Manual Básico de Cateo y Aseguramiento de Evidencia Digital

Ver
Rastrear

PorJeison- Postado em 26 novembro 2012

Autor: CAMPOLI, Gabriel Andres.

Abstract:

El presente manual tiene por objeto servir como una breve guía de las acciones y mecanismos mínimos a aplicar para el cateo o aseguramiento de los equipos electrónicos que pudieran hallarse en la escena de un crimen de cualquier naturaleza a fin de que la evidencia que de ellos pueda surgir, luego de realizadas las periciales y medidas de investigación que para cada caso se crean convenientes se pueda utilizar esa evidencia digital durante la averiguación previa para descubrir o formar los elementos del delito o descubrir la identidad del sujeto activo, y luego, en su caso aportar la misma al proceso penal a fin de poder obtener la condena del mismo sin sufrir las consecuencias de la nulidad de las pruebas o su simple inadmisibilidad en juicio por no llevar los recaudos necesarios que la ley y la Constitución de los Estados Unidos Mexicanos requiere para que se respeten las garantías del debido proceso penal.

Introducción:

De hecho, la verdad es que la evidencia digital es muy frágil y puede perderse o modificarse con demasiada facilidad, aún por la simple inacción de quien tiene a su cargo el cateo o aseguramiento de los bienes, lo que implica la utilización de medidas especiales para su conservación en estado original para poder ser aportada como prueba válida en cualquier proceso penal.

La verdad es que, un mal aseguramiento de los bienes electrónicos (prefiero esa terminología por ser más abierta que informático) produce, al poco tiempo una monumental caída de la credibilidad en el sistema pero por sobre todo, una altísima impunidad basada en sentencias contrarias que nacen del principio conocido como "Los frutos del árbol de raíces amargas o de raíces envenenadas.

La teoría del Árbol de raíces envenenadas

Esta vieja teoría del derecho penal y por sobre todo del derecho del procedimiento penal o derecho procesa penal, por comparación nos indica que, tal como un árbol que adquiere un veneno por sus raíces, de igual manera lo distribuirá a su tronco, sus ramas, sus flores e incluso sus frutos, que a la larga resultan también envenenados por la distribución interna de la savia de la planta cuya única función es la de llevar a todo el conjunto vegetal los nutrientes y demás compuestos que ingresan a la raíz del organismo de que se trate.

Esta teoría asume que un proceso penal es pues, un árbol que nace en su raíz con las primeras aportaciones o indicios probatorios para luego crecer hacia su tronco, que equivaldría a la averiguación previa y las declaraciones iniciales para luego llegar a las hojas, flores y frutos que son las medidas probatorias de la relación del sujeto con los hechos.

¿Que impacto real tiene esta situación en un proceso penal? pues bien, si seguimos la relación probatoria e investigativa del proceso penal, veremos que la evidencia se construye desde la raíz hacia los frutos y si la raíz está envenenada, los frutos del proceso penal también lo estarán a la larga.

¿Cómo puede envenenarse un proceso penal? Es muy simple, si aplico al inicio o en cualquier etapa procedimental pruebas nulas, de dudosa obtención o que afecten garantías constitucionales como la privacidad, el que nadie puede ser obligado a declarar en su propia contra o cualquier otra, de hecho la investigación y el mismo proceso tendrán en su interior el mismo defecto que arrastran desde su génesis, es decir que las pruebas o medidas que le dieron origen, por lo cual serán nulas o inadmisibles en juicio por sus propios vicios.

¿En que importa esto a la evidencia digital? Pues la respuesta es casi obvia, si la obtención de la evidencia digital en un proceso penal no es adecuada al cumplimiento de las garantías del debido proceso o afectan cualquier otro derecho constitucional, pues jamás podrían ser usadas en juicio en contra del sujeto activo, lo que aumentaría notablemente la situación de impunidad que actualmente existe en materia de delitos informáticos o cometidos por medios informáticos, e incluso en delitos comunes donde la evidencia digital contenida en elementos electrónicos pudiere apoyar la investigación o condena de los criminales.

Las garantías a cubrir

Podríamos a estas alturas preguntarnos cuales son entonces las garantías necesarias a cubrir para no afectar derechos constitucionales y lograr una plena admisibilidad de las evidencias digitales en los procesos penales.

De hecho a fines de cubrir esas garantías es que se plantea este manual de la etapa previa para la obtención y aseguramiento de los medios de soporte de la información digital que podrá ser utilizada como evidencia en caso de ser requerida o necesaria.

Si estas etapas no satisfacen las garantías implicadas, la evidencia que se obtenga en las posteriores por medio de peritajes o extracciones de datos de los equipos no podrá ser utilizada por las razones teóricas que ya hemos planteado en el apartado anterior, lo cual implicaría, a en definitiva que un sujeto responsable de una acción antijurídica, típica y culpable no resulte punible por no contarse con los medios probatorios idóneos.

La Privacidad:
La primer garantía que entra en juego en cualquier proceso donde se involucre información contenida en equipos electrónicos, es obviamente la de privacidad, dado que si el sujeto titular de la información y en su caso propietario o poseedor del medio de soporte la colocó en ese formato es para que no pueda ser accedida simplemente y sin su autorización expresa.

De hecho esta debemos tener presente que siempre es una garantía relativa, pues puede caer ante la orden expresa de un juez, pero siempre que se respeten los principios que le dan sustento, es decir que por ejemplo para la apertura de un correo electrónico se respeten las garantías que atañen a la comunicación postal, para una intervención de equipos de mecánica de sniffing se respeten los derechos de terceros involucrados de igual manera que se hace con las intervenciones telefónicas y cualquier otra violación posible de privacidad se realice siempre por orden expresa de un juez, ya que en la mayoría de los procesos se suele tomar los equipos del imputado o presunto y se comienzan a abrir de manera indiscriminada archivos, correos y comunicaciones privadas que no pueden ser abiertas sin la autorización expresa del Juez que interviene en la causa como garante de la constitucionalidad del proceso que se ventila.

El valor probatorio:

En la realidad de los procesos penales, esta situación depende, tal como lo exponen los códigos de procedimiento penal, de la propia valoración que pueda dar el juez interviniente a las evidencias digitales que se aporten a la causa, de manera que cuanto mayor sea la información que pueda obtenerse de los equipos electrónicos que se catean y aseguran, mayor podrá ser la relevancia para una sentencia absolutoria o condenatoria según el caso de que se trate.

En realidad depende de un segundo factor que es la credibilidad que pueda tenerse en la obtención y conservación de los equipos y la evidencia en ellos contenida como así también en la inviolabilidad o no adulteración de esos contenidos a favor o en contra del sujeto a proceso.

La inviolabilidad de los contenidos:

De hecho este es en realidad el punto medular de la cuestión probatoria, ya que como se dijo, si la evidencia puede ser manipulada o es obtenida de forma ilegal, no sólo se corre el riesgo de que resulte inadmisible sino también de que con ella puedan caer partes importantes del proceso que podrían resultar en que un sujeto pudiera obtener su libertad aún cuando sea claramente responsable del hecho que se le imputa, teniendo en cuenta que es la representación social quien debe probar la culpabilidad (obviamente basado en el principio constitucional de inocencia y en el in dubio pro reo) y sin las pruebas necesarias, o bien con ellas pero inadmisibles, esto resulta imposible para la parte acusadora quien vera disolverse sus posibilidades de manera directa al grado de errores en el cateo y secuestro de bienes electrónicos.

La verdad es que son justamente estos errores en el cateo y secuestro de bienes los que producen en definitiva la inadmisibilidad judicial de las pruebas que podrían condenar o absolver a los indiciados y es exactamente el objeto del presente manual el tratar de reducirlos al mínimo para que los elementos que puedan ser usados como prueba y la información que ellos contienen adquiera relevancia a la hora en que el decidor deba pronunciarse a través de la sentencia.

¿Que es lo que se debe probar?

Entramos ahora en un segundo tema de conflicto al momento de la presentación de las pruebas en el proceso, habida cuenta de que la mayoría de las veces se trata de demostrar cuestiones irrelevantes o que no hacen a la cuestión en discusión en el fondo del proceso.

La verdad es que la mayoría de las veces lo que se intenta probar equivocadamente en los procesos es el hecho de que desde determinado domicilio o desde determinado equipo se ha cometido la acción típica, lo que si bien es cierto presenta alguna relevancia, no es menos cierto que en realidad el que comete el delito no es el equipo informático sino la persona que lo opera, razón por la cual la simple prueba de que desde ese equipo se cometió el hecho no es suficiente para condenar al titular del equipo informático, ya que se debe ubicar al sujeto activo en tiempo y lugar con el mismo equipo desde el cual se comete el ilícito para que de esta manera se encuentren constituidos todos los extremos del cuerpo del delito.

Entramos entonces en la manera de relacionar los equipos con los usuarios que los operan, lo que implica necesariamente poder ubicar, tal como se dijo a una persona en tiempo y lugar con un equipo, lo que requiere, en algunos casos de evidencia digital contenida en el equipo, como por ejemplo los blog de inicio de sesión, o las contraseñas o cualquier otra marca digital de quien era el supuesto operador del equipo en ese espacio temporal, lo que no implica tampoco un 100% de certeza, ya que si el mismo operador comparte sus claves de usuario con otros, o bien alguien más tuvo acceso a ellas, nos encontraríamos ante una evidencia meramente circunstancial.

De esta manera adquieren entonces relevancia otras pruebas, como por ejemplo, la dactiloscopia que se pudiere practicar sobre los equipos, las filmaciones existentes de los lugares de trabajo como cámaras de seguridad, las fotografías, o incluso las testimoniales de personas que pudieran dar fe de quien era el usuario de ese equipo a una hora y en una fecha determinada.

Es fundamental comprender este concepto de integración de la prueba entre la evidencia digital ya que si no se llevan los recaudos necesarios el momento del aseguramiento podría entrarse en el absurdo de que se pueda probar desde que equipo se comete el delito o se apoya la comisión de un delito y no existir manera de saber quien operaba ese sistema, lo que nos pondría ante la ridícula opción de poder condenar a un equipo más no a un probable responsable.

Puede incluso, en algunos casos excepcionales llegar a pensarse la posibilidad de pruebas de ADN sobre los residuos contenidos entre los espacios del teclado para demostrar que no existe evidencia de que el mismo haya sido utilizado por terceras personas ajenas a las claves de usuario o los inicios de sesión.

En conclusión, siempre que se trabaje sobre la obtención de evidencia digital se deben tener los recaudos necesarios para poder realizar además sobre el equipo cualquier otro medio probatorio que pueda apoyar el hecho de que era una persona en particular la que está relacionada a la utilización del equipo que se pretende inspeccionar.

El procedimiento jurídico previo:

Esto por más que obvio debe aclararse a efectos de no producir luego la posibilidad de que existan nulidades procedimentales que incurran en los mismos errores que se comentaron anteriormente en la referencia a la Teoría del Árbol de raíces envenenadas.

De hecho, es absolutamente indispensable que para el cateo y aseguramiento de los bienes informáticos exista orden judicial expresa, ya que, al no compartir las características de los demás bienes, no se puede tomar una orden de cateo genérico como suficiente como para poder inspeccionar los sistemas electrónicos, o, en su caso asegurarlos.

La apertura de un equipo informático o bien su aseguramiento implica la posibilidad de violentar garantías constitucionales, lo que, en definitiva debe ser siempre ordenado y controlado por un juez competente.

Vistos estos frenos procedimentales, sería de buena práctica que, al solicitar un cateo, el Ministerio Público, solicite expresamente el aseguramiento de los medios y equipos electrónicos (ya que el pedir el cateo de equipos no necesariamente autorizaría el aseguramiento de los soportes como por ejemplo CDs o Discos de 3 ½ pulgadas que no son parte del equipo) que pudieran contener información a fines de evitar el hecho de que el agente conozca datos para los cuales no está autorizado por el titular de los mismos o, en su caso por alguien que lo represente, o el juez.

Con estas previsiones, luego la evidencia contenida en los equipos o en los medios asegurados puede ser incorporada correctamente al expediente (averiguación previa o proceso judicial) sin objeciones sobre la legalidad de su obtención, ya que se encontrarían plenamente respetadas las garantías constitucionales involucradas en el proceso.Debe tenerse presente siempre, pero por sobre todo al momento de la solicitud, el hecho de que es indispensable utilizar la expresión, medios y bienes electrónicos, ya que un PDA o un teléfono celular pueden contener mucha información y si lo analizamos a detalle, no son estrictamente bienes informáticos aunque si bienes o equipos electrónicos.

De hecho el problema que puede presentarse es que si las facultades que se solicitan no incluyen expresamente la recolección de información o el vaciado de datos (o clonación de discos), puede ocurrir que el aseguramiento resulte físicamente imposible, ya que muchos de los equipos no pueden ser movidos en relación directa con si tamaño o bien con el hecho de que de ser retirados podría perderse información de los registros que se están procesando al momento del operativo, de manera que debe tenerse el recaudo de solicitar al juez, también la facultad de fotografiar (si es que esto es necesario) o bien, en su caso de hacer extracciones de datos en el momento y la escena del crimen para que los peritos que acompañan al Ministerio Público en el acto puedan tomar los recaudos necesarios para el caso.

Estas solicitudes incluyen, según el caso la posibilidad de apertura de claves por procedimientos informáticos si estas existen y el equipo no puede ser retirado, o bien el retiro parcial de algunas partes del equipo para que estas puedan, luego ser objeto de las pruebas periciales que se requieran.

Qué se debe buscar para realizar un cateo completo:

Para que un cateo de equipos y sistemas resulte completo y además integrativo, tal como se describe en el presente trabajo, se deben buscar además las evidencias necesarias, electrónicas o no de la existencia de los vínculos entre el sujeto y el equipo, para lo cual se recomienda buscar, además de los bienes en sí mismos, los siguientes comprobantes de posible existencia en el domicilio a registrar:

Comprobantes de pago y/o facturas de servicio de Internet
Comprobantes de pago y/o facturas del servicio de Luz
Comprobantes de pago y/o facturas del servicio de teléfono
Anotaciones de claves de usuario o de correos que pudieran encontrarse en soportes distintos a los electrónicos (papeles o post it por ejemplo)
Comprobantes de pago y/o facturas del servicio de conexión satelital (teléfono y/o internet)
Comprobantes de pago y/o facturas de pago del servicio de telefonía celular.
Comprobantes de pago y/o facturas del servicio de gas
Comprobantes de pago y/o facturas del servicio de agua
Comprobantes de pago de prediales
Comprobantes de pago de tenencias vehiculares.
Comprobantes de pago y/o facturas de tarjetas de crédito
Comprobantes de operaciones realizadas con tarjetas de crédito o débito.
Comprobantes emitidos por cajeros automáticos.
Listados de estados de cuentas bancarias.
Plásticos o tarjetas de crédito o débito.
Plásticos de tarjetas de hoteles u otras con banda magnética.
Comprobantes de pago y/o facturas de servicios de localizador (pager o bipper)
Facturas de pago de cualquier comercio o institución que puedan relacionarse con la persona o con los números de tarjetas que utiliza o, en su caso con las cuentas bancarias, telefónicas o de internet que se investigan.
Mecanismos de almacenamiento de imagen de video o estática (fotografía) como pueden ser cintas de VHS, fotografías en papel, CD de respaldo de video, memorias tipo tarjeta, o cualquier otro que pueda eventualmente aportar dicha información, los cuales pueden estar en el mismo lugar de los hechos o bien en habitaciones separadas como por ejemplo cuartos de video o vigilancia, que incluso pueden ser externos a la empresa misma, de manera que si existen cámaras de cualquier tipo, necesariamente habrá un respaldo de lo que esos equipos obtienen, por lo que si no se encuentran en el lugar se debe indagar detalladamente a los presentes sobre la existencia y ubicación de dichos medios de almacenamiento de video e imágenes.

Como proceder en el lugar de los hechos:

Como primera medida, lo que se debe tener en cuenta es no alterar o perder ninguna de las evidencias, ya sean estas digitales o físicas en el lugar de los hechos, a fin de poder relacionar las mismas entre si o, en su caso poder hacerlo con el probable responsable.

Es por ello que siempre se deben tomar las precauciones habituales de cualquier escena de crimen, como por ejemplo:

1) No tome los objetos sin guantes de hule, podría alterar, encubrir o hacer desaparecer las huellas dactilares o adeníticas existentes en el equipo o en el área donde se encuentra residiendo el sistema informático.
2) Asegurar en la medida de lo posible la zona de posibles interacciones humanas o animales.
3) Tener extrema precaución de no tropezar, jalar o cortar cables que pudieran representar conexiones de equipos, periféricos o conexiones de entrada o salida de datos.
4) Asegurar la zona y los equipos de accesos remotos, lo cual debe hacerse con extremo cuidado si se trata de servidores que deben ser intervenidos, ya que éstos, por su propia naturaleza están especialmente preparados para ser accesados en forma remota.
5) Controlar que los presuntos responsables o la persona que estaba a cargo de los equipos no tenga en su poder controles remotos o cualquier otro dispositivo electrónico que pueda alterar el contenido o el estado de los equipos o periféricos, ya estén estos conectados o no al servidor o sistema central. Esta precaución aplica a todos los presentes en el acto.
6) Retirar los teléfonos celulares o dispositivos tipo blue berry o similares (dispositivos que conjuntan las PDA con teléfonos celulares), ya que con ellos pueden realizarse en ciertos casos modificaciones sobre los equipos en distancias cortas.
7) Asegurar el acceso y control de los suministros de luz, ya que existen muchos equipos que si son apagados de manera incorrecta pueden dañarse (lo que haría irrecuperable la información) o bien pueden perder información como por ejemplo la de inicio de sesión.
8) Si al momento de ingresar al lugar alguien se encuentra operando el sistema, tomar nota (en legal forma) de la situación, y de ser posible fotografiarlo cuando aún está sentado en posición de operador.
9) De igual manera, ordenar a la persona que se encuentra en el equipo que suspenda de manera inmediata lo que está haciendo y tratar de tener control de las actividades que realiza hasta que se encuentre separado del equipo y los periféricos.
10) Una vez que se encuentra garantizado el cierre del área, debe procederse a tomar fotografías del estado y posición de los equipos, como así mismo de sus puertos (conectores de cables, lectoras de cd, lectoras de diskette, y cualquier otro punto de contacto del equipo con el exterior,),y de igual manera de la pantalla en el estado en que se encuentre, incluyéndose los cables, conectores externos e, incluso todos los periféricos que se hallan en el área o los que pudieran estar conectados de forma remota si ello es posible (por ejemplo impresoras comunes en una sala de impresión), con las debidas identificaciones, ya sea de marca, o cualquier otra que pueda dar certeza sobre el equipo, de ser posible es ideal poder tomar fotografías de los números de serie de todos ellos.
11) Fotografiar la existencia de cámaras de video o de fotografía instaladas en el sitio de los hechos para poder tener plena certeza de la posibilidad de la obtención de pruebas adicionales de la relación usuario-equipo.
12) Al manipular los equipos recuérdese hacerlo siempre con guantes de hule para evitar la contaminación de los mismos.
13) Otorgue la intervención debida a los peritos en dactiloscopía para que se pueda determinar la existencia de huellas dactilares sobre el equipo o bien, en su caso sobre los periféricos o soportes de cualquier índole que existan en el lugar de los hechos.
14) Una vez terminado el proceso de levantamiento de huellas dactilares, puede comenzar la tarea de los peritos en informática.

Como proceder para el aseguramiento de los equipos, bienes y soportes informáticos:

Es importante aclarar, que con o sin la presencia de los peritos en informática, sean estos los de AFI o bien, en su caso los peritos profesionales de PGR, los pasos de procedimiento deben respetarse para que de esta manera pueda otorgarse plena garantía de un correcto aseguramiento de la evidencia y de la imparcialidad de la misma, tanto como su integridad posterior.

Al momento de comenzar el cateo, y si fueron debidamente aplicadas las medias anteriores, debe tomarse nota y fotografía del estado de los equipos y sus componentes (centrales y periféricos) según ya se ha detallado en los pasos de aseguramiento del lugar de los hechos.

A partir de allí, los pasos a seguir serían:

1) Proceder a levantar individualmente todos los medios de soporte (CD, tarjetas, discos de 3 ½, memorias USB o cualquier otro según los listados anteriores) que se encuentren separados del equipo.
2) Si se encuentra encendido, se debe primero aislar de intrusiones externas, para lo cual se debe verificar la existencia de puertos de red o conexiones inalámbricas que pudieran ser fuente de acceso para modificar los contenidos.
3) En caso de existir alguna de ellas (cable de red o conexión inalámbrica, que en muchos equipos es interna por lo que no tendríamos acceso inmediato a la misma) se debe aislar de manera inmediata el equipo, preferentemente con la asistencia del experto en informática presente y precintando de manera inmediata las conexiones que se retiren.
4) Si existieren en el lugar de los hechos más de un equipo, identificar de manera clara cada uno de ellos por medio de números con etiquetas engomadas y firmadas y en cada pieza que se retire de cada uno de ellos colocar el número que se asignó al equipo.
5) Identificar en las fotografías el número que se asigna a cada equipo.
6) Bajo ninguna circunstancia desmontar o desconectar más de un equipo a la vez, lo cual debe hacerse siempre bajo los procedimientos indicados en los puntos posteriores, para evitar confundir las piezas o cables de cada uno de ellos.
7) Al momento en que un equipo está completamente desmontado, retirarlo del lugar de los hechos antes de comenzar con el siguiente equipo.
8) Bajo ninguna circunstancia desconectar o retirar ningún elemento del equipo (ni discos de 3 ½, ni CD, ni memoria USB, ni cables, ni tarjetas de memoria de cualquier tipo, sólo fotografiar su posición y estado.
9) Verificar si los equipos se encuentran apagados o encendidos y asentar en el acta su estado.
10) Si están apagados no encender por ningún motivo.
11) Si están encendidos no apagar por ningún motivo.
12) Inmediatamente tomar fotografía detallada de la imagen de la pantalla, si se tratare de un protector de pantalla o el monitor estuviese en descanso, con la utilización de guantes de hule mover lentamente el ratón hasta que aparezca la imagen del programa en proceso al momento anterior al inicio del ahorro de energía del equipo.
13) Fotografiar inmediatamente la imagen de la pantalla que aparece luego de esa operación.
14) Asentar inmediatamente en las actas de cateo la hora en que fueron realizadas las tres operaciones, es decir, la primera fotografía, el movimiento del ratón y la segunda fotografía de la pantalla.
15) Bajo ninguna circunstancia continuar con las operaciones hasta que no se apersone en especialista en informática forense.
16) En ese momento se debe realizar, bajo condiciones normales la extracción original de datos de las unidades de disco y la memoria RAM (clonación de discos y de memoria) del equipo por el especialista, para evitar la pérdida de la información volátil o la modificación de datos o registros de entrada al equipo.
17) Si el equipo se encontrare apagado, puede comenzar a procederse con su desconexión para retirarlo del lugar de los hechos.
18) Para la desconexión debe procederse según los pasos siguientes.
19) Desconectar el cable que conecta el equipo a la energía eléctrica de la pared, o, en su caso al UPS (también conocido como no-break) e inmediatamente colocar un precinto de papel engomado firmado por el interviniente en el sitio del no-break, y, en su caso los testigos del acto, sobre el lugar del conector que se retira.
20) Desconectar el otro extremo del mismo cable que se encuentra en la computadora y repetir la operación de precintado con papel engomado y firmado.
21) Identificar el cable retirado, por medio de etiquetas firmadas y colocar el mismo en las bolsas de evidencia, de ser posible por separado.
22) Desconectar el cable de energía eléctrica del monitor (pantalla) bajo las mismas mecánicas y cuidados del anterior.
23) Identificar el cable de energía eléctrica del monitor con etiqueta y colocarlo en bolsa de evidencia del mismo modo.
24) Identificar el cable que conecta el monitor con el CPU (Cajón central de la computadora).
25) Desconectar el cable que une al CPU con el monitor y precintar el lugar del que se retira el cable con el procedimiento del papel engomado y firmado.
26) Identificar el monitor con el mismo procedimiento del papel engomado y firmado, asegurando asimismo que el mismo no pueda ser abierto, para lo cual se recomienda colocar el precinto de papel engomado sobre los bordes de apertura del monitor, para evitar que pueda retirarse cualquier pieza del exterior o interior del mismo sin que ello pudiera ser detectado en revisiones posteriores.
27) Proceder al retiro del teclado, precintando luego el sitio donde el mismo estaba conectado por medio del procedimiento del papel engomado y firmado.
28) Precintar asimismo por el mismo procedimiento el extremo del conector del teclado, o bien, de resultar muy complejo por medio de una bolsa de polietileno que se pega al cable a través del papel engomado.
29) Colocar, de ser posible el teclado en bolsa separada a fin de poder practicar luego las medidas forenses de ADN o huellas dactilares si ellas se requieren en momentos posteriores del proceso.
30) Proceder luego de igual manera que con el teclado con el ratón de la computadora, tomando las precauciones de precintado ya descritas.
31) Apagar los periféricos que se encuentren encendidos, previa anotación en el acta respectiva del estado en que se encontraban al inicio del procedimiento, dejando constancia de los números de serie de cada equipo para luego poder diferenciar uno del otro al momento de las periciales o la sentencia.
32) Proceder a la desconexión de todos los periféricos, como impresoras, escáneres, lectoras de discos, grabadoras o cualquier otro que se encuentre conectado al equipo, previa fotografía del lugar de conexión y posterior precintado en cada caso de los lugares donde se encuentran conectados, dejando constancia de ello en el acta y en el precinto, es decir que en el precinto de papel engomado, además de las firmas, se debe agregar, por ejemplo la leyenda, conexión de impresora marca......, modelo......, número de serie........, para luego, de ser necesario poder reconstruir la conformación original del equipo.
33) Al momento de desconectar cada equipo, etiquetarlo, dejando constancia de a que computadora se encontraba conectado.
34) Luego de desconectado y etiquetados sus cables de conexión, precintar cualquier punto de entrada o salida de datos (es decir cualquier conector que pudiera tener el equipo) y los accesos de corriente eléctrica.
35) Si se trata de unidades de lectura de tarjetas, de discos de 3 ½, o de CD, precintar los accesos a la misma.
36) Si se trata de cualquier unidad de almacenamiento (discos duros externos por ejemplo) precintar de igual manera los tornillos de acceso para evitar que los discos internos puedan ser cambiados o modificados.
37) Colocar cada periférico en bolsas o cajas individuales e identificadas de ser posible, e incluso si se hallan las cajas originales, colocarlos en ellas.
38) Una vez retirados todos los periféricos se procede al precintado del CPU, sellando con los papeles engomados todos los accesos posibles, como puertos USB, lectoras de CD, lectoras de discos de 3 ½, puertos de impresora, teclados, conexiones de red, o cualquier otro que se encuentre luego de una exhaustiva revisión del mismo.
39) Como los equipos siempre tienen unidades de almacenamiento internas (discos duros) debe procederse también al precintado de los tornillos de acceso de su exterior, para evitar que pueda ser abierto y puedan retirase, cambiarse o modificarse piezas, sobre todo las unidades centrales (discos duros).
40) Colocar cada CPU en una caja individual, precintada e identificada, y si se halla la original, de preferencia en ella, para ser retirados del lugar.

Cuando los equipos no pueden ser retirados:

Si los equipos no pudieren ser retirados del lugar por su excesivo tamaño, el aseguramiento debe realizarse en el mismo lugar de los hechos, pero bajo el procedimiento de los puntos que siguen.

1) Dejar constancia de si el equipo se encuentra encendido o apagado.
2) Si está encendido, no apagar por ningún motivo.
3) Si está apagado, no encender por ningún motivo.
4) Si se encuentra encendido, se debe primero aislar de intrusiones externas, para lo cual se debe verificar la existencia de puertos de red o conexiones inalámbricas que pudieran ser fuente de acceso para modificar los contenidos.
5) En caso de existir alguna de ellas (cable de red o conexión inalámbrica, que en muchos equipos es interna por lo que no tendríamos acceso inmediato a la misma) se debe aislar de manera inmediata el equipo, preferentemente con la asistencia del experto en informática presente y precintando de manera inmediata las conexiones que se retiren.
6) Una vez aislado proceder a la extracción de datos (clonación o copia física de los datos contenidos en los equipos).
7) Ya que se realiza la extracción de datos debe procederse al retiro de cualquier periférico que pudiera encontrarse conectado al equipo bajo la metodología explicada en los puntos anteriores que se utilizan para los equipos comunes que si pueden retirarse, sólo que en este caso, se retiran los periféricos debidamente identificados y precintados como se indicó y sellando los conectores que se dejan libres en esta operación.
8) Luego de esto, y al igual que con los CPU que pueden removerse, se procede al precintado de todos los puertos y conectores que pudieran estar libres por medio del sistema del papel engomado.
9) De igual manera deben precintarse los tornillos del sistema a fin de que no se puedan remover o reemplazar las piezas internas del mismo.
10) En ese momento debe asegurarse la zona para evitar cualquier acceso físico de personas o animales al lugar donde el equipo se encuentra a fin de poder mantener la evidencia original intacta.
11) Si el equipo se encuentra apagado, pueden desmontarse en ese acto, por seguridad jurídica y ahorro procedimental, los medios de almacenamiento que se encuentren en el equipo.
12) Para lo anterior, se debe contar con la presencia de un técnico informático a fin de evitar que se pudiera dañar el equipo, o en su caso alguna de las piezas removidas.
13) Para ello, una vez desconectados e identificados todos los cables del equipo, se procede a la apertura del mismo por medio de la remoción de su carcaza.
14) Al abrir la carcaza, fotografiar la posición y estado de los medios a extraer.
15) Realizar fotografías de aproximación de cada medio y de sus números de serie, asentando los mismos en el acta respectiva, de manera referenciada a las fotografías de aproximación y la general.
16) Una vez realizado lo anterior, se pueden retirar los medios de almacenamiento, que serán los que se deben asegurar.
17) Para lo anterior, al remover los cables de conexión del medio, se debe precintar cada uno de ellos con identificación de la posición que ocupaban en el equipo y haciendo lo mismo con los puntos de conexión del equipo.
18) Terminada esa tarea, se debe proceder a precintar debidamente todos los tornillos del medio extraído.
19) Luego se empaca el medio en caja o bolsa por separado, dejando constancia de todo lo actuado y su orden en el acta respectiva.
20) Terminadas las operaciones se debe colocar nuevamente la carcaza y precintar la misma y sus tornillos de extracción para poder preservar el resto del equipo por si se presentara la necesidad de pruebas posteriores.
21) Ya concluida la operación se debe proceder al aseguramiento físico del lugar de los hechos como ya se había comentado para opciones anteriores.

En caso de que los equipos a asegurar fueran portátiles (notebook o laptop)

Si lo que se asegura son PDA:

1) Si se encuentra prendida no apagar por ningún motivo.
2) Si se encuentra apagada no prender por ningún motivo.
3) Fotografiar el estado del aparato y de ser posible lo que se muestra en la pantalla.
4) Fotografiar y asentar en actas la marca, el modelo y el número de serie si es que estos son visibles.
5) Precintar todas las entradas y salidas.
6) Precintar todos los puntos de conexión o de admisión de tarjetas o dispositivos de memoria
7) Precintar los tornillos para evitar que se puedan retirar o reemplazar piezas internas.
8) Buscar y asegurar el lápiz que las acompaña.
9) Buscar y asegurar el conector eléctrico.
10) Colocar en una bolsa de faraday, (especial para aislar de emisiones electromagnéticas), si no hubiere disponible, en un recipiente vacío de pintura con su respectiva tapa.
11) Llevar inmediatamente con los peritos para la extracción de la información correspondiente.

Si lo que se asegura son teléfonos celulares:

1) Si se encuentra prendido no apagar por ningún motivo.
2) Si se encuentra apagado no prender por ningún motivo.
3) Fotografiar el estado del equipo y la pantalla.
4) Fotografiar y asentar en actas la marca, modelo y número de serie del equipo si son visibles.
5) Precintar todas las entradas y salidas.
6) Precintar todos los puntos de conexión o de admisión de tarjetas o dispositivos de memoria
7) Precintar los tornillos para evitar que se puedan retirar o reemplazar piezas internas.
8) Buscar y asegurar el conector eléctrico.
9) Colocar en una bolsa de faraday, (especial para aislar de emisiones electromagnéticas), si no hubiere disponible, en un recipiente vacío de pintura con su respectiva tapa.
10) Llevar inmediatamente con los peritos para la extracción de la información correspondiente.

Disponível em: http://www.alfa-redi.org/node/9015