43 ISUPOL , Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 • ISSN impreso 2528-8032 • ISSN digital 2773-7470 Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador Management of digital evidence with a view to applicable international standards by the first auditors and forensic experts in Ecuador Fernando Mauricio De la Torre Muñoz 1 Alejandro Xavier Puertas Realpe 2 Christian Eduardo Burbano Peña 3 Recibido: 25 de octubre de 2024 Aceptado: 10 noviembre de 2024 Publicado: 27 noviembre de 2024 Resumen Este art í culo tiene por objetivo, tomando por referente algunos elementos de los estándares internaciona - les (ISO) y los protocolos y procedimientos para el manejo de la evidencia digital (RFC), diseñar una he - rramienta metodológica que permita la estandarización de los procesos de observación, recolección, indi - vidualización, registro, sellado, traslado y tratamiento de la evidencia digital. En este sentido, se propone la creación de un instrumento que oriente a los primeros responsables como a los peritos forenses en el ma - nejo inicial de la evidencia digital. Este tipo de directrices no está disponible en Ecuador, por lo que el ins - trumento contribuirá a que la evidencia se inserte en los principios de seguridad y legalidad, garantizando así su admisibilidad, credibilidad, confabilidad, autenticidad y completitud ante las autoridades nacionales. Palabras clave: especialista; evidencia digital ; ISO ; normas; RFC; responsable. Abstract Te objective of this article is to design a methodological tool, taking as a reference some elements of the international standards (ISO) and the protocols and procedures for the handling of digital eviden - ce (RFC), that allows the standardization of the processes of observation, collection, individualization, registration, sealing, transfer and treatment of digital evidence. In this sense, it is proposed the creation of an instrument to guide frst responders and forensic experts in the initial handling of digital eviden - ce. Tis type of guidelines is not available in Ecuador, so the instrument will help to ensure that the evidence is inserted in the principles of security and legality, thus ensuring its admissibility, credibility, reliability, authenticity and completeness before the national authorities. Keywords: specialist; digital evidence ; standards; ISO, RFC; manager. 1 Estudiante de la sexta cohorte de Criminalística, Isupol, fermaudelatorre@gmail.com 0009-0008-2433-9224 2 Estudiante de la sexta cohorte de Criminalística, Isupol, saint-alejandro@hotmail.com 0009-0006-2268-7001 3 Estudiante de la sexta cohorte de Criminalística, Isupol, Kriiizthburbano02@hotmail.com 0009-0002-1584-7290
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 44 Introducción La primera labor de las diferentes unidades poli - ciales en la escena del crimen consiste en preser - var el lugar lo más intacto posible, evitar cualquier alteración, pérdida y manipulación de elementos físicos, biológicos y electrónicos: “[…] el contacto entre una persona, un lugar o una cosa implica un intercambio de materiales físicos, lo que permite a los investigadores utilizar estos indicios para re - construir los hechos e identifcar a los involucra - dos en un delito” (Locard 2010, p. 1). Ecuador enfrenta un aumento en la de - lincuencia y el crimen, lo que ha generado una mayor carga laboral para el personal de la Policía Nacional del Ecuador (PNE). Los robos a personas, domicilios y vehículos, así como las extorsiones, secuestros, sicariatos, homicidios, entre otras modalidades delictivas, han evolu - cionado signifcativamente. Las organizaciones delictivas han incorporado tecnologías avanzadas para identifcar a sus posibles víctimas, mejorar su comunicación, facilitar el lavado de dinero, realizar transacciones económicas, entre otras. La tecnifcación de la delincuencia genera nuevas evidencias delictivas cuyo tratamiento, manejo y preservación garantiza una mayor efectividad de las investigaciones realizadas por la PNE (Castellanos 2017). En este contexto, la PNE como entidad responsable de las investigaciones posdelito, ha desbordado su capacidad operativa debido al au - mento de la actividad delictiva, por la complejidad de los casos y el débil sistema de administración de justicia. Esta situación ha obligado a la ins - titución a desarrollar nuevas estrategias para en - frentar estos desafíos, mejorar sus procedimientos mediante la creación de protocolos de actuación, instaurar herramientas de gestión en situaciones de crisis, profesionalizar las labores investigativas, actualizar los conocimientos y capacitar a todo el personal policial (Polic í a Nacional 2022). Una de las estrategias es la capacitación del personal, es decir, dotarlo de conocimientos que le permita contar y aplicar herramientas efcientes y efcaces que apunten a una mayor obtención de los indicios criminales. Por ejemplo, el primer interventor en una situación de crisis (Am é rica 2013) tiene una enorme responsabilidad ya que es la primer persona que entra en contacto con la escena del crimen y, por ende, debe poseer los conocimientos básicos para la protección de evidencias que vaya encontrando. Esta persona es la responsable de asegurar, proteger y preservar los indicios físicos y digitales (ISO/EC 27037 2012). Posee atribuciones legales y la facultad para actuar dentro de la cadena de custodia. En Ecuador las personas que cumplen esta labor son los peritos de inspección ocular técnica, agentes investigadores o de inteligencia y, personal del eje preventivo de la PNE. Este artículo contiene y presenta una herramienta técnica y metodológica que ser - virá de guía en los procesos de observación, recolección, individualización, registro, sellado, traslado y tratamiento de la evidencia digital en el ámbito legal. Parte de los protocolos de la Organización Internacional de Normalización ISO/IEC 27037:2012 e ISO/IEC 27042:2016 y los Request for Comments (RFC) 3227, 4810 y 4998. Se busca estandarizar los procedimientos relacionados con el manejo de evidencia física y digital el cual incluye el levantamiento de la evidencia, el manejo adecuado de la cadena de custodia, ingreso al laboratorio forense y los objetos de pericia a realizarse considerando la normativa legal de Ecuador. Marco teórico Todo elemento físico, biológico o electrónico dentro de una escena del crimen es considera - do un indicio 4 que debe ser localizado, fjado, le - vantado, rotulado y sellado. Este indicio se pueda transformar en una evidencia, entendida como: “Cualquier dato o información que pueda ser utilizado para determinar o demostrar la veraci - dad, que prueba un hecho realizado o bien que no se ha realizado” (G ó mez- Agudelo 2020, p. 220-240). Esta evidencia ayudar á en el proceso 4 Se denomina así a todo objeto, huella o elemento íntima - mente relacionado con un probable hecho delictivo, cuyo es - tudio permite reconstruirlo, identifcar a su autor o autores y establecer su comisión.
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 45 investigativo y, de suma importancia, para la reso - lución de un caso. En Ecuador la evidencia digital puede ser cualquier objeto que haya sido intervenido, u otra similar, extraído de un sistema informático. Por consiguiente, es entendida como: “La materia prima para los investigadores, donde la tecnología informática es parte fundamental del proceso. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifcan y analizan en la búsqueda de la verdad: Es volátil, es anónima, es duplicable, es alterable y modifcable, es elimina - ble” (Martínez 2020, p. 29-39). Esta defnición guarda estrecha relación con la guía publicada por el Department of Justice Computer Crime and Intellectual Property Section of United States. 5 Esta guía permite inferir si la evidencia di - gital fue creada o generada por una persona o un dispositivo electrónico, es decir, si los documentos fueron creados en forma y formato electrónico y, ayuda a identifcar el software que lo generó. Esta información es útil para los operadores de justicia 6 ya que suministra información sobre los hechos contenidos en la evidencia digital. Un ejemplo de ello son los dispositivos móviles del que es posible conocer su dueño, los mensajes de textos y los logs fles 7 o registros telefónicos. Ecuador necesita incursionar en estas dis - cusiones, estándares y modelos internacionales que le permitan identifcar, recolectar, adquirir y preservar evidencia digital. La evidencia debe tener valor probatorio. Las ISO 8 que debe aplicar el país son la Information Technology Security Techniques Guidelines for identifcation, collection, 5 Searching and seizing computers and obtaining electro - nic evidence in criminal investigations, https://www.com - battingcybercrime.org/files/virtual-library/national-laws/ searching-and-seizing-computers-and-obtaining-electro - nic-evidence-in-criminal-investigation.pdf 6 Los administradores de justicia en Ecuador desempeñan un rol fundamental en la aplicación imparcial de la ley, la pro - tección de los derechos de los ciudadanos y la garantía de un sistema judicial efectivo y transparente. 7 Archivos que registran eventos y actividades importantes dentro de un sistema informático. 8 Es una organización no gubernamental con sede en Ginebra. Se trata de una red de organismos nacionales de normaliza - ción que elabora y publica normas internacionales. Desde su fundación en 1946, la ISO ha elaborado más de 20 000 nor - mas internacionales y documentos relacionados. acquisition and preservation of digital evidence (ISO/EC 27037 2012), así como la I nformation Technology Security Techniques Guidelines for the analysis and interpretation of digital evidence (DS/ EN ISO/IEC 27042 2016). Otras estándares que servirían de apoyo para la creación de un manual o instructivo que estanda - rice el manejo de la evidencia digital son los RFC conocidos por ser: “Documentos numerados que incluyen valoraciones, descripciones y defnicio - nes de protocolos, conceptos, métodos y progra - mas en línea” (NFON 2024). Para los fnes de este artículo se pudo identifcar los RFC 3227, 4810 y 4998. Por otro lado, toda evidencia digital debe ser relevante, confable y sufciente (Incibe 2014). Estos principios permiten que los procedimientos técnicos ayuden a preservar la información de la evidencia (Brandner 2007), así como también, “defnir el procedimiento y el propósito general a fn de probar la existencia y validez de los datos” (Pordesch 2007) con el objetivo de que la eviden - cia no sea rechazada en alguna instancia jurídica procesal. El primer responsable de la escena del cri - men (o detectives especializados en la función de recolección [DEFR]) debe ser consciente de sus competencias, las cuales consisten en identifcar, recolectar, consolidar y preservar la evidencia y contenido digital en una escena en la que se ha cometido una infracción. Esta persona no debe manipular la evidencia digital, excepto cuando prevea conseguir datos volátiles 9 o se efectúen operaciones urgentes debiendo documentar e informar al administrador de justicia el proceso realizado. Su técnica o metodología se funda - mentaría con la RFC 3227. Al contrario, el especialista en evidencia digital (o detectives especializados en la función de análisis y evaluación [DES]) es quien pro - porciona instrucciones específcas, ayuda con el análisis e interpretación y forja conclusiones de la evidencia digital. Según la ISO/EC 27037 2012 esta persona es quien: “[…] Da un grado de con - tinuidad, validez, reproductividad y repetibilidad 9 Son aquellos datos que se almacenan en la memoria del sis - tema (por ejemplo, registros de sistema, caché, memoria RAM) y se pierden si el equipo se apaga o reinicia.
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 46 de la evidencia digital”. Además, según Ochoa Arévalo (2018, p. 35-49): “Los especialistas en in - formática forense, no pueden bajar la guardia, ya que la evolución en este campo no puede medirse ni en años, ni en meses, sino en días”. La creación de una herramienta metodológica de este tipo es necesaria para el correcto manejo de la evidencia digital por parte de los DEFR y DES. Para ello, es necesario acoplar los procedi - mientos de acuerdo con la legislación nacional ya que, según la Constitución de la República del Ecuador, “las pruebas obtenidas o actuadas con violación de la Constitución o la ley no tendrán validez alguna y carecerán de efcacia probatoria” (2018, artículo 76, literal 4). Corresponde a la PNE y a la Fiscalía General del Estado desarrollar todas las actividades pertinentes para la obten - ción de las pruebas de cargo y de descargo en un proceso penal, por tal razón, la generación de un manual estandarizaría el manejo de la evidencia digital de ambas instituciones basado en normas internacionales. Metodología Este artículo, a partir de una metodología cualita - tiva de tipo hermeneútica, contiene una propues - ta técnica que permitiría estandarizar el levanta - miento y tratamiento de la evidencia digital entre el personal de la PNE y Fiscalía General. Según Piña-Ferrer (2023), el enfoque cualitativo bus - ca “[…] describir, explicar y predecir los espacios complejos en los que nos movemos”, indagando el fenómeno, es decir, la evolución de los indicios que pueden ser materiales o digitales. Según Maldonado (2016) el enfoque hermenéutico es el “arte de interpretar textos en la búsqueda de su verdadero sentido”. Esto concuerda con lo expresado por Coreth (1972) en su libro titulado Cuestiones fundamentales de la hermenéutica quien destaca que la herme - neútica se basa en la interpretación de los textos. Entonces, es posible interpretar las ISO/IEC 27037:2012 y 27042:2016 y los RFC 3227, 4810 y 4998 desde las siguientes inquietudes: ¿Cuál es el procedimiento inicial que debe tener en cuenta el DEFR frente a una evidencia digital? ¿c ómo llega a manos del DES la evidencia digital y cómo garantiza que esta no pierda sus características legales? 10 Esta propuesta parte, entonces, del análisis de la información relevante que consta en las normas ISO/IEC 27037:2012 y 27042:2016 y los RFC 3227, 4810 y 4998. Partiendo que el derecho internacional y los acuerdos internacionales no pueden interferir con las disposiciones constitu - cionales, se busca estandarizar el levantamiento y tratamiento de los equipos computacionales, dispositivos de almacenamiento, dispositivos de red, dispositivos móviles, sistemas basados en la nube y tecnología exponencial . Por consiguiente, se presenta una investigación bibliográfca y documental. Esta propuesta parte de un muestreo por conveniencia debido a la facilidad de acceso que se tuvo a la población objeto de esta metodología que son los DEFR y DES. Los DEFR constan en los ejes preventivo, investigativo y de inteligencia de la PNE y son los actores iniciales que tienen acceso a la evidencia digital por ser los primeros que llegan a la escena del crimen. Por su parte, los DES son todos los peritos acreditados por el Consejo de la Judicatura que trabaja en el Sistema Especializado Integral de Investigación de Medicina Legal y Ciencias Forenses. Los DES determinan el debido tratamiento de la evidencia digital. Esta propuesta técnica se presenta en un diagrama de fujo que contiene los pasos para el levantamiento y tratamiento de la evidencia digi - tal. De acuerdo con la Organización de Estados Americanos (OEA 2019) los países de América Latina y el Caribe necesitan un mejoramiento de los distintos elementos que intervienen en el tratamiento, adquisición y recopilación de la evi - dencia digital. Ecuador no es la excepción del caso. 10 Características legales de la evidencia digital: admisible, creí - ble, confable, auténtica y completa.
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 47 Análisis y discusión de resultados ISO 27037: 2012 Guidelines for identifcation, collection, acquisition, and preservation of digital evidence (ISO 2012) 11 Esta norma ofrece directrices para la comproba - ción de las pruebas digitales, la promoción de la gestión para la preservación y sostenimiento de los dispositivos de almacenamiento. La ISO sos - tiene que la evidencia debe ser obtenida mediante una metodología cuyo procedimiento sea audita - ble, como también, reproducido por otros peri - tos informáticos dando un mismo resultado. Por ende, el procedimiento ( Digital evidence manage - ment o gestión de evidencia digital) sería defen - dido y demostrado dentro de una investigación. Además, esta norma se refere actividades espe - cífcas para el potencial intercambio de evidencia digital entre jurisdicciones. ISO 27042:2016 Guidelines for the analysis and interpretation of digital evidence (ISO 2016) 12 Esta norma es útil para aclarar e investigar en los procesos judiciales el análisis fjo 13 y análisis en 11 ISO 27037:2012: https://www.amnafzar.net/fles/1/ ISO%2027000/ISO%20IEC%2027037-2012.pdf 12 ISO 27042:2016: https://tienda.aenor.com/norma-une-en- iso-iec-27042-2016-n0057471. 13 Es el reconocimiento de la evidencia digital potencial a fn de evaluar si se puede considerar evidencia digital, utilizando procedimientos que no la alteren. vivo 14 de la evidencia digital, recolectada en un he - cho delictivo. Otorga continuidad, validez, repro - ducibilidad y repetibilidad a la evidencia, además, que defne conceptos que ayudan al entendimiento de la situación forense. Esto facilita la intervención del DES quien puede desempeñarse como testi - go dentro de un juicio. Otro elemento que destaca de esta ISO es que proporciona ayuda de los docu - mentos que el DES debe presentar ante los tribu - nales anexados a su pericia de modo que se procura que no exista alguna objeción por parte de una au - toridad competente. Aspectos como la alineación y el sustento de actividades de calidad están orienta - das a la comisión de la evidencia digital. RFC 3227 Directrices para la recolección de evidencias y su almacenamiento 15 Este manual tiene por objetivo que el DEFR y el DES no pierdan información alojada dentro de una evidencia digital, en precisas circunstancias como al momento de extraer información cuan - do un dispositivo electrónico 16 se encuentre en - cendido o apagado de una red. Este manual tam - bién deja claro los principios de recolección de una evidencia, estos son: digital, digital potencial o digital legal. A continuación, se presentan los principios en la recolección de las evidencias: 14 Es la comprobación de evidencias digitales potenciales en dispositivos como RAM, smartphones, redes de ordenador, entre otros. 15 RFC 3227: https://www.incibe.es/incibe-cert/blog/rfc3227 16 Ordenadores, impresoras, copiadoras, máquinas de escribir eléctricas o electrónicas, calculadoras de mesa o de bolsillo, teléfonos de todo tipo, terminales de faxes y otros productos de transmisión de sonido, imágenes u otra información por telecomunicación. Gráfco 1 Digital evidence management Identifcación Adquisión Preservación Su localiazción sea fácil,como evidencia físicay lógicaLa obtención de lainformación debeestar relacionadaa evidencia digital No alterar la evidenciadigital, a fn de seradmitida en unproceso judicial. Fuente: por los autores. Elaboración: por los autores.
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 48 Gráfco 2 Principios de la recolección de evidencia digital Admisibilidad Autenticidad Complenitud Confabilidad Credibilidad Fuente: Manual RFC 3227 para la recolección de evidencias y su almacenamiento. Elaboración: por los autor es . Estos principios apuntan a que los procedimien - tos de recolección de la evidencia digital sean claros y estandarizados con el fn que, una vez completado el proceso, la evidencia sea válida y admisible ante una autoridad competente. De es - ta manera, se asegura el inicio de la cadena de custodia de los elementos recolectados en el lugar de los hechos o en la escena del crimen. RFC 4810 Directrices para la preservación de la información (como objeto de estudio la creación y existencia de un archivo) 17 Contiene las buenas prácticas para la recolección y almacenamiento de la información que garan - tizan su integridad en el menor tiempo posible, de modo que la evidencia conserve su valor. Este proceso es de gran apoyo para el DES en la pre - sentación de su pericia pues asegura que la infor - mación no sea rechazada por la autoridad compe - tente. Este RFC ofrece directrices para examinar, verifcar, especifcar características y validar cual - quier tipo de archivo. 18 Un buen ejemplo es la ve - 17 RFC 4810: https://datatracker.ietf.org/doc/html/rfc4810 18 Los sistemas de archivos o arquitectura de fcheros son la forma en la que los sistemas operativos organizan la infor - mación y la indexan en las particiones de almacenamiento rifcación de la autenticidad de una frma digital, incluso, tiempo después de su creación. RFC 4998 Directrices para la preservación de la información (como objeto de probar la existencia y validez de información) 19 Este instrumento contiene los lineamientos de preservación de los datos, lo cual incluye las fr - mas electrónicas, así como la validez de la eviden - cia digital durante un per í odo determinado. De esta manera el DES puede sustentar ante la auto - ridad competente la presencia de la información en la evidencia digital (legal) y demostrar su va - lidez. El instrumento también defne los tipos de archivos y establece los requisitos que debe cum - plir una evidencia digital. Propuesta metodol ógica para los DEFR En el inicio de un procedimiento en el cual sea necesaria la actuación policial, es primordial que las diferentes unidades sean despachadas median - te el operador del SIS ECU 911 quien se encar - ga de recibir el llamado de auxilio por parte de la ciudadanía y, dependiendo del tipo de emergen - cia, despacha las unidades que sean necesarias. La unidad designada avanza hasta el sitio del suce - so. Es allí cuando entra en escena el DEFR quien debe cumplir con lo siguiente: Observación y valoración del lugar: el DEFR, en el sitio del suceso, debe anali - zar el tipo de escena y establecer el método idóneo para la protección del lugar y pre - servación de la mayor cantidad de indicios. Identifcación de riesgos iniciales: el DEFR deberá verifcar las posibles ame - nazas de seguridad a las que se encuentran expuestos los equipos que intervienen. Por ejemplo, los artefactos sospechosos, el ten - dido eléctrico colapsado, las estructuras fracturadas, entre otros. Deberá mitigar cualquier amenaza solicitando la interven - ción de las instituciones correspondientes. para acceder a ella de forma efciente, tanto para leer como para escribir. 19 RFC 4998: https://datatracker.ietf.org/doc/html/rfc4998
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 49 Protección del lugar: el DEFR puede delimitar el sitio del suceso y restringir el acceso con la fnalidad de proteger la escena y evitar la contaminación de la misma. Así también, la de resguardar los indicios. Requerir apoyo si es necesario: el DEFR deberá establecer, de acuerdo a las nece - sidades del hecho, cuáles son las unidades especializadas o de apoyo necesarias para el tratamiento y procesamiento de la es - cena. Gráfco 3 Diagrama de fujo del procedimiento inicial del DEFR ¿Riesgos presentes?Recepción de notifcación de hecho delictivoNotifcación por ECU911Despliegue de personal policial(primer interventor)Acude al lugar de los hechosObservación y valoración del lugarIdentifcación de riesgos inicialesProtección del lugarRequerir apoyo si necesarioConstitución en el lugar de los hechosObservación preliminar deposible evidencia digitalPrimera intervención DEFRUtilizar medidas de protección antiestáticas y de bioseguridadFijar el lugar de los hechosIndividualizar, discriminar e identifcar evidencia digitalRecolección de evidencia digitalSupervisar protección del lugarMitigar o neutralizar riesgosContinuar con la intervenciónFin de la intervención SINOSINOSINO Fuente: procedimiento inicial del DEFR Elaboración: por los autor es .
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 50 Constitución en el lugar de los hechos: efectuados los procedimientos anteriores, el DEFR se posiciona en el sitio del su - ceso y establece los posibles indicios a ser levantados. Entre esos debe identifcar los indicios de naturaleza digital que son los más propensos a desaparecer por sus características volátiles. Localizados estos indicios, utilizará las medidas de protec - ción antiestática y bioseguridad para pro - teger el dispositivo y, fjará el lugar donde se encuentra el indicio que debe ser indi - vidualizado. Posterior a ello, realizará la recolección, además que levantará la do - cumentación respectiva. Si bien, el procedimiento brinda en líneas genera - les las directrices que debe realizar el DEFR en la escena del crimen, para realizar el adecuado ma - nejo de los equipos digitales o tecnológicos, debe tomar en consideración una serie de detalles pa - ra la obtención de la información que reposa en los dispositivos. Entre estos detalles se encuentra: Determinar si el dispositivo móvil se en - cuentra encendido o apagado ya que de esto dependerá el tipo de procedimiento que deba realizar. Si el dispositivo móvil está apagado, de - berá fjar el lugar en dónde se encontró. El DEFR no debe manipular o intentar encender el dispositivo. Se realizará la f - jación fotográfca del indicio para indivi - dualizarlo, levantarlo y trasladarlo en un contenedor adecuado. Si el dispositivo móvil se encuentra encendido, deberá evitar al máximo su manipulación y tendrá prioridad para su tratamiento ya que la información con - tenida es demasiado volátil. No debe in - tentar apagarlo, al contrario, propenderá a que permanezca encendido utilizando un powerbank. Debe verifcarse que las conexiones wif y bluetooth se encuen - tren deshabilitadas, de ser posible se colocará el dispositivo en modo avión y Gráfco 4 Diagrama de fujo de la actuación del DEFR en dispositivos móviles SINOSINO Documentar procesoMétodo manual posibleConfgurar en modo aviónVerifcar estado de conexión de redes Wi-Fi y bluetoothMantener dispositivo encendido y cargar con powerbank si es necesarioAplicar cadena de custodiaColocar en funda Faraday o método alternativoNo apagar el dispositivoSeguir pasos para dispositivos apagadosAislar dispositivo de la red móvil y wifDispositivo móvil encendido Fuente: la actuación del DEFR en dispositivos móviles . Elaboración: por los autor es .
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 51 para su traslado deberá utilizar fundas Faraday. 20 Si se trata de equipos de computación también debe considerar para su tratamiento si está en - cendido o no. En caso de no estar encendido deberá fjar, levantar y trasladarlo con la docu - mentación pertinente, por el contrario, si está en - cendido deberán tomar en cuenta las siguientes 20 Funda Faraday: es un elemento en forma de caja y que crean un campo electromagnético nulo, protegiendo por tanto su interior de cualquier campo eléctrico estático. consideraciones: no apagar el equipo, aislar el dis - positivo de conexiones y servicios, respaldar la información que está en el monitor e intentar mantenerlo encendido. Si el equipo se encuen - tra bloqueado, se debe fjar el usuario. Realizados estos procedimientos el DEFR solicitará la pre - sencia de un DES para el manejo técnico de los equipos. El personal DES tomará las medidas de seguridad necesarias para que la información que consta en los equipos informáticos o digitales esté segura y no sea objeto de ninguna manipulación. Gráfco 5 Diagrama de fujo de la actuación del DEFR en ordenadores SINOSINOSINO Equipo de cómputo encendidoNo apagar el equipoAnalizar conexiones y servicios activosRegistrar información visible en el monitorEncender monitor y registrar informaciónRegistrar información del protector de pantallaMonitor apagadoAislar equipo de redesEquipos bloqueadosDocumentar usuario visibleEvaluar necesidad de personal DESRealizar adquisicón con autorizaciónDesconectar cable de alimentación o extraer bateríaContinuar con el secuestro de equipoAdquisición de memoria RAM o imagen forense necesariaAplicar cadena de custodiaSeguir pasos para equipos apagados Fuente: la actuación del DEFR en ordenadores . Elaboración: por los autor es .
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 52 Obtendrá la memoria RAM del dispositivo o a su vez, una imagen forense de la información del equipo para lo cual, deberá contar con la autoriza - ción judicial correspondiente, aplicar las normas de manejo de la información y respetar la cadena de custodia. Así, garantiza que la información obtenida tenga efcacia probatoria dentro de un proceso judicial. En el caso que en una escena de un delito se encuentren servidores informáticos, el DES verifcará si el equipo está encendido o apagado. En caso que esté apagado, lo fjará, embalará y rotulará para su respectivo traslado hasta el centro de acopio de indicio. Si, por el contrario, el servi - dor informático se encuentra encendido, el DES evaluará si este forma parte de una estructura crítica antes de realizar cualquier procedimiento. Si determina que forma parte de una estructura crítica, realizará la extracción de la información en el sitio e iniciará la cadena de custodia respectiva para salvaguardar la información. Si el servidor no forma parte de una estructura crítica, se fjará, embalará, rotulará y trasladará al centro de acopio de indicios. Propuesta metodológica para los DES A continuación, consta una propuesta metodológi - ca de los pasos que debe seguir el DES tomando por ejemplo un dispositivo móvil. Para cada trata - miento, sea de equipos computacionales, dispositi - vos de almacenamiento, dispositivos de red, siste - mas basados en la nube y tecnología exponencial, el procedimiento es amplio. Esta propuesta procura que no se pierda las características técnicas 21 y lega - les 22 de la evidencia digital desde el DES. El DES debe contar con un laboratorio que tenga el equipamiento necesario para desempeñar su trabajo, esto es, herramientas de software y hard - ware, tecnología y herramientas físicas indispensa - bles para el tratamiento de la evidencia digital. Así mismo, debe ejecutar tres actividades esenciales: la recolección, el tratamiento y análisis de la evidencia digital. Para esto se diseñó una propuesta de proce - dimiento que a continuación se detalla: 21 Características técnicas de la evidencia digital: volátil, anóni - ma, duplicable, alterable y eliminable. 22 Características legales de la evidencia digital: admisible, creí - ble, confable, auténtica y completa. Gráfco 6 Diagrama de fujo de la actuación del DEFR en servidores SINOSINO Servidor encendidoEmbalar y rotular servidorEvaluar si forma parte de infraestructura críticaRealizar recolección en el lugarAplicar cadena de custodiaSeguir pasos para equipos de escritorioInfraestructura crítica Iniciar cadena de custodia Fuente: la actuación del DEFR en servidores . Elaboración: por los autor es .
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 53 Gráfco 7 Diagrama de fujo total de la actuación del DEFR SINOSINO Servidor encendidoEmbalar y rotular servidorEvaluar si forma parte de infraestructura críticaRealizar recolección en el lugarAplicar cadena de custodiaSeguir pasos para equipos de escritorioInfraestructura crítica Iniciar cadena de custodia ¿Riesgos presentes?Recepción de notifcación de hecho delictivoNotifcación por ECU 911Despliegue de personal policial(primer interventor)Acude al lugar de los hechosObservación y valoración del lugarIdentifcación de riesgos inicialesProtección del lugarRequerir apoyo si necesarioConstitución en el lugar de los hechosObservación preliminar deposible evidencia digitalPrimera intervención DEFRUtilizar medidas de protección antiestáticas y de bioseguridadFijar el lugar de los hechosIndividualizar, discriminar e identifcar evidencia digitalRecolección de evidencia digitalSupervisar protección del lugarMitigar o neutralizar riesgosContinuar con la intervenciónFin de la intervención SINOSINOSINO SINOSINO Documentar procesoMétodo manual posibleConfgurar en modo aviónVerifcar estado de conexión de redes Wi-Fi y bluetoothMantener dispositivo encendido y cargar con powerbank si es necesarioAplicar cadena de custodiaColocar en funda Faraday o método alternativoNo apagar el dispositivoSeguir pasos para dispositivos apagadosAislar dispositivo de la red móvil y wifDispositivo móvil encendido SINOSINOSINO Equipo de cómputo encendidoNo apagar el equipoAnalizar conexiones y servicios activosRegistrar información visible en el monitorEncender monitor y registrar informaciónRegistrar información del protector de pantallaMonitor apagadoAislar equipo de redesEquipos bloqueadosDocumentar usuario visibleEvaluar necesidad de personal DESRealizar adquisicón con autorizaciónDesconectar cable de alimentación o extraer bateríaContinuar con el secuestro de equipoAdquisición de memoria RAM o imagen forense necesariaAplicar cadena de custodiaSeguir pasos para equipos apagados Fuente: la actuación del DEFR . Elaboración: por los autor es .
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 54 Una vez que la evidencia se encuentra en el centro de acopio, 23 el DES debe verif - car la documentación en la cual consta el 23 Centro de acopio. - Es el lugar que cumple la función de re - unir indicios, muestras, materiales y otros, para mantener la integridad y naturaleza de éstos. pedido de la pericia solicitado por la au - toridad competente. Esta documentación debe contener una descripción clara del objeto de la pericia. Gráfco 8 Diagrama de fujo del procedimiento inicial del DES y pasos a seguir en un dispositivo móvil SINOSINOSINOSINO InicioRecolección de evidenciaVerifcación de solicitud¿Solicitud válida y completa?Tramitación a jurisdicción correctaAsignación de orden de trabajoRechazo de solicitud¿Jurisdicción adecuada?Traslado a laboratorio de informática forensePreparación de equipamientoVerifcación de dispositivosInicio de tratamiento de evidencia¿Dispositivo móvil?Extracción y procesamientoImagen forense de disco duroBloqueo contra estructuraCalculo de HashDocumentación de versiones de software Análisis de la evidenciaEvidencia procesada satisfactoriamente?Generación de informe pericialExportación a nedio digital estérilInforme de inconsistencias Fuente: procedimiento inicial del DES . Elaboración: por los autor es .
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 55 Si la solicitud no contiene las formali - dades necesarias, se procede a rechazar la misma, indicando los motivos del re - chazo y se remitirá mediante ofcio a la autoridad solicitante. Si la solicitud de pericia está completa y es válida, la misma se asigna a un perito acreditado de la jurisdicción. El DES una vez que ha tomado posesión de la evi - dencia digital, traslada la misma hasta el laboratorio de informática forense donde preparará el equipo. Realiza la verifca - ción completa del dispositivo tomando en cuenta todas sus características de ma - nera que sea individualizado y comienza con el tratamiento de la evidencia digital. Si se trata de un dispositivo que contie - ne evidencia digital, el DES se centra en identifcar, adquirir, procesar, analizar y presentar la información ante un estrado judicial. Para esto, debe especifcar el tipo de software y hardware, la versión utiliza - da para la extracción de la información e indicar si se trata de una extracción bit a bit o de una extracción lógica. La evidencia digital debe ser tratada de manera rigurosa conforme a los estánda - res legales y tecnológicos vigentes. Una vez tratada, se realiza un informe deta - llado de las actividades desarrolladas y se pasa la información obtenida a un medio estéril. Se indica si existió alguna incon - sistencia durante la pericia. Por último, la evidencia deberá ser entregada mediante una cadena de custodia (nuevamente) al centro de acopio. Así termina este proce - dimiento. Conclusiones Se obtuvo un panorama de los aspectos que per - miten el levantamiento y tratamiento de la evi - dencia digital, al igual del trabajo que debería desempeñar el DEFR y el DES en el marco de los desafíos y delitos relacionados con los avances tecnológicos. Teniendo presente esa necesidad, este artículo elaboró un instrumento o modelo con metodología técnica que, basada en normas internacionales como las ISO y los RFC, ofre - ce directrices de cómo se debe realizar la obser - vación, recolección, individualización, registro, sellado, traslado y tratamiento de la evidencia di - gital con el fn de asegurar el esclarecimiento de un hecho. Es necesario que los DEFR desde el eje pre - ventivo, investigativo e inteligencia de la PNE, se guíen de este instrumento y resguarden las carac - terísticas principales y legales de la evidencia con base en las normas ISO y RFC aquí analizadas. La evidencia tendrá por principios fundamen - tales la admisibilidad, autenticidad, completitud, confabilidad y credibilidad. Los pasos o procedimientos que se proponen en el presente artículo buscan instaurar el buen manejo de la evidencia digital como parte de las buenas prácticas profesionales. La propuesta per - mite a los DES brindar el tratamiento correcto de la evidencia digital para que esta sea admisible, creíble, confable, auténtica y completa ante los tribunales de justicia. Con esto, no existirían vacíos legales que puedan incurrir en la nulidad de una sentencia o que las pericias sean anuladas.
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 56 Recomendaciones Presentar los resultados de este artícu - lo a los peritos de informática forense y personal jurídico de Ecuador con el fn de que pongan en práctica el manejo y el tratamiento de la evidencia digital conforme a la metodología que aquí se presenta. Esto permitir ía asegurar que los procedimientos empleados cumplan con los estándares internacionales y normas nacionales y, se mantenga con la integri - dad de la información. Además, la im - plementación de estas prácticas ayudará a mejorar la precisión y fabilidad en la recolección y análisis de datos digita - les. Finalmente, la colaboración entre el DEFR y el DES contribuirá a la actua - lización constante para que la evidencia digital no pierda relevancia, confabilidad y sufciencia. Realizar capacitaciones al personal poli - cial que cumpliría la función del DEFR y DES desde el eje preventivo, investigativo e inteligencia. Estas capacitaciones deben enfocarse en procedimientos actualizados para la identifcación, recolección, adqui - sición y preservación de la evidencia digi - tal, garantizando así el cumplimiento de los estándares internacionales. Además, es crucial que el entrenamiento incluya escenarios prácticos y estudios de caso para mejorar la comprensión y aplicación de las técnicas. Analizar la posibilidad de crear diversos protocolos conforme a la evidencia digi - tal tratada o analizada, de esta manera, se implementarían capacitaciones hacia los DES. Estas capacitaciones asegurarán que los peritos informáticos forenses se mantengan al día con los últimos avances tecnológicos y métodos de análisis. Ade - más, el intercambio de conocimientos entre los especialistas permitirá desarro - llar y mejorar el campo profesional con estrategias más efectivas, con protocolos y metodología novedosas. Finalmente, la formación continua del DES contribui - rá a que no exista duda razonable de la evidencia digital ante la autoridad com - petente. Bibliografía America, Usaid del Pueblo de los Estados Unidos de America. 2013. Sistema de Comando de Incidentes. Acceso el 27 de ma - yo de 2024. https://www.gob.mx/ cms/uploads/attachment/fle/228836/ Curso_Basico_SCI_material_de_refe - rencia.pdf. Asamblea Nacional. 2008. Constitución de la República del Ecuador. Montecristi: Registro Ofcial, 91-92. Brandner, Carlos Wallace & Ralf Ulrich Pordesch. 2007. Requisitos del servicio de archi - vo a largo plazo. Manuales de archivo y conservacion de la información digi - tal. Darmstadt, Alemania: Sociedad de Internet. Castellanos, Bayron José. 2017. Dialnet. Acceso el 27 de mayo de 2024. ht - tps://dialnet.unirioja.es/servlet/ articulo?codigo=6704741. Coreth, Emerich. 1972. Cuestiones fundamenta - les de hermenéutica , 1 a ed. Traducido por Manuel Balasch. Barcelona: Herder Editorial. DS/EN ISO/IEC 27042. 2016. Tecnologías de la información - Técnicas de seguridad - Lineamientos para el análisis e interpre - tación de la evidencia digital. Ginebra: Secretar í a Central de ISO. G ó mez- Agudelo, Dany Steven. 2020. Implicaciones jur í dicas de la evidencia digital en el proceso judicial colombiano. Art í culo cient í fco, Ratio Juris. Incibe, Asier. 2014. Plan de recuperación, transfor - mación y resiliencia. Directrices para la recopilaci ó n de evidencias y su alma - cenamiento, España: S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A.
ISUPOL, Revista de Investigación en Seguridad Ciudadana y Orden Público Nº 9 noviembre 2024 • pp 43-57 Fernando Mauricio De la Torre Muñoz, Alejandro Xavier Puertas Realpe, Christian Eduardo Burbano Peña Manejo de la evidencia digital con visión en normas internacionales aplicables por los primeros interventores y peritos forenses en Ecuador 57 ISO/EC 27037. 2012. Tecnología de la información — Técnicas de seguridad — Directrices para la identifcación, recopilación, ad - quisición y conservación de pruebas di - gitales. Ginebra: Secretar í a Central de ISO. Locard, Edmond. 2010. Manual de t écnica policía - ca. Barcelona: Maxtor. Maldonado, Ricardo Oñate. 2016. El método hermenéutico en la investigación cua - litativa. ResearchGate (University of Concepción), 1-10. Martínez, Jesús, Francisco Cano y Franco Rodríguez. 2020. Adaptación espa - ñola del Inventario de Estrategias de Afrontamiento. Sevilla. NFON. 2024. Request por comments. Acceso el 4 de mayo de 2024. https://n9.cl/ rbz9kd Organizacion de los Estados Americanos. 2019. Consideraciones de Ciberseguridad del proceso democratico para la Am é rica Latina y el Caribe. Santiago de Chile: 1 - 68. Piña-Ferrer, LenysSenovia. 2023. El enfoque cualitativo: una alternativa compleja dentro del mundo de la investigación. Revista Arbitrada Interdisciplinaria KOINONIA , 1-3. Polic í a Nacional, Sistema Especializado Integral de Investigación Medicina Legal y Ciencias Forenses de la Polic í a Nacional del Ecuador. 2022. Manual de Procedimientos Investigativos Fiscal í a - Policía Judicial. Polic í a Nacional del Ecuador, Quito: Sistema Especializado Integral de Investigación Medicina Legal y Ciencias Forenses de la Polic í a Nacional del Ecuador, 1-184. Pordesch, Tobias Gondrom & Ralf Brandner- Ulrich. 2007. Sintxis del registro de pruebas (ERS). Manual de Sintaxis del registro de pruebas (ERS), Alemania: Sociedad de Internet.