915/50586. Obtenido de SEDICI Repositorio
Institucional de la UNLP: http://sedici.unlp.edu.ar/handle/10915/50586
141
Toro-Alvarez, M. M. (2018). Fundamentos de la investigación forense en ambientes
informáticos. Obtenido de researchgate:
https://www.researchgate.net/publication/329754568_Fundamentos_de_la_inv
estigacion_forense_en_ambientes_informaticos
142
Anexos
Como parte de la investigación y además como primer elemento a formar parte de los
anexos, se realizó una entrevista en las instalaciones de la Universidad Don Bosco,
escuela de Postgrados, ubicada en Avenida Albert Einstein, 233, Antiguo Cuscatlán,
con el Ingeniero René Ángulo, Gerente de I.T. de SIAT S.A. de C.V.; a quien se le
realizaron las siguientes preguntas.
 ¿Cómo administrador de un sistema informático creado por otra institución, de

qué forma se recomienda proteger la información que se resguarda en dicho
sistema?
Respuesta: Que el antivirus que utilice la empresa no tenga una sola manera o
capa de análisis, lo que se debe buscar en un antivirus es que tenga una
estructura completa, que cuente con análisis de firmas, machine learning,
Heurística, entre otros.
 ¿Al trabajar como perito especializado en informática forense, de qué manera

se debe considerar el cómo y el por qué falló la seguridad permitiendo que
ocurriera un delito informático?
Respuesta: Nunca he realizado auditorías desde el punto de vista forense,
desconozco, como se lograría eso, pero generalmente los fallos de seguridad
se dan por falta de monitoreo.
 ¿De qué forma puede ocurrir una infección informática en un equipo o equipos
informáticos a pesar de contar con un software antivirus y antispyware?
Respuesta: La respuesta es la misma que en el caso anterior, el mayor
causante de este tipo de vulnerabilidades es la falta de monitoreo a los sistemas
informáticos y en este caso al servicio del antivirus; que el servicio de antivirus
sea desatendido, si se quiere resolver los problemas se debe abordar también
a las personas, a los usuarios.
143
 ¿De qué forma puede ocurrir una invasión o infiltración en un equipo o equipos
informáticos a pesar de contar con un software antivirus y antispyware?
Respuesta: Como en los casos anteriores, la falta de un mantenimiento
adecuado, constante y programado, sin embargo, existe algo llamado ingeniería
social, un correo engañoso recibido desde un usuario desconocido que se
identifica como parte de la unidad de informática, una cadena en redes sociales,
etc.
 ¿Qué es un incidente de seguridad informática?

Respuesta: Se define como un acceso, uso, divulgación, modificación no
autorizada de la información, es decir cualquier tipo de vulnerabilidad no
prevenida.
 ¿Qué aporta a una empresa el análisis forense digital?

Respuesta: como en el caso anterior desde mi experiencia no he realizado
auditorías en el ámbito forense, tengo conocimientos teóricos, pero en la
práctica poco puedo aportar al tema. Sé que brinda técnicas y principios
impredecibles para desarrollar una investigación, que ayuda a identificar,
recuperar y analizar, las evidencias de alguna vulnerabilidad.
 ¿Qué objetivo tiene un malware?

Respuesta: en pocas palabras es un software malicioso de hecho su nombre
es un juego con dos palabras malicious software, unido malware, abarca todo,
virus, gusanos, troyanos ya sea por conexión directa o inversa, backdoor,
keylogger, downloader, spyware, adware, hijackingk joker, hoaxer,
rawsomware, passwordstealer, bombas lógicas, etc.
 ¿Qué diferencia hay entre un hacker y un cracker?
Respuesta: pues la diferencia está en las razones y la ética de cada uno, ambos
poseen conocimiento y gran capacidad informática, como para descubrir fallos
en un sistema o software, pero el hacker no usará ese conocimiento para dañar
o atacar una empresa sino para alertar o mejorar esa vulnerabilidad, el cracker,
144
al contrario, intentará aprovechar esta puerta y hacer daño infiltrándose y
destruyendo ciertos objetivos. Sin embargo, antes recuerdo que los hackers
hacían lo que hacían por prestigio, por mostrar una vulnerabilidad, en nuestro
tiempo, la mayoría son delincuentes, persiguen defraudar, robar, en fin,
delinquir.
 ¿Qué método se utiliza para determinar, analizar, valorar y clasificar el riesgo?

Respuesta: Pues eso se determina con un análisis de riesgo, considerando los
niveles de la amenaza, las probabilidades de esta para descalificar lo primero
que se tiene que hacer es identificar tipos de datos o información y también el
análisis de flujo de la información.
 ¿Qué es vulnerabilidad?
Respuesta: Es una puerta abierta, una debilidad del sistema que puede ser
aprovechada para causar daño, y puede estar donde sea, en la red, en el
hardware, en el sistema, en el software, pero creo que el elemento que más
vulnerabilidades proporciona es el elemento humano, las amenazas internas,
una empresa se puede cuidar de lo que viene de afuera con herramientas
tecnológicas, pero de los usuarios, del factor humanos solo te cuidas con
políticas, controles y concientización y eso es difícil.
 ¿Cuál es el patrón o la forma en la que es posible cometer delitos informáticos

aprovechando las vulnerabilidades de la seguridad informática?
Respuesta: Lo más común que se hace últimamente es el phishing, mandan
un correo presentándose como parte de la unidad de TI o de Informática
diciendo que por medidas de seguridad se está verificando el usuario y
contraseña, pidiendo que manden la respuesta o también piden que den clic en
determinados enlaces o botones y ahí entra la infección, de nuevo el factor más
riesgoso es el humano y la falta de capacitación, concientización, controles y
monitoreo.
145
 ¿Cuál es la falla más frecuente en las empresas sobre la seguridad de la
información?
Respuesta: El pensar que los sistemas están actualizados, es decir la falta de
controles, la falta de mantenimiento y monitoreo.
 ¿Puede recomendarnos alguna normativa que explique acerca de la seguridad

informática?
Respuesta: Eso es un poco relativo, yo podría recomendarles la base de todo,
la familia de las ISO’s 27000, es lo mínimo que se debería implementar en todas
las empresas, todas las recomendaciones y controles de la familia ISO 27000.
 ¿Los antivirus existentes permiten realizar algún tipo auditoría en busca de una
vulnerabilidad o rastro de un ilícito?
Respuesta: No es ese el objetivo de un antivirus, pero puedo deducir el rastro
de un ilícito, puedo determinar un ataque que sucedió en un equipo, determinar
hasta cierto punto su origen, sin embargo, esto no puede considerarse
evidencia, para un juicio.
146
Se realizó solicitud de información amparándose en la Ley de Acceso a la Información
Pública, ante la Unidad de Acceso a la Información Pública de la PNC, obteniendo la
siguiente información.
Ilustración 27. Resolución a Solicitud de Información (2019) Fuente: Elaboración propia.
147
Ilustración 28. Resolución a Solicitud de Información (2019) Fuente: Elaboración propia.
148
Donde se aportan los datos siguientes:
Ilustración 29. Respuesta a Solicitud de Información (2019) Fuente: Elaboración propia.
149
Se realizó posteriormente otra solicitud de información amparándose en la Ley de
Acceso a la Información Pública, ante la Unidad de Acceso a la Información Pública
de la PNC, obteniendo la siguiente información.
Ilustración 30. Respuesta a segunda solicitud de información (2019) Fuente: Elaboración propia.
150
Ilustración 31. Respuesta a segunda solicitud de información (2019) Fuente: Elaboración propia.
151
También, se tomó en cuenta para esta investigación y como parte de los anexos, una
entrevista realizada en las instalaciones de la Subdirección de Investigaciones de la
PNC, específicamente en la Unidad de Investigación de Delitos Informáticos en
adelante UDI, ubicada en Col. Flor Blanca, Calle El Progreso Nº 2810, San Salvador,
con personal de dicha unidad, a quienes se realizaron las siguientes preguntas.
 ¿Cuál es la capacidad técnica o perfil ideal que debe cumplir una persona para
ser parte de la División Central de Investigaciones, específicamente de la
Unidad de Delitos Tecnológicos?
Respuesta: Tres años de experiencia como investigador, conocimientos afines a
las ciencias informáticas, aprobar evaluaciones psicológica y poligráfica, entre
otras.
 ¿Qué instituciones capacitan al personal que conforma la Unidad?

Respuesta: UNODC, Oficina de las Naciones Unidas contra la Droga y el Delito,
UNICEF, Fondo de las Naciones Unidas para Infancia, INTERPOL, Policía
Internacional, todas las capacitaciones van encaminadas al delito informático.
 ¿Quiénes solicitan los analices de los dispositivos tecnológicos?

Respuesta: Generalmente, Fiscales previamente autorizados por un Juez quien
ratifica y nombra al perito de entre el personal capacitado de la UDI.
 ¿Se cuenta con el equipo tecnológico idóneo para cumplir con las peticiones de
los usuarios?
Respuesta: Si se cuenta con equipo solo que dicho equipo no está actualizado.
 ¿Cuál es el proceso de ingreso de equipos tecnológicos para su análisis?

Respuesta: Los equipos o dispositivos incautados por personal de la misma
Unidad, deben ser embalados y rotulados acompañándolos de la cadena de
custodia para garantizar la integridad de la información.
152
 ¿Cuáles son el software y equipos especializados usados para procesar los
equipos tecnológicos ingresados?
Respuesta: FTK, Encase, Evidence Finder, Magnet, sin embargo, en todos ellos
existe desactualización de las licencias correspondientes.
 ¿De qué manera garantizan que los datos y la información extraída no ha sufrido
ninguna modificación?
Respuesta: Generando valores Hash, lo cual garantiza que los archivos extraídos
de esos equipos o dispositivos no han sido manipulados.
También, se tomó en cuenta para esta investigación y como parte de los anexos, una
entrevista realizada en las instalaciones de la Subdirección de Investigaciones de la
PNC, específicamente en la Unidad de Investigación de Delitos Informáticos en
adelante UDI, ubicada en Col. Flor Blanca, Calle El Progreso Nº 2810, San Salvador,
con personal de dicha unidad, a quienes se realizaron las siguientes preguntas.
 ¿Cuál es la capacidad técnica o perfil ideal que debe cumplir una persona para
ser parte de la División Central de Investigaciones, específicamente de la
Unidad de Investigación de Delitos Tecnológicos?
Respuesta: Tres años de experiencia como investigador, conocimientos afines a
las ciencias informáticas, aprobar evaluaciones psicológica y poligráfica, entre
otras.
 ¿Qué instituciones capacitan al personal que conforma la Unidad?

Respuesta: UNODC, Oficina de las Naciones Unidas contra la Droga y el Delito,
UNICEF, Fondo de las Naciones Unidas para Infancia, INTERPOL, Policía
Internacional, todas las capacitaciones van encaminadas al delito informático.
 ¿Quiénes solicitan los analices de los dispositivos tecnológicos?
153
Respuesta: Generalmente, Fiscales previamente autorizados por un Juez quien
ratifica y nombra al perito de entre el personal capacitado de la UDI.
 ¿Se cuenta con el equipo tecnológico idóneo para cumplir con las peticiones de
los usuarios?
Respuesta: Si se cuenta con equipo solo que dicho equipo no está actualizado.
 ¿Cuál es el proceso de ingreso de equipos tecnológicos para su análisis?

Respuesta: Los equipos o dispositivos incautados por personal de la misma
Unidad, deben ser embalados y rotulados acompañándolos de la cadena de
custodia para garantizar la integridad de la información.
 ¿Cuáles son el software y equipos especializados usados para procesar los

equipos tecnológicos ingresados?
Respuesta: FTK, Encase, Evidence Finder, Magnet, sin embargo, en todos ellos
existe desactualización de las licencias correspondientes.
 ¿De qué manera garantizan que los datos y la información extraída no ha sufrido
ninguna modificación?
Respuesta: Generando valores Hash, lo cual garantiza que los archivos extraídos
de esos equipos o dispositivos no han sido manipulados.
Así mismo, como parte de los anexos se realizó entrevista en las instalaciones de la
Sección de Delitos Tecnológicos de la PNC, dependencia del Departamento Técnico
de la División de Policía Técnica Científica, Avenida las Buganbilias 17-7 Colonia San
Francisco San Salvador, con personal de dicha unidad, a quienes se realizaron las
siguientes preguntas.
154
 ¿Cómo y desde cuándo se da inicio a la auditoría informática forense en la
división de la policía técnica y científica de la PNC?
Respuesta: Cabo Zelaya Aquino: La División Técnica Científica formalmente da
inicio en el 2008, aunque en el año 2005 ya se habían hecho los primeros trabajos
para la fiscalía, pero no se contaba en aquel entonces con el equipo adecuado para
ese tipo de extracciones, pero si se apoyaba (la labor de la fiscalía), ya fue a partir
de 2008 que ya se formalizó, se hizo la adquisición de equipo forense para ese fin.
 ¿Cuál es la capacidad técnica o el perfil ideal o real que debe cumplir una
persona para pertenecer a esta sección?
Respuesta: Cabo Zelaya Aquino: Bueno dentro de la institución policial existen dos
áreas la administrativa y la operativa, esta sección está formada por esos mismos
elementos, personal administrativo y personal operativo, cuando me refiero a
personal operativo es que ha sido un policía de carrera, formado en la Academia
Nacional de Seguridad Pública como policía de la calle (operativo), dependiendo
su especialidad, su estudio que hizo posteriormente pues le da una apertura para
formar parte de, claro hoy se somete a un proceso de selección para ser miembro
o pertenecer a la sección, hace poco se hizo una convocatoria que incluía desde
técnicos en informática hasta licenciados o ingenieros, para pertenecer a
cualquiera de las secciones que conforman la división es rigor la prueba del
polígrafo, si una persona cumple los demás requisitos pero no pasa la prueba del
polígrafo, es descartada, porque lo que se busca acá es que la persona que funja
sea íntegra, entonces lo ideal de técnicos en el área de la informática luego viene
la auto capacitación y las capacitaciones que se brindan acá, en la división que nos
va orientando al área forense; Cabo Henrríquez Molina, perdón ahí hay un detalle,
la informática como tal en el país se encuentra regida como una carrera, pero no
van a encontrar lo que es la informática forense, entonces ya para formarse como
técnico en el área forense, pues casi forzosamente hay que pertenecer en este
caso a la Policía o la Fiscalía, que son los únicos entes del estado que preparan
para realizar este tipo de peritaje, entonces ya partiendo sobre la base que (el
155
interesado) tiene un técnico, licenciatura, ingeniería en cualquiera de las carreras
afines a la informática, sobre eso se dan una serie de capacitaciones, que este
caso son (brindadas) por organismos internacionales, donde participa personal del
FBI, de la ONU, de la UNODC, INTERPOL, ABA ROLI y otra serie de instituciones
internacionales que nos van preparando para el campo de la informática (forense)
entonces en el país no existe la carrera de nada relacionado a lo forense, entonces
se tiene que ir a trabajar uno a alguna institución del estado para que ahí lo
preparen, como el caso de los doctores, no existe como tal carrera de medicina
forense, siendo médico se va luego a sacar cursos de algo forense, igual nosotros,
para contestar ya puntualmente, la capacidad técnica de un perito de la Sección de
Delitos Tecnológicos es el estudio formal que haya tenido más la preparación
técnica forense inducida por organismos internacionales.
 ¿Quién certifica la idoneidad del personal que pertenece a la Sección de Delitos

Tecnológicos y por qué?
Respuesta: Nosotros hemos recibido diferentes tipos de capacitaciones como les
explicaba, las instituciones nos capacitan, nos dan un diploma donde nos acreditan
que estamos aptos para realizar un trabajo, pero la institución como tal y el
laboratorio tienen su propio proceso de acreditación y de certificación, primero me
acredita que yo estoy apto para realizar equis trabajo, no por el hecho de haber
asistido a un curso significa que lo puedo aplicar, yo voy y recibo una capacitación
y luego la institución, el laboratorio como tal tiene una serie de procesos que de
alguna manera han ido cambiando a lo largo del tiempo, yo voy a sacar una
capacitación, regreso con el diploma, paso por una serie de pruebas en este caso
yo soy quien autorizo (jefe de la sección), les voy dando el aval de que si pasaron,
los instructores hacen los exámenes, yo los reviso se lo paso al jefe (de la División
Técnico Científica de la PNC) informando que ellos (quienes se examinaron) ya
están aptos, realizan casos tutoriados bajo nuestra responsabilidad, el jefe de la
División les emite un carnet que les acredita como peritos, entonces la certificación
se realiza cumpliendo una serie de casos, al cumplir con estos requisitos el
156
interesado es certificado en promedio cada perito debe entregar cuatro casos al
mes, ese es el escenario ideal, a veces puede ser más o puede ser menos
dependiendo de las actividades cuarenta y ocho casos al año, lo mismo pasa con
todas las capacitaciones, por ejemplo se recibe una capacitación de análisis de
teléfonos, se realizan casos analizando teléfonos y luego se recibe la certificación,
acá es un laboratorio en esencia así que hacen pruebas, el interesado hará una
seria de prueba y si al final por ejemplo un 98 % de las pruebas fueron exitosas y
2% son incertidumbre donde queda duda que se pudo haber cometido un error o
el equipo no me permitió realizar el trabajo, se considera que aprobado y se
certifica, ahora esta acreditación no es permanente, se tiene que tener constancia
en la realización de las pruebas si un perito se retira por cualquier motivo por tres
meses por ejemplo por un capacitación o lo que sea y deja de trabajar, de realizar
peritaje, según las normas de calidad, se tiene que volver a acreditar y certificar,
empieza de cero prácticamente aunque ya tenga un pre conocimiento, ya no va a
hacer el curos completo, pero tiene que actualizarse, entonces a la certificación se
le da mantenimiento, porque se pierde.
 ¿Qué instituciones capacitan al personal de la Sección de Delitos

Tecnológicos?
Respuesta: Cabo Zelaya Aquino y Cabo Henrríquez Molina de tal: Instituciones
nacionales e internacionales, ABA ROLI, FBI, INTERPOL, UNODC, JES, FGR,
ANSP, Unión Europea, ICTAP, INL, entre otras.
 ¿Quién solicita los análisis de los dispositivos tecnológicos?

Respuesta: Cabo Zelaya Aquino: La misma policía a través de las áreas de
investigaciones, la FGR, y los juzgados en algunas ocasiones otras instituciones
del estado, por ejemplo, Migración, la Procuraduría para la Defensa de los
Derechos Humanos, Ministerio de Hacienda, entre otras. Cabo Henrríquez Molina:
Casi siempre los peritajes van orientados para los operadores de justicia, pero a
157
veces se reciben también casos de carácter administrativo, faltas disciplinarias, de
alguna institución o de nosotros mismos,
 ¿Se tiene el equipo tecnológico idóneo para cumplir las peticiones judiciales?
Respuesta: Cabo Henrríquez Molina: La respuesta es sí y no. Cabo Zelaya Aquino:
como es común en el área informática la respuesta más acertada es depende, sí,
porque sí son los equipos que sirven para esa función, no, porque a veces debemos
recordar que estos equipos son caros, anualmente o dependiendo del contrato
deben hacerse actualizaciones, y lastimosamente la institución policial, no le ha
brindado la importancia que se debe a las áreas investigativas, entonces no se
cuenta con presupuesto para tener actualizados los equipos, por ejemplo se tiene
un equipo para analizar teléfonos que del Iphone 6 hacia atrás los analiza
completamente, pero ya con los dispositivos nuevos, ya se ve limitado, tal vez no a
todo el proceso de la extracción, pero, ya no se puede recuperar todo, sino
parcialmente, obviamente, dentro del área informática lo ideal sería (recuperar)
todo, pero como no se puede se trabaja con lo que se tiene. Cabo Henrríquez
Molina: Agregando, Nosotros contamos con una gama de equipos tecnológicos de
uso forense, aceptado en la comunidad forense internacional, tenemos los mismos
equipos que pueda tener el FBI, la CIA, he tenido la oportunidad de ira a la Policía
Cibernética de México hacen lo mismo que nosotros, también la Policía de
Investigaciones de Colombia y utilizamos los mismos equipos, mismas marcas,
mismos modelos, pero a nivel mundial la informática forense siempre va a ir un
paso atrás, con relación al delincuente, el que genera la inventiva, es decir se
inventaron los drones por ejemplo y de repente alguien vio que los drones se podían
utilizar para espiar personas, para disparar remotamente, entonces luego, luego de
eso se tuvieron que inventar herramientas de análisis para los drones, ese desfase
que existe en cuestiones de tecnología, siempre nos deja un paso atrás, otro
ejemplo, cuando sucedió lo de los amaños de los futbolistas, trajeron unas tablets
y unos equipos para los cuales no teníamos herramientas forenses para poder
analizarlos, se hizo una solicitud y se compraron de emergencia los equipos y ya
158
ser realizó el peritaje, porque hasta ese momento no nos habíamos visto en la
necesidad de realizar ese tipo de peritaje, de acuerdo a la necesidad que generan
los mismos delincuentes así se generan las soluciones, pero la brecha siempre
existe, no importa si eso es en El Salvador, o si estamos en Inglaterra o Canadá,
esa brecha siempre va a existir.
 ¿Cuáles son los pasos y requisitos que debe cumplir una evidencia para el
ingreso a la División Técnico Científica y a esta sección?
Respuesta: Cabo Zelaya Aquino: Cuando hablamos de los pasos que debe cumplir
una evidencia, recordemos que nosotros somos responsables como peritos del
área de recepción de evidencias haca acá, lo que ocurrió antes no sabemos, y no
es nuestra competencia, no es nuestra responsabilidad, se debe capacitar o instruir
al investigador de inspeccione oculares, (sobre) la manera adecuada de proteger
el equipo, resguardarlo para el transporte para que final término (sea adecuado y)
llegue a esta división, seguir modelos de embalar y proteger todo eso va
acompañado de la famosa cadena de custodia, donde se registra e identifica el
equipo (por ejemplo) una computadora, marca, modelo, color, dando un detalle de
ese equipo dispositivo, el cual nos va a garantizar que el que se decomisó o se
incautó en la escena del delito es el mismo que está llegando a esta división, se
elabora el informe pericial con ese mismo detalle y es el que sea hace llegar a los
operadores de justicia ya sea FGR o Juzgados, esos son los requisitos que debe
cumplir la evidencia, .
 ¿Se rigen bajo alguna norma los procesos que se realizan en esta sección?
Respuesta: Cabo Zelaya Aquino: estamos las buenas prácticas de laboratorio, y
estamos dentro del proceso de acreditaciones que ha venido por diferentes etapas.
Cabo Henrríquez Molina: nosotros somos una institución que dentro del
organigrama estamos supeditaos a una jefatura, seguimos los lineamientos que se
dan a toda la institución, el laboratorio en si está certificado en la ISO 17025, para
laboratorios de ensayo, cumplimos con los manuales de buenas prácticas de
159
manejo de la evidencia digital, manuales de buenas prácticas de manejo de
evidencia informática, que están reconocidos a nivel internacional, dentro de la
comunidad forense, generamos nuestros propios manuales de procedimientos,
tenemos nuestros propios manuales de como embalar la evidencia y como recibirla
y también nos regimos por las normas del Sistema Integrado de Gestión de Calidad,
la ISO 9001, normas que nos rigen como laboratorio.
 ¿Cuáles son los softwares y el equipo forense utilizados para procesar los
dispositivos tecnológicos ingresados a esta sección?
Respuesta: Cabo Zelaya Aquino: software tenemos, ENCASE, FTK, Auptopsy,
Mangent AXION, Phisical Analizer, Hardware tenemos For PC, originalmente se
diseñó para la extracción de dispositivos celulares o telefonía móvil, UFED
Dispositivo universal de extracción forense para teléfonos, etc.
 ¿Cómo garantizan que los datos o la información resultante del análisis no sea
modificada?
Respuesta: Cabo Zelaya Aquino: En informática y más que todo en informática
forense, se emplean las famosas firmas digitales, aunque hay una separación, esto
es un valor hash, de todos los datos que se obtienen de una extracción se obtiene
un valor hash, ese valor hash es inalterable, con eso garantizamos cuando se
obtienen los resultados y se va a las vistas públicas que lo que se muestra en
dichas vistas públicas es el mismo trabajo que se entregó, uno porque el dispositivo
óptico en que se entrega la información llámese cd o dvd, va debidamente
etiquetado, o puede ser también una memoria usb, pero dentro de ese dispositivo
va la información solicitada y esa firma en este caso un valor hash el cual garantiza
que si es la misma información que se plasmó en el informe pericial.
 ¿Cuál es la importancia o utilidad de la auditoría informática forense en El

Salvador?
160
Respuesta: Cabo Henrríquez Molina: La informática forense, es una rama de la
informática, que puede aportar evidencias una vez analizadas de gran valor, para
lo que es una investigación criminal, sostengo que no es una sola evidencia o no
es solo una rama de la ciencia forense la que va a solventar un caso, sin embargo
estas son ciencias aplicadas, que por su misma naturaleza ayudan a identificar
usuarios, no tanto así personas, no podemos asegurar que una persona se sentó
frente a un equipo a cierta actividad, no, lo que se puede es identificar que un
usuario “x” realizó cierta actividad en un entorno digital o informático, creo que la
informática forense tiene una gran importancia en el aspecto que es completamente
imparcial en ese aspecto, no señala personas en específico, sino las actividades
que un usuario pudo haber realizado en un entorno digital, lo demás vendrá del uso
que los fiscales y los aplicadores de la Ley a los resultados que se obtengan, hay
casos en los que se presentan muchas pruebas, en base a un trabajo realizado de
la mejor manera y al final a lo mejor las partes terminan conciliando, en cambio hay
casos en que con una sola prueba y por ejemplo un video de apenas treinta
segundos, han resultado en la condena de una persona hasta por cuarenta años
de prisión, entonces va a depender mucho del uso que se le dé al resultado
obtenido, como con cualquier tipo de resultado con un análisis de evidencia.
Datos curiosos es importante mencionar que a nivel centroamericano el laboratorio

forense de la Sección de Delitos Tecnológicos es el único que aún se encuentra en
la Policía Nacional.
El jefe de la Sección mencionó el problema educativo al pensar a la informática

forense como carrera, dijo: “usted quiere estudiar una carrera forense, acá la
ciencia forense no tiene un carrera como tal, usted quiere ser criminalista de donde
va a sacar un docente de criminalística forense en el país, tendríamos que ser
nosotros mismos, de donde va a sacar un especialista balístico, no hay un lugar en
el país que capacite al balístico forense, no hay dactiloscopia forense como carrera,
tampoco lofoscopia, en cambio yo voy a Panamá y veo que allá existe la carrera
161
de criminalística, la licenciatura en criminalística, cuando estos muchachos se
gradúen de licenciados en criminalística van a encontrar campo de acción, igual en
México, en esos países las empresas privadas dicen necesito criminalistas, que
por lo general analizan los perfiles de los que van a entrar a las empresas, aquí
quien analiza el perfil del que va a entrar a la empresa, el de recursos humanos y
que estudio tiene el de recursos humanos, es la amiga del dueño de la empresa,
es la secretaria, sin desmeritar, es una secretaria, un bachiller, que contrata gente
por amiguismo, no hay campo económico que sea fértil, para poder ofrecer la
carrera, (forzosamente) se va a tener que venir a capacitar acá y para capacitarse
acá, tiene que trabajar aquí.”
El lema de la División de la División Técnico Científica es: “De la ciencia verdad y

de la verdad justicia”.
También, se agregó a los anexos entrevista realizada en las instalaciones de la

Universidad Politécnica de El Salvador, a los Licenciados Rainiero Napoleón Delgado
Aguilar, Secretario del Tribunal Tercero de Sentencia de San Salvador y Álvaro
Humberto Ortiz García, quien labora en la Cámara Primera de lo Penal, a quienes se
consultó lo siguiente.
 ¿A través de qué medios a conocido sobre la evidencia digital y su utilización?

Respuesta: Lic. Ortiz García: Para responder a esta pregunta sugiero consultar el
Art. 201 CPP, que habla sobre la extracción de la información electrónica. También
se debe tomar en cuenta la Ley Especial contra delitos Informáticos y Conexos,
existen capacitaciones para todo el personal judicial, para cada Ley que va
surgiendo, el derecho en sí tiene un elemento muy importante y es que es
cambiante, el derecho va cambiando a medida que las personas van adquiriendo
conocimiento sobre nuevas formas de cometer hechos delictivos, a medida que el
delincuente va innovando, la Ley debe cambiar y acoplarse a las necesidades que
se generan al combate de la delincuencia, en ese sentido a cada uno de las
162
personas del sistema judicial se les capacita para que tengan conocimiento de la
norma o Ley, por ejemplo la Ley especial contra delitos informáticos para su
aplicación. De eso se encarga la corte suprema de justicia, a veces hay otros cursos
especializados dentro y fuera del país. Hay un problema, a la hora de por ejemplo
extraer información, estamos hablando de información confidencial, emparejando
esto con el derecho constitucional a la intimidad, se necesita autorización judicial,
es decir la intervención de un Juez, para extraer la información de un aparato
informático, porque si no se hace de la manera correcta se violentan derechos, en
este caso la intimidad de las personas, y la violentar derechos se generan
nulidades. Hay veces hay carencias no solo en los jueces en las capacitaciones
que puedan tener todos los elementos que conforman el sistema judicial, entre ellos
FGR, PNC, que en ocasiones si están capacitados y en ocasiones no, por eso
ustedes ven que se desarrollan en alguna medida unidades especiales, tanto PNC
cómo FGR, para que combatan estos delitos.
 ¿Ha utilizado información digital como pruebas en los procesos que ha tenido
conocimiento?
Respuesta: Lic. Ortiz García: Si, específicamente, por ejemplo en casos de
extorsión, se extrae información, mensajes de texto, mensajes de whatsApp,
correos electrónicos, delitos de expresiones de violencia contra la mujer,
contemplado en la LEIV, agresiones sexuales, violaciones, acoso, homicidios,
amenazas, falsedad documental, (esta información extraída) se convierte en una
prueba periférica que sumándose a otras pruebas dan valides al testimonio, en ese
tipo de delitos se ha observado el uso de pruebas digitales, con las cámaras de
vigilancia de ARGUS que son del 911 PNC, se ha verificad cometimiento de hechos
delictivos como homicidios, homicidios culposos, homicidios agravados, se verifica
que la persona actúa en contra de otra generándole lesiones y le provoca la muerte,
con arma blanca o arma de fuego, accidentes automovilísticos, donde se refleja el
accidente y la lesión que pudo haber provocado, el peritaje se vuelve útil porque se
vuelve una prueba ilustrativa, permite ver lo que ha sucedido, pero por si sola no
basta como prueba para acreditar la participación de una persona en un hecho
163
delictivo, es algo necesario, básico que ayuda a la hora de tomar una decisión a un
juzgador, pero a la vez es necesario que esa información que ingresa por medio de
esa prueba ilustrativa, de una extracción de un teléfono, computadora o
videocámara, sea comparada o agregada y en conjunto con las otras pruebas logre
establecer la existencia y la participación del delito, si ayuda, crea certeza.
 ¿Cuáles son los parámetros que toma en cuenta para tener certeza de que la
evidencia presentada a su juzgado es auténtica?
Respuesta: En principio debe haber con base al Art. 201 CPP una solicitud de
extracción de información en aparato electrónico, por la persona que necesita esa
información, pero previo a ello a la hora de recolectar la evidencia, el desarrollo de
la cadena de custodia, para garantizar la certeza de la prueba.
 ¿Ante la necesidad de un peritaje informático forense, exige un perfil específico
para el especialista o confía en las capacitaciones que éste ha adquirido para
realizar tal función?
Respuesta: Lic. Delgado Aguilar: En la cuestión pericial, nunca van a encontrar un
perito que lo sepa todo, sin embargo, en este tipo peritaje, por la cuestión forense,
no se requiere un conocimiento general, sino un conocimiento específico, por la
naturaleza de los delitos, una persona que acaban de recibir una capacitación o un
curso, no tendrá la pericia necesaria para realizar este tipo de peritaje, cuando me
hablan de un peritaje informático forense, estamos hablando de algo que tiene
repercusión en materia penal, debe ser de tal manera que pueda primero interpretar
lo que se le está solicitando y dos que al momento de transmitirle esa información
al Juez que va a tomar la decisión el Juez perfectamente lo pueda entender, ya que
el Juez no tiene los conocimientos sobre eso, uno de los puntos en la pericia es
que debe precisarse que es lo que se va a peritar, y muchas veces el abogado no
se hace asistir de un técnico o de un profesional que lo oriente de aquello que se
necesita ya sea para poder acusar o defender, muchas veces se pretende hacer
ver como muy sencillo un delito informático, por ejemplo dicen aquí hay unas fotos
(extraídas de una computadora) el Juez dice bueno, pero esas fotos de donde
proceden, él no lo puede hacer, no lo puede deducir, el juez necesita certeza sobre
164
la base de la seguridad jurídica, que implica eso, que se haya hecho conforme a la
Ley dice, se puede tomar una copia de una imagen y llevarla, eso puede servir
como un indicio, de que en esa máquina hay algo relativo a eso, le va a servir al
fiscal para investigar, pero al Juez le va a servir la certeza, que una persona con
los conocimientos necesarios para el rol importante que está desarrollando, yendo
a la máquina de la que se dice viene la información, extrayendo la información,
estableciendo los descriptores respectivos, entre otros, con esa información dada
por un perito que da la certeza de que esa información existe, y entrega toda la
información técnica necesaria para respaldar sus peritaje. Se requiere un perfil
específico, la formación que el perito tenga como profesional es importante, por el
tipo de información que se va a conocer, el perito debe dar un aporte que no
necesariamente el que, hecho de hacer el peritaje, sino el que da ante el Juez
defendiendo su pericia. En conclusión, yo si en lo personal exijo un perfil específico
para el especialista. Para una justicia de calidad como la que nos merecemos todos
los salvadoreños, definitivamente para mi parecer requiere que el perfil del perito
informático forense sea de lo más alto posible, lo más calificado posible, no
cualquiera, alguien que esté preparando constantemente.
 ¿Cuál es la utilidad que tiene la auditoria informática forense en el sistema
judicial de El Salvador?
Respuesta: Lic. Delgado Aguilar: El Juez para resolver un caso, necesita de
pruebas, que sean confiables, que sean legales, es tan importante una eficiente
pericia tecnológica, porque primero debe autorizarla un Juez y la intervención se
hace a través de medios tecnológicos, de una computadora, y se necesita que sea
fiable, depurable, al final a través de la auditoría informática forense, si al Juez a
quien le compete dilucidar a través de una sentencia resolver un caso, si no se
plantea bien una auditoría informática forense, esto genera un sentencia
absolutoria o condenatoria, en conclusión la utilidad de la auditoría informática
forense es el hecho de brindar pruebas, en ciertos delitos, sobre todo en El
Salvador, donde ahora tenemos una Ley contra delitos informáticos, será
fundamental tener peritos con la idoneidad y sobre esa base, en las auditorías
165
forenses el sistema judicial podrá dar sus conclusiones en una sentencia
condenando o absolviendo sobre la base de esa información que le sea fiable, que
le sea confiable, que le permita reproducir y recrear lo que sucedió para poder
tomar la mejor decisión, la que sea justa.
166

Auditoria Informatica Forense 27-09-2019

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria Informatica Forense 27-09-2019

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD POLITÉCNICA DE EL SALVADOR

FACULTAD DE INGENIERÍA Y ARQUITECTURA

“DISEÑO DE PROCESO DE AUDITORÍA INFORMÁTICA FORENSE Y SU

ROSARIO DEL CARMEN CALLES VIERA

PARA OPTAR AL GRADO DE

SAN SALVADOR, EL SALVADOR, CENTRO AMÉRICA

ING. ROBERTO ARGUETA QUAN

ING. JULIO CÉSAR RICO

ING. RAÚL ALBERTO GARCÍA AQUINO

"DISEÑO DE PROCESO DE AUDITORÍA INFORMÁTICA FORENSE Y SU

ING. CARLOS ALFREDO HÉRCULES CASTRO

LIC. FELIPE EDGARDO ALVARENGA MÁRTIR

LIC. ALBERTO SANTOS MEJÍA HERNÁNDEZ

PRINCIPALMENTE A DIOS: por haberme dado la sabiduría y la fortaleza en mi vida,

A MI HERMANO: José Ismael Calles Viera, por su cariño y apoyo incondicional,

A Jhovanny Anaya Meléndez: por entenderme en todo momento, fue un apoyo

A TODA MI FAMILIA: porque con sus oraciones, consejos y palabras de aliento

A MIS AMISTADES: que siempre estuvieron apoyándome y confiando en mí, sin

Rosario del Carmen Calles Viera

AGRADEZCO A DIOS TODOPODEROSO: por permitirme y bendecirme en toda esta

A MI FAMILIA: por el enorme apoyo incondicional, incentivándome en cada momento

A MIS AMIGOS Y COMPAÑEROS DE TRABAJO: por su solidaridad y consideraciones

Ciro Rolando Hernández Rivera.

A DIOS: manifestado en cada aspecto de nuestras vidas.

A MI ESPOSA E HIJA: Emelyn Rosibel Portillo de Mauricio y Amy Samantha Mauricio

A MIS HERMANOS Y SOBRINOS: Ovidio, Julio, Ana, Luis y Roberto, Fernando mi

¡Gracias y que el buen Dios que está en todo, les bendiga!

Carlos Mauricio López

Índice de ilustraciones ............................................................................................... 10

Índice de tablas ......................................................................................................... 12

Glosario de términos ................................................................................................. 13

Capítulo 1. El problema ............................................................................................. 28

1.1 Planteamiento del problema .............................................................................28

2.1 Marco conceptual .............................................................................................35

3.1 Metodología ......................................................................................................92

4.2 Objetivos .........................................................................................................109

Referencias bibliográficas ....................................................................................... 139

Anexos .................................................................................................................... 143

Ilustración 1. Historia de la informática forense 1970-1993 Aldo Valdez (2018). ...... 41

Tabla 1. Instituciones de educación superior con carreras y / o materias relacionadas

 Acto Ilícito: es una conducta que transgrede las imposiciones específicas

 Perito: es un profesional que posee conocimientos especializados, suministra

 ANSP: Academia Nacional de Seguridad Publica

Actualmente el Órgano Judicial, que es el encargado de aplicar justicia en El Salvador,

El acelerado avance tecnológico de las últimas décadas, no solo ha traído desarrollo

La auditoría informática forense, es cada día más necesaria y su importancia crece, a

1.1 Planteamiento del problema

La investigación propuesta, es con el fin de aportar conocimiento en el área

La investigación incluye, describir brevemente, algunos softwares forenses, utilizados

1.2 Enunciado del problema

¿Hasta qué nivel, la falta de un proceso sistematizado para realizar auditorías

Diseño de proceso de auditoria informática forense y su utilidad en el Sistema Judicial

Por lo tanto, es menester adquirir capacitación, destrezas y habilidades suficientes,

El interesante caso de Julian Assange, un australiano, fundador del portal Wikileaks,

También, pueden mencionarse los procesos en los que se ha visto involucrado el

1.5.1 Objetivo general

Proporcionar el diseño del proceso necesario, para la realización de una auditoría

1.5.2 Objetivos específicos

 Proporcionar el perfil, que debe acreditar el profesional encargado de realizar

 Proporcionar información factible y veraz, sobre la metodología utilizada en los

 Describir la metodología de obtención de datos informáticos, con la aplicación

La realización de la investigación, sobre el diseño de proceso de auditoria informática

1.7.1 Delimitación temática

La obtención de la información, relacionada a los procesos de una auditoría informática