15- Informatica forense

1. UNIDAD: 4 Aseguramiento de la Seguridad de
la Información
4.2 Auditoria al Marco General de la Seguridad
de la Información - Informática Forense.
Seguridad de la Información
Modalidad de estudios: Semi Presencial
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec
Lfabsoft2019@gmail.com

2. Objetivos del encuentro:
1. Adquirir los conceptos básicos relacionados con I.
Forense
2. Reconocer las características de I. Forense
Semana Nro. 15

3. Frase Motivacional
“La lógica puede llevarte de un punto
A a un punto B. La imaginación
puede llevarte a cualquier lugar” –
Albert Einstein.

4. INFORMATICAFORENSE
Es un método probatorio consistente en la revisión científica,
tecnológica y técnica, con fines periciales, de una colección de
evidencias digitalizadas para fines de investigación olegales.
Cada caso específico debe ser analizado como si fuera a juicio,
de esta manera cualquier investigación en Informática Forense
puede soportar un escrutiniolegal.
Informática Forense al conjunto multidisciplinario de teorías,
técnicas y métodos de análisis que brindan soporte conceptual y
procedimental a la investigación de la prueba indiciaria
informática.

5. INFORMATICAFORENSE
El propósito de la Informática Forense consiste en contribuir en
determinar la identificación de los responsables del delito
informático.
También permite esclarecer la causa original de un ilícito o
evento particular para asegurar de que no sevuelva arepetirse.
La Informática Forense es aplicable tanto en los casos llevados
a juicio como en las investigaciones particulares solicitadas por
las empresas u organismos privados con fines deprevención.

6. INFORMATICAFORENSE
Objeto: la prueba indiciaria informática.
Método: Desarrollar mecanismos de análisis criminalística, con
soporte científico, tecnológico y técnico, sobre la prueba
indiciaria informática.
Tipicidad: Aunque se trata de una construcción
transdisciplinaria, posee características propias derivadas de sus
diferencias conceptuales con las restantes ciencias forenses.
Especificidad: Su empleo, desde punto metodológico:
1.Análisis Pericial de la Prueba Indiciaria Informática.
2.Gestión Integral de la Prueba Documental Informática.
3.Auditoria Informática Forense.

7. Lainformática forenses,comoinstrumento de análisisdela re
Por su propia naturaleza, la Informática Forense tiende a
generar un modelo de comportamiento racional con soporte
científico, tecnológico y técnico respecto de la prueba indiciaria
disponible en un determinadolugar.
de comportamiento, incluyendo
sus sociales, criminológicas ycriminalística,
Este modelo
consideraciones
instrumentado por medios idóneos, como, por ejemplo, la
realidad virtual, se constituye en una autentica reconstrucción
del hecho virtual. De ahí que la utilidad se expanda mas allá del
ámbito jurídico yjudicial.

8. EVIDENC
IA
Certeza manifiesta y tan perceptible de una cosa que nadie
puede racionalmente dudar de ella. Material sensible
significativo que ha sido objeto deperitación.
EVIDENCIADIGITAL
Esla certeza clara, manifiesta y tan perceptible que nadie puede
dudar de ella. Asimismo, es cualquier mensaje de datos
almacenados y trasmitidos por medio de un Sistema de
Información que tengan relación con el hecho indebido que
comprometa gravemente el sistema y que posteriormente guie
alos investigadores al descubrimiento de losincriminados.

9. Fuentesdela evidencia digital
1. SISTEMASDECOMPUTACIONABIERTOS:Sonaquellos que
están compuestos de las llamadas computadoras personales y todos sus periféricos como
teclados, ratones y monitores, las computadoras portátiles y losservidores.
2.SISTEMASDECOMUNICACIÓN:Estáncompuestos por la redes de telecomunicaciones, la comunicación
inalámbrica y el Internet, gran fuentes de información y evidenciadigital.
3. SISTEMASCONVERGENTESDECOMPUTACION:Aquellos
formados por los teléfonos celulares llamados inteligentes, los sistemas inteligentes y de
convergenciadigital.

10. CLASIFICACIONDELAEVIDENCIADIGITAL
Registrosgenerador por computador: Generados como efecto
de la programación de un computador, son inalterables por una
persona, llamados registros de eventos de seguridad y sirven
como prueba tras demostrar el correcto y adecuado
funcionamiento del sistema o computador que genero el
registro.

11. CLASIFICACIONDELAEVIDENCIADIGITAL
Registros no generados sino simplemente almacenados por o
en computadores: Generados por una persona, y que son
almacenados en el computador, por ejemplo, un documento
realizado con un procesador de palabras. En estos registros es
importante lograr demostrar la identidad del generador, y
probar hechos o afirmaciones contenidas en la evidenciamisma.

12. CLASIFICACIONDELAEVIDENCIADIGITAL
Registro híbrido que incluyan tanto registros generados por
computador como almacenados en los mismos: Los registros
híbridos son aquellos que combinan afirmaciones humanas y los
registros llamados de evento deseguridad.

13. EVIDENCIADIGITAL
Puede ser duplicada de forma exacta y se puede sacar una
copia para ser examinada como si fuera laoriginal.
Mediante herramientas informáticas existentes se puede
comparar la evidencia digital con su original, para determinar si
ha sido alterada.
Esmuy fácil de eliminar. Aun cuando un registro es borrado del
disco duro del computador, y éste ha sido formateado, es posible
recuperarlo.
Cuando los individuos involucrados en un crimen tratan de
destruir la evidencia, existen copias que permanecen en otros
sitios.

14. MANIPULACIONDEEVIDENCIADIGITAL
Hacer uso de medios forenses estériles (para copias de
información)
Mantener y controlar la integridad del medio original. Esto
significa, que a la hora de recolectar la evidencia digital, las
acciones realizadas no deben cambiar nunca estaevidencia.
Cuando se necesario que una persona tenga acceso a
evidencia digital forense, esa persona debe ser un profesional
forense.

15. MANIPULACIONDEEVIDENCIADIGITAL
Las copias de los datos obtenidos, deben estar correctamente
marcadas, controladas y preservadas. Y al igual que los
resultados de la investigación, deben estar disponibles para su
revisión.
Siempre que la evidencia digital este en poder de algún
individuo, este será responsable de todas la acciones tomadas
con respecto aella, mientras este en supoder.
Lasagencias responsables de llevar el proceso de recolección y
análisis de la videncia digital, serán quienes deben garantizar el
cumplimiento de los principios decriminalística.

16. INFORMATICOFORENSE
Objeto: la prueba indiciaria informática.
Método: Desarrollar mecanismos de análisis criminalística, con
soporte científico, tecnológico y técnico, sobre la prueba
indiciaria informática.
Tipicidad: Aunque se trata de una construcción
transdisciplinaria, posee características propias derivadas de sus
diferencias conceptuales con las restantes ciencias forenses.
Especificidad: Su empleo, desde punto metodológico:
1.Análisis Pericial de la Prueba Indiciaria Informática.
2.Gestión Integral de la Prueba Documental Informática.
3.Auditoria Informática Forense.

17. LOSROLESENLAINVESTIGACION
La investigación científica de una escena del crimen es un
proceso formal, donde el investigador forense, documenta y
adquiere toda clase de evidencias, usa su conocimiento
científico y sus técnicas para identificarla y generar indicios
suficientes para resolver uncaso.

18. 1. TECNICOS EN ESCENADELCRIMEN INFORMATICAS: Son los
primeros en llegar a la escena del crimen, son los encargados
de recolectar las evidencias que ahí se encuentran. Tiene
una formación básica en el manejo de evidencia y
documentación, al igual que en reconstrucción del delito, y
la localización de elementos de convicción dentro de lared.
2. EXAMINADORES DE EVIDENCIA DIGITAL O INFORMATICA:
Aquellos responsables de procesar toda la evidencia digital o
informática obtenida por los Técnicos en Escenas del Crimen
Informáticos. Para esto dichas personas requieren tener un
alto grado de especialización en el área de sistemas e
informática.

19. 1.3. INVESTIGADORES DE DELITOS INFORMATIOS: Son los
responsables de realizar la investigación y la reconstrucción de
los hechos de los Delitos Informáticos de manera general, son
personas que tienen un entrenamiento general en cuestiones de
informática forense, son profesionales en seguridad informática,
Abogados, Policías, y examinadores forenses.

20. ELPERFILDELINVESTIGADORFORENSE
Debede regirse bajo los Principios:
1.OBJETIVIDAD: El investigador Forense debe ser objetivo, debe
observar los códigos de ética profesional.
2.AUTENTICIDAD Y CONSERVACION: Durante la investigación, se
debe conservar la autenticidad e integridad de los medios
probatorios.
3.LEGALIDAD: El perito debe ser preciso en sus observaciones,
opiniones y resultados, conocer la legislación respecto de sus
actividades periciales y cumplir con los requisitos establecidos por
ella.

21. 4. IDONIEDAD: Los medios probatorios debe ser auténticos, ser
relevantes y suficientes para el caso.
5. INALTERABILIDAD: En todos los casos, existirá una cadena de
custodia debidamente asegurada que demuestre que los
medios no han sido modificados durante lapericia.
6. DOCUMENTACION: Deberá establecer por escrito los pasos
dados en el procedimiento pericial
El perfil que debe demostrar es de un profesional híbrido que
no le es indiferente su área de formación profesional, con
temas de: Tecnología de la información, ciencias jurídicas,
criminalística y de las cienciasforenses.

22. Principiosyrelacionespericialesinformático forenses
Principio de entidad pericial propia.- El empleo de los medios
informáticos como instrumentos de conformación de prueba
indiciaria informático forense. Prueba que si bien constituye una
parte de la Criminalística y en lo formal no difiere de cualquier
otra prueba pericial, se integra con metodología propia, que
permite asegurar la detención, identificación, documentación,
preservación y traslado de la evidencia obtenida, con técnicas e
instrumentos propios e inéditos para las ciencias criminalísticas.
En ese sentido, la prueba indiciaria informático forense,
requiere de cuidados específicos que la diferencian de otras
pruebas periciales.

23. Principiosyrelacionespericialesinformático forenses
Principio de protección y preservación.- Cadena de custodia
estricta y con certificación unívocacomprobable.

24. Principiosyrelacionespericialesinformático forenses
Principio de identidad impropio (de copias).- Del original, ya
que cuando se duplica un archivo informático la copia no es
igual a la original sino idéntica (un bit no difiere de otro bit y
entre síson identificables unívocamente).

25. Principiosyrelacionespericialesinformático forenses
Principio tecnológico transdisciplinario.- Se requiere
conocimientos específicos por parte de todos los involucrados
en la prueba indiciaria informáticoforense:
•Juecespara evaluar correctamente la prueba.
•Fiscales y abogados para efectuar la presentación de manera
adecuada y oportuna.
•Profesionales de la Criminalística y otros peritos, para no
contaminar dicha prueba durante sus propias tareas periciales a
supreservación.
•Funcionario judiciales y policiales a efectos de proteger y
mantener la cadena de custodia establecida.

26. Principiosyrelacionespericialesinformático forenses
Principio de oportunidad.- Debido a su finalidad de destrucción
normalmente requiere de tareas complementarias que
aseguren su recolección (medidas preliminares, inspecciones o
reconocimientos judiciales, ordenes de allanamiento o de
intercepción judicial)

27. Principiosyrelacionespericialesinformático forenses
Principio de compatibilización legislativa internacional.- Gran
parte de los contratos particulares celebrados en el marco del
derecho Internacional Privado se realiza mediante
comunicaciones digitales (instrumentos de correo electrónico en
claro o cifrado y certificadas por medido de claves criptográficas
o firmas digitales). Estas actividades no solo devienen en
demandas civiles, comerciales y laborales internacionales, sino
que en algunas oportunidades constituyen delitos tipificados en
la legislación de casapaís.

28. Principiosyrelacionespericialesinformático forenses
Principiodevinculaciónestricta.- Granparte de los contratos
particulares celebrados en el marco del derecho Internacional
Privado se realiza mediante comunicaciones digitales
(instrumentos de correo electrónico en claro o cifrado y
certificadas por medido de claves criptográficas o firmas
digitales). Estas actividades no solo devienen en demandas
civiles, comerciales y laborales internacionales, sino que en
algunas oportunidades constituyen delitos tipificados en la
legislación de casapaís.

29. Principiode Criminalística
Principio del intercambio.- Locard, nos dice que cuando dos
objetos entran en contacto siempre existe una transferencia de
material entre el uno y el otro. Esdecir que cuando una persona
esta en una escena del crimen esta deja algo de si misma dentro
de la escena, y a su vez cuando sale de ella esta se lleva algo
consigo.
Ej. En el caso de las bitácoras o LOGS del sistema operativo de
un equipo informático utilizado por un Hacker o Cracker para
romper las seguridades de un programa o vulnerar la seguridad
de un Sistema Informático remoto. En dicha bitácora el
investigador podre encontrar registrada dicha actividadilegal.

30. PRINCIPIOFUNDAMENTALENLASCIENCIAS FORENSES
ESCENADELCRIMEN
ININCCRIMIMININAADDO VCICTTIMIMA
EVIDENCIA

31. PRINCIPIODE
INTERCAMBIO
OBJETO1
OBJETO2
LAINTERACCIONCAUSAINTERCAMBIODEDATOS
LAINTERACCIONCAUSAINTERCAMBIODEDATOS

32. GRACIAS