Curso de Investigador Testigo CAMPO FORMACIÓN PROFESIONAL ÁREA INVESTIGACIÓN CRIMINAL ASIGNATURA Recolección de elementos electrónicos Guía para el Participante Asignatura: Recolección de elementos electrónicos Curso Investigador Testigo Lección Única Recolección de elementos electrónicos 2 Asignatura En el lugar de los hechos Curso Investigador Testigo NOTA: EN LA PAGINA 10 ENCONTRARA UN GLOSARIO QUE LE PERMITIRA ENTENDER MAS FACILMENTE LA TERMINOLOGIA UTILIZADA EN ESTA LECCION. Plan de lección 1 Referencia bibliográfica: www.lacnic.net/sp Sitio en “Web” para información respecto a direcciones de servidores y proveedores de servicio para países suramericanos y caribes. The best practices for Seizing Electronic Evidence, Versión 2.0, PriceWaterhouseCoopers LLP, Technical Support Working Group, IACP Advisory Committee for Police Investigative Operations, and the United States Secret Service. Meta Durante esta lección el participante conocerá algunas herramientas útiles para la recolección de elementos electrónicos en los procedimientos efectuados durante la indagación y posterior investigación de los hechos de que tenga conocimiento, que optimicen su labor en el lugar. Objetivos de aprendizaje (en secuencia) Al finalizar la lección, el participante podrá: 1- Conocer qué constituye un elemento electrónico. 2- Manejar algunas consideraciones para allanamientos. 3- Identificar elementos en la correspondencia electrónica que permiten un rastreo en el Internet 4- Determinar qué hacer al encontrar un elemento electrónico 5- Recordar datos importantes 3 Asignatura En el lugar de los hechos Curso Investigador Testigo Lección Única I. Introducción A. Propósito El propósito de esta lección es suministrar al participante las herramientas teóricas y practicas necesarias para alcanzar los objetivos de aprendizaje previstos. B. ¿Por qué es importante? (motivación) La obtención de información se constituye en uno de los elementos útiles dentro del éxito de en una investigación, aspecto que demanda de los investigadores encargados de la recolección y análisis de los elementos electrónicos una eficaz labor que garantice la autenticidad y utilización por parte de los fiscales de esta información en las etapas judiciales. C. ¿Qué aprenderá (objetivos de aprendizaje) Al finalizar la lección, el participante podrá: 1- Conocer qué constituye un elemento electrónico. 2- Manejar algunas consideraciones para allanamientos. 3- Identificar elementos en la correspondencia electrónica que sirven para el rastreo en el internet 4- Determinar qué hacer al encontrar un elemento electrónico 5- Recordar datos importantes II. Contenido Objetivo de Aprendizaje 1 1.1 ¿Qué es un elemento electrónico? - - Cualquier aparato o material de almacenamiento de datos electrónicos o Que ha sido hurtado o Que se utilizó en la comisión de un delito o Que almacena datos probatorios Cualquier dato electrónico probatorio almacenado en uno o más de los anteriores Básicamente, los elementos pueden ser tanto los aparatos, como los datos almacenados en ellos. 4 Asignatura En el lugar de los hechos Curso Investigador Testigo 1.2 Elementos electrónicos - - Computadora Comp. Portátil Servidor – aparato que almacena o transfiere datos electrónico por el internet Teléfono celular Teléfono inalámbrico Aparato para identificar llamadas Localizador - beeper “GPS” – aparato que utiliza tecnología satélite capaz de ubicar geográficamente al persona o vehículo que lo opera Cámaras, videos Sistemas de seguridad Memoria “flash” – Pequeño dispositivo que puede conservar hasta 2 gigabytes de datos o 2,000,000,000 bytes de información “Palm” – asistente personal electrónico que almacena datos y posiblemente tiene conectividad inalámbrica con el internet Juegos electrónicos Sistemas en vehículos – computadoras obvias y computadoras del sistema operativo del vehículo que registra cambios en el ambiente y el mismo vehículo Impresora Copiadora Grabadora Videograbadora, DVD Duplicadora de discos Discos, disquetes, cintas magnéticas Aparatos ilícitos – tales como los aparatos que capturan el número celular de teléfonos cercanos para después copiarlo en otros teléfonos Objetivo de Aprendizaje 2 2.1 Consideraciones para allanamientos - - ¿A qué horas? o Para minimizar destrucción de elementos, datos o El sospechoso tal vez estará en línea o Seguridad de investigadores Entrar sin previo aviso o Utilizar seguridad o Evitar destrucción de elementos 5 Asignatura En el lugar de los hechos Curso Investigador Testigo - - Realizar en diversos sitios al mismo momento o Datos pueden estar en diferentes sitios, sistemas Examen de elementos Duplicaciones hechos en el lugar o Autoridad para duplicar, reproducir datos encontrados (por ejemplo, un aparato contestador) o En el juicio, un dato electrónico se presenta por escrito Fijar/grabar la escena o Cámaras, videos, etiquetas Códigos/claves de acceso o Buscar documentos que contienen información de acceso Cualquier otro tipo de consideración especial (consideraciones involucrando médicos, abogados, información privilegiada, conexiones en redes, etc.) Objetivo de Aprendizaje 3 Ahora, veremos algunos aspectos del Internet que nos permiten descubrir información que pueda ser importante en una investigación criminal. Aquí no entraremos en detalle. Sencillamente, enfocaremos nuestra atención en ciertas áreas para desarrollar después en nuestra preparación personal como valor agregado al investigador. 3.1 Elementos en el Internet - - 3.2 El Internet es un lugar “virtual” – a pesar de ser un lugar virtual, tiene elementos físicos, servidores fijos La información en el internet se retiene y pasa por computadoras especiales, servidores – estos aparatos tiene lugares fijos y forman partes de sistemas de servicio con puntos o personas de contacto La información origina de una computadora a través de un proveedor de servicio con una dirección numérica que corresponde a una dirección fija y un número de acceso o un punto de contacto Existen maneras de rastrear la información a su origen Existen servidores que “lavan” las direcciones originales Rastreando e- mail En el Pequeño Larousse Ilustrado, significa “Perseguir o buscar, siguiendo el rastro”. Cuando un “e-mail” es enviado por el Internet, ciertos rastros se graban en la carta. ¿Cuáles son los rastros que se pueden descubrir? Encontraremos a quiénes se dirige, por dónde pasó, y cuál es su origen. 6 Asignatura En el lugar de los hechos Curso Investigador Testigo Los rastros se graban en el encabezamiento de la carta recibida. Normalmente, el encabezamiento que aparece es breve. La apariencia del encabezamiento está determinada por el “browser” utilizado por nuestra computadora, o la de quien recibe el “e-mail”. Para encontrar los rastros, se requiere un encabezamiento extendido o avanzado, posibilidad que existe como una opción en nuestro “browser”. Para poder elegir la opción de un encabezamiento extendido, seleccione "encabezamiento extendido o avanzado" por medio de "opciones" o "preferencias" en la barra de herramienta. El encabezamiento extendido contiene información fácil y difícil de interpretar, por ejemplo: “To" “From" "Cc", los cuales son datos fáciles de entender (“el destinatario, el originario, una copia enviada a . . .”). Otros datos son más difíciles de entender, tales como "201.031.03.91" o “Message ID: WBZ975.5”. Esta información requiere interpretación. Para los datos difíciles de entender o interpretar en el encabezamiento, se requiere un poco de preparación personal que no está en nuestro plan de presentación. Sin embargo les damos los siguientes sitios en el Internet para que siga usted su preparación. Existen “lugares” en el mismo Internet que aportan explicaciones y definiciones de los datos que requieren interpretación o Glosarios de terminología www.webopedia.com Otros o Registros de direcciones (“Whois?” interfaz) www.lacnic.net/cgi-bin/lacnic/whois?lg=EN Para información del Caribe y América Latina www.arin.org Para información de Norte América o Explicaciones del encabezamiento www.stopspam.org/email/headers/headers www.help.mindspring.com/docs/006/emailheaders Otros o Para buscar más información, utilice su “browser” (Explorer, etc.) para realizar una búsqueda (“search”) “Whois” significa “¿Quién es?” Utilice la información revelada en el encabezamiento extendido, para determinar el servicio utilizado, ubicar la dirección geográfica de los servidores y los puntos de contacto, y localizar (a veces) la instalación donde se encuentra la computadora. LACNIC significa Registro de Direcciones de Internet para América Latina y Caribe ( www.lacnic.net/sp). El servicio está en español, en inglés, y en portugués. 7 Asignatura En el lugar de los hechos Curso Investigador Testigo Objetivo de Aprendizaje 4 4.1 Qué hacer al encontrar un elemento electrónico - Asegure el lugar - Asegure los elementos - Si no está encendido, no lo encienda - Si está encendido, no lo apague inmediatamente - Si es posible, llame un técnico 4.2 - Cuando no hay técnico: Si está encendido, no lo apague inmediatamente Si tiene un “mouse”, muévalo cada minuto para no permitir que la pantalla se cierre o se bloqueé Si el aparato está conectado a una red, anote los números de conexión, la línea de la red Fotografíe la pantalla, las conexiones y cables Coloque etiquetas en los cables para facilitar reconexión posteriormente Anote la información de los menús y los archivos activos Cuando no hay un técnico (continuación) - Para grabadoras, videos, o cámaras digitales, saque y conserve los medios para grabar Bloqueé cada cinta, o disco de grabación (mientras sea posible) para que la información no se dañe ni se contamine Selle cada entrada o puerto de información con cinta de evidencia Desconecte la fuente de poder Quite las baterías (si funciona a base de baterías) Mantenga el sistema separado de cualquier tipo de imán, o campo magnético Al llevar aparatos, anote todo número de identificación, CADENA DE CUSTODIA Lleve todo cable, accesorio, conexión Lleve, si es posible, manuales, documentación, anotaciones Tenga en cuenta que es posible que existen otros datos importantes en sistemas periféricos, si el aparato fue conectado a una red Objetivo de Aprendizaje 5 5.1 Para recordar - Seguridad de investigadores y público 8 Asignatura En el lugar de los hechos Curso Investigador Testigo - III. Preservación de elementos probatorios Aislar la gente de los medios electrónicos Identificar aparatos o medios de almacenaje de datos electrónicos ¿Se requiere una orden de allanamiento? ¿A quién le pertenece el elemento, y ¿quién tiene control o custodia del elemento en el momento de su descubrimiento? ¿Existen circunstancias exigentes? ¿Hay acceso remoto a los aparatos? Almacenaje de datos o elementos en áreas remotas No prender el aparato si está apagado No acceder a aparatos o datos a menos que está capacitado para hacerlo Si se requiere en caso de emergencia, documente todo lo que tuvo que hacer, incluyendo fotografías, si es posible Resumen IV. Transición En la siguiente lección el participante aprenderá lo referente a los métodos de fijación de elementos probatorios en el lugar de los hechos. 9 Asignatura En el lugar de los hechos Curso Investigador Testigo Glosario de términos Bcc Renglón donde se escribe la dirección de otra persona a la cual el originario quiere enviar una copia de la correspondencia. Al colocar una dirección en este renglón, el originario hace a los demás destinatarios “ciegos” a la existencia de esta copia. Browser Página que aparece inicialmente al entrar la red, por la cual se permite el acceso a diferentes áreas del Internet. Buzón electrónico “Nombre” del usuario Cc Renglón donde se escribe la dirección de otra persona a la cual el originario quiere enviar una copia de la correspondencia electrónica Date En el encabezamiento, es la fecha y hora del envío de la correspondencia electrónica (sujeto a la fecha y hora establecidas en el sistema de la computadora donde originó el mensaje) Domain (dominio) El dominio se escribe con dos grupos de letras separados por un punto (por ejemplo: msn.com amazon.com lacnic.org) Encabezamiento La parte inicial de una carta electrónica que relaciona los datos del destinatario y de originario de la carta. Además, puede relacionar los datos de los paraderos intermedios en una carta recibida, en el caso que lo desea el destinatario (quien recibe la carta). From Palabra que significa el originario de la correspondencia electrónica 10 Asignatura En el lugar de los hechos Curso Investigador Testigo Host Anfitrión u originario Interfaz Página o lugar virtual por la cual el investigador hace contacto con una base de datos Internet Una red virtual a base de una conexión entre muchos diferentes sistemas y bases de datos por la cual se transfiere datos de información, se realizan controles sobre otros sistemas, y se realiza una comunicación casi instantánea Internet Service Provider Proveedor de servicios de internet, tales como TUTOPÍA, AOL, MSN, Yahoo, etc. IP address “Internet Protocol” es la “dirección” que corresponde al sistema de origen. Puede ser individual en parte para la computadora de origen o del servidor, o puede ser asignado por un proveedor de servicios de Internet, de un conjunto de números, y distinto cada vez que entra el Internet. Normalmente se reconoce como una serie de números separados por puntos, por ejemplo: 200.91.192.31 Message-ID Serie única de números y letras asignada por una computadora “entrada” o servidor que ha recibido un mensaje originado en su dominio Server Computadora de “entrada” que almacena o transfiere datos electrónicos por el Internet Subject Tema del la correspondencia asignado por el mismo originario TCP Un protocolo para dividir una carta electrónica desde su origen entre paquetes pequeños de información para envío a través del Internet. 11 Asignatura En el lugar de los hechos Curso Investigador Testigo Además de dividir la información, la vuele a ordenar en el sistema del destinatario. To Palabra que significa el destinatario de la correspondencia electrónica Virtual Lo que tiene existencia aparente y no real WWW “World Wide Web”, red de comunicación mundial. ¿Cómo se envía una carta por el Internet? Al enviar una carta, la computadora se identifica con una serie de números al sistema del proveedor de servicios. Es asignado otros números por el sistema (IP address). Es dividido entre paquetes pequeños de información a través de un TCP. Los paquetes pasan por una computadora especial (server) que los asigna una identificación única (Message-ID) que los sellan con la fecha y hora de recepción. Luego examina su vecindad (dominio) para ver si corresponde la IP dirección de alguna de las computadoras en su dominio. Si no corresponde, envía los paquetes a otros servers, hasta que encuentra un server que reconoce la dirección como una computadora dentro de su dominio, y los dirigen a ella, donde los paquetes su unen otra vez en su forma original a través de un TCP. Hay que mantener en mente que las cartas de “e-mail” se encuentran sobre un servidor, no actualmente en la computadora del originario o del destinatario, a menos que el operador los guarde allí. Al escribirlas se transmiten al servidor. Al recibirlas, un título se transmite a la computadora del destinatario. El operador solicita la carta, y una copia electrónica es transmitida luego a la computadora del destinatario, donde el operador la puede guardar o leer y cerrar. Al cerrar sin guardar, la copia de la carta visualizada en la pantalla del destinatario desaparece, pero se mantiene en el servidor, hasta que el operador solicita que sea borrada. 12 Asignatura En el lugar de los hechos