Trabajo de investigación del tema de computo forense, realizado por alumnos de la Universidad Autónoma de Baja California de la Facultad de Derecho, Campus Tijuana.
1. UNIVERSIDAD AUTÓNOMA DE BAJA CALIFORNIA.
CAMPUS TIJUANA.
Facultad de Derecho.
Materia: Tecnologías de la Investigación Jurídica.
Profesor: Lic. ABELARDO MARTÍNEZ ALCARAZ
Turno: Matutino Grupo: 122
Semestre: 2016-1
Tema:
Cómputo Forense.
(Informática forense, computación forense, análisis forense digital o
Examinación forense digital)
Integrantes:
Cruz Díaz Luis Gerardo
Miramontes Enríquez Belén Elizabeth
Valenzuela Soto Scaly
Tijuana,B.,C. a 12 de mayode 2016
2. CÓMPUTO FORENSE
UABC Página 2
Índice
Introducción 4
1. ¿Qué es cómputo forense? 6
1.1. Concepto 6
1.2. Orígenes 6
Objetivos fundamentales de la Informática Forense 6
2. ¿Qué es Evidencia Digital? 7
2.1. Características 7
2.2 Evidencia digital puede dividirse en tres categorías 7
3. Procesode análisis forense 9
3.1. Identificacióndel incidente 9
3.2 Preservaciónde la evidencia 10
3.3 Análisis de la evidencia 11
3.4 Documentacióndel incidente 11
4. Dispositivos aanalizar dentro del Cómputo Forense 11
4.1 Disco duro de una Computadorao Servidor 11
4.2 Documentaciónreferida del caso 12
4.3 Logs de seguridad. 12
4.4 Credenciales de autentificación 12
4.5 Trazo de paquetes de red 12
4.6 Teléfono Móvil o Celular, parte de la telefoníacelular 12
4. CÓMPUTO FORENSE
UABC Página 4
INTRODUCCIÓN
Los delincuentes de hoy están utilizando la tecnología para facilitar el conocimiento
de infracciones y eludir a las autoridades. Los hábitos de las personas han cambiado
con el uso de las TICs, también las formas en que los delincuentes actúan y cometen
sus actos, es así que el acceso universal a las tecnologías de la información y la
comunicación brindan nuevas oportunidades para que los malhechores ataquen la
intimidad
Uno de los problemas más presentados hoy en día son los fraudes en dispositivos
electrónicos o computadoras, basados en engaños y aprovechándose del error en
que este se halla, se hace ilícitamente de alguna cosa o alcanza un lucro indebido.
Estos problemas son presentados en los sistemas de comunicaciones, comercio
electrónico, banco electrónico, zonas en la red que sean propiedad de alguien o
bien públicos en donde puede entrar quien sea.
Esto ha alarmado a la sociedad, aunque muchos de ellos lo desconocen y forman
parte de todos estos fraudes ya que incrédulamente son ellos los que hacen que
estos fraudes no tengan fin y sigan en aumento ya que aportan todo lo necesario
para que esto siga creciendo en los medios.
Tu computadora o teléfono celular saben más de lo que tú crees. Contraseñas,
visitas a Internet, programas que ejecutas, películas y fotografías que descargas,
5. CÓMPUTO FORENSE
UABC Página 5
compras que realizas en línea. Todo queda registrado en el dispositivo. Y por más
que borres historiales, archivos o programas, la huella quedará ahí.
Este registro es una herramienta para investigar crímenes informáticos o cualquier
otro delito relacionado con las tecnologías de la información, desde robos de
información, suplantaciones de identidad, fraudes, hasta casos de pornografía
infantil, trata de personas y extorsiones. A esta investigación se le conoce como
cómputo forense.
En el presente trabajo se tocaran puntos tan básicos como el concepto del cómputo
forense y sus orígenes, además de hablar de las categorías y características de la
evidencia digital, también se explicaran el proceso de análisis forense, tomando en
cuenta los dispositivos que examina y con los cuales trabaja. Por último se adentrara
un poco en la criminalística digital.
6. CÓMPUTO FORENSE
UABC Página 6
CÓMPUTO FORENSE
11. CÓMPUTO FORENSE. (INFORMÁTICA FORENSE,
COMPUTACIÓN FORENSE, ANÁLISIS FORENSE DIGITAL
O EXAMINACIÓN FORENSE DIGITAL)
1 ¿Qué es Cómputo Forense?
1.1 Concepto: El cómputo forense, también llamado informática forense,
computación forense, análisis forense digital o examinación forense digital es la
aplicación de técnicas científicas y analíticas especializadas a infraestructura
tecnológica que permiten identificar, preservar, analizar y presentar datos que sean
válidos dentro de un proceso legal.
1.2 Orígenes;
El campo de la informática forense se inició en la década de 1980, poco después
de que las computadoras personales se convirtieran en una opción viable para los
consumidores.
(Rodriguez) Creado un programa del FBI. Conocido por un tiempo como el
Programa de Medios Magnéticos, que ahora se conoce como CART (análisis de
informática y equipo de respuesta).
Poco después, el hombre al que se le atribuye ser el "padre de la informática
forense", comenzó a trabajar en este campo.
Su nombre era Michael Anderson, y era un agente especial de la División de
Investigación Criminal del IRS. Anderson trabajó para el gobierno en esta capacidad
hasta mediados de 1990, tras lo cual fundó New Technologies, un equipo que lleva
la firma forense.
Objetivos fundamentalesde la Informática Forense:
Informática Forense como medio de pruebas
7. CÓMPUTO FORENSE
UABC Página 7
La realidad es que dentro de la Criminalística o investigación científica judicial, se
ha venido desarrollando una nueva disciplina denominada Informática Forense, la
cual tiene como objeto el estudio de la Evidencia Digital.
*La persecución y procesamiento judicial de los delincuentes.
*La compensación de los daños causados por los criminales informáticos.
*La creación y aplicación de medidas p
2 ¿Qué es Evidencia Digital?
Se puede decir que el término “Evidencia Digital” abarca cualquier información en
formato digital que pueda establecer una relación entre un delito y su autor. Desde
el punto de vista del derecho probatorio, puede ser comparable con “un documento”
como prueba legal.
2.1 CARACTERÍSTICAS
Autenticidad: satisfacer a una corte en que: los contenidos de la evidencia no
han sido modificados; la información proviene de la fuente identificada; la
información externa es precisa (p.e. la fecha).
Precisión: debe ser posible relacionarla positivamente con el incidente. No debe
haber ninguna duda sobre los procedimientos seguidos y las herramientas utilizadas
para su recolección, manejo, análisis y posterior presentación en una corte.
Adicionalmente, los procedimientos deben ser seguidos por alguien que pueda
explicar, en términos “entendibles”, cómo fueron realizados y con qué tipo de
herramientas se llevaron a cabo.
Suficiencia (completa): debe por sí misma y en sus propios términos mostrar
el escenario completo, y no una perspectiva de un conjunto particular de
circunstancias o eventos.
2.2 Evidencia digitalpuede dividirse en tres categorías:
8. CÓMPUTO FORENSE
UABC Página 8
-Registros almacenados en el equipo de tecnología informática (por ejemplo,
correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.).
-Registros generados por los equipos de tecnología informática (registros de
auditoría, registros de transacciones, registros de eventos, etc.).
-Registros que parcialmente han sido generados y almacenados en los equipos de
tecnología informática. (Hojas de cálculo financieras, consultas especializadas en
bases de datos vistas parciales de datos, etc.).
De Uso Público Evidencia Digital Toda información digitalizada
susceptible de ser analizada por un método técnico y de generar
conclusiones irrefutablesen lo legal.
De Uso Público Característica de la Evidencia Digital
●No podemos “verla”
●No se puede interpretar sin conocimientos técnicos
●Es sumamente volátil
●Puede copiarse sin límites
De Uso Público Característica de la Evidencia Digital
●Las copias son indistinguibles del original
●Bueno para los peritos: ¡Se analiza la copia!
●Malo para los juristas: el concepto de “original “carece de sentido
Características:
Proceso de análisis forense.
1. Identificación del incidente.
2. Preservación de la evidencia.
9. CÓMPUTO FORENSE
UABC Página 9
3. Análisis de la evidencia.
4. Documentación del incidente.
NOTA:
“No existen investigaciones iguales, no es posible definir un procedimiento único
para adelantar un análisis en Informática forense.”
3. Proceso de análisisforense.
3.1 Identificación delincidente:
Búsqueda y recopilación de evidencias Una de las primeras fases del análisis
forense comprende el proceso de identificación del incidente, que lleva aparejado la
búsqueda y recopilación de evidencias. Si sospecha que sus sistemas han sido
comprometidos lo primero que tiene que hacer es ¡NO PERDER LA CALMA!,piense
que no es el primero y que menos aún va a ser el último al que le ocurre. Antes de
comenzar una búsqueda desesperada de señales del incidente que lo único que
conlleve sea una eliminación de “huellas”, actúe de forma metódica y profesional.
Asegúrese primero que no se trata de un problema de hardware o software de su
red o servidor, no confunda un “apagón” en su router con un ataque DoS
Microsoft Windows: Este sistema operativo le proporciona un entorno para
realizar estas pesquisas puede consultar, si considera que se trata aún de una
aplicación segura, dentro del menú Herramientas administrativas, el Visor de
sucesos, el de Servicios o el de la Directiva de seguridad local. Si no entiende bien
la información que estos visores le aporten puede consultar la base de datos de
ayuda de Microsoft. Otro lugar donde se esconde gran cantidad información es el
registro de Windows. La aplicación del sistema regedit.exe puede ayudarle en esta
tarea, pero si no se fía de ella use las herramientas de su CD tales como reg (permite
hacer consultas al registro sin modificarlo), o regdmp (exporta el registro en formato
de texto plano, .txt), para su posterior consulta. En estos archivos tendrá que buscar
“una aguja en un pajar”, debido a la ingente cantidad de información que almacena
y que se mezcla. Un punto de partida podría ser buscar en las claves del registro
Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce, Winlogon, pues bajo
estas claves se encuentran los servicios, programas y aplicaciones que se cargarán
en el inicio del sistema. Si ve algo raro, acuda nuevamente a Google. aporten puede
consultar la base de datos de ayuda de Microsoft. Otro lugar donde se esconde gran
cantidad información es el registro de Windows. La aplicación del sistema
10. CÓMPUTO FORENSE
UABC Página 10
regedit.exe puede ayudarle en esta tarea, pero si no se fía de ella use las
herramientas de su CD tales como reg (permite hacer consultas al registro sin
modificarlo), o regdmp (exporta el registro en formato de texto plano, .txt), para su
posterior consulta. En estos archivos tendrá que buscar “una aguja en un pajar”,
debido a la ingente cantidad de información que almacena y que se mezcla. Un
punto de partida podría ser buscar en las claves del registro Run, RunOnce,
RunOnceEx, RunServices, RunServicesOnce, Winlogon, pues bajo estas claves se
encuentran los servicios, programas y aplicaciones que se cargarán en el inicio del
sistema. Si ve algo raro, acuda nuevamente a Google.
3.2 Preservación de la evidencia
Aunque el primer motivo que le habrá llevado a la recopilación de evidencias sobre
el incidente sea la resolución del mismo, puede que las necesite posteriormente
para iniciar un proceso judicial contra sus atacantes y en tal caso deberá
documentar de forma clara cómo ha sido preservada la evidencia tras la
recopilación. En este proceso, como se expondrá a continuación, es imprescindible
definir métodos adecuados para el almacenamiento y etiquetado de las evidencias.
Muy bien, ya tenemos la evidencia del ataque, ahora veremos que ha de continuar
siendo metódico y sobre todo conservando intactas las “huellas del crimen”, debe
asegurar esa evidencia a toda costa, por lo tanto ¡NI SE LE OCURRA COMENZAR
EL ANÁLISIS SOBRE ESA COPIA!.
Cadena de custodia, donde se establecen las responsabilidades y controles de cada
una de las personas que manipulen la evidencia. Deberá preparar un documento en
el que se registren los datos personales de todos los implicados en el proceso de
manipulación de las copias, desde que se tomaron hasta su almacenamiento. Sería
interesante documentar:
Dónde, cuándo y quién manejo o examinó la evidencia, incluyendo su
nombre, su cargo, un número identificativo, fechas y horas, etc.}
Quién estuvo custodiando la evidencia, durante cuánto tiempo y dónde se
almacenó.
Cuando se cambie la custodia de la evidencia también deberá documentarse
cuándo y cómo se produjo la transferencia y quién la transportó.
Todas estas medidas harán que el acceso a la evidencia sea muy restrictivo y quede
claramente documentado, posibilitando detectar y pedir responsabilidades ante
manipulaciones incorrectas a intentos de acceso no autorizados.
11. CÓMPUTO FORENSE
UABC Página 11
3.3 Análisis de la evidencia
Una vez que disponemos de las evidencias digitales recopiladas y almacenadas de
forma adecuada, pasemos a la fase quizás más laboriosa, el Análisis Forense
propiamente dicho, cuyo objetivo es reconstruir con todos los datos disponibles la
línea temporal del ataque o timeline, determinando la cadena de acontecimientos
que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque,
hasta el momento de su descubrimiento. Este análisis se dará por concluido cuando
conozcamos cómo se produjo el ataque, quién o quienes lo llevaron a cabo, bajo
qué circunstancias se produjo, cuál era el objetivo del ataque, qué daños causaron,
etc.
3.4 Documentación delincidente
Tan pronto como el incidente haya sido detectado, es muy importante comenzar a
tomar notas sobre todas las actividades que se lleven a cabo. Cada paso dado debe
ser documentado y fechado desde que se descubre el incidente hasta que finalice
el proceso de análisis forense, esto le hará ser más eficiente y efectivo al tiempo
que reducirá las posibilidades de error a hora de gestionar el incidente
Por otro lado, cuando se haya concluido el análisis y durante éste, tendrá que
mantener informados a las personas adecuadas de la organización, por lo que será
interesante que disponga de diversos métodos de comunicación. Además como se
verá necesitará tener preparados una serie de formularios y presentar tras la
resolución del incidente al menos dos tipos de informes uno Técnico y otro Ejecutivo.
4. Dispositivos a analizardentro delCómputo Forense.
Esta disciplina hace uso no solo de tecnología de punta para poder mantener la
integridad de los datos y del procesamiento de los mismos; sino que también
requiere de una especialización y conocimientos avanzados en materia de
informática y sistemas para poder detectar dentro de cualquier dispositivo
electrónico lo que ha sucedido.
La infraestructura informática que puede ser analizada puede ser toda aquella que
tenga una Memoria (informática), por lo que se pueden analizar los siguientes
dispositivos:
4.1 Disco duro de una Computadora o Servidor
12. CÓMPUTO FORENSE
UABC Página 12
En informática, la unidad de disco duro o unidad de disco rígido (en inglés: Hard
Disk Drive, HDD) es el dispositivo de almacenamiento de datos que emplea un
sistema de grabación magnética para almacenar archivos digitales. Se compone de
uno o más platos o discos rígidos, unidos por un mismo eje que gira a gran velocidad
dentro de una caja metálica sellada. Sobre cada plato, y en cada una de sus caras,
se sitúa un cabezal de lectura/escritura que flota sobre una delgada lámina de aire
generada por la rotación de los discos.
4.2 Documentaciónreferidadelcaso.
Toda la información que pudo ser comprometida en el ataque
4.3 Logs de seguridad.
Un log es un registro oficial de eventos durante un rango de tiempo en particular.
Los profesionales en seguridad informática lo usan para registrar datos o
información sobre quién, qué, cuándo, dónde y por qué (who, what, when, where y
why) un evento ocurre para un dispositivo en particular o aplicación.
4.4 Credenciales de autentificación
En el contexto de una transacción HTTP, la autenticación de acceso básica es un
método diseñado para permitir a un navegador web, u otro programa cliente,
proveer credenciales en la forma de usuario y contraseña cuando se le solicita una
página al servidor.
4.5 Trazode paquetesde red.
Paquete de red o paquete de datos es cada uno de los bloques en que se divide la
información para enviar, en el nivel de red. Por debajo del nivel de red se habla de
trama de red, aunque el concepto es análogo. En todo sistema de comunicaciones
resulta interesante dividir, la información a enviar, en bloques de un tamaño máximo
conocido. Esto simplifica el control de la comunicación, las comprobaciones de
errores, la gestión de los equipos de encaminamiento (routers), etcétera.
4.6 TeléfonoMóvilo Celular,parte de la telefonía celular
La telefonía móvil o telefonía celular es la comunicación inalámbrica a través de
ondas electromagnéticas. Como cliente de este tipo de redes, se utiliza un
dispositivo denominado teléfono móvil o teléfono celular. En la mayor parte de
América Latina se prefiere la denominación teléfono celular, mientras que en
España y en Cuba es más común el término teléfono móvil.
13. CÓMPUTO FORENSE
UABC Página 13
4.7 Agendas Electrónicas(PDA)
Una agenda electrónica es similar a una computadora, sólo que en una escala
mucho más pequeña. También conocida como un asistente digital personal (PDA,
por sus siglas en inglés), las agendas electrónicas tienen muchas características
que las han hecho populares.
4.8 Dispositivosde GPS.
El sistema de posicionamiento global (GPS) es un sistema que permite determinar
en toda la Tierra la posición de un objeto (una persona, un vehículo) con una
precisión de hasta centímetros (si se utiliza GPS diferencial), aunque lo habitual son
unos pocos metros de precisión. El sistema fue desarrollado, instalado y empleado
por el Departamento de Defensa de los Estados Unidos. Para determinar las
posiciones en el globo, el sistema GPS está constituido por 24 satélites y utiliza la
trilateración.
4.9 Impresora
Máquina que se conecta a una computadora electrónica y que sirve para imprimir la
información seleccionada contenida en ella.
4.10MemoriaUSB
Dispositivo de una máquina donde se almacenan datos o instrucciones que
posteriormente se pueden utilizar.
5. CriminalísticaDigital
¿Qué es la criminalísticadigital?
Se le llama criminalística digital, debido a que los criminales informáticos o
tecnológicos responden a diferentes tipos de perfiles, de individuos o grupos que
tienen un gusto en común por las tecnologías y sus posibilidades. Estos diseñan
estrategias para lograr objetivos ilícitos, vulnerando los derechos y garantías
propias de los nacionales en el uso de las tecnologías de información.
5.1 Perito informático
El perito es una figura esencial en gran parte de los procesos Judiciales. El perito
informático es considerado en todo momento por la Justicia como un experto
14. CÓMPUTO FORENSE
UABC Página 14
independiente cuya misión consiste en investigar una serie de dispositivos
informáticos con el fin de encontrar evidencias que ayuden a esclarecer los hechos.
Redactará un informe en el que reflejará los hallazgos fruto de su investigación, y
finalmente responderá en el Tribunal a las preguntas de las partes y del Juez
relativas a su trabajo.
5.2 Ámbito de actuación
Cada vez es más habitual encontrar litigios donde la informática forma parte
fundamental del proceso.
Puede darse en muchos casos: propiedad intelectual, revelación de secretos,
fraudes, espionaje, incumplimiento de contratos.
En todos ellos se precisa un informe pericial emitido por expertos
informáticos.
5.3 PORQUÉ CONTRATAR UNA PERICIA INFORMÁTICA
Escoger a un perito (en lugar de solicitar los servicios de Perito directamente al
Juzgado), presenta grandes ventajas, tales como:
1. Buscar a un experto en la materia (no todos los peritos informáticos son expertos
en todo el campo de informática).
2. Solicitar asesoramiento y consejo al perito, sin afectar por ello a la imparcialidad
del dictamen.
3. Encauzar la demanda en base a los consejos técnicos previos del perito
4. Trato personalizado y directo.
Un Perito Informático Forense que trabaje con la Justicia, tiene muy claro que no
sólo el trabajo se compone de un buen informe, sino que temas tan importantes
como la preservación de la cadena de custodia es 100% vital para no invalidar el
trabajo en el Tribunal.
La contratación de un profesional puede ayudar a esclarecer muchos temas, incluso
si unos archivos han sido borrados, el perito podrá incluso dictaminar el momento
exacto en el que se han borrado estos (esto no es siempre viable).
15. CÓMPUTO FORENSE
UABC Página 15
Los peritos informáticos forenses pueden presentar un informe pericial en un
proceso Judicial para que el Juez pueda contemplarlo, aún en el caso que la otra
parte haya presentado ya su propio peritaje (incluso se puede realizar un contra
peritaje).
5.4 EJEMPLOS
ANÁLISIS DE CPU PARA PROCESO DE DIVORCIO
5.4.1 Antecedentes: Un particular inmerso en un proceso de divorcio, necesita el
análisis de su ordenador personal para buscar pruebas que inculpasen a su
cónyuge.
5.4.2 Objetivo: Analizar el ordenador y realizar una descripción tanto técnica como
de su contenido, incluyendo programas instalados y archivos destacables asociados
a cada programa.
5.4.3 Actuación Pericial:
-Se realizó un análisis del ordenador mantenimiento la integridad de los medios
originales y sin alterar ninguna evidencia electrónica.
– Se realizó una descripción detallada a nivel de hardware y software del ordenador.
– Se analizaron las carpetas y archivos que existían.
– Se descubrió que existía en dichas carpetas alto contenido de pornografía infantil
– Se descubrieron en los archivos conversaciones y cartas que el cónyuge había
mantenido con otra mujer.
– Se descubrieron numerosos archivos relacionados con su trabajo que vulneraban
la protección de datos.
CONCLUSIÓN
El cómputo forense en estos tiempos ha tomado gran importancia ya que permite
encontrar las evidencias necesarias y suficientes de un siniestro, evidencia que
16. CÓMPUTO FORENSE
UABC Página 16
pueden ser de gran valor en el momento de resolver un caso, en muchos de estos
casos puede ser la única evidencia disponible. El cómputo forense Nos permite la
solución de conflictos tecnológicos relacionados con seguridad informática y
protección de datos.
En ellas se aplican técnicas científicas y analíticas especializadas a infraestructura
tecnológica que permiten identificar, preservar, analizar y presentar datos que sean
válidos dentro de un proceso legal, Las metodologías mencionadas durante esta
investigación, las herramientas y técnicas que se aplican en Informática Forense,
pueden ser comunes en otro tipo de ámbitos, pero aquí y en conjunto ayudan a
explicar hechos ocurridos, utiliza la evidencia digital para casos de delitos
informáticos y para otro tipo de crímenes usando técnicas y tecnologías avanzadas.
Donde los delitos pueden ser directamente contra computadoras, que contiene
evidencia, y es utilizada para cometer el crimen.
Pero también es importante recalcar la parte tan importante que es la prevención
del robo de la información La mejor forma de evitar situaciones o actos delictivos
informáticos es estableciendo controles, pero la mejor forma de defenderse es
promover una cultura de seguridad en los hogares y organizaciones
La mayoría de los usuarios piensan que al borrar un archivo se quitará totalmente
la información del disco duro. En realidad se quita solamente el archivo de
localización, pero el archivo real todavía queda en su computadora. Y esto ha
llegado a provocar que sigan registros del el archivo borrado
17. CÓMPUTO FORENSE
UABC Página 17
(Rodriguez), un uso no autorizado de computadoras, una violación de políticas de
compañías, historial de chats, archivos y navegación o cualquier otra forma de
comunicaciones electrónicas, todo esto se puede utilizar como evidencia
incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo
homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o
pornografía infantil
No hay manera de detener esto, pues se ha metido en toda nuestra vida social.
Lo que sí es seguro es que en el ámbito del cómputo forense los especialistas no
pueden bajar la guardia, ya que la evolución en este campo no puede medirse ni en
años ni en meses, sino en días.
Bibliografía
Análisis forense digital, edición segunda, López Delgado Miguel. Junio 2007.
file:///C:/Users/alumno/Downloads/Analisis-forense-de-sistemas-informaticos.pdf
https://informaticaforenseyevidenciadigital.wikispaces.com/Evidencia+Digital
http://informatica-legal.es/informatica-forense/
http://www.dragonjar.org/informatica-forense-como-medio-de-pruebas.xhtml
http://www.oas.org/juridico/english/cyb_pan_manual.pdf
http://informatica-legal.es/peritaje-informatico/
http://www.forense.info/articulos/criminalisticaparainformaticosforensesyperitos.ht
ml
(http://www.dragonjar.org/informatica-forense-como-medio-de-pruebas.xhtml)
Cano, Jeimy. Computación Forense.1ª. Edición. Editorial Alfaomega.