Entradas
El 26 de noviembre de 2021 se publicó en el Boletín Oficial de la Nación la Resolución 528/2021 del Ministerio de Seguridad (en adelante, la “Resolución 528/21”)[1], que aprueba el Protocolo de Actuación para la Investigación Científica en el Lugar del Hecho[2](en adelante, el “Protocolo”).La Resolución 528/21 establece que el Protocolo será de aplicación obligatoria para las fuerzas policiales y de seguridad federales[3].
El objetivo del Protocolo es unificar y actualizar la normativa existente respecto de procedimientos policiales a seguir para la preservación de la escena del hecho, las pruebas que allí se encuentran y para el rótulo de elementos probatorios.[4] La armonización y modernización del Protocolo resulta de utilidad ya que en el último tiempo no solo se han incorporado nuevas prácticas de investigación forense y herramientas para tal labor, sino también -a nivel social- se ha incrementado la manipulación de dispositivos electrónicos y su asociación con hechos que requieren investigación.
A continuación, mencionaremos los conceptos que el Protocolo define[5] para luego referirnos a las novedades que introduce en materia de investigación pericial informática.
I. Definiciones
En lo que respecta a este trabajo y como premisa para introducirnos en la problemática de los elementos informáticos que puedan servir como prueba en un proceso, el Protocolo define (i) potenciales elementos de prueba digital, (ii) algoritmo hash y (iii) evidencia digital.
Según el Protocolo, un Potencial Elemento de Prueba Digital (en adelante, “PEP digital”) es cualquier dato (registro y/o archivo) generado, transmitido o almacenado por equipos de tecnología informática, constituido por campos magnéticos y pulsos electrónicos, los cuales pueden ser recolectados y analizados con herramientas y técnicas especiales[6].
Con relación al algoritmo hash, el Protocolo lo define como “función matemática unidireccional e irreversible que convierte cualquier tamaño de datos (cualquier archivo o conjunto de ellos, sean texto, ejecutables, de audio, imágenes, videos, etc.) en un número de longitud fija”. En consecuencia, explica que “si se modifica el archivo original, cambiando, aunque sea sólo un bit y se repite la operación, el número de HASH generado difiere notoriamente del anterior, lo que permite asegurar la integridad de los datos preservados ante maniobras posteriores de modificación y/o adulteración”[7].[8]
Finalmente, con lenguaje llano el Protocolo define evidencia digital como “cualquier información que, sujeta a una intervención humana, electrónica y/o informática, ha sido extraída de cualquier clase de medio tecnológico informático (computadoras, celulares, aparatos de video digital, medios ópticos, etc.)”. Y agrega que “es un tipo de evidencia física que está constituida por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales[9]”.
II. Lineamientos para el aseguramiento, recolección y preservación de la evidencia digital
Adicionalmente, el Protocolo se encarga de la preservación, exploración, localización, valoración y recolección de potenciales elementos de prueba digitales, y de su cadena de custodia.
En tal sentido, en el capítulo IV “Preservación del lugar del hecho y potenciales elementos de prueba”, se establece el principio general de que ante la presencia de PEP digitales[10] en el lugar del hecho, se debe realizar una consulta remota con el área especializada de la fuerza preventora a efectos de preservar adecuadamente la información que aquellos PEP digitales pudieran contener. Asimismo, se establece que los PEP digitales no deben manipularse innecesariamente ni ser utilizados para buscar información; excepto cuando se prevea adquirir datos volátiles o se efectúen operaciones urgentes de triage[11] bajo las directivas de especialistas en informática forense[12].
Por su parte, el capítulo X “Exploración, localización, valoración y recolección de Potenciales Elementos de Prueba”; dedica particular atención al “especialista en informática forense” (en adelante, el “Especialista”). Dicho Especialista será el responsable de la exploración, localización, valoración, extracción y/o secuestro de PEP digitales. Se mencionan 4 principios que deben cumplirse durante el proceso de identificación, recolección y adquisición de PEP digitales, ellos son: (i) relevancia, (ii) suficiencia, (iii) validez legal y (iv) confiabilidad.[13]-[14]
En adición a lo anterior, el Protocolo exhorta al Especialista a intervenir de acuerdo con los protocolos específicos y actualizados en la materia, aplicando las buenas prácticas reconocidas de su especialidad[15].Resulta de interés destacar en este punto que, como explicamos en obras anteriores, “en el ámbito informático se denominan buenas prácticas o mejores prácticas a ciertas formas de realizar actos que, si bien no resultan obligatorias legalmente, son aceptadas generalmente como las más adecuadas y eficientes”[16].
En el Protocolo se señalan -con carácter enunciativo y no taxativo- algunos medios tecnológicos que pueden ser considerados como PEP digitales. Ellos son:
(i) equipos informáticos sean portátiles o no (PC, notebook/netbook, tablet, módems, etc.);
(ii) equipos de comunicación de telefonía celular o elementos de estos equipos (tarjetas de memoria, tarjetas SIM etc.);
(iii) equipos de posicionamiento global (GPS);
(iv) equipos de registros fílmicos y/o fotográficos o elementos de estos equipos (discos ópticos, cintas, tarjetas de memoria, etc.);
(v) vehículos aéreos no tripulados (drones);
(vi) dispositivos de almacenamiento (pendrives, disco externo etc.), dispositivos ópticos (DVD, CD, etc.); y,
(vii) dispositivos IOT (relojes inteligentes, televisores inteligentes, etc.)[17].
Con relación al momento en el que el Especialista debe iniciar su actuación, el Protocolo establece un orden de intervención de peritos forenses de distintas materias. En tal sentido, aconseja que la intervención del Especialista sea posterior a la actuación de peritos que lleven a cabo la exploración y levantamiento de PEP de interés papiloscópico y/o químico biológico que pudieran encontrarse sobre los medios tecnológicos informáticos[18].En caso de que el Especialista deba intervenir antes que especialistas de otras materias, deberá usar guantes y la protección adecuada que impida y/o disminuya la alteración o destrucción de PEP que pudieran encontrarse sobre los dispositivos[19].
Respecto del nivel de discrecionalidad del Especialista, el protocolo exige autorización judicial previa en los siguientes casos:
(i) cuando los PEP digital sean muy voluminosos o exista excesiva cantidad de ellos en el lugar del hecho y se tenga conocimiento preciso de los datos o clase de datos que se buscan, o se encuentren afectados derechos de terceros[20];
(ii) extracción de datos en “vivo” de los dispositivos[21];
(iii) extracción de datos en la “nube”, en este caso la autoridad judicial determinará el objeto y alcance de dicha medida[22]; y,
(iv) presencia de criptoactivos[23], en este caso determinará la autoridad judicial el temperamento a adoptar[24].
Todas estas restricciones al accionar del Especialista resultan razonables para evitar que éste pueda incurrir en el delito penado en el art. 153 bis del Código Penal de la Nación[25].
El Protocolo exige al Especialista hacer constar en el acta y/o informe correspondiente una fijación narrativa, precisa y detallada que suministre una noción clara:
(i) del lugar donde fueron hallados los medios tecnológicos informáticos;
(ii) de toda incidencia que hubiere acontecido durante el procedimiento policial, de los PEP de su interés detectados y el estado en que fueron hallados (encendido/apagado), incluyendo las características identificativas de cada dispositivo (por ejemplo, daños, marca, modelo, número de serie y cualquier marca de identificación); y,
(iii) de fotografías, filmaciones y planos del lugar y del sitio de ubicación de cada elemento detectado – de ser necesario para complementar la información-[26].
Respecto de la “Cadena de custodia”, el capítulo XI menciona cómo deben clasificarse y rotularse los elementos de prueba de naturaleza informática[27]. Brevemente, el concepto de cadena de custodia ha sido utilizado desde antaño en el ámbito penal vinculado con el derecho de defensa. Consiste en la trazabilidad de la recolección, almacenamiento y resguardo de los elementos que sirven de prueba en una investigación judicial. Si la cadena de custodia se rompe, no hay forma de garantizar que el elemento probatorio se corresponde con el que fue encontrado en la escena del hecho. Tal incertidumbre determina principalmente que las partes involucradas no puedan ejercer el debido control sobre la producción de esa prueba, afectando así la garantía constitucional de defensa en juicio. Es por ello que oportunamente hemos recomendado seguir ciertos principios básicos para el resguardo de la cadena de custodia, ellos son: (i) inalterabilidad de la información; (ii) aptitud técnica de quien lleva adelante los actos; (iii) documentación del proceso; y, (iv) cumplimiento de normas aplicables[28].
El Protocolo enuncia que los PEP digitales deben ser clasificados y embalados de manera individual y adecuada según los específicos requerimientos técnicos de cada objeto[29]-[30].
De igual manera se hace énfasis en el detallado de los PEP digital y en la descripción precisa y de identificación única que debe llevar el rótulo que acompañará el embalaje. En caso de haberse practicado alguna medida técnica sobre el elemento, deberá hacerse constar en el acta y/o informes técnicos y/o en el “Formulario de Cadena de Custodia N°…”[31].
Por último, exige que el producto de las intervenciones técnicas en el lugar del hecho donde se hayan extraído y copiado datos (volcado de memoria RAM, etc.) esté con sus respectivos valores de algoritmo hash. Se recomienda la obtención de al menos 2algoritmos (MD5 y SHA1, etc.)[32].
Un dato no menor del Protocolo son los documentos que toma como sustento de su contenido, y que remite a:
(i) la “Guía de obtención, preservación y tratamiento de evidencia digital”, aprobado por la Resolución 756/2016 de la Procuración General de la Nación[33];
(ii) “La Guía Integral de Empleo de la Informática Forense en el Proceso Penal” del Laboratorio de Investigación y Desarrollo de Tecnología en Informática Forense[34];
(iii) el “Protocolo general en la investigación y proceso de recolección de pruebas en ciberdelitos”, aprobado por la Resolución 234/2016 del Ministerio de Seguridad[35]; y,
(iv) “Guidelines to Digital Forensics First Responders”, de Interpol[36].
III. Conclusiones
La elaboración y/o actualización de protocolos y/o guías que establecen lineamientos a seguir por el personal de las fuerzas policiales y de seguridad en labores científico-periciales demuestra sinergia con los avances socio-tecnológicos y las políticas públicas y decisiones que los distintos poderes del Estado vienen adoptando.
En este sentido, el correcto aseguramiento, recolección y preservación de la prueba informática por parte de las instituciones públicas conducirá a que, entre otras cuestiones, los procesos judiciales no se extiendan innecesariamente y permitirá al órgano jurisdiccional del Estado valorar la prueba eficientemente.
El avance de la tecnología ha puesto en crisis las máximas de la experiencia y percepción sensorial de los elementos que pueden encontrarse en la escena de un hecho. Que las prácticas periciales consecuentes e inmediatas a llevar a cabo en donde se da un acontecimiento susceptible de investigación formen parte de un cuerpo legislativo robusto permitirá “tener reglas claras” para que se realicen actos precisos, eficaces y eficientes -sin desmedro de los derechos fundamentales en juego-.
