PDF de programación - BUENAS PRáCTICAS PARA EL PERITAJE INFORMÁTICO EN RECUPERACIÓN DE IMÁGENES Y DOCUMENTOS

GUIA DE BUENAS PRÁCTICAS PARA EL

PERITAJE INFORMATICO EN RECUPERACION

DE IMAGENES Y DOCUMENTOS

Madrid, 20 Octubre 2003

Agradecimientos: A Javier Pagès López, Francisco García Lombardía y los Ingenieros en

Informática que construyen Infoperitos, por sus aportaciones y comentarios.

Ignacio Boixo

Es Informático del Banco de España, en coordinación de Asuntos Europeos. Ingeniero en Informática. Perito Judicial.
Responsable del Peritaje Informático en la Brigada de Investigación del Banco de España. Ha colaborado como consultor en el
Banco Central Europeo y en la Supervisión Bancaria de Bosnia-Herzegovina., y como revisor de proyectos en la Comisión
Europea. Preside la Asociación de Ingenieros en Informática de Madrid y coordina su Gabinete Técnico y Facultativo
Infoperitos. Colegiado en el Colegio Profesional de Ingenieros en Informática de Castilla y León. Socio de ISSA y de ATI.

© Ignacio Boixo 2003. Reservados todos los derechos. Prohibida la
reproducción total o parcial sin permiso expreso del autor.

Índice
INTRODUCCIÓN 1
1.- INTERVENCION 1
2.- REVISION PRELIMINAR 3
Discos flexibles y ópticos 3
Discos Duros 4
Ordenador portátil 4
Ficheros borrados 4

3.- EXPLORACION DE FICHEROS 4

Imágenes 4
Documentos 6
Programas 6

4.- INFORME PERICIAL 7

Portada 7
Peritos 7
Antecedentes 7
Prueba pericial 7
Ficheros relevantes 7
Conclusiones 7
Firma 7
Anexos I: equipos peritados 8
Anexo II: ficheros relevantes 8
Conservación de elementos periciales 8

5.- ENLACES 8

INTRODUCCIÓN

Esta guía de buenas prácticas tiene como objeto el
difundir un protocolo común, y homogeneizar la
realización de peritajes informáticos, especialmente
los orientados a recuperar documentos e imágenes.

Estas buenas prácticas son el resultado de variadas
experiencias en la realización de pericias
informáticas, así como de la consulta de
documentación referente al tema. Son una plasmación
de los códigos de práctica y conducta del Gabinete
Técnico Facultativo de Peritos Informáticos
-Infoperitos- de la Asociación de Ingenieros en
Informática -AI2-. Las referencias y bibliografía se
pueden encontrar básicamente a través de
www.infoperitos.com.

El ámbito del peritaje informático en recuperación de
imágenes y documentos está orientado a extraer de
equipos informáticos intervenidos aquellos ficheros
que puedan ser relevantes, muchas veces en un
contexto de ámbito penal, aunque también puede
seguirse, exactamente el mismo procedimiento, para
el ámbito civil u otros.

La lógica del peritaje de este tipo está basada en
presentar el contenido de ficheros que puedan tener
relevancia jurídica, informando de su significado y
características.
Esos ficheros deben haberse
mantenido en una "cadena de custodia", por lo que se
detallarán los pasos desde que se intervienen o
reciben los equipos informáticos, hasta que se
presentan los ficheros relevantes. El peritaje ha de
poder ser repetido, por lo que no se pueden alterar los
elementos informáticos originales, trabajándose
siempre sobre copias clónicas.

La mayoría de estos peritajes están referidos a
ordenadores de usuario con sistema operativo
Windows. Para efectuar peritajes en equipos
servidores y/o en otros sistemas operativos, se

seguirán los mismos pasos con las correspondientes
adaptaciones al entorno.

Los pasos a realizar en este tipo de peritajes
informáticos son básicamente cuatro:

1.

Intervención. Se aprehenden los elementos
informáticos.

2. Revisión preliminar. Se descartan los
elementos informáticos irrelevantes y se
preparan los demás.

3. Exploración de ficheros. Se localizan,
los ficheros

imprimen y describen
informáticos relevantes.

4.

Informe pericial. Se confecciona el informe, y
se cierra el peritaje.

Siguiendo estas precauciones, el peritaje se explicará
por sí mismo, y el perito simplemente se remitirá a lo
ya expuesto en su peritaje. Cuanto más claro e
irrefutable el peritaje, menos presencia posterior del
perito.

1.- INTERVENCION

En la entrada a los locales donde estén los equipos
informáticos, se deberá acudir provisto de máquina
fotográfica o vídeo, rotulador para CD y
destornilladores.

La máquina fotográfica será utilizada para obtener
imágenes de las pantallas de los ordenadores, en el
caso de que estuvieran en funcionamiento. También
se fotografiarán los equipos.

No se deberá permitir que nadie toque los
ordenadores encendidos bajo ningún concepto.

La forma de apagar los ordenadores es directamente
quitándoles la energía eléctrica. Esto se debe a que, en
un apagado ordenado, parte de los ficheros
temporales, que pudieran ser significativos, serían
automáticamente borrados. Tampoco se tiene la
garantía de que, en el proceso de apagado, no se

Guía de buenas prácticas para el peritaje informático en recuperación de imágenes y documentos. 20 Octubre 2003. Pág. 1

borren o introduzcan intencionadamente ficheros, lo
que podría invalidar el peritaje. De esta manera,
apagando los equipos sin ninguna manipulación, no
ha lugar a ningún tipo de conjetura sobre la cadena de
custodia. Un perito profesional informático podría,
antes de apagar, extraer una imagen pericial del
estado de los procesos en ejecución mediante
herramientas periciales del tipo de Forensic and
Incident Response Environment. Si se quitase algún
cable antes de apagar, quizá se disparase un
autoapagado, lo que se debe evitar.

Los elementos a peritar en una intervención son
fundamentalmente los soportes de datos.

Los siguientes elementos informáticos no son
relevantes a efectos de pericias informáticas:



Pantallas de ordenador

 Teclados y ratones



Impresoras

 Equipos de telecomunicaciones

 Cables

 CD o DVD grabado en fábrica

 Aquellos equipos que no almacenen datos

De todos estos elementos lo único que se debe hacer
es inventariarlos, y fotografiarlos, para poder señalar
en su momento que fueron encontrados en el lugar de
la intervención. Físicamente, su peritación no
aportaría ninguna luz. En el caso de las impresoras,
no hay un método eficiente para individualizar una en
concreto a través de su "huella" en el papel, por lo
que no son relevantes en peritajes informáticos.

Se deberán intervenir los siguientes elementos
informáticos:

- Ordenadores (sobremesa, portátiles y agendas

PDA)

- Discos flexibles -disquetes-

- Discos duros de ordenador

- Unidades de almacenamiento externas
(PenDrive, Reproductores MP3, Discos,
Memorias, dispositivos USB…)

-

-

Teléfonos móviles (almacenan agendas e
información)

Todo tipo de soporte de almacenamiento
permanente de datos en general.

Los lectores grabadores de tarjetas magnéticas (si
existiesen) se intervendrán, por ser equipos que
habitualmente carecen de uso fuera de la
manipulación de tarjetas.

Todos los soportes de datos deberán ser
inventariados.

Los discos duros tienen número de serie. Los discos
ópticos suelen tener un número de serie en la parte
transparente del orificio central. Los discos flexibles
tienen números de serie frecuentemente repetidos, y
eso cuando los tienen. Una alternativa es firmar con
un rotulador de CD todos los discos ópticos y discos
flexibles intervenidos.

Los ordenadores portátiles deben ser intervenidos, por
la dificultad que entraña extraer sus sistemas de
almacenamiento en el mismo lugar de la intervención.

En los ordenadores de sobremesa se recomienda
extraer e intervenir sus sistemas de almacenamiento.
La carcasa, CPU, placas, memoria RAM y otros
componentes del ordenador no tienen interés a efectos
de pericias informáticas. Sólo los sistemas de
almacenamiento permanente de datos son relevantes.

Para extraer los sistemas de almacenamiento de datos
de un ordenador de sobremesa, normalmente solo se
necesita un destornillador de estrella y seguir las
siguientes instrucciones:

- Discos ópticos -CD y DVD- (excepto los

1. Apagar el ordenador

grabados en fábrica)

2. Quitar la carcasa

Guía de buenas prácticas para el peritaje informático en recuperación de imágenes y documentos. 20 Octubre 2003. Pág. 2

3. Desconectar el cable de datos (normalmente

IDE) y de alimentación del disco duro

4. Quitar los tornillos al disco duro

5. Extraer el disco duro SIN TOCAR LOS

CIRCUITOS (peligro de daños)

6. Firmar el disco duro

7. Guardar el disco duro en un sobre

antiestático1 o de papel

8. Una vez extraído el o los discos duros, se
volverá a conectar el ordenador, para abrir el
lector de CD y extraer algún CD, DVD o
disquete que hubiera dentro

9.

Inventariar los números de serie del
ordenador y de los elementos extraídos y
fotografiarlos

En muchas ocasiones, el perito no estará presente en
la intervención. En lo posible, el perito deberá
informar a quien haga la intervención del contenido
de este capítulo. Para ellos se recomienda distribuir el
siguiente decálogo:

1.

2.

3.

4.

5.

6.

Inventariar y fotografiar los equipos
informáticos

Intervenir todos los discos: flexibles
(disquetes), compactos (CD), y video (DVD).

Intervenir los ordenadores portátiles, agendas
(PDA) y teléfonos móviles con sus cargadores

Intervenir los ordenadores de sobremesa, o
mejor extraer el disco duro (sin tocar su
circuito, y guardarlo en un sobre antiestático
o de papel), DVD, CD y disquetes.

Intervenir dispositivos y tarjetas de memoria,
así como cualquier medio