You are on page 1of 9

ING.

MILTON HINOJOSA DELGADO
&
TITO LOYOLA MANTILLA
ESPECIALISTAS EN INFORMÁTICA FORENSE

1.

GENERALIDADES

Página

1

INFORME TÉCNICO INFORMÁTICO 2013
 Milton Danilo HINOJOSA DELGADO, Ingeniero de Sistemas con CIP
N° 132415, identificado con DNI N° 40623608, con domicilio en la calle
cerro prieto 235 - Surco - Lima.
 Luis Tito LOYOLA MANTILLA, Perito criminalístico, especializado en
investigación de delitos informáticos y computacionales, identificado
con DNI. N° 08691869, con domicilio en la avenida Canevaro 1529 202 Lince – Lima.
2.

DATOS DEL SOLICITANTE
Mg. Elmer MIO CHÁVEZ, identificado con DNI N° 16426735, con
ddomicilio real en la calle las Colinas No 201 de la urbanización 3 de
Octubre - Chiclayo, asesorado por la Dra. Amanda Julia VARIAS
CÉSPEDES, con Colegiatura: ICAL 3253 y domicilio procesal en la
avenida Luis Gonzales No 180 - 1er Piso - CHICLAYO.

3.

PUNTOS DE ANÁLISIS INFORMÁTICO
Teniendo en consideración las documentales, presentadas en fotocopias
por la parte solicitante, que se mencionan:
a.
b.
c.
d.
e.
f.
g.

Carta N° 0149-2013/GG-USS del 19AGO2013
Carta de despido del 24JUL2013
Informe 0239-2013/DRH-USS del 12JUN2013 (impreso 19JUL2013)
Carta de descargo del 15JUL2013
Carta de preaviso de despido del 10JUL2013
Informe N° 010-2013/DTI-USS del 21JUN2013
Acta de entrega y recepción del 24AGO2011
Se desea verificar:
a. Sí, para analizar la computadora laptop, marca HP, en la que
supuestamente se encontró 141MB de información almacenada en
la laptop asignada a su persona, de los años 2010, 2011, 2012 y
2013 correspondientes a la SCRL M&S LOGISTI-K que según el
Informe No. 010-2013/DTI-USS del 21JUN2013, y si este hallazgo
digital se realizó desde la copia espejo y/o bajo los procedimientos

Página

2

establecidos para autenticar y garantizar su admisión y validez en un
proceso administrativo – laboral.
b. Sí, se cumplió con asegurar mediante el uso y/o generación de las
firmas checksum a los 141MB de información almacenada en la
laptop asignada durante los años 2010, 2011, 2012 y 2013
correspondientes a la SCRL M&S LOGISTI-K, contenida en la
laptop y la respectiva verificación de su autenticidad de la copia de
dicha carpeta.
c. El perfil profesional del auditor informático, para auditar un equipo de
cómputo.
d. Si, los 141MB de información almacenada en la laptop asignada al
empleado, de los años 2010, 2011, 2012 y 2013 correspondientes a
la SCRL M&S LOGISTI-K, ha sido accesada antes del mes de junio
2013, en que fue analizada por la Dirección de Tecnologías de la
Información de la Universidad Señor de Sipan de Chiclayo.
4.

ESTUDIO Y CRITICA DESDE LA INFORMÁTICA FORENSE DE
DOCUMENTOS PRESENTADOS POR EL SOLICITANTE
a. Explicar en qué consiste la copia de bit a bit, copia espejo o imagen de
disco; y su aseguramiento de la evidencia digital.
b. Mencionar que herramientas básicas se usan para obtener la copia de
bit a bit y su aseguramiento.
c. Explicar los pasos para analizar indicios binarios y obtener la evidencia
digital, con fines probatorios.
d. Explicar los cuidados del equipo o unidad de almacenamiento que
contiene los 141MB de información almacenada en la laptop asignada a
su persona, de los años 2010, 2011, 2012 y 2013 correspondientes a la
SCRL M&S LOGISTI-K, considerada como fuente de evidencia digital.

5.

PROCEDIMIENTOS A EMPLEARSE
5.1. Ámbito del informe técnico

Página

3

El objetivo del análisis informático forense de dispositivos
electrónicos (ordenadores personales, servidores, agendas
electrónicas, teléfonos móviles, etc.) es la identificación de rastros
digitales que evidencien que cierto suceso ha ocurrido en el
dispositivo. Estas evidencias pueden ser usadas en un juicio.
5.2. Normas y estándares para auditar e inspeccionar
informáticos

equipos

 La norma ISO 17799 (Seguridad Informática) en su versión de
2007 - segunda edición, emitida por INDECOPI, mediante
Resolución N° 01-2007/CRT.
 El modelo Cobit (Sistemas de Información)
 La metodología ITIL (Gestión de Servicios)
 Organización Internacional para la Estandarización (ISO) y
la
Comisión Electrotécnica Internacional (IEC)
5.3. Informática Forense aplicada para la obtención técnica y legal
de la evidencia digital
Consiste en la aplicación de técnicas científicas y analíticas
especializadas a la infraestructura tecnológica que nos permite
identificar, preservar, analizar y presentar datos que sean válidos
dentro de un proceso legal, conocidas como "evidencia digital".
Dichas técnicas incluyen reconstruir el bien informático, examinar
datos residuales, autenticar los indicios binarios y explicar las
características técnicas del uso aplicado a los datos y sistemas
informáticos.
5.4. Importancia del aseguramiento de la evidencia digital detectada,
extraída y analizada, basada en el principio de contradicción en
los procedimientos administrativos y/o procesos civiles y
penales.
En un procedimiento administrativo y/o procesos civiles y penales,
cuando se presenten "pruebas electrónicas" contra empleados,
demandados o denunciados, se recomienda el aseguramiento de la
prueba a través de una copia espejo, llamada también copia de bit a
bit o espejo, que debe ser idéntica al contenido de data almacenada
en los dispositivos electrónicos o medios digitales (Computadoras,
memorias, discos duros, móviles, etc.) que hayan estado a cargo de
investigado.

4
Página

Un aseguramiento permite obtener una copia espejo de todas las
unidades de almacenamiento de data perteneciente a una
computadora, y es la que será sometido a inspección o análisis en
procura de detectar, ubicar y extraer los 141MB de información
almacenada en la laptop asignada a su persona, de los años 2010,
2011, 2012 y 2013 correspondientes a la SCRL M&S LOGISTI-K,
como es el caso materia de estudio técnico a cargo de los
especialistas suscribientes.
En los incidentes informáticos o investigaciones internas de
instituciones o empresas, que no revelen indicios de delitos
informáticos o computacionales, la computadora o por lo menos el
disco duro del equipo, deberá ser puesta bajo custodia, en diligencia
realizada por fedatario o notario público, y consiste en embalar en
sobre papel o polímero, lacrado con cintas de embalaje trasparente y
firmado por el encargado de realizar la investigación, del investigado
y suscrito por el notario público de la jurisdicción.
Dicha custodia del equipo informático, dentro de la entidad
empleadora, tiene el único fin de poder acceder a la data existente a
fecha de la obtención de la copia espejo de la computadora que
contiene los 141MB de información almacenada en la laptop
asignada a su persona, de los años 2010, 2011, 2012 y 2013
correspondientes a la SCRL M&S LOGISTI-K, considerada como
"evidencia digital", de tal forma que sí posteriormente el "trabajador
despedido" no está conforme con los informes elaborados por los
auditores de parte de la empleadora; podrá ser verificado y
comprobado por otros expertos o especialistas para despejar las
observaciones que pueda ser peticionado por el trabajador en el
procedimiento o procesos judiciales.
Por los incidentes informáticos o irregularidades que se cometen
internamente en las empresas o instituciones por parte de los
trabajadores con sistemas informáticos o dispositivos móviles y de
almacenamiento da data, es imprescindible que las empleadoras
dispongan de un procedimiento informático sobre la obtención de
pruebas en medios digitales en un procedimiento administrativo,
incidiendo en la actuación inmediata, técnica y con herramientas
básicas por parte del responsable de la investigación, para que en
primero orden obtener la copia espejo y aseguramiento del equipo
informático para posteriormente llevar a cabo un análisis forense en
un laboratorio informático forense profesional para obtener así la

Página

5

evidencia digital que reflejen o prueben la conducta irregular
atribuida al trabajador
Esta información (evidencia digital), puede ser utilizada a nivel
interno única y exclusivamente para procedimientos administrativos
internos a la empleadora y visionar en el supuesto que el conflicto se
complique, para presentar como informe pericial ante un proceso
judicial.
La importancia recae en que al inspeccionar un sistema informático
o computadoras, con el propósito de obtener evidencias
digitales
con fines probatorios en cualquier tipo de controversia, informáticas
de un fraude garantizando que la fuente original de la información, el
móvil, el ordenador, el disco, etc... no se altere ni manipule durante
un proceso.
Un profesional informático o de sistemas, debe conocer que una
inspección,. ubicación, recupero y extracción de la "evidencia
digital", nunca se hace directamente al equipo informático implicado,
procurando garantizar que la fuente original de la información, el
móvil, el ordenador, el disco, etc., no se altere ni manipule durante
un proceso de inspección o análisis.
sino
Una vez que disponemos de copias exactas de los dispositivos
origen, se procede al análisis de los rastros en el mismo, con el
propósito de detectar cualquier rastro digital, memoria volátil,
ficheros existentes, borrados, protegidos con contraseña, ocultos
mediante el uso de distintas técnicas (características del sistema de
ficheros, criptografía, esteganografía), tráfico de red, registros
del
sistema, etc.
Finalmente en el informe técnico se detallará el proceso de
análisis con los resultados obtenidos desde el punto de vista técnico,
haciendo uso de imágenes de la captura de pantallas, códigos de las
firmas de seguridad y demostración de la verificación de
correspondencia entre la fuente y copia espejo que contiene la
"evidencia digital".
5.5. Opinión de las actuaciones de la Dirección de TI de la
empleadora – Universidad Señor de Sipan.

Página

6

Como se aprecian en los diversos informes proporcionados por la
parte solicitante, elaborados y presentados por xxxxx en su calidad
de gerente de IT de la entidad empleadora:
a. No ha aplicado ninguna de las técnicas para obtener y asegurar
la evidencia digital.
b. Como responsable de IT, no ha diseñado políticas, protocolos o
métodos para inspección, analizar y presentar evidencia digital
en un procedimiento administrativo.
c. El análisis se ha efectuado directamente al equipo informático
implicado, lo cual para profesionales de IT. no han tomado las
medidas de seguridad de la custodia de la computadora ante
posteriores cuestionamientos o actuaciones probatorias
necesarias en procesos judiciales (civiles-laborales o penal)
d. Para obtener verdaderas "evidencias digitales", no es necesario
contar con RAID.
5.6.

Algunos aspectos legales que deben tener presente el abogado
defensor
a. La Ley de Fomento del Empleo señala que el trabajador tiene un
plazo de 30 días para impugnar el despido, a cuyo vencimiento
caduca su derecho a ser indemnizado o a ser repuesto. Hasta
1999 los jueces laborales computaban el plazo de caducidad en
días naturales, pero en dicho año se adoptó el criterio de que el
plazo debe computarse en días hábiles. 10 años después me
complace haber promovido dicho cambio.
Articulo completo y base legal
http://es.scribd.com/doc/13846068/Articulo-El-regimenespecial-de-caducidad-de-derechos-laborales-Robert-delAguila-Vela

b. Breves consideraciones sobre la prueba en el proceso
contencioso administrativo peruano
http://trabajadorjudicial.wordpress.com/breves-consideracionessobre-la-prueba-en-el-proceso-contencioso-administrativoperuano/

Página

7

Asimismo el abogado debería considerar algunos principios del
procedimiento administrativo, relacionados al tema.
c. Para el aspecto técnico forense de la evidencia digital, base para
determinar la causa de despido laboral, se debe considerar el
punto 13.2.3, folio 160 de la norma ISO 17799 (Seguridad
Informática) en su versión de 2007 - segunda edición, la cual
esta en el siguiente link.
http://www.bvindecopi.gob.pe/normas/isoiec17799.pdf

8
Página

6. CONCLUSIONES

a. En el presente caso, los responsables de IT, de la Universidad Señor
de Sipan, en especial la xxxxxxx, no han cumplido con elaborar
previamente el protocolo o métodos para inspección y analizar un
equipo informático en procura de obtener "evidencia digital" y usarse
como prueba de conducta del empleado en un procedimiento
administrativo.
b. La intrusión, hallazgo y presentación de la prueba digital, consistente
en la detección de los 141MB de información almacenada en la laptop
asignada a su persona, de los años 2010, 2011, 2012 y 2013
correspondientes a la SCRL M&S LOGISTI-K, se ha realizado
directamente al equipo,
acciones técnicas ejecutadas por un
profesional que atenta contra los principios de seguridad e integridad
de la data, contraviniendo lo dispuesto por norma ISO 17799
(Seguridad Informática) en su versión de 2007 - segunda edición,
acápite 13.2.3.
c. El responsable de presentar el Informe No. 10, en la que prueba el
hallazgo de los 141MB de información almacenada en la laptop
asignada a su persona, de los años 2010, 2011, 2012 y 2013
correspondientes a la SCRL M&S LOGISTI-K, no ha hecho uso de
ninguna herramienta que permita obtener en primer orden, la copia
espejo y posteriormente la firma checksum a fin de mantener su
integridad; como esta prescrita en norma ISO 17799 (Seguridad
Informática) en su versión de 2007 - segunda edición, acápite 13.2.3.

Página

9

c. No se ha dispuesto, por parte de la empleadora, la custodia del equipo
informático, en forma técnica y legal, con la participación del empleado
y fedatario o notario público de la jurisdicción, como está prescrita en
norma ISO 17799 (Seguridad Informática) en su versión de 2007 segunda edición, acápite 13.2.3.
7. SUGERENCIAS

Que, el solicitante peticiones ante la Universidad Señor de Sipan de
Chiclayo, que le permita realizar una diligencia técnica con participación de
los especialistas suscribientes, a fin de:
a.
b.
c.

Verificar el estado actual del equipo informático
Obtener la copia espejo y asegurarlo con sus códigos hash
Ser analizarlo en busca de la evidencia digital - "141MB de
información almacenada en la laptop asignada a su persona, de los
años 2010, 2011, 2012 y 2013 correspondientes a la SCRL M&S
LOGISTI-K", almacenada en la computadora laptop HP.

Lima, agosto del 2013