1. UNIVERSIDAD AUTONÓMA DE BAJA CALIFORNIA
FACULTAD DE DERECHO TIJUANA
TECNOLOGÍAS DE LA INVESTIGACIÓN JURÍDICA
INVESTIGACIÓN CÓMPUTO FORENSE
PRESENTA
CASTAÑEDA TENORIO VANESSA
CARDENAS RAMIREZ EMILIO FERNANDO
CERON CANIZALEZ ARELY
MAESTRO
ABELARDO MARTÍNEZ ALCARAZ
TIJUANA, BAJA CALIFORNIA MAYO 2016
2. INFORMÁTICA FORENSE
P á g i n a 2 | 15
ÍNDICE
CAPÍTULO I: INTRODUCCIÓN............................................................................... 3
INFORMÁTICA O CÓMPUTO FORENSE. ............................................................. 4
CONCEPTO......................................................................................................... 4
ORIGEN............................................................................................................... 4
EVIDENCIA DIGITAL. ............................................................................................. 5
CATEGORÍAS ..................................................................................................... 5
CARACTERÍSTICAS ........................................................................................... 5
PROCESO Y ANÁLISIS FORENSE........................................................................ 6
IDENTIFICACIÓN DEL INCIDENTE.................................................................... 6
PRESERVACIÓN DE LA EVIDENCIA................................................................. 6
ANÁLISIS DE LA EVIDENCIA ............................................................................. 8
DOCUMENTACIÓN DEL INCIDENTE................................................................. 8
DISPOSITIVOS A ANALIZAR DENTRO DEL CÓMPUTO FORENSE.................... 8
CRIMINALÍSTICA DIGITAL................................................................................... 10
EL PERITAJE INFORMÁTICO .......................................................................... 10
ASUNTOS RELACIONADOS. (EJEMPLOS) ........................................................ 11
CONCLUSIÓN ...................................................................................................... 13
3. INFORMÁTICA FORENSE
P á g i n a 3 | 15
CAPÍTULO I: INTRODUCCIÓN
La informática forense está adquiriendo una gran importancia dentro del
área de la información electrónica, esto debido al aumento del valor de la
información y al uso que se le da a ésta, al desarrollo de nuevos espacios donde
es usada , y al extenso uso de computadores por parte de las compañías de
negocios tradicionales. Es por esto que cuando se realiza un crimen, muchas
veces la información queda almacenada en forma digital. Sin embargo, existe un
gran problema, debido a que los computadores guardan la información de
información forma tal que no puede ser recolectada o usada como prueba
utilizando medios comunes, se deben utilizar mecanismos diferentes a los
tradicionales.
Es de aquí que surge el estudio de la computación forense como una
ciencia relativamente nueva. Es gracias a fenómenos electromagnéticos que la
información se puede almacenar, leer e incluso recuperar cuando se creía
eliminada. La informática forense, aplicando procedimientos estrictos y rigurosos
puede ayudar a resolver grandes crímenes apoyándose en el método científico,
aplicado a la recolección, análisis y validación de todo tipo de pruebas digitales
4. INFORMÁTICA FORENSE
P á g i n a 4 | 15
INFORMATICA O CÓMPUTO FORENSE.
Concepto y orígenes
Concepto
Según el FBI, la informática (o computación) forense es la ciencia de
adquirir, preservar, obtener y presentar datos que han sido procesados
electrónicamente y guardados en un medio computacional. Es la aplicación de
técnicas y herramientas de hardware y software para determinar datos potenciales
o relevantes.
Origen
Origen de la informática forense a comienzo de los años 90, el FBI (Federal
Bureau of Investigation) observó que las pruebas o evidencias digitales tenían el
potencial de convertirse en un elemento de prueba tan poderoso para la lucha
contra la delincuencia, como lo era el de la identificación por ADN. Para ello,
mantuvo reuniones en su ámbito, y a finales de los años 90 se creó la IOCE
(International Organization of Computer Evidence) con la intención de compartir
información sobre las prácticas de informática forense en todo el mundo.
En marzo del año 1998, el G8 –a través del subgrupo de trabajo
denominado The High Tech Crime, conocido como el Grupo de Lyón– encargó a
la IOCE el desarrollo de una serie de principios aplicables a los procedimientos
para actuaciones sobre pruebas digitales, así como la armonización de métodos y
procedimientos entre las naciones que garantizasen la fiabilidad en el uso de las
pruebas digitales recogidas por un estado para ser utilizadas en tribunales de
justicia de otro estado. La IOCE, trabajó en el desarrollo de estos principios a lo
largo de dos años.
5. INFORMÁTICA FORENSE
P á g i n a 5 | 15
La Scientific Working Group on Digital Evidence (SWGDE), principal
portavoz de la IOCE en Estados Unidos, y la Association of Chief Police Officers
(ACPO) del Reino Unido, propusieron una serie de puntos que luego englobaron
los principios generales que se presentaron en el año 2000 al Grupo de Lyón.
Derecho y Cambio Social LA INFORMÁTICA FORENSE: EL RASTRO DIGITAL
DEL CRIMEN Francisca Rodríguez Más Alfredo Doménech Rosado
EVIDENCIA DIGITAL.
Categorías
Registros almacenados en el equipo de tecnología informática (por ejemplo,
correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.).
Registros generados por los equipos de tecnología informática (registros de
auditoría, registros de transacciones, registros de eventos, etc.).
Registros que parcialmente han sido generados y almacenados en los
equipos de tecnología informática. (hojas de cálculo financieras, consultas
especializadas en bases de datos vistas parciales de datos, etc.).
La evidencia digital es única, cuando se la compara con otras formas de
evidencia. A diferencia dela evidencia física, la evidencia digital es frágil y una
copia de un documento almacenado en un archivo es idéntica al original. Otro
aspecto único es su potencial de realizar copias no autorizadas de archivos, sin
dejar rastro alguno. La evidencia digital posee, entre otras, las siguientes
características:
Características
Es volátil
Es anónima
Es duplicable
Es alterable y modificable
Es eliminable
6. INFORMÁTICA FORENSE
P á g i n a 6 | 15
PROCESO Y ANÁLISIS FORENSE
Identificación del incidente: búsqueda y recopilación de
evidencias
Una de las primeras fases del análisis forense comprende el proceso de
identificación del incidente, que lleva aparejado la búsqueda y recopilación de
evidencias. Antes de comenzar una búsqueda desesperada de señales del
incidente que lo único que conlleve sea una eliminación de “huellas”, actúe de
forma metódica y profesional. Asegúrese primero que no se trata de un problema
de hardware o software de su red o servidor, no confunda un “apagón” en su
router con un ataque DoS.
Descubrir las señales del ataque
Para iniciar una primera inspección del equipo deberá tener en mente la
premisa de que debe conservar la evidencia, por ello NO HAGA NADA QUE
PUEDA MODIFICARLA. Deberá utilizar herramientas que no cambien los sellos
de tiempo de acceso (timestamp), o provoquen modificaciones en los archivos, y
por supuesto que no borren nada.
Preservación de la evidencia
Aunque el primer motivo que le habrá llevado a la recopilación de
evidencias sobre el incidente sea la resolución del mismo, puede que las necesite
posteriormente para iniciar un proceso judicial contra sus atacantes y en tal caso
deberá documentar de forma clara cómo ha sido preservada la evidencia tras la
recopilación. En este proceso, como se expondrá a continuación, es
imprescindible definir métodos adecuados para el almacenamiento y etiquetado de
las evidencias. Muy bien, ya tenemos la evidencia del ataque, ahora veremos que
ha de continuar siendo metódico y sobre todo conservando intactas las “huellas
del crimen”, debe asegurar esa evidencia a toda costa, por lo tanto ¡NI SE LE
7. INFORMÁTICA FORENSE
P á g i n a 7 | 15
OCURRA COMENZAR EL ANÁLISIS SOBRE ESA COPIA!. Como primer paso
deberá realizar dos copias de las evidencias obtenidas, genere una suma de
comprobación de la integridad de cada copia mediante el empleo de funciones
hash Análisis Forense Digital 16 tales como MD5 o SHA1. Incluya estas firmas en
la etiqueta de cada copia de la evidencia sobre el propio CD o DVD, incluya
también en el etiquetado la fecha y hora de creación de la copia, nombre cada
copia, por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del
original. Traslade estos datos a otra etiqueta y péguela en la caja contenedora del
soporte, incluso sería conveniente precintar el original para evitar su manipulación
inadecuada. Si además decide extraer los discos duros del sistema para utilizarlos
como evidencia, deberá seguir el mismo procedimiento, coloque sobre ellos la
etiqueta “EVIDENCIA ORIGINAL”, incluya además las correspondientes sumas
hash, fecha y hora de la extracción del equipo, datos de la persona que realizó la
operación, fecha, hora y lugar donde se almacenó, por ejemplo en una caja fuerte.
Piense, además, que existen factores externos como cambios bruscos de
temperatura o campos electromagnéticos que pueden alterar la evidencia. Toda
precaución es poca, incluso si decide enviar esos discos a que sean analizados
por empresas especializadas solicite que los aseguren por un importe similar a los
daños causados en sus equipos. Otro aspecto a tener en cuenta, y que está
relacionado con el comentario anterior, es el proceso que se conoce como la
cadena de custodia, donde se establecen las responsabilidades y controles de
cada una de las personas que manipulen la evidencia. Deberá preparar un
documento en el que se registren los datos personales de todos los implicados en
el proceso de manipulación de las copias, desde que se tomaron hasta su
almacenamiento. Sería interesante documentar: 9 Dónde, cuándo y quién manejo
o examinó la evidencia, incluyendo su nombre, su cargo, un número identificativo,
fechas y horas, etc. 9 Quién estuvo custodiando la evidencia, durante cuanto
tiempo y dónde se almacenó. 9 Cuando se cambie la custodia de la evidencia
también deberá documentarse cuándo y como se produjo la transferencia y quién
la transportó. Todas estas medidas harán que el acceso a la evidencia sea muy
restrictivo y quede claramente documentado, posibilitando detectar y pedir
8. INFORMÁTICA FORENSE
P á g i n a 8 | 15
responsabilidades ante manipulaciones incorrectas a intentos de acceso no
autorizados.
Análisis de la evidencia
Una vez que disponemos de las evidencias digitales recopiladas y
almacenadas de forma adecuada, pasemos a la fase quizás más laboriosa, el
Análisis Forense propiamente dicho, cuyo objetivo es reconstruir con todos los
datos disponibles la línea temporal del ataque o timeline, determinando la cadena
de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior
al inicio del ataque, hasta el momento de su descubrimiento. Este análisis se dará
por concluido cuando conozcamos cómo se produjo el ataque, quién o quienes lo
llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del
ataque, qué daños causaron, etc.
Documentación del incidente
Tan pronto como el incidente haya sido detectado, es muy importante
comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Cada
paso dado debe ser documentado y fechado desde que se descubre el incidente
hasta que finalice el proceso de análisis forense, esto le hará ser más eficiente y
efectivo al tiempo que reducirá las posibilidades de error a la hora de gestionar el
incidente.
DISPOSITIVOS A ANALIZAR DENTRO DEL
CÓMPUTO FORENSE.
1. SISTEMAS DE COMPUTACIÓN ABIERTOS, son aquellos que están
compuestos de las llamadas computadores personales y todos sus periféricos
como teclados, ratones y monitores, las computadoras portátiles, y los servidores.
Actualmente estos computadores tiene la capacidad de guardar gran cantidad de
9. INFORMÁTICA FORENSE
P á g i n a 9 | 15
información dentro de sus discos duros, lo que los convierte en una gran fuente de
evidencia digital.
2. SISTEMAS DE COMUNICACIÓN, estos están compuestos por las redes de
telecomunicaciones, la comunicación inalámbrica y el Internet. Son también una
gran fuente de información y de evidencia digital.
3. SISTEMAS CONVERGENTES DE COMPUTACIÓN, son los que están
formados por los teléfonos celulares llamados inteligentes o SMARTPHONES, los
asistentes personales digitales PDAs, las tarjetas inteligentes y cualquier otro
aparato electrónico que posea convergencia digital y que puede contener
evidencia digital.
La infraestructura informática que puede ser analizada puede ser toda
aquella que tenga una Memoria (informática), por lo que se pueden analizar los
siguientes dispositivos:
Disco duro de una Computadora o Servidor
Documentación referida del caso.
Logs de seguridad.
Credenciales de autentificación
Trazo de paquetes de red.
Teléfono Móvil o Celular, parte de la telefonía celular,
Agendas Electrónicas (PDA)
Dispositivos de GPS.
Impresora
Memoria USB
10. INFORMÁTICA FORENSE
P á g i n a 10 | 15
CRIMINALISTICA DIGITAL.
El Peritaje Informático
Se refiere a los estudios de investigaciones orientados a la obtención de
una prueba o evidencia electrónica de aplicación en un asunto judicial o
extrajudicial para que sirva para decidir sobre la culpabilidad o inocencia de una
de las partes.
Los Peritajes Extrajudiciales se dan cuando se requieren para un arbitraje o
para un particular, ya sea para aclarar un litigio con otra persona, para conocer
más sobre una materia o como consultoría previa antes de presentar una
demanda. El Peritaje Judicial sería la investigación orientada a obtener pruebas
para presentarlas en un juicio. Al finalizar El Peritaje Informático, el equipo de
Evidencias Informáticas emitirá un Informe Pericial que servirá como prueba en
asuntos relacionados con:
Uso irregular del correo electrónico
Abuso de los sistemas informáticos
Violación de la seguridad
Piratería
Borrado intencionado de archivos
Comercio electrónico
Manipulación inadecuada de equipos, sabotajes
Cualquier otro tipo de delitos informáticos
El Informe Forense del equipo de Evidencias Informáticas incluirá:
Los datos completos del cliente.
Los objetivos del peritaje informático.
Declaración de profesionalidad, independencia y veracidad del perito
informático.
11. INFORMÁTICA FORENSE
P á g i n a 11 | 15
Informe sobre el proceso de obtención de pruebas y acciones llevadas a
cabo durante el proceso.
Conclusiones y resultados del peritaje informático.
El perito informático de Evidencias Informáticas que hubiera elaborado el
informe, testificaría en un juicio para aportar las conclusiones de la investigación
forense como experto cualificado.
ASUNTOS RELACIONADOS. (EJEMPLOS)
Infografía forense.
Técnica informática de graficación que aplica conocimientos métodos y
técnicas para: Inspección y registro integral y tridimensional de los escenarios,
indicios y víctimas. Reconstrucción animada tridimensional de hechos delictivos.
Espectrografía forense.
Mediante un espectrógrafo de voces, el perito utiliza una computadora para
analizar las características de una huella vocal:
Iridología forense.
Identificador de iris.
Sistema privium.
PARA PERSONAS VIVAS, la identificación computarizada del iris es
infalible, ya que hay una mínima probabilidad que dos iris de dos personas sean
idénticos, reconoce uno o ambos iris del ojo humano.
Genética forense.
Aplica conocimientos, métodos y técnicas, para el estudio y análisis de
indicios biológicos (tejidos, fluidos corporales), procedentes del cuerpo humano o
de algún escenario, en objetos, en el sospechoso para comparación, con objeto de
12. INFORMÁTICA FORENSE
P á g i n a 12 | 15
establecer el código el código genético o huella dactilar genética para
comparaciones e identificaciones.
*se aplica en casos de homicidio, lesiones, paternidad o maternidad dudosa y
establecer identidades de víctimas y restos humanos.
Sistema computarizado identix.
Sistema de identificación facial que captura una imagen digital. Los
caracteres morfológicos y mesurativos son codificados y luego comparados con
otros valores asignados a las imágenes en la base de datos, para determinar si
existe un rostro que coincida.
Microscopio electrónico de barrido.
Permite ver lo invisible a través de los 50 mil aumentos del microscópico,
localiza todo tipo de evidencias microscópicas sobre diversos soportes como
metal, madera etc.
Sistema fisch.
Estudia y compara escrituras o firmas manuscritas, tarjetas de crédito,
letras, pagares etc., contra las escrituras o firmas testigo de los sospechosos, así
como contra las grafías que se encuentren memorizadas en las bases de datos de
delincuentes fichados por falsificación y fraude con el objeto de identificar al
falsario.
Sistema Foster Freeman.
Para el análisis forense de documentos a efecto de establecer:
autenticidades, alteraciones o falsedades de las escrituras y números que
contenga. También existe el móvil doc. color sirve para detección de alteraciones
de documentos, como borrados mecánicos y químicos, así como para
identificación de marcas de agua, marcas de seguridad UV y distinción de tintas y
lápices.
13. INFORMÁTICA FORENSE
P á g i n a 13 | 15
Sistema ESDA.
Aparato de detección electroestática y lector usado para revelar y hacer
visibles escrituras cursivas y tipográficas impresas de manera inadvertida en las
hojas subyacentes a las originales que se escriben.
CONCLUSIÓN
Se ha enfocado el tema desde el punto de vista de una herramienta
indispensable que toda organización debe contemplar dentro de su política de
seguridad y enmarcada dentro del proceso de respuesta a incidentes en los
sistemas informáticos.
Se ha intentado destacar la necesidad imperiosa de aplicar metodologías y
procedimientos específicos con el fin de asegurar la garantía de calidad de las
evidencias durante todo el proceso forense, haciendo hincapié en la recopilación y
custodia de las evidencias digitales. Se han expuesto también las diferencias a la
hora de llevar a cabo un análisis forense en dos de los sistemas operativos más
extendidos, MS Windows y UNIX/Linux, y cómo podemos disponer de
herramientas software específicas que nos pueden ayudar en el análisis, sin entrar
en las de tipo hardware por motivos de espacio y tiempo.
14. INFORMÁTICA FORENSE
P á g i n a 14 | 15
Bibliografía
Alto Nivel. (25 de noviembre de 2010). Alto Nivel. Obtenido de ¿Qué es la Informática Forense?:
http://www.altonivel.com.mx/7102-que-es-la-informatica-forense.html
Cruz, J. A. (2006). Herramienta de Apoyo para el Análisis Forenses de Computadoras. España:
Openlira.
DOMINGUEZ, F. L. (2013). "INTRODUCCIÓN A LA INFORMÁTICA FORENSE". RA-MA EDITORIAL.
EcuRed. (06 de mayo de 2016). EcuRed. Obtenido de Informática Forense:
http://www.ecured.cu/Inform%C3%A1tica_Forense
Francisca Rodríguez Más, A. D. (s.f.). Derecho y Cambio Social . Obtenido de LA INFORMÁTICA
FORENSE:: http://www.derechoycambiosocial.com/revista025/informatica_forense.pdf
Giovanni Zuccardi, J. D. (noviembre de 2006). Informática Forense. Obtenido de ¿Qué es la
Informática Forense?:
http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20F
orense%20v0.6.pdf
Informática Forense. (s.f.). Obtenido de Informática Forense:
http://www.informaticaforense.com.ar/informatica_forense.htm
informaticaforense.com. (01 de abril de 2016). Informática Forense. Obtenido de Peritajes
informáticos: http://www.informaticaforense.com/criminalistica/