La monografía trata sobre la informática forense, su aplicación legal y relación con la criminalística. En el primer capítulo introduce los sistemas informáticos, incluyendo hardware, software y componentes humanos. El segundo capítulo describe la informática forense, su historia, objetivos, fases de investigación y herramientas. El tercer capítulo cubre aplicaciones como peritos informáticos, espionaje industrial y robo de identidad. En conclusión, la informática forense puede rastrear manipulación de datos y actividades en computadoras para reconstruir hechos en
3. RESUMEN
Con la masificación de los sistemas informáticos, se ha visto un aumento en el número de
delitos informáticos, que han impactado considerablemente a la sociedad, para realizar
investigaciones sobre delitos relacionados con las TIC (Tecnologías de la Información y las
Comunicaciones) se utilizan las técnicas de informática forense, con el objetivo de preservar y
analizar adecuadamente la evidencia digital que está también ligado a los aspectos legales que
deben considerarse para presentar adecuadamente los resultados de la investigación de la
evidencia digital.
En el primer capítulo muestra una breve introducción de los sistemas informáticos, como esta
estructurado y los procesos técnicos que esta usa para obtener pruebas, el segundo capítulo
pretende mostrar una panorámica general de la informática forense una breve historia, sus
objetivos, las fases para realizar una investigación y algunas herramientas usadas, para finalizar
en el capítulo tres muestra sus aplicaciones en procesos litigiosos, que es el perito informático,
el espionaje corporativo, el robo de la información a través de suplantaciones electrónicas y el
fraude a través del robo de identidad.
En conclusión la Informática forense puede rastrear la destrucción de datos y la manipulación
de los mismos también . Los hábitos de los usuarios de los computadores y las actividades
realizadas pueden ayudar a la reconstrucción de hechos, siendo posible saber de todas las
actividades realizadas en un computador determinado.
Palabras clave:
Informática, computo forense, perito informatico, datos, evidencia digital.
3
5. INTRODUCCIÓN
La informática forense es una rama de la informática que examina la evidencia digital y
recolecta pruebas informáticas para ser utilizadas en un procedimiento legal civil o penal. El
proceso de investigación de la evidencia digital (peritaje informático forense ) debe llevarse a
cabo de manera que sea legalmente aceptable.
Las interrogantes que se desarrollará en esta Monografía es: ¿Para qué sirve? ¿En qué
consiste? ¿Cuál es su finalidad? ¿Qué metodologías utiliza la Informática forense?, para lo cual
surgen procedimientos que identifican, aseguran, extraen, analizan y presentan pruebas
generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal.
Por tanto la monografía está organizada en tres capítulos.
El primero proporciona una visión general de lo que es un sistema informático, componentes
de un sistema informático, características , funcionalidades y estándares a considerar.
El segundo capítulo se detalla la informática forense, su historia, ¿Qué es la Informática
Forense?, sus objetivos, fases de la investigación forense y algunas herramientas que usa esta
ciencia.
Finalmente en el tercer capítulo se proporciona un listado aplicaciones de la informática forense
5
6. CAPÍTULO I: INTRODUCCIÓN A LOS SISTEMAS INFORMÁTICOS
1.1. Sistema informático
Un sistema informático como todo sistema, es el conjunto de partes interrelacionadas,
hardware, software y de recurso humano (humanware) que permite almacenar y procesar
información. El hardware incluye computadoras o cualquier tipo de dispositivo electrónico
inteligente, que consisten en procesadores, memoria, sistemas de almacenamiento
externo, etc. El software incluye al sistema operativo, firmware y aplicaciones, siendo
especialmente importante los sistemas de gestión de bases de datos. Por último el
soporte humano incluye al personal técnico que crean y mantienen el sistema (analistas,
programadores, operarios, etc.) y a los usuarios que lo utilizan. Un sistema informático se
compone de una unidad central de procesamiento (UCP/CPU), encargada de procesar los
datos, uno o varios periféricos de entrada, los que permiten el ingreso de la información y
uno o varios periféricos de salida, los que posibilitan dar salida (normalmente en forma
visual o auditiva) a los datos procesados.1
También es considerado un sistema compuesto de equipos y de personal que realiza
funciones de entrada, proceso, almacenamiento, salida y control con el fin de llevar a cabo
una secuencia de operaciones con datos. 2
Se concluye que el sistema informático es un conjunto de elementos interrelacionados
entre sí y relacionados a su vez con el sistema global en que se encuentra que pretende
conseguir unos fines determinados. Los elementos constitutivos de un sistema informático
serán físicos lógicos y humanos.
FUENTE:http://www.um.es/docencia/barzana/IMGTEORIA/sistema_computo.jpg
1
Eliasid Rivero Madera,http://www.slideshare.net/elio456/caracteristicasdeunsistemainformtico(Accedido 26 de enero de
2014)
2
Instituto de Enseñanza Secundaria Jándula,http://www.institutojandula.com/RET/SistemasInformaticos.pdf(Accedido 30 de enero
de 2014)
6
7. 1.2. Componentes de un sistema Informático 3
a) Componente físico : el hardware del sistema informático lo conforman, básicamente,
los ordenadores, los periféricos y el sistema de comunicaciones. Los componentes físicos
proporcionan la capacidad y la potencia de cálculo del sistema informático.
b) Componente lógico: que constituye el software del sistema informático y lo
conforman, básicamente, los programas, las estructuras de datos y la documentación
asociada El software se encuentra distribuido en el hardware y lleva a cabo el proceso
lógico que requieren los datos.
c) Componente humano : constituido por todas las personas participantes en todas las
fases de la vida de u n sistema informático (diseño, desarrollo, implantación, explotación).
Este componente humano es sumamente importante ya que los sistemas informáticos
están desarrollados por humanos y para uso de humanos.
Veamos, gráficamente. la estructura de un sistema informático genérico:
Fig. 1
Fuente:http://www.institutojandula.com/RET/SistemasInformaticos.pdf
3
Instituto de Enseñanza Secundaria Jándula,http://www.institutojandula.com/RET/SistemasInformaticos.pdf(Accedido 30 de
enero de 2014)
7
8. 1.3. Análisis forense de sistemas Informáticos4
La informática forense, o análisis forense digital, es la disciplina que se encarga, como
parte de la demostración objetiva de la comisión de un delito, de la recopilación,
recuperación y análisis de los datos contenidos en todo tipo de dispositivos con capacidad
para almacenar datos digitales. Esta labor es importante en los procesos judiciales, pero
también puede emplearse en el sector privado (por ejemplo, para las comprobaciones
internas de las empresas o las investigaciones en caso de intrusión en la empresa y/o en
su infraestructura informática) El desarrollo de la informática forense, o análisis forense
digital, está marcado por la aparición en el mercado de cada vez más tipos de dispositivos
digitales. Ello exige la creación de nuevas herramientas de análisis de software diferentes.
En cuanto a los contenidos de esta disciplina, la informática forense se rige por
consideraciones jurídicas, ya que las leyes de cada país establecen en qué medida y hasta
qué punto se pueden analizar los datos digitales (protección de datos, etc.).
Procesos técnicos de la informática forense
La informática forense es una disciplina relativamente joven que empezó a practicarse
en los años 80 con el análisis directo de los medios digitales. Para obtener pruebas, los
investigadores examinaban la "vida interior" de los ordenadores con ayuda de las
herramientas de administración del sistema (Sysadmin). No obstante, esa forma de
proceder podía ocasionar la modificación de los datos, lo que a su vez podía dar lugar a
alegaciones de falsificación de las pruebas.
Ello condujo a la adopción de otro enfoque, el análisis forense, que se compone de tres
pasos:
Identificación y preservación de los datos con el fin de crear un duplicado forense, es
decir, una copia exacta de los datos de un soporte digital, sin modificar los datos
originales.
Análisis de los datos así protegidos por medio de un software especial y de métodos
para la recopilación de pruebas. Medidas típicas son, por ejemplo, la búsqueda de
contraseñas, la recuperación de archivos borrados, la obtención de información del
registro de Windows (base de datos de registro), etc.
Elaboración de un informe por escrito sobre las evidencias descubiertas en el análisis y
en el que se incluyan también las conclusiones extraídas del estudio de los datos y de la
reconstrucción de los hechos o incidentes.
CAPÍTULO II: INFORMÁTICA FORENSE
4
Seh,http://bloges.sehtechnology.com/entradas/analisisforensedesistemasinformaticos.html(Accedido 27 de enero de 2014)
8
9. 2.1. Breve evolución de la informática forense 5:
La Informática Forense Se inició en los EUA, en gran parte, cuando la policía y los
investigadores militares comenzaron a ver que los criminales eran cada vez más
conocimientos técnicos. Miembros gubernamentales encargados de la protección de
secreto información importante y confidencial, las investigaciones forenses realizadas en
respuesta a las posibles brechas de seguridad, con el fin de analizar no sólo para las
violaciones a medida que aprenden a evitar situaciones similares en el futuro.
Por último, iniciar la conexión existente entre los campos de la seguridad de la información,
que se centran en la protección de la información y de los activos, y la informática forense,
que se centra en hacer frente a situaciones de información sobre la delincuencia.
Las empresas privadas han seguido la estrategia de empleo directo a profesionales de
seguridad informática forense o computadora, o bien recurrir a otras empresas
especializadas basadas en las necesidades existentes.
Más recientemente, el sector privado ha analizado la necesidad de realizar investigaciones
forenses en las disputas legales de carácter civil.
El campo de la informática forense continúa creciendo diariamente. Cada vez más
investigadores privados en investigación informática forense y privados son cada vez un
nivel más amplio de conocimientos en este campo.
Las compañías de software continúan produciendo programas forenses nuevos y más
robusto de software, y el nivel de las fuerzas de la ley y la policía, existe una búsqueda
continua para identificar y capacitar a aumentar su plantilla en respuesta a los delitos
relacionados con la tecnología.
2.2 . ¿Qué es la Informática Forense?
Según la Oficina Federal de Investigación de Estados Unidos (FBI), la Informática Forense
es: "La ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados
electrónicamente y guardados en un medio informático". En cuanto a los incidentes
informáticos, éstos pueden ser de distinta naturaleza, como ser el robo de propiedad
5
DCR,http://www.datarecovercenter.co/Servicios/InformaticaForense/AuditoriaeInvestigacionForense/Histo
riadelaInformaticaForense(Accedido 27 de enero de 2014)
9
10. intelectual, el fraude, la distribución de virus, la denegación de servicio, la extorsión, la
estafa, el acceso no autorizado, el robo de servicios o el abuso de privilegios.6
La ciencia forense es sistemática y se basa en hechos premeditados para recabar
pruebas para luego analizarlas. La tecnología, en caso de la identificación, recolección y
análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de suma
importancia en recaudar la información y los elementos de convicción necesarios. La
escena del crimen es el computador y la red a la cual éste está conectado.
En conclusión, la Informática forense implica recolectar registros y mensajes de datos
existentes dentro de un equipo informático, de tal manera que toda esa información digital,
pueda ser usada como prueba ante un tribunal.
2.3. Objetivos de la informática forense7 :
La informática forense tiene 3 objetivos:
1. La compensación de los daños causados por los criminales o intrusos.
2. La persecución y procesamiento judicial de los criminales.
3. La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la
recolección de evidencia.
2.4. Fases de la Investigación Forense8
El objetivo principal de la Investigación Forense Informática es la recolección,
preservación, filtrado y presentación de las evidencias digitales de acuerdo a los procedimientos
técnicos y legales preestablecidos, como apoyo de la Administración de Justicia:
●
Recolección: Este primer paso es fundamental para la investigación, aquí el
investigador forense debe identificar a todos los objetos que tengan valor como evidencia
para posteriormente recolectarlos. Normalmente estos objetos serán mensajes de
datos, información digital contenidos en discos duros, flash memory’s y otros artefactos
que almacenan información digital, también pueden incluir los respaldos de emergencia,
en fin el investigador debe tener bien en claro cuales son las fuentes de la evidencia a fin
de identificar a esta y la mejor manera de recolectarla.
6
Staff, Users. Hacking (Buenos Aires: Fox Andina: USERSHOP, 2011), 37.
7
Lopez, Oscar, Haver Amaya, y Ricardo León. «Informatica Forense: Generaidades, aspectos técnicos y herramientas».
Accedido 22 de enero de 2014. http://www.urru.org/papers/Rrfraude/InformaticaForense_OL_HA_RL.pdf.
8
Acurio Del Pino, Santiago,http://egov.ufsc.br/portal/sites/default/files/9.pdf(Accedido 22 de enero de 2014)
10
11. ●
Preservación: La preservación es la parte de la investigación digital forense que se
enfoca en resguardar los objetos que tengan valor como evidencia de manera que estos
permanezcan de forma completa, clara y verificable. Aquí se utiliza técnicas
criptográficas como códigos de integridad (función hash, checksums) y la más prolija
documentación. La fase de preservación interviene a lo largo de todo el proceso de
investigación forense, es una fase que interactúa con las demás fases.
●
Filtrado: También conocida como la fase de análisis en la investigación forense, es
donde el investigador busca filtrar todos los objetos recolectados y preservados de la
escena del delito a fin de separar los objetos que no tienen valor como evidencia de los
que si. En esta fase el investigador utilizar una serie de instrumentos y técnicas para
localizar y extraer la evidencia para luego ponerla en el contexto de la investigación.
●
Presentación: Esta es la fase final de la investigación forense informática, es cuando se
presentan los resultados, los hallazgos del investigador. La presentación debe ser
entendible y convincente, es decir aquí se debe reseñar los procedimientos y las
técnicas utilizadas para recolectar, preservar y filtrar la evidencia de manera que exista
certidumbre en los métodos usados, aumentado así la credibilidad del investigador en un
contra examen de los mismos.
2.5. Herramientas de Investigación Forense9
En la actualidad existen cientos de herramientas, las cuales se pueden clasificar en cuatro
grupos principales:
2.5.1 Herramientas para la Recolección de Evidencia
Las herramientas para la recolección de evidencia representan el tipo de herramienta más
9
Lopez, Oscar, Haver Amaya, y Ricardo León. «Informatica Forense: Generaidades, aspectos técnicos y herramientas».
Accedido 22 de enero de 2014. http://www.urru.org/papers/Rrfraude/InformaticaForense_OL_HA_RL.pdf.
11
12. importante en la computación forense, porque su centro de acción está en el que para muchos
es el punto central. Su uso es necesario por varias razones:
• Gran volumen de datos que almacenan los computadores actuales.
• Variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro
del contexto de un mismo sistema operativo.
• Necesidad de recopilar la información de una manera exacta, que permita verificar que
la copia es fiel y además mantener inalterada la escena del delito.
• Limitaciones de tiempo para analizar toda la información.
• Volatilidad de la información almacenada en los computadores, alta vulnerabilidad al
borrado, con una sola información se pueden eliminar hasta varios gigabytes.
• Empleo de mecanismos de encriptación, o de contraseñas.
• Diferentes medios de almacenamiento, como discos duros, CDs y cintas.
●
Herramienta EnCase:
Es una herramienta desarrollada por Guidance Software Inc, permite asistir al
especialista forense durante el análisis de un crimen digital. Se escogió mostrar esta
herramienta por tratarse del software líder en el mercado, el producto más ampliamente
difundido y de mayor uso en el campo del análisis forense. Algunas de las características
más importantes de EnCase se relacionan a continuación: Copiado Comprimido de
Discos Fuente . Encase emplea un estándar sin pérdida (lossless) para crear copias
comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser
analizados, buscados y verificados, de manera semejante a los normales (originales).
Esta característica ahorra cantidades importantes de espacio en el disco del computador
del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismos
tiempo, examinando la evidencia y buscando en paralelo. Búsqueda y Análisis de
Múltiples partes de archivos adquiridos . EnCase permite al examinador buscar y
analizar múltiples partes de la evidencia. Muchos investigadores involucran una gran
cantidad de discos duros, discos extraíbles, discos “zip” y otros tipos de dispositivos de
almacenamiento de la información. Con Encase, el examinador puede buscar todos los
datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta
comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo
por el especialista.
En varios casos la evidencia puede ser ensamblada en un disco duro grande o un
servidor de red y también buscada mediante EnCase en un solo paso. Diferente
capacidad de Almacenamiento. Los datos pueden ser colocados en diferentes unidades,
como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los archivos pertenecientes a la
evidencia pueden ser comprimidos o guardados en CDROM manteniendo su integridad
forense intacta, estos archivos pueden ser utilizados directamente desde el CDROM
evitando costos, recursos y tiempo de los especialistas. Varios Campos de
Ordenamiento, Incluyendo Estampillas de tiempo.
12
13. EnCase permite al especialista ordenar los archivos de la evidencia de acuerdo a
diferentes campos, incluyendo campos como las tres estampillas de tiempo (cuando se
creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y
extensiones. Análisis Compuesto del Documento. EnCase permite la recuperación de
archivos internos y metadatos con la opción de montar directorios como un sistema
virtual para la visualización de la estructura de estos directorios y sus archivos,
incluyendo el slack interno y los datos del espacio unallocated .
2.5.1.1.Software de Libre Distribución y Open Source
Dejando aparte el software comercial, nos centraremos en herramientas de código
abierto (Open Source) que podrá descargar libremente desde la página sus
correspondientes autores o miembros del proyecto.
Vamos a comenzar con una recopilación de herramientas que necesitan ser ejecutadas
bajo un sistema operativo anfitrión, bien sea MS Windows o UNIX/Linux.
The Forensic ToolKit Se trata de una colección de herramientas forenses para
plataformas Windows, creado por el equipo de Foundstone.
The Sleuth Kit y Autopsy
Puede analizar archivos de datos de evidencias generadas con utilidades de disco
como por ejemplo dd
HELIX CD
Posee la mayoría de las herramientas necesarias para realizar un análisis
F.I.R.E. Linux
Recolección de datos de un sistema informático comprometido y hacer un análisis
forense.
2.5.2. Herramientas para el Monitoreo y/o Control de Computadores
Algunas veces se necesita información sobre el uso de los computadores, por lo tanto existen
herramientas que monitorean el uso de los computadores para poder recolectar información.
Existen algunos programas simples como key loggers o recolectores de pulsaciones del
teclado, que guardan información sobre las teclas que son presionadas, hasta otros que
guardan imágenes de la pantalla que ve el usuario del computador, o hasta casos donde la
máquina es controlada remotamente.
●
KeyLogger “KeyLogger”
Es un ejemplo de herramientas que caen en esta categoría. Es una herramienta que
13
14. puede ser útil cuando se quiere comprobar actividad sospechosa; guarda los eventos
generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder',
esto es guardado en un archivo o enviado por email . Los datos generados son
complementados con información relacionada con el programa que tiene el foco de
atención, con anotaciones sobre las horas, y con los mensajes que generan algunas
aplicaciones. Existen dos versiones: la registrada y la de demostración. La principal
diferencia es que en la versión registrada se permite correr el programa en modo
escondido. Esto significa que el usuario de la máquina no notará que sus acciones están
siendo registradas.
2.5.3 Herramientas de Marcado de documentos10
Básicamente el objetivo de este tipo de herramientas es el de insertar una marca a la
información sensible para poder detectar el robo o tráfico con la misma, si bien no equivale al
sistema LoJack de rastreo y localización de vehículos hurtados, si podría compararse con las
marcas que se hace a los vehículos. A través de estas herramientas es posible marcar no solo
documentos, sino también software.
Existen en el mercado programas que permiten marcar el software para que, en caso de robo
de información, sea posible detectarlo fácilmente. “Algunos sitios en Internet que manejan
información confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a
que no existe nada como un sitio 100% seguro, se debe estar preparado para incidentes”.
Cuando se dice “robo de información” no se refiere solamente al robo de software sino también
al robo de imágenes, música, videos y documentos. Desde luego este robo es perpetuado en
obras digitales y es por esto que existe este tipo de herramientas de marcado de documentos
las cuales utilizan la tecnología llamada comúnmente “Digital Watermarking” o marcas de agua
digitales.
a. Sandmark
Esta herramienta protege al software de la piratería, la manipulación y la ingeniería inversa. La
meta del software es la de desarrollar técnicas que le permitan a los usuarios determinar
empíricamente cuales algoritmos para la inserción de marcas de agua digitales tienen el mejor
rendimiento y la mayor resistencia a ataques
2.5.4 Herramientas de Hardware
Debido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la
10
Repositorio UTN,http://repositorio.utn.edu.ec/bitstream/123456789/539/8/04%20ISC%20157%20CAPITULO%20III.pdf(Accedido
17 de febrero de 2014)
14
15. información se han diseñado varias herramientas como:
a. Un equipo portable “F.R.E.D.D.I.E . El componente principal del kit portable se denomina
“F.R.E.D.D.I.E”, (Forensic Recovery of Evidence Device Diminutive Interrogation Equipment);
consiste en un computador portable, diseñado para la recuperación de datos de todo tipo de
dispositivos, con posibilidades de bloqueo de discos para evitar modificaciones accidentales del
material estudiado y otras características de obtener una línea temporal de eventos, tanto de los
actos realizados por el equipo forense como por el autor del crimen.
b. Conjunto portable de duplicación de discos: Elemento sencillo destinado para duplicar discos
IDEIDE e IDESCSI, con presentación automática de un informe impreso con datos del disco
(número de serie, cilindros, capacidad, fecha y hora de la copia, etc.).
c. Impresora portable, inalámbrica: se adquirió por la importancia del papel y la burocracia en
todo proceso judicial, de forma que al disponer de cuadernos electrónicos podríamos llevar ahí
los formularios adecuados para cada caso e imprimirlos en la impresora portable (ligera y con
batería).
d. Soporte inalámbrico para todos los dispositivos del kit: es un requisito importante, ya que
estudia minuciosamente cada componente para comprobar que disponía de soporte
inalámbrico, (bluetooth, infrarrojos o WiFi).
2.6. Usos de la Informática forense11 :
Existen varios usos de la informática forense, muchos de estos usos provienen de la vida diaria,
y no tienen que estar directamente relacionados con la informática forense:
A. Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una
variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas,
evasión de impuestos o pornografía infantil.
B. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio,
pueden ser ayudados por la informática forense.
C. Investigación de Seguros: La evidencia encontrada en computadores, puede
ayudar a las compañías de seguros a disminuir los costos de los reclamos por
accidentes y compensaciones.
11
Giovanni
Zuccardi
y
Juan
David
Gutiérrez.
«Informtica
Forense»,
2006.
http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdf.
15
16. D. Temas corporativos: Puede ser recolectada información en casos que tratan sobre
acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o
aún de espionaje industrial.
E. Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda
inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la
orden judicial para hacer la búsqueda exhaustiva.
CAPÍTULO III : APLICACIONES DE LA INFORMÁTICA FORENSE
EN LOS PROCESOS LITIGIOSOS
16
17. 3.1. Perito Informático12 .
La función del perito informático consiste en el análisis de elementos informáticos, en busca de
aquellos datos que puedan constituir una prueba o indicio útil para el litigio jurídico al que ha sido
asignado. Las tareas a desarrollar por el perito informático no son distintas de la de otros peritos
judiciales. Por lo tanto deberá recopilar la información que es puesta a su disposición, analizar la
misma en busca de los datos que el juez le ha requerido y emitir un informe o dictamen en
donde vuelque las conclusiones de la investigación realizada.I
3.1.2. Características específicas del perito informático
Un perito informático debe ser un profesional del peritaje informático, no un
experto en una sola área de la informática. Es decir, un informático preparado, idóneo en
varias disciplinas, y sobre todo, eficaz "perito en la materia".
Durante el año 2000, la Corte Suprema de Justicia de la Nación procedió a la creación
del grupo de apoyo técnico informático, basándose en "el crecimiento cuantitativo y
cualitativo de la litigiosidad en los últimos años por lo que consideró que se debe "contar
con funcionarios dotados de la capacidad técnica que permita resolver
fundamentalmente los requerimientos que, en esta materia, le efectúen los distintos
Tribunales".
Asimismo el perito debe contar con especificidad, ya que como todas las profesiones, es
importante la especialización dado que la materia informática es muy basta y cambiante.
Por ello resulta indispensable contar con profesionales experimentados y especializados
en HARDWARE y SOFTWARE que interactúen para lograr los objetivos.
3.2. La prueba pericial
Principales aspectos
Es la que surge del dictamen de los peritos, que son personas llamadas a informar ante el juez
o tribunal, por razón de sus conocimientos especiales y siempre que sea necesario tal dictamen
científico, técnico o práctico sobre hechos litigiosos. Los aspectos más importantes de esta
prueba son:
12
Andrés Eduardo Basini,http://www.derechopenalonline.com/derecho.php?id=14,812,0,0,1,0(Accedido 1 de febrero de 2014)
17
18. a. La Procedencia: procede cuando para conocer o apreciar algún hecho de influencia en el
pleito, sean necesarios o convenientes conocimientos científicos, artísticos o prácticos.
b. La Proposición: la parte a quien interesa este medio de pruebas propondrá con claridad y
precisión el objeto sobre el cual deba recaer el reconocimiento pericial, y si ha de ser realizado
por uno o tres de los peritos. El Juez ya que se trata de asesorarle, resuelve sobre la necesidad,
o no, de esta prueba.
c. El Nombramiento: los peritos tienen que ser nombrados por el Juez o Tribunal, con
conocimiento de las partes, a fin de que puedan ser recusados o tachados por causas
anteriores o posteriores al nombramiento. Son causas de tacha a los peritos el parentesco
próximo, haber informado anteriormente en contra del recusante el vínculo profesional o de
intereses con la otra parte, el interés en el juicio, la enemistad o la amistad manifiesta.
d. El Diligenciamiento: las partes y sus defensores pueden concurrir al acto de
reconocimiento pericial y dirigir a los peritos las observaciones que estimen oportunas. Deben
los peritos, cuando sean tres, practicar conjuntamente la diligencia y luego conferenciar a solas
entre sí. Concretan su dictamen según la importancia del caso, en forma de declaración; y en el
segundo, por informe, que necesita ratificación jurada ante el Juez. El informe verbal es más
frecuente y quedará constancia del mismo en el acta.
e. El Dictamen Pericial: los peritos realizarán el estudio riguroso del problema encomendado
para producir una explicación consistente. Esa actividad cognoscitiva será condensada en un
documento que refleje las secuencias fundamentales del estudio efectuado, los métodos y
medios importantes empleados, una exposición razonada y coherente, las conclusiones, fecha
y firma. A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o
Informe Pericial. Si los peritos no concuerdan deberá nombrarse un tercero para dirimir la
discordia, quién puede disentir de sus colegas. Todo dictamen pericial debe contener: a) la
descripción de la persona, objeto o cosa materia de examen o estudio, así como, el estado y
forma en que se encontraba; b) La relación detallada de todas las operaciones practicadas el la
pericia y su resultado; c) Los medios científicos o técnicos de que se han valido para emitir su
dictamen; d) Las conclusiones a las que llegan los perito
3.3. El espionaje Industrial13
¿Que es el Espionaje Industrial?
Cuando una empresa obtiene información referente a la investigación, perfeccionamiento
y fabricación de conceptos industriales o prototipos para adelantarse a la competencia al
momento de colocar en el mercado un producto innovador, a eso se le denomina
13
Secureshred,http://www.secureshred.mx/comodetectarelespionajeindustrialsigueestas2claves(Accedido 1 de febrero
de 2014)
18
19. espionaje industrial, una actividad ilícita producto de la rápida obsolescencia de las
nuevas tecnologías. Esto se puede evitar si es detectado a tiempo.
El Control de los visitantes a la empresa
Los visitantes no solo pueden ser personas esperadas o invitadas de la empresa, pero
es probable que ciertas compañías que proveen de algún servicio sean utilizadas por
otras empresas para infiltrar a la empresa ya sea de forma electrónica o física.
Estos pueden ser herreros, fontaneros, carpinteros, electricistas que a modo de estar
realizando un trabajo dentro de la empresa, pueden colocar algún dispositivo electrónico
para captar audio o vídeo de tal forma que puedan obtener información. También pueden
sustraer documentos importantes. Todo esto lo hacen mientras nadie los esté
observando.
Para evitar estas situaciones, hay que realizar a todas las personas que ingresan a las
instalaciones de la empresa un registro físico de todas sus pertenencias, como una
manera de cerciorarse que entren con lo que realmente necesiten para trabajar.
Asimismo, hay que acompañar a este personal de servicio con agentes de seguridad
para que los supervisen en cuanto a las labores que desempeñan.
Resguardar toda información digital
La información digital siempre tiene que estar a buen resguardo, por lo que la empresa
debe disponer de un departamento de informática para que no existan fugas de
información y que esto fomente la competencia desleal.
Existen formas con la finalidad de impedir esta clase de cosas. Una de ellas es haciendo
una campaña interna de carácter informativo para que los usuarios de cada
computadora coloquen claves de acceso al sistema operativo, con la finalidad de
asegurarlas ante la posibilidad que algún agente externo pueda sustraer alguna clase de
información.
Estas dos claves pueden ser fundamentales para que la empresa pueda desarrollarse
de una manera segura y frenar a cualquiera de las técnicas de espionaje de las que otra
corporación pueda disponer para hacer trampa a nivel de la competencia comercial.
En este caso, la precaución es el arma más eficaz para evitar situaciones
desagradables.
3.4. Robo de la información a través de las suplantaciones electrónicas14
14
Esther Nuñez Vidal, Carlos Villareal Gonzales, y Victoria Cuevas Gil. «Suplantacion de la Identidad». Accedido 31 de enero de
19
20. 3.4.1. Phishing
Phishing es un término informático utilizado para denominar el fraude por
suplantación de identidad, una técnica de ingeniería social. El origen de la palabra
phishing se dice que proviene de la contracción de “password harvesting fishing”
(cosecha y pesca de contraseñas)
Las personas que realizan el fraude se denominan phishers. Su objetivo es la obtención
de información personal confidencial de las víctimas, ya sean cuentas bancarias,
contraseñas, números de tarjetas de crédito, etcétera.
El phisher actúa de varias formas distintas para conseguir la información: mediante el
envío de mensajes de correo electrónico fraudulentos, mensajería instantánea o
mediante la utilización de falsos sitios web. En este último caso podemos enmarcar los
casos de suplantación de páginas web de entidades bancarias muy utilizados
actualmente:
A.Scam
Este tipo de fraude consiste en que empresas ficticias realizan la captación de
personas mediante diversas vías como chats, foros, notificaciones vía correo
electrónico, anuncios en periódicos e incluso difusión en webs; donde ofrecen
puestos de trabajo con excelentes ventajas y cuyas condiciones se resumen en
disponer de un ordenador y ser titular de una cuenta bancaria. Las personas que
aceptan este tipo de empleos reciben el nombre de “muleros” y desconocen el
carácter ilícito de sus acciones que consiste en el blanqueo de dinero obtenido a
través del phishing.
B. Hoax
Estos mensajes engañosos o bulos, se distribuyen en cadena. Abarcan
diferentes temas, como por ejemplo desgracias, cadenas de solidaridad, falsas
advertencias de virus informáticos… y todos ellos se caracterizan por atemorizar
al destinatario si no continúa con la cadena de mensajes, no están firmados e
incluso algunos referencian los nombres de grandes compañías. Los objetivos de
este tipo de fraude son conseguir direcciones de correo electrónico, colapsar
servidores, colapsar las LAN.
C. AFF
El fraude por adelanto de pago (AFF Advance Fee Fraud) o Fraude 419 es
conocido también por el fraude de la lotería y constituye una de las formas de
amenaza de delito telemático más peligrosas y con mayor crecimiento. Se trata
de un crimen en el que se engaña a la víctima para que pague una cantidad de
2014.
http://gpd.sip.ucm.es/sonia/docencia/master/Trabajos%20Alumnos/Suplantacion%20Identidad/Suplantacion_Personalidad.pdf.
20
21. dinero por adelantado para recibir un regalo a un premio en metálico.
Normalmente los delincuentes simulan páginas de compañías de prestigio para
dar más credibilidad y autenticidad a sus mensajes de correo electrónico.
3.4.2. Spoofing
A diferencia del phishing, el spoofing también se trata de una suplantación de identidad,
pero en la cual no se requiere por lo general de un engaño previo a la víctima o a la
entidad. Adicionalmente, los motivos del mismo pueden ser muy variados, desde la
estafa a la investigación.
A. DNS
También llamado pharming, se trata del cambio de la relación de un nombre de
un dominio por una IP falsa. Este ataque se realiza si el servidor DNS no es muy
seguro, o si confía en otros que si son inseguros. Por otro lado, una vez se haya
realizado el cambio, otros servidores DNS que se fíen de este, podrán añadir a
sus cachés la dirección falsa, denominándose DNS poisoning.
B. Web
Suplanta la dirección real a una página falsa que encaminara hacia otras páginas
auténticas que recolectarán información de la víctima. Esta página falsa actuará a
modo de proxy (intermediario), de forma que recolectará toda la información de la
comunicación de la víctima pudiendo modificarla o recolectarla. Esto la hace muy
difícil de detectar y de protegerse contra ella.
En este caso se requiere de un primer engaño para hacer que la víctima visite la
página falsa y no la verdadera. Pero a diferencia del phishing, no suplanta
realmente la página original, sino que se coloca en medio de la conversación.
3.4.3. El spam, o correo basura15
son correos electrónicos no deseados, generalmente con fines publicitarios. Los
spammers envían sus mensajes a miles, incluso millones de direcciones de correo
electrónico a la vez esperando que el mensaje llegue a cuantas más personas mejor
para difundir una marca, una información, o cualquier tipo de publicidad. El correo
electrónico no es el único medio por el cual se pueden recibir mensajes de spam, pero sí
la forma más extendida.
3.4.4. Vishing.16
15
CSIRTCV Centre Seguretat TIC de la Comunitat Valenciana. «Como identificar phishing». Accedido 1 de febrero de 2014.
http://www.csirtcv.gva.es/sites/all/files/downloads/%5BCSIRTcv%5D%20Como%20identificar%20phishing.pdf.
16
«ESET Centro de Amenazas Tipos de malware y otras amenazas informáticas Rogue». ESET Latinoamérica. Accedido 1 de
21
22. El atacante falsifica el identificador de llamadas utilizando las comunicaciones
VoIP del ordenador. En este ataque, la diferencia radica en el medio a través del cual la
víctima es contactada. Otra técnica de este mismo ataque, utiliza el mismo medio que el
phishing tradicional (correo electrónico) y el usuario es enlazado a un número telefónico
donde se falsifica la atención al cliente de cierta organización y se solicita el ingreso de
información personal a través del teléfono.
3.4.5. Smishing.
Se llama así, al phishing por SMS. El usuario es contactado a través de un
mensaje de texto en su celular y es invitado a contactar telefónicamente a la
organización, para verificar sus datos personales.
3.4.6. Pharmin
Consiste en atacar los servidores DNS de un sitio y direccionar el tráfico legítimo
a un sitio web falsificado. En este caso, cualquier usuario que intente ingresar en el sitio
web original, a pesar de ingresar correctamente la dirección del sitio web, es
direccionado a otro servidor, donde se encuentra alojada la página web del atacante,
simulando, como en el phishing, ser la web original.
CONCLUSIONES
●
La Informática forense permite la solución de conflictos tecnológicos relacionados con
seguridad informática y protección de datos.
●
La Informática Forense en la actualidad ha tomado gran importancia porque permite
encontrar las evidencias necesarias y suficientes de un siniestro, evidencia que pueden
ser de gran valor en el momento de resolver un caso, en muchos de estos casos
puede ser la única evidencia disponible.
●
La Informática Forense incluso al final de una investigación puede ayudarnos a plantear
recomendaciones, ya que permite establecer los principales controles y seguridades
que deben implementarse en la empresa u hogar.
febrero de 2014. http://www.esetla.com/centroamenazas/amenazas/2144Phishing.
22
23. ●
En estos últimos tiempos en nuestro país recién se ha empezado a hablar de
Informática Forense, pero todavía falta mucho camino por recorrer, en especial si se
compara con otros países del continente en donde ya se habla incluso de la
profesionalización de esta rama.
●
la Informática forense puede rastrear la destrucción de datos y la manipulación de los
mismos también . Los hábitos de los usuarios de los computadores y las actividades
realizadas pueden ayudar a la reconstrucción de hechos, siendo posible saber de todas
las actividades realizadas en un computador determinado.
REFERENCIAS BIBLIOGRÁFICAS
●
Acurio Del Pino, Santiago. «Introducción a la Informática Forense». Accedido 22 de enero
de 2014. http://egov.ufsc.br/portal/sites/default/files/9.pdf.
●
Basini, Andrés Eduardo. «El perito informático y la prueba pericial». Accedido 1 de
febrero de 2014. http://www.derechopenalonline.com/derecho.php?id=14,812,0,0,1,0.
●
Cano, Diego. Contra el fraude: prevención e investigación en América Latina. Ediciones
Granica S.A. Buenos Aires: Ediciones Granica S.A.
●
CSIRTCV Centre Seguretat TIC de la Comunitat Valenciana. «Como identificar
phishing».
Accedido
1
de
febrero
de
2014.
http://www.csirtcv.gva.es/sites/all/files/downloads/%5BCSIRTcv%5D%20Como%20identi
ficar%20phishing.pdf.
●
Data Recover Center. «Historia de la Informática Forense». Accedido 27 de enero de
2014.
http://www.datarecovercenter.co/Servicios/InformaticaForense/AuditoriaeInvestigacion
Forense/HistoriadelaInformaticaForense.
23
24. ●
Eliasid Rivero Madera. «Características de un sistema informático». 12:57:18 UTC.
http://www.slideshare.net/elio456/caracteristicasdeunsistemainformtico.
●
ESET. «ESET Centro de Amenazas Tipos de malware y otras amenazas informáticas
Rogue». ESET Latinoamérica. Accedido 1 de febrero de 2014.
http://www.esetla.com/centroamenazas/amenazas/2144Phishing.
●
Instituto de Enseñanza Secundaria Jándula. «Sistemas Informaticos». Accedido 30 de
enero de 2014. http://www.institutojandula.com/RET/SistemasInformaticos.pdf.
●
Lopez Delgado, Miguel. «Análisis Forense Digital». CriptoRed, junio de 2007.
http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf.
●
Lopez, Oscar, Haver Amaya, y Ricardo León. «Informatica Forense: Generaidades, aspectos
técnicos
y
herramientas».
Accedido
22
de
enero
de
2014.
http://www.urru.org/papers/Rrfraude/InformaticaForense_OL_HA_RL.pdf.
●
Nuñez Vidal, Esther, Carlos Villareal Gonzales, y Victoria Cuevas Gil. «Suplantacion de la
Identidad».
Www.google.com.pe.
Accedido
31
de
enero de 2014.
http://gpd.sip.ucm.es/sonia/docencia/master/Trabajos%20Alumnos/Suplantacion%20Identidad/
Suplantacion_Personalidad.pdf.
●
Secureshred. «Como detectar el espionaje industrial.» Accedido 1 de febrero de 2014.
http://www.secureshred.mx/comodetectarelespionajeindustrialsigueestas2claves/.
●
SEH Computertechnik GmbH. «Análisis forense de sistemas informáticos». Accedido 27
de
enero
de
2014.
http://bloges.sehtechnology.com/entradas/analisisforensedesistemasinformaticos.ht
ml.
Staff, Users. Hacking. Fox Andina S.A. Buenos Aires: Usershop, s. f.
● UtnRepositorio.http://repositorio.utn.edu.ec/bitstream/123456789/539/8/04%20ISC%20157%
20CAPITULO%20III.pdf.(Accedido 17 de febrero de 2014)
●
●
Zuccardi, Giovanni, y Juan David Gutiérrez. «Informtica Forense», 2006.
http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20F
orense%20v0.6.pdf.
24