La versión en PDF del libro, publicado bajo Licencia Creative Commons BY-NC-SA 4.0 puede descargarse aquí.


El presente libro está dirigido a abogados, criminalistas e ingenieros telemáticos y en telecomunicaciones interesados en la aplicación forense de las ciencias de la información en general, y en la telemática forense y su integración en el ámbito penal en particular.

Se recomienda una lectura secuencial de esta obra, sin embargo, de acuerdo a las experiencias y conocimientos de cada lector, y a las motivaciones particulares, es posible abordar cada capítulo como una unidad en sí misma.

Expongo un resumen de cada capítulo, a fin de que el que decida bajarse el libro seleccione los capítulos de acuerdo a su interés y afinidad.


Capítulo 1. Introducción a la Informática Forense, Criminalística e Investigación Penal.

En este capítulo introductorio, a sugerencia de los autores de lectura obligada, se exponen los conceptos generales que vinculan a la ciencia, la investigación criminal y la justicia en el campo de la informática forense. Es imprescindible que los especialistas cuenten con nociones básicas acerca de diversas cuestiones fundamentales: la relación entre ciencia y justicia; las similitudes, diferencias y relaciones existentes entre el conocimiento judicial y el científico; el entorno institucional en el cual los expertos realizan su labor; las fases de un proceso judicial; los procedimientos de trabajo y los diferentes roles de cada protagonista de dicho proceso; entre otros. Es así que se exponen algunos conceptos generales para contribuir a una inserción eficaz de los especialistas en un entorno de trabajo tan particular como lo es el forense, y a la optimización y mejor aprovechamiento del aporte de la Informática en esta área.


Capítulo 2. Aspectos Legales. Los delitos Informáticos.

En este capítulo se introducen algunos aspectos básicos del derecho penal que deben ser tenidos en cuenta para el análisis de los delitos informáticos. Por otra parte, se explica qué son y en qué consisten los delitos informáticos, su regulación por parte del Convenio de Cibercriminalidad de Budapest y la normativa argentina, como así también las implicaciones que tienen las cuestiones de jurisdicción y competencia. Cabe destacar que se procura realizar una redacción sencilla para que pueda ser leído tanto por abogados como por criminalistas e informáticos. No pretende realizarse un análisis exhaustivo de los tipos penales –como se acostumbra en el estudio del derecho-, dado que para ello ya existen otros artículos doctrinarios realizados por otros autores especialistas en la materia, algunos de los cuales son citados en la bibliografía de este capítulo.


Capítulo 3. Investigación Criminal y Penal.

En este capítulo se abordan las cuestiones vinculadas al inicio de una investigación penal, finalidades y características principales, su interrelación con la criminalística, las funciones durante su actuación en el lugar del hecho, y lo atinente a la cadena de custodia. Por otra parte se exponen algunos de los obstáculos y desafíos con los que se enfrentan los investigadores en su labor diaria, vinculados con la investigación en entornos digitales, así como también el análisis de soluciones que aporta el derecho internacional.


Capítulo 4. La prueba, el rol del perito y la actuación forense.

En este apartado se brindan algunas explicaciones sobre el entorno en el cual se lleva adelante un proceso judicial para así poder entender las obligaciones inherentes a la labor pericial, atendiendo al tipo de proceso dónde se encuentran interviniendo, el tipo de materia (civil, laboral, penal, familia) y cuáles normativas regulan -según ello- el actuar forense. Se busca explicar la estructura judicial – usualmente difícil de comprender por quien no tiene conocimientos del campo jurídico- de una forma gráfica.

Asimismo se analizan, bajo un sistema de estructura jerárquica conceptual que sea fácilmente comprensible, las cuestiones relativas a la prueba, su valor y validez; los derechos, obligaciones y deberes de los peritos y las reglas de actuación forense tanto en los procesos civiles como penales, así como también la ley de ejercicio profesional.


Capítulo 5. PURI, Proceso Unificado de Recuperación de Información.

En este capítulo se expone la necesidad de contar con un actuar metódico en la realización de tareas de informática forense y antecedentes internacionales en la materia. Se describe el modelo PURI – Proceso Unificado de Recuperación de Información, su estructura y ejemplos prácticos de aplicación.


Capítulo 6. Aspectos técnicos.

En este capítulo se exponen los conceptos generales que permiten al informático forense comprender y conocer las herramientas que posee el Sistema Operativo para acceder a la información contenida en la memoria principal y en las unidades de almacenamiento desde diferentes niveles de abstracción, facilitando su correcta interpretación.


Capítulo 7. File y Data Carving.

En este capítulo se exponen técnicas de file carving y data carving, utilizadas para recuperar información que se considera eliminada. Se detallan los conceptos generales necesarios para entender los mecanismos que actúan en un sistema de archivos, y en los medios de almacenamiento, lo que genera un ambiente propicio para la persistencia y posterior recuperación de la información. Más adelante se profundiza en los temas de file carving, formatos de archivo, carving básico y distintas técnicas y algoritmos que permiten obtener mejores resultados, y a más bajo nivel data carving, y la búsqueda de información con granularidad menor que un archivo.


Capítulo 8. Recuperación de RAID.

En este capítulo se exponen los conceptos básicos de arreglos RAID y cómo proceder ante su presencia relacionado a las fases, actividades y tareas del modelo PURI más relevantes para estos casos. Finalmente se desarrolla una técnica para reconstrucción de arreglo de discos factible de ser utilizada como último recurso, para la cual se plantea una situación de problema ejemplo, un entorno de pruebas y la técnica propiamente dicha.


Capítulo 9. Análisis Forense de Memoria Principal.

La información contenida en la memoria principal de un equipo computacional puede ser de gran relevancia y hasta un factor de éxito para una investigación de un caso penal (Burdach, 2008). Por el carácter altamente volátil de los datos contenidos en memoria, es clave realizar una captura temprana del contenido de la memoria. Para esto, es necesario entender que toda actividad que se genere en el equipo para realizar un volcado del contenido de la memoria a un archivo, debe minimizarse, dado que modifica la propia evidencia digital.

Es posible encontrar estructuras con datos que sólo se encuentran en memoria y que pueden aportar pruebas de gran relevancia en una investigación. También, el malware o software malintencionado deja rastros que sólo se pueden encontrar en memoria, lo que convierte a su análisis forense en actividad aún más importante.

Este capítulo pretende mostrar las actividades presentes en el análisis forense en memoria, los distintos formatos de volcado de memoria y sus particularidades, las estructuras que se pueden encontrar (particularmente en Microsoft Windows) y los datos que éstas pueden aportar para una investigación judicial y para la búsqueda de presencia de malware.


La versión en PDF del libro, publicado bajo Licencia Creative Commons BY-NC-SA 4.0 puede descargarse aquí.