WHATSAPP COMO MEDIO DE PRUEBA. CAPTURAS DE PANTALLA. METADATOS. EVIDENCIA DIGITAL. PERICIAS INFORMÁTICAS.

Ref. Doctrina Especial para UTSUPRA. Derecho Informático. Whatsapp como medio de prueba. Capturas de pantalla. Metadatos. Evidencia digital. Pericias informáticas. Por Dr. Hugo Daniel Sorbo, Secretaria Letrada de Delitos Informáticos, Ministerio Público de Defensa de la CABA.- SUMARIO: Whatsapp. Evidencia digital. Control de cadena de custodia y pericia informática. Tipo de extracciones forenses sobre teléfonos celulares. Extracción física. Extracción lógica. Extracción de sistema de archivos. Metadatos. En documentos de texto, archivos PDF y todo tipo de archivo multimedia. Conclusión. 

 Cantidad de Palabras: 2627 Tiempo aproximado de lectura: 9 minutos

Whatsapp

A los fines de abordar esta temática tenemos que tener presente que whatsapp, es una aplicación de mensajería instantánea, que corre en sistemas operativos de teléfonos celulares; permite enviar y recibir mensajes escritos, audios, videos e imágenes. Esta aplicación está disponible para Smartphone y hoy es el medio de comunicación más rápido y seguro, porque las comunicaciones están encriptadas entre emisor y receptor, esto es, se
protegen las conversaciones, mensajes, gracias a su sistema de cifrado entre los extremos.

Dicho esto, veremos la importancia del whatsapp como evidencia digital y como medio de prueba en causas judiciales.

Tanto los mensajes, como los audios, videos, fotografías capturados en un dispositivo que hayan sido enviadas/recibidas por esta aplicación adquieran el carácter de evidencia digital y por tanto podrán ser válidas en una causa pero para ello hay que “convertirlos” en una prueba digital.

La evidencia digital es todo dato intangible resguardado en algún dispositivo de almacenamiento magnético o digital. Esa evidencia se recolecta, se almacena y luego se analiza con herramientas de informática forense y técnicas especiales.

La Ley 25.506 de firma digital establece que firma electrónica es el conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación y define al documento digital como la representación digital de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo.

Podemos decir entonces que los mensajes de WhatsApp son considerados documentos electrónicos, que genera contenidos digitales que pueden ser
evidencia digital en una causa y constituyen una fuente de prueba. Mediante una vía electrónica, cualquiera sea, se produce un intercambio de información, de documentos electrónicos, lo cual se denomina como Dato Electrónico.

Este dato electrónico, hay que extraerlo del equipo lo cual nos lleva a la trabajar en la denominada pericia informática, la que nos dará la validez a la evidencia digital extraída de los dispositivos.

Es fundamental tanto para la defensa como para la acusación la verificación de la desintervención de los efectos y el control de cadena para la causa. Se debe tener presente que la cadena de custodia es un registro minucioso del movimiento de la evidencia digital durante el proceso probatorio que indica con exactitud las actividades realizadas, las personas responsables, momento y estado al contacto con la evidencia. La misma se inicia al momento de recolección de la prueba y finaliza al finalizar la etapa probatoria.

Se preserva el equipamiento informático y todo elemento que pueda ser de valor para la causa. Luego, se extrae la información con herramientas de informática forense y técnicas especiales.

Se debe identificar el equipo, el titular de la línea telefónica, la marca, el modelo, el IMEI del teléfono celular, si cuenta con tarjeta SIM y en su caso de que empresa de telefonía celular se trata, el número de la misma, si tiene tarjeta de memoria, la marca, el número y la capacidad. Luego se conecta el dispositivo al software forense y se identifica la versión, para luego realizar la extracción forense que corresponda.

En el supuesto de realizarse la extracción con éxito generalmente se buscan elementos probatorios, conversaciones, fotos, videos, audios, chats, redes sociales, correos electrónicos, contactos, geo localización, intercambios, etc.

El contenido de una conversación de whatsapp es válido como prueba pero no alcanza con una captura de pantalla, se requiere de una pericia informática que extraiga la evidencia digital de los elementos electrónicos mediante técnicas y software forenses que garanticen la inalterabilidad, Integridad y la autenticidad del contenido de la información.

El Tribunal Supremo ha fallado en una sentencia que las conversaciones en WhatsApp son válidas como pruebas en un juicio, aunque no basta con una
simple captura de pantalla. Para certificar que los mensajes son reales y no están manipulados es necesario llevar a cabo un informe pericial.

Ver: La impresión de pantalla. Cuestiones sobre el uso de las “capturas de pantalla” como evidencia relevante para acreditar hechos en el proceso penal acusatorio Autores: Dr. Calo Maiza, Diego – Dra. Cavaco Dos Santos, Elisabet – Dr. Sorbo, Hugo Daniel; País: Argentina. Publicación: Revista Argentina de Derecho, Tecnología y Sociedad – Número 1 – Diciembre 2020 Fecha:16-12-2020 Cita: IJ-CMXXXVII-186: que se encuentra alojada en
https://ar.ijeditores.com/pop.php?option=articulo&Hash=003c5256321c8ff5988d28ba81cbfdb8

Evidencia digital

Cuando hablamos de evidencia digital decimos que se trata de un conjunto de datos en formato digital, como archivos con contenido, con metadatos, con conexiones de tráfico en la red, en discos externos, discos duros, tarjetas de memorias USB, drones, etc., que son utilizados casi en todas las causas judiciales para esclarecer hechos. Hoy la evidencia digital es fundamental para la resolución de la gran mayoría de las causas.

Así como es una ventaja contar la evidencia digital, hay que tener muy presente que la misma tiene desventajas que es la volatilidad, es muy volátil y por ello debe tratársela con celeridad, cuidado y profesionalismo porque la misma es muy frágil, es muy fácil de alterar, de eliminar, de modificar y volátil es por ello que se debe realizar un resguardo de la misma para no perderla.

Hemos manifestado acerca de la importancia para la defensa el control de la des-intervención de los equipos secuestrados y el control de cadena de custodia. Primera medida y una de las más importantes. Se pierde la cadena de custodia, se pierde la prueba, se puede perder la causa si depende de la prueba digital.

Control de cadena de custodia y pericia informática.

Hace ya unos años que la Secretaría Letrada de Intervención en Casos Informáticos, -Secretaria Letrada de Delitos Informáticos-, a mi cargo, colabora con las Defensorías Penal, Contravencional y de Faltas de la Ciudad de Buenos Aires en las des intervenciones de los elementos secuestrados que luego son peritados por el Cuerpo de Investigaciones Judiciales, Gendarmería Nacional, Prefectura, Policía de la Ciudad y Policía Federal.

Hay un error de concepto en creer que las des-intervenciones de efectos y su control de cadena de custodia es una pericia informática. No lo es. Las pericias informáticas, se realizan con posterioridad a esa operatoria previa. Una vez que los investigadores extraen la información de los equipos celulares, computadoras, tabletas, notebooks, netbooks, pen-drives, discos rígidos, discos sólidos, cámaras de fotos, memorias externas, tarjetas sim, etc., proceden a “buscar” la evidencia para responder los puntos de pericia solicitados por la fiscalía y/o por la defensa.

Este último trabajo de “analizar” el contenido de los efectos, ES la pericia informática, la cual se realiza sobre una copia forense, NO sobre el/los teléfono/s secuestrado/s.

Es muy importante la atención en las des intervenciones y control de cadena de custodia porque ES el momento que tiene la defensa de “encontrar” situaciones irregulares que puedan ser útil para que pueda analizar el planteamiento de alguna nulidad a futuro.

Es muy importante también la designación de un perito informático para que pueda trabajar en el análisis posterior de esa evidencia digital extraída de los equipos informáticos porque el perito será muy una voz autorizada como profesional en el juicio que se lleve a cabo. El perito no declarará sobre el procedimiento que se hizo para des-intervenir, no validará el trabajo de los peritos del Cuerpo de Investigaciones Judiciales en este punto, sino que únicamente declarará sobre las cuestiones técnicas que la defensoría le solicite.

Es importante entonces tener en cuenta que la des-intervención y control de cadena de custodia NO ES UNA PERICIA y es por ello que NO debería participar un perito en esta instancia sino abogados especializados en derecho informático y/o delitos informáticos, funcionarios de la Defensa que son quienes pueden objetar, impugnar, denunciar las irregularidades que puedan surgir en esta instancia previa.

Tipo de extracciones forenses sobre teléfonos celulares.

A modo de ejemplo explicamos que significan cada una de ellas.

Extracción física:

La extracción física proporciona una copia bit por bit de la memoria del dispositivo, adquiere los datos que existen en el equipo y aquellos ocultos o eliminados del mismo. Realiza una réplica idéntica del original por lo que se preservan la totalidad de las evidencias digitales. La extracción física permite buscar elementos eliminados en los dispositivos.

Una pregunta frecuente es si siempre se puede hacer una extracción física y la respuesta es no. No siempre se puede realizar esta extracción por diferentes motivos: Si el teléfono tiene patrón de bloqueo o contraseña de inicio (Iphon, Motorola, algunos Samsung); porque el sistema operativo del teléfono celular no lo permite; o si se requiere que el mismo esté rooteado: (“…acceder al directorio raíz, que es el directorio dónde está instalado todo el sistema operativo en los sistemas operativo…”) (androidayuda.com).

Extracción lógica:

La extracción lógica consiste en realizar una copia de los objetos almacenados en el dispositivo mientras el mismo se encuentra ejecutando sus funciones normales. Se puede realizar una copia de seguridad, lo que se denomina extracción del BackUp de cada aplicación presente y un copiado de la información existente en el dispositivo a simple vista. Es decir, extrae “lo que se ve en el teléfono, lo que está en el teléfono, NO extrae lo que ha sido borrado o eliminado.

Extracción de sistema de archivos

Esta extracción permite obtener los archivos de sistema del equipo, no extrae archivos eliminados u ocultos. Una particularidad de esta extracción es que permite recuperar los datos del patrón de bloqueo, pin y/o contraseña de desbloqueo en algunos teléfonos celulares y dependiendo la marca y el modelo a veces es posible recuperar algunos archivos que hayan sido borrados.
* Cámara: Permite realizar capturas de imágenes de dispositivos móviles y capturas de pantalla.
Fuentes: https://www.incibe-cert.es/blog/herramientas-forense-moviles

Metadatos:

Hemos hablado de los datos que se extraen de los equipos secuestrados al hacer las copias forenses y que son esos datos, pero no hemos hablado del contenido de los mismos.

Los metadatos son los datos de los datos, los datos que nos dicen que tienen los datos extraídos. Describen el contenido de la información que se encuentra alojada en los dispositivos y de la cual se realizó la copia forense.

En documentos de texto, archivos PDF y todo tipo de archivo multimedia.

Los metadatos se utilizan para realizar la búsqueda y posterior análisis de lo extraído y con ello saber dónde se originó el correo o la información, cuales fueron los pasos para su creación, el área geográfica donde fue realizado, La pregunta a responder es: ¿ingresar a los metadatos de una fotografía, escritura o video, es violatorio de la intimidad del creador de esa escritura, fotografía o video?. Pregunto esto porque los metadatos sirven para tener datos sobre los datos de estos archivos tal como hemos dicho y los mismos pueden tener información privada y sin orden judicial explícita podría ser violatorio de la intimidad.

Lo mismo ocurre con la utilización de redes sociales. Cuando subimos archivos a ellas, los mismos son utilizados para organizar su contenido y la categorización, se identifica no sólo la fecha de creación sino también la geolocalización y las características del archivo.

En el caso de imágenes y/o fotografías, con los metadatos puede conocer fecha, la hora, coordenadas del lugar, ubicación en caso de tener gps, donde fue tomada la fotografía, marca y modelo de la cámara utilizada, si se usó flash, lente utilizado, distancia focal, el modo automático o manual seleccionado, la velocidad de obturación, la apertura del diafragma. En el caso de los vídeos informa el formato, duración, calidad tamaño del archivo, fecha de grabación, cambios, edición, el software utilizado.

Conclusión.

Efectivamente el contenido de una conversación whatsapp, como sus contactos, chats, videos, fotografías, etc es un medio de prueba válido en causas penales, civiles, laborales, pero solo con ello no alcanza. Se debe reforzar esas capturas de pantalla, o correos electrónicos o mensajes con una pericia informática que prueba que el contenido efectivamente se encuentra en los equipos, o en los servidores, en la nube. Es muy débil la prueba de una captura de pantalla y generalmente la causa se cae.

Muchas veces el MPF inicia causas de género o amenazas con simples capturas de pantalla y se le da curso y quizá el desconocimiento por parte de la defensa a contrarrestar ello le da más de un dolor de cabeza.

Es vital contar con una pericia informática que pruebe científicamente con software forense que la información se encuentra en los dispositivos, si fue enviada o recibida, si en los servidores existe la evidencia, si las fotografías o los videos se encuentran en los aparatos celulares; si los contactos están registrados, si el teléfono es de quien creen que es, que la comunicación la realizó el denunciado y lo recibió la víctima. Para ello es fundamental conocer la geolocalización del aparato en el día y la hora establecida y probar que ese teléfono estaba en poder de denunciado en el día y la hora determinada.

Desde el avance de la tecnología y con las herramientas correctas, la gran mayoría de las causas – por no decir todas- se resuelven realizando buenas pericias informáticas. Es fundamental la presencia de la defensa en las desintervenciones y control de cadena de custodia para garantizar que el procedimiento se realizó conforme la ley. Un control por parte de la defensa hace más transparente el procedimiento.

Es muy común y hay mucha jurisprudencia que refleja el exceso por parte del técnico en las pericias que hacen caer una causa. No hablo de mala fe ni mala intención pero en la evidencia digital es fácil extralimitarse en la búsqueda de información. Si se está investigando una amenaza, no hay motivos para revisar fotografías o videos en el dispositivo peritado, lo cual sería violatorio de la privacidad del titular del equipo.

La evidencia digital es hoy la punta del ovillo para resolver los conflictos. Los datos recuperados de un equipo y el análisis de sus metadatos son la piedra fundamental para hacer un buen trabajo, tanto de Fiscalía como de la defensa.

Es fundamental para la defensa contar con abogados especializados en delitos informáticos y con peritos informáticos para analizar y realizar las propias pericias y plantear los puntos de pericia. Un trabajo en equipo es el mejor remedio para realizar una excelente defensa.

Dr. Hugo Daniel Sorbo
Secretaria Letrada de Delitos Informáticos
Ministerio Público de Defensa de la CABA
hsorbo@jusbaires.gob.ar

Cantidad de Palabras: 2627
Tiempo aproximado de lectura: 9 minutos

Artículos Relacionados

Leave a Comment