04_SIF_2021_UNIDAD_4 (1).pdf

de 109
UNIDAD 4:
4.1. Análisis de Dispositivos Móviles de telefonía celular.
4.2. Análisis de discos rígidos de computadoras personales, notebook etc.
4.3. Análisis de multimedia digital y sistemas de video vigilancia,
4.4. Análisis de centros de cómputos.
4.5. Análisis de información en la “nube”.
4.6. Análisis de sistemas o programas específicos (Tango Gestión, Bejerman,
Sistema María de aduana, Sistema de Afip, etc)
4.7. Análisis de dispositivos electrónicos.
4.8. Análisis de códigos de programación.
4.9. Análisis de redes.
4.10. Hardware de uso en informática forense (duplicadores, bloqueadores,
dispositivos de análisis y procesamiento de celulares, Freddy, entre otros).
4.11. Software de uso en informática forense licenciado, de análisis y de
adquisición (firmas destacadas como Guidance, AccesData, Paraben,
Logicube, entre otras).
4.12. Software de uso en informática forense con licencia libre (Deft, Caine,
Autopshy, familia Nirsoft).
4.13. Sistemas de extracción de información de telefonía móvil.

de 109
4.1. Análisis de Dispositivos Móviles de telefonía celular.
Desde que Martín Cooper, directivo de Motorola, realizó la primera llamada desde
un teléfono móvil el 3 de abril de 1973, hasta día de hoy en el que la democratización de
los teléfonos móviles o smartphones es una realidad, son muchos los avances tecnológicos
en el sector de la telefonía móvil. Pero no sólo a nivel tecnológico, sino a nivel sociológico
también.
Quién iba a pensar en los años 90, en los que abundaban las cabinas de
Telefónica, que tan sólo 20 años después no sabríamos vivir sin teléfono móvil (incluso
existe una nueva patología llamada nomofobia que consiste en el miedo a salir de casa sin
el móvil). La telefonía celular nos ha cambiado como individuos y como sociedad.
Este cambio viene muy marcado por la evolución de los teléfonos móviles,
reflejo de nuestra propia evolución, en la que también Internet ha tenido su influencia.
Actualmente las comunicaciones se han convertido en un eslabón importantísimo en
nuestra sociedad. Un eslabón que permite la constante relación entre personas, pero
también entre empresas. Un motor socioeconómico sin el que el mundo sería muy diferente
a como lo conocemos ahora, y en el que la revolución de los teléfonos móviles tiene un
papel primordial.

de 109
Los primeros teléfonos móviles:
Salto generacional: Internet .
Tenemos que desde los años 90 hasta 2005, los teléfonos eran muy similares. A
partir de 2005 llegó la auténtica revolución del móvil que se ha mantenido hasta día
de hoy, también manteniendo una estandarización y pasando de precios prohibitivos
a los que nadie podía acceder a la democratización del teléfono móvil (hay modelos
económicos que permiten acceder a una variada gama de posibilidades).
Esta percepción desde el diseño y efecto de la evolución de los celulares, en
realidad viene de la mano de la evolución de la tecnología aplicada a la comunicación
inalámbrica y esta forzada por las circunstancias.
El teléfono celular surgió a principio de la Segunda Guerra Mundial, época en la que
era una verdadera necesidad la comunicación a distancia. Fue sólo cuestión de tiempo para
que las dos tecnologías de Tesla y Marconi se unieran para crear la comunicación a través

de 109
de radio-teléfonos: Martin Cooper, considerado como el padre de la telefonía celular,
fabricó el primer radio teléfono entre 1970 y 1973, en Estados Unidos.
El gran cambio en los dispositivos móviles ocurrió en 1983, cuando las empresas
tecnológicas pusieron el foco en el diseño y las funciones. Millones de modelos se lanzaron
desde aquel momento a la actualidad. Estos primeros aparatos -los famosos “ladrillos”-
dieron inicio a la generación 1G. Con sistema analógico y diseño difícil de trasladar en el
día a día, fueron rápidamente adoptados por los hombres de negocios, ejecutivos y personas
de alto poder adquisitivo.
Con el paso de los años, surgió la Generación 2G; un sistema que usaba la tecnología
digital. Rápidamente se volvió popular debido a la reducción de los riesgos de interferencia
y la caída de las llamadas. También eran capaces de proporcionar mensajes de texto
conocidos como SMS. En cuanto a sus características, tenían ciertos beneficios muy
valorados, como duración extendida de la batería, mayor definición y calidad de sonido. En
cuanto al diseño, el tamaño de la pantalla amplió sus dimensiones, aunque los teléfonos no
eran cómodos para ser usados con una sola mano.
Otro salto hacia el surgimiento de la telefonía inteligente se dio con el lanzamiento en
el mercado de los modelos 2.5 G, que ofreció un salto cualitativo con respecto a los anteriores
productos, mejores servicios de datos y acceso a Internet. En ese entonces, el gran desafío
de las empresas de tecnología era crear modelos atractivos para la gran mayoría. El diseño
exterior de los aparatos ya no pasaba desapercibido para los usuarios.
Sin duda el evento que cambio la percepción de lo que era un Smartphone fue el
anuncio de la creación de Android OS de Google en 2007, sistema operativo diseñado
principalmente para dispositivos móviles con pantalla táctil.
Asimismo, con la constante evolución de la tecnología, asomaron las redes de telefonía
móvil 3G. Las características sobresalientes de los sistemas 3G, aún vigentes hoy en día, son
que soportan tasas de transmisión de datos mucho más altas y ofrecen mayor capacidad, lo
que las hace adecuadas para aplicaciones de datos de alta velocidad, así como para las
llamadas de voz tradicionales.

de 109
El problema se da en la infraestructura de las comunicaciones de esta región
que quizás no son las más aptas para poder explotar todo el potencial de estos nuevos
equipos.
Como vemos la telefonía móvil ha experimentado un vertiginoso desarrollo
gracias a la confluencia de dos factores:
 El incremento de las prestaciones de los circuitos integrados que incorporan
los teléfonos móviles, que hacen de estos dispositivos verdaderos
ordenadores personales con un tamaño muy reducido.
 El avance en los protocolos de comunicación imprescindibles para facilitar
la conexión entre terminales que pueden estar separados por centenares o
incluso miles de kilómetros.
Funcionamiento de una red de telefonía móvil: En esencia, un teléfono móvil es un
receptor-transmisor que recibe y envía ondas electromagnéticas de radiofrecuencia.
El terminal convierte las ondas sonoras de nuestra voz en ondas electromagnéticas,
que viajan a través del aire, siendo recibidas y reenviadas hasta el destinatario del mensaje
mediante una o más antenas repetidoras. Una vez que alcanzan el teléfono del destinatario,
son convertidas nuevamente en sonido para que este pueda escuchar el mensaje.
Cobertura territorial: red de celdas
Para poder dar servicio a un territorio determinado sin que haya zonas fuera de
cobertura, las redes inalámbricas operan dividiendo el terreno en cuadrículas llamadas celdas
o células, en cada una de las que se instalan una o más antenas repetidoras.
Cada celda puede cubrir desde unas pocas manzanas de una ciudad densamente
poblada hasta extensiones de 200 km2; generalmente son de forma hexagonal, ya que esa
figura geométrica permite cubrir una región geográfica con el menor número de celdas

de 109
posible sin dejar áreas sin cobertura, permitiendo además que la distancia entre las antenas
de las celdas sea la misma en todo el territorio, evitando problemas de mala recepción de la
señal.
Cada celda utiliza un conjunto de frecuencias de radio para facilitar la comunicación
en su área específica. El alcance de estas frecuencias se limita a la celda donde dan servicio
y con objeto de evitar problemas de interferencia, una misma frecuencia puede ser usada
simultáneamente en celdas cercanas, pero no contiguas. A su vez, dentro de una celda cada
frecuencia tiene lo que se conoce como un ancho de banda, lo que permite “incluir” dentro
un elevado número de canales para que un gran número de usuarios puedan hablar sin
interferirse entre ellos. Cada celda utiliza un séptimo de las frecuencias disponibles, lo que
permite que los usuarios situados en ellas puedan comunicarse sin sufrir interferencias:
División de un territorio en celdas: La celda central opera a una frecuencia y cada
una de las celdas contiguas trabaja a frecuencias cercanas, pero diferentes. En la esquina
superior hay una celda que vuelve a usar la misma frecuencia que la central:
En áreas rurales, las antenas son omnidireccionales y se sitúan en el centro de cada
celda:
En áreas urbanas, con gran cantidad de usuarios potenciales, las antenas se suelen
colocar en tres vértices no consecutivos de cada hexágono:

de 109
Una llamada de teléfono se realiza siguiendo los siguientes pasos:
Al encender el teléfono móvil, éste busca una
señal para confirmar que el servicio está
disponible. Una vez que la recibe de la EB más
cercana, el teléfono se conecta con esta y
transmite ciertos números de identificación,
para que la red verifique datos tales como la
compañía telefónica a la que está adscrito el
usuario y su número de teléfono.
A continuación, el teléfono móvil envía un
mensaje a la EB solicitando una conexión con
el número de teléfono con el que desea hablar.
El mensaje es recibido por el MTSO que
controla la zona.
El MTSO busca el teléfono del destinatario,
enviando mensajes a varias EB.
Una vez localizada la EB más cercana al
teléfono receptor, el MTSO acepta la llamada
y decide cuál de los canales que pueden usar
los teléfonos para comunicarse está libre.
Vale decir hasta aquí todavía no se ha
entablado una comunicación entre los dos
terminales móviles.

de 109
El MTSO establece la conexión entre los dos
teléfonos, a través de las EB a las que están
conectados cada uno.
A partir de ese momento, se realiza la llamada.
A medida que el usuario se mueva dentro
de la celda, la EB notará que la intensidad de
la señal emitida por el móvil varía. Entretanto,
la EB de la celda hacia la que se está acercando
en su desplazamiento notará que la señal se
hace cada vez más intensa. Las dos EB se
coordinan entre a sí a través del MTSO y en
algún punto el teléfono recibe una señal que le
indica que cambie a la frecuencia de la nueva
EB, al haberse movido a otra celda. Este
cambio (handoff) evita que la conversación
entre dos teléfonos se interrumpa porque la
potencia de la señal sea insuficiente.

de 109
Origen y desarrollo de las redes de telefonía móvil:
Algo ya hemos visto en párrafos anteriores, esta es la evolución técnica:
Primera generación 1G: Fue desarrollada por el histórico fabricante sueco Ericsson,
utilizaba canales de comunicación analógicos y servía exclusivamente para transmitir
mensajes de voz, con muy escasa seguridad en las comunicaciones y mala transferencia en
el paso de una celda a otra.
Segunda generación 2G: Llegó al comienzo de la década de los 90 y fue el primero en
utilizar protocolos de comunicación digitales, siendo el más famoso el conocido como GSM
(Global System for Mobile communications). Fue el primer sistema en permitir la
transmisión de datos, los SMS (Short Message Service), además de voz con un cierto nivel
de encriptación.
Tercera generación 3G: Surgió como respuesta a la necesidad de mayores velocidades de
transmisión de datos y mayores capacidades, que permitieron ofrecer nuevos servicios a los
usuarios: además de voz y datos, posibilitó el acceso de los terminales a Internet.
Cuarta generación 4G: Comercializada por las operadoras de telefonía móvil desde 2010
ofrece, entre otras mejoras, mayor seguridad y calidad de servicio, junto a velocidades de
acceso muy superiores a las anteriores. Este sistema se ha extendido gracias al uso masivo
de los smartphones. La tecnología 4G ha permitido la generalización de aplicaciones.
Quinta Generación 5G: Es la evolución esperada, se espera que esté disponible en 2020.
Su característica principal será la mayor velocidad de transferencia de datos e imágenes.

de 109
Sistemas operativos para dispositivos móviles:
El Sistema operativo es el software o programa más importante que se
ejecuta en un computador, nos permite usarlo y darle órdenes para que haga lo
que necesitamos. Si el aparato en cuestión es el cuerpo básicamente podemos
decir que el alma misma de una computadora, celular o tablet es su sistema
operativo.
Ahora bien, son muchos los sistemas operativos que en el poco tiempo que
se desarrolló la tecnología móvil han ido pasando al olvido, migrando con otras
características y cambiando de nombre. Actualmente podemos decir que el
mundo de la telefonía móvil se resuelve en una dicotomía
Si bien hay otros sistemas operativos funcionales, activos, estos dos son
los que se disputan el mercado.
Mencionemos las características principales de estos dos sistemas que son
los que lideran el mercado a nivel mundial.

de 109
Android es uno de los sistemas operativos más usados del momento, el mismo
fue desarrollado por la empresa Android Inc que luego fue financiada por Google y
posteriormente hacia el año 2015, esta misma asume los derechos de Android para la
continuidad en su desarrollo.
Principalmente el sistema operativo se desarrolló para operar en dispositivos
de pantalla táctil, originalmente, teléfonos, pero el mismo se fue adaptando a tablets, PC
de escritorio, televisores de pantalla táctil, relojes de pulsera, entre otros.
No menos importante, es la plataforma de desarrollo para dicho sistema, el cual
se basa en la arquitectura del Kernel de Linux que es un sistema operativo de código
abierto, desarrollado por toda una comunidad de desarrolladores en todo el mundo
Evolución
Recientemente Google anunció su más reciente versión de Android llamada:
Android Q o Android 10 que da continuidad al crecimiento de Android y al proceso de
mejora de uno de los mejores sistemas operativos del momento.
Dato curioso: Android tiene nombres basados en dulces o golosinas que en la
medida del tiempo tuvo un orden alfabético que comenzó por la A hasta la Q:
Android 0.5
Android 0.9
Android 1.0 Apple Pie
Android 1.1 Banana Bread
Android 1.5 Cupcake
Android 1.6 Donut
Android 2.0/2.1 Éclair
Android 2.2 Froyo
Android 3.0 Honeycomb
Android 4.0 Ice Cream Sandwich

de 109
Android 4.1/4.2 Jelly Bean
Android 4.4 KitKat
Android 5 Lollipop
Android 6 Marhmallow
Android 7 Nougat
Android 8 Oreo
Android 9 Pie
Android 10
Android 11
iOS de los iPhones, anteriormente denominado iPhone OS creado
por Apple originalmente para el iPhone, siendo después usado en el iPod Touch e
iPad. Es un derivado de Mac OS X, se lanzó en el año 2007
Otras características que lo ubica entre los mejores son el manejo de correo
electrónico, la navegación web con Safari, la reproducción de audio, llamadas con
videoconferencia y sobre todo una estética de hardware muy cuidada y agradable que
ha caracterizado a los productos de Apple.
Seguidamente se presenta una lista de características y una opinión general (puede
variar según el dispositivo y versión del SO), del SO que mejor performance presenta:
 Seguridad: IOS
 Precio: Android
 Soporte: IOS
 Facilidad de uso: Android

de 109
 Variedad de dispositivos: Android
 Compatibilidad con otros dispositivos: Android
 Fluidez: IOS
 Estabilidad: IOS
 Aplicaciones: Android
Ambas plataformas son elegantes, estables y seguras, con miles de aplicaciones
disponibles. Android es indudablemente más personalizable.
iOS, pudieras decir, es un poco más pulido (especialmente en las tablets).
Visualmente son bastante distintos también.
Android es quizás de más fácil uso, posee múltiples aplicaciones y que la mayoría
de los celulares y tablets del mercado poseen este sistema lo que resulta muy práctico al
momento de sincronizar y compartir información entre dispositivos (además estos
dispositivos resultan ser más económicos).
También todavía se detectan otros sistemas operativos como:
Clásico de Nokia.
Anteriormente llamado Windows Mobile. Está
diseñado para ser similar a las versiones de escritorio de Windows estéticamente y existe
una gran oferta de software de terceros disponible para Windows Mobile.
Marca elegida en el ambiente empresarial.

de 109
Análisis forense sobre dispositivos móviles:
Ya hemos visto avances de esta temática en apartados anteriores. Para los
investigadores forenses digitales representa un desafío, ya que las oportunidades
tecnológicas y los avances en dispositivos móviles generan nuevas oportunidades para
actividades criminales.
La investigación en dispositivos móviles va más allá de la geolocalización, registros
de llamadas, registros de mensajes SMS, artefactos como metadata, etc.
Actualmente los fabricantes de teléfonos móviles producen nuevas familias de
teléfonos en periodos de tiempo cortos, con sistemas operativos cerrados, interfaces
patentadas por lo que es difícil la extracción forense digital para efectos legales u otro
tipo de investigación, el investigador forense digital debe considerar un sinfín de
limitaciones como por ejemplo:
 Las señales entrantes y salientes
 Cables de datos
 Puertos COM
 Estado de la evidencia
 Destrucción de datos
 Controladores
 La naturaleza dinámica de los datos
 Cifrado
 Equipo de investigación
 Análisis post mortem
 Valores hash
 Normas de la industria
 Asuntos legales
 Perdida de energía
 Contraseñas
 Tarjetas extraíbles
 Entrenamiento de herramientas
 Datos eliminados y datos no asignados.

de 109
En el desarrollo del proceso forense digital enfocado a teléfonos móviles se debe
tener en cuenta un secuestro, transportación y examinación segura (esto aplica para
cualquier dispositivo digital) es por ello que el uso de herramientas como las bolsas
Faraday (recintos formados por mallas conductoras de varias capas, recubiertas por
nylon ripstop y en el exterior cubiertas por poliuretano) aunque también sirve una
solución criolla como la de envolver en papel aluminio el dispositivo a proteger:
 Evitan la conectividad a las redes celulares, WiFi y Bluetooth, esto por si de
forma remota se intentara borrar, modificar o agregar datos.
 El blindaje eficaz a conexiones: 2G, 3G, 4G, LTE, Bluetooth (1, 2, 3 y 4),
WiFi (2.4 GHz y 5 GHz), SatNav/GPS, RFID (HF), RFID (ACTIVE), RFID
(UHF), entre otras.
 Dan garantía ya que son construidas bajo la norma ISO/IEC9001-2008 (los
costosos).
 Son reutilizables
En lo concerniente a la colección de evidencia digital en un teléfono móvil se debe
considerar lo siguiente:
1. El investigador forense digital es la persona idónea para considerar el equipo
necesario para realizar la colección.
2. Tener en cuenta la autoridad legal para realizar la recolección de pruebas.
3. Si el teléfono móvil no puede ser analizado inmediatamente, apagar el
teléfono, retirar la batería y no encenderlo

de 109
4. Las ventajas de apagar el teléfono móvil son las siguientes:
 Preservar los registros de llamadas y la última antena de telefonía móvil que
brinda información de localización (LOCI).
 La prevención de sobrescribir los datos eliminados.
 La prevención de señales que intenten destruir datos del teléfono móvil.
 Evitar la manipulación indebida.
5. Las desventajas o riesgos de apagar el teléfono móvil:
 Posibilidad de acoplamiento de mecanismos de autenticación (ejemplo,
contraseñas, PINs, etc.) esto requiere que la recolección de información sea
inmediata, por lo que necesita estar encendido pero aislado de cualquier red
manteniendo al mismo tiempo la carga del teléfono.
 Blindaje contra la Radio Frecuencia (RF), esta comunicación podría alterar
la información del teléfono móvil.
 Establecer el modo “avión” limitando el acceso a torres telefónicas, pero
debe considerar las llamadas al 911.
 Desactivar comunicaciones WiFi, Bluetooth, RFID (Radio Frequency
Identification) IrDA (Infrared Data Association), etc.

de 109
El investigador forense digital, al manipular la evidencia debe regirse bajo las políticas
de la cadena custodia, debe considerar que el teléfono móvil debe estar aislado de cualquier
señal que podría causar alteración de información.
Cabe destacar que, antes que nada, se debe estar seguro de que la autoridad judicial ya
ha descartado otro tipo de análisis pericial como ser la de obtener huellas digitales, tejidos
para un posterior análisis de ADN por ejemplo.

de 109
4.2 - Análisis de discos rígidos de computadoras personales, notebook etc.
Ya hemos planteado las problemáticas respecto de la tecnología y su uso tanto
en la investigación de actividades delictivas, como medio para cometer actividades
delictivas, como destino de ataques informáticos que conforman delitos o como medio
para recolectar evidencias para dilucidar un hecho delictivo.
Unas de las problemáticas que si bien se mencionó, no se profundizo y tiene que
ver con la gran variedad de medios en los que se almacena información y las
dificultades que la extracción forense de presenta en cada caso:
Medios de almacenamiento:
Veamos una línea de tiempo de evolución de las tecnologías de almacenamiento:

de 109
MEMORIA DE TAMBOR: 1932
Era un dispositivo cilindro metálico cuya superficie exterior estaba recubierta por un
material ferromagnético. Fue uno delos primeros sistemas de almacenamiento digital que
existieron siendo capaz de albergar en su interior hasta 10 KB de información.
SELECTRON: 1946
Era una válvula termoiónica capaz de actuar como memoria de acceso directo (RAM)
que fue diseñada por RCA. Los diversos modelos tenían unas capacidades de
almacenamiento que variaban entre los 256 y los 4096 bits.
CINTA MAGNÉTICA: 1951
Es un tipo de soporte de almacenamiento de información que se graba en pistas sobre
una banda de un material magnético, generalmente óxido de hierro o algún cromato.

de 109
Memoria RAM: 1952
Acrónimo de Random Access Memory (Memoria de Acceso Aleatorio), es el campo
de almacenamiento empleado como medio de trabajo en los sistemas computacionales, pues
contiene todas las instrucciones del procesador y la mayor parte de las instrucciones del
software.
DISCO DURO: 1956
El primer disco duro de la historia. Podía almacenar casi 4,4MB, tenía 50 discos de 24
pulgadas de diámetro con 100 superficies de grabación que giraban a 1200 RPM y la tasa
de transferencia de datos era de 8800 caracteres por segundo. Desarrollado por IBM.
TARJETA PERFORADA: 1960
Son básicamente unas cartulinas que contienen información digital representada por
la presencia o ausencia de agujeros en unas posiciones predeterminadas.

de 109
Memoria ROM: 1960
Acrónimo de Read-Only Memory (Memoria de Sólo Lectura), es un medio de
almacenamiento que contiene datos difíciles (o imposibles) de modificar, vitales para el
funcionamiento básico del sistema computacional y su sistema operativo primario.
DISQUETE: 1970
Los disquetes fueron desarrollados originalmente por IBM Aunque las primeras
unidades tenían una memoria de apenas 175 KB, las mejoras que se fueron introduciendo en
esta tecnología Desarrollados por IBM 1970
CINTA PERFORAD: 1970
Son unas tiras largas de papel en las que se realizan agujeros para almacenar datos
Fueron muy utilizadas como un medio para guardar datos en los mini ordenadores de la
época.

de 109
CD: 1979
Es un soporte digital óptico utilizado para almacenar cualquier tipo de información
(audio, imágenes, vídeo, documentos y otros datos). Creado por Philips y Sony
Dispositivos digitales de cinta magnética (DDS): 1984
Derivadas de los sistemas DAT, son unidades de manejo de información digital y
computarizada a partir de cinta magnética, remotamente semejantes al formato VHS.
Tarjeta de Memoria Flash: 1990
Es un dispositivo de almacenamiento que conserva la información que le ha sido
almacenada de forma correcta aun con la pérdida de energía. Los tamaños de los bloques por
lo general van de 512 bytes hasta 256KB en sus inicios

de 109
Unidades Zip: 1994
Introducidos al mercado a mediados de los 90, las unidades ZIP operan a partir de
discos magnéticos de alta capacidad de almacenamiento, a partir de unidades periféricas.
Fueron reemplazados por las memorias flash.
DVD: 1995
Es un disco óptico de almacenamiento de datos este dispositivo hace referencia a la
multitud de maneras en las que se almacenan los datos: DVD-ROM DVD-R y DVD+RDVD-
RW También difieren en la capacidad de almacenamiento de cada uno de los tipos.
Memoria USB: 1998
Tienen una capacidad mucho mayor, que actualmente van desde los 64Mb a varios
giga bytes. Su principal ventaja es su pequeño tamaño, su resistencia y su velocidad de
transmisión, mucho más rápido que los disquetes. Inventada por IBM.

de 109
SSD: 2000
Un SSD es una unidad de estado sólido que usa una memoria no volátil, como la
memoria flash, para almacenar datos, en lugar de los platos giratorios magnéticos
encontrados en los discos duros convencionales.
DISCO DURO PORTÁTIL: 2000
Un disco duro portátil puede almacenar entre 25 GB y 4 TB y son útiles para hacer
backups de archivos de gran tamaño, como los de contenido de vídeo.
Unidad flash: 2000
Las Unidades flash representaron un enorme avance en la tecnología de
almacenamiento de usuario final: eran rentables, fáciles de usar, y contenían un gran
volumen de datos.

de 109
Blu-Ray: 2002
Esta, consiste en una capa de disco que puede contener alrededor de 25 GB o cerca de
6 horas de video de alta definición más audio. El disco de doble capa puede contener hasta
50 GB. La velocidad de transferencia de datos es de 36 Mb it/s (54 Mbps para BD-ROM).
RAID: 2012
Los RAID son un sistema de almacenamiento de datos que utiliza múltiples unidades
de almacenamiento, que pueden ser discos duros o SSD por lo general. En estos se
distribuyen o replican los datos, dándose una serie de ventajas.
Almacenamiento en cloud: 2012
Las opciones de almacenamiento actuales son prácticamente ilimitadas gracias al
almacenamiento en cloud, disponible desde cualquier dispositivo con conexión a Internet

de 109
NAS: 2016
NAS es una tecnología de almacenamiento dedicada a compartir la capacidad de
almacenamiento de un servidor con ordenadores personales o servidores clientes a través de
una red. Es una tecnología aplicada al ámbito empresarial y al hogar usando además otras
como los discos duros o los RAID.
Vista esta evolución, se menciona una de las clasificaciones posibles
considerando los medios de almacenamiento actuales:
De acuerdo al modo de acceso a los datos que contienen:
 Acceso secuencial: En el acceso secuencial, el elemento de lectura del dispositivo debe
pasar por el espacio ocupado por la totalidad de los datos almacenados previamente al
espacio ocupado físicamente por los datos almacenados que componen el conjunto de
información a la que se desea acceder.
 Acceso aleatorio: En el modo de acceso aleatorio, el elemento de lectura accede
directamente a la dirección donde se encuentra almacenada físicamente la información
que se desea localizar sin tener que pasar previamente por la almacenada entre el
principio de la superficie de grabación y el punto donde se almacena la información
buscada.
De acuerdo al tipo de Almacenamiento:
Memorias:
 Memoria ROM: Esta memoria es sólo de lectura, y sirve para almacenar
el programa básico de iniciación, instalado desde fábrica. Este programa entra
en función en cuanto es encendida la computadora y su primer función es la de
reconocer los dispositivos, (incluyendo memoria de trabajo), dispositivos.
 Memoria RAM: Esta es la denominada memoria de acceso aleatorio o sea, como puede
leerse también puede escribirse en ella, tiene la característica de ser volátil, esto es, que
sólo opera mientras esté encendida la computadora. En ella son almacenadas tanto las

de 109
instrucciones que necesita ejecutar el microprocesador como los datos que
introducimos y deseamos procesar, así como los resultados obtenidos de esto.
 Memorias Auxiliares: Por las características propias del uso de la memoria ROM y el
manejo de la RAM, existen varios medios de almacenamiento de información, entre los
más comunes se encuentran: El disco duro, El Disquete o Disco Flexible, etc...
De acuerdo a la tecnología usada para almacenar datos digitales:
Dispositivos Magnéticos
 Cinta Magnética: Está formada por una cinta de material plástico recubierta de
material ferromagnético, sobre dicha cinta se registran los caracteres en formas de
combinaciones de puntos, sobre pistas paralelas al eje longitudinal de la cinta. Estas
cintas son soporte de tipo secuencial, esto supone un inconveniente puesto que para
acceder a una información determinada se hace necesario leer todas las que le
preceden, con la consiguiente pérdida de tiempo.
 Tambores Magnéticos: Están formados por cilindros con material magnético capaz de
retener información, Esta se graba y lee mediante un cabezal cuyo brazo se mueve en
la dirección del eje de giro del tambor. El acceso a la información es directo y no
secuencial.
 Disco Duro: Son en la actualidad el principal subsistema de almacenamiento de
información en los sistemas informáticos. Es un dispositivo encargado de almacenar
información de forma persistente en un ordenador.
 Disquette o Disco flexible: Un disco flexible o también disquette (en inglés floppy disk),
es un tipo de dispositivo de almacenamiento de datos formado por una pieza circular
de un material magnético que permite la grabación y lectura de datos, fino y flexible
(de ahí su denominación) encerrado en una carcasa fina cuadrada o rectangular de
plástico. Los discos, usados fueron de 3 ½ o 5 ¼ pulgadas.

de 109
Dispositivos Ópticos:
 El CD-R: es un disco compacto de 650 MB de capacidad que puede ser leído cuantas veces
se desee, pero cuyo contenido no puede ser modificado una vez que ya ha sido grabado.
Dado que no pueden ser borrados ni regrabados, son adecuados para almacenar archivos u
otros conjuntos de información invariable.
 CD-RW: posee la capacidad del CD-R con la diferencia que estos discos son regrabables lo
que les da una gran ventaja. Las unidades CD-RW pueden grabar información sobre discos
CD-R y CD-RW y además pueden leer discos CD-ROM y CDS de audio. Las interfaces
soportadas son EIDE, SCSI y USB.
 DVD-ROM: es un disco compacto con capacidad de almacenar 4.7 GB de datos en una cara
del disco, un aumento de más de 7 veces con respecto a los CD-R y CD-RW. Y esto es en
una sola cara. Los futuros medios de DVD- ROM serán capaces de almacenar datos en ambas
caras del disco, y usar medios de doble capa para permitir a las unidades leer hasta cuatro
niveles de datos almacenados en las dos caras del disco dando como resultado una capacidad
de almacenamiento de 17 GB. Las unidades DVD-ROM son capaces de leer los formatos de
discos CD-R y CD-RW.
 DVD-RAM: este medio tiene una capacidad de 2.6 GB en una ca ra del disco y 5.2 GB en
un disco de doble cara, Los DVD-RAM son capaces de leer cualquier disco CD-R o CD-
RW pero no es capaz de escribir sobre estos. Los DVD-RAM son regrabables pero los
discos no pueden ser leídos por unidades DVD-ROM.[3]
Dispositivos electrónicos:
 Pc - Cards: La norma de PCMCIA es la que define a las PC Cards. Las PC Cards pueden
ser almacenamiento o tarjetas de I/O. Estas son compactas, muy fiable, y ligeras haciéndolos
ideal para notebooks, palmtop, handheld y los PDAs,. Debido a su pequeño tamaño, son
usadas para el almacenamiento de datos, aplicaciones, tarjetas de memoria, cámaras
electrónicas y teléfonos celulares. Las PC Cards tienen el tamaño de una tarjeta del crédito,
pero su espesor varía. La norma de PCMCIA define tres PC Cards diferentes: Tipo I 3.3
milímetros (mm) de espesor, Tipo II son 5.0 mm espesor, y Tipo III son 10.5 mm espesor.

de 109
 Flash Cards: son tarjetas de memoria no volátil es decir conservan los datos aun cuando no
estén alimentadas por una fuente eléctrica, y los datos pueden ser leídos, modificados o
borrados en estas tarjetas. Con el rápido crecimiento de los dispositivos digitales como:
asistentes personales digitales, cámaras digitales, teléfonos celulares y dispositivos digitales
de música, las flash cards han sido adoptadas como medio de almacenamiento de estos
dispositivos haciendo que estas bajen su precio y aumenten su capacidad de almacenamiento
muy rápidamente. Recientemente Toshiba libero al mercado sus nuevas flash cards la
SmartMedia de 64 MB y el super-thin 512M-bit chip. La SmartMedia es capaz de almacenar
72 imágenes digitales con una resolución de 1800x1200 pixels y más de 1 hora de música
con calidad de CD. Entre los productos del mercado que usan esta tecnología tenemos los
reproductores de audio digital Rio de Diamond, Nomad de Creative Labs, los PDAs de
Compaq, el Microdrive de IBM con 340 MB de almacenamiento entre otros.
 Pen Drive o Memory Flash: Es un pequeño dispositivo de almacenamiento que utiliza la
memoria flash para guardar la información sin necesidad de pilas. Los Pen Drive son
resistentes a los rasguños y al polvo que han afectado a las formas previas de
almacenamiento portable, como los CD y los disquetes. Los sistemas operativos más
modernos pueden leer y escribir en ello sin necesidad de controladores especiales. En los
equipos antiguos (como por ejemplo los equipados con Windows 98) se necesita instalar un
controlador de dispositivo.
 Unidades de Zip: La unidad Iomega ZIP es una unidad de disco extraíble. Está disponible
en tres versiones principales, la hay con interfaz SCSI, IDE, y otra que se conecta a un puerto
paralelo. Este documento describe cómo usar el ZIP con Linux. Se debería leer en
conjunción con el HOWTO SCSI a menos que posea la versión IDE.
Muchos de estos dispositivos viejos, desactualizados, generan problemas dado que
todavía se encuentra información en ellos que está afectado a una causa judicial, y se hace
complicado accederla ya sea por la degradación de los materiales, como por la falta del
dispositivo lector adecuado (antiguo).
La problemática actual deriva de las nuevas formas de almacenamiento como ser:

de 109
 Los SSD o discos de estado sólido.
 El almacenamiento en RAID (acrónimo del inglés "Redundant Array of Independent
Disks"). Esto es una matriz redundante de discos independientes. RAID es un método
de combinación de varios discos duros para formar una única unidad lógica en la que
se almacenan los datos de forma redundante. Ofrece mayor tolerancia a fallos y más
altos niveles de rendimiento que un sólo disco duro o un grupo de discos duros
independientes.
 El Almacenamiento en la nube o cloud computing.
 El almacenamiento encriptado.
Sistemas de archivos
Aun un disco rígido chico, contiene millones de bits, por lo que necesitan organizarse
para poder ubicar la información. Éste es el propósito del sistema de archivos. Recuerde
que un disco rígido se conforma de varios discos circulares que giran en torno a un eje. Las
pistas (áreas concéntricas escritas a ambos lados del disco) se dividen en piezas llamadas
sectores (cada uno de los cuales contiene 512 bytes).
El formateado lógico de un disco permite que se cree un sistema de archivos en el
disco, lo cual, a su vez, permitirá que un sistema operativo (DOS, Windows 9x,UNIX, ...)
use el espacio disponible en disco para almacenar y utilizar archivos.
El sistema de archivos se basa en la administración de clústers, la unidad de disco más
chica que el sistema operativo puede administrar.
Un clúster consiste en uno o más sectores. Por esta razón, cuanto más grande sea el
tamaño del clúster, menores utilidades tendrá que administrar el sistema operativo...
Por el otro lado, ya que un sistema operativo sólo sabe administrar unidades enteras
de asignación (es decir que un archivo ocupa un número entero de clústers), cuantos más
sectores haya por clúster, más espacio desperdiciado habrá. Por esta razón, la elección de un
sistema de archivos es importante.
Sistemas de archivos y sistema operativo
En realidad, la elección de un sistema de archivos depende en primer lugar del sistema
operativo que esté usando. Generalmente, cuanto más reciente sea el sistema operativo,

de 109
mayor será el número de archivos que admita. Por esto, se necesita contar con FAT16 en
DOS y en las primeras versiones de Windows 95.
Veamos ejemplos:
Sistema
operativo
Tipos de sistemas de archivos admitidos
Dos FAT16
Windows 95 FAT16
Windows 95
OSR2
FAT16, FAT32
Windows 98 FAT16, FAT32
Windows NT4 FAT, NTFS (versión 4)
Windows 2000/XP FAT, FAT16, FAT32, NTFS (versiones 4 y 5)
Linux Ext2, Ext3, ReiserFS, Linux Swap (FAT16, FAT32, NTFS)
MacOS HFS (Sistema de Archivos Jerárquico), MFS (Sistemas de
Archivos Macintosh)
OS/2 HPFS (Sistema de Archivos de Alto Rendimiento)
SGI IRIX XFS
FreeBSD,
OpenBSD
UFS (Sistema de Archivos Unix)
Sun Solaris UFS (Sistema de Archivos Unix)
IBM AIX JFS (Sistema Diario de Archivos)

de 109
Herramientas para realizar análisis periciales:
Principales tareas:
 Creación de imágenes forenses
 Verificación de imágenes forenses.
 Validación de números hash.
 Búsquedas por parámetros en toda la superficie del disco, sin importar el tipo
de archivo.
 Búsqueda de archivos borrados,
 Generación de reportes.
 Creación de un caso, donde se guarden las búsquedas realizadas, las imágenes
forenses utilizadas y todo lo relacionado a lo hecho para poder ser repetido.
 Desencripción de claves.
 Analisis de línea de tiempo.
 Analisis de programas instalados y utilizados.
 Generar listados.
 Analizar la información directamente en formato hexadecimal.
 Análisis de archivos complejos (archivos zipeados, de correo electrónico, de
bases de datos).
 Análisis de tipos de archivos.
 Apoyo a la Psicologia forense (análisis de contenidos realizados por le usuario,
acceso a paginas y redes sociales)

de 109
Para realizar estas tareas, hay hoy día una amplia gama de herramientas
informáticas a utilizar y las mismas podemos dividirlas en herramientas de software
(programas) y de Hardware (equipos físicos).
Ellos se utilizan generalmente en combinación y tienen múltiples
características.
Cabe destacar que estos productos están en constante evolución y quedan
rápidamente desactualizado, y así como el desarrollo es continuo, la inversión en
investigación sabe ser muy alta.
Respecto del software, podemos entonces distinguir entre:
1- Software Comercial o empaquetado.
2- Software libre.
Herramientas
Forenses
HARDWARE
EQUIPOS DE
PROCESOS (Estaciones
forenses o FRED)
ADAPTADORES Y
CONECORES
AUXILIARES
ELECTRONICOS
Equipos de extracción
forense de datos de
dispositivos móviles
SOFTWARE
LICENCIA PAGA
LICENCIA LIBRE
GNU
GPL
OTROS
LICENCIAMIENTOS
HERRAMIENTAS EN
LINEA
INVENTIVA
PROFESIONAL

de 109
SOFTWARE
CON
LICENCIA
LIBRE

de 109
4.3_ Análisis de multimedia digital y sistemas de video vigilancia,
Sistemas de circuitos cerrados de tv (CCTV)
Tipos de instalaciones:
La estructura de un sistema de cámaras de seguridad puede apoyarse
básicamente en dos metodologías:
1. Circuito cerrado de televisión, CCTV analógico, en el cual todos los
elementos, cámaras, grabadores, monitores, etc. serán analógicos. Este tipo
de instalación está muy extendido ya que se lleva utilizando desde hace
bastante tiempo. Es por eso que existe una gran variedad de fabricantes,
soluciones e instaladores.
2. Sistema de vídeo vigilancia basado en tecnología digital y redes IP. Es un
tipo de estructura que se está implantando con fuerza en el mercado
actualmente gracias a sus características de compatibilidad, escalabilidad,
economía y muchas más propiedades que se irán detallando en el presente
documento.
3. “compartida”, en la que un sistema de vídeo vigilancia analógico se desea
conservar en parte pero se le añaden elementos IP y de esta forma gran
parte de las ventajas de una instalación digital.
4. “híbrida”, en la que, desde un principio, se diseña una sección analógica y
otra digital buscando una solución de compromiso entre las ventajas de un
tipo y del otro.
Instalación del tipo ANALÓGICA O “TRADICIONAL”:
Tradicionalmente los CCTV analógicos se valían de cámaras con salidas de vídeo
compuesto conectadas a un cableado propio para este tipo de instalación y
visualizadas en uno o varios monitores colocados de forma estática y cuya única
función era representar las imágenes de las videocámaras conectadas.

de 109
Básicamente un sistema de CCTV analógico, sin tener en cuenta el sistema de
control de movimiento de las cámaras, ni sonido, ni servicios adicionales, sigue el
siguiente esquema:
Cámaras de exterior
Instalación del tipo DIGITAL BASADA EN TECNOLOGÍA IP.:
La filosofía ha cambiado: el cableado ya no tiene que ser específico para la
instalación de CCTV, no se requieren monitores dedicados para este servicio, y todas
las operaciones de control se realizan por software, no por hardware.
La tecnología actual permite la conexión de cámaras de vídeo directamente en
las redes informáticas por las que se comunican los ordenadores (basadas en el
protocolo TCP/IP), y que ya están disponibles en la mayoría de las oficinas y empresas.
El audio y el vídeo transmitido desde cualquier cámara de red o servidor de
vídeo puede visualizarse desde cualquier ordenador conectado a esa red de área local
(Local Area Network, LAN), a través de una Intranet privada o a través de Internet.
Las imágenes son almacenadas en DVR, Digital Vídeo Recorder y el soporte
discos duros o algún otro soporte digital como DVD.

de 109
En un sistema de vigilancia IP, aunque la filosofía es la misma, el método de
operación es totalmente distinto al de un CCTV analógico, aumentando en gran
medida las posibilidades y simplificando las instalaciones y el equipo necesario.
Un esquema de una instalación de vídeo vigilancia IP, donde se integra el audio,
el control de las cámaras, etc. puede ser el siguiente:
Instalación del tipo COMPARTIDA ANALÓGICA-DIGITAL:
En ocasiones se parte de una instalación analógica y se desea conservar parte
de la misma o simplemente aprovechar todo el equipamiento disponible. La
flexibilidad de las instalaciones basadas en tecnología IP permite la incorporación de
elementos analógicos de una forma sencilla.
Un primer escenario podría ser: se parte de un cableado y unas cámaras ya
instaladas. En este caso es posible sustituir los Multiplexores por Servidores de Vídeo.
Estos Servidores convertirán las señales analógicas en digitales y permitirán
identificar las cámaras analógicas dentro de una red IP bien asignándoles direcciones
ficticias, bien actuando como elemento gestor de las imágenes recibidas por las
cámaras analógicas. De esta forma es posible tratar estas cámaras casi como si de
cámaras IP se tratase, aunque con ciertas limitaciones, y hacer la gestión transparente
al usuario.
Centro de control y/o
visualización
Centro de control y/o
visualización
+ DVR

de 109
Una segunda posibilidad es conservar la instalación analógica íntegramente y
realizar una instalación digital para las nuevas zonas. Ambas secciones se
comunicarán mediante un DVR que sustituirá al VCR de la instalación analógica y que
será soporte de almacenamiento común para ambas secciones
Instalación del tipo HÍBRIDA:
En ocasiones puede ser deseable un tipo de instalación híbrida en la que
todos los elementos sean analógico excepto el centro de control, que será un PC. Esto
puede ser debido a muchos factores:

de 109
 El deseo de reutilizar material y/o instalaciones ya existentes, como
cámaras analógicas o cableado de vídeo compuesto.
 La búsqueda de la simplicidad en la instalación: cámaras analógicas que
simplemente transmiten su señal por su línea dedicada, un PC como centro
de control, etc.
 Un mantenimiento simple pues ya no existe una red
 Un bajo presupuesto y una zona no muy amplia que hace innecesaria una
instalación mayor.
En estas instalaciones los servicios ofrecidos son una mezcla entre los de
una instalación analógica y una digital, por ejemplo:
 Es posible acceder a las imágenes vía web pues el centro de control (un PC)
puede ofrecer esta funcionalidad, sin embargo, no es posible acceder a
configuraciones de una cámara independiente y es necesario cableado
adicional para funciones como el audio o el movimiento de la cámara.
 Es posible la grabación y tratamiento de la imagen en almacenamiento
digital e incluso es posible definir áreas sensibles en una cámara, para por
ejemplo desencadenar una alarma, pero el añadir cámaras IP complica el
mantenimiento debido a la heterogeneidad.
 Es posible ampliar la instalación, pero siempre sujetos al montaje de nuevo
cableado y a la capacidad del PC en cuanto a capacidad computacional y
física (número de conectores libres).
Este tipo de instalaciones se realizan instalando unas tarjetas (placas accesorias
de la computadora) PCI llamadas comúnmente DVR que hacen las veces de
capturadoras de vídeo. Estas tarjetas tienen una serie de puertos BNC a los que se
conectan las cámaras analógicas. La funcionalidades ofrecidas por este tipo de
instalaciones está sujeta totalmente al software proporcionado para la tarjeta DVR:
diferentes formatos y calidades de grabación, definición de áreas sensibles dentro del
área capturada por una cámara, accesibilidad vía web, etc.
El esquema de este tipo de instalaciones es el siguiente:

de 109
En la actualidad, las instalaciones nuevas se inclinan por una solución
digital con tecnología IP debido a todas las posibilidades que ofrece en cuanto a
servicios, escalabilidad y flexibilidad.
Las ventajas:
 Accesibilidad remota: Es posible acceder a imágenes en directo en cualquier
momento desde cualquier ordenador.
 Flexibilidad: Se pueden colocar cámaras prácticamente en cualquier lugar. No
existen limitaciones. Allá donde se pueda recibir una llamada de teléfono o un
mensaje SMS se podrán recibir las imágenes de vídeo en red.
 Economía: La tecnología de vídeo en red es muy económica dado que no
precisa un ordenador personal para que las cámaras funcionen.
 Almacenamiento en discos duros.
 Escalabilidad: Un sistema de vídeo en red puede ampliarse para aumentar su
capacidad.
 Preparada para el futuro: Dado que las cámaras de red usan la más moderna
tecnología digital las inversiones realizadas hoy reportarán beneficios mañana.
 Versatilidad en el uso: La “belleza” de las cámaras de red reside en sus
numerosas ventajas y ahorros, y en que pueden usarse para una amplia variedad
de funciones y situaciones diferentes.

de 109
Formatos de los archivos de video (MP4, AVI, H323)
Los formatos usados en el video digital son más complejos que los
empleados en el audio, ya que lógicamente se trata de video más audio y en algunos
casos subtítulos e imágenes.
Las extensiones de los archivos de video indican solo el contenedor usado.
Por ejemplo, el archivo de nombre: The Following S02E10 HDTV X264.mkv, indica
que es un contenedor Matroska (MKV) y que el video es MP4 (H.264), codificado con
el códec x364.
Los contenedores pueden contener varios archivos de vídeo, audio,
imágenes o pistas de subtítulos dentro de un solo archivo.
Para convertir un formato de video en otro se requiere:
 Un programa convertidor o codificador de video.
 Tener instalados en la computadora los códecs de video necesarios.
Composición de un archivo multimedia:
Todos los elementos multimedia que a diario manejamos están
compuestos por dos elementos primordiales:
 Contenedor: nos brinda la posibilidad de ver un video con una extensión
fija asignada, este contenedor almacena diversos tipos de datos, como
audio y video, y permite realizar tareas como sincronización, activar o
desactivar pistas, entre otras. Los tipos de contenedores más comunes son
.avi, .ogg, .mp4, .mov, .rmvb, etc.
 Códec (Codificador/Decodificador): es un elemento de software cuya
función es permitir que el dispositivo donde estamos reproduciendo el
video despliegue la información correcta ya que esta se compone de
números binarios (unos y ceros), permitiendo no perder calidad. Algunos
de los códec más comunes son Xvid, AC3, H.261, H.262, H.264, X264, Theora,
MPEG-1 etc.

de 109
Conociendo estos detalles hablaremos de los tres contenedores más
conocidos.
AVI (Audio Video Interlaced): fue desarrollado en el año 1992 por
Microsoft y es uno de los contenedores de video más populares en su momento y
permite almacenar contenido de audio y video. Los archivos del formato AVI están
divididos en fragmentos llamados chunks donde el primer chunk, llamado cabecera,
es el responsable de transmitir la información del archivo.
Aunque AVI permite que el audio y el video conserven su fidelidad su gran
problema es la cantidad de espacio que ocupa para almacenar dicha información, ya
que en ocasiones puede ser idéntico al tamaño de un DVD lo cual afectaría la
portabilidad de dicho video.
MP4 (MPEG-4 Versión 2): fue desarrollado en el año 2001 y es compatible
con múltiples tipos de códec de audio y video convirtiéndolo en un contenedor
popular y de uso cotidiano. Su función básica es almacenar es el almacenamiento de
audio y video digital pero permite el almacenamiento de datos adicionales como
subtítulos, streaming e imágenes.
MKV (Matroska Video Container): Es un contenedor desarrollado en el año
2002 y es un contenedor libre que nos dará la posibilidad de almacenar diversos tipos
de códec de audio y video sin perder la calidad del contenido. El contenedor MKV
nos ofrece la posibilidad de almacenar video, audio y funciones adicionales como
audio alternativo, subtítulos en diversos idiomas, separador de capítulos y metadatos
con información más específica sobre cada archivo.

de 109
Conociendo estos contenedores y sus principales ventajas debemos saber
cuáles son los códec más usados los cuales nos van a permitir disfrutar al
máximo de cada video, algunos de estos códec son:
 WMV (Windows Media Video): fue desarrollado por Microsoft en el año de 1999
y por ende es el códec más usado en dispositivos Windows. WMV nos permite
gestionar video y aplicaciones de streaming en PCs.
 x264: (H.264/MPEG-4 AVC) fue desarrollado en el año 2003 con el fin de crear
videos en formato h264 altamente compatible con dispositivos Blu-Ray.
Actualmente es uno de los códec más usados por plataformas como Vimeo o
YouTube para todo lo relacionado con la transmisión de contenido multimedia
en vivo. x264 está disponible como un recurso abierto que nos permite codificar
librerías H.264/MPEG-4 AVC.
 Xvid: (H.263/MPEG-4 Part 2) fue desarrollado en el año 2001 como un rival
directo de DivX y una de sus principales ventajas fue la posibilidad de comprimir
películas de DVD al tamaño de un CD, es decir, de 4.8 Gb reducirlas a 700 MB sin
perder calidad.
 x265: (H.265/MPEG-H HEVC) fue desarrollado en el año 2013 como el sucesor
de H.264 mejorado algunas de sus funcionalidades. x265 también puede ser
llamado High Efficiency Video Coding (HEVC) y ha sido diseñado con la capacidad
de duplicar la compresión de datos de su antecesor convirtiéndolo en no de los
códec más poderosos actualmente.
 H323: es un protocolo relativamente viejo y está actualmente siendo reemplazado por
SIP – Session Initiation Protocol. Una de las ventajas de SIP es que es mucho menos
complejo y es parecido a los protocolos HTTP / SMTP. Consecuentemente, la mayoría
de los equipos VoIP disponibles hoy siguen el estándar SIP. Un equipo VoIP más antiguo
seguiría el estándar H 323.

de 109
Problemática y herramientas:
Las grabaciones en CCTV son una fuente invaluable de evidencia en casos de
investigación tales como robos sistemáticos, negligencias, accidentes, incumplimiento
de procedimientos de salud y seguridad, auditorias periódicas, movimiento de
personas, entre otras.
Las grabaciones en los sistemas de videovigilancia (DVR) en estos casos
registran lo sucedido, constituyendo la prueba vital en una investigación.
La dificultad es la difícil utilización, ya que el DVR no graba las filmaciones en
un formato estándar, fácil de leer y de duplicar (como los formatos MPG, AVI o de
otro método que pueda leerse simplemente). Las Imágenes de la videovigilancia DVR
se guardan en diferentes formatos propietarios, es decir, cientos de lenguajes que
pertenecen a la videograbadora que se realice, haciendo difícil su lectura y conversión
a otros formatos.
En ocasiones es posible evidenciar la dificultad que presenta algunos
investigadores o abogados al manipular estos datos, ya que no es posible manejarlos
fácilmente para su posterior estudio o análisis.
Debido a esta situación, se debe contar con los instrumentos específicos para
convertir las imágenes de videovigilancia en formatos estándar, capaz de producir
copias de la grabación del DVR y así hacer más fácil su difusión y su uso. Si la
filmación es la prueba principal de un proceso, como sucede a menudo, es
comprensible la importancia de tener varias copias.
Típicamente son muchas las horas que una persona invierte analizando
grabaciones de circuito cerrado CCTV para encontrar evidencia y llegar a una
conclusión. La mayoría de veces no se encuentra lo que se busca ya sea porque el foco
de atención del ser humano es limitado durante periodos prolongados o por el mismo
fastidio de tener que mirar un video de muchas horas de duración.
Es por ello que en los últimos años, se han estado desarrollando sistemas y
programas que faciliten la tarea del analista de videos.

de 109
A modo de ejemplo, se presentan:
Kinesense:
Se trata de un método de gestión basado en Lean 1
, combinado con tecnología para
reducir el tiempo de ciclo de las investigaciones puede incrementar significativamente la
productividad y efectividad de los procedimientos de seguridad.
El software identifica, analiza, visualiza y reporta evidencia en videos de circuito
cerrado ahorrando tiempo que invertiría una persona observando el material para
encontrar la evidencia relevante. Permite aislar actividad en video. Es posible también
buscar en base a actividad específica en ciertas áreas de la grabación colocando como
filtros objetos, dirección de movimiento y colores encontrando así la evidencia en
segundos. Los algoritmos que utiliza en las búsquedas filtran falsas alarmas como por
ejemplo cambios graduales de luz u hojas que caen de un árbol.
Beneficios:
 Monitoreo CCTV estarán apalancados con un valor agregado que es la
capacidad de investigación forense.
 Ahorro en horas hombre porque ya no necesitará a empleados o contratistas
analizar videos manualmente.
 Certeza de que podrá buscarse y reportarse cualquier evidencia de video.
 Evitar la consecuencia de una posible decisión incorrecta al no encontrar
evidencia (que probablemente exista) en un video revisado manualmente.
 Generación de ingresos a través de la venta de reportes de investigación
(extracto de video o documento con evidencia).
 Es posible integrarlo con otros sistemas de video vigilancia tales
como Milestone Systems, HikVision y TimeSpace.
1 El Pensamiento Lean tiene como filosofia central la eliminación de aquellas actividades que no añaden valor a un proceso desde la
perspectiva del cliente.
Lean Security sugiere la aplicación de los principios del pensamiento Lean a actividades dentro del ámbito de seguridad física para lograr
mayor valor en tiempos cortos, con menos esfuerzo humano y con una mejor utilización de los recursos.

de 109
FotoForensics:
FotoForensics es un sitio web gratuito destinado a proporcionar a los
investigadores en ciernes una muestra de lo que puede hacerse con los forenses de
fotos digitales.
Análisis Nivel de error (ELA) es uno de los algoritmos utilizados por la página y
permite determinar ciertas circunstancias relacionadas con la modificación de las
imágenes seleccionadas.

de 109
TinEye
TinEye es un motor de búsqueda de imágenes inversa. Se puede enviar una
imagen para TinEye para averiguar de dónde viene, cómo se está utilizando, si existen
versiones modificadas de la imagen, o para encontrar las versiones de mayor
resolución.
TinEye es el primer motor de búsqueda de imágenes en la web para utilizar la
tecnología de identificación de imágenes en lugar de palabras clave, metadatos o
marcas de agua. Es libre de utilizar para la búsqueda no comercial.
TinEye arrastra regularmente la web para las nuevas imágenes.

de 109
JPEGSnoop.
Comprobar a simple vista si una fotografía digital ha sido retocada o
procesada puede ser muy difícil cuando los cambios son sutiles. Para ello hay que
analizar las entrañas del fichero.
JPEGsnoop es un potente analizador capaz de detectar cualquier posible
modificación realizada sobre una imagen JPG o RAW. Puede incluso analizar
fotogramas de vídeo.
Para ello, JPEGsnoop examina los metadatos EXIF, las huellas de
compresión, los histogramas de color y otros parámetros internos. Tras examinar el
fichero, JPEGsnoop muestra todos los datos que ha recogido.
Lo más interesante se halla al final del informe, en el que se podrá saber si el
fichero ha sido modificado por algún programa.
Aunque no presente la información de manera amigable, JPEGsnoop es una
herramienta única en su género, ideal para extraer una impresionante cantidad de
datos a partir de cualquier fotografía digital o fotograma de vídeo.
Se debe descargar de la página oficial de la firma Sourceforge
(https://sourceforge.net/projects/jpegsnoop/?source=typ_redirect ).

de 109
Autopsy.
Autopsy es tal vez la mejor herramienta libre que existe para el análisis de
evidencia digital. Su interfaz gráfica es un browser que basado en las herramientas en
línea de comandos del Sleuth Kit, permite un análisis de diversos tipos de evidencia
mediante una captura de una imagen de disco.
El programa Autopsy corre en diversos sistemas operativos como Linux, Unix y
hasta en el sistema operativo Microsoft.
Izitru.
Izitru utiliza técnicas automatizadas de análisis forense para certificar imágenes
procedentes de cámaras digitales sin modificar, para que pueda compartirlas de
forma más confiable.

de 109
Imageforensic.
Técnicas forenses todo-en-uno: Entrega las principales técnicas de análisis
forense de imágenes en una sola aplicación.
Presume de privacidad: La foto y los informes subidos son privados. El informe
es accesible sólo con el conocimiento de su vinculación directa.
Es gratuito: Da a conocer la aplicación gratuita a todos, sin anuncios.
Ocultación: Mantiene los datos del análisis estrictamente en privado. Sin
intercambio de datos, no se comparte el análisis.

de 109
Amped Five.
Amped desarrolla software para el análisis y mejora de imágenes y vídeo para
aplicaciones forenses, de seguridad y de investigación. Aspira a ser el software
forense de análisis de imagen más importante del mundo.
Encase.
EnCase® Forensic produce una duplicación binaria exacta del dispositivo o
medio original y luego la verifica generando valores hash MD5 de las imágenes y
asignando valores de CRC a los datos. Estas verificaciones revelan cuándo la evidencia
ha sido alterada o manipulada indebidamente, ayudando a mantener toda la
evidencia digital con validez a efectos legales para su uso en procedimientos
judiciales.
ExifTools:
ExifTool edita los metadatos de múltiples tipos de archivos para modificarlos,
ordenarlos, completar la información, etc.
ExifTool funciona mediante línea de comandos, por eso es necesario consultar
con qué comando se hace cada función. Los archivos se pueden arrastrar y soltar
directamente en la ventana de la consola.
ExifTool es compatible con muchos formatos de metadatos como EXIF, GPS,
IPTC, XMP, JFIF, GeoTIFF, ICC Profile, Photoshop IRB, FlashPix, AFCP and ID3, también
con las notcas de cámaras digitales como Canon, Casio, FujiFilm, HP, JVC/Victor,
Kodak, Leaf, Minolta, Konica, Nikon, Olympus/Epson, Panasonic/Leica, Pentax/Asahi,
Ricoh, Sanyo, Sigma/Foveon y Sony.

de 109
Jeffrey’s Exif Viewer
Jeffrey’s Exif Viewer es una aplicación web que nos permite ver los datos Exif de
una imagen. Nos muestra desde los datos básicos, hasta los más avanzados como
Geolocalización, longitud focal, tiempo de exposición y otros datos más.
Se debe indicar la URL de la imagen o directamente indicarle el path de la
fotografía. Una vez que la lee, automáticamente genera el reporte que primero incluye
información básica, como pueden ver en la imagen del inicio y luego toda la
información completa.
Stegsecret

de 109
Stegsecret es un proyecto de código abierto steganalysis (GNU / GPL) que hace
posible la detección de información oculta en diferentes medios digitales.
StegSecret es una herramienta steganalysis multiplataforma basada en Java que
permite la detección de información oculta mediante el uso de los métodos más
conocidos esteganográficos. Detecta EOF, LSB, DCT y otras técnicas.
El objetivo del proyecto StegSecret es recoger, poner en práctica y hacer más
fácil el uso de técnicas steganalysis, especialmente en los medios digitales, como
imágenes, audio y video. Este proyecto quiere advertir sobre la inseguridad de varias
herramientas esteganográficos y algoritmos esteganográficos disponibles en
Internet.Hay varios métodos de análisis interesantes (por ejemplo): detección de
patrón fijo de herramientas esteganográficos en los medios digitales, detección de
presencia herramienta steganographic en los medios de comunicación, visual y
métodos estadísticos .Actualmente estoy trabajando en la implementación de
algoritmos que detectan información oculta para diferentes algoritmos
steganographic. Por ejemplo, LSB técnica en píxeles secuenciales y / o
pseudoaleatorios (chi-cuadrado, RS-ataque, etc.), diferentes herramientas de
esteganografía que trabajan con archivos BMP, coeficientes DCT-JPEG, GIF paleta de
colores ..., ADS (Alternate Data Stream ), interpretado idiomas (HTML, XML), etc.

de 109
4.4 - Análisis de centros de cómputos.
Un centro de cómputo, centro de procesamiento de datos, centro de datos
o data center es una entidad, oficina o departamento que se encarga del
procesamiento de datos e información de forma sistematizada. El procesamiento se
lleva a cabo con la utilización de ordenadores que están equipados con el hardware y
el software necesarios para cumplir con dicha tarea. Por lo general, estas
computadoras se encuentran interconectadas en red y cuentan con conexión a
Internet.
Otra definición de centro de cómputo hace referencia a la unidad que se
encarga del diseño y la implementación de sistemas dentro de una empresa. En este
caso, se trata de un área cuya finalidad es facilitar el trabajo del resto de las
dependencias. La capacitación de los usuarios, el mantenimiento de los equipos
informáticos y el desarrollo de estudios de factibilidad se encuentran entre sus
misiones.
Tienen una estructura de organización propia (dependiendo del
tamaño, varios aspectos p y roles son manejados por un solo órgano-persona):
la cual puede dividir a la estructura del CPD (Centro de Procesamiento de
Datos), en varias ubicaciones físicas (cercanas geográficamente o no):
Departamento de operación, Departamento de producción y control,
Departamento de administración, Departamento de programación,
Departamento de implementación - Departamento de soporte, etc. También
por su estructura, los roles y responsabilidades del personal también podrían
estar bien definidas: Analista, Gerente de proceso, Programador de sistemas,
Supervisor de capturistas, Bibliotecario, etc.
Las dificultades van de la mano de los protocolos de seguridad
implementados, de la cultura organizacional, de la tecnología y muy especialmente
del rol colaborativo de la organización.
Es muy importante también, la especificación del pedido judicial.

de 109
4.5- Análisis de información en la “nube”.
El análisis forense de la nube combina la computación en la nube y el
análisis forense digital, que se centra principalmente en la recopilación de información
forense digital de una infraestructura de la nube. Esto significa trabajar con una
colección de recursos informáticos, como activos de red, servidores (tanto físicos como
virtuales), almacenes, aplicaciones y cualquier servicio que se brinde.
Para la mayoría de las situaciones, este entorno permanecerá (al menos
parcialmente) en vivo, y puede reconfigurarse rápidamente con un mínimo esfuerzo.
Al final, cualquier tipo de evidencia recopilada debe ser adecuada para su presentación
en un tribunal de justicia.
Cloud computing involucra personas y organizaciones.
Identificar a estos actores es necesario, en principio para conocer el contexto en el que
se trabaja y en segunda instancia, al aplicar y explicar conceptos, para saber
inequívocamente a quién nos estamos refiriendo, en tal caso, y cual es su rol.
Liu2 identifica 5 actores principales en la nube:
1. cliente (consumer): Es quien utiliza el servicio y mantiene una relación de
negocios con el proveedor. Un cliente, o usuario, de la nube recorre el
catálogo de servicios de un proveedor, solicita el que le resulta
conveniente, establece los contratos de servicios con el proveedor, y utiliza
el servicio. El cliente es el actor principal en cloud computing.
2. proveedor (provider): Es el responsable por mantener el servicio. El
proveedor es quien adquiere y administra la infraestructura necesaria
para proveer el servicio en la nube y quien pone a disposición de los
clientes, o consumidores, por medio de la red de acceso, generalmente
2
Liu, F., Tong, J., Mao, J., Bohn, R., Messina, J., Badger, L., Leaf, D. (2011) ‘NIST Cloud Computing
Reference Architecture’ National Institute of Standards and Technology, Special Publication 500-292

de 109
Internet. Las actividades del proveedor principalmente serían:
Implementación del servicio, dirección del servicio, administración del
servicio, seguridad y privacidad.
3. Distribuidor (carrier): provee conectividad y transporte, el proveedor le
requiere conexiones dedicadas y encriptadas para asegurar un nivel de
consistencia acorde a las obligaciones contractuales con sus consumidores
4. auditor (auditor): verifica la conformidad con estándares, evalúa servicios
en términos de controles de seguridad, privacidad y performance
5. intermediario (broker): administra el uso, performance y distribución de
los servicios, negocia relaciones entre proveedores y clientes
En ocasiones el cliente tiene relación con el intermediario sin conocer al
proveedor.
Principal dificultad es la dependencia del proveedor
Entendiendo a la informática forense como “la ciencia de adquirir, obtener
y preservar datos que han sido procesados electrónicamente y guardados en un medio
computacional” , y teniendo en cuenta las características mencionadas de computación
en la nube, hace prácticamente inconcebible esta actividad sin colaboración,
principalmente del proveedor del servicio como parte del equipo forense, tanto para la
identificación, adquisición y análisis de los datos.
A continuación, se describen los principales problemas que pueden afectar
a esta actividad en este ambiente.
Problema 1: Identificar los servicios y los proveedores de los mismos
La cantidad en causas en las cuales es necesario recurrir a la informática forense en la
nube es muy variada. Puede deberse desde un delito de acoso por medio de una red
social, una estafa por medio de un sistema de ventas, o incluso una causa donde
intervenga un dispositivo por el cual se acceden a múltiples servicios, por citar algunos
ejemplos. En los primeros dos, puede estar claro un sistema a investigar, sin embargo

de 109
en una investigación que recaiga en un dispositivo primero deben identificarse los
múltiples servicios y luego identificar los diferentes proveedores de los mismos. De tal
modo, es posible que en una investigación sea requerido involucrar varios proveedores
no relacionados.
Una vez identificados los servicios, se deben identificar las cuentas utilizadas por el
usuario como cliente, y por otra parte los proveedores vinculados a cada sistema. Estos,
especialmente en el segundo caso, son problemas adicionales a la investigación.
Problema 2: Imposibilidad de acceder a los medios físicos
Existen varios motivos por los cuales acceder directamente a los medios físicos donde
se encuentra ubicada la información resulta extremadamente difícil o prácticamente
imposible. Subcontratación de servicios: en este caso el proveedor del servicio sea a su
vez cliente de otro servicio de Cloud, y no disponga de servidor propio. Con lo cual el
proveedor puede no conocer la ubicación física de los datos y habría que recurrir al
proveedor de segundo nivel (el proveedor del proveedor). Puede haber además:
locación distribuida: los datos del sistema del servicio tiene locación distribuida, es
decir que la información no se encuentren en un único servidor físico.
Recursos compartidos: es habitual que los recursos de los servicios de cloud sean
compartidos por varios clientes, y estos completamente ajenos a la investigación con
derechos sobre su información y el uso del sistema.
Problema 3: Información de clientes no relacionados
La privacidad es un derecho, por lo cual solo personas autorizadas deben tener acceso
al sistema. Como consecuencias de que los recursos sean compartidos, especialmente
para el caso de locación de información, muchos clientes del servicio pueden tener su
información en la misma locación (física o virtual), sea una base de datos u otro medio
de almacenamiento de archivos. En el curso de una investigación esa información debe
ser protegida y diferenciar claramente que pertenece a cada cliente y extraer como

de 109
evidencia solo lo relacionado a la investigación. Esto también es una tarea que
naturalmente recaería en el proveedor del servicio; puesto que aun teniendo acceso
directo a los recursos, por parte de un investigador, podría ser complicado discriminar
cuáles datos corresponden a cada cliente.
Problema 4: Interpretación del modelo de datos.
Una vez adquiridos los datos, se debe disponer de algún medio de interpretación de los
mismos. Nuevamente, recaería en el proveedor del servicio brindar la documentación
necesaria para la correcta interpretación de los mismos, como por ejemplo modelos de
datos, claves de encriptación, contexto semántico, conceptos del sistema, etc. Dadas
estas problemáticas en la informática forense en la nube, es posible notar que la
participación y la dependencia del proveedor del servicio es crucial para el desarrollo
de una investigación. De no contar con ello, adquirir, obtener y preservar los datos
sería extremadamente difícil. Por ello es necesario que en los Términos y Condiciones
del Servicio (SLA, por sus siglas en inglés) estén pactadas las obligaciones relacionadas
con las disponibilidad y recuperación del acceso a la información.
Problema 5: Sincronización horaria.
Debido al alcance global de Cloud Computing, un cliente podría estar utilizando
servicio donde tanto los datos como los registros de sus acciones se encuentren en otro
país, o continente, con una zona horaria distinta a él. Ante la presencia de un acto
delictivo conocer la secuencia exacta de sucesos es crucial en la investigación. Sumado
a esto se encuentra el solapamiento de los distintos modelos servicios debido a la
tercerización de servicios (outsourcing en la nube). Como se mencionó anteriormente
éste sería el caso de un proveedor de un servicio que subcontrata otro proveedor de
servicios. Este dinamismo, y versatilidad de casos puede hacer difícil para el
investigador la tarea de interpretar las marcas de tiempo sin la colaboración del
proveedor.

de 109
En la actualidad es cada vez más raro encontrar dispositivos que no se
conecten a Internet, y los sistemas Cloud son cada vez más utilizados.
Ante ésta situación, la informática forense debe estudiar los entornos de
Cloud Computing y sus particularidades deben contemplarse.
Al realizar un análisis forense sobre un sistema de Cloud Computing, se nos
presentan problemáticas únicas que no encontramos al analizar otros dispositivos, y la
principal barrera es la dependencia de los proveedores de servicios, ya que sin su
ayuda, la adquisición y análisis de evidencia digital resulta impracticable. Éste
problema no es una mera cuestión técnica, sino que involucra también cuestiones
legales y organizacionales. Conociendo, investigando y estudiando los entornos, en sus
aspectos técnicos, legales y de organización, las problemáticas de Cloud Computing
pueden resolverse.3
3
Dificultades de Investigaciones Penales en Cloud Computing Ariel Podestá, Martín Castellote , Bruno
Constanzo, Julian Waimann, Juan Ignacio Iturriaga.

de 109
4.6- Análisis de sistemas o programas específicos (Tango Gestión,
Bejerman, Sistema María de aduana, Sistema de Afip, etc)
El análisis de aquellos sistemas que las empresas desarrollan para
uso propio, tienen especial tratamiento debido en principio al
desconocimiento de la lógica de programación y el objetivo del desarrollo.
También entran en esta esfera aquellos sistemas muy específicos,
que aun comercializados con licencia, tiene un manejo complejo. Estos serian
aquellos de gestión comercial como Tango Gestion, Bejerman, Programas
controladores de equipamiento específico como los de diseño (los CAD),
programas de Aduana, de grandes organismos públicos, etc.
Entre las dificultades podrían encontrarse los niveles de seguridad
implementados, posibilidad de aplicación de técnicas antiforense (a modo de
ejemplo borrado seguro automático en caso de cierto tipo de claves, acceso
remoto, bombas lógicas, encriptación, etc.).
En este contexto, las prácticas en computación forense han venido
avanzando y armonizándose de tal forma que cada vez se consiguen resultados
más confiables y tecnologías más efectivas. Sin embargo, la misma dinámica de
las vulnerabilidades tecnológicas y la inseguridad informática propia de los
sistemas computacionales hace que día a día los esfuerzos de homogenización
de dichas prácticas reciban mensajes nuevos, que exijan repensar nuevamente
la manera de cómo se adelantan las investigaciones y los análisis.
En consecuencia "nadie puede diseñar un sistema, que alguien más no
pueda comprometer o vulnerar" 4. Esta frase nos advierte que las mejoras y
acciones que se adelanten en las herramientas forenses siempre estarán
expuestas a nuevos desafíos y pruebas, los cuales permitirán nuevos
desarrollos y estrategias para enfrentar la inseguridad de la información y los
4 ACKOFF, R y ADDISON, H. 2007, pág.67

de 109
exigentes requisitos legales, alrededor de la evidencia digital, que se demandan
al participar en un proceso judicial.
La computación anti-forense plantea observar cómo lo que
conocemos puede ser vulnerado, distorsionado, escondido o destruido, sin que
muchas veces, no nos percatemos de estos hechos. El escenario descrito debe
cuestionar al investigador para reformar su propia práctica, más allá del uso de
las herramientas forenses disponibles, buscando comprender cómo el atacante
o intruso explora el funcionamiento mismo de los sistemas de archivo o
dispositivos por fuera de lo que se exhibe en la teoría o implementación
práctica.
La técnicas anti forenses aplicadas en la escena del posible ilícito o
incidente buscan:
 Limitar la detección de un evento que haya ocurrido.
 Distorsionar la información residente en el sitio.
 Incrementar el tiempo requerido para la investigación del caso.
 Generar dudas en el informe forense o en el testimonio que se presente.
 Engañar y limitar la operación de las herramientas forenses
informáticas.
 Diseñar y ejecutar un ataque contra el investigador forense que realiza
la pericia.
 Eliminar los rastros que pudiesen haber quedado luego de los hechos
investigados.
En consecuencia, las estrategias anti-forenses establecen un nuevo
capítulo en las investigaciones científicas tanto en seguridad de la información
como en las ciencias forenses, pues, considerando los objetivos planteados
anteriormente, se requiere conocer detalladamente los procedimientos
forenses establecidos a la fecha para desvirtuarlos uno a uno y así, generar
confusión e incertidumbre para todos los actores del proceso.
Se podrían clasificar las técnicas antiforenses en los siguientes métodos:

de 109
 Destrucción de la evidencia, esto busca modificar físicamente el objeto que
contiene la evidencia requerida, de tal forma, que no sea posible conseguirla
de manera confiable o real.
 Eliminación de la fuente de la evidencia: esto es neutralizar el sistema o la
técnica utilizada por el sistema para dejar los rastros; al controlar esta técnica
o proceso no existirá la evidencia y, por tanto, no habrá trazas que seguir en
una investigación.
 Esconder la evidencia o falsificarla: La evidencia se dispersa en el medio que
la contiene, se oculta en el mismo, o en el sistema que la contiene, limitando los
hallazgos del investigador en su proceso. Por otro lado también se puede
invalidar la evidencia residente en el sistema para limitar las conclusiones y
análisis que adelante el investigador.
Las técnicas tradicionalmente son utilizadas para materializar los métodos
previamente presentados son (entre muchas otras):
 sobre escritura de datos y metadatos: La sobre-escritura de datos y metadatos
está asociada con la modificación física de la información residente en los
medios de almacenamiento y sus sistemas de archivo. Es una manera para
dejar inconsistente una posible recuperación de información o una forma de
construir entradas falsas en las tablas de asignación de archivos que generen
la aparición de archivos inexistentes.
 técnicas criptográficas y esteganográficas: son un desafío para los
investigadores forenses, pues identificar la evidencia cifrada (sin la llave de
cifra) establece una barrera para continuar con los hallazgos y genera
discontinuidad en los rastros requeridos para armar la cadena de los eventos.
La criptografía actualmente ataca la efectividad de las herramientas forenses
y los resultados asociados con los análisis realizados por las mismas. De igual
forma, la esteganografía, entendida como el arte de esconder la información,
no solamente sobre imágenes, sino sobre sistemas de archivo o tráfico de red,
amplía el espectro de análisis y cuidados que el investigador debe tener cuando
de aplicar sus procedimientos se trata.

de 109
4.7- Análisis de dispositivos electrónicos (IoT-Forensics.)
Este tipo de análisis es tan variado, como dispositivos podemos ver.
Lo fundamental, es:
 Identificar donde está la información
 Intentar dar con un manual de uso.
 Ensayar la forma de extraer de la mejor manera (segura) los datos
 Procesar al igual que el resto de los archivos.
Internet de las Cosas, o Internet of Thing (IoT), es un concepto que comenzó
a definirse desde el año 2010 , y toma preponderancia la intervención de dos entidades,
las personas y las “cosas” sobre las cuales se ingresaban innumerables datos en
internet, incorporando los sensores como un nuevo componente de la arquitectura de
procesamiento informático tradicional.
IoT sumó nuevas tecnologías como RFID (Radio Frequency IDentification),
que permite la identificación automática de datos a través de una etiqueta electrónica
o tags, mediante una comunicación inalámbrica entre un lector y un emisor. Como
ésta, existen otras tecnologías vinculadas a la comunicación de datos que son requeridas
por IoT.
Actualmente los analistas forenses se encuentran con el problema de que
hay un sinfín de dispositivos para los que aún no existen herramientas o procesos bien
definidos para regular su tratamiento forense. No sólo los dispositivos, sino también las
infraestructuras/plataformas intermedias que se usan para la comunicación entre los
objetos, plantean grandes desafíos forenses.
En IoT-Forensics el problema va más allá; el usuario y sus dispositivos están
demasiado conectados como para continuar obviando que el espinoso problema de la
privacidad debe ser finalmente abordado. El investigador recaba los datos
considerando la privacidad de las fuentes.

de 109
4.8 - Análisis de códigos de programación
Son las propias leyes las que se encargan definir lo que se entiende por un
programa de ordenador, siendo básicamente su definición como “una secuencia de
instrucciones destinadas a ser utilizadas por un sistema informático para realizar una
tarea”.
Son varias las situaciones en las que quizás resulta necesario realizar la
comparativa de códigos de programación de dos o más programas.
Podemos intentar esbozar algunas de ellas:
 Plagio de software desarrollado por programadores o empresas locales.
 Uso sin licencia de productos que poseen la protección de propiedad
intelectual a nivel internacional o nacional (piratería).
 Verificación de las acciones que llevan adelante los códigos de
programación (en busca de funciones determinadas como por ejemplo
doble contabilidad, puertas traseras, verificación de niveles de seguridad,
vulnerabilidades, accionar malicioso, etc.).
Estas actividades serían las más requeridas.
El PLAGIO de los programas de ordenador, aplicaciones informáticas,
sitios webs, etc. están contemplados dentro de alcance legislativo de los derechos de
Propiedad Intelectual.
Existen dos problemáticas de análisis a la hora de demostrar su existencia
y relevancia:
 Aspectos legales desde el punto de vista de la legitimidad (de
comprobación ante estrados judiciales)

de 109
 Aspectos operativos desde el punto de vista de la factibilidad y las
evidencias.
Generalmente estos casos se dan más a menudo cuando una organización
privada, empresa o grupo de programadores, socios, inversores y otros roles, han
tenido una colaboración empresarial de algún tipo y por medio ha existido una
aplicación informática desarrollada con recursos propios. Tras un tiempo de la
relación, ésta se ha extinguido marchando uno o varios de los hasta ahora socios y de
repente el programa que se estaba desarrollando aparece con diferente nombre en una
empresa de la competencia y casualmente relacionada con el socio que marchó.
Otra problemática también común, es aquella en la que una empresa posee
una página o sitio web exitoso y de repente alguien de la competencia calca (plagia) el
sitio web como si de un clon se tratase, con total impunidad y descaro.
Es evidente que sea cual fuere la situación, la primera idea o acción que
siempre viene a la cabeza es la posibilidad de comparar los códigos fuentes de los
aplicativos y, con ello, se tendría una prueba fehaciente del plagio, pero la realidad nos
pone los pies en el suelo cuando tras el primer minuto de reflexión queda patente que
el supuesto “plagiador” nunca va a permitir por voluntad propia el acceso al código
fuente.
Es por ello que cuando el perito o abogado ha de considerar un plagio lo
tiene que hacer desde una perspectiva más amplia y global, no sólo desde el punto de
vista de las líneas de software escrito y fácilmente comparable. Se analiza:
 Funcionalidad: Este es uno de los principales aspectos en los cuales se ha de
reflejar claramente la diferencia entre los aplicativos. Es evidente que todos
los aplicativos poseen las funcionalidades estándares propias por su
contexto de trabajo que se podrían considerar obvias, imprescindibles y
mínimas a incorporar, pero siempre los aplicativos incorporan
particularidades y mejoras que le son propias y que actúan de elementos
diferenciadores frente a los demás aplicativos y que sirven para diferenciar
unos aplicativos de otros cuando trabajan sobre una misma temática o
negocio.

de 109
 Interacción y apariencia: Uno de los aspectos que suelen hacer únicos a los
aplicativos es la forma en que estos interactúan con los usuarios a nivel de
aspecto, navegabilidad, lo intuitivo del aplicativo y su facilidad o sencillez
de manejo. Todos estos aspectos se acaban recogiendo en un concepto
global denominado “Look&Feel” que se podría traducir como la
“Apariencia y Sensación” que produce el aplicativo a los usuarios en el
momento de utilizarlo, por lo tanto en este sentido es importante la
estructura de navegación en el aplicativo y la forma de desempeñar las
funcionalidades
 Tecnología o de la Programación (del código fuente que componen los
programas y módulos): Esta es la forma más obvia de detectar la
originalidad de un aplicativo pero suele ser la menos accesible ya que se
debe realizar de una forma indirecta observando y determinando si
realmente se trata de una copia del software (programas o módulos), es
decir, si se ha partido inicialmente de una codificación o programas ya
realizados y se ha aprovechado el trabajo de un tercero en beneficio propio
sin el permiso del mismo (si este fuere necesario), lo que conllevaría a una
clara violación de los derechos de autor y de copyright a los que pudiera
estar sujetos los programas en cuestión. Además, al estar registrado uno
de los productos a comparar, se tiene acceso a lo que sería el indubitable.
La problemática surge aquí a las constantes modificaciones que sufren los
productos en desarrollo y a la cantidad de versiones registradas.
La buena noticia es la creciente practica de registrar (ante el Registro
Nacional de Derechos de Autor), además, puntos de control o “banderas” que permiten
identificar errores, código oculto o características agregadas y registradas a propósito,
y que de encontrarse migradas a la que sería la “copia”, aligera notablemente la tarea.
La problemática incluye conocer el lenguaje de programación, contar con
planes y manuales de desarrollo, conocer la lógica de creación del producto. Lo cierto
es que se desarrolla una suerte de ingeniería inversa.

de 109
Para llevar a cabo este objetivo el perito debe ser exhaustivo y hábil para
evidenciar las similitudes sin ahogarse en un sinfín de detalles y, con ello, elaborar el
estudio/informe sobre el plagio del aplicativo que sea comprensible, esclarecedor y
manejable.
Respecto de la PIRATERIA, la cuestión tiene que ver más con el orden legal que el
técnico. Quizás las comprobaciones solicitadas tienen que ver con la verificación de
existencia de determinadas llaves de hardware con licencia, existencia de programas
que bloqueen el control de existencia de licencia o la simple verificación de número de
licencias en uso (para el caso de hacer uso de más cantidad de instalaciones que las
acordadas.
El ANÁLISIS DE CÓDIGO EN BÚSQUEDA DE FUNCIONES doble contabilidad,
puertas traseras, verificación de niveles de seguridad, vulnerabilidades, accionar
malicioso, requiere un conocimiento acabado de programación, trabajo en equipo y
horas de análisis de código, dado que sabe sser un trabajo tedioso en caso de ser
novedosa o “artesanal” la actividad del programador investigado.
Por suerte, hay casos donde las variaciones planteadas ya son conoidad y existen blogs
técnicos, bases de datos de registro de estas vulnerabilidades a las que se pueden
consultar. El arte esta en saber incorporar ese conocimiento colectivo a la actividad
pericial.

de 109
4.9 - Análisis de redes.
Se estudian las redes informáticas afectadas por un incidente, con el fin de
lograr una captura de tráfico, registros y análisis de eventos de red para descubrir el
origen de un incidente o ataque o ser utilizado luego como evidencia digital.
Este análisis puede ser realizado en tiempo real o mediante el análisis de los
archivos capturados (.caps). A partir de este estudio se pueden entender
características de la red, quien está usándola, identificar picos de tráficos, actividad
maliciosa, uso de protocolos inseguros o cualquier comportamiento anómalo.
El análisis forense de la red se refiere a la recopilación, monitorización y
análisis de las actividades de la red para descubrir la fuente de ataques, virus,
intrusiones o violaciones de seguridad que ocurren en una red o en el tráfico de la red.
Por lo general, se usa cuando se trata de ataques a la red. En muchos casos,
se usa para monitorizar una red para identificar proactivamente el tráfico sospechoso
o un ataque inminente. Por otro lado, se utiliza para recopilar pruebas mediante el
análisis de datos de tráfico de red para identificar la fuente de un ataque.
También se realiza un análisis post-mortem después de que el delito es
cometido, en el cual permite determinar paso a paso lo que realizo el delincuente para
lograr su objetivo, y de esta forma también ayuda a mitigar los riesgos de que se vuelva
a producir el incidente ya que de esta forma se especifica las vulnerabilidades que el
delincuente aprovecho.
La forensia en redes tiene un ámbito muy complejo, ya que es necesario
comprender la forma de como los equipos, computadores, protocolos, configuraciones
e infraestructuras de red y comunicaciones se enlazan y relacionan para obtener como
resultado un momento específico en el tiempo y en el comportamiento de los mismos.
Entendiendo cómo funcionan las redes informáticas y los equipos que en ellas las
componen se pueden disponer de los rastros, movimientos y las acciones que los

de 109
atacantes, intrusos o delincuentes informáticos han dejado al momento de realizar el
acto ilícito.
La forensia en redes está basada en saber todo sobre el desempeño del
protocolo TCP/IP y de las instrumentos y técnicas que usan los delincuentes
informáticos para atacar los sistemas y redes informáticas.
Se especializa por usar técnicas y programas que buscan archivos logs sobre
la actividad de distintos protocolos TCP/IP, además de valerse de técnicas de
HACKING ÉTICO para poder tener acceso a información o equipos informáticos y
tecnológicos.
El tiempo es un factor importante ya que en ciertos casos hay que tener
paciencia para rastrear de manera completa el tráfico en la red y las actividades del o
los atacantes desde el equipo que se origina el ataque hasta el equipo destino víctima
del ataque antes de que cierto equipo a lo largo de la ruta borre algunos registros claves.
Debido a que existen varias formas, mecanismos, técnicas y herramientas
para un ataque informático, no es posible recomendar un solo programa que nos
permita indagar, recaudar y analizar evidencias digitales y frenar ataques
informáticos.
Técnicas de ataques en redes:
Las técnicas más comunes utilizadas para realizar ataques a redes informáticas
y de telecomunicaciones son las siguientes:
 Escaneo de puertos: nos permite detectar que puertos que se encuentran
disponibles y cuales no y que servicios se encuentran asociados a los mismos.
 Sniffer: permite la captura de los paquetes que viajan por la red, y se usan para
ver el estado en que se encuentran los paquetes de datos que circulan por la red.

de 109
 Exploits: es una herramienta que permite el análisis de las vulnerabilidades de
seguridad que tiene un sistema de información con la finalidad de acceder de
manera no autorizada.
 Backdoors Kits: Estos son programas que permiten la exploración del sistema y
además permite abrir puertas traseras en los sistemas informáticos.
 Rootkits: son programas que facilitan la ocultación de las puertas traseras en
archivos ejecutables y en los servicios del sistema, facilitando el acceso y
permitiendo el control del sistema.
 Auto-rooters: son herramientas que permiten la automatización de un ataque,
escanear las vulnerabilidades, explotarla para de esta forma tener accesos al
sistema informático. P
 assword Cracker: son aplicaciones que permiten el descubrimiento de
contraseñas de los usuarios pertenecientes a un sistema informático.
 Analizador de vulnerabilidades: son herramientas que analizan los equipos en
busca de aquellas fallas y debilidades de seguridad existentes en un sistema
informático.
 Spoofing: son herramientas que facilitan la ocultación y suplantación de
direcciones ip, de tal manera que dificultan la identificación del atacante.
Herramientas de análisis forense en redes (nfat):
Las herramientas de análisis forense en redes facilita a los administradores de la
red monitorear las redes informáticas, recopilar toda la información del tráfico extraño y
anormal de tal forma que pueda ayudar a la investigación de los delitos de red cometidos y
mostrarlo mediante una eficaz respuesta a incidentes de manera adecuada.
Las herramientas de análisis forense en redes también sirven de ayuda en el
análisis de robo de información confidencial y al abuso de los recursos, ayudan a predecir
los ataques en el futuro, modelan riesgos de evaluación, ayudan a la evaluación de la red y
permiten proteger la propiedad intelectual.

de 109
Las herramientas de análisis forense en redes nos permiten captura el tráfico de
la red y de esta manera analizarlo de acuerdo a las necesidades según sea el caso y descubrir
particularidades importantes sobre el mismo.
El uso de las herramientas de análisis forense en redes permite el ordenamiento
de los paquetes del tráfico de la red que han sido capturados y nos permiten analizar las capas
de protocolos, el contenido de los paquetes, los datos que han sido retransmitidos y los
patrones del tráfico entre las diferentes máquinas.
Las herramientas de análisis forense son herramientas el cual ayuda bastante al
momento de querer acceder información importante, normalmente la mayoría de la
información la encontramos en lo que es disco duro, memorias USB, tráfico de red e incluso
en los volcados de memoria claro está sin alterar su contenido.
En resumen podemos decir que las herramientas de análisis forense en redes son
muy importantes en el momento que ocurre alguna eventualidad en una computadora y por
ende comenzamos indagar para descubrir cuál fue la razón del fallo, o en el peor de los casos
recuperar información borrada o perdida por completo, para ello existen estas herramientas
de análisis forense de redes adecuadas que ayudan a la identificación, preservación y análisis
datos que servirá como evidencia para que sean admisibles de forma legal.
Se tiene en consideración las siguientes herramientas:
AV WIRESHARK Wireshark es una de las tantas herramientas enfocados en la red, es una
analizador que da la factibilidad de capturar y tener un monitoreo constante de los paquetes
de red que viajan a través del adaptador de red, Wireshark se diferencia de otras herramientas
por tener un enfoque en un ambiente gráfico lo que lo hace muy fácil de usar con muchas
opciones de filtrar para obtener la información que deseamos obtener.
TCPDUMP: es una herramienta basada en líneas de comandos cuyo objetivo es el de
monitorear el tráfico que viaja por la red, permitiendo al usuario hacer capturas y visualizar
a tiempo real archivos Pcap enviados y recibidos en la red donde el host esté conectado.

de 109
TCMDUMP le permite al usuario crear reglas para que al momento de visualizar en pantalla
solo aparezca lo más relevante o que sea más factible para el usuario.
TCPXTRACT Es una herramienta Open Source que permite la extracción de los archivos
que viajan por la red, utiliza una técnica que permite la intercepción de los archivos que son
transmitidos en la red informática.
XPLICO: una herramienta que permite la factibilidad de tener un control en la red por medio
de capturas como archivos .Pcap, su principal función es la reconstrucción de paquetes
adquiridos por otras herramientas como Wireshark, tcpdump, etc. Esta grandiosa
herramienta da distintas formas de poder trabajar ya sea con una interfaz gráfica (web) o por
consola, su ambiente web lo hace ser una herramienta bastante cómoda y fácil de usar,
también la facilidad de poder trabajar con múltiples usuarios, donde cada usuario puede crear
varias reglas que lo ameriten.
CLAMAV: Es una herramienta que permite la identificación y bloqueo de malware de los
correos electrónicos, además de una rápida localizar los virus que han sido encontrados
durante el escaneo del sistema y poder actuar rápidamente sobre ellos.

de 109
4.10- Hardware de uso en informática forense.
Bajo esta calificación, vemos que entre las herramientas se
encuentran:
1. EQUIPOS DE GRAN CAPACIDAD DE PROCESAMIENTO DE DATOS, los
que se están denominando actualmente FRED (Forensic Recovery of
Evidence Device) y su hermano portable FREDDIE (Forensic Recovery
of Evidence Device Diminutive Interrogation Equipment).
2. DUPLICADORES
3. BLOQUEADORES DE ESCRITURA
4. ACELERADORES
5. ADAPTADORES VARIOS para compatibilizar tecnologías de conexión
y almacenamiento de datos.
Son pocas las marcas líderes en el mercado, ya que apuntan a una
función muy específica, lo cual además incrementa notablemente los costos.
También estas soluciones gozan de un prestigio y respaldo
internacional, debido a las diferentes evaluaciones y relevamientos de
organismos internacionales realizados y la aprobación de los resultados,
sumándose a los estándares controlados de producción. Son productos de
calidad garantizada.
Se pueden obtener soluciones quizás más accesibles con resultados
también eficaces, pero lo que esos equipos brindan son rapidez y confianza, ante
el análisis de grandes volúmenes de información, investigaciones con muchos
parámetros de búsqueda o posibilidad de material encriptado o protegidos por
contraseña.

de 109
Además de los programas, se utilizan algunas herramientas de hardware,
como ser:
PUESTO DE INFORMATICA FORENSE:
* El equipo si bien es un ordenador o servidor , no puede ser considerado una
PC común de oficina.
* Para realizar los procesos de búsqueda y poder interactuar con los distintos
programas de informática forense se debe contar con gran capacidad de
proceso.
* El equipo de ser posible, debería contar con módulos para desencripción de
claves, que con algunas técnicas forenses es posible descubrir.
* Hay empresas que comercializan distintos modelos de estos productos.

04_SIF_2021_UNIDAD_4 (1).pdf

Recomendados

Recomendados

Más contenido relacionado

Similar a 04_SIF_2021_UNIDAD_4 (1).pdf

Similar a 04_SIF_2021_UNIDAD_4 (1).pdf (20)

Último

Último (19)

04_SIF_2021_UNIDAD_4 (1).pdf