El documento presenta información sobre conceptos clave relacionados con la informática forense y la evidencia digital. Define términos como delitos informáticos, informática forense, pericia, lugar del hecho, indicio, evidencia, prueba y cadena de custodia. También describe las características de la evidencia digital y los principios y reglas que rigen su análisis en una investigación forense.
1. INFORMÁTICA FORENSE Y EVIDENCIA DIGITAL
Noviembre de 2012
La Seguridad no es un producto sino un proceso constante.
EHC Bolivia Página 1
2. Alvaro X. Andrade Sejas
Actualmente trabaja como CEO en Ethical Hacking Consultores y asesor de diferentes
organizaciones gubernamentales como privadas en Bolivia, Ecuador y Panamá..
Con más de 12 años de experiencia en Seguridad de la Información y 6 años como asesor de
entidades financieras en Delitos Informáticos e Informática Forense.
Administra la seguridad y los procesos de certificación ISO 27001 en varias entidades
financieras y privadas en Bolivia.
Docente de postgrado en materia de Seguridad de la Información y Derecho Informático para
Bolivia, Argentina, Cuba, México y Ecuador.
Asesor del grupo de inteligencia del presidente de Ecuador y Perito de la Policía Boliviana en
Informática Forense para la División de Análisis Criminal y Sistemas.
Fundador del EHConference (Bolivia) y expositor invitado en otros eventos de renombre
internacional como es el E-Security Con (Ecuador), el ACK Security (Colombia), EKOparty
(Argentina), FIADI México, FIADI Argentina,
Delegado en Jefe al Consejo Internacional de Seguridad para el Modelo de Naciones Unidas en
la Universidad de Harvard (Boston - EE.UU 2010-2011).
Docente de «inteligencia Informática» en la Maestría en Seguridad y Defensa de la Escuela de
Altos Estudios Nacionales (Bolivia). @aandradex
Certificaciones: MCSE / A+ / CEH / INSS / CNDP / LA ISO 27001
aandrade@ehacking.com.bo
www.ehacking.com.bo
EHC Bolivia Página 2
3. Terminología de la Presentación
Vamos a familiarizarnos con algunos términos a usarse en esta
presentación:
Delitos Informáticos
Informática Forense
Pericia
Lugar del hecho
Indicio
Evidencia
Prueba
Cadena de Custodia
Evidencia Digital
EHC Bolivia Página 3
4. Delitos Informáticos
No todo lo que comúnmente llamamos
“Delito Informático” lo es
Un concepto aceptable podría ser:
Conducta típica, antijurídica, culpable o dolosa y
punible, en que se tiene a los equipos informáticos
como instrumento o fin
EHC Bolivia Página 4
5. Informática Forense
Un concepto aceptable podría ser:
Según el FBI, la informática (o computación) forense es la
ciencia de adquirir, preservar, obtener y presentar datos que
han sido procesados electrónicamente y guardados en un
medio computacional.
EHC Bolivia Página 5
6. Pericia
Un concepto aceptable podría ser:
Es la habilidad, sabiduría y experiencia en una determinada materia.
Quien cuenta con pericia recibe el nombre de perito: se trata de un
especialista que suele ser consultado para la resolución de conflictos.
Una pericia puede ser un estudio que desarrolla un perito sobre un
asunto encomendado por un juez, un tribunal u otra autoridad, que
incluye la presentación de un informe (el informe pericial o dictamen
pericial). Este informe puede convertirse en una prueba pericial y
contribuir al dictado de una sentencia.
EHC Bolivia Página 6
7. Lugar del Hecho
Sitio donde se debe comprobar la comisión de conductas
punibles, producto de un presunto homicidio, suicidio, muerte
natural, accidente, hurto, violación o cualquier delito tipificado
en la norma penal.
EHC Bolivia Página 7
8. Indicio
Indicar, señalar o hacer conocer algo.
Son todos los elementos u objetos de origen orgánico o
inorgánico que son encontrados en el Lugar de Hecho.
EHC Bolivia Página 8
9. Evidencia
objeto o cosa que sirve para probar la existencia de un hecho
a través del Laboratorio Técnico Científico en forma afirmativa
o negativa.
Todo lo que demuestra aclara o confirma la verdad de cada
hecho o punto en litigio ya sea a favor de una u otra parte.
EHC Bolivia Página 9
10. Prueba
Es todo objeto o cosa que debe exhibirse ante la Autoridad
Jurisdiccional para demostrar la verdad acerca de un hecho
dudoso.
Las pruebas son los medios para llegar a la verdad.
EHC Bolivia Página 10
11. Cadena de Custodia
Es una herramienta que garantiza la seguridad, preservación e
integridad de los elementos probatorios colectados en el
Lugar de los Hechos.
También hace referencia al mantenimiento y preservación
adecuada de los elementos de prueba, estos deben guardarse
en un lugar seguro, con una especial atención a las
condiciones ambientales (temperatura, humedad, luz etc.)
protegiéndolo del deterioro biológico o físico
EHC Bolivia Página 11
12. Evidencia Digital
Cualquier información en formato digital que pueda establecer
una relación entre un delito y su autor.
Desde el punto de vista del derecho probatorio, puede ser
comparable con “un documento” como prueba legal.
Daniel A. Torres, Jeimy J. Cano, Sandra J. Rueda
EHC Bolivia Página 12
13. Características de la Evidencia Digital
La evidencia digital es:
Volátil
Duplicable
Borrable
Remplazable
Alterable
EHC Bolivia Página 13
14. Que entendemos por Evidencia Digital
El último acceso a un fichero o aplicación (unidad de tiempo)
Un Log en un fichero
Una cookie en un disco duro
El uptime de un sistema (Time to live o tiempo encendido)
Un fichero en disco
Un proceso en ejecución
Archivos temporales
Restos de instalación
Un disco duro, pen-drive, etc..
EHC Bolivia Página 14
19. Análisis de Cumplimiento de la Cadena de
Custodia
Identificación y Señalización
Fijaciones: Fotométrica y Planimétrica
Colección y Marcado
Rotulación y Embalaje (Lacrado y Sellado)
Traslado o Transporte
Almacenamiento
Entrega y Verificación
EHC Bolivia Página 19