Reglas para la recolección y tratamiento de la prueba informática en el ámbito público
Por J. Darío Veltani & Macarena Belén Mansilla
AVOA Abogados

El 26 de noviembre de 2021 se publicó en el Boletín Oficial de la Nación la Resolución 528/2021 del Ministerio de Seguridad (en adelante, la “Resolución 528/21”)[1], que aprueba el Protocolo de Actuación para la Investigación Científica en el Lugar del Hecho[2](en adelante, el “Protocolo”).La Resolución 528/21 establece que el Protocolo será de aplicación obligatoria para las fuerzas policiales y de seguridad federales[3].

 

El objetivo del Protocolo es unificar y actualizar la normativa existente respecto de procedimientos policiales a seguir para la preservación de la escena del hecho, las pruebas que allí se encuentran y para el rótulo de elementos probatorios.[4] La armonización y modernización del Protocolo resulta de utilidad ya que en el último tiempo no solo se han incorporado nuevas prácticas de investigación forense y herramientas para tal labor, sino también -a nivel social- se ha incrementado la manipulación de dispositivos electrónicos y su asociación con hechos que requieren investigación.

 

A continuación, mencionaremos los conceptos que el Protocolo define[5] para luego referirnos a las novedades que introduce en materia de investigación pericial informática.

 

I. Definiciones

 

En lo que respecta a este trabajo y como premisa para introducirnos en la problemática de los elementos informáticos que puedan servir como prueba en un proceso, el Protocolo define (i) potenciales elementos de prueba digital, (ii) algoritmo hash y (iii) evidencia digital.

 

Según el Protocolo, un Potencial Elemento de Prueba Digital (en adelante, “PEP digital”) es cualquier dato (registro y/o archivo) generado, transmitido o almacenado por equipos de tecnología informática, constituido por campos magnéticos y pulsos electrónicos, los cuales pueden ser recolectados y analizados con herramientas y técnicas especiales[6].

 

Con relación al algoritmo hash, el Protocolo lo define como “función matemática unidireccional e irreversible que convierte cualquier tamaño de datos (cualquier archivo o conjunto de ellos, sean texto, ejecutables, de audio, imágenes, videos, etc.) en un número de longitud fija”. En consecuencia, explica que “si se modifica el archivo original, cambiando, aunque sea sólo un bit y se repite la operación, el número de HASH generado difiere notoriamente del anterior, lo que permite asegurar la integridad de los datos preservados ante maniobras posteriores de modificación y/o adulteración”[7].[8]

 

Finalmente, con lenguaje llano el Protocolo define evidencia digital como “cualquier información que, sujeta a una intervención humana, electrónica y/o informática, ha sido extraída de cualquier clase de medio tecnológico informático (computadoras, celulares, aparatos de video digital, medios ópticos, etc.)”. Y agrega que “es un tipo de evidencia física que está constituida por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales[9]”.

 

II. Lineamientos para el aseguramiento, recolección y preservación de la evidencia digital

 

Adicionalmente, el Protocolo se encarga de la preservación, exploración, localización, valoración y recolección de potenciales elementos de prueba digitales, y de su cadena de custodia.

 

En tal sentido, en el capítulo IV “Preservación del lugar del hecho y potenciales elementos de prueba”, se establece el principio general de que ante la presencia de PEP digitales[10] en el lugar del hecho, se debe realizar una consulta remota con el área especializada de la fuerza preventora a efectos de preservar adecuadamente la información que aquellos PEP digitales pudieran contener. Asimismo, se establece que los PEP digitales no deben manipularse innecesariamente ni ser utilizados para buscar información; excepto cuando se prevea adquirir datos volátiles o se efectúen operaciones urgentes de triage[11] bajo las directivas de especialistas en informática forense[12].

 

Por su parte, el capítulo X “Exploración, localización, valoración y recolección de Potenciales Elementos de Prueba”; dedica particular atención al “especialista en informática forense” (en adelante, el “Especialista”). Dicho Especialista será el responsable de la exploración, localización, valoración, extracción y/o secuestro de PEP digitales. Se mencionan 4 principios que deben cumplirse durante el proceso de identificación, recolección y adquisición de PEP digitales, ellos son: (i) relevancia, (ii) suficiencia, (iii) validez legal y (iv) confiabilidad.[13]-[14]

 

En adición a lo anterior, el Protocolo exhorta al Especialista a intervenir de acuerdo con los protocolos específicos y actualizados en la materia, aplicando las buenas prácticas reconocidas de su especialidad[15].Resulta de interés destacar en este punto que, como explicamos en obras anteriores, “en el ámbito informático se denominan buenas prácticas o mejores prácticas a ciertas formas de realizar actos que, si bien no resultan obligatorias legalmente, son aceptadas generalmente como las más adecuadas y eficientes”[16].

 

En el Protocolo se señalan -con carácter enunciativo y no taxativo- algunos medios tecnológicos que pueden ser considerados como PEP digitales. Ellos son:

 

(i) equipos informáticos sean portátiles o no (PC, notebook/netbook, tablet, módems, etc.);

 

(ii) equipos de comunicación de telefonía celular o elementos de estos equipos (tarjetas de memoria, tarjetas SIM etc.);

 

(iii) equipos de posicionamiento global (GPS);

 

(iv) equipos de registros fílmicos y/o fotográficos o elementos de estos equipos (discos ópticos, cintas, tarjetas de memoria, etc.);

 

(v) vehículos aéreos no tripulados (drones);

 

(vi) dispositivos de almacenamiento (pendrives, disco externo etc.), dispositivos ópticos (DVD, CD, etc.); y,

 

(vii) dispositivos IOT (relojes inteligentes, televisores inteligentes, etc.)[17].

 

Con relación al momento en el que el Especialista debe iniciar su actuación, el Protocolo establece un orden de intervención de peritos forenses de distintas materias. En tal sentido, aconseja que la intervención del Especialista sea posterior a la actuación de peritos que lleven a cabo la exploración y levantamiento de PEP de interés papiloscópico y/o químico biológico que pudieran encontrarse sobre los medios tecnológicos informáticos[18].En caso de que el Especialista deba intervenir antes que especialistas de otras materias, deberá usar guantes y la protección adecuada que impida y/o disminuya la alteración o destrucción de PEP que pudieran encontrarse sobre los dispositivos[19].

 

Respecto del nivel de discrecionalidad del Especialista, el protocolo exige autorización judicial previa en los siguientes casos:

 

(i) cuando los PEP digital sean muy voluminosos o exista excesiva cantidad de ellos en el lugar del hecho y se tenga conocimiento preciso de los datos o clase de datos que se buscan, o se encuentren afectados derechos de terceros[20];

 

(ii) extracción de datos en “vivo” de los dispositivos[21];

 

(iii) extracción de datos en la “nube”, en este caso la autoridad judicial determinará el objeto y alcance de dicha medida[22]; y,

 

(iv) presencia de criptoactivos[23], en este caso determinará la autoridad judicial el temperamento a adoptar[24].

 

Todas estas restricciones al accionar del Especialista resultan razonables para evitar que éste pueda incurrir en el delito penado en el art. 153 bis del Código Penal de la Nación[25].

 

El Protocolo exige al Especialista hacer constar en el acta y/o informe correspondiente una fijación narrativa, precisa y detallada que suministre una noción clara:

 

(i) del lugar donde fueron hallados los medios tecnológicos informáticos;

 

(ii) de toda incidencia que hubiere acontecido durante el procedimiento policial, de los PEP de su interés detectados y el estado en que fueron hallados (encendido/apagado), incluyendo las características identificativas de cada dispositivo (por ejemplo, daños, marca, modelo, número de serie y cualquier marca de identificación); y,

 

(iii) de fotografías, filmaciones y planos del lugar y del sitio de ubicación de cada elemento detectado – de ser necesario para complementar la información-[26].

 

Respecto de la “Cadena de custodia”, el capítulo XI menciona cómo deben clasificarse y rotularse los elementos de prueba de naturaleza informática[27]. Brevemente, el concepto de cadena de custodia ha sido utilizado desde antaño en el ámbito penal vinculado con el derecho de defensa. Consiste en la trazabilidad de la recolección, almacenamiento y resguardo de los elementos que sirven de prueba en una investigación judicial. Si la cadena de custodia se rompe, no hay forma de garantizar que el elemento probatorio se corresponde con el que fue encontrado en la escena del hecho. Tal incertidumbre determina principalmente que las partes involucradas no puedan ejercer el debido control sobre la producción de esa prueba, afectando así la garantía constitucional de defensa en juicio. Es por ello que oportunamente hemos recomendado seguir ciertos principios básicos para el resguardo de la cadena de custodia, ellos son: (i) inalterabilidad de la información; (ii) aptitud técnica de quien lleva adelante los actos; (iii) documentación del proceso; y, (iv) cumplimiento de normas aplicables[28].

 

El Protocolo enuncia que los PEP digitales deben ser clasificados y embalados de manera individual y adecuada según los específicos requerimientos técnicos de cada objeto[29]-[30].

 

De igual manera se hace énfasis en el detallado de los PEP digital y en la descripción precisa y de identificación única que debe llevar el rótulo que acompañará el embalaje. En caso de haberse practicado alguna medida técnica sobre el elemento, deberá hacerse constar en el acta y/o informes técnicos y/o en el “Formulario de Cadena de Custodia N°…”[31].

 

Por último, exige que el producto de las intervenciones técnicas en el lugar del hecho donde se hayan extraído y copiado datos (volcado de memoria RAM, etc.) esté con sus respectivos valores de algoritmo hash. Se recomienda la obtención de al menos 2algoritmos (MD5 y SHA1, etc.)[32].

 

Un dato no menor del Protocolo son los documentos que toma como sustento de su contenido, y que remite a:

 

(i) la “Guía de obtención, preservación y tratamiento de evidencia digital”, aprobado por la Resolución 756/2016 de la Procuración General de la Nación[33];

 

(ii) “La Guía Integral de Empleo de la Informática Forense en el Proceso Penal” del Laboratorio de Investigación y Desarrollo de Tecnología en Informática Forense[34];

 

(iii) el “Protocolo general en la investigación y proceso de recolección de pruebas en ciberdelitos”, aprobado por la Resolución 234/2016 del Ministerio de Seguridad[35]; y,

 

(iv) “Guidelines to Digital Forensics First Responders”, de Interpol[36].

 

III. Conclusiones

 

La elaboración y/o actualización de protocolos y/o guías que establecen lineamientos a seguir por el personal de las fuerzas policiales y de seguridad en labores científico-periciales demuestra sinergia con los avances socio-tecnológicos y las políticas públicas y decisiones que los distintos poderes del Estado vienen adoptando.

 

En este sentido, el correcto aseguramiento, recolección y preservación de la prueba informática por parte de las instituciones públicas conducirá a que, entre otras cuestiones, los procesos judiciales no se extiendan innecesariamente y permitirá al órgano jurisdiccional del Estado valorar la prueba eficientemente.

 

El avance de la tecnología ha puesto en crisis las máximas de la experiencia y percepción sensorial de los elementos que pueden encontrarse en la escena de un hecho. Que las prácticas periciales consecuentes e inmediatas a llevar a cabo en donde se da un acontecimiento susceptible de investigación formen parte de un cuerpo legislativo robusto permitirá “tener reglas claras” para que se realicen actos precisos, eficaces y eficientes -sin desmedro de los derechos fundamentales en juego-.

 

 

AVOA Abogados
Ver Perfil
Citas

[1] Disponible en https://www.boletinoficial.gob.ar/detalleAviso/primera/253486/20211126. Fecha de última consulta: 1/12/2021. Si bien se trata de una norma nacional, se invita a las jurisdicciones provinciales y a la Ciudad Autónoma de Buenos Aires a adherir a lo dispuesto en ella.

[2] Conf.art. 1 de la Resolución528/21.

[3] Conf. art. 2 de la Resolución 528/21.

[4] Conf. art. 5 de la Resolución 528/21 se deja sin efecto la Resolución 792/2015 del Ministerio de Seguridad que aprobó los siguientes documentos: (i) Protocolo de Actuación para la Preservación de la Escena del Hecho y sus Pruebas y (ii) Rótulo de Identificación de Elementos Probatorios Útiles.

[5] Consideramos una buena técnica legislativa en normas de contenido tecnológico definir conceptos básicos y principios, ya que estipular de antemano qué se entiende por los principales términos relevantes daría más precisión en la materia dejando de lado las definiciones equivocas. Buen ejemplo de ello son las leyes 25.326 de Protección de Datos Personales y 25.506 de Firma Digital. Estas normas definen términos esenciales respecto de la materia que le compete a cada una. En consecuencia, se permite analizar, comprender y aplicar el derecho disminuyendo así las connotaciones que den lugar a ambigüedades y vaguedades.

[6] Conf. cláusula 1.18del Protocolo.

[7] Conf. cláusula 1.17 del Protocolo.

[8] Determinar de manera clara qué se entiendo por algoritmo hash resulta acertado a la hora de llevar adelante tareas de recolección de PEP digitales debido a que las funciones criptográficas son por antonomasia el método para garantizar la seguridad informática.

[9] Conf. cláusula 1.19 del Protocolo.

[10] Tablets, notebooks, celulares, entre otros.

[11] “Triage es un procedimiento que se toma prestado de la medicina, mediante el cual se evalúa rápidamente el estado de varios pacientes para establecer la prioridad y orden en que deben ser atendidos. En el ámbito de la informática forense, el triage es un análisis rápido que se realiza sobre un equipo para determinar si contiene evidencia o indicios que puedan ser de utilidad para una investigación. De esta forma se puede examinar rápidamente un conjunto de equipos y determinar su importancia para la investigación en curso. El valor del triage reside en identificar rápidamente sobre cuáles dispositivos comenzar a trabajar cuando se cuenta con múltiples equipos para analizar. De esta manera es posible optimizar el uso de recursos (tanto físicos como humanos), y operar con celeridad. Puede utilizarse durante la ejecución de procedimientos tales como una orden de allanamiento, para determinar qué equipos deben recolectarse y cuáles carecen de importancia. La búsqueda de evidencia en la nube es otra labor que puede exigir el empleo de estas técnicas. El triage es también aplicable para la realización de pericias informáticas sobre grandes volúmenes de datos” (Guía Integral de Empleo de la Informática Forense en el Proceso Penal, Universidad FASTA, 2015, p.39).

[12] Conf. cláusula 4.10 del Protocolo.

[13] Conf. cláusula 10.58 del Protocolo.

[14] Con relación al principio de relevancia, la evidencia debe ser útil -no debe ser sobreabundante o superflua- para las necesidades investigativas y/o los puntos probatorios, según el caso. Este principio opera fundamentalmente como criterio de selección de evidencia. El principio de suficiencia completa al anterior, ya que las evidencias obtenidas y eventualmente analizadas deberían ser suficientes para lograr los fines investigativos buscados. Ahora bien, el principio de validez legal determina que para que la evidencia sea admisible, debe haber sido obtenida respetando las garantías y formas legales. Por ello se deben cumplir con las disposiciones legales y/o reglamentarias de actuación pericial y cuando una acción implique injerencia en derechos fundamentales se debe constatar la previa autorización judicial. Por último, el principio de confiabilidad implica que la evidencia debe ser convincente, apta para probar lo que se pretende probar con ella. Esto se refiere no sólo a las características que una evidencia digital posee en sí misma, sino también a los procedimientos de obtención, preservación, análisis y presentación ante el tribunal. Para asegurar la confiabilidad, el proceso de manejo de evidencia digital debe ser justificable, auditable, repetible y reproducible.

Estos principios se encuentran conceptualizados por la “Guía Integral de Empleo de la Informática Forense en el Proceso Penal” y el documento “Guidelines to Digital Forensics First Responders”, recomendados como bibliografía de consulta en el Protocolo.

[15] Conf. cláusula 10.60 del Protocolo.

[16] Ver Veltani, J. D. y Atta, G. A., “Prueba Informática: Aspectos Generales” en Camps, C. E. (Dir), Tratado de Derecho Procesal Electrónico (2da Ed. Tomo II, pp. 245 – 273), Abeledo Perrot, 2019.

[17] Conf. cláusula 10.59 del Protocolo.

[18] En tal caso, los especialistas en papiloscopía y químico biológico deberán consultar y acordar con el Especialista el procedimiento y la aplicación de reactivos que resulten menos dañinos para el dispositivo explorado.

[19] Conf. cláusula 10.62 del Protocolo. Esto podría ocurrir, por ejemplo, si se da el caso de que en la escena del hecho se encuentren equipos informáticos que están siendo controlados de forma remota en el momento en que los especialistas acceden a dicha escena. En tal contexto, deberá priorizarse la intervención del Especialista para no arriesgar la pérdida de prueba relevante para el caso.

[20] Conf. cláusula 10.61 del Protocolo.

[21] Conf. cláusula 10.63 del Protocolo.

[22] Conf. cláusula 10.64 del Protocolo.

[23] Optar por este vocablo resulta acertado ya que-en líneas generales- hace referencia a activos que se generen mediante criptografía. En efecto, incluye no solo las criptomonedas sino también a las monedas digitales y tokens. Más información sobre el tema en Tschieder, V. (2020) Derecho y Criptoactivos: desde una perspectiva jurídica, un abordaje sistemático sobre el fenómeno de las criptomonedas, 1ra Ed., Buenos Aires, La Ley.

[24] Conf. cláusula 10.65 del Protocolo.

[25] El art. 153 bis tipifica el delito de acceso ilegítimo o hacking de un sistema informático y, en lo que aquí interesa, dispone que lo comete quien accediere, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido. Resulta claro que el Especialista está autorizado por el Protocolo a acceder a los PEP digitales. Sin embargo, en algunos casos el Protocolo requiere autorización judicial previa, para evitar que se considere que el Especialista pudo haber incurrido en un exceso de autorización.

[26] Conf. cláusula 10.66 del Protocolo.

[27] Para más información sobre este tema, recomendamos consultar: Veltani, J. D., “Estrategia probatoria electrónica prejudicial” en Camps, C. E. (Dir), Derecho Procesal Electrónico Práctico (1dr Ed., pp. 113 – 136), Albremática, 2021; y, Veltani, J. D. y Atta, G. A., “Prueba Informática: Aspectos Generales” en Camps, C. E. (Dir), Tratado de Derecho Procesal Electrónico (2da Ed. Tomo II, pp. 245 – 273), Abeledo Perrot, 2019.

[28] Básicamente, la finalidad del principio de inalterabilidad de la información es que el medio informático que será objeto de prueba no se contamine. Es decir, no hay que llevar a cabo acciones que modifiquen el estado de información almacenada en distintos elementos informáticos. Respecto del principio de aptitud técnica de quien llevará adelante los actos vinculados con la prueba, su finalidad es garantizar que todo el proceso de recolección y producción puede ser explicado y sometido a control. El principio de documentación del proceso se refiere a que todos los actos que se realicen con relación a la obtención, conservación y manipulación de la prueba informática sean adecuadamente registrados, de modo que, luego, puedan ser auditados. Resta comentar el principio del cumplimiento de la normativa aplicable. Este principio se torna importante debido a la cantidad de normas que podrían aplicarse a la prueba informática. Por ejemplo, normas de protección de datos personales y privacidad, telecomunicaciones, servicios de inteligencia estatal, protocolos de actuación, etc. Ver Atta, G. A., “Prueba Informática: Aspectos Generales” en Camps, C. E. (Dir), Tratado de Derecho Procesal Electrónico (2da Ed. Tomo II, pp. 245 – 273), Abeledo Perrot, 2019.

[29] Debido a que son susceptibles de sufrir daños por campos electromagnéticos o sufrir cambios en su contenido durante cualquier proceso (borrado remoto, daños físicos, etc.).

[30] Conf. cláusula 11.13 del Protocolo.

[31] Conf. clausula 11.14 del Protocolo.

[32] Conf. cláusula 11.15 del Protocolo.

[33] Disponible en https://www.fiscales.gob.ar/wp-content/uploads/2016/04/PGN-0756-2016-001.pdf. Fecha de última consulta: 1/12/2021.

[34] Disponible en https://info-lab.org.ar/images/pdf/PAIF.pdf. Fecha de última consulta: 1/12/2021.El Laboratorio de Investigación y Desarrollo de Tecnología en Informática Forense tiene su antecedente en el Grupo de Investigación en Informática Forense y Sistemas Operativos de la Facultad de Ingeniería de la Universidad FASTA, conformado en el año 2007. Más información en https://info-lab.org.ar/institucional/historia. Fecha de última consulta: 15/12/2021

[35] Disponible en http://servicios.infoleg.gob.ar/infolegInternet/anexos/260000-264999/262787/norma.htm. Fecha de última consulta: 1/12/2021.

[36] Disponible en https://www.interpol.int/content/download/16451/file/Guideline%20for%20First%20Responders%20Leaflet%20to%20be%20published%20on%20public%20INTERPOL.pdf. Fecha de última consulta 1/12/2021

Opinión

Esperando a la macro (a propósito de la falta de un Plan Energético Nacional)
Por Sergio Porteiro
Abeledo Gottheil Abogados
detrás del traje
Franco Robiglio
De ROBIGLIO ABOGADOS
Nos apoyan