CARPETA DE INVESTIGACIÓN: 12-2023-08004 IMPUTADO: JUAN PÉREZ JOLOTE(taxista) ASUNTO: SE RINDE DICTAMEN PERICIAL EN CRIMINALÍSTICA DE CAMPO. LIC. CHOCORROL SABONAROLA SABRITAS AGENTE DEL MINISTERIO PUBLICO ADSCRITO; A LA FISCALIA DE HOMICIDIOS, MESA-2 DE LA PROCURADURÍA GENERAL DE JUSTICIA DE HGO. Presente: Pachuca de Soto, Hidalgo a -- de ------- de 2023. La que suscribe, ARIADNA GERALDINE HERNÁNDEZ ALDANA, perito1 en criminalística de campo2, contando con cédulas profesionales expedidas por la Dirección General de Profesiones, la primera, 11488672, que me acredita como Licenciada en Criminalística de Campo y Técnica superior Universitaria en Criminalística y cedula número 12860264, que me acredita como Maestra en criminalística y criminología, también contando con el Folio 12358722, que me Certifica en el Estándar EC0329 “proceso del lugar de los hechos” por parte de CONOCER3, así como el Registro 6231 que me Certifica en el Estándar COMS-049.01 “Proceso de Criminalística de campo”, bajo la Norma ISO 170244, en cumplimiento a lo señalado por el articulo 369 C.N.P.P. Dictamen ordenado por el Agente (Fiscal) del Ministerio Publico, en términos de los 1 Licenciatura en Criminalística, Técnico Superior Universitario Programa académico UTEC-Tulancingo. Nombramiento Expedido por la Oficina del C. Procurador de Justicia del estado de Hidalgo, en fecha 23 de agosto de 2006, anexo 1. 3 El Consejo Nacional de Normalización y Certificación de Competencias Laborales es una entidad del gobierno federal de la Secretaría de Educación Pública que reconoce los conocimientos, habilidades, destrezas y actitudes de las personas, adquiridas en el trabajo o a lo largo de su vida, con certificaciones nacionales y oficiales. 4 La ISO 17024 es una Norma Internacional que se encarga de definir los criterios y los procedimientos para la certificación de personas como trabajadores de una empresa o sector en concreto, dependiendo del tipo que sea y la actividad que lleve a cabo. 2 P á g i n a 1 | 18 Artículos 21 C.P.E.U.M. así como 127, 272, 262, 356, 357,368 del C.N.P.P. tengo a bien emitir el siguiente: DICTAMEN5 EN CRIMINALÍSTICA DE CAMPO I.- ANTECEDENTES. En fecha 28/FEB/2023, veintitrés de febrero de dos mil veintitrés; la que suscribe, L.C. y T.S.U.C. ARIADNA GERALDINE HERNÁNDEZ ALDANA con numero de cedula profesional 11488672, adscrito a la Dirección de Servicios Periciales, de la Agencia de Investigación Criminal del Estado de Hidalgo, fui designada mediante oficio número 341/DGSP/AICEH/2023 de fecha 28/FEB/2023 (veintitrés de febrero de dos mil veintitrés), para el Procesamiento del Lugar de los Hechos, ordenar que se realicen las pruebas de gabinete de la especialidad en: medicina legal, hechos de tránsito terrestre, criminalística de campo complementaria, toxicología. II.- PEDIMENTO MINISTERIAL. En fecha: 23/FEB/2023 (veintitrés de febrero de dos mil veintitrés), el Lic. Cocorrol Sabonarola Sabritas, Agente (Fiscal), del Ministerio Publico, en atribuciones que le confieren los artículos 21 C.P.E.U.M. así como los artículos 127 y 272 del C.N.P.P. Giro oficio número FEH/MESA-2/PGJEH/102-2023 de fecha 23/FEB/2023 (veintitrés de febrero de dos mil veintitrés); en el cual solicita a la Dirección de Servicios Periciales adscrita a la Agencia de Investigación Estatal, a fin de que se comisionara a la criminalistas de campo (peritos), con el fin de procesar el lugar de los hechos relacionado con la carpeta de investigación número; PGJEH/FEH/92-101-23, por el delito de HOMICIDIO EN TRANSITO TERRESTRE en agravio de los menores de edad de iniciales M.M.E L.M.E y S.M.E.6 5 6 Dictamen ordenado por el Ministerio Publico en términos del oficio número FEH/MESA-2/PGJEH/102-2023 Verificar anexo 3. P á g i n a 2 | 18 III.- PLANTEAMIENTO DEL PROBLEMA Mi intervención pericial tiene como finalidad: 1. Establecer la mecánica de hechos y el o los probables responsables en los acontecimientos que se describen en la carpeta de investigación número PGJEH/FEH/92-101-23. 2. Procesar el lugar de los hechos para la localización, identificación, documentación, recolección, embalaje, sellado, etiquetado de los indicios, garantizando su plena integridad como material probatorio; así como el correcto llenado de los Registros de Cadena de Custodia7. 3. Traslado de los Indicios al Deposito General de Indicios. 4. Levantamiento de los cadáveres de los menores de iniciales M.M.E L.M.E y S.M.E. por parte del A.M.P. y semefo. IV.- ELEMENTOS DE ESTUDIO 1. El lugar de los hechos, indicios, declaración de testigos, dictámenes e informes de criminalística de gabinete, como lo son: crono-tanato diagnóstico, informe toxicológico, informe de mecánica de hechos de tránsito terrestre, informe de fracturas por impacto y daños estructurales de materiales de colisión, a los que el suscrito tiene acceso en términos de los Artículos 272 y 383 del C.N.P.P. V.- METODOLOGÍA 1. Observación del lugar del los hechos: a fin de determinar: si el lugar es abierto o cerrado, si es de los hechos, del hallazgo o mixto, verificar la correcta preservación del lugar de los hechos o en su caso corregirla, 7 SEGOB, Gobierno Federal, Mecanismo de Protección y Preservación de evidencia: CADENA DE CUSTODIA, (2012). (1/a. ed.). Mexico: Edit. Editorial de Gobierno de la Rep. P á g i n a 3 | 18 determinar método de búsqueda, determinar la ruta de acceso y salida, recopilación preliminar, identificar riesgos personales o de los indicios. 2. Planeación: Describir las técnicas de observación, de búsqueda, de recolección y embalaje, traslado de indicios. 3. Acciones: Observación, seguridad personal, preservación del lugar de los hechos, ruta de acceso, método de búsqueda, identificación, descripción, fijación, recolección, embalaje, traslado. VI.- MÉTODOS EMPLEADOS Para el abordaje del presente estudio pericial se empleó el Método Científico el cual es el método general para la investigación y resolución de problemas.8 Para determinar la integridad de las capturas de pantalla (ScreenShots) de WhatsApp referidas previamente se empleó el Método Analítico, el cual es un proceso cognoscitivo consiste en descomponer un objeto de estudio, separando cada una de las partes del todo para estudiarlas en forma individual.9 Para validar la autenticidad de las capturas de pantalla (ScreenShots) de WhatsApp referidas previamente, así como para establecer si el contenido que se visualiza en las capturas de pantalla es confiable, se empleó el Método Comparativo, el cual es un procedimiento sistemático de contrastación de uno o más fenómenos, a través del cual se buscan establecer similitudes y diferencias entre ellos.10 Para la redacción del apartado “Conclusiones” del presente dictamen pericial se empleó el Método Sintético que permite integrar los 8 Bunge, M. (2017). La Investigación Científica. (7a Ed.) México: Siglo Veintiuno Eyssautier, M. (2016). Metodología y Técnicas de Investigación en Ciencias Aplicadas. México: Trillas 10 Ídem 9 P á g i n a 4 | 18 componentes dispersos de un objeto de estudio para ofrecer una explicación sobre su naturaleza.11 VII.- TÉCNICAS EMPLEADAS Consulta en Internet a través del navegador web Google Chrome, en su Versión 103.0.5060.114. Documentación12 a través de instantáneas (capturas de pantalla) sobre el desarrollo del presente dictamen pericial, así como generación de secuencia de imágenes. VIII.- HARDWARE Y SOFTWARE EMPLEADO Equipo de cómputo tipo laptop, de marca Hewlett-Packard, modelo 15cw1004la, con Sistema Operativo Microsoft Windows 11 Pro. Navegador web Google Chrome, en su Versión 104.0.5112.81 XI.- MARCO TEÓRICO (CONSIDERACIONES TÉCNICAS) 1. Algoritmo o Función Hash Dentro de las mejores prácticas sobre el tratamiento de evidencia digital, específicamente para la preservación de indicios digitales se encuentra la utilización del algoritmo Hash, también llamada Código Hash o Función Hash, el cual es una función que a partir de un flujo de datos (texto, imagen, código o información digital en cualquier formato) calcula una firma característica compuesta por un número fijo de caracteres. El Hash es único para cada archivo, de manera que sirve para demostrar que aquel no ha sufrido alteraciones, garantizando así la integridad.13 La función Hash se utiliza también para asegurar la “integridad de los mensajes”. En pocas palabras, para estar seguros de que algunas 11 Ídem Ídem. 13 Página 99 del libro Investigación Forense de dispositivos Móviles, del autor Francisco Lázaro Domínguez. 12 P á g i n a 5 | 18 comunicaciones o archivos no fueron alterados de alguna forma, se pueden examinar los hash creados antes y después de la transmisión de los datos. Si los dos hash son idénticos, significa que no ha habido ninguna alteración.14 X.- DESARROLLO 1. Determinar si las capturas de pantalla (Screenshots) que obran en la Carpeta de Investigación citada al rubro son íntegras. Para este punto se debe considerar que las capturas de pantalla (ScreenShots) se encuentran en formato impreso, las cuales se presentan a continuación: Imagen 01 de 23. Fotografía del exterior de la propiedad del Sr. PEDRO PARAMO PARAMO. 14 Más información en: https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/ P á g i n a 6 | 18 Imagen 02 de 23. Fotografía del exterior de la propiedad del Sr. PEDRO PARAMO PARAMO. Imagen 03 de 23. Fotografía del exterior de la propiedad del Sr. PEDRO PARAMO PARAMO. P á g i n a 7 | 18 Imagen 04 de 23. Fotografía del exterior de la propiedad del Sr. PEDRO PARAMO PARAMO. De lo anterior, es necesario mencionar que una captura de pantalla que se realiza a partir de una conversación de WhatsApp genera una imagen, la cual es un archivo digital mismo que por su naturaleza debe ser sometido a procedimientos que garanticen la integridad del archivo desde el momento en que es generado a fin de acreditar su integridad y valor probatorio; esto en términos del artículo 259 del C.N.P.P. Además, considerando lo que el Grupo de Trabajo Científico en Evidencia Digital15 establece como factores que afectan la integridad de las imágenes se deben tener en cuenta los siguientes elementos: 1. Pérdida o modificación de los metadatos: Los metadatos son una parte muy importante, particularmente para la verifiación de la integrdidad puesto que los metadatos ayudan a 15 Formado en 1998, el Grupo de Trabajo Científico sobre Evidencia Digital (SWGDE por sus siglas en inglés) reúne a organizaciones policiales, académicas y comerciales que participan activamente en el campo de la Forense digital Desarrollar pautas y estándares interdisciplinarios para la recuperación, preservación y examen de evidencia digital. P á g i n a 8 | 18 establecer el origen del archivo, incluyendo información como el dispositivo que generó el archivo, fecha de generación y hasta coordenadas para geolocalización. 2. Documentación inadecuada en la generación o adquisición: La integridad de un archivo comienza desde el momento en que es obtenido/generado/extraído, dicha integridad debe ser garantizada mediante la aplicación de Inspección Visual, Algortimos Hash y Cadena de Custodia. Con base en lo anterior y el contenido de las copias que integran la carpeta de investigación citada al rubro se advierte que, en relación con las capturas de pantalla (ScreenShots) de conversaciones de WhatsApp: Las capturas de pantalla (ScreenShots) se presentan en formato impreso por lo que NO ES POSIBLE realizar una inspección a sus metadatos, los cuales permiten determinar la integridad de los archivos de imagen, estableciendo origen, fecha de generación y dispositivo con el cuál se generaron. No se realizó ninguna inspección visual respecto al contenido de las capturas de pantalla (ScreenShots). No se documentó el número de celular al cual corresponde el contacto con el que se sostuvo la conversación de WhatsApp. No se aplicó ningun Algoritmo Hash que permitiera garantizar la integridad del archivo de imagen que se presenta en formato impreso anexado al escrito inicial del C. PEDRO PARAMO PARAMO. No se aplicó Cadena de Custodia al archivo de imagen que se presenta de forma impresa en el escrito inicial del C. PEDRO PARAMO PARAMO, señalando que al un archivo digital este debe ser incorporado en formato digital y con Registro de Cadena de Custodia. 2. Validar la autenticidad de las capturas de pantalla (Screenshots) que obran en la Carpeta de Investigación para determinar su integridad y valor probatorio en términos del articulo 259 del C.N.P.P. P á g i n a 9 | 18 Derivado de la lectura la carpeta de investigación citada al rubro se identifica que la capturas de pantalla (Screenshots) de WhatsApp adjuntas de manera impresa al escrito inicial de denuncia del C. PEDRO PARAMO PARAMO de junio del 2021, aparentan ser imágenes de “Capturas de Pantalla” o “Screenshots” realizadas de un teléfono celular, sin embargo, dentro de las mejores prácticas en tratamiento de evidencia digital como las que refiere el Grupo de Trabajo Científico en Evidencia Digital, cuando se trabaja con imágenes, estas deben ser autenticadas para brindar certeza sobre su originalidad y no alteración en cuanto a sus metadatos y de esa manera validar el origen de dichos archivos, se hace mención de esto porque esta autenticación no se llevó a cabo y solo se presentan en formato impreso. Lo anteriormente se menciona por las siguientes razones: 1. Al tratarse de imágenes que aparentan ser “Capturas de Pantalla” o “Screenshots” realizadas de un teléfono celular se debe comprender que estas al ser generadas por un dispositivo de determinada Marca y Modelo poseerán características distintivas que permiten atribuir el archivo de imagen con un dispositivo, entre algunas de estas características se encuentran (Ancho y Alto en pixeles de la imagen, Tamaño de la Imagen, Nombre del Archivo de imagen así como los Metadatos del propio archivo de imagen en donde se puede encontrar la empresa que fabricó el dispositivo de telefonía celular con el que se generó la captura de pantalla). 2. Autenticar las imágenes permite garantizar la no alteración de los archivos, puesto que, en Internet, así como en las tiendas de aplicaciones móviles (para celulares) ya existen programas y aplicaciones que permiten simular conversaciones de WhatsApp de teléfonos Android y IPhone para posteriormente descargar una imagen que simula ser una “Captura de pantalla” o “ScreenShot” de la cual si no se analizan sus metadatos fácilmente puede considerarse como auténtica. P á g i n a 10 | 18 Sobre los puntos anteriores se anexan las siguientes capturas de pantalla para comprender la relevancia que tiene validar la autenticidad de archivos de imágenes a partir del análisis de los metadatos: Mediante el Navegador de Internet se accede a https://www.fakewhats.com/generator, correspondiente “FakeWhats”: la página al sitio Imagen 15 de 23. Página que permite generar conversaciones de WhatsApp falsas Mediante el Navegador de Internet se accede a la página https://www.spoofbox.com/es/preestreno/whatsapp-falso, correspondiente al sitio “Spoof Box”: P á g i n a 11 | 18 Imagen 16 de 23. Página que permite generar conversaciones de WhatsApp falsas Imagen 17 de 23. Página que permite generar conversaciones de WhatsApp falsas Además, se anexan las siguientes capturas de pantalla donde se trabajó con una captura de pantalla generada por un teléfono celular IPhone y que para fines demostrativos se envió a mi cuenta de correo electrónico, se procederá P á g i n a 12 | 18 a identificar todo lo que se ha referido en relación al tratamiento de evidencia digital y los metadatos para validar la autenticidad de archivos digitales. Imagen 18 de 23. Visualización de una captura de pantalla generada con un teléfono IPhone y enviada a mi correo electrónico Imagen 19 de 23. Se descarga el archivo adjunto al mensaje de correo electrónico. Ahora bien, en relación al análisis de los Metadatos para autenticar de que la imagen efectivamente se trata de una Captura de pantalla realizada con un teléfono IPhone, se emplea la herramienta gratuita en línea “metadata2go”, P á g i n a 13 | 18 la cual está disponible en la siguiente dirección URL: https://www.metadata2go.com/ Imagen 20 de 23. Visualización de la página para analizar metadatos. Imagen 21 de 23. Se carga la imagen para ser analizada P á g i n a 14 | 18 Imagen 22 de 23. Progreso del análisis de metadatos de la imagen. Imagen 23 de 23. Visualización de la compañía que fabricó el dispositivo con el que se generó la imagen, esto permite autenticar la imagen como una captura de pantalla generada con un teléfono celular IPhone. P á g i n a 15 | 18 Con base en lo anterior y el contenido de las copias que integran la carpeta de investigación citada al rubro se advierte que, en relación con las capturas de pantalla (ScreenShots) de conversaciones de WhatsApp anexadas al escrito inicial del C. PEDRO PARAMO PARAMO NO ES POSIBLE VALIDAR SU AUTENTICIDAD, toda vez que se carece de elementos que permitan analizar los metadatos de los archivos de imagen y con ellos comprobar feacientemente y sin duda razonable que dichas conversaciones de WhatsApp son genuinas, por lo que no es posible otorgarles un valor probatorio ni como dato de prueba ni como prueba, ello es asi por la carencia de elementos citados en lineas trasuntas, esto en terminos de los articulos 259 y 261 del C.N.P.P. 3. Con base en los puntos anteriores, establecer si el contenido que se visualiza en las capturas de pantalla (Screenshots) que obran en la Carpeta de Investigación citada al rubro es confiable. Con base en todo lo desarrollado hasta este punto se establece que el contenido que se visualiza en las capturas de pantalla (ScreenShots) que obran en la Carpeta de Investigación citdada al rubro NO ES CONFIABLE, esto por las siguientes razones: A. Carecen de elementos que permitan validar el origen e integridad de los archivos de imágenes digitales que se imprimieron y anexaron al Escrito Inicial del C. PEDRO PARAMO PARAMO. B. Carecen de elementos que permitan determinar la autenticidad de las capturas de pantalla de WahtsApp, considerando además que hoy en día existen herramientas informáticas que permiten simular conversaciones de WhatsApp. XI.- ANÁLISIS Y CONSIDERACIONES ESPECÍFICAS Para el desarrollo del punto número 2 del apartado “DESARROLLO” del presente dictamen pericial se generó una captura de pantalla de una Conversación de WhatsApp con un teléfono celular IPhone, con la finalidad de resaltar la relevancia del análisis de metadatos para validar la autenticidad de P á g i n a 16 | 18 archivos digitales, esto con el fin de refutar el material probatorio presentado en escrito inicial de denuncia del C. PEDRO PARAMO PARAMO. Con fundamento en lo expuesto en los apartados de este Dictamen Pericial, así como en la respuesta a los planteamientos antes señalados me permite llegar a las siguientes: XII.- CONCLUSIONES ÚNICA. No se puede determinar la integridad de las capturas de pantalla (ScreenShots) de WhatsApp que están anexadas en formato impreso al escrito inicial del C. PEDRO PARAMO PARAMO, tampoco su autenticidad, por lo tanto, SE PUEDE AFIRMAR INEQUÍVOCAMENTE QUE DICHAS IMÁGENES DE CONVERSACIÓN NO SON CONFIABLES Y POR LO TANTO NO REÚNEN LOS REQUISITOS DE LOS ARTÍCULOS 261 Y 265 DEL C.N.P.P. Sin otro particular, quedo de usted: ATENTAMENTE: EL PERITO ___________________________________ M.S.I. ARTURO DIAZ SALINAS *NOTA* El presente dictamen pericial se entrega con un total de 22 hojas y 23 imágenes. XIII.- GLOSARIO Algoritmo. Serie de pasos ordenados lógicamente cuya ejecución permite la solución de un problema. P á g i n a 17 | 18 Navegador. Software para utilización de la web, encargado de co­municarse con los servidores para localizar y transferir archivos, y presentarlos al usuario con un formato adecuado. Programa. Secuencia de instrucciones escritas en un lenguaje especializado que le indican a una computadora cómo realizar alguna actividad en particular. URL. Son las siglas en inglés que significa Uniform Resource Locator y es la dirección única y específica que se asigna a cada uno de los recursos disponibles de la World Wide Web para que puedan ser localizados por el navegador y visitados por los usuarios. Versión. Es cada mejora o modificación que se le hace a un paquete y se hace público. XIV.- BIBLIOGRAFÍA Diario Oficial de la Federación. (2015). Acuerdo A/009/2015. Disponible en: http://www.dof.gob.mx/nota_detalle.php?codigo=5381699&fecha=12/02/2015 Lira, O.M. (2018). Cibercriminalidad Fundamentos de Investigación en México. México: Ubijus. Bunge, M. (2017). La Investigación Científica. (7a Ed.) México: Siglo Veintiuno Eyssautier, M. (2016). Metodología y Técnicas de Investigación en Ciencias Aplicadas. México: Trillas Lázaro, F. (2015). La Investigación forense de dispositivos móviles. México: Ra-Ma P á g i n a 18 | 18