Este documento proporciona información sobre procedimientos forenses para preservar la escena de un fraude informático y analizar evidencia digital. Describe cómo aislar sistemas comprometidos, documentar evidencia y mantener la cadena de custodia. También explica la importancia de identificar formatos de archivos, verificar copias de seguridad, y documentar todos los pasos del análisis para garantizar la integridad de la evidencia digital.

1. INFORMATICA
FORENSE
Presentado a: Carlos Bravo.
Presentado por: Kirian Paola Urueta Anacona
Jose Armando Anacona
Sergio Toledo

2. ACCIONES EN LA ESCENA DEL FRAUDE
INFORMÁTICO
 VULNERVILIDADES INFORMATICAS en general la mayoría de delitos no son
reportados. Para mantener la información segura es importante identificar las
vulnerabilidades informáticas como:
 Violaciones de políticas de uso de internet
 Códigos maliciosos o virus
 Piratería, piratería.
 Webside falsas o vandalismo
 Acceso no autorizado
 Espionaje o empleados descontentos

3. PRESERVAR LA ESCENA DEL FRAUDE
 Se considera necesario cuidar los equipos que contienen la evidencia del ataque
también se tiene que cuidar los procedimientos para que no haya alteraciones de
la siguiente manera:
 Aislamiento del sistema informático: para evitar la perdida de la evidencia es
necesario aislar las maquinas. Las maquinas que se deben proteger son LOS CD-
DV-ROM, medios de almacenamiento en cinta, discos duros adicionales, disquete
y flash drive. el acceso a los elementos es completamente restringido
 Procedimientos de apagado para preservar la evidencia: se tiene que apagar el
equipo de manera que no se dañe la integridad de los archivos y proceder a
apagar la maquina sin ejecutar programa alguno, la manipulación de equivocada
daría lugar a una alteración de la información.

4. INSPECIONAR EL SISTEMA OPERATIVO
 En las empresas hay normas de como conectar los cables de energía y donde se
conectan como en fuentes de poder reguladas o circuitos eléctricos compartidos
con alguno sistemas operativos se hace necesario el suministro de sistema
operativos para evitar la caída
 Usualmente los delincuentes desconectan abruptamente el computador
pretendiendo que se dañe el sistema de arranque
Del sistema operativo a continuación se menciona
Algunas características de los sistemas operativos
Y su forma de cierre:

5.  Sistema operativo MS-DOS
Características: el texto es sobre un fondo solido, el mensaje contiene una fecha de
unidad y utiliza barras contrarias
Procedimientos de cierre: Fotografiar la pantalla y anotar los programas en ejecución,
Retire el cable de alimentación de la pared.
 Sistema Operativo Windows 3.X
Características: Barra de títulos de colores o Menú estándar de opciones
Procedimientos de cierre: Fotografiar la pantalla y anotar los programas en ejecución.
o Retire el cable de alimentación de la pared.
 Sistema operativo Mac OS
Características: posee un símbolo Apple en la esquina superior izquierda, pequeñas
líneas horizontales en las barras de menú de las ventanas, un solo botón sencillo en
cada esquina de la ventana, icono de papelera.
Procedimientos de cierre: fotografiar la pantalla, registre el tiempo, haga clic en
especial, haga clic en cerrar, en la ventana dice que es seguro apagar el equipo,
retire el cable de alimentación de la pared.

6. CLARIDAD DE LA EVIDENCIA.
 La evidencia digital es información de valor probatorio constituida por campos
magnéticos y pulsos electrónicos que son recolectados y analizados. La evidencia
digital hace parte de la evidencia física puede ser duplicada o copiada. Esta
evidencia puede ser comparable con un documento como prueba legal con el fin
de garantizar su valides probatoria, debe reunir las siguiente características:
 AUTENTICIDAD
Garantizar que sus contenidos no han sido modificados
 PRECISION
Debe ser posible relacionarla con el incidente, todas las evidencias deben ser
confiables. Adicionalmente debe haber alguien que explique los procedimientos.

7.  SUFICIENCIA
Debe mostrar el escenario completo y no una perspectiva. Con el fin de garantizar la validez
de la evidencia digital de una investigación judicial la IOCE. Definió principios de
recuperación, mostradas a continuación:
*En la incautación de la evidencia digital, las acciones tomadas no deben cambiar la
evidencia
*Cuando es necesario para una persona acceder a la evidencia digital original, esa persona
debe ser competente en ciencias forenses.
*Toda actividad relacionada con la incautacion, acceso almacenamiento o transferencia de
evidencia digital tiene que estar completamente documentada, preservada y disponible para
revision
* Todo individuo es responsible de todas las acciones tomadas con respecto a la evidencia
digital mientras esta este en su posecion.
* Cualquier organizacion que es responsible de incautar, accede, almacenar o transferir
evidencia digital es responsable de actuar confome a estos principios

8. FORMATO DE LA EVIDENCIA EN LA
ESCENA
 Un formato de un archivo es una forma especifica de codificar datos que van de
acuerdo al programa donde fue diseñado. Un formato de un archivo es necesario
para poderlo identificar y manipular.
La identificación de un formato varia de acuerdo al sistema operativo por ejemplo en
el sistema operativo Windows se denomina por la extensión mientras que en otros
sistemas vasados en Unix, el formato se identifica con el numero de certificación, el
cual es incrustado al inicio o cerca del inicio.

9. CUIDADO DE LAEVIDENCIA EN LA ESCENA
Se hace necesario tener especial cuidado sobre los equipos atacados para ello se hace
necesario tener en cuenta las siguientes observaciones
 ESTERILIDAD DE LOS MEDIOS INFORMATICO
Los medios no deben de ser expuestos a variaciones magnéticas, ópticas o similares. La
esterilidad de los medio es una condición fundamental para el inicio de cualquier procedimiento
forense un instrumental contaminado puede ser causa de una interpretación o análisis erróneo
 VERIFICACION DE LAS COPIAS EN MEDIOS INFORMATICOS
las copias efectuadas deben ser idénticas a la original. La verificación de esta debe estar
asistida por métodos y procedimientos matemáticos que establezcan la completitud de la
información traspasada.
 DOCUMENTACION DE LOS PROCEDIMIENTOS, HERRAMIENTA Y RESULTADOS
SOBRE LOS MEDIOS INFORMATICOS ANALIZADOS
El investigador debe ser el custodio de su propio proceso tanto de herramientas utilizadas
como de pasos. Los resultados deben estar claramente documentados de tal manera que
cualquier persona pueda revisar y validar los mismos

10. MANTENIMIENTO DE LA CADENA DE
CUSTODIA DE LA EVIDENCIAS DIGITALES
 Debe documentar cada uno de los eventos que ha realizado con la evidencia en su poder. Quien
la entrego, cuando, en que estado, como se ha transportado, quien ha tenido acceso a ella, como
se ha efectuado su custodia entre otras. Tiene que tener una adecuada administración de las
pruebas a su cargo
 INFORME I PRESENTACION DE RESULTADOS DE LOS ANALISIS DE LOS MEDIOS
INFORMATICOS
Una inadecuada presentación de los resultados puede llevar a falsas interpretaciones. Por tanto la
claridad y el uso de un lenguaje amable y una ilustración pedagógica de los hechos y resultados son
elementos críticos ala hora de defender un informe.
 ADMINISTRACION DEL CASO REALIZADO
Debe mantener un sistema autorizado de documentación de expedientes de los casos con una
adecuada cuota de seguridad y control
 AUDITORIA DE LOS PROCEDIMIENTOS REALIZADOS EN LA INVESTIGACION
Finalmente el profesional debe tener un autoevaluación de su procedimientos de tal manera que sea
una constante que permita incrementar la actual confiabilidad.