Curso de Investigador Testigo
CAMPO
FORMACIÓN PROFESIONAL
ÁREA
INVESTIGACIÓN CRIMINAL
ASIGNATURA
Recolección de elementos
electrónicos
Guía para el Participante
Asignatura: Recolección de elementos electrónicos
Curso Investigador Testigo
Lección Única
Recolección de elementos
electrónicos
2
Asignatura En el lugar de los hechos
Curso Investigador Testigo
NOTA: EN LA PAGINA 10 ENCONTRARA UN GLOSARIO QUE
LE PERMITIRA ENTENDER MAS FACILMENTE LA
TERMINOLOGIA UTILIZADA EN ESTA LECCION.
Plan de lección 1
Referencia bibliográfica:
www.lacnic.net/sp Sitio en “Web” para
información respecto a direcciones de
servidores y proveedores de servicio para
países suramericanos y caribes.
The best practices for Seizing Electronic
Evidence, Versión 2.0,
PriceWaterhouseCoopers LLP, Technical
Support Working Group, IACP Advisory
Committee for Police Investigative
Operations, and the United States Secret
Service.
Meta
Durante esta lección el participante conocerá algunas herramientas útiles para la
recolección de elementos electrónicos en los procedimientos efectuados durante la
indagación y posterior investigación de los hechos de que tenga conocimiento, que
optimicen su labor en el lugar.
Objetivos de aprendizaje (en secuencia)
Al finalizar la lección, el participante podrá:
1- Conocer qué constituye un elemento electrónico.
2- Manejar algunas consideraciones para allanamientos.
3- Identificar elementos en la correspondencia electrónica que permiten un
rastreo en el Internet
4- Determinar qué hacer al encontrar un elemento electrónico
5- Recordar datos importantes
3
Asignatura En el lugar de los hechos
Curso Investigador Testigo
Lección Única
I.
Introducción
A.
Propósito
El propósito de esta lección es suministrar al participante las herramientas teóricas y
practicas necesarias para alcanzar los objetivos de aprendizaje previstos.
B.
¿Por qué es importante? (motivación)
La obtención de información se constituye en uno de los elementos útiles dentro del
éxito de en una investigación, aspecto que demanda de los investigadores encargados
de la recolección y análisis de los elementos electrónicos una eficaz labor que
garantice la autenticidad y utilización por parte de los fiscales de esta información en
las etapas judiciales.
C.
¿Qué aprenderá (objetivos de aprendizaje)
Al finalizar la lección, el participante podrá:
1- Conocer qué constituye un elemento electrónico.
2- Manejar algunas consideraciones para allanamientos.
3- Identificar elementos en la correspondencia electrónica que sirven para el
rastreo en el internet
4- Determinar qué hacer al encontrar un elemento electrónico
5- Recordar datos importantes
II.
Contenido
Objetivo de Aprendizaje 1
1.1
¿Qué es un elemento electrónico?
-
-
Cualquier aparato o material de almacenamiento de datos electrónicos
o Que ha sido hurtado
o Que se utilizó en la comisión de un delito
o Que almacena datos probatorios
Cualquier dato electrónico probatorio almacenado en uno o más de los
anteriores
Básicamente, los elementos pueden ser tanto los aparatos, como los datos
almacenados en ellos.
4
Asignatura En el lugar de los hechos
Curso Investigador Testigo
1.2
Elementos electrónicos
-
-
Computadora
Comp. Portátil
Servidor – aparato que almacena o transfiere datos electrónico por el
internet
Teléfono celular
Teléfono inalámbrico
Aparato para identificar llamadas
Localizador - beeper
“GPS” – aparato que utiliza tecnología satélite capaz de ubicar
geográficamente al persona o vehículo que lo opera
Cámaras, videos
Sistemas de seguridad
Memoria “flash” – Pequeño dispositivo que puede conservar hasta 2
gigabytes de datos o 2,000,000,000 bytes de información
“Palm” – asistente personal electrónico que almacena datos y posiblemente
tiene conectividad inalámbrica con el internet
Juegos electrónicos
Sistemas en vehículos – computadoras obvias y computadoras del sistema
operativo del vehículo que registra cambios en el ambiente y el mismo
vehículo
Impresora
Copiadora
Grabadora
Videograbadora, DVD
Duplicadora de discos
Discos, disquetes, cintas magnéticas
Aparatos ilícitos – tales como los aparatos que capturan el número celular de
teléfonos cercanos para después copiarlo en otros teléfonos
Objetivo de Aprendizaje 2
2.1
Consideraciones para allanamientos
-
-
¿A qué horas?
o Para minimizar destrucción de elementos, datos
o El sospechoso tal vez estará en línea
o Seguridad de investigadores
Entrar sin previo aviso
o Utilizar seguridad
o Evitar destrucción de elementos
5
Asignatura En el lugar de los hechos
Curso Investigador Testigo
-
-
Realizar en diversos sitios al mismo momento
o Datos pueden estar en diferentes sitios, sistemas
Examen de elementos
Duplicaciones hechos en el lugar
o Autoridad para duplicar, reproducir datos encontrados (por ejemplo,
un aparato contestador)
o En el juicio, un dato electrónico se presenta por escrito
Fijar/grabar la escena
o Cámaras, videos, etiquetas
Códigos/claves de acceso
o Buscar documentos que contienen información de acceso
Cualquier otro tipo de consideración especial (consideraciones involucrando
médicos, abogados, información privilegiada, conexiones en redes, etc.)
Objetivo de Aprendizaje 3
Ahora, veremos algunos aspectos del Internet que nos permiten descubrir información
que pueda ser importante en una investigación criminal. Aquí no entraremos en
detalle. Sencillamente, enfocaremos nuestra atención en ciertas áreas para desarrollar
después en nuestra preparación personal como valor agregado al investigador.
3.1
Elementos en el Internet
-
-
3.2
El Internet es un lugar “virtual” – a pesar de ser un lugar virtual, tiene
elementos físicos, servidores fijos
La información en el internet se retiene y pasa por computadoras especiales,
servidores – estos aparatos tiene lugares fijos y forman partes de sistemas de
servicio con puntos o personas de contacto
La información origina de una computadora a través de un proveedor de
servicio con una dirección numérica que corresponde a una dirección fija y un
número de acceso o un punto de contacto
Existen maneras de rastrear la información a su origen
Existen servidores que “lavan” las direcciones originales
Rastreando e- mail
En el Pequeño Larousse Ilustrado, significa “Perseguir o buscar, siguiendo el
rastro”. Cuando un “e-mail” es enviado por el Internet, ciertos rastros se graban en la
carta. ¿Cuáles son los rastros que se pueden descubrir? Encontraremos a quiénes se
dirige, por dónde pasó, y cuál es su origen.
6
Asignatura En el lugar de los hechos
Curso Investigador Testigo
Los rastros se graban en el encabezamiento de la carta recibida. Normalmente, el
encabezamiento que aparece es breve. La apariencia del encabezamiento está
determinada por el “browser” utilizado por nuestra computadora, o la de quien recibe
el “e-mail”. Para encontrar los rastros, se requiere un encabezamiento extendido o
avanzado, posibilidad que existe como una opción en nuestro “browser”.
Para poder elegir la opción de un encabezamiento extendido, seleccione
"encabezamiento extendido o avanzado" por medio de "opciones" o "preferencias" en
la barra de herramienta. El encabezamiento extendido contiene información fácil y
difícil de interpretar, por ejemplo: “To" “From" "Cc", los cuales son datos fáciles de
entender (“el destinatario, el originario, una copia enviada a . . .”). Otros datos son
más difíciles de entender, tales como "201.031.03.91" o “Message ID: WBZ975.5”.
Esta información requiere interpretación.
Para los datos difíciles de entender o interpretar en el encabezamiento, se requiere un
poco de preparación personal que no está en nuestro plan de presentación. Sin
embargo les damos los siguientes sitios en el Internet para que siga usted su
preparación.

Existen “lugares” en el mismo Internet que aportan explicaciones y
definiciones de los datos que requieren interpretación
o Glosarios de terminología
 www.webopedia.com
 Otros
o Registros de direcciones (“Whois?” interfaz)
 www.lacnic.net/cgi-bin/lacnic/whois?lg=EN
 Para información del Caribe y América Latina
 www.arin.org
 Para información de Norte América
o Explicaciones del encabezamiento
 www.stopspam.org/email/headers/headers
 www.help.mindspring.com/docs/006/emailheaders
 Otros
o Para buscar más información, utilice su “browser” (Explorer, etc.) para
realizar una búsqueda (“search”)
“Whois” significa “¿Quién es?”
Utilice la información revelada en el
encabezamiento extendido, para determinar el servicio utilizado, ubicar la dirección
geográfica de los servidores y los puntos de contacto, y localizar (a veces) la
instalación donde se encuentra la computadora. LACNIC significa Registro de
Direcciones de Internet para América Latina y Caribe ( www.lacnic.net/sp). El
servicio está en español, en inglés, y en portugués.
7
Asignatura En el lugar de los hechos
Curso Investigador Testigo
Objetivo de Aprendizaje 4
4.1
Qué hacer al encontrar un elemento electrónico
- Asegure el lugar
- Asegure los elementos
- Si no está encendido, no lo encienda
- Si está encendido, no lo apague inmediatamente
- Si es posible, llame un técnico
4.2
-
Cuando no hay técnico:
Si está encendido, no lo apague inmediatamente
Si tiene un “mouse”, muévalo cada minuto para no permitir que la pantalla se
cierre o se bloqueé
Si el aparato está conectado a una red, anote los números de conexión, la línea
de la red
Fotografíe la pantalla, las conexiones y cables
Coloque etiquetas en los cables para facilitar reconexión posteriormente
Anote la información de los menús y los archivos activos
Cuando no hay un técnico (continuación)
-
Para grabadoras, videos, o cámaras digitales, saque y conserve los medios
para grabar
Bloqueé cada cinta, o disco de grabación (mientras sea posible) para que la
información no se dañe ni se contamine
Selle cada entrada o puerto de información con cinta de evidencia
Desconecte la fuente de poder
Quite las baterías (si funciona a base de baterías)
Mantenga el sistema separado de cualquier tipo de imán, o campo magnético
Al llevar aparatos, anote todo número de identificación, CADENA DE
CUSTODIA
Lleve todo cable, accesorio, conexión
Lleve, si es posible, manuales, documentación, anotaciones
Tenga en cuenta que es posible que existen otros datos importantes en
sistemas periféricos, si el aparato fue conectado a una red
Objetivo de Aprendizaje 5
5.1
Para recordar
-
Seguridad de investigadores y público
8
Asignatura En el lugar de los hechos
Curso Investigador Testigo
-
III.
Preservación de elementos probatorios
Aislar la gente de los medios electrónicos
Identificar aparatos o medios de almacenaje de datos electrónicos
¿Se requiere una orden de allanamiento?
¿A quién le pertenece el elemento, y ¿quién tiene control o custodia
del elemento en el momento de su descubrimiento?
¿Existen circunstancias exigentes?
¿Hay acceso remoto a los aparatos?
Almacenaje de datos o elementos en áreas remotas
No prender el aparato si está apagado
No acceder a aparatos o datos a menos que está capacitado para
hacerlo
Si se requiere en caso de emergencia, documente todo lo que tuvo que
hacer, incluyendo fotografías, si es posible
Resumen
IV. Transición
En la siguiente lección el participante aprenderá lo referente a los métodos de fijación
de elementos probatorios en el lugar de los hechos.
9
Asignatura En el lugar de los hechos
Curso Investigador Testigo
Glosario de términos
Bcc
Renglón donde se escribe la dirección de otra
persona a la cual el originario quiere enviar una
copia de la correspondencia. Al colocar una
dirección en este renglón, el originario hace a
los demás destinatarios “ciegos” a la existencia
de esta copia.
Browser
Página que aparece inicialmente al entrar la red,
por la cual se permite el acceso a diferentes
áreas del Internet.
Buzón electrónico
“Nombre” del usuario
Cc
Renglón donde se escribe la dirección de otra
persona a la cual el originario quiere enviar una
copia de la correspondencia electrónica
Date
En el encabezamiento, es la fecha y hora del
envío de la correspondencia electrónica (sujeto
a la fecha y hora establecidas en el sistema de la
computadora donde originó el mensaje)
Domain (dominio)
El dominio se escribe con dos grupos de letras
separados por un punto (por ejemplo: msn.com
amazon.com lacnic.org)
Encabezamiento
La parte inicial de una carta electrónica que
relaciona los datos del destinatario y de
originario de la carta. Además, puede
relacionar los datos de los paraderos
intermedios en una carta recibida, en el caso que
lo desea el destinatario (quien recibe la carta).
From
Palabra que significa el originario de la
correspondencia electrónica
10
Asignatura En el lugar de los hechos
Curso Investigador Testigo
Host
Anfitrión u originario
Interfaz
Página o lugar virtual por la cual el investigador
hace contacto con una base de datos
Internet
Una red virtual a base de una conexión entre
muchos diferentes sistemas y bases de datos por
la cual se transfiere datos de información, se
realizan controles sobre otros sistemas, y se
realiza una comunicación casi instantánea
Internet Service Provider
Proveedor de servicios de internet, tales como
TUTOPÍA, AOL, MSN, Yahoo, etc.
IP address
“Internet Protocol” es la “dirección” que
corresponde al sistema de origen. Puede ser
individual en parte para la computadora de
origen o del servidor, o puede ser asignado por
un proveedor de servicios de Internet, de un
conjunto de números, y distinto cada vez que
entra el Internet. Normalmente se reconoce
como una serie de números separados por
puntos, por ejemplo: 200.91.192.31
Message-ID
Serie única de números y letras asignada por
una computadora “entrada” o servidor que ha
recibido un mensaje originado en su dominio
Server
Computadora de “entrada” que almacena o
transfiere datos electrónicos por el Internet
Subject
Tema del la correspondencia asignado por
el mismo originario
TCP
Un protocolo para dividir una carta electrónica
desde su origen entre paquetes pequeños de
información para envío a través del Internet.
11
Asignatura En el lugar de los hechos
Curso Investigador Testigo
Además de dividir la información, la vuele a
ordenar en el sistema del destinatario.
To
Palabra que significa el destinatario de la
correspondencia electrónica
Virtual
Lo que tiene existencia aparente y no real
WWW
“World Wide Web”, red de comunicación
mundial.
¿Cómo se envía una carta por el Internet?
Al enviar una carta, la computadora se identifica con una serie de
números al sistema del proveedor de servicios. Es asignado otros
números por el sistema (IP address). Es dividido entre paquetes
pequeños de información a través de un TCP. Los paquetes pasan por
una computadora especial (server) que los asigna una identificación
única (Message-ID) que los sellan con la fecha y hora de recepción.
Luego examina su vecindad (dominio) para ver si corresponde la IP
dirección de alguna de las computadoras en su dominio. Si no
corresponde, envía los paquetes a otros servers, hasta que encuentra un
server que reconoce la dirección como una computadora dentro de su
dominio, y los dirigen a ella, donde los paquetes su unen otra vez en su
forma original a través de un TCP.
Hay que mantener en mente que las cartas de “e-mail” se encuentran
sobre un servidor, no actualmente en la computadora del originario o del
destinatario, a menos que el operador los guarde allí. Al escribirlas se
transmiten al servidor. Al recibirlas, un título se transmite a la
computadora del destinatario. El operador solicita la carta, y una copia
electrónica es transmitida luego a la computadora del destinatario, donde
el operador la puede guardar o leer y cerrar. Al cerrar sin guardar, la
copia de la carta visualizada en la pantalla del destinatario desaparece,
pero se mantiene en el servidor, hasta que el operador solicita que sea
borrada.
12
Asignatura En el lugar de los hechos
Descargar

Elementos electrónicos