Buenas Practicas para el Secuestro e Investigación de Evidencia Digital

Buenas Practicas para el Secuestro e Investigación de Evidencia Digital

Evidencia digital: información y datos de valor investigativo que es almacenada o transmitida por un dispositivo electrónico

Evidencia no digital (ejemplos): contraseñas escritas en papeles, impresiones, huellas dactilares en teclados, etc

EVIDENCIA DIGITAL

EVIDENCIA DIGITAL

Autenticidad los contenidos de la evidencia no fueron modificados la información proviene de la fuente identificada

la información externa es precisa

Precisión Relacionarla positivamente con el incidente, sin dudas sobre procedimientos y herramienta utilizadas

Suficiencia Debe por si misma mostrar el escenario completo

EVIDENCIA DIGITAL

• Importancia Obtención deficiente de evidencia, afectan garantías constitucionales. Acarrea nulidad del proceso

• Privacidad Sólo puede accederse con orden expresa judicial

• Valor probatorio Credibilidad en la recolección y conservación de equipos y evidencias. Inviolabilidad e

inalterabilidad de contenidos

• Relación equipo-usuario Ubicación de usuario en tiempo y lugar con el equipo. Integralidad de la evidencia digital y física (blog de inicio, contraseñas + otras evidencias físicas –dactiloscopía, filmaciones, fotos, testimoniales)

• Procedimiento procesal Orden de allanamiento expresa

FASES DE LA EVIDENCIA DIGITAL

DISPOSITIVOS ELECTRONICOS

Sistemas de computaciónGabinete = Placas de circuito, microprocesadores, disco duro, memoria,

conexiones interfazMonitorTecladoMousePeriféricos (módems, routers, impresoras, escaners)

POSIBLES EVIDENCIAS

Hardware, software, documentos, fotos, archivos de imagen y adjuntos, correo electrónico, historial de navegación de Internet, registros de chat, datos almacenados en dispositivos externos

DISPOSITIVOS DE ALMACENAMIENTO Unidades de disco rígido internas: Discos de aluminio o vidrio, recubiertos de

material ferromagnético, cabeza de lectura/escritura Discos rígidos externos: Requieren fuente de alimentación y un bus serie

universal (USB), firewire, Ethernet, conexión inalámbrica Medios extraíbles: Unidades de disco –CD/DVD- para almacenar, archivar y

transportar datos Pendrive: Dispositivo de almacenamiento extraíble mediante conexión USB Tarjetas de memoria: Dispositivos de almacenamiento de datos de uso en

cámaras digitales, teléfonos celulares, notebook, reproductores de música digital, PDAs, consolas de videojuegos.

POSIBLES EVIDENCIAS

Mensajes correo, historial de navegación de Internet, chat de Internet, listas de registros, fotografías, archivos de imágenes, documentos y archivos de texto

DISPOSITIVOS PORTATILES Teléfonos celulares, PDAs, dispositivos digitales multimedia (MP3, MP4, MP5),

pagers radiollamada, cámaras digitales, sistemas de posicionamiento global (GPS), reproductores de CD/DVD, videofilmadoras, grabadoras de voz

POSIBLES EVIDENCIAS

Aplicaciones de software, documentos, mensajes de correo, historial de navegación de Internet, chat de Internet, fotografías, archivos de imágenes, bases de datos y registros, mensajes de voz

ADVERTENCIA

Datos de teléfonos móviles pueden ser sobrescritos o borrados mientras esta activado, existen software para celulares activables a distancia para inutilizar el equipo o inaccesible (Ej. Blackberry Protect)

DISPOSITIVOS PERIFERICOS

Teclado, mouse, parlantes, cámaras, fax, teléfono, router, módem, impresoras, escáners, fotocopiadoras, contestadores automáticos

POSIBLES EVIDENCIAS

Entrada y salida de números de teléfono y fax, escaneados recientes, fax en memoria, documentos impresos

Evidencia física tal como impresiones dactilares, ADN, etc.

REDES DE COMPUTADORAS Consta de dos o más computadoras conectadas por cables de datos o

conexiones inalámbricas que comparten recursos y datos e incluye impresoras, periféricos y dispositivos de enrutamiento de datos (hubs, switches y routers)

POSIBLES EVIDENCIAS

Pruebas de software, documentos, fotos, archivos de imagen, mensajes de correo y archivos adjuntos, bases de datos, historial de navegación de Internet, registros de eventos y chat, datos almacenados en dispositivos externos.

PROTOCOLO DE RECOLECCION, LEVANTAMIENTO Y PRESERVACION DE EVIDENCIA DIGITAL

Elementos y materiales para la recolección de Evidencia Digital

Cámara de foto/filmadoraCajas de cartónCuadernos para anotaciones y croquisGuantesBolsas para resguardo de dispositivosEtiquetasBolsas antiestáticas (aislamiento Faraday o papel de aluminio)Marcadores permanentesPrecintosFajas para precintado de puertos de entradaHerramientas desmagnetizadas

TRATAMIENTO DE LA EVIDENCIA DIGITAL

Al momento de secuestrar materialSeparar las personas que trabajen sobre los equipos informáticos. No permitirles volver a utilizarlos. Si es empresa, identificar al personal informático interno. Dejar registrado el nombre del dueño o usuarios del equipamiento informático ya que luego pueden ser de utilidad para la pericia. Cuando sea posible obtener contraseñas de aplicaciones, dejarlas registradas en el acta de allanamiento.Fotografiar todos los elementos antes de moverlos o desconectarlos (toma completa del lugar donde se encuentren los equipos informáticos, y de las pantallas de las computadoras, si están encendidas) Evitar tocar el material informático sin guantes descartables. Si los equipos están apagados deben quedar así, al igual si están encendidos

Comprobar ventildores y LEDS Comprobar si el monitor esta encendido, la destrucción de evidencia (ver comandos delete, format, remove,

move, cut o wipe Observar si hay acceso desde otros equipo o dispositivos remotos Buscar si hay comunicaciones en curso con otros usuarios o salas de chat, y cámaras web activas

TRATAMIENTO DE LA EVIDENCIA DIGITALAl momento de secuestrar material (cont.)

Si los equipos están apagados, desconectarlos de su respectiva toma eléctrica. Si son notebooks es necesario quitarles la batería. Desconectar cable de red o apagar router o modem.Identificar si existen equipos que estén conectados a una línea telefónica, y en su caso el número telefónico para registrarlo en el acta de allanamiento.Impedir que se realicen búsquedas sobre directorios o se intente ver la información almacenada ya que esto altera y destruye la evidencia digital (esto incluye intentar hacer una "copia" sin tener software forense específico y sin que quede documentado el procedimiento realizado).Identificar correctamente toda la evidencia a secuestrar.Secuestrar preferentemente dispositivos informáticos que almacenen grandes volúmenes de información digital (computadoras, notebooks y discos rígidos externos). También pueden secuestrarse dispositivos de almacenamiento externo (DVD, CDs, diskettes, discos Zip, etc.)


Al momento de secuestrar material (cont.)Rotular el hardware que se va a secuestrar con los siguientes datos:

Para computadoras, notebooks, palmtops, celulares, etc.: N° del Expediente Judicial, Fecha y Hora, Número de Serie, Fabricante, Modelo.

Para DVDs, CDs, Diskettes, discos Zip, etc: almacenarlos en conjunto, indicando N° del Expediente Judicial, Tipo (DVDs, CDs, Diskettes, discos Zip, etc.) y Cantidad.

Periféricos específicos conectados a equipos informáticos, secuestrar e identificar con etiquetas con números los cables para indicar dónde se deben conectar. Fotografiar los equipos con sus respectivos cables de conexión etiquetados. Usar bolsas para almacenar diskettes, discos rígidos, y otros dispositivos de almacenamiento informáticos que sean electromagnéticos. Colocar fajas de secuestro en cada equipo informático en todas sus entradas eléctricas y todas las partes que puedan ser abiertas o removidas.Resguardar material informático en lugar limpio. No deberán exponerse los elementos secuestrados a altas temperaturas o campos electromagnéticos


Al momento de secuestrar material (cont.)

Mantener la cadena de custodia del material informático transportado. No se podrá asegurar la integridad de la evidencia digital (por lo tanto se pierde la posibilidad de utilizar el medio de prueba) si el material informático tiene rotos los precintos al momento de ser entregado.Fotografiar la totalidad de los elementos secuestrados, una vez embalados en sus respectivas bolsas cerradas con los precintos de seguridad, en forma individual y panorámica de la totalidad.


Escenarios ISituación 1: Monitor encendido motrando aplicación, programa, imagen, mail.

– Fotografiar pantalla y registrar información.

Situación 2: Monitor encendido mostrando protector de pantalla– Mover el mouse (sin mover rueda ni cliquear). Fotografiar pantalla

Situación 3: Monitor encendido mostrando pantalla en blanco– Mover el mouse (sin mover rueda ni cliquear). Fotografiar pantalla

Situación 4: Monitor apagado y ordenador encendido– Encender monitor y fotografiar pantalla.

Situación 5: Monitor encendido y ordenador aparentemente apagado– Mover mouse, si no cambia pantalla, verificar corriente, luces LED del CPU para verificar

encendido. Secuestrar ordenador.


Escenarios IIOrdenador encendido

– Fotografiar pantalla– Evaluar con perito informático, captura de datos in situ o secuestro del equipo– Eliminar corriente de alimentación inmedita en caso de de verificar actividad de eliminación o

sobreescritura de datos o indicación de ejecución de proceso de destrución– No desconectar inmediatamente en caso de indicios activos de salas de chat, documentos de

texto en ejecución, ventanas de mensajes instantáneos fotografiar

Ordenador apagado– Documentar, etiquetar y fotografiar cables, dispositivos y puertos. Luego desconectarlos– Retirar cable de alimentación de parte posterior del CPU o batería. Encintar interruptor

encendido– Verificar unidad CD o DVD, encintar ranura– Registrar marca, modelo, número de serie – Empaquetar y preservar cadena de custodia

DISPOSITIVOS TELEFONICOS

Elementos constitutivos: placa de circuito, antena, teclado, pantalla, bateria, microfono, altavoz obtención de evidencia física

Almacena información de contactos, administra agenda y archivos, envia y recibe correos y mensajes de texto, navega por Internet, reproducen audio y video, servicio GPS, permite acceso a redes sociales

Elementos técnicos que nos permiten información investigativa: SIM: código de identificación del chip que contiene la línea telefónica datos de

llamadas entrantes y salientes con posicionamiento de antenas, SMS, datos comerciales de quien y donde la adquirió, donde se efectúan pagos y recargas. Averiguación de IMEI que impactó (información de compañía titular de la SIM)

IMEI: código que identifica al aparato de telefonía averiguación de tarjetas SIM que impactaron en ese IMEI (información de todas las compañías telefónicas)

CELDA: espacio de cobertura de telefonía celular, dividido en tres sectores Se identifica posicionamiento del lugar en función de latitud y longitud.

DISPOSITIVOS TELEFONICOS

Procedimiento para secuestro

No manipular el teléfonoDejar constancia en acta del lugar de hallazgo y tenedor del mismoDejar constancia si estaba apagado o encendido

Si está encendido sacar batería Si está apagado sacar la batería igual para consignar IMEI y CHIP

Detectar número de IMEI del aparato y número de CHIP, asentarlo en acta y fotografiar ambosSi cuento con bolsa faraday, secuestrarlo en ese envoltorio (no hace falta sacar batería)Preservar cada celular y su batería en bolsa transparente precintada en forma separada y etiquetada

INVESTIGACION FORENSE

EXTRACCION FORENSE DE CELULARES

UFED (dispositivo universal de extracción de datos forenses)Permite recuperar y analizar evidencias de teléfonos móviles: guardar, imprimir, exportar los datos extraídosRegistros e historial de llamadas aún los borrados de la SIMContactosDatos del teléfono (IMEI, número de telefóno)Mensajes de texto (SMS) aún los borrados de la SIM. Redes sociales (facebook, whatsapp, twitter, viber, etc)FotografíasVideosArchivos de sonidoInformación de localización de la SIMClonación del ID de la SIM: permite extraer datos de SIM bloqueadas por PIN, de teléfonos sin tarjeta SIM y de teléfonos sin servicio de red. Permite acceder al teléfono sin conexión a la red (mantiene el historial, sin nueva actividad)






INVESTIGACION FORENSEACTA DE EXTRACCIÓN DE DATOS

• En la Ciudad de xxx, República Argentina, a los xx días del mes de xx del año 20xx, siendo la hora xx hs., en la sede de xxx, con asiento en la calle xxx de esta ciudad, en cumplimiento a lo dispuesto por la Unidad Fiscal xx, en el marco del caso Nº xxx, quien suscribe, XXXX, se labra la presente acta acorde a lo normado en loa artículos xx y xx del Código Procesal Penal de xx, con el objeto de proceder a lo solicitado por la Unidad Fiscal Interviniente. En este sentido se hace saber que se encuentra presente la parte denunciante, a saber: xxx, quien exhibe DNI N° xxx. Para ello se utilizará un Hardware UFED System Modelo Celebrite, serie Nº xxx de propiedad de xxx. Acto seguido se da inicio al proceso, se le explica a la parte denunciante el procedimiento a seguir prestando su entera y libre conformidad. Hecho ello, la parte denunciante aporta su equipo celular Marca xx, Modelo xx, IMEI Nº xxx, con tarjeta SIM de la empresa xx Nº xx y una tarjeta de memoria Marca XX Micro Sd de xx de capacidad. Siendo así, se conecta éste equipo al Hardware UFED y se efectúa el acto de extracción de datos físico/lógico. Terminado el proceso, se le hace entrega a la parte denunciante del equipo informático aportado en las mismas condiciones que lo entregó, se resguarda digitalmente el reporte resultante del proceso realizado y se deja constancia de que el material de interés para el caso proviene del siguiente abonado xxxx, las siguientes fechas. Finalizado el acto y previa lectura a viva voz ante los presentes, se firma el acta para constancia por ante mí de lo que doy fe.----------------------

INVESTIGACION FORENSECOPIAS FORENSES DE DISPOSITIVOS INFORMATICOS

Supuesto 1: Con copia forenseElemento secuestrado (PC/NOTEBOOK), se apertura de envoltorio original, se extrae disco rígido y se conecta al duplicador forense, tipo Tableau (la copia forense genera un hash)Se trabaja pericialmente sobre la copia forenseSe preserva o devuelve el disco original

Supuesto 2: Análisis del elemento secuestrado (en laboratorio)Elemento secuestrado, se apertura de envoltorio original y se conecta al bloqueador de escritura. Luego se conecta al ordenador de análisis mediante software forense ( tipo EnCase, FTK, IEF).Se procede a la búsqueda manual de interés. Si se encuentran archivos de interés, el software forense permite copia forense.

INVESTIGACION FORENSEDuplicador Forense

INVESTIGACION FORENSEBloqueador de Escritura

El Hash me permite darle mayor seguridad de que la evidencia digital obtenida no fue manipulada ni alterada, ya que el hash generado es inviolable

INVESTIGACION FORENSEACTA PARA COPIAS FORENSES

• En la Ciudad de xx, República Argentina, a los xx días del mes de xx del año 20xx, siendo la hora xx., en la sede de xx, con asiento en la calle xx de esta ciudad, en cumplimiento a lo dispuesto por la Unidad Fiscal xx, Equipo Fiscal “x”, a cargo de xx, en el marco del caso N°xx, quien suscribe, xxxx, junto con el investigador xx ambos pertenecientes a xx , a los efectos legales hace constar que: acorde a lo ordenado por la Unidad Fiscal Actuante, comparecen al presente acto las siguientes personas: xxxxx, quien exhibe DNI N° xx perito de parte ofrecido por la Defensa y xx, legajo N° xx . A continuación se da inicio al acto respecto de los efectos secuestrados en el domicilio de la calle xxx. Siendo así se procede a la apertura de xxx, se extrae el disco Marca xxx, Modelo xxxx, Serie Nª xxxx, de xxx de capacidad, se conecta al duplicador Marca Tableau, Modelo xxx se coloca el disco de destino Marca xxx, Modelo xx, Serie xxx y se inicia el proceso de copia forense. A su finalización, se guarda el disco de origen en su gabinete y todo ello en una bolsa que se cierra con el precinto Nª xxxx. Respecto del disco de destino queda reservado en esta Dependencia a disposición de la Unidad Fiscal Actuante. Finalizado el acto y no siendo para más, previa lectura a viva voz de la presente, se firma para constancia por ante mi de lo que doy fe.-

INVESTIGACION FORENSEModelo de oficio a compañias telefónicas

NOMBRE DE LA FIRMA DE TELEFONIADomicilioTelefono Tengo el agrado de dirigirme a Ud., en mi carácter de xx , en el marco de la actuación Nº xxx en trámite por ante el xx, caratulado “xx s/ Infracción al Artículo xx delCódigo Penal de la Nación”, a fin de solicitarle -tenga a bien- disponer de los medios necesarios para que se aporten los siguientes datos de las líneas telefónicas que describiré a continuación:Titularidad de la línea, domicilio de facturación y de registración (si difirieren), forma de pago, características de la línea (si es prepaga o con abono), si tiene líneas vinculadas, si el mismo titular tieneotra u otras líneas registradas a su nombre o con el mismo domicilio de facturación o registro, registro de llamados desde el día xx de xxx del año 20xx hasta el dia x de xx del corriente año, con expresa indicación de las antenas que hubieren registrados las llamadas, desde o hacia, líneas de telefonía celular/fija. ELLO EN SOPORTE MAGNETICO O DIGITAL.Las líneas a consultar son: xx

INVESTIGACION FORENSEModelo de oficio para empresas proveedoras de IP

NOMBRE DE LA FIRMA DE TELEFONIADomicilioS________________/______________D Tengo el agrado de dirigirme a Ud., en mi carácter de xx, en el marco de la actuación Nº xxx en trámite por ante xx , caratulado “xx s/ Infracción al Artículo xx del Código Penal de la Nación”, a fin de que en el termino establecido en el Art. xx, informe la totalidad de los datos que contenga sobre la identificación de vuestros clientes a los que se les haya asignado las siguientes direcciones IP, a saber: IPFecha (puede modificarse de la informada primariamente, si es que el ajuste de hora lo obliga)Hora (debe consignarse la hora convirtiéndola según el huso horario en el cual venga la información

primaria. Ej. Facebook, formato UTC: se deben restar 3 horas; Hotmail, formato PST: se deben sumar 4 horas, y formato GMT: se deben restar 3 horas)


Modelo de oficio para Facebook

SRES FACEBOOK INC.1601 Willow Road, Menlo ParkCA 94025 US Tengo el agrado de dirigirme a ustedes en la investigación penal registrada bajo el N° xx, caratulada: “xx s/ inf. Art. xx del Código Penal”, en trámite por ante este Juzgado XX (sito en la calle XX de esta Ciudad, Telefax: ), a mi cargo, Secretaría Única, a fin de solicitarle tenga a bien informar el Registro de Información Transaccional, el registro de direcciones IP utilizadas para el acceso, con indicación de fecha y hora, información registrada y la información sobre cambios de contraseñas del perfil identificado como:Colocar la url del sitio en facebook

Firma Juez


Modelo de oficio mediante MLAT (Twitter)

MINISTERIO DE JUSTICIA DE LA NACIÓN ARGENTINADirección de Asistencia Jurídica Internacional Tengo el agrado de dirigirme a usted, en mi carácter de titular de xx de la Ciudad Autónoma de Buenos Aires, en el marco de la investigación penal que diera origen al caso xx seguido a xx s/ infracción al artículo xx del Código xx. El motivo del presente es solicitarles, como autoridad central encargada conforme el Tratado de Asistencia Jurídica Mutua en Asuntos Penales entre el Gobierno de la República Argentina y el Gobierno de los Estados Unidad de America (Ley 24034), el diligenciamiento de la solicitud de asistencia jurídica internacional que adjunto.Firma Fiscal/Juez

INVESTIGACION FORENSESOLICITUD DE ASISTENCIA JURIDICA INTERNACIONAL EN MATERIA PENALAUTORIDAD REQUIRENTE: Nombre y cargo:Dependencia:Datos de contacto:Tel/Fax: Correo electrónico: Dirección postal:AUTORIDAD REQUERIDANombre y cargo:La Autoridad que corresponda en el lugar donde debe realizarse la medida solicitadaDependencia:ATTORNEY GENERAL DE LOS ESTADOS UNIDOS DE AMÉRICA IDENTIFICACION DEL PROCESO PENAL Número de causa: Carátula:HECHOS QUE SE INVESTIGAN Describir detalladamente los hechos materia de investigación tratando de incluir la mayor de datos posibles

MEDIDAS SOLICITADAS•Solicitar a la firma Twitter Inc, con domicilio en 1355 MARKET STREET SUITE 900•SAN FRANCISCO, CA 94103 que informen todos los datos que posean registrados del siguiente usuario, así como también –en la medida de lo posible-, el registro de actividad del siguiente perfil, a saber:•@xxxxx•URL: https://twitter.com/xxxxxxx•Se le prohíbe expresamente a la firma Twitter que notifique a este usuario de la presente solicitud de información. •Con la medida solicitada se pretende identificar al autor del hecho descripto a los fines de que comparezca ante la Autoridad Requirente para que brinde explicaciones sobre el delito que se le imputa.PARTES DEL PROCESO (Imputado,Fiscalía / Querella,etc ) NORMAS APLICABLES (NORMATIVA PROCESAL LOCAL) TRATADO EN EL QUE SE FUNDA LA SOLICITUD U OFRECIMIENTO DE RECIPROCIDADTratado de Asistencia Jurídica Mutua en Asuntos Penales entre el Gobierno de la República Argentina y el Gobierno de los Estados Unidad de América (Ley 24034)

https://twitter.com/xxxxxxx

Los servicios en la nube son servicios que se utilizan a través de Internet. Antes todo lo referente al procesamiento y almacenamiento de datos se hacía desde el propio ordenador. Teníamos que tener instalados los programas pertinentes en nuestro portátil para hacer que determinados servicios funcionasen.

ALLANAMIENTO EN LA NUBE ?ACCESO REMOTO EXTRAJURISDICCIONAL ?SECUESTRO DE LA EVIDENCIA EN EL SERVIDOR ?

Documents

Buenas Practicas para el Secuestro e Investigación de Evidencia Digital