Buenas prácticas para la recolección de la evidencia digital en la Argentina

Buenas prácticas para la recolección de la evidencia

digital en la Argentina

Nicolás Armilla1, Marisa Panizzi1, Jorge Eterovic1, Luis Torres1.

1 Facultad de Informática, Ciencias de la Comunicación y Técnicas Especiales, Universidad de Morón.

Cabildo 134 - CP (1708) - Morón - Prov. de Bs. As. Tel: 5627-2000

n ic o la s a r m illa @ h o tm a il.c o m , m a r is a p a n iz z i@ o u tlo o k .c o m , jo r g e _ e te r o v ic @ y a h o o .c o m .a r , to r r e s lu @ a r .ib m .c o m

Resumen. E n la R e p ú b lic a A r g e n tin a se e v id e n c ia b a la a u s e n c ia d e u n m a n u a l, u n p r o c e d im ie n to o d e u n c ó d ig o s o b re l a r e c o le c c ió n d e l a e v id e n c ia d ig ita l. E s to c o n lle v o a q u e u n a g r a n c a n tid a d d e c a s o s q u e d a s e n in c o n c lu s o s y sin re s o lu c ió n , h a s ta la c r e a c ió n d e la G u ía d e o b te n c ió n , p r e s e r v a c ió n y tr a ta m ie n to d e e v id e n c ia d ig ita l d e la P r o c u r a c ió n G e n e ra l d e l a N a c ió n A r g e n tin a , e n M a r z o d e l a ñ o 2 0 1 6 . E n e s te tra b a jo se r e a liz a u n a r e v is ió n s is te m á tic a d e g u ía s y b u e n a s p r á c tic a s d e n iv e l in te r n a c io n a l y n a c io n a l, id e n tific a n d o lo s a p o rte s y á re a s d e v a c a n c ia s . S e p r e s e n ta u n c o n ju n to d e b u e n a s p r á c tic a s p a r a l a r e c o le c c ió n d e la e v id e n c ia d ig ita l e n A r g e n tin a , lo g ra n d o s u b s a n a r la s á re a s d e v a c a n c ia id e n tific a d a s . P a r a l a c o r re c ta v a lid a c ió n d e l c o n ju n to d e b u e n a s p r á c tic a s , a p lic a r e m o s e l c o n ju n to a u n c a so d e e s tu d io a p lic a d o a l a r e a lid a d q u e c o n s ta d e l a r e c e p c ió n d e u n m a il m a lic io s o e n u n a c o m p u ta d o ra d e e s c rito rio .

Palabras Clave. I n f o r m á tic a fo re n s e , p e rito in fo rm á tic o , e v id e n c ia d ig ita l, b u e n a s p r á c tic a s , p r o c e d im ie n to s e n la in f o r m á tic a fo re n s e .

1 Introducción

Se ha realizado una investigación exploratoria documental respecto a definiciones de informática forense, antecedentes actuales en el ámbito internacional y nacional.

Darahuge define la Informática Forense como el conjunto muldisciplinario de teorías, técnicas y métodos de análisis, que brindan soporte conceptual procedimental a la investigación de la prueba indiciaría informática [1][2].

Kovacich define la Informática Forense como la aplicación legal de métodos, protocolos y técnicas para obtener, analizar y preservar evidencia digital relevante a una situación en investigación [3].

Gómez define la Informática Forense como aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permite identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. O también lo define como una ciencia que busca reproducir científicamente con una metodología estricta de los hechos acontecidos y su correlación para determinar el grado de impacto, y posteriormente establecer en coordinación con otros entes intervinientes, mecanismos tendientes a evitar nuevamente su ocurrencia, que van desde el marco normativo hasta la utilización de mecanismos técnicos [4].

Listek en el Diario La Nación plantea que el Gobierno quiere normas claras para obtener pruebas digitales en los procesos judiciales [5].

La Procuración General de la Nación menciona que uno de los temas que puede tocarse desde ahora es el relativo a la evidencia digital, ya que su adecuada obtención, conservación y tratamiento es un elemento clave, entre muchos otros, para asegurar el éxito de las investigaciones [6].

Luego de revisar los antecedentes en nuestro país, nos planteamos como problema de esta investigación la escasa maduración de procedimientos para la recolección de la evidencia digital en la informática forense en la República Argentina.

En los últimos años los peritos informáticos se basaron en procedimientos y buenas prácticas de otros países tales como Canadá, Estados Unidos, Reino Unido y Hong Kong. En la actualidad, a partir del año 2016 se cuenta con la nueva resolución de la Procuración General de la Nación [6].

Utilizando el método de revisiones sistemáticas de Argimón [7] se ha realizado una investigación documental sobre los procedimientos y buenas prácticas que se detallan a continuación:

■ Guía de buenas prácticas para evidencia digital. [8]. ■ Computación Forense - Parte 2: Mejores Prácticas. [9]. ■ Guía para recolectar y archivar evidencia - RFC 3227. [10]. ■ Investigación en la escena del crimen electrónico. [11].

■ Guía de obtención, preservación y tratamiento de evidencia digital. [6]. Se ha detectado que el inconveniente de basarse en procedimientos y buenas prácticas de otros países presenta diferencia de factores tecnológicos, sociales, culturales y legales respecto a los de nuestro país.

En este contexto, este artículo presenta las guías y buenas prácticas consideradas para el análisis comparativo (Sección 2), se presenta el conjunto de buenas prácticas para la recolección de la evidencia digital (Sección 3), se presenta un caso de estudio para la validación de la propuesta de solución (Sección 4) y se formulan conclusiones y futuras líneas de trabajo (Sección 5).

2 Guías y Buenas Prácticas consideradas

En esta sección se presentan las guías y buenas prácticas que se han contemplado para el estudio comparativo, la Guía de buenas prácticas para evidencia digital [8]

( s e c c i ó n 2 . 1 ) , C o m p u t a c i ó n F o r e n s e - P a r t e 2 : M e j o r e s P r á c t i c a s . [9 ] ( s e c c i ó n 2 . 2 ) , G u í a p a r a r e c o l e c t a r y a r c h i v a r e v i d e n c i a - R F C 3 2 2 7 . [ 1 0 ] ( s e c c i ó n 2 . 3 ) , I n v e s t i g a c i ó n e n l a e s c e n a d e l c r i m e n e l e c t r ó n i c o [ 1 1 ] ( s e c c i ó n 2 . 4 ) y G u í a d e o b t e n c i ó n , p r e s e r v a c i ó n y t r a t a m i e n t o d e e v i d e n c i a d i g i t a l . [6 ] ( s e c c i ó n 2 . 5 ) . P o r ú l t i m o , s e p r e s e n t a e l r e s u l t a d o d e l a n á l i s i s r e a l i z a d o ( s e c c i ó n 2 . 6 ) .

2.1 Guía de buenas prácticas para evidencia digital.

L a A s o c i a c i ó n d e J e f e s d e P o l i c í a ( A C P O - A s s o c i a t i o n o f c h i e f p o l i c e o f f i c e r s ) d e l R e i n o U n i d o m e d i a n t e s u d e p a r t a m e n t o d e c r i m e n b a s a d o e n i n f o r m á t i c a , p u b l i c ó e s t a g u í a e n e l a ñ o 2 0 1 2 [8 ]. E l p r o p ó s i t o d e e s t e d o c u m e n t o n o e s s o l o p r o v e e r u n a g u í a p a r a a s i s t i r a l a l e y s i n o a s i s t i r a l a i n v e s t i g a c i ó n d e l a s e g u r i d a d i n f o r m á t i c a e i n f o r m á t i c a f o r e n s e t a n t o e n e s c e n a s d e c r í m e n e s c o m o i n c i d e n t e s [8 ]. E s n e c e s a r i o a c l a r a r q u e e s t a g u í a n o p r e t e n d e s e r u n a r e c e t a d e s d e A - Z d e l a f o r e n s i a d i g i t a l , o u n m a n u a l d e i n s t r u c c i o n e s e s p e c í f i c o q u e i n d i q u e c o m o r e a l i z a r t o d a s l a s t a r e a s . D e b e a b a r c a r u n c u a d r o g e n e r a l y p r o p o r c i o n a u n a e s t r u c t u r a s u b y a c e n t e a l o q u e s e r e q u i e r e e n l a s U n i d a d e s F o r e n s e s D i g i t a l e s [8 ].

2.2 Computación Forense - Parte 2: Mejores Prácticas

E l I S F S , I n f o r m a t i o n S e c u r i t y a n d F o r e n s i c S o c i e t y ( S o c i e d a d d e S e g u r i d a d I n f o r m á t i c a y F o r e n s e ) c r e a d a e n H o n g K o n g , p u b l i c ó “ C o m p u t a c i ó n F o r e n s e - P a r t e 2 : M e j o r e s P r á c t i c a s ” ( C o m p u t e r F o r e n s i c s - P a r t 2 : B e s t P r a c t i c e s ) . E s t a g u í a c u b r e l o s p r o c e d i m i e n t o s y o t r o s r e q u e r i m i e n t o s n e c e s a r i o s i n v o l u c r a d o s e n e l p r o c e s o f o r e n s e d e e v i d e n c i a d i g i t a l , d e s d e e l e x a m e n d e l a e s c e n a d e l c r i m e n h a s t a l a p r e s e n t a c i ó n d e l o s r e p o r t e s e n l a c o r t e . S u e s t r u c t u r a e s : a ) I n t r o d u c c i ó n a l a c o m p u t a c i ó n f o r e n s e . b ) C a l i d a d e n l a c o m p u t a c i ó n f o r e n s e . c ) E v i d e n c i a d i g i t a l . d ) R e c o l e c c i ó n d e E v i d e n c i a . e ) C o n s i d e r a c i o n e s l e g a l e s ( o r i e n t a d o a l a l e g i s l a c i ó n d e H o n g K o n g ) . f ) A n e x o s [9].

2.3 Guía para recolectar y archivar evidencia

E l p r o p ó s i t o d e e s t a g u í a e s p r o v e e r a l o s p e r i t o s u n s i s t e m a d e p a u t a s s o b r e l a r e c o l e c c i ó n y a r c h i v o d e e v i d e n c i a s d i g i t a l e s , p a r a u n i n c i d e n t e d e s e g u r i d a d d e t e r m i n a d o [ 1 0 ] . N o h a c e f a l t a i n s i s t i r e n q u e t o d o s l o s p e r i t o s d e l s i s t e m a e s t r i c t a m e n t e d e b e n s e g u i r e s t a s p a u t a s c a d a v e z q u e t i e n e n u n i n c i d e n t e d e s e g u r i d a d , l o i m p o r t a n t e e s p r o v e e r u n a g u í a s o b r e q u e d e b e r í a m o s h a c e r s i e l l o s e l i g e n r e c o l e c t a r y p r o t e g e r l a i n f o r m a r o n r e l a c i o n a d a c o n u n i n t r u s o [ 1 0 ] .

Dicha recolección representa un esfuerzo considerable por parte del perito. En los últimos años se han realizado grandes progresos para acelerar la reinstalación del Sistema Operativo y facilitar la reversión de un sistema a un estado “conocido” haciendo de este modo, la “opción fácil” aún más atractiva. Mientras tanto, poco se ha realizado para suministrar formas fáciles para archivar la evidencia (la opción difícil).

Además las capacidades de memoria y de disco en aumento y el uso más difundido de cautela y de tácticas de cubrir huellas por parte de los atacantes han exacerbado el problema [10].

Si la recolección de evidencia se realiza correctamente, es mucho más útil para aprehender al atacante y representa una oportunidad mucho mayor en ser admitida como hecho en un juicio [10].

Se deberían utilizar estas pautas como una base para formular los procedimientos de recolección de evidencia de sitio y se deberían incorporar los procedimientos de sitio en una documentación de manejo de incidente [10].

Una vez que se hayan formulado los procedimientos de recolección de evidencia de sitio, deberían tener la aplicación de la ley para tu jurisdicción confirmando que son adecuados [10].

2.4 Investigación en la escena del crimen electrónico

La investigación en la escena del crimen electrónico fue creada por el Departamento de Justicia de los Estados Unidos de América en 2001 [11].

Dentro de las principales responsabilidades se encuentran la de preservar la escena crimen electrónico, recolectar y resguardar la evidencia digital [11].

Se ocupa de las situaciones encontradas en la escena del crimen y evidencia electrónica digital [11].

Tratándose de pruebas digitales, los principios forenses y procesales generales se deberían aplicar en:

■ El proceso de recolección, aseguramiento y transporte de pruebas digitales, las mismas no debieran cambiar.

■ Las pruebas digitales sólo deberían ser examinadas por los entrenados expresamente con ese objetivo.

■ Todo lo hecho durante el transporte y el almacenaje de pruebas digitales se debería documentar, conservarse y encontrarse disponibles para la revisión [11].

2.5 Guía de obtención, preservación y tratamiento de evidencia digital

La obtención, conversación y tratamiento de la evidencia digital es un elemento clave, entre muchos otros, para asegurar el éxito de las investigaciones, eje central de preocupación de la comunidad internacional para la investigación transfronteriza eficaz de estos delitos [6].

No pretende abarcar la totalidad de procedimientos a tener en cuenta, ni ahondar en cuestiones técnicas reservadas a los expertos en seguridad y en informática, sino

brindar recomendaciones utilizadas a nivel mundial para incautar, analizar y preservar evidencia digital que deben ser tenidas en cuenta por los operadores judiciales [6].

2.6 Dimensiones consideradas para el análisis

En esta sección se plantean las dimensiones que se han considerado para el análisis de las buenas prácticas y procedimientos a nivel nacional como internacional Las dimensiones consideradas son:

■ Evaluación de escena: El perito informático debe tomar medidas para garantizar la seguridad de todas las personas en el lugar de los hechos y para proteger la integridad de todas las pruebas, tanto tradicionales como electrónicas [11].

■ Herramientas y equipamientos: Generalmente, y dependiendo del problema a analizar, se sugiere aplicar una combinación de herramientas, para asegurar la efectividad que se debe tener en estos casos donde la libertad de las personas puede estar comprometida, y ello podría depender del resultado de una pericia informática aplicando herramientas de forensia.

[12].

■ Dispositivos electrónicos: La mayoría de los dispositivos electrónicos referidos a informática forense se aplica a computadoras y dispositivos digitales en general. Pero también existen otros dispositivos que requieren consideraciones adicionales [9].

■ Recolección: La recolección de la evidencia digital, como cualquier otra evidencia, debe manejarse cuidadosamente y de una manera que preserve su valor probatorio. Esto se refiere no sólo a la integridad física de un artículo o dispositivo, sino también a los datos electrónicos que contiene. Por lo tanto, ciertos tipos de pruebas informáticas requieren una recolección especial [11].

■ Almacenamiento y transporte: Las acciones no deben agregar, modificar o destruir datos almacenados en una computadora u otros medios. Las computadoras son instrumentos electrónicos frágiles que son sensibles a la temperatura, humedad, choque físico, electricidad estática y fuentes magnéticas. Por lo tanto, se deben tomar precauciones especiales al empaquetar, transportar y almacenar evidencia electrónica [11].

■ Análisis: El análisis forense digital se corresponde con un conjunto de técnicas destinadas a extraer información valiosa de dispositivos, sin alterar el estado de los mismos. Esto permite buscar datos que son

conocidos previamente, tratando de encontrar un patrón o

comportamiento determinado, o descubrir información que se encontraba oculta [1][2].

■ Reporte: Los reportes son información escrita con una terminología determinada, haciendo referencia a los detalles específicos de un caso particular [9].

En la Tabla 1, se presenta el grado de cumplimiento de las dimensiones de análisis consideradas para análisis de las buenas prácticas y procedimientos a nivel nacional e internacional.

Tabla 1. T a b la C o m p a r a tiv a d e b u e n a s p r á c tic a s y p r o c e d im ie n to s a n iv e l in te r n a c io n a l y n a c io n a l Internacional Nacional Guía de buenas prácticas para la evidencia digital (ACPO, 2012) Computación Forense - Parte 2 : Mejores Prácticas (ISFS, 2000) Guia para recolectar y archivar evidencia -KFC3227 (RFC, 2002) Investigación en la escena del crimen electrónico (NIJ, 2001) Guia de obtención. preservación y tratamiento de evidencia digital (Procuración General de la Nación, 2016) Eva tu ación de Escena ■ ■ ■ Herram ientas y equrp amiantos ■ ■ ■ ■ Dispositivos electrónicos ■ ■ Recolección ■ ■ ■ ■ ■ Almacenamiento y transporte ■ ■ ■ ■ ■ .Análisis _■ ■ Reporte _{■ ■}

Los resultados de análisis a los cuales se ha arribado con la Tabla Comparativa de (Tabla 1.) permiten formular las siguientes conclusiones: ninguna de las guías y buenas prácticas analizadas custodian las dimensiones analizadas en su totalidad.

A partir de este análisis y de la identificación de las áreas de vacancias detectadas, se propone un conjunto de buenas prácticas para la recolección de la evidencia digital que considere todas las dimensiones analizadas (sección 3).

3 Propuesta del conjunto de buenas prácticas para la recolección

de la evidencia digital en Argentina

El conjunto de buenas prácticas propuesto se denominará “Conjunto de Buenas Prácticas para la Recolección de la Evidencia Digital, cuya abreviatura será Co. Bu. P.R.E.D.A.

Este conjunto de buenas prácticas se compone de siete (7) etapas, en este contexto cada una de las etapas equivale a la dimensión de análisis planteada en la Tabla 1:

1. Evaluación de escena

2. Herramientas y equipamientos 3. Dispositivos electrónicos 4. Recolección

6. Análisis 7. Reporte

Cada etapa propone prácticas y herramientas, las prácticas hacen referencia a las actividades que tiene que realizar el perito en cada etapa y las herramientas refieren a los conocimientos, softwares y artefactos que necesitan para poder llevar a cabo las prácticas en cada etapa. Es importante aclarar que este conjunto de buenas prácticas contempla los factores tecnológicos, legales, sociales y culturales en Argentina.

Este conjunto de buenas prácticas está dirigido a los peritos con el propósito de facilitarles su tarea de recolección de la evidencia digital. Este conjunto puede ser utilizado en su totalidad o ajustándolo a la necesidad de cada uno de los escenarios planteados. Es recomendable que antes de utilizar un conjunto de buenas prácticas sea leído en su totalidad para comprender cuáles son los puntos que se adaptan al caso en particular y cuales no para luego aplicarlos de forma óptima.

En la Figura 1 se presenta un diagrama de flujo, el cual sintetiza la manera de utilización del conjunto de buenas prácticas propuesto.

Figura 2. D ia g r a m a d e flu jo p a r a u tiliz a r C o . B u . P .R .E .D .A

¿Se necesita utilizar Recolección? '¿Se necesita'' utilizar Evaluación de O í Escen i ? > ¿Se necesita u t li zar Reporte?, ¿Se necesita utilizar Almacenamiento Transporte’ -¿Se necesita^ u t li zar Herramiertas y Equipamientos’ ^ ¿Se v necesita u t li zar Análisis?. cSe necesita' utlizar Dispositivos Electrónicos? ri do Leer de fo rm a in te g ra el c o n ju n to d e buenas n arrai Utilizar Recolección Uti izar Eva uacicn de a Escena

U tliz a r R eporte

U tliza r A lm a ce n a m ie n to y T ra n sp o rte

Utilizar H erra m ie n ta s y equipam ientos

J alar Ara isis

4 Caso de estudio para la validación de la propuesta

El caso de estudio seleccionado para validar la propuesta del conjunto de buenas prácticas consiste en la recepción de un mail con una supuesta amenaza que recibe un usuario final en una computadora de escritorio con sistema operativo Windows 10, la cual se encuentra conectada a la energía eléctrica.

La selección de este caso se debe a que es un problema común en el ámbito de la informática forense.

En la Tabla 2, se presenta la aplicación del Conjunto de Buenas Prácticas para la Recolección de la Evidencia Digital en la Argentina (Co. Bu. P.R.E.D.A.) para analizar la supuesta amenaza de un mail malicioso dentro de la computadora de escritorio.

De la aplicación de Co. Bu. P.R.E.D.A. en el caso de estudio (Tabla 2.) se arribó a la conclusión que ha sido necesario considerar las siete (7) etapas del conjunto de buenas prácticas junto con sus prácticas y herramientas.

5 Conclusiones y futuras líneas de trabajo

Se ha presentado una revisión sistemática de guías y buenas prácticas de recolección de evidencia digital que ha permitido identificar las vacancias de los procedimientos existentes.

Se ha logrado la construcción de un conjunto de buenas prácticas compuesta por siete (7) etapas contemplando prácticas y herramientas que se adaptan a los factores tecnológicos, sociales y culturales de Argentina.

Se ha logrado validar el conjunto de buenas prácticas en un caso de estudio. Como futuras líneas de trabajo se identifican:

■ La experimentación del Conjunto de Buenas Prácticas para la Recolección de la Evidencia Digital en Argentina (Co. Bu. P.R.E.D.A.) en casos relacionados a fraudes de telecomunicaciones, violencia doméstica, investigaciones referidas a estupefacientes, amenazas y/o acoso vía correo electrónico, homicidios, copia ilegal de software, abuso infantil y pornografía.

■ Se evidencia un área de vacancia en las copias bit a bit del Sistema Operativo en dispositivos móviles (Android, IOS, Windows phone) y manuales de recolección de evidencia digital para los mismos.

Tabla 2. A p lic a c ió n d e C o . B u . P .R .E .D .A . e n c a s o d e e stu d io .

Etapas Prácticas Herramientas

E v a lu a c ió n d e la e s c e n a -P re se rv ac ió n d e la c o m p u ta d o ra -A isla r la c o m p u ta d o ra d e p erso n as a je n as a la in v estig a ció n -C á m a ra d e fo to s.

-C in ta del lu g a r del crim en. -G u a n tes.

H e r r a m ie n ta s y e q u ip a m ie n to s

-A c tu a liz a c ió n so b re h e rra m ie n ta s y e q u ip a m ie n to s re la cio n a d o s co n la in fo rm á tic a fo ren se.

- C á m a ra d e fo to , c in ta del lu g ar del crim en , g u a n te s, in stru m e n to s n o m ag n é tic o s, b lo c de n o tas, c ajas d e c artó n , reg istro s, e tiq u etas, m a rc a d o r y b o lso an tie státic o . -C o n o c im ie n to so b re W in d o w s 10, h a rd w are , p erifé ric o s, re d es y se g u rid ad in fo rm á tic a.

-P ro g ra m a s p a ra h a ce r c o p ia b it a b it, p a ra e x a m in a r e stad o del siste m a y p a ra g e n e ra r im ágenes. D is p o s itiv o s

e le c tr ó n ic o s

-E v ita r p e rd id a d e in fo rm a ció n v o látil. -In te ré s p rin cip al p o r W in d o w s 10, m ails, h isto rial d e in te rn e t y logs.

-C o n o c im ie n to so b re W in d o w s 10. -C o n o c im ie n to so b re hard w are. -C o n o c im ie n to so b re periférico s. R e c o le c c ió n -E tiq u e ta r, d o c u m e n tar, m arcar,

fo to g ra fia r, film a r y ro tu la r la c o m p u ta d o ra .

-In d iv id u a liz a r to d o s lo s c ab les de la c o m p u ta d o ra .

-V e rific a r re g istro p a ra v e r si se e lim in ó a lg ú n d a to .

-G u a n tes.

-In stru m e n to s n o m a g n é tic o s.

A lm a c e n a m ie n to y tr a n s p o r te -P ro c e d im ie n to d e e m b a la je de c o m p u ta d o ra . -P ro c e d im ie n to d e tra n sp o rte de c o m p u tad o ra. -P ro c e d im ie n to d e a lm a c e n a je de c o m p u ta d o ra . -C a d e n a d e la c u sto d ia . -B lo c de n o tas. -C a ja s d e cartó n . -G u a n tes.

-R e g istro s del in v en ta rio de p ru e b a s.

-E tiq u e ta s a d h esiv a s de p ru e b as. -B o lso a n tie státic o .

-M a rc a d o r p erm an en te. A n á lis is -C o p ia b it a b it del siste m a o p e rativ o

W in d o w s 10.

-E stra te g ia fo re n se (c o n c e n tra rse en los m ails m a licio so s).

-S itu a r d a to s en lista d o d e la e v id e n cia d ig ita l. -C o n o c im ie n to en W in d o w s 10. -P ro g ra m a s p a ra e x am in ar p ro c e so s. -P ro g ra m a s p a ra e x am in ar el estad o del sistem a. -P ro g ra m a p a ra h a ce r c o p ia s b it a b it. -P ro g ra m a s p a ra g e n e ra r im ág en es e se n c ia le s y p a ra p o d e r ex am in arlas.

R e p o r te -G e n era c ió n de re p o rte té c n ic o . -C o n c lu sio n e s alcan zad as.

-C o n o c im ie n to en W in d o w s 10. -C o n o c im ie n to en se g u rid ad in fo rm á tic a .

Referencias

1. D a r a h u g e M a r ia E le n a - A r e lla n o G o n z á le z L u is E n r iq u e , M a n u a l d e in fo rm á tic a fo r e n s e 1, B u e n o s A ir e s , 2 0 1 1 . 2 . D a r a h u g e M a r ia E le n a - A r e lla n o G o n z á le z L u is E n r iq u e , M a n u a l d e in fo rm á tic a fo r e n s e 2 , B u e n o s A ir e s , 2 0 1 2 . 3. K o v a c ic h G e ra ld , H ig h - T e c h n o lo g y C r im e I n v e s tig a to r ’s H a n d b o o k : W o r k in g i n th e G lo b a l In f o r m a tio n E n v ir o n m e n t, U n ite d S ta te s o f A m e r ic a , 2 0 0 0 . 4 . G ó m e z L u is A ., L a i n f o r m á tic a fo re n s e : u n a h e r ra m ie n ta p a r a c o m b a tir la c ib e r d e lin c u e n c ia , B u e n o s A ir e s , 2 0 1 2 . 5. L is te k V a n e s a , E l g o b ie rn o q u ie re n o r m a s c la r a s p a r a o b te n e r p r u e b a s d ig ita le s e n lo s p r o c e s o s ju d ic ia le s , D ia r io L a N a c i o n - A r g e n tin a , v ie r n e s 19 d e a g o s to d e 2 0 1 6 . h ttp ://w w w .la n a c io n .c o m .a r /1 9 2 9 9 1 8 - E L - G O B I E R N O -Q U I E R E - N O R M A S - C L A R A S - P A R A - O B T E N E R - P R U E B A S - D I G I T A L E S - E N - L O S - P R O C E S O S - J U D IC IA L E S

6. P r o c u r a c ió n G e n e r a l d e la N a c ió n , G u ía d e o b te n c ió n , p r e s e r v a c ió n y tr a ta m ie n to d e e v id e n c ia d ig ita l, p u b lic a d a e n l a R e s o lu c ió n P G N - 0 7 5 6 - 2 0 1 6 - 0 0 1 , 31 d e m a rz o d e 2 0 1 6 .

7. A r g im ó n J. 2 0 0 4 . M é to d o s d e I n v e s tig a c ió n C lín ic a y E p id e m io ló g ic a . E ls e v ie r E s p a ñ a , S .A . I S B N 9 7 8 8 4 8 1 7 4 7 0 9 6 .

8. A C P O : A s s o c ia tio n o f C h i e f P o lic e O f fic e rs , G o o d P r a c tic e G u id e f o r D ig ita l E v id e n c e , R e in o U n id o , 2 0 1 2 .

9. IS F S : In f o r m a tio n S e c u rity a n d F o r e n s ic S o c ie ty , C o m p u ta c ió n F o r e n s e - P a rte 2: M e jo r e s P rá c tic a s , H o n g K o n g , 2 0 0 9 .

10. R F C : R e q u e s t f o r C o m m e n ts , R F C 3 2 2 7 : G u ía p a r a r e c o le c ta r y a r c h iv a r e v id e n c ia ,

20 0 2.

11. N IJ : N a tio n a l In s titu te o f J u s tic e , E le c tr o n ic C rim e S c e n e In v e s tig a tio n : A G u id e fo r F i r s t R e s p o n d e r s - S e c o n d E d itio n , W a s h in g to n , 2 0 0 1 .

12. P ic c ir illi D a rio , L a f o r e n s ia c o m o h e r ra m ie n ta e n l a p e r ic ia in fo rm á tic a , B u e n o s A ir e s , 2 0 1 3 . 13. P ic c ir illi D a rio . P R O T O C O L O S A A P L I C A R E N L A F O R E N S I A I N F O R M Á T I C A E N E L M A R C O D E L A S N U E V A S T E C N O L O G ÍA S ( P E R I C I A - F O R E N S I A y C IB E R C R 1 M E N ), L a P la ta - P ro v . B u e n o s A ir e s , 2 0 1 5 . 14. E N F S I: E u r o p e a n N e tw o r k o f F o re n s ic S c ie n c e I in s titu e s , G U ID E L IN E S F O R B E S T P R A C T I C E I N T H E F O R E N S I C E X A M I N A T I O N O F D I G I T A L T E C H N O L O G Y , E u r o p a , 2 0 0 9 . 15. A c u r io D e l P in o S a n tia g o , M a n u a l d e M a n e jo d e E v id e n c ia s D ig ita le s y E n to r n o s I n fo rm á tic o s . V e r s ió n 2 .0 , E c u a d o r , 2 0 0 9 . 16. D a r a h u g e M a r ia E le n a - A r e lla n o G o n z á le z L u is E n r iq u e , L a c a d e n a d e c u s to d ia in fo rm a tic ó fo re n s e , B u e n o s A ir e s , 2 0 1 6 .

17. D a r a h u g e M a r ia E le n a - A r e lla n o G o n z á le z L u is E n r iq u e , A p lic a c io n e s C re a tiv a s e I n n o v a d o ra s e n In fo rm á tic a . D e s a r r o llo s in fo rm á tic o s c r e a tiv o s e in n o v a d o re s , B u e n o s A ir e s , 2 0 1 6 .