|Manuales PNP| La Comandancia General de la PNP, mediante la resolución RCG 79-2024-CG-PNP/EMG, del 09 de marzo del 2024 aprobó El Manual de Análisis de la Evidencia Digital
Lee también:
- «Revisar el celular para acceder a videos en archivos, no vulnera las comunicaciones» Casación 2669-2021 ICA
- DL 1338: Crea el RENTESEG para la prevención y combate del comercio ilegal de equipos móviles
- MAPROPOL: Manual de Procedimientos Operativos Policiales
- Código hash y evidencias digitales: Procedimientos y actas en el Caso Patricia Benavides
MANUAL DE ANÁLISIS DE LA EVIDENCIA DIGITAL
CG 79-2024-CG-PNP/EMG
Resolución de la Comandancia General de la Policía Nacional
N° 79-2024-CG PNP/EMG
Lima, 09 MAR 2024
VISTO, el Informe N° 164-2023-DIRCRI PNP/DIVLACRI-DLDF del 28 de setiembre de 2023, la División de Laboratorio Criminalístico de la Dirección de Criminalística de la Policía Nacional del Perú, propone la aprobación del proyecto de «Manual de análisis de la evidencia digital».
CONSIDERANDO:
Que, el artículo 9° del Decreto Legislativo N° 1604, que modifica el Decreto Legislativo N° 1267, Ley de la Policía Nacional del Perú, señala que la Comandancia General es el órgano de Comando de más alto nivel de la Policía Nacional del Perú, encargado de planificar, organizar, dirigir y supervisar el desarrollo de la gestión administrativa y operativa de la Policía Nacional del Perú para el ejercicio de la función policial en todo el territorio nacional, en un contexto de mejor atención a la ciudadanía y eficiente uso de los recursos, en el marco de las políticas sectoriales aprobadas por el Ministerio del Interior:
Que, conforme al artículo 26 del Reglamento del Decreto Legislativo N° 1267, Ley de la Policía Nacional del Perú, aprobado por Decreto Supremo N° 026-2017-IN, señala que, la Dirección de Criminalística es el órgano de apoyo policial de carácter técnico, sistémico y normativo, operativo y especializado en criminalística; responsable de organizar, dirigir, sistematizar, supervisar y practicar a nivel nacional los peritajes oficiales y emitir los informes periciales de criminalístico para efectos de la investigación que se derivan del cumplimiento de la función policial, solicitadas por los diversos órganos de la Policía Nacional del Perú o por el Ministerio Público y Poder Judicial; en el marco de la normativa sobre la materia,
Que, mediante Resolución Ministerial N° 130-2019-IN del 21 de enero de 2019, se creó el grupo de trabajo encargado de elaborar un Manual de Análisis de la Evidencia Digital para uso exclusivo de la Policía Nacional del Perú.
Que, mediante Directiva N° 19-2021-COMGEN PNP/SECEJE-DIRPLAINS-DIVMDI, aprueba «Lineamientos aplicables para la formulación, aprobación o modificación de dispositivos legales y documentos normativos u orientadores de la Policía Nacional del Perú»:
Que, mediante Informe N° 413-2023-SECEJE-PNP/DIRPLAINS-DIVMDI del 28 de noviembre de 2023, la División de Modernización y Desarrollo Institucional de la Dirección de Planeamiento Institucional de la Policía Nacional del Perú, concluye que el proyecto de «Manual de análisis de la evidencia digital», resulta viable;
Que, mediante Informe N° 042-2024-COMOPPOL PNP/DIVSEEPI del 15 de enero de 2024, emitido por la División de Supervisión, Evaluación de Estrategias y Planes Institucionales del Comando de Operaciones Policiales, concluye que resulta viable aprobar el proyecto de «Manual de análisis de la evidencia digital»;
Que, mediante Hoja de Estudio y Opinión Nº 039-2024-EMG PNP/EQUAPEDI del 17 de enero de 2024, emitido por el Estado Mayor General de la Policía Nacional del Perú, opina que resulta viable, la propuesta del proyecto de «Manual de análisis de la evidencia digital»;
Que, estando a lo dictaminado por la Dirección de Asesoría Jurídica de la Policía Nacional del Perú, mediante Informe Legal N° 561-2023-SECEJE PNP/DIRASJUR-DIVDJPN del 04 de diciembre de 2023;
Lo propuesto por el General de la Policía Nacional del Perú, Jefe del Comando de Operaciones Policiales de la Policía Nacional del Perú, y;
Lo opinado por el Teniente General de la Policía Nacional del Perú, Jefe del Estado Mayor General de la Policía Nacional del Perú.
SE RESUELVE:
Artículo 1.- Aprobar el «Manual de análisis de la evidencia digital», que como anexo forma parte de la presente resolución.
Artículo 2.- Encargar a la Dirección de Criminalística Policía Nacional del Perú, el cumplimiento de la presente resolución.
Articulo 3.- El Estado Mayor General de la Policía Nacional del Perú, ejerza el control del cumplimiento de la presente resolución.
Articulo 4.- Disponer que la Dirección de Tecnología de la Información y Comunicaciones de la Policía Nacional del Perú y la Dirección de Recursos Humanos de la Policía Nacional del Perú, publiquen la presente resolución en la página web de la institución (www.policia.gob.pe), y en el Sistema Integrado de Gestión de la Carrera del personal de la Policía Nacional del Perú (https://sigcpd.policia.gob.pe), respectivamente.
Regístrese, comuníquese y archívese.
PRESENTACIÓN
Las tecnologías de la información y comunicaciones cumplen un rol fundamental para la generación del conocimiento; sin embargo, una problemática latente es la influencia de estas tecnologías que han creado nuevos canales para la comisión de delitos en sus diversas modalidades como: delitos informáticos, extorsión, estafas, pornografía infantil, lavado de activos, entre otros, que son cometidos generalmente por organizaciones criminales de nivel transnacional.
El recojo apropiado de la evidencia digital no tendría el valor esperado si no se realiza un procedimiento adecuado en su análisis que permita obtener información de interés criminalístico relevante para un proceso de investigación.
Es así que resulta importante contar con un manual para llevar a cabo la metodología del análisis de la evidencia digital.
El presente manual se elaboró para uso del personal especializado de la Policía Nacional del Perú, con la finalidad de establecer lineamientos para el análisis forense de la evidencia digital que permita obtener elementos de convicción relevantes para una investigación, los cuáles son descritos y detallados en el informe pericial dentro del marco de la normatividad vigente y el debido proceso, donde se describe las fases de identificación; adquisición y preservación; análisis y documentación del procesamiento de la evidencia digital, aplicados a dispositivos informáticos, móviles, correos electrónicos, redes sociales virtuales, páginas web; así como, en el análisis forense de archivos de video, imagen y audio, requeridos por los operadores de justicia.
La Dirección General Contra el Crimen Organizado del Ministerio del Interior en coordinación con la Policía Nacional del Perú, actualizan el presente Manual teniendo en consideración la continua evolución de las tecnologías de la información y comunicaciones.
INDICE DE CONTENIDO
PRESENTACIÓN
I. ASPECTOS GENERALES.
1.1 GENERALIDADES.
1.2 PRINCIPIOS
1.3 NORMAS GENERALES
II. CONTENIDO ESPECÍFICO
2.1METODOLOGIA DEL ANÁLISIS FORENSE DIGITAL
2.1.1 IDENTIFICACIÓN
2.1.2 ADQUISICIÓN Y PRESERVACIÓN
2.1.3 ANÁLISIS
2.1.4 DOCUMENTACIÓN
3.1 APLICACIÓN DE LA METODOLOGIA
3.1.1 DISPOSITIVOS INFORMÁTICOS
3.1.2 TERMINALES MÓVILES
3.1.3 CORREOS ELECTRÓNICOS
3.1.4 REDES SOCIALES
3.1.5 PÁGINA WEB
3.1.6 ANÁLISIS FORENSE DE ARCHIVOS DE VIDEO E IMAGEN
3.1.7 ANÁLISIS FORENSE DE ARCHIVOS DE AUDIO
III. ANEXOS
IV. REFERENCIAS BIBLIOGRÁFICAS
MANUAL DE ANÁLISIS DE LA EVIDENCIA DIGITAL
I. ASPECTOS GENERALES
1.1. GENERALIDADES
Establecer lineamientos para el análisis forense de la evidencia digital que permita obtener elementos de convicción relevantes para una investigación. Los cuáles deben ser descritos y detallados en el informe pericial dentro del marco de la normatividad vigente y el debido proceso, para uso exclusivo de la Policía Nacional del Perú.
Asimismo, el presente manual contiene la descripción metodológica para el análisis forense de la evidencia digital, así como su aplicación en sus diversas especialidades, comprendiendo las fases de identificación, adquisición y preservación, análisis y documentación.
1.2. PRINCIPIOS
1.2.1. Objetividad: El personal especializado en el análisis de la evidencia digital de la Policía Nacional del Perú aplica los lineamientos de manera objetiva para la identificación, adquisición y preservación, análisis y documentación de la evidencia digital de acuerdo al requerimiento solicitado por los operadores de justicia.
1.2.2. Legalidad: El personal especializado en análisis de evidencia digital de la Policía Nacional del Perú debe seguir los lineamientos normativos vigentes en la aplicabilidad de las fases de identificación, adquisición y preservación, análisis y documentación, garantizando el cumplimiento del debido proceso.
1.2.3. Idoneidad: El personal especializado en análisis de la evidencia digital debe contar con los conocimientos idóneos en la aplicabilidad de herramientas forense y metodología, además los hallazgos encontrados deben ser auténticos, relevantes y suficientes para el caso relacionado a los hechos materia de investigación.
1.2.4. Inalterabilidad: Para todos los casos debe existir una cadena de custodia debidamente asegurada que demuestre que los medios no han sido modificados, de ser posible calcular el código hash de los archivos digitales con la finalidad de salvaguardar su integridad.
1.3. NORMAS GENERALES
1.3.1. Constitución Política del Perú Articulo N° 166.
1.3.2. Ley N° 29733, Ley de Protección de Datos Personales.
1.3.3. Ley N° 30077, Ley Contra el Crimen Organizado.
1.3.4. Ley N° 30096, Ley de Delitos Informáticos.
1.3.5. Ley N° 30171, Ley que modifica la Ley N° 30096, Ley de Delitos Informáticos.
1.3.6. Decreto Legislativo N° 635, Código Penal.
1.3.7. Decreto Legislativo N° 957, Nuevo Código Procesal Penal.
1.3.8. Decreto Legislativo N° 1267, Ley de la Policía Nacional del Perú y su modificatoria Ley N° 31379.
1.3.9. Decreto Supremo Nº 026-2017-IN, que aprueba el Reglamento del Decreto Legislativo N° 1267 Ley de la Policía Nacional del Perú.
1.3.10. Resolución de la Fiscalía de la Nación Nº 729-2016-MP-FN, Reglamento de la cadena de custodia de elementos materiales, evidencias y administración de bienes incautados.
1.3.11. Resolución Ministerial N° 848-2019-IN que aprueba el Manual para el Recojo de la Evidencia Digital.
1.3.12. Resolución Directoral N° 247-2013-DIRGEN/EMG que aprueba el Manual de Procedimientos Periciales de Criminalistica.
1.3.13. Resolución Directoral N° 751-2015-DIRGEN-EMG-PNP que aprueba la Directiva Nº 03-19-2015-DIRGEN-PNP/EMG-DIRASOPE-B, Normas y procedimientos policiales para proteger la escena del delito y garantizar la cadena de custodia.
[IMAGEN]
II. CONTENIDO ESPECÍFICO
2.1. METODOLOGIA DEL ANÁLISIS FORENSE DIGITAL
2.1.1. IDENTIFICACIÓN
En esta fase se realiza la identificación física y/o lógica de la evidencia, considerando que:
2.1.1.1. En la identificación física, se individualiza los dispositivos de almacenamiento digital relacionado al hecho investigado.
2.1.1.2. Para la identificación lógica, se debe realizar la búsqueda y reconocimiento de evidencia en los dispositivos encendidos relacionados al hecho investigado, dando prioridad a la recopilación de evidencias volátiles considerando el periodo de tiempo en que los datos son accesibles en el sistema.
2.1.1.3. De acuerdo a la naturaleza de los hechos materia de investigación, se considera la volatilidad de los datos en dispositivos encendidos, por lo que se deben adquirir en el orden de mayor a menor volatilidad.
Por lo tanto, se deben identificar evidencias digitales de acuerdo al orden de volatilidad. Según la Request For Comments RFC 3227, «Gula para Recolectar y Archivar Evidencia» (Brezinski & Killalea, 2002).
[IMAGEN]
Orden de volatilidad – RFC 3227 (Brezinski & Killalea, 2002)
Identificadas las evidencias de mayor y menor volatilidad que pueda contener el dispositivo de almacenamiento digital, que debe establecer cuáles son útiles y necesarias para la investigación, las mismas que deben ser recolectadas para su análisis.
2.1.1.4. El personal especializado puede realizar un análisis rápido (triage) sobre un dispositivo electrónico, y determina si contiene evidencia relacionada a los hechos materia de investigación.
2.1.2. ADQUISICIÓN Y PRESERVACIÓN
Esta fase requiere el uso de herramientas forenses que permitan la recolección de datos volátiles y no volátiles, a través del volcado de memoria y de la creación de una imagen forense (copia bit a bit), debiendo generarse los códigos hash respectivos para garantizar su integridad.
Es necesario que el dispositivo se encuentre operativo para realizar este procedimiento, de lo contrario se formulará la documentación respectiva.
2.1.3. ANÁLISIS
En esta fase, se realiza el análisis sobre la imagen forense de los dispositivos de almacenamiento digital y sobre el volcado de la memoria. Se inicia con la búsqueda, recuperación y/o recopilación de los archivos digitales generados, almacenados y transmitidos, como: logs, archivos de ofimática, fotogramas, videogramas, audios, entre otros; relacionados a los hechos materia de investigación.
Es importante señalar que no existe un procedimiento estandarizado de análisis para cada dispositivo de almacenamiento digital, por lo tanto, deben ser examinados teniendo en cuenta las diversas casuísticas y experiencias adquiridas.
En consecuencia, se pueden desarrollar sub-fases según cada caso:
2.1.3.1. Preparar un entorno de trabajo de acuerdo a las necesidades técnicas del requerimiento, considerándose si el análisis de la evidencia digital se debe realizar en caliente o en frio.
2.1.3.2. Realizar un listado de archivos comprometidos con el caso que deben ser empleados como evidencia para ser presentados en el informe respectivo.
2.1.3.3. Crear una línea tiempo que describa las fechas de creación, modificación y accesos de los archivos, así como aplicaciones instaladas o portables que permiten crear puntos claves en el tiempo.
2.1.4. DOCUMENTACIÓN
Es la fase final del análisis forense digital, consiste en la redacción del informe pericial que debe contener toda la información y la evidencia obtenida en la fase de análisis forense, la conclusión debe ser redactada de forma clara, concisa y utilizando un lenguaje comprensible para el solicitante (operadores de justicia).
Teniendo en cuenta lo señalado en el párrafo anterior, la estructura del informe pericial debe tener como base la estructura del contenido del informe pericial oficial que se indica taxativamente en el Código Procesal Penal (Articulo 178″), conforme se describe a continuación:
2.1.4.1. Nombres y apellidos, domicilio, documento nacional de identidad del perito, así como el número de su registro profesional en caso de colegiación obligatoria.
2.1.4.2. La descripción de la situación o estado de hechos sea persona o cosa, sobre los que se hizo el peritaje:
2.1.4.3. La exposición detallada de lo que se ha comprobado en relación al encargo:
2.1.4.4. La motivación o fundamentación del examen técnico
2.1.4.5. La indicación de los criterios científicos o técnicos, médicos y reglas de los que se sirvieron para hacer el examen
2.1.4.6. Las conclusiones; y
2.1.4.7. La fecha, sello y firma.
3.1. APLICACIÓN DE LA METODOLOGÍA
Los lineamientos para desarrollarse en el presente manual no descartan el uso de procedimientos alternativos de acuerdo con el avance tecnológico y/o buenas prácticas internacionales de la comunidad científica forense, tales como el uso de softwares libres, análisis forense en la nube, la técnica Chip-off para recuperación de datos del chip de memoria de teléfonos celulares, entre otros.
Por lo tanto, al conocimiento del hecho criminal, el personal policial debe tomar las medidas necesarias para asegurar la escena del crimen, a fin de evitar alteración, manipulación, contaminación, destrucción, pérdida o sustracción de dispositivos de almacenamiento digital para su posterior análisis por la unidad especializada. En esta fase se debe tomar en consideración lo descrito en «El Manual para el Recojo de la Evidencia Digital».
La autoridad solicitante debe considerar que antes de remitir el requerimiento pericial, debe de evaluar si el examen puede ser atendido porel laboratorio forense digital. Con relación a los dispositivos informáticos, terminales móviles. correos electrónicos, redes sociales, página web, archivos de video e imagen y archivos de audio, se aplica las fases del análisis de la evidencia digital, según el siguiente desarrollo:
3.1.1. DISPOSITIVOS INFORMÁTICOS
El análisis forense en dispositivos informáticos se apoya en diferentes soluciones forenses (hardware y software) para la adquisición, búsqueda, análisis y extracción de archivos digitales, verificados validados por el Instituto Nacional de Estándares y Tecnología (NIST), o por el personal especializado, que permita obtener evidencia digital relacionada con los hechos materia de investigación.
De existir la necesidad de realizar diligencias en el lugar de los hechos y de acuerdo a la naturaleza de la investigación, se debe realizar lo siguiente:
– Identificar equipos informáticos encendidos.
– Evaluar el orden de volatilidad de los datos, conforme al numeral VII, Metodología del análisis forense digital.
– Adquirir los datos en el orden de mayor a menor volatilidad, mediante software especializado.
– Preservar en un dispositivo de almacenamiento nuevo o formateado a bajo nivel (Wipe) con su respectivo código hash (MDS, SHA1, entre otros).
– Formular el acta de lacrado y cadena de custodia.
Seguidamente, se procede aplicar la metodología descrita a
continuación:
3.1.1.1. IDENTIFICACIÓN:
3.1.1.1.1. Verificar la documentación conforme al numeral VII Requisitos para el análisis informático forense Manual del Recojo de la Evidencia Digital. En caso de existir observaciones se deja constancia.
3.1.1.1.2. Formular el acta de respectiva, identificando los dispositivos de almacenamiento digital, describiendo las características físicas como: tipo, color, capacidad, estado de conservación, entre otros datos que puedan individualizarlo.
3.1.1.1.3. Verificar que las características del dispositivo
concuerden con la documentación adjunta. En
caso de existir observaciones se deja constancia.
3.1.1.2. ADQUISICIÓN Y PRESERVACIÓN:
En esta etapa, mediante software o hardware especializado se debe:
3.1.1.2.1. Realizar el bloqueo contra escritura de la estación de trabajo.
3.1.1.2.2. Generar la imagen forense, que debe ser almacenada en un dispositivo de almacenamiento nuevo o formateado a bajo nivel (Wipe) con su respectivo código hash (MD5, SHA1, entre otros).
3.1.1.3. ANÁLISIS
Para el proceso de análisis se debe realizar las siguientes actividades implícitas:
MONTAJE DE LA IMAGEN FORENSE
Agregar la imagen forense al software de análisis y realizar la verificación de su integridad a través del código hash.
a. IDENTIFICACIÓN DE SISTEMA OPERATIVO Y LAS PARTICIONES
Identificar el sistema operativo y las particiones lógicas de la imagen forense del dispositivo, para conocer la estructura del sistema de archivos y a partir de ella reconocer características especiales de cómo está organizada la información y trazar una estrategia para la recolección y/o recuperación de la información.
Seguidamente, según el objetivo del examen, se debe tener en cuenta las siguientes actividades específicas:
b. RECOLECCIÓN DE INFORMACIÓN.
Se debe tomar en consideración los siguientes pasos:
(1) Identificar la información relacionada a los hechos objeto de análisis.
(2) Recolectar la información identificada en un dispositivo de almacenamiento nuevo o formateado a bajo nivel (wipe).
(3) Generar el código hash de los archivos digitales relacionados con los hechos materia de investigación o del dispositivo de almacenamiento.
c. RECUPERACIÓN DE INFORMACIÓN
Esta actividad corresponde al proceso de recuperación de archivos existentes en la imagen forense.
Se debe tomar en consideración los siguientes pasos:
(1) Evaluar la técnica de recuperación de la información a realizar sobre el dispositivo de almacenamiento.
(2) Recopilar de manera total o parcial la información recuperada.
(3) Almacenar la información recuperada en un dispositivo de almacenamiento nuevo o formateado a bajo nivel (wipe).
(4) Generar el código hash de los archivos digitales (información recuperada) relacionados con los hechos materia de investigación o del dispositivo de almacenamiento, considerando la cantidad de archivos que deben ser preservados.
BÚSQUEDA DE PALABRAS CLAVES
Esta actividad corresponde al proceso de búsqueda de palabras claves en archivos activos, eliminados yo sobrescritos contenidas en la imagen forense.
(1) Realizar la búsqueda de información dependiendo del requerimiento, considerando palabras claves, identificación del sistema de archivos, identificación de archivos existentes y protegidos, formato de numeración de tarjeta y correos electrónicos activos y/o eliminados, entre otros.
(2) Realizar búsquedas especificas por extensión de archivos.
(3) Buscar y analizar el historial de navegación, historial de descargas de los navegadores web.
(4) Buscar y analizar archivos del sistema (pagefile.sys, hiberfil.sys, entre otros).
(5) Realizar otras búsquedas avanzadas que sean necesarios para cumplir con el objetivo de investigación.
Ubicado las palabras claves, se debe de preservar la evidencia digital de la siguiente manera:
(1) Realizar capturas de pantalla de los rastros digitales encontrados.
(2) Almacenar la evidencia digital relacionada la búsqueda de palabras claves en un dispositivo de almacenamiento nuevo o formateado a bajo nivel (wipe)
(3) Generar el código hash de los archivos digitales.
3.1.1.4. DOCUMENTACIÓN:
La documentación consiste en la formulación del informe pericial, el cual debe ser redactado de forma clara, concisa y, utilizando un lenguaje comprensible que incluye los anexos como: actas de apertura de lacrado, actas de lacrado, cadenas de custodia y otros documentos generados. (Ver Anexo N° 1)
[IMAGEN]
[IMAGEN]
3.1.2. TERMINALES MÓVILES.
El análisis forense en terminales móviles se apoya en diferentes soluciones forenses verificados por el Instituto Nacional de Estándares y Tecnología (NIST), o por el personal especializado, para realizar una extracción de tipo lógica, física, sistema de archivos o manual, posterior búsqueda, análisis y generación de reportes con evidencia digital relacionada a los hechos materia de investigación.
3.1.2.1. IDENTIFICACIÓN:
3.1.2.1.1. Verificar la documentación conforme al numeral VII Requisitos para el análisis informático forense Manual del Recojo de la Evidencia Digital. En caso de existir observaciones se deja constancia.
3.1.2.1.2. Formular el acta respectiva, describiendo las características físicas como: marca, modelo, color, serie, IMEI, si cuenta con Módulo de Identificación de Suscriptor (SIM), tarjeta de memoria externa, batería, entre otros datos que puedan individualizarlo; así como, medidas de seguridad (patrón de bloqueo, PIN, reconocimiento biométrico, entre otros).
3.1.2.1.3. Verificar que las características del dispositivo concuerden con la documentación adjunta. En caso de existir observaciones se deja constancia.
3.1.2.2. ADQUISICIÓN Y PRESERVACIÓN
3.1.2.2.1. Realizar la carga de energía de la batería del terminal móvil.
3.1.2.2.2. Seleccionar el método de extracción adecuada para cada terminal móvil (lógico, físico, sistema de archivos o manual), según el objeto de estudio.
(1) Extracción manual
Permite recuperar información del terminal móvil, localizando los datos mediante el uso del teclado o la pantalla táctil. La información relevante debe ser preservada, perennizada y documentada.
(2) Extracción Física
Permite generar una imagen forense o bit a bit de la memoria interna del dispositivo móvil de origen en un dispositivo de almacenamiento extraíble o computadora, generando el código hash respectivo, con la posibilidad de adquirir datos ocultos y recuperar información eliminada.
(3) Extracción Lógica
Permite extraer información activa de varios tipos de datos, como registros de llamadas, registros de la agenda telefónica, mensajes de texto (SMS), eventos del calendario, instaladas y archivos aplicaciones multimedia (imágenes, videos, entre otros).
(4) Extracción del sistema de archivos
Permite realizar una extracción completa del sistema de archivos de un dispositivo móvil, en algunos casos incluye información eliminada o particiones ocultas.
3.1.2.2.3. Almacenar los datos extraídos en un dispositivo de almacenamiento adecuado para su posterior análisis.
3.1.2.3. ANÁLISIS
3.1.2.3.1. Realizar la búsqueda y análisis de los datos extraídos mediante software forense de acuerdo con el requerimiento de los operadores de justicia.
3.1.2.3.2. Exportar la evidencia digital según el requerimiento.
3.1.2.3.3. Generar el código hash para garantizar su integridad.
3.1.2.3.4. Generar los reportes de extracción o realizar capturas de pantalla de todas las evidencias encontradas.
3.1.2.4. DOCUMENTACIÓN
La documentación consiste en la formulación del informe pericial, el cual debe ser redactado de forma clara, concisa y, utilizando un lenguaje comprensible; que incluye los anexos como: actas de apertura de lacrado, actas de lacrado, cadenas de custodia y otros documentos generados. (Ver Anexo N° 1).
Telefonía forense [IMAGEN]
Muestras de terminales móviles [IMAGEN]
3.1.3. CORREOS ELECTRÓNICOS
Es la creación, envío y recepción de mensajes a través de sistemas de comunicación electrónica que utilizan como medio el internet. Estos mensajes están comprendidos como documentos privados en cuanto a su valoración como medio de prueba en una investigación.
Se debe tener en cuenta que, una vez enviado el mensaje de correo electrónico, el contenido puede ser analizado en los intervinientes (emisor o receptor) para la aportación de la evidencia.
Los mensajes de correo electrónico incluyen un bloque de texto al comienzo que se denomina cabecera. La cabecera contiene detalles sobre el mensaje, incluyendo información del remitente, información del destinatario, los servidores que procesaron el mensaje durante su trayecto desde el remitente al destinatario, fecha, hora, zona horaria, entre otros.
El análisis de un mensaje de correo electrónico en un proceso de investigación permite:
– Comprobar que ha existido una comunicación entre las partes.
– Identificar los datos de suscripción del remitente y destinatario de un mensaje de correo electrónico.
– Establecer la autenticidad y/o integridad del mensaje de correo electrónico, verificándose que el contenido no ha sufrido alteraciones o manipulaciones.
– Otros de interés criminalístico.
Para la identificación, adquisición y preservación del correo electrónico se debe de tener la autorización del usuario y las credenciales de acceso (usuario y contraseña), cuyo procedimiento depende de la interfaz del proveedor del servicio de correo electrónico, conforme a las siguientes fases:
3.1.3.1. IDENTIFICACIÓN:
3.1.3.1.1. Formular el acta respectiva, consignando las características del ordenador y navegador utilizado.
3.1.3.1.2. Iniciar sesión con las credenciales de acceso del correo electrónico materia de análisis.
3.1.3.1.3. Realizar la búsqueda del mensaje en el correo electrónico. En caso de existir observaciones, se deja constancia en acta.
3.1.3.1.4. Identificar el mensaje del correo electrónico relacionado a los hechos materia de investigación.
3.1.3.1.5. Perennizar información relacionada al correo electrónico identificado.
3.1.3.2. ADQUISICIÓN Y PRESERVACIÓN.
3.1.3.2.1. Descargar el backup total o parcial del correo identificado, tomando en consideración los formatos estándar establecidos, según sea el caso (pst, xml, emi, otros).
3.1.3.2.2. Generar el código hash del backup total o parcial del correo identificado.
3.1.3.2.3. Guardar el backup obtenido en un dispositivo de almacenamiento nuevo o formateado a bajo nivel (wipe).
3.1.3.2.4. Formular el acta de lacrado e inicio de la cadena de custodia del dispositivo de almacenamiento que contiene el backup.
3.1.3.3. ANÁLISIS
3.1.3.3.1. Formular el acta de apertura de lacrado del dispositivo de almacenamiento que contiene el backup del correo electrónico.
3.1.3.3.2. Procesar el backup con un gestor de correo electrónico.
3.1.3.3.3. Realizar la búsqueda e identificación de los mensajes de correo electrónico materia de análisis.
3.1.3.3.4. Extraer la «cabecera del correo electrónico», donde se puede encontrar [IMAGEN]
3.1.3.3.5. Describir la trazabilidad del mensaje de correo electrónico.
3.1.3.3.6. Identificar el ID del mensaje, fecha, hora, huso horario, origen, destino, asunto, dirección IP de
origen (en algunos casos).
3.1.3.3.7. Descargar archivos adjuntos del correo electrónico analizado cuando el caso lo amerite, los mismos que deben ser guardados en un dispositivo de almacenamiento, generación de su código hash y luego formular el acta de lacrado e inicio de la cadena de custodia.
3.1.3.4. DOCUMENTACIÓN
La documentación consiste en la formulación del informe pericial, el cual debe ser redactado de forma clara, concisa y. utilizando un lenguaje comprensible; que incluya los anexos como: actas de apertura de lacrado, actas de lacrado, cadenas de custodia y otros documentos generados. (Ver Anexo N° 1).
Análisis de correo electrónico [IMAGEN]
3.1.4. REDES SOCIALES
El uso del internet ha permitido el desarrollo de nuevas tecnologías y plataformas, convirtiendo a las redes sociales el medio para interactuar con una persona o grupo de personas a distancia.
Para ser presentados como un medio probatorio, se requiere de procedimientos específicos para realizar la extracción de los datos y el análisis de los mismos.
Asimismo, para la identificación, adquisición y preservación de la red social, se debe contar con la autorización del usuario y las credenciales de acceso (usuario y contraseña), cuyo procedimiento depende de la interfaz del proveedor del servicio de correo electrónico, conforme a las siguientes fases:
3.1.4.1. IDENTIFICACIÓN
3.1.4.1.1. Formular el acta respectiva, consignando las características del ordenador, navegador utilizado para ingresar a la plataforma de la red social a la que pertenece el perfil materia de investigación.
3.1.4.1.2. Realizar la búsqueda y visualización del perfil de la red social involucrada, con la finalidad de identificar la URL (https://www.redsocial.com/miperfil).
3.1.4.1.3. En caso de existir observaciones se deja constancia.
3.1.4.2. ADQUISICIÓN Y PRESERVACIÓN
3.1.4.2.1. Perennizar el perfil de la red social involucrada en la investigación, debiendo enfatizar
(1) Dirección electrónica (URL):
https://www.redsocial.com/m/perfil
(2) Nombre de usuario: J. Medrano
(3) Numero ID: 123456789
(4) Cuenta de correo electrónico: micorreo@dominio.com
(5) Número de teléfono: +51999999999, o
(6) Cualquier dato que conlleve a su identificación.
3.1.4.2.2. Para la adquisición de la evidencia de redes sociales, se realiza mediante un backup desde la misma cuenta, contando con la autorización expresa del usuario.
3.1.4.2.3. Para determinados casos se puede solicitar información directamente a las empresas de redes sociales, de acuerdo con las siguientes consideraciones:
(1) Las empresas de redes sociales solo revelaran datos de cuenta de usuarios de acuerdo a las condiciones del servicio y la legislación aplicable.
(2) Para ingresar a la plataforma y realizar el pedido de información se debe utilizar un correo electrónico oficial (por ejemplo micorreo@policia.gob.pe), y cumplir con brindar la información exigida por las empresas de redes sociales.
(3) Generar el código hash de los archivos adquiridos y grabar (guardar) en un dispositivo de almacenamiento nuevo o formateado a bajo nivel (wipe).
3.1.4.3. ANÁLISIS
3.1.4.3.1. Extraer la información relevante del reporte brindado por la red social, como las direcciones IP, fechas de creación del perfil, número de teléfonos vinculados, correos electrónicos vinculados, datos de registro, localización, entre otros datos de interés, para identificar al usuario del perfil involucrado en los hechos materia de investigación.
3.1.4.3.2. Identificar al proveedor de servicios de internet (ISP) de las direcciones IP reportadas, mediante consultas a directorios públicos de propietarios de dominio o dirección IP, por ejemplo https://whois.domaintools.com.
3.1.4.3.3. Convertir el huso horario de GMT o UTC a GMT- 05 0 UTC-05 (hora local).
3.1.4.4. DOCUMENTACIÓN:
La documentación consiste en la formulación del informe pericial, el cual debe ser redactado de forma clara, concisa y, utilizando un lenguaje comprensible; que incluye los anexos como: actas de apertura de lacrado, actas de lacrado, cadenas de custodia y otros documentos generados. (Ver Anexo N° 1)
Análisis de red social [IMAGEN]
3.1.5. PÁGINA WEB
Una página web o página electrónica, es un conjunto de información contenida en una determinada dirección de Internet a la que se puede acceder a través de un navegador y que se crea mediante un lenguaje de programación. Cuenta con un enlace que permite su identificación y facilita su navegación entre contenidos.
3.1.5.1. IDENTIFICACIÓN:
3.1.5.1. Formular el acta respectiva, consignando las características del ordenador y navegador utilizado para realizar la búsqueda de la página web materia de análisis, con la finalidad de identificar la dirección electrónica (URL).
3.1.5.2. De no ubicar la página Web, realizar la consulta en un buscador de internet, con la finalidad de obtener información del dominio.
3.1.5.3. Consultar el dominio en determinadas bibliotecas de internet que recopilan información de sitios web. Ejemplo: https://archive.org.
3.1.5.4. En caso de existir observaciones se deja constancia.
3.1.5.2. ADQUISICIÓN Y PRESERVACIÓN:
3.1.5.2.1. De ubicarse el dominio de la página web, perennizar y preservar la dirección electrónica URL y el contenido de los hechos denunciados. Ejemplo: www.mipaginaweb.com/index.html.
3.1.5.2.2. Guardar el contenido de la página web y generar el código hash del archivo adquirido.
3.1.5.2.3. Guardar en un dispositivo de almacenamiento nuevo o formateado a bajo nivel (wipe).
3.1.5.3. ANÁLISIS:
3.1.5.3.1. Formular el acta de apertura de lacrado del dispositivo de almacenamiento que contiene el backup de la página web.
3.1.5.3.2. Realizar la consulta del dominio de internet whois a través del servicio «whois» para conocer datos como su nombre, número de teléfono, correo electrónico, dirección IP, entre otra información, con la cual está vinculada.
3.1.5.3.3. Recabar información técnica de la página web mediante los datos de contacto, en consideración a las políticas de privacidad y seguridad del sitio web.
3.1.5.4. DOCUMENTACIÓN:
La documentación consiste en la formulación del informe pericial, el cual debe ser redactado de forma clara, concisa y, utilizando un lenguaje comprensible; que incluya los anexos como: actas de apertura de lacrado, actas de lacrado, cadenas de custodia y otros documentos generados. (Ver Anexo N° 1)
Análisis de página web [IMAGEN]
3.1.6. ANÁLISIS FORENSE DE ARCHIVOS DE VIDEO E IMAGEN
El análisis forense de archivos de video e imagen se apoya en múltiples estrategias de análisis para detectar datos de manipulación o adulteración del contenido de videogramas o fotogramas, así como, realizar el procesamiento de imágenes con fines de identificación, apoyados con diferentes soluciones forenses verificados por el Instituto Nacional de Estándares y Tecnología (NIST), o por el personal especializado.
Se describe las actividades desarrolladas en cada fase:
3.1.6.1. IDENTIFICACIÓN
3.1.6.1.1. Verificar la documentación conforme al Manual de Recojo de la Evidencia Digital
3.1.6.1.2. Formular el acta respectiva, describiendo las características físicas del dispositivo de almacenamiento como: marca, modelo, color, serie, tipo, capacidad, estado de conservación, entre otros datos que puedan individualizarlo.
3.1.6.1.3. Verificar que las características del dispositivo concuerden con la documentación adjunta. En caso de existir observaciones, se deja constancia.
3.1.6.2. ADQUISICIÓN Y PRESERVACIÓN
En esta etapa, mediante software o hardware especializado
se debe:
3.1.6.2.1. Realizar el bloqueo contra escritura de la estación de trabajo.
3.1.6.2.2. Identificar las propiedades lógicas del dispositivo de almacenamiento digital (volumen, capacidad, cantidad de archivos, entre otros).
3.1.6.2.3. Realizar una copia de los archivos materia de análisis.
3.1.6.2.4. Generar el código hash (MD5, SHA1, entre otros)
y verificar integridad de las copias generadas.
3.1.6.3. ANÁLISIS
Para el proceso de análisis se realiza la descripción de las propiedades de cada archivo multimedia como: formato, tamaño, duración, fecha de creación y fecha de modificación de los archivos, entre otros de interés forense (Metadatos).
Seguidamente, según el objetivo del examen, se debe tener en cuenta las siguientes actividades específicas:
3.1.6.3.1. Autenticidad del archivo de video o imagen
(1) Para realizar este análisis se debe contar con el dispositivo que generó la muestra digital.
(2) Extraer metadatos mediante software
especifico.
(3) Realizar el análisis comparativo de los metadatos de la muestra dubitada e indubitada que permitan determinar su autenticidad.
3.1.6.3.2. Integridad del archivo de video e imagen
(1) Realizar la visualización detallada del video, con el fin de identificar la presencia de transiciones, saltos y/o cualquier evento que desvirtué el video analizado. Tales como modificaciones inter fotogramas o intra-fotograma de un video como se muestra en la siguiente figura.
[IMAGEN]
Nota. El gráfico representa las modificaciones que pueden surgir en un videograma. (González, 2019)
(2) Verificar la sincronización de los registros sonoros entre el audio y el video, cuando se trate de un archivo multimedia, analizando el
espectro e histograma de los mismos con el fin de detectar algún tipo de variación en su estructura primigenia.
3.1.6.3.3. Procesamiento del archivo de video o imagen
(1) Realizar la visualización del video y extraer fotogramas de interés criminalístico en función al requerimiento.
(2) Realizar con el software correspondiente los ajustes y filtros necesarios para la captura, realce, segmentación, medición, identificación y visualización del fotograma y/o segmento de video objeto de investigación, guardando la descripción de los filtros y/o ajustes empleados.
(3) Perennizar la imagen y/o segmento de video procesado para su presentación en el informe correspondiente.
3.1.6.4. DOCUMENTACIÓN
La documentación consiste en la formulación del informe pericial, el cual debe ser redactado de forma clara, concisa y, utilizando un lenguaje comprensible que incluya los anexos como: actas de apertura de lacrado, actas de lacrado, cadenas de custodia y otros documentos generados. (Ver Anexo N° 1)
Análisis forense de archivos de video e imagen [IMAGEN]
3.1.7. ANÁLISIS FORENSE DE ARCHIVOS DE AUDIO
En este tipo de análisis, se realiza el procesamiento de los registros de audio para su mejor comprensión y esclarecimiento de la comunicación de los locutores, además, permite identificar las fuentes de origen del audio, establecer la integridad de un registro de audio, determinar la autoría de los registros acústicos con fines de identificar a los interlocutores.
Se describe las actividades desarrolladas en cada fase:
3.1.7.1. IDENTIFICACIÓN
3.1.7.1.1. Verificar la documentación conforme al Manual de Recojo de la Evidencia Digital
3.1.7.1.2. Formular el acta respectiva, identificando los dispositivos de almacenamiento digital y describiendo las características físicas como: tipo, color, capacidad, estado de conservación, entre otros datos que puedan individualizarlo.
3.1.7.1.3. Verificar que las características del dispositivo concuerden con la documentación adjunta. En caso de existir observaciones se deja constancia.
3.1.7.2. ADQUISICIÓN Y PRESERVACIÓN
En esta etapa, mediante software o hardware especializado se debe:
3.1.7.2.1. Realizar el bloqueo contra escritura de la estación de trabajo.
3.1.7.2.2. Identificar las propiedades lógicas del dispositivo de almacenamiento digital (volumen, capacidad, cantidad de archivos, entre otros), generando un backup de los archivos materia de análisis.
3.1.7.2.3. Generar el código hash (MD5, SHA1, entre otros) y verificar integridad de las copias generadas.
3.1.7.3. ANÁLISIS
Para el proceso de análisis se realiza la descripción de las propiedades de cada archivo de audio como: formato, tamaño, duración, fecha de creación y fecha de modificación de los archivos, entre otros de interés forense (Metadatos).
Seguidamente, según el objetivo del examen, se debe tener en cuenta las siguientes actividades específicas:
3.1.7.3.1. Mejoramiento de la calidad del audio
(1) Realizar la escucha e identificar segmento de audio de interés criminalístico.
(2) Realizar con el software correspondiente los ajustes y filtros necesarios, con la finalidad de optimizar la calidad del audio.
(3) Guardar el audio procesado en un dispositivo de almacenamiento digital, generando su código hash (MD5, SHA1, entre otros).
(4) Formular el acta de lacrado e iniciar la cadena de custodia.
3.1.7.3.2. Autenticidad del archivo de audio
Para realizar este análisis se debe contar con el dispositivo que generó la muestra digital.
(1) Extraer metadatos mediante software especifico de la muestra dubitada e indubitada.
(2) Generar código hash (MD5, SHA1, entre otros) mediante software especifico de la muestra dubitada e indubitada.
(3) Realizar el análisis comparativo de los metadatos y códigos hash de la muestra dubitada e indubitada que permitan determinar su autenticidad.
3.1.7.3.3. Integridad de archivo de audio
(1) Realizar la escucha exhaustiva del archivo de audio con el fin de identificar la presencia de transiciones, saltos y/o cualquier evento que desvirtúe el audio analizado.
(2) Realizar la extracción de metadatos que hace referencia a las propiedades del archivo de audio, tales como fecha de creación, fecha de modificación, fecha de ultimo acceso, información del dispositivo
origen, software de codificación, entre otros. De no contar con los metadatos necesarios, se debe de precisar en el informe.
(3) Realizar el análisis espectro gráfico y de oscilograma del archivo de audio enfatizando la intensidad, tono, frecuencia, entre otras propiedades del sonido con el fin de detectar algún tipo de variación en su estructura.
3.1.7.3.4. Homologación de registros orales (voces)
(1) Realizar el análisis preliminar de la muestra dubitada que consiste en:
(a) Determinar si el audio presenta enmascaramiento y si la misma afecta la obtención de datos acústicos.
(b) Realizar la escucha de los registros orales, a fin de captar el perfil acústico del locutor (edad, sexo, grupo social, entre otros).
(c) Determinar si en el audio presenta variaciones intrapersonales (alegría, tristeza, enojo, entre otros) y si afecta la obtención de datos acústicos.
(d) Determinar si el audio cuenta con suficientes datos acústicos para el proceso de homologación de voces de las muestras dubitadas.
Si la muestra dubitada es aprovechable, se debe dar inicio con el proceso de toma de muestra de voz.
(2) Realizar la toma de muestra de voz considerando los anexos N° 2, 3 y 4: conforme al siguiente detalle:
(a) Realizar una valoración de la voz del muestrante mediante una entrevista para proceder con la toma de muestra de la voz.
(b) Obtener la muestra de voz del muestrante, considerando el formato del anexo N° 2.
(c) Realizar la grabación del archivo de audio, en formato .WAV con una duración mínima de 60 segundos.
(d) Guardar los audios grabados en un dispositivo de almacenamiento digital, generando su código hash (MDS, SHA1, entre otros).
(e) Formular el acta de diligencia de toma de muestra de voz, considerando el lacrado del dispositivo de almacenamiento e iniciar la cadena de custodia.
(3) Realizar el proceso de homologación de voces de la muestra dubitada e indubitada mediante el software correspondiente que permita visualizar los espectrogramas (forma de onda, formantes, intensidad, tonalidad, frecuencia, armónicos, entre otros).
3.1.7.4. DOCUMENTACIÓN
La documentación consiste en la formulación del informe pericial debiendo ser redactado de forma clara, concisa y utilizando un lenguaje comprensible. Se debe tener en cuenta que los informes periciales son solicitados por personal no especializado. (Anexo Nº 02, 03 y 04).
Análisis forense de archivos de audio [IMAGEN]
ANEXOS
Anexo N° 1 INFORME PERICIAL N°
Anexo N° II FORMATO DE TOMA DE MUESTRA DE VOZ
Anexo N° III ACTA DE CONSENTIMIENTO DE TOMA DE MUESTRA DE VOZ
Anexo N° IV ACTA DE LACRADO DE ARCHIVOS DE AUDIO (MUESTRA DE VOZ)
ANEXO N° V DEFINICIÓN DE TÉRMINOS
6.1. Análisis forense digital: Campo de las ciencias forenses que permite identificar, adquirir y preservar, analizar y presentar evidencia digital con valor probatorio para una investigación, respetando en el marco de la normatividad vigente y el debido proceso.
6.2. Archivos almacenados: Son archivos guardados en un dispositivo de almacenamiento digital.
6.3. Archivos generados: Son archivos creados por el usuario o sistema de información.
6.4. Archivos transmitidos: Son archivos enviados o recepcionados a través de los diferentes tipos de conexiones a Internet (telefonía móvil, redes inalámbricas, entre otros).
6.5. Análisis en caliente: Cuando se realiza el proceso de análisis de un dispositivo tecnológico en estado encendido (Equipos de cómputo, terminales móviles, entre otros).
6.6. Análisis en frio: Cuando se realiza el proceso de análisis de un dispositivo de almacenamiento digital de un dispositivo tecnológico en estado apagado (Equipos de cómputo, terminales móviles, entre otros).
6.7. Aplicaciones portables: Son programas que se ejecutan y se usan sin necesidad de ser instalados.
6.8. Audio digital: Es la señal eléctrica analógica que se encarga de la representación de la onda sonora es codificada digitalmente.
6.9. Autenticidad: Consiste en garantizar la comprobación y confirmación de un archivo digital.
6.10. Backup: Es copia integra de los datos, conocido también como copia de seguridad, copia de respaldo, copia de reserva.
6.11. Biblioteca de internet: Plataformas informática que almacenan contenidos digitales de diferentes fuentes (páginas web, sitios web, entre otros).
6.12. Buscadores de Internet: Son sistemas informáticos que buscan archivos almacenados en servidores Web.
6.13. Código hash: Algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija que identifica a un archivo digital de forma univoca.
6.14. Decibelio: Decibel, con símbolo dB, es la unidad que se utiliza para expresar la relación entre dos valores de presión sonora o tensión y potencia eléctrica.
6.15. Dirección IP: Número que identifica de manera lógica y jerárquica, a una Interfaz en red de un dispositivo (computadora, tableta, portátil, smartphone).
6.16. Dispositivo de almacenamiento digital: Donde se guarda la información, pueden ser discos magnéticos (disquetes, discos duros), los discos ópticos (CD, DVD), las cintas magnéticas, los discos magneto ópticos, las tarjetas de memoria, etc.
6.17. Dispositivos Informáticos: Componentes que permiten leer o escribir información digital en un medio de almacenamiento.
6.18. Evidencia Volátil: Datos que son propensos a ser eliminados con facilidad.
6.19. Evidencia digital: Datos almacenados, procesados o transmitidos en un medio informático, que pueda establecer una relación entre un delito y su autor.
6.20. Fotograma: Representa el contenido de un videograma en un instante de tiempo.
6.21. Formante: Pico de intensidad en el espectro de un sonido, se trata de concentración de energía que se da en una determinada frecuencia.
6.22. Frecuencia: Cantidad de veces que vibra el aire que transmite ese sonido en un segundo. Su unidad de media es en Hertzios (Hz).
6.23. Frecuencia de muestreo: Número de muestras digitales tomadas cada segundo de una señal de audio digital.
6.24. Hiberfile.sys: Archivo temporal creado por el sistema operativo Windows para almacenar el estado de la memoria RAM, antes de entrar en estado de hibernación.
6.25. Homologación de registros orales: Es un Término que se emplea para relacionar dos registros orales (voces) con el fin de llevar a cabo un análisis comparativo para establecer la relación o no de las mismas.
6.26. Identificación biométrica: Verificación de la identidad de una persona basada en el reconocimiento de una característica física e intransferible en la persona, como la huella dactilar, la retina, el iris, la voz, reconocimiento facial, entre otros.
6.27. Instituto Nacional de Estándares y Tecnología: (NIST), agencia de Administración de Tecnología del Departamento de Comercio de los Estados Unidos, que a través de su programa ciencia forense acelera el desarrollo de métodos de medición, estándares, herramientas y evaluaciones basados en la ciencia para respaldar un análisis forense confiable, preciso, interoperable y validado.
6.28. Integridad: En informática hace referencia que el archivo digital no ha sido modificado ni alterado para cambiar su estructura inicial.
6.29. ISP: Proveedor de Servicio de Internet.
6.30. Logs: Archivo de texto que registra cronológicamente los eventos en un sistema informático (programa, aplicación, servidor, etc.).
6.31. Manipulación Inter-fotograma: Se presentan cuando se produce una modificación en la secuencia del orden original de los fotogramas del video, que puede ser incrementando o eliminando fotogramas.
6.32. Manipulación intra-fotograma: Se presenta cuando se modifica una sección del fotograma, puede ser al duplicarse las partes del mismo fotograma o clonándose partes de otros fotogramas.
6.33. Muestra dubitada: Muestra sobre el cual existen dudas sobre su autenticidad.
6.34. Muestra indubitada. Muestra sobre el cual no existen dudas sobre su autenticidad
6.35. Metadatos: Son «datos acerca de los datos y sirven para suministrar información sobre los datos producidos en archivos digitales, que describen el contenido, calidad, condiciones, historia, disponibilidad y otras características de los datos.
6.36. Nivel de cuantificación. Discretización de un rango continuo de amplitudes por aproximación o truncamiento de valores. El resultado debe ser un grupo más reducido de amplitudes discretas.
6.37. Ofimática: Conjunto de programas informáticos que permite crear, manipular, almacenar y trasmitir digitalmente información para realizar tareas cotidianas.
6.38. Pagefile.sys: Archivo temporal creado por el sistema operativo Windows
para almacenar el estado de la memoria RAM.
6.39. Relación señal/ruido (SNR): Margen que hay entre la potencia de la señal que se transmite y la potencia de ruido que la corrompe. Este margen es medido en decibelios (dB).
6.40. Recolección de datos: Consiste en la recopilación de información mediante diversas técnicas y herramientas que pueden ser utilizadas en el marco de una investigación.
6.41. Recuperación de datos: Proceso realizado para recuperar información contenida en un dispositivo de almacenamiento que ha sufrido daño o alteración de su contenido, y que impiden acceder a la información de forma normal.
6.42. Registro oral: Registra el modo que tiene una persona para expresar o transmitir un mensaje a través del habla.
6.43. Ritmo: Cadencia particular de la locución que la hace armónica.
6.44. SIM: Acrónimo en inglés de Subscriber Identify Module (Modulo de Identificación del Suscriptor). Tarjeta inteligente usada en teléfonos móviles y módems HSPA o LTE que almacena de forma segura la clave de servicio del suscriptor usada para identificarse ante la redmóvil.
6.45. Timbre: Atributo que nos permite diferenciar dos sonidos con igual sonoridad, altura y duración.
6.46. Tono: Propiedad de los sonidos que permite ordenarlos de agudos a graves, según su frecuencia.
6.47. URL (Localizador de Recursos Uniforme): El Localizador Uniforme de Recursos es una dirección única y especifica que se asigna a cada uno de los recursos que hay en internet (Sitios WEB, páginas web, textos, fotos, videos, entre otros).
6.48. Volatilidad: Almacenamiento temporal de información mientras que el dispositivo se encuentre encendido.
6.49. Volcado de memoria: Adquisición y preservación de registros de una memoria en un momento determinado.
6.50. Volumen o intensidad: Hace referencia a la potencia con que el aire pasa la laringe y hace vibrar las cuerdas vocales. Se mide en decibelios (dB) y varía entre 30 y 120 dB.
6.51. Videograma: Secuencia de imágenes con o sin sonido cuya fijación audiovisual es incorporada en cualquier soporte digital o análogo.
6.52. Whois: Protocolo de Control de Transferencia (TCP) basado en petición/respuesta que se utiliza para efectuar consultas en una base de datos que permite determinar el propietario de un nombre de dominio o una dirección IP en Internet.
6.53. Wipear: Procedimiento de borrado seguro de la información de un dispositivo de almacenamiento digital, que sobrescribe con valores binarios.
V. REFERENCIAS BIBLIOGRÁFICAS
– Ankama Support. (s.f.). Ankama Support. Recuperado el 30 de mayo de 2023, de https://support.ankama.com/hc/es/articles/203790076-Qu%C3%A9-es-un-log:
– Brezinski, D., & Killalea, T. (febrero de 2002). RFC-3227 Directrices para la recopilación de evidencias y su almacenamiento. Recuperado el 30 de mayo de 2023, de https://hools.ietf.org/html/rfc3227
– González, G. (s.f.). blogthinkbig.com. Recuperado el 30 de mayo de 2023, de https://blogthinkbig.com/que-son-las-aplicaciones-portables
– kaspersky Lab. (s.f.). latam.kaspersky.com. Recuperado el 30 de mayo de 2023, de https:/latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/
– Ministerio de Tecnologías de la Información y las Comunicaciones-Colombia. (19 de 08 de 2018) www.mintic.gov.co. Recuperado el 30 de mayo de 2023, de https://www.mintic.gov.co/gestion/615/articles5482 Modelo de Seguridad Privacidad.pdf
– Secretaria del Gobierno Digital PCM. (s.f.). www.geoidep.gob.pe. Recuperado el 30 de mayo de 2023, de https://www.geoidep.gob.pe/conoce-las-ides/metadatos/que-son-los-
metadatos
– URL – Concepto, usos, partes y características. (s/f). Concepto. Recuperado el 30 de mayo de 2023, de https://concepto.de/url/
DESCARGA EL MANUAL DE ANÁLISIS DE LA EVIDENCIA DIGITAL EN PDF
