GUÍA OPERATIVA PARA PROCEDIMIENTOS JUDICIALES CON
SECUESTRO DE TECNOLOGÍA INFORMATICA
Leopoldo Sebastián M. GÓMEZ1 Poder Judicial del Neuquén, Argentina
gomezs@jusneuquen.gov.ar
http://sebastiangomez.sytes.net
Abstract
Esta guía operativa para allanamientos está orientada hacia aquellas personas que no tengan
formación técnica suficiente en el manejo de evidencia digital, habiendo sido utilizada por
personal judicial y policial en procedimientos con un alto nivel de complejidad en materia
de coordinación para la localización e individualización de elementos probatorios. Las
prescripciones operativas que se exponen -altamente pragmáticas- han demostrado su
efectividad y simplicidad en las tareas de campo. Este documento tiene además una
finalidad didáctica para aquellos profesionales del derecho que se interesen en ampliar sus
conocimientos, minimizando riesgos procesales en las investigaciones judiciales que
involucren tecnología informática.
1. Introducción
Los procedimientos judiciales complejos conllevan en muchos casos al contacto con
elementos tecnológicos. Existen numerosas razones que pueden llevar a cometer errores en
la identificación y preservación de potencial evidencia digital, así como también en el
aseguramiento de la cadena de custodia. A modo ilustrativo puede citarse la falta de
formación técnica, la ausencia de procedimientos formales, y la dificultad para obtener
documentación en lenguaje nativo ya que la mayor parte del personal policial y muchos
profesionales del derecho no cuentan con un nivel de lectura adecuado en idioma inglés.
Siempre que se trate con personal no técnico, es conveniente realizar -como parte de la
planificación general del procedimiento judicial- una breve explicación de los recaudos a
tomar durante el secuestro de equipamiento informático. Si bien puede suceder que existan
1
integrantes del equipo de trabajo que ya tengan alguna experiencia previa con este tipo de
material, no todos ellos suelen contar con documentación y/o formación adecuada.
Es evidente que durante las tareas de campo es preferible intentar minimizar cualquier error
que pueda hacer fracasar la identificación y secuestro de elementos probatorios, sobre todo
cuando se realizan procedimientos simultáneos con numerosa cantidad de personal
operativo y de coordinación. La base de cualquier caso que involucre evidencia digital es el
manejo apropiado de dicha evidencia. De esta forma, la práctica de identificar, almacenar y
acceder a la evidencia debe ser una rutina al punto de la perfección [1].
2. Sobre formularios y registros de evidencia digital
Actualmente existe en otros países un número considerable de formularios para registrar
sistemáticamente toda la información atinente al secuestro de evidencia digital. El objetivo
principal de un formulario consiste en concentrar toda la información referida a las
intervenciones realizadas sobre el material secuestrado, garantizando la cadena de custodia
y facilitando la tarea pericial. En primer lugar se registra el número del caso, su carátula,
enumeración del material secuestrado, cantidades, y descripción técnica de los elementos
que forman parte del secuestro. Adicionalmente, se incorpora una hoja de ruta, sobre la que
se van registrando las fechas de envío y el nombre y firma del emisor, así como también las
fechas de recepción y el destinatario. Interesa saber quién intervino, quién lo autorizó, la
fecha de la intervención y la actividad realizada. Además de utilizarse estos documentos en
el ámbito judicial y policial a nivel internacional, es muy frecuente el uso de formularios en
laboratorios de informática forense privados y estatales [2].
Si bien estas prácticas son deseables, no es lo que sucede actualmente en el quehacer
jurisdiccional. En Argentina, todos estos pasos quedan registrados en forma discontinua
respecto a la evidencia digital y se incorporan mediante diversas actuaciones al expediente
judicial. El contenido descriptivo del material informático secuestrado queda plasmado en el
acta de allanamiento. Diferido en el tiempo, se realizan diferentes actuaciones conforme lo
requiera la investigación judicial, procediendo a dar intervención a distintos órganos
jurisdiccionales que procesarán la evidencia y determinarán si ésta puede ser utilizada como
material probatorio. La modalidad de trabajo descripta no facilita la atribución de
responsabilidades ante un posible punto de ruptura de la cadena de custodia o una falla en el
Es usual que por impericia del operador jurídico o por carencia de idoneidad del equipo de
investigaciones no queden registradas formalmente ciertas intervenciones, lo que conlleva a
asumir riesgos materiales sobre la evidencia, así como también posibles fallas procesales.
Por lo anteriormente expuesto, es necesario que la identificación y traslado de la evidencia
digital sea efectuada con el debido rigor que la ciencia forense impone a este tipo de
procedimientos. Si bien la guía operativa no tiene por finalidad inmediata cambiar la
modalidad de registrar la información inherente al material informático en el expediente
judicial, contribuye a propiciar un enfoque metodológico para el tratamiento de dichos
elementos probatorios.
3. Guía de procedimiento
En este punto se exponen los pasos prescriptos para la identificación y el resguardo de la
evidencia digital. Si bien es cierto que existen en la actualidad guías de buenas prácticas [3],
[4], [5], muchas de ellas están orientadas a profesionales informáticos [6], [7] o no son
totalmente operativas para ser aplicadas en allanamientos. Existen otras guías sobre manejo
de evidencia digital que abordan esta temática, pero en el ámbito local también presentan
inconvenientes por estar expuestas en otros idiomas [8], lo que las hace inaccesibles a
personas sin estos conocimientos. Todo ello hace que sea necesario ofrecer en la siguiente
guía, un conjunto ordenado de pasos que el personal policial deberá realizar durante un
allanamiento, a saber:
a) Se deben separar las personas que trabajen sobre los equipos informáticos lo antes
posible y no permitirles volver a utilizarlos. Si es una empresa, se debe identificar al
personal informático interno (administradores de sistemas, programadores, etc.) o a los
usuarios de aplicaciones específicas que deban someterse a peritaje. Dejar registrado el
nombre del dueño o usuarios del equipamiento informático ya que luego pueden ser de
utilidad para la pericia. Siempre que sea posible obtener contraseñas de aplicaciones,
dejarlas registradas en el acta de allanamiento.
b) Se deben fotografiar todos los elementos antes de moverlos o desconectarlos. Fotografiar
una toma completa del lugar donde se encuentren los equipos informáticos, y fotos de las
pantallas de las computadoras, si están encendidas. Si un especialista debe inspeccionar el
uso de programas, puede ser conveniente realizar una filmación.
c) Evitar tocar el material informático sin uso de guantes descartables. Dependiendo el
ser utilizados para análisis de huellas dactilares, ADN, etc. Si se conoce que no se realizarán
este tipo de pericias puede procederse sin guantes.
d) Si los equipos están apagados deben quedar apagados, si están prendidos deben quedar
prendidos. Si participa del procedimiento un perito informático y los equipos informáticos
están encendidos, se debe consultar o esperar que el profesional determine la modalidad de
apagado y desconexión de la red eléctrica. Si los equipos están apagados, desconectarlos
desde su respectiva toma eléctrica y no del enchufe de la pared. Si son notebooks es
necesario quitarles la o las baterías.
e) Identificar si existen equipos que estén conectados a una línea telefónica, y en su caso el
número telefónico para registrarlo en el acta de allanamiento.
f) Impedir que nadie –excepto un perito informático- realice búsquedas sobre directorios o
intente ver la información almacenada ya que se altera y destruye la evidencia digital (esto
incluye intentar hacer una “copia” sin tener software forense específico y sin que quede
documentado en el expediente judicial el procedimiento realizado). Sólo un especialista
puede realizar una inspección en el lugar del hecho tendiente a determinar si el
equipamiento será objeto del secuestro y de recolectar –en caso de ser necesario- datos
volátiles que desaparecerán al apagar el equipo.
g) Identificar correctamente toda la evidencia a secuestrar:
g.1) Siempre debe preferirse secuestrar únicamente los dispositivos informáticos que
almacenen grandes volúmenes de información digital (computadoras, notebooks y discos
rígidos externos). También pueden secuestrarse DVD, CDs, diskettes, discos Zip, etc. pero
atento a que pueden encontrarse cantidades importantes, debe ser consultado a un perito en
informática si es procedente o no realizar el secuestro de este material. Los diskettes u otros
medios de almacenamiento (CDs, discos Zips, etc.) deben ser secuestrados únicamente por
indicación de un perito informático designado en la causa o cuando lo especifique la orden
de allanamiento.
g.2) Rotular el hardware que se va a secuestrar con los siguientes datos:
o Para computadoras, notebooks, palmtops, celulares, etc.: N° del Expediente
Judicial, Fecha y Hora, Número de Serie, Fabricante, Modelo.
o Para DVDs, CDs, Diskettes, discos Zip, etc: almacenarlos en conjunto en un
sobre antiestático, indicando N° del Expediente Judicial, Tipo (DVDs, CDs,
g.3) Cuando haya periféricos muy específicos conectados a los equipos informáticos y
se deban secuestrar –por indicación de un perito informático designado en la causa- se
deben identificar con etiquetas con números los cables para indicar dónde se deben
conectar. Fotografiar los equipos con sus respectivos cables de conexión etiquetados.
h. Usar bolsas especiales antiestática para almacenar diskettes, discos rígidos, y otros
dispositivos de almacenamiento informáticos que sean electromagnéticos (si no se cuenta,
pueden utilizarse bolsas de papel madera). Evitar el uso de bolsas plásticas, ya que pueden
causar una descarga de electricidad estática que puede destruir los datos.
i) Precintar cada equipo informático en todas sus entradas eléctricas y todas las partes que
puedan ser abiertas o removidas. Es responsabilidad del personal policial que participa en el
procedimiento el transporte sin daños ni alteraciones de todo el material informático hasta
que sea peritado.
j) Resguardar el material informático en un lugar limpio para evitar la ruptura o falla de
componentes. No deberán exponerse los elementos secuestrados a altas temperaturas o
campos electromagnéticos. Los elementos informáticos son frágiles y deben manipularse
con cautela.
k) Mantener la cadena de custodia del material informático transportado. Es responsabilidad
del personal policial la alteración de la evidencia antes de que sea objeto de una pericia
informática en sede judicial. No se podrá asegurar la integridad de la evidencia digital (por
lo tanto se pierde la posibilidad de utilizar el medio de prueba) si el material informático
tiene rotos los precintos al momento de ser entregado, siempre que no esté descripta en el
expediente judicial la intervención realizada utilizando una metodología y herramientas
forenses por profesionales calificados.
4. Caso práctico de aplicación
En vísperas de efectuar un allanamiento por infracción a la Ley 11.723 (Ley de Propiedad
Intelectual) que incluía el secuestro de material informático, se efectuaron reuniones con
personal policial para coordinar el procedimiento e informar algunas pautas de trabajo. El
equipo estaba constituido por operadores judiciales –Fiscal, Perito Informático Oficial-,
personal policial y otros peritos de parte. Se realizó la entrega de la guía a los participantes,
encargados de coordinar los grupos de trabajo. Es sabido que el conocimiento transmitido
requiere cierto tiempo de asimilación para ponerlo efectivamente en práctica, y por ello, a
fin de minimizar la curva de aprendizaje, las virtudes de la guía ofrecida se centran en su
extensión reducida y practicidad para la ejecución de las actividades prescriptas.
Un operador judicial podría preguntarse si es necesario tomar estos recaudos a la hora de
planificar allanamientos. Es evidente que en procedimientos que involucran elementos
tecnológicos se hace indispensable contar con equipos de trabajo altamente calificados para
obtener resultados que sean relevantes a la investigación judicial. A modo de referencia,
interesa destacar en el presente trabajo que dicha guía fue utilizada exitosamente en varias
oportunidades, entre ellas un procedimiento judicial que involucró treinta allanamientos
simultáneos con más de cien efectivos policiales y personal de apoyo técnico y jurídico.
La simplicidad del lenguaje, sumada a la orientación altamente operativa del documento
permitieron que se lograse respetar la cadena de custodia y realizar una correcta
intervención para la obtención de los elementos probatorios.
5. Conclusiones
El personal que participa en allanamientos que involucra tecnología requiere contar con
capacitación adecuada para evitar que se viole la cadena de custodia, cuyo cometido es esencial
para garantizar la integridad de la evidencia, así como también otras fallas materiales y
procesales. La experiencia demuestra que es necesario proponer un conjunto de acciones que
deben ser ejecutadas sistemáticamente en procedimientos judiciales que involucren el secuestro
de material tecnológico, en especial, en materia informática.
Con la consecución del presente documento se ha logrado definir una guía de procedimiento
estándar para la actuación del personal no técnico en allanamientos. Si bien la misma es
susceptible de actualizaciones y revisiones que amplíen los aspectos considerados, tiene la
cualidad necesaria para ser utilizada de manera efectiva por el personal no técnico que participe
en allanamientos: su operatividad.
6. Referencias
1. Digital Evidence and Computer Crime, Second Edition, Elsevier Academic Press, Casey E.,
(2004).
3. Electronic Crime Scene Investigation: A Guide for Law Enforcement, National Institute of
Justice, Office of Justice Programs, U.S. Department of Justice, (2001).
4. Seizing Computers and other Electronic Evidence: Best Practice Guide, Australasian Center
for Policing Research, (2003).
5. Best Practices for Computer Forensics, Scientific Working Group on Digital Evidence,
(2005).
6. Buenas Prácticas en la Administración de la Evidencia Digital, Cano J., Grupo de Estudios
en Comercio Electrónico, Telecomunicaciones e Informática, (2006).
7. First Responder Guide for Computer Forensics, Handbook, CMU/SEI-2005-HB-001,
(2005).
8. Good Practice Guide for Computer based Electronic Evidence, Association of Chief Police