La importancia del informe pericial para su uso en tribunales de justicia.

1. ANÁLISIS FORENSE EN SISTEMAS
DE INFORMACIÓN:
La importancia del informe pericial
para su uso ante un tribunal de
justicia
Pedro R. Palos Sánchez – Master Derecho y NNTT. Universidad Pablo de Olavide

2. Conceptos Básicos
Definición y Objetivos de la Informática Forense
 La informática forense es la cienciaforense que se encarga
de asegurar,identificar, preservar, analizar y presentar la
evidencia digital, de manera que ésta sea aceptada en un
proceso judicial.
 Investiga los sistemas de información con el fin de detectar
evidencias de vulnerabilidad en los mismos.
2

3. Objetivos
• Objetivos preventivos. Pretende anticiparse al
problema. En este escenario, la informática forense
forma parte del sistema de seguridad. Se utiliza para
verificar y para auditar. Mediante la práctica de distintas
técnicas, se verifica que los sistemas de seguridad
instalados cumplen con ciertas condiciones básicas de
seguridad. Los resultados de las auditorías servirán
para poder corregir los errores encontrados y mejorar el
sistema.
• Objetivos correctivos. Este escenario supone la
detección de un incidente. Debe conocerse la causa
para poder aplicar las medidas correctivas que permitan
evitar nuevos incidentes por esa misma vía.
3

4. Finalidad
• Finalidad probatoria. En especial, si el incidente ha ocasionado
daños, estamos ante un escenario que deberá manejarse con extrema
cautela. La obtención de pruebas es de suma importancia. La
informática forense permite realizar un rastreo de la intrusión, descubrir el
daño realizado y recopilar las evidencias digitales. En este contexto,
hablamos de recuperación de información e incluso de descubrimiento de
información. Podemos llegar a conocer el origen del ataque y los cambios
realizados en el sistema (fugas de información, pérdida o manipulación de
datos). Posteriormente, las evidencias halladas podrán ser utilizadas en el
marco legal.
• Finalidad auditora. Periódicamente debe comprobarse, a todos los
niveles, la robustez del sistema informático.
Las técnicas forenses se han revelado como extremadamente útiles en
estos escenarios.
4

5. Ambito (I)
EL ÁMBITO MÁS CONOCIDO ES EL JUDICIAL
SIN EMBARGO, LOS ANALISTAS NO SIEMPRE APORTAN
EVIDENCIAS EN PROCESOS JUDICIALES:
• Persecución criminal. Evidencia incriminatoria que puede ser
usada para procesar delitos y crímenes, incluyendo homicidios, fraude
financiero, tráfico y venta de drogas, evasión de impuestos o
pornografía infantil.
• Litigación civil. Casos relativos a fraude, discriminación, acoso,
divorcio, etc.
Estudios jurídicos que necesitan recabar información, ya sea para
presentarla frente a un tribunal, o bien para negociar con las partes un
acuerdo extrajudicial de resarcimiento, renuncia, etc.
5

6. Ambito (II)
 Investigación de seguros.La evidencia encontrada en
ordenadores puede ayudar a las compañías de seguros a
disminuir costes de reclamaciones por accidentes o
compensaciones.
 Temas corporativos. Se puede recoger información en
casos que tratan sobre acoso sexual, robo, mal uso o
apropiación de información confidencial o propietaria, o
espionaje industrial. Empresas que realizan juicios
laborales con sus empleados o con sus asociados por
conflictos de intereses.
 Finalidad preventiva. Como medida preventiva sirve a
las empresas para auditar, mediante la práctica de
pruebas técnicas, que los mecanismos de protección
instalados y las condiciones de seguridad aplicadas a los
sistemas de información son suficientes. Permite
detectar las vulnerabilidades de seguridad con el fin de
corregirlas.
6

7. Ambito (III)
 Data recovery. Situación en la que es necesario
recuperar información que ha sido eliminada por
error, durante una subida de tensión, o una caída
de servidores. En este escenario, habitualmente
se conoce la información que se está buscando.
 Network forensics. Obtener información sobre
cómo un atacante ha accedido al sistema
informático y las acciones que ha podido llevar a
cabo en él.
7

8. Nuestros Principios
 Evitar la contaminación. No se realizará ninguna acción que modifique los
datos contenidos en un ordenador o dispositivo de almacenamiento. Para poder
obtener un análisis veraz y certero, la información debe estar lo mas estéril
posible. Con la evidencia electrónica (imágenes de discos y memoria, ficheros
de datos y ejecutables, etc.), la práctica consiste en obtener hashes de la
información en el momento de su recolección, de forma que se pueda
comprobar en cualquier momento si la evidencia ha sido modificada.
 Actuar metódicamente. El investigador debe ser responsable de sus
procedimientos y del desarrollo de la investigación; por lo tanto, es importante
que se documenten claramente los procesos, herramientas y análisis durante
todo el proceso.
 Tener control sobre la evidencia. Debe mantenerse en custodia cualquier
evidencia relacionada con el caso, documentando asimismo cualquier evento
que pueda afectarla: quién entregó la evidencia, cómo se transportó, quién tuvo
acceso a la evidencia, etc. De ese modo, un tercer analista independiente
debería ser capaz de examinar esos registros y alcanzar el mismo resultado.
 En circunstancias excepcionales. En caso de que se deba acceder a los
datos originales contenidos en un ordenador o dispositivo de almacenamiento,
la persona debe ser competente en dicha práctica, explicando la relevancia y
las implicaciones de sus acciones.
8

9. Antes del Peritaje
 Medidas para obtener
evidencias apropiadas
 Para preservar el máximo valor
de las evidencias, éstas se deben
obtener en presencia del
notario.(1)
 La recolección y análisis de las
evidencias tendrá más valor si es
realizado por un perito externo
que si lo es por el propio
informático de la empresa.
 No se pueden efectuar
determinadas actuaciones que
puedan ser ilegales si no se
dispone de una orden judicial.
Puede ser que, con la mejor
voluntad de averiguar alguna
cosa, se esté cometiendo un
delito.
 (1)CC (Código civil) art. 1216. Son documentos públicos los
autorizados por un notario o empleado público competente,
con las solemnidades requeridas por la ley.
Conveniencia de realizar la
investigación
Evaluar su conveniencia en tiempo
y coste económico.
¿Tenemos base suficiente?
¿Denuncia o Querella?
9

10. Consideraciones: las Pruebas
Con frecuencia, ocurre que cuesta encontrar el
sentido de distintos logs que no se guardaron
convenientemente o que resultan confusos, que
han sido regrabados o que se hayan perdido
las fechas de la grabación inicial.
El sentido de los logs
La presentación y la comprensión de las evidencias
electrónicas, en los casos judiciales, no es una tarea
sencilla y puede ser difícil de comprender fuera del
ámbito profesional de las TIC. El perito sólo puede
trabajar para mejorar esta situación hasta cierto punto
y, además, esto encarece su trabajo.
Respecto al derecho a la prueba, consultad los artículos
de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil
(en adelante, LEC): LEC art. 281. Objeto y necesidad de
la prueba.
LEC art. 283. Impertinencia o inutilidad de la actividad
probatoria. LEC art. 287. Ilicitud de la prueba.
La evidencia debe ser válida y
apropiada.
Si se demuestra que una prueba está alterada
o destruida, es posible realizarla antes de que
se inicie el procedimiento. Por ello, debe
advertirse al cliente y a sus abogados para que
la aseguren o para que inicien los trámites
necesarios.
10

11. Contexto y Evidencias
Verosimilitud de los datos
Como la verdad se busca de manera distinta y con
un objetivo diferente al del ámbito judicial, las
preguntas desde un punto de vista científico
podrían ser de este estilo:
¿la argumentación es lógica?
¿se basa en una hipótesis probable?
¿ha sido probada rigurosamente?
¿se basa en hechos establecidos científicamente?;
¿ha sida publicada y criticada por la comunidad
científica?
Es una buena
práctica contar con
el perito desde las
fases iniciales, para
que al establecer la
estrategia a seguir .
Prueba anticipada. Cuando
exista el temor fundado de que,
por causa de las personas o por
el estado de las cosas, la práctica
de algún tipo de prueba no pueda
realizarse en el momento procesal
generalmente previsto, se podrá
solicitar del tribunal practicarla
anticipadamente.
Las evidencias digitales son muy frágiles y
volátiles, sobre todo en el ámbito telemático, y es
esencial desarrollar y aplicar las mejores prácticas
y procedimientos para prevenir y resolver los retos
técnicos que pueden presentarse para capturarlas,
sin perderlas o contaminarlas.
11

12. Cualidades del Perito
 Competencia. Conocimientos precisos y
necesarios para desarrollar el trabajo, estudiando
los temas en profundidad, actuando con prudencia y
rigor en todo el proceso.
 Independencia. No actuar bajo una actitud
preconcebida, no tomar partido previo sobre un
determinado asunto, evitar las influencias y
recomendaciones, no utilizar expresiones que
magnifiquen o minimicen los temas, ser consciente en
todo momento de su responsabilidad social y personal.
 Autoridad. Saber imponer con rigor y criterio su
propia competencia. Lo que importa, más que las
conclusiones en sí mismas, son los razonamientos, la
concatenación lógica y la fuerza convincente de los
argumentos en una exposición razonada. Se pretende
que el profesional que se vaya a dedicar, o se dedique
ya, a esta especialidad, esté informado sobre los
aspectos procesales que conlleva la actividad pericial,
forense y arbitral.
12

13. Funciones del Perito
Recoger,
registrar y
archivar, si
corresponde,
las solicitudes
de informe
pericial que
encarguen los
órganos
judiciales o las
partes.
Analizar y
examinar los
elementos
objeto de la
prueba
pericial.
Pedir los
datos
necesarios
para
determinar las
especificacion
es que deban
figurar en el
informe
pericial.
Elaborar el
informe
pericial.
Entregar el
informe
pericial a
quien le haya
hecho el
encargo
(personas,
órganos
judiciales,
tribunal
arbitral, etc.).
Comparecer
en las vistas
para ratificar
el informe u
ofrecer las
aclaraciones
que le puedan
solicitar el
juez o las
partes.
Custodiar los
documentos
relacionados
con la prueba
pericial.
Desarrollar
aquellas
funciones,
tareas o
actividades no
especificadas
anteriormente
y que sean
necesarias
para el
cumplimiento
normal de la
función básica
y de las
funciones
particulares
solicitadas,
siempre
dentro de las
atribuciones
del perito.
13

14. Código Deontológico
LEC art. 335. Objeto y finalidad del dictamen de peritos.
Juramento o promesa de actuar con objetividad
1) Cuando sean necesarios conocimientos científicos,
artísticos, técnicos o prácticos para
valorar hechos o circunstancias relevantes en el asunto o adquirir
certeza sobre ellos, las partes podrán aportar al proceso el
dictamen de peritos que posean los conocimientos
correspondientes o solicitar, en los casos previstos en esta ley,
que se emita dictamen por perito designado por el tribunal.
2) Al emitir el dictamen, todo perito deberá manifestar, bajo
juramento o promesa de decir verdad, que ha actuado y, en su
caso, actuará con la mayor objetividad posible, tomando en
consideración tanto lo que pueda favorecer como lo que sea
susceptible de causar perjuicio a cualquiera de las partes, y que
conoce las sanciones penales en las que podría incurrir si
incumpliere su deber como perito.
14

15. Derechos, Deberes y Responsabilidades
Responsabilidad
disciplinaria. Los
peritos han de
cumplir las normas
procesales,
manteniendo el
comportamiento
adecuado en los
órganos judiciales y
guardando la
consideración,
respeto y obediencia
debidos a los
tribunales.
Responsabilidad
deontológica. Como
consecuencia de
controversias con las
normas o el estatuto
del colegio
profesional a que
pertenezca el perito.
Responsabilidad civil.
El perito será
responsable de los
daños y perjuicios
que pueda provocar
por ocultar, de
manera consciente o
no, vicios ocultos.
Responsabilidad
penal. El perito puede
incurrir en
responsabilidad penal
por alteración grave
del orden en el
tribunal o juzgado,
por soborno o por
incomparecencia
injustificada, falso
testimonio u otras
causas.
Un perito puede tener responsabilidades civiles o penales, pero tiene un
margen para las equivocaciones razonables dadas las circunstancias de
su trabajo. Por ello, los informes periciales acaban con frases del estilo:
"Lo hago constar según mi leal saber y entender", u otras parecidas.
15

16. Procedimientos de Incorporación de las
periciales a procesos judiciales
Fases de Intervención por designación extrajudicial
Seleccióndelperito. La parte dispone de total libertad para seleccionar al perito que
consideren más idóneo para sus necesidades, por las vías y procedimientos que crean
oportuno. Sin embargo, si el peritaje debe seguir la vía judicial,
Estudiodelcasoycontratodeencargo. El perito deberá analizar el caso para determinar
si entra en su especialidad, y estimar los costes.
Desarrollodelperitaje.Ambas partes disponen de total libertad para determinar la
manera en que se desarrollará, aunque el perito debe asegurarse de que los
procedimientos utilizados garanticen la validez de las conclusiones.
Presentacióndelinforme.Ambas partes determinan el lugar y fecha de entrega de la
pericial.
Posiblepasoalavíajudicial. Debe preverse que, en caso de que la pericial se aporte
posteriormente como prueba en un proceso judicial, el perito podría ser llamado a declarar
o incluso a mantener un careo con el perito de la parte contraria.
El perito seleccionado ha de ofrecer garantías de imparcialidad y no tener vinculación con
la empresa u organismo que lo haya contratado.
16

17. Recogida de Pruebas (I)
 LEC art 13 primeras diligencias, art 296 custodia de los materiales de las
actuaciones de prueba y art 383 acta de reproducción y custodia.
 Por ejemplo una Empresa:
 Descripción de todos los incidentes, incluyendo fechas y horas.
 Identificación de los sistemas, cuentas, servicios, datos y redes
afectados por el incidente y tiempo dedicado al incidente.
 Descripción de cómo ha afectado el incidente a los elementos que
hayan sido afectados.
 Información respecto al tipo y estimación del coste de los daños
provocados por el incidente, que pueda ser necesario conocer en
reclamaciones civiles o penales.
 Establecer una cadena de custodia para los materiales desde que se
obtienen hasta que sean llevados al juzgado.
17

18. Recogida de Pruebas (II)
Admisibilidad de las evidencias digitales
Para asegurar la admisibilidad de las evidencias en un proceso judicial,
la información ha de ser tratada convenientemente durante todo el
tiempo necesario, que puede ser incluso durante varios años. Si puede
establecerse alguna duda sobre alguna parte del proceso, tanto de su
tratamiento como almacenaje u otros, su valor puede ser minimizado,
afectando al caso y a la sentencia sobre el mismo.
Al tratar evidencias digitales, se debe tener en cuenta lo siguiente:
•Mantener la integridad de las evidencias durante todo el proceso.
•Las personas que intervengan tienen que estar formadas
específicamente para ello.
•Las actividades para la incautación, examen, almacenamiento o
transferencia de las evidencias digitales deben ser documentadas,
preservadas y tener la documentación disponible para su análisis.
•Debe documentarse todo el proceso con detalle mientras se va
desarrollando.
18

19. Clasificación Delitos Electrónicos
Entender el delito ayuda a comprender cuáles son los datos que deben ser recogidos y cuál será
la situación si no los encontramos.
Clasificación del
delito informático
El término delito informático se
acuñó hacia el año 2000, el
Consejo Europeo presentó un
"Tratado sobre delito informático",
Infracciones contra la
confidencialidad, la
integridad y la
disponibilidad de los
datos y sistemas
informáticos.
Infracciones informáticas
(delitos tradicionales).
Infracciones relativas al
contenido.
Infracciones vinculadas
a los atentados a la
propiedad intelectual y
a los derechos afines.
Infracciones relativas a
la privacidad.
19

20. Amenazas y Tendencias
Otras amenazas consideradas por
Europol son el ciberterrorismo, el
tráfico de drogas por Internet, las
amenazas a las infraestructuras
críticas y la implicación de bandas
criminales organizadas en delitos
de ámbito tecnológico.
Tipo de acción: interceptación de
datos, interferencia de datos,
acceso ilegal, robo de identidad,
etc.
Tipo de autor del delito: hackers,
cibercriminales, ciberterroristas,
ciberguerrilleros,etc.
Tipo de objetivo: personas,
empresas privadas, instituciones
públicas, centros de
infraestructuras críticas, gobiernos
y objetivos militares.
Las redes de ordenadores zombis o
botnets, que se basan en el empleo de un
programa de código malicioso que se
instala sin permiso en el ordenador y por el
que éste queda bajo el control (zombi) de
un tercero para, por ejemplo, efectuar
envíos masivos de correos electrónicos.
Phishing. Es un tipo de ingeniería social
combinada con la tecnología de robo de
datos personales y financieros para
realizar fraudes o suplantaciones de
personalidad.
Pharming. Es otro tipo de ingeniería social,
muy similar al phishing, pero más difícil de
detectar porque consiste en la
manipulación del DNS (domain name
server) de manera que, en el momento de
resolver la dirección IP, los usuarios son
redireccionados al cibersitio fraudulento.
Vishing. Es otra evolución del phishing en
el que no se usan los cibersitios, sino que
se usa la VOZ IP. Se llama con voz
automática a los clientes de una institución
financiera y se les pide el número de
tarjeta bancaria, incluyendo en la solicitud
el código de validación de la misma.
SmiShing. Ataques a los teléfonos móviles
conectados a Internet. Los usuarios
reciben un enlace (link) a un cibersitio y
cuando lo pulsan, entra en acción un
troyano.
Tráfico de pornografía infantil por Internet
Suplantación de personalidad.
20

21. El Informe y el Dictamen
21

22. Metodología del Informe
• El estudio previo de la documentación.
• La identificación de las pruebas
periciales solicitadas.
• Búsqueda de información, datos y otras
pruebas asociadas a cada pericial.
• Recopilación de fundamentos
científicos o técnicos asociados a cada
pericial.
• Desarrollo de las conclusiones.
22

23. Detalle de las Pruebas practicadas
Formalidades. Identificación del perito, referencias del
peritaje, fechas de realización de las pruebas.
Descripción de los ítems examinados con sus
identificaciones pertinentes.
Identificaciones de fábrica, modelos, números de serie,
documentación de la cadena de custodia.
Descripción breve de las acciones realizadas en el examen,
búsquedas de información o recuperaciones de ficheros,
etc.
Descripción general de las evidencias encontradas.
Sumario de utensilios, dispositivos y programas usados.
Sumario de las implicaciones de las evidencias
encontradas.
23

24. Línea Argumental
Es importante
resaltar que la
línea
argumental ha
de ser cierta y
sólida, sin
fisuras ni
licencias
técnicas o de
interpretación.
Si es posible, el
perito debería
garantizar el
vínculo entre el
resultado de las
pruebas y la
responsabilidad
que
corresponda al
acusado.
Las notas
tomadas deben
ser
suficientemente
detalladas para
poder duplicar
el proceso
realizado de la
misma forma.
Debe darse
suficiente
información del
contexto técnico
del sistema.
24

25. Forma y Contenido (I)
Portada. En la portada del informe pericial,
hay que indicar el caso del que forma parte y
el nombre del solicitante.
Índice. Se han de poder localizar los
apartados, sobre todo las conclusiones.
Presentación. Han de constar los datos del
perito y del solicitante.
Partesimplicadas. Deberán constar las
partes implicadas en la pericial, la
identificación del procedimiento, la aceptación
del cargo con la fecha y el plazo para realizarlo.
Antecedentes. En este apartado, se describe
el escenario en el que se ha desarrollado el
caso y los antecedentes documentales que se
han tenido en cuenta, tanto procesales como
extraprocesales.
25

26. Forma y Contenido (II)
Pruebaspericialessolicitadas.
Se detallan, de manera literal, las pruebas periciales solicitadas por cada
parte o por el juez, y se transcriben en su totalidad.
Fundamentosteóricosymétodosoprocedimientosaplicados.
En este apartado, se detallan los fundamentos teóricos y los
procedimientos seguidos para obtener las pruebas periciales.
Actuacionesdecomprobación:
– de lugares, cosas y personas, y las
partes que asistieron a las mismas, y
cuál fue su intervención.
– de datos, y de análisis para la
obtención de resultados.
Resultadosdelasactuaciones.
no debe omitirse ninguna de las operaciones realizadas ni los principios
científicos o técnicos en los que se basa el perito. Suele ser la parte más
extensa del informe pericial.
Conclusiones. Las conclusiones a las que ha llegado el perito a partir
de cada una de las pruebas periciales que le han sido solicitadas.Hay
que presentar por separado cada una de las cuestiones con las
conclusiones
El perito no debe adoptar el papel de abogado ni, por supuesto, el del
juez. Son los abogados quienes argumentan e intentan persuadir. Los
peritos tienen que mantenerse en los hechos, abstenerse de efectuar
valoraciones que no hayan sido solicitadas, ni hacer referencia a
hipótesis.
Anexos
26

27. Exposición Oral
• Aclare o amplíe cuestiones del dictamen.
• Responda a preguntas u objeciones de las
partes.
• Haga una exposición completa o más
detallada del dictamen.
• Realice operaciones complementarias.
• Responda a preguntas u objeciones sobre la
metodología utilizada.
• Responda a objeciones sobre algunos
puntos del dictamen.
• Una crítica del dictamen por el perito de la
parte contraria.
27

28. La Evidencia Digital
CARACTERISITICAS
• Se puede modificar o eliminar fácilmente.
• Es posible obtener una copia exacta de un fichero sin dejar huella alguna.
• La adquisición de la evidencia puede suponer la alteración de los soportes
digitales originales.
Preguntas claves
• ¿QUÉse ha cometido?
• ¿CUÁNDOse ha realizado?
• ¿DÓNDEse ha cometido?
• ¿QUIÉNlo ha realizado?
• ¿CÓMOse ha llevado a
cabo?
• ¿PORQUÉse ha cometido?
28

29. Publicado el 26/11/2012 Bogotá (Colombia)
Noticias Capital 12:00 p.m 26 de noviembre de 2012
En la lista de los 12 delitos informáticos está primero: fraudes en redes sociales, en segundo lugar las aplicaciones móviles maliciosas y el tercero fraude a
viajeros.
Delitos Informáticos: Navidad 201229

30. Análisis Forense Informático
ASEGURAR
LA ZONA
DEL
SUCESO
Identificar la
escena
donde se ha
producido el
hecho a
investigar y
establecer
un perímetro
de
seguridad.
Restringir el
acceso de
personas y
equipos
informáticos
al interior del
perímetro
trazado.
No permitir el
uso de
ningún
dispositivo
con
tecnología
inalámbrica
por ninguna
de las
personas
presentes.
Preservar las
huellas
digitales
mediante el
uso de
guantes de
látex.
30

31. Análisis Forense Informático (II)
Debe valorarse, en
este momento, la
posibilidad de
desconectar las
conexiones de red
del sistema
(dispositivos
inalámbricos, cables
telefónicos, etc.). La
desconexión podría
evitar que un
determinado delito o
suceso pueda seguir
produciéndose (por
ejemplo, podría
evitar la eliminación
remota de las
pruebas digitales),
pero también cabe
valorar la utilización
de la red para
monitorizar las
conexiones e
investigar el origen
del suceso (aunque
hay que tener en
cuenta que la
realización de estas
operaciones sobre el
equipo a investigar
podría implicar la
pérdida de la validez
de la prueba ante un
juez).
Si se hallan
impresoras en
funcionamiento,
permitir que
terminen la
impresión.
Anotar hora y fecha
del sistema
(timestamp) antes de
apagarlo (siempre
que aparezcan en el
monitor, sin tener
que manipular el
sistema),
documentando estos
valores e incluso
fotografiándolos o
grabándolos en
vídeo.
Igualmente, en caso
que en el monitor
aparezcan procesos
relevantes (por
ejemplo, los archivos
que se están
compartiendo en una
aplicación P2P), es
importante
fotografiar o grabar
en vídeo esta
información. En
general, debe
documentarse
cualquier salida del
sistema que se
considere de interés.
La fecha y hora del
sistema no tiene que
coincidir
necesariamente con
la real. Este desfase
puede ser crucial
para el analista y
debe ser
documentado en
este instante.
Apagar los
dispositivos
encendidos quitando
la alimentación de la
parte posterior del
equipo
(especialmente, en
aquellos casos en
los que se detecte
destrucción de
información). En
caso de quitar el
cable directamente
del enchufe, hay que
tener presente que
el sistema podría
disponer de algún
mecanismo de
protección en caso
de caída del fluido
eléctrico, y se
podrían escribir
datos en el disco
duro del equipo.
Asimismo, el
apagado "normal"
del ordenador
también podría
ocasionar pérdidas
graves de
información en caso
de que el apagado
active algún proceso
de eliminación de
evidencias (por
ejemplo, un hacker
malicioso podría
disponer de medidas
de protección de
este tipo)
31

32. Análisis Forense Informático (III)
32

33. Análisis Forense Informático (IV)
Obtención de evidencias
En otras ocasiones, las evidencias de interés se obtendrán, por ejemplo, al monitorizar una red, lo cual puede
significar, de nuevo, la invalidación de la prueba ante un tribunal.
Como ya se ha mencionado, en caso de disponer de secretario judicial, será imprescindible documentar en acta todas
las manipulaciones que se hayan producido para llegar a obtener la evidencia.
Ejemplo de dispositivos electrónicos susceptibles de almacenar información relevante
Ordenadores y periféricos conectados a ellos (desde impresoras hasta grabadores de tarjetas magnéticas).
Discos duros, CD o DVD.
Dispositivos en desuso, como unidades ZIP o JAZ, disquetes de 5 1/4", etc.
Componentes de red, como por ejemplo un router o un switch.
Puntos de acceso de las redes inalámbricas.
Dispositivos móviles (teléfonos, PDA, etc.).
Memory sticks y memory cards.
Impresoras, escáneres y fotocopiadoras.
Tarjetas magnéticas, buscapersonas, etc.
Pendrive
Cintas de backup (en este caso, cabe valorar la posibilidad de recoger también el dispositivo lector de las cintas, manuales y cableado específico del dispositivo).
Dispositivos GPS.
Sistemas de videovigilancia (normalmente, disponen de formatos de sistema de ficheros propios, lo cual dificulta o imposibilita su análisis).
Cámaras fotográficas y de vídeo digitales.
Manuales, notas, papel impreso, etc.
33

34. Análisis Forense Informático (V)
Realizar una lista
con los sistemas (y
su descripción)
involucrados en el
suceso.
En cuanto a las
personas implicadas,
solicitar aquellos datos
que se consideren
relevantes, como por
ejemplo: nombre, DNI,
contraseñas del sistema
y de usuarios, acciones
que se hayan llevado a
cabo desde el
conocimiento del
incidente, etc.
Fotografiar y/o
grabar en vídeo la
escena del suceso6.
En muchas
ocasiones, también
es deseable
representar
esquemáticamente
el sistema a estudiar
Etiquetar los cables y
componentes. Muchos
dispositivos, como los
periféricos
lectores/grabadores de
tarjetas magnéticas,
pueden necesitar de un
cableado específico sin
el cual el dispositivo no
podrá funcionar y no
podrá ser analizado
posteriormente en el
laboratorio.
Mención aparte
merecen los discos
duros, principales
objetos de análisis en la
mayoría de los casos.
En estas circunstancias,
deben documentarse
todos los elementos
identificativos del disco
duro (marca, modelo,
número de serie,
capacidad, etc.)..
Fotografiar y grabar en
vídeo los dispositivos
con las etiquetas
colocadas.
34

35. Peritaciones, Auditorías, Arbitrajes y Tasaciones Judiciales Informáticas, Asistencia a Juicios
e Informática Forense
Pedro Palos, email: pedro.palos@cpiia.org
MUCHAS GRACIAS POR VUESTRA ATENCIÓN!!!!
www.peritoinformaticoensevilla.com35