SlideShare una empresa de Scribd logo

Definiciones Legales y Procedimientos Informáticos Forenses

Descargar como PPTX, PDF
N
NahuelLeandroSagardo

Este documento proporciona una guía sobre los procedimientos y buenas prácticas en materia de pericias informáticas. Explica los primeros pasos del procedimiento de pericia, incluyendo la adquisición de la evidencia digital, el marco legal relevante en Argentina, y los pasos a seguir durante un allanamiento para asegurar la preservación de la cadena de custodia de la evidencia.

Datos y análisis
1 de 82
Definiciones Legales , Guía de Procedimientos y Buenas Practicas
Nahuel L. Sagardoy B. # Forense informático - LACCCF # Metasploit Specialist - UTN VHGroup # Co-Founder – Hefin.net # Cyber Security Architect – EducacionIT (Pend) # Eternal Student – Hack The Planet nahuel.sagardoy@hefin.net Hacking Ético
Es el conjunto de métodos, teorías y técnicas de varias disciplinas científicas y analíticas, que brindan soporte de preservación y análisis de una prueba indiciaria. “La prueba indiciaria o indirecta es aquella que permite dar por acreditados en un proceso judicial unos hechos sobre los que no existe una prueba directa, pero que a partir de estimar probados otros hechos relacionados con los que se pretende probar, cabe deducir razonadamente la certeza o acreditación de éstos últimos”
La informática forense se utiliza como un método probatorio , el cual desarrolla técnicas periciales de identificación, recolección, reproducción y análisis de evidencia con fines legales.
Comprendemos por “Prueba Pericial Informático Forense” al dictamen del perito en conjunto de pruebas documentales informáticas analógicas
Marco Legal – Argentina 2019 “Todo acto o conducta ilícita cometida en un hecho digital como medio o fin.” – Nahuel Sagardoy Si bien las definiciones cambian según el autor y estas son varias, podríamos obtener la anteriormente mencionada como guía, ya que la cantidad de delitos relacionados con datos digitales, redes, computadoras y sistemas son tantos, que nos encontramos con la necesidad de crear una definición que nuclee todos estos delitos bajo el nombre de “Delitos Informáticos” Dicho eso podemos Comprender que : Son todos aquellos delitos, tipificados en el código penal, que hacen uso indebido de cualquier medio o sistema informático.
Marco Legal – Argentina 2019 LEY 26.388 LEY 25.326 LEY 26.904 Tratado de Budapest LEY 24.766 LEY 11.723
Clasificación / Tipificación Calumnias , calumnias y difamaciones Amenazas Delitos contra la propiedad intelectual Pornografía infantil Acceso indebido a sistemas informáticos Fraude informático Instigación a cometer delitos Grooming Extorsión Daño informático
Procedimiento primeros pasos * Encase, Os Forensic y Autopsy son por lo general los programas mas utilizados a la hora de realizar pericias informáticas. *Estos se encuentran avalados por el instituto nacional para estándares y tecnología (NIST). *Los tres tienen la finalidad de iniciar un caso, analizar el contenido y presentarlo cumpliendo con las normativas vigentes.
Procedimiento primeros pasos #* Ya a nivel Mobil (celular), predomina el Hardware sobre el software, sin embargo las alternativas digitales mas productivas o utilizadas son, Cellebrite (software edition), oxygen forensic, Access Data MPEP, Santoku (Linux OS), etc. #* Cellbrite es el líder Estandard a nivel Hardware dado que su practica presentación TOUCH nos permite realizar en simples pasos el desbloqueo del equipo y la copia bit a bit, ya a nivel de avería se inclina al uso del famoso octopus y la técnica de chipoff, obteniendo datos en crudo del celular en cuestión a pericia.
Procedimiento primeros pasos
Procedimiento primeros pasos
Procedimiento primeros pasos
Procedimiento primeros pasos
Procedimiento primeros pasos La cadena de Custodia tiene como finalidad preservar la prueba. Por tal motivo debe establecérselos procedimientos indicados para garantizar la idoneidad de los métodos aplicados para la obtención de la evidencia informática.
Procedimiento primeros pasos Lugar del Hecho Área de Evidencia UFI MPF UDT-UFIE D.I.D.C. ENVIAR EVIDENCIA INFORMÁTICA ALMACENAR ENVIAR EVIDENCIA + OFICIO + DESIGNACIÓN REMITIR INFORME + EVIDENCIA La preservación de la cadena de custodia sobre la prueba indiciaria es obligación de la totalidad de los miembros del poder juncial, los operadores del derecho y de sus auxiliares directos.
Procedimiento primeros pasos Esta etapa corresponde a inteligencia, en la misma se deberá adquirir la máxima información posible sobre la infraestructura y sistema informático existente. Ya que con esta información se procederá a elaborar una planificación que permitirá realizar el secuestro de los elementos necesarios que puedan contener material probatorio.
Procedimiento primeros pasos La labor de identificar debe llevarse a cabo teniendo un amplio conocimiento sobre los distintos dispositivos y medios de almacenamiento. Es decir, aunque muchos textos apunten sobre todo a computadores de escritorio, netbook, notebook, tablet, celulares, cámaras y memorias usb. También debemos comprender que existen millones mas, como memorias ocultas, cámaras espías, grabadores de audio, micro computadoras, consolas de videojuego, routers con almacenamiento, etc.
Procedimiento primeros pasos Si bien por ausencia de recursos muchos instructivos recomiendan mayormente la utilización de precintos o fajas de seguridad al momento de secuestrar los elementos informático, cabe destacar que por buenas practicas y para una mejor defensa al horario de defender nuestro procedimiento, se intenta utilizar Gabinetes especiales de resguardo, jaulas Faraday para eliminar cualquier nivel estático proveniente del exterior como así mismo la utilización remota y alteración de los dispositivos, etc.
Procedimiento primeros pasos Los operadores judiciales realizan una minuciosa investigación y consultas con el objetivo de eliminar ambigüedades y establecer de forma concreta los puntos de pericia en el oficio donde se apuntara los elementos secuestrados y proveerá la información para la realización del correcto análisis forense.
Procedimiento primeros pasos Las audiencias son llevadas a cabo en condiciones acordadas con el organismo que así las solicite y teniendo en cuenta el cronograma interno de la oficina. El solicitante deberá remitir la información necesaria para despejar toda incertidumbre posible sobre las tareas que se realizaran.
Procedimiento primeros pasos El mismo es responsabilidad del personal policial a cargo del operativo (DDI, PFA, etc.), por ende, todo personal que intervenga en la cadena de custodia deberá dejar registrada su intervención en el acá de secuestro. ( sanciones previstas art 254 y 255 del Código Penal Argentino). La recepción de los elementos secuestrados se realiza cotejando la integridad y presencia de los precintos y fajas de seguridad conforme al procedimiento y protocolo procedimental, en el caso de observar anomalías y discrepancias, se procede con dejar constancia de esto en el acta de recepción.
Procedimiento primeros pasos El mismo se lleva a cabo de procedimientos legales validos regidos en la actualidad según los estándares y buenas practicas, con el objetivo de obtener resultados en tiempo y forma sustentados técnica y legalmente. Las actividades periciales "in situ" en la actualidad resultan dificultosas dado los tiempos que estas requieren, por eso mismo en general se opta por el secuestro protocolar y el análisis en los laboratorios forenses en condiciones ideales y son los recursos adecuados garantizando los resultados del mismo. Así mismo la ausencia de personal Informático forense como criminalistas informáticos en la actualidad hace que dicha labor "in situ" sea imposible en todos los allanamientos realizados.
Procedimiento primeros pasos Sera presentado utilizando los estándares para la presentación de reportes forenses. En la actualidad el documental informático forense como informe intenta reducir el volumen de información en soporte papel , dando espacio a información complementaria en soporte digital. El lenguaje utilizado será técnico, sin embargo se utilizan comentarios en lenguaje coloquial universal cuando este se requiera para la comprensión de no técnicos. Se imprimirá un informe para presentar al organismo requirente y una copia para ser resguardo en oficina.
Procedimiento primeros pasos Dichos elementos se mantendrán al resguardo con los medios adecuando para preservar la integridad y autenticidad de la invidencia hasta finaliza el proceso judicial. Luego serian remitidos al organismo de origen junto al informe correspondiente.
Pasos Durante el Allanamiento Se debe separar a las personas que utilicen equipos informáticos lo ante posible. En el caso empresaria, se debe identificar al personal informático interno o a los usuarios del sistema especifico a realizar la pericia. Labrar acta de registro donde figure los usuarios y/o dueños de los dispositivos. En caso de ser posible solicitar y obtener las contraseñas de acceso a sistemas y dispositivos. (no es posible exigir de manera legal que nos entreguen la contraseña en el caso de que un usuario se niegue sin embargo, si el acceso corresponde a una huella dactilar, en ese caso si se puede proceder a exigir el desbloqueo correspondiente y así quitarlo, dejando desbloqueado el dispositivo)
Pasos Durante el Allanamiento Se debe fotografiar una toma completa del lugar donde se procesa a secuestrar dispositivos, como así mismo realizarlo a los equipos e instalaciones correspondientes antes secuestrarlos constatando si estos estas con pantallas encendidos. En el caso extraordinario de ser necesario la realizarse adquisición de información in situ, es conveniente registrar en video las acciones a llevara cabo a ojo de los testigos. Evitar el contacto del material informático sin uso de guantes descartables. Ya que dependiendo de la investigación, el teclado, el mouse, o cualquier fuese el dispositivo secuestrado, podría ser utilizado para el análisis de huellas dactilares, levantamiento de ADN, etc. Si se tiene conocimiento con que no se realizaran este tipo de pericias , se puede proceder sin guantes descartables al secuestro de los mismos.
Pasos Durante el Allanamiento El equipo debe quedar en el mismo estado en que se lo secuestra, ( si esta apagado debe quedar apagado y si esta encendido, debe quedar encendido) siendo necesario una alimentación externa para que este quede encendido, la modalidad de apagado mas utilizada es desconectando el cable de alimentación desde la parte trasera del gabinete. Sin embargo la labor ante un especialista podría diferir en el caso de necesitar previamente realizar un volcado de memoria RAM, credenciales de acceso y/o cualquier otro elemento que se pierde por falta de suministro eléctrico. En el caso de que el dispositivo este apagado se procederá de desconectarlo de la red eléctrica normalmente. Si los equipos son notebook o notebook, se recomienda quitar la batería de manera estándar, aunque en muchos casos los especialistas pueden solicitar que simplemente se cierre el equipo para mantener una versión de hibernación de dicho equipo y obtener mas datos, cabe destacar proceder a secuestrar los cables y fuente de alimentación de estos dispositivos. En el caso de telefonía móvil aunque muchos siguen el procedimiento protocolar de la notebook / notebook y retiran la batería o apagan el dispositivo para evitar ser alterado, es conveniente que este quede en el estado que se lo encontró y almacenarlo dentro de una jaula Faraday.
Pasos Durante el Allanamiento Identificar si existen equipos que estén conectados a una línea telefónica y en su caso el numero telefónico registrarlo en el acta de allanamiento Impedir la utilización de los dispositivos a secuestrar por parte del personal presente que fuese, dado que la navegación por directorios o intento de visualización de la información podría alterar u ocasionar la perdida de la evidencia digital. Identificar todo el material secuestrado Se debe obviar los almacenamientos de poco volúmenes de datos (DVD, cd, etc. ), excepto que se tenga una fuerte presunción de hallar evidencia en estos o que la situación así lo requiera.
Pasos Durante el Allanamiento El hardware que se va a secuestrar se debe roturar con los siguientes datos: Para computadoras, notebooks, netbooks, celulares, cámaras digitales, etc.: N° del expediente judicial, fecha y hora, Numero de Serie, Fabricante, Modelo. Para DVD´s , CD´s, Pendrives, etc.: Almacenarlos en conjunto en un sobre antiestático, indicando N° del expediente judicial, Tipo (DVDs, CDs, Pendrives, etc) y Cantidad. En el caso de estar ante presencia de dispositivos y/o periféricos muy específicos conectados a los equipos informáticos a secuestrar, se debe registrar mediante fotografía a los mismos, el como están conectados y etiquetar los cables de conexión respecto a la misma.
Pasos Durante el Allanamiento Utilizar bolsas especiales antiestáticas y/o jaula de Faraday siendo posible para almacenar los dispositivos de almacenamiento electromagnéticos a secuestrar siendo estos discos duros o celulares, etc. En el caso de no poseer, se pueden utilizar bolsas de papel madera, evitar el uso de bolsas plásticas, dado que estas pueden causar una descarga eléctrica ocasionando la destrucción de los datos. Precintar cada equipo informático, bloqueando todas sus entradas eléctricas como toda todo puerto de conexión y parte que pueda ser abierta y/o removida. Manipular los elementos secuestrados con extrema cautela, resguardarlos en un lugar limpio y son temperaturas dentro del rango normal y fuera de todo campo electromagnético. Mantener la cadena de custodia del material informático transportado.
Pasos Durante el Allanamiento Numero de Serie: Identificador único e irrepetible. Fecha y Hora : realización de secuestro de evidencia informática. Lugar: Lugar del hecho. Evidencia informática: descripción de los elementos informáticos N° Oficio y Expte: se coloca si existe al momento de realizar el procedimiento. Realizado por y Firma: identidad de quien coloco la etiqueta de seguridad y firma. Testigo N° 1 y Firma: Identidad y forma del testigo. Testigo N° 2 y Firma: Identidad y forma del testigo.
Procedimiento primeros pasos
Etapa de Adquisición GENDARMERÍA NACIONAL ARGENTINA DIRECCIÓN DE POLICÍA CIENTÍFICA
Etapa de Adquisición * La copia forense, es una copia no igual sino que IDÉNTICA del dispositivo analizar, es decir, una copia bit a bit. * El dispositivo a realizar la copia debe poseer cierta características dependiendo de varios factores, si el mismo proviene de un secuestro, este debe presentar toda los aspectos fundamentales de la preservación de la cadena de custodia como así mismo haber cumplido con el protocolo paso a paso. En el caso de que seamos nosotros mismos quienes nos encontramos en la fase de secuestro presente a los dispositivos a secuestrar, debemos realizar paso a paso el procedimiento correspondiente para que se cumpla con lo que la ley manda. * La copia forense se avala del HASH ( algoritmo matemático que otorga como resultado un cadenera de caracteres UNICA), este es evaluado y comparado con el original para verificar la autenticación e integridad del mismo. * Nunca se trabaja con el original, ni con la copia, por lo general por buenas practicas y procedimientos correctos, se realiza la pericia a una segunda o tercer copia forense.
Etapa de Adquisición • La copia forense, puede realizarse tanto por Duplicadores de Discos , Estaciones dedicadas a dicha funcionalidad, hasta computadoras con software avalado por los entes que lo regulen para su correcto desempeño. • Entre los software nos podemos encontrar con los ya mencionados Encase , como por medio de FTK imager, DD, etc. • Tanto el software como el hardware empleado para dicha labor debe cumplir con los estándares para su función , de caso contrario todo el procedimiento puede ser desestimado a la hora de ser presentado en un juicio.
Etapa de Adquisición # Se identifica un conjunto de pruebas para ser tomadas como evidencia. # Recuperar los atributos del archivo # Relevar la mayor cantidad de evidencia digital (sin alterarla) GENDARMERÍA NACIONAL ARGENTINA DIRECCIÓN DE POLICÍA CIENTÍFICA
Autentificación de la Evidencia GENDARMERÍA NACIONAL ARGENTINA DIRECCIÓN DE POLICÍA CIENTÍFICA
Preguntas Frecuentes *- Información del Hardware de la Computadora *- Información de los programas instalados en la Computadora *- E-Mail | Correo Electrónico *- Historial de Navegación Web *- Logs del Sistema *- Dispositivos Multimedia ( Fotos | Videos) *- Documentos *- Elementos Eliminados *- Dispositivos Conectados *- Dispositivos desconectados (utilizados en alguna instancia) *- Contraseñas almacenadas *- etc ...
Preguntas Frecuentes *- Llamadas y SMS *- Historial Web *- Contraseñas almacenadas *- Historial de Ubicaciones Geográficas *- Historial de Voz *- Búsquedas *- Conversaciones de mensajerías instantáneas *- Archivos Multimedia (fotos | videos) *- Elementos eliminados ( fotos | videos | documentos) *- Conversaciones Eliminadas *- Audios enviados y recibidos *- ETC
Preguntas Frecuentes Si bien se recurre generalmente a nombrar dispositivos como computadoras o celulares, debemos tener en cuenta que se puede realizar pericia de un sinfín de dispositivos, desde Smart TV, impresoras alámbricas o inalámbricas, GPS, Consolas de Video Juegos, MP4, Raspberry, Centros de Domótica, hasta heladeras o lavarropas, hoy en día el famoso efecto IOT nos ofrece interminables opciones a la hora de realizar el labor.
Practica y Operativo *- Recuperación de Archivos *- Búsquedas de un "Target" especifico, sea tanto por una Magic Word (palabra clave) como por su extensión. *- Obtención de Fecha y Hora de archivo eliminado *- Detectar maniobras de encubrimiento *- Recuperación de Conversaciones eliminadas y/o contenidos de la misma *- Detectar adulteraciones en dispositivos *- Determinar la implicación de un dispositivo en un hecho *- Análisis de SIM. *- Obtención de información de interés para una causa. *- ETC
Practica y Operativo
Practica y Operativo *- Notebook o Workstation Móvil (software pericial integrado) *- Hardware UFED *- Bloqueado de Escritura (alternativa por software) *- Cables Power, Adaptadores varios. *- Discos de Almacenamiento ( Sanitizados) *- Guantes Descartables *- Zapatillas Eléctrica Multinorma con tomas universales y termina integrada *- Fuente 110/220v *- Maquina Grabadora | fotográfica (estilo GoPro) *- Switch *- Cables UTP *- Bolsas Antiestáticas
Practica y Operativo Se debe inventariar todo lo encontrado. Tomar fotografías de los equipos y conexiones tanto externas como internas Documentar Individualmente y en plano general
Practica y Operativo Fotografiar pantalla de los mismos, contactar si están encendidos o apagados Documentar
Practica y Operativo Al momento de iniciar con una pericia “in situ” (en lugar de los hechos) debemos tener en cuenta la Jerarquía de información relevante dependiendo su Volatilidad. Volátil : La misma ante perdida de suministro eléctrico se pierde, es por eso necesario su resguardo en tiempo y forma. * Usuarios Logueados * Registros del Procesador * Datos en Memoria Cache * Datos en Memoria RAM * Conexiones de Red * Procesos Activos * etc.
Practica y Operativo Desde la Consola de Comandos –CMD ( Windows) Podemos Obtener de manera Manual gran parte de los datos necesarios y relevantes de carácter Volátil. Comando = date /t && time /t Fecha y Hora del Sistema
Practica y Operativo Comando = whoami y query user Usuario Actual y Usuarios logueados
Practica y Operativo Comando = netstat –an Conexiones Activas El Comando - n muestra las conexiones en formato numérico - a muestra conexiones y puertos en escucha
Practica y Operativo Comando = ipconfig /all Conexiones Internet
Practica y Operativo Comando = systeminfo Información del sistema
Practica y Operativo Comando = tasklist Procesos Corriendo en el Sistema
Practica y Operativo Script Batch Podríamos resumir todos los comandos previamente vistos es un solo script con el objetivo de adquirir la información automáticamente y generar un reporte del mismo. title RECOLECTOR FORENSIC SYSTEM VOLATIL @echo off echo Reporte Forense Evidencia Digital > Reporte.txt echo ------------- >> Reporte.txt echo Fecha y Hora: >> Reporte.txt date /t && time /t >> Reporte.txt echo ------------- >> Reporte.txt echo Usuario Actual y Usuarios Logueados >> Reporte.txt whoami >> Reporte.txt query user >> Reporte.txt echo ------------- >> Reporte.txt echo conexiones activas >> Reporte.txt netstat –na >> Reporte.txt echo ------------- >> Reporte.txt echo configuracion de adaptador de red >> Reporte.txt ipconfig /all >> Reporte.txt echo ------------- >> Reporte.txt echo informacion del sistema >> Reporte.txt systeminfo >> Reporte.txt echo ------------- >> Reporte.txt procesos Corriendo >> Reporte.txt tasklist >> Reporte.txt echo ------------- >> Reporte.txt echo fin del Reporte Volatil >> Reporte.txt Guardar el Script .bat
Practica y Operativo Script Batch Así mismo podemos hacer consultar o generar un Script con el comando wmic WMIC /Output:STDOUT BIOS get /all /format:LIST - Info de la BIOS WMIC /Output:STDOUT CDROM get /all /format:LIST - Info Unidad CDROM WMIC /Output:STDOUT NICCONFIG get /all /format:LIST - Info del Adaptador o Tarjeta de Red WMIC /Output:STDOUT COMPUTERSYSTEM get /all /format:LIST - Info Sistema Operativo WMIC /Output:STDOUT DISKDRIVE get /all /format:LIST - Info Discos Duros WMIC /Output:STDOUT LOGICALDISK get /all /format:LIST - Info Discos Solidos WMIC /Output:STDOUT MEMPHYSICAL get /all /format:LIST - Info Memoria Ram WMIC /Output:STDOUT SERVICE get /all /format:LIST - Info de los Servicios WMIC /Output:STDOUT PROCESS get /all /format:LIST - Info de Los Procesos WMIC /Output:STDOUT STARTUP get /all /format:LIST - Info de los Programas de Inicio de Windows WMIC /Output:STDOUT ONBOARDDEVICE get /all /format:LIST - Info de la MotherBoard WMIC /Output:STDOUT RECOVEROS get /all /format:LIST - Info Errores del Sistema Operativo WMIC
Practica y Operativo Si bien no se debe instalar nada en el dispositivo a realizar la pericia con el objetivo de no alterar la evidencia, debemos comprender que el uso de herramientas digitales portables Pueden sernos de gran ayuda. SOFTWARE Access Data FTK Imager es un claro ejemplo de software que nos permite realizar un volcado de Memoria RAM.
Practica y Operativo Así mismo UsbDeview nos permite visualizar todos los dispositivos USB activos o contactos alguna vez al dispositivo en cuestión. SOFTWARE
Practica y Operativo Investigador 2.0 es un software Argentino que nos entrega un excelente reporte de todas las actividades que le tildemos a recolectar. SOFTWARE
Practica y Operativo Tequila OS - Agave64 SOFTWARE Se encuentra tanto en su presentación de Sistema Operativo Como en una estupenda Suite Portable para ser utilizada óptimamente tanto en Windows (portable) como en Linux (OS).
Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Principal Adquirir – Duplicar – Preservar
Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Análisis de Bitácoras Sus herramientas permiten obtener El historial de los navegadores web en cuestión como así mismo las ultimas actividades realizadas en el sistema.
Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Reconocimiento de Sistema Posee Herramientas que nos permiten obtener Información sobre los Procesos Corriendo, Discos Activos, Eventos, Actividades, Archivos Recientes abiertos, y muchas otras Auditorias de Sistema.
Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Recuperar Conjunto de herramientas que permiten la labor de recuperar fotografías, videos y cualquier fuese el archivo eliminado lógicamente del sistema operativo.
Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Redes Contraseñas almacenadas, Puertos Abiertos, conexiones establecidas, reconocimiento de red y dispositivos conectados a la misma, son una de las tantas opciones que nos presenta este segmento.
Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Suite Excelentes Software a la hora de realizar una pericia informática, permitiendo recolectar, analizar y presentar evidencia por medio de reportes de manera profesional.
Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Utilidades Reproducción de Archivos, visualización de metadatos, análisis de exif, verificación de técnicas de ocultamiento | ofuscación, búsqueda de archivos, acceso remoto y otras herramientas de mucha utilidad al horario de una labor in situ.
Practica y Operativo Desconectando la Red Por protocolo y buenas practicas se recomienda iniciar por la desconexión re la red, retirando todas las conexiones Visibles del Dispositivo a secuestrar. Sin embargo cabe destacar que este procedimiento podría realizar una perdida importantísima de evidencia digital dependiendo de la investigación en curso, y no siempre nos encontraremos con equipos con claras conexiones y/ líneas de cpu a router / modem, pudiendo visualizar dispositivos complejos o conexiones que requieren de mayor investigación para realizar su desconexión correcta.
Practica y Operativo Desconectando la Red Desconectar cable de Red de Modem al Router o ADSL / Coaxil dependiendo conexiones ISP Siempre y cuando la pericia no involucre el seguimiento, investigación o recolección de información pertinente a nodos activos en conexiones por medio de internet y la red analizada, debemos comprender que el bloqueo de toda conexión hacia y desde el exterior es una buena practica para evitar posibles ataque, alteraciones o sistemas con fines de eliminar rastros o huellas digitales.
Practica y Operativo Redes Wifi Activas y Disponibles Red Wifi PC Red Wifi Disp Móvil Registrar mediante fotografía e informe la red wifi conectada por los dispositivos a secuestrar y las disponibles. En muchos casos puede diferir de la red actual del domicilio allanado o podríamos encontrar redes ocultas y/o no visibles a la que tenemos conocimiento en relación al allanamiento. Documentar
Practica y Operativo Desconectando Suministro Electico Desconectar tirando del Cable, no utilizar la llave de apagado manual ya que esta podría estar adulterada con fines de destrucción de datos Se debe desconectar del suministro eléctrico de forma “brusca”, tirando del cable, o sea, no apagar de manera ordenada. Así nos aseguramos que durante el proceso de apagado no se ejecute ningún programa oculto que pueda alterar la información de los dispositivos de almacenamiento
Practica y Operativo Celulares y su Importancia Si bien puede o no ser el objetivo de la pericia en cuestión, la cantidad de información que nos puede ofrecer hoy en día un teléfono móvil es incalculable. Dicho esto podemos comprender que su secuestro y resguardo debe ser minuciosamente confeccionado y cada acción realizada debe ser bajo estricto conocimiento de las mismas. Dependiendo de casos extraordinarios o necesidades puntuales dichas acciones pueden variar.
Practica y Operativo Secuestro Teléfono Móvil Según el protocolo de actuación ante el secuestro de teléfonos celulares, se recomienda, siendo posible retirar la batería del celular, en caso contrario ponerlo a este en modo avión y luego apagarlo, para su resguardo correcto, proteger al mismo dentro de una Jaula Faraday y envolverlo con goma espuma, al igual que se actual con los medios de almacenamientos electromagnéticos secuestrados. Sin embargo en ciertos casos extraordinarios y/o necesarios para la futura recolección y análisis de evidencia digital, debemos tener en claro ciertos aspectos. Si apagamos el móvil y este posee un sistema avanzado de cifrado y no poseemos la forma de descifrar al mismo vamos a encontrar problemas a la hora de realizar la pericia. Así mismo existe la posibilidad de perdida de información valiosa Volátil. De caso contrario, al quedar encendido este podría, por su propia automatización, realizar alguna acción propia o secuenciada con fines de destruir evidencia digital del mismo.
Practica y Operativo Secuestro Teléfono Movil Faraday Bag Power Phone Si bien como mencionamos anteriormente los dispositivos deben quedar en sus respectivos estados al secuestrarlos (encendido / apagado), cabe destacar que el protocolo de teléfonos móviles varia como bien mencionamos, sin embargo al ser necesario que este quede encendido debemos poseer una bolsa farday correspondiente para su traslado, la misma puede poseer un power bank para mantener al celular con carga, de misma manera se debe recordar ponerlo a este en modo avión, dado que de dicha manera no quera en estado de búsqueda de señal consumiendo toda su energía.
Practica y Operativo Laboratorio – Primeros Pasos En el laboratorio debemos analizar varios factores antes de comenzar con el procedimiento de adquisición, análisis y preservación como segunda etapa a pericia luego de un secuestro de evidencia digital. Como primer paso y el mas importante, debemos controlar que se halla cumplido la cadena de custodia correspondiente antes de llegar a nuestras manos. Luego debemos evaluar el estado del mismo dispositivo, dado que no se procede de misma manera con uno terminal sin display, con táctil averiado o con la placa madre averiada. Dicho estado es fundamental para proceder a la preparación de la adquisición forense. El caso de avería extrema, teniendo los conocimientos propios y herramientas, procederemos con la reparación o realización de un Chip-off en el caso de ser necesario. De lo contario se enviara a técnicos para su Reparación correspondiente (Reballing seguramente en casos de dicha índole) para luego proceder con la pericia en cuestión.
Practica y Operativo Laboratorio – Hardware Utilizado Si bien aun se siguen utilizando equipos informáticos con software para la adquisición , análisis y reporte de evidencia digital obtenida de teléfonos móviles, ya dichos equipos se están desplazando por comodidad a hardware dedicado y de dimensiones portátiles. Cuando hablamos de hardware extracción en telefonía móvil nos referimos a "UFED" - Universal Forensic Extraction Device, como método. Sin embargo podemos mencionar empresas como lo son XRY, Cellebrite, Spektor, etc., las cuales fabrican estos dispositivos. En la actualidad la mas utilizada es UFED - Cellebrite en su versión actual Touch 2.
Practica y Operativo Laboratorio – Hardware Utilizado Estos dispositivos constan de computador central donde se conecta el dispositivo móvil a realizar la pericia correspondiente con su respectivo cable, cual el es solicitado por el software luego de seleccionar el modelo y marca de equipo y la acción solicitada por el personal forense. Estos cables se solicitan según si numeración. En su lateral contario se puede apreciar las ranuras correspondientes al ingreso de Dispositivos USB donde se presentara la evidencia e informe peritado por dicha herramienta.
Practica y Operativo Laboratorio – Hardware Utilizado Extracción lógica de los archivos, Extracción del sistema de archivos, Captura de imágenes, Captura de Instantáneas y Extracción Física ( copia forense) sorteando los bloqueos del dispositivo, son algunas de las tantas opciones que nos presenta dicho panel .
Practica y Operativo Laboratorio - Extracción El resumen de extracción permite seleccionar los ítems a analizar, se intenta incluir los relevantes para el caso, conociendo el mismo y así evitar la abundante prueba documental pericial informática. De caso contrario se realizará un informe completo de esta en formato digital.
Practica y Operativo Laboratorio - Informe El Informe final UFED o reporte, nos permite obtener un abundante estado de todos los aspectos del móvil a analizado garantizando, la precisión, la autenticidad y la integridad de los datos presentados, cumpliendo con las normativas y procedimientos forenses estándares. El cual debe ser presentado con toda prueba documental obtenida en el proceso de secuestro.
Definiciones Legales y Guía de Procedimientos y Buenas Practicas

Recomendados

6ª Oleada Observatorio Redes Sociales
6ª Oleada Observatorio Redes Sociales6ª Oleada Observatorio Redes Sociales
6ª Oleada Observatorio Redes SocialesThe Cocktail Analysis
 
Proyecto socio-tecnológico
Proyecto socio-tecnológicoProyecto socio-tecnológico
Proyecto socio-tecnológicoMahase Benjamin
 
Glosario de tic
Glosario de ticGlosario de tic
Glosario de ticshaunps3
 
Sinóptico Formación Crítica I PNFI L1
Sinóptico Formación Crítica I PNFI L1Sinóptico Formación Crítica I PNFI L1
Sinóptico Formación Crítica I PNFI L1Yaneira Reyes Cordero
 
Politica para el uso y desarrollo de software libre
Politica para el uso y desarrollo de software librePolitica para el uso y desarrollo de software libre
Politica para el uso y desarrollo de software libreJean Arteta
 
Distribuciones de software libre
Distribuciones de software libreDistribuciones de software libre
Distribuciones de software libreJosé Salcedo
 
ITIL: Qué es y para qué sirve
ITIL: Qué es y para qué sirveITIL: Qué es y para qué sirve
ITIL: Qué es y para qué sirveJose Sánchez del Rio
 
Elementos fundamentales del Plan Nacional de Ciencia,Tecnología e Innovación
Elementos fundamentales del Plan Nacional de Ciencia,Tecnología e InnovaciónElementos fundamentales del Plan Nacional de Ciencia,Tecnología e Innovación
Elementos fundamentales del Plan Nacional de Ciencia,Tecnología e Innovación619jesus
 

Recomendados

6ª Oleada Observatorio Redes Sociales
6ª Oleada Observatorio Redes Sociales6ª Oleada Observatorio Redes Sociales
6ª Oleada Observatorio Redes SocialesThe Cocktail Analysis
 
Proyecto socio-tecnológico
Proyecto socio-tecnológicoProyecto socio-tecnológico
Proyecto socio-tecnológicoMahase Benjamin
 
Glosario de tic
Glosario de ticGlosario de tic
Glosario de ticshaunps3
 
Sinóptico Formación Crítica I PNFI L1
Sinóptico Formación Crítica I PNFI L1Sinóptico Formación Crítica I PNFI L1
Sinóptico Formación Crítica I PNFI L1Yaneira Reyes Cordero
 
Politica para el uso y desarrollo de software libre
Politica para el uso y desarrollo de software librePolitica para el uso y desarrollo de software libre
Politica para el uso y desarrollo de software libreJean Arteta
 
Distribuciones de software libre
Distribuciones de software libreDistribuciones de software libre
Distribuciones de software libreJosé Salcedo
 
ITIL: Qué es y para qué sirve
ITIL: Qué es y para qué sirveITIL: Qué es y para qué sirve
ITIL: Qué es y para qué sirveJose Sánchez del Rio
 
Elementos fundamentales del Plan Nacional de Ciencia,Tecnología e Innovación
Elementos fundamentales del Plan Nacional de Ciencia,Tecnología e InnovaciónElementos fundamentales del Plan Nacional de Ciencia,Tecnología e Innovación
Elementos fundamentales del Plan Nacional de Ciencia,Tecnología e Innovación619jesus
 
Abordaje a la comunidad
Abordaje a la comunidadAbordaje a la comunidad
Abordaje a la comunidadtaninof
 
Firewall basics
Firewall basicsFirewall basics
Firewall basicsFredrick Hall
 
DDoS Attacks
DDoS AttacksDDoS Attacks
DDoS AttacksJignesh Patel
 
Catch-me if you can - TOR tricks for bots, shells and general hacking
Catch-me if you can - TOR tricks for bots, shells and general hackingCatch-me if you can - TOR tricks for bots, shells and general hacking
Catch-me if you can - TOR tricks for bots, shells and general hackingJan Seidl
 
Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030
Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030 Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030
Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030 estraluna08
 
Mentefacto internet
Mentefacto internetMentefacto internet
Mentefacto internetwendybarrero
 
UNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICA
UNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICAUNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICA
UNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICAdanieltizamo
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticakyaalena
 
Software libre
Software libreSoftware libre
Software librekyaalena
 
Nociones Fundamentales de Inteligencia Artificial
Nociones Fundamentales de Inteligencia ArtificialNociones Fundamentales de Inteligencia Artificial
Nociones Fundamentales de Inteligencia Artificialdennisrequena1
 
Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...
Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...
Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...Ianpierr Miranda
 
Ley Organica de Ciencia, Tecnologia e Innovacion - Venezuela
Ley Organica de Ciencia, Tecnologia e Innovacion - VenezuelaLey Organica de Ciencia, Tecnologia e Innovacion - Venezuela
Ley Organica de Ciencia, Tecnologia e Innovacion - VenezuelaIsnel Sayago
 
Aspectos éticos de la Ley RESORTE en Venezuela
Aspectos éticos de la Ley RESORTE en VenezuelaAspectos éticos de la Ley RESORTE en Venezuela
Aspectos éticos de la Ley RESORTE en VenezuelaJuan M. De Sousa
 
Delitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onuDelitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onuKarito Atarama Salazar
 
Pegasus, A spyware
Pegasus, A spywarePegasus, A spyware
Pegasus, A spywareManash Kumar Mondal
 
Departamento investigaciones de crimenes de alta tecnologia 5ta
Departamento investigaciones de crimenes de alta tecnologia 5taDepartamento investigaciones de crimenes de alta tecnologia 5ta
Departamento investigaciones de crimenes de alta tecnologia 5taMagnolia Antigua
 
Firewall and its purpose
Firewall and its purposeFirewall and its purpose
Firewall and its purposeRohit Phulsunge
 
Protección jurídica de los programas de cómputo
Protección jurídica de los programas de cómputoProtección jurídica de los programas de cómputo
Protección jurídica de los programas de cómputobrendaesparza1240091
 
Pnfa
PnfaPnfa
PnfaGiovanni Bastidas
 
N5 acceso no autorizado a sistemas de información
N5 acceso no autorizado a sistemas de informaciónN5 acceso no autorizado a sistemas de información
N5 acceso no autorizado a sistemas de informaciónMartinParraOlvera
 
Prueba pericial y cadena de custodia
Prueba pericial y cadena de custodiaPrueba pericial y cadena de custodia
Prueba pericial y cadena de custodiaHacking Bolivia
 
Computación Forense
Computación ForenseComputación Forense
Computación ForenseSandrag10
 

Más contenido relacionado

La actualidad más candente

Abordaje a la comunidad
Abordaje a la comunidadAbordaje a la comunidad
Abordaje a la comunidadtaninof
 
Catch-me if you can - TOR tricks for bots, shells and general hacking
Catch-me if you can - TOR tricks for bots, shells and general hackingCatch-me if you can - TOR tricks for bots, shells and general hacking
Catch-me if you can - TOR tricks for bots, shells and general hackingJan Seidl
 
Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030
Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030 Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030
Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030 estraluna08
 
Mentefacto internet
Mentefacto internetMentefacto internet
Mentefacto internetwendybarrero
 
UNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICA
UNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICAUNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICA
UNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICAdanieltizamo
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticakyaalena
 
Software libre
Software libreSoftware libre
Software librekyaalena
 
Nociones Fundamentales de Inteligencia Artificial
Nociones Fundamentales de Inteligencia ArtificialNociones Fundamentales de Inteligencia Artificial
Nociones Fundamentales de Inteligencia Artificialdennisrequena1
 
Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...
Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...
Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...Ianpierr Miranda
 
Ley Organica de Ciencia, Tecnologia e Innovacion - Venezuela
Ley Organica de Ciencia, Tecnologia e Innovacion - VenezuelaLey Organica de Ciencia, Tecnologia e Innovacion - Venezuela
Ley Organica de Ciencia, Tecnologia e Innovacion - VenezuelaIsnel Sayago
 
Aspectos éticos de la Ley RESORTE en Venezuela
Aspectos éticos de la Ley RESORTE en VenezuelaAspectos éticos de la Ley RESORTE en Venezuela
Aspectos éticos de la Ley RESORTE en VenezuelaJuan M. De Sousa
 
Delitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onuDelitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onuKarito Atarama Salazar
 
Departamento investigaciones de crimenes de alta tecnologia 5ta
Departamento investigaciones de crimenes de alta tecnologia 5taDepartamento investigaciones de crimenes de alta tecnologia 5ta
Departamento investigaciones de crimenes de alta tecnologia 5taMagnolia Antigua
 
Firewall and its purpose
Firewall and its purposeFirewall and its purpose
Firewall and its purposeRohit Phulsunge
 
Protección jurídica de los programas de cómputo
Protección jurídica de los programas de cómputoProtección jurídica de los programas de cómputo
Protección jurídica de los programas de cómputobrendaesparza1240091
 
N5 acceso no autorizado a sistemas de información
N5 acceso no autorizado a sistemas de informaciónN5 acceso no autorizado a sistemas de información
N5 acceso no autorizado a sistemas de informaciónMartinParraOlvera
 

La actualidad más candente (20)

Abordaje a la comunidad
Abordaje a la comunidadAbordaje a la comunidad
Abordaje a la comunidad
 
Firewall basics
Firewall basicsFirewall basics
Firewall basics
 
DDoS Attacks
DDoS AttacksDDoS Attacks
DDoS Attacks
 
Catch-me if you can - TOR tricks for bots, shells and general hacking
Catch-me if you can - TOR tricks for bots, shells and general hackingCatch-me if you can - TOR tricks for bots, shells and general hacking
Catch-me if you can - TOR tricks for bots, shells and general hacking
 
Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030
Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030 Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030
Plan Nacional de Ciencia, Tecnología e Innovación 2005-2030
 
Mentefacto internet
Mentefacto internetMentefacto internet
Mentefacto internet
 
UNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICA
UNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICAUNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICA
UNIDAD II VINCULACIONES DE LOS PLANES DE GOBIERNO CON EL P.N.F INFORMATICA
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Software libre
Software libreSoftware libre
Software libre
 
Nociones Fundamentales de Inteligencia Artificial
Nociones Fundamentales de Inteligencia ArtificialNociones Fundamentales de Inteligencia Artificial
Nociones Fundamentales de Inteligencia Artificial
 
Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...
Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...
Proyecto de Aplicación-Implementación de una INTRANET = Colegio Sagrado Coraz...
 
Ley Organica de Ciencia, Tecnologia e Innovacion - Venezuela
Ley Organica de Ciencia, Tecnologia e Innovacion - VenezuelaLey Organica de Ciencia, Tecnologia e Innovacion - Venezuela
Ley Organica de Ciencia, Tecnologia e Innovacion - Venezuela
 
Aspectos éticos de la Ley RESORTE en Venezuela
Aspectos éticos de la Ley RESORTE en VenezuelaAspectos éticos de la Ley RESORTE en Venezuela
Aspectos éticos de la Ley RESORTE en Venezuela
 
Delitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onuDelitos informáticos reconocidos por la onu
Delitos informáticos reconocidos por la onu
 
Pegasus, A spyware
Pegasus, A spywarePegasus, A spyware
Pegasus, A spyware
 
Departamento investigaciones de crimenes de alta tecnologia 5ta
Departamento investigaciones de crimenes de alta tecnologia 5taDepartamento investigaciones de crimenes de alta tecnologia 5ta
Departamento investigaciones de crimenes de alta tecnologia 5ta
 
Firewall and its purpose
Firewall and its purposeFirewall and its purpose
Firewall and its purpose
 
Protección jurídica de los programas de cómputo
Protección jurídica de los programas de cómputoProtección jurídica de los programas de cómputo
Protección jurídica de los programas de cómputo
 
Pnfa
PnfaPnfa
Pnfa
 
N5 acceso no autorizado a sistemas de información
N5 acceso no autorizado a sistemas de informaciónN5 acceso no autorizado a sistemas de información
N5 acceso no autorizado a sistemas de información
 

Similar a Definiciones Legales y Procedimientos Informáticos Forenses

Prueba pericial y cadena de custodia
Prueba pericial y cadena de custodiaPrueba pericial y cadena de custodia
Prueba pericial y cadena de custodiaHacking Bolivia
 
Computación Forense
Computación ForenseComputación Forense
Computación ForenseSandrag10
 
Presentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosPresentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosCésar Villamizar Núñez
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Alonso Caballero
 
Computación forense
Computación forenseComputación forense
Computación forensemarcoacruz12
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Eventos Creativos
 
Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012Alejandro BATISTA
 
Manual de manejo de evidencias digitales
Manual de manejo de evidencias digitalesManual de manejo de evidencias digitales
Manual de manejo de evidencias digitalesMAURO666
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forensedavid475023
 
INFORMÁTICA FORENSE
INFORMÁTICA FORENSEINFORMÁTICA FORENSE
INFORMÁTICA FORENSEEnmerLR
 
Forensia digital
Forensia digitalForensia digital
Forensia digitalLely53
 

Similar a Definiciones Legales y Procedimientos Informáticos Forenses (20)

Prueba pericial y cadena de custodia
Prueba pericial y cadena de custodiaPrueba pericial y cadena de custodia
Prueba pericial y cadena de custodia
 
Computación Forense
Computación ForenseComputación Forense
Computación Forense
 
Presentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticosPresentacion unipamplona delitos informaticos
Presentacion unipamplona delitos informaticos
 
Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"Webinar Gratuito "Informática Forense"
Webinar Gratuito "Informática Forense"
 
Computación forense
Computación forenseComputación forense
Computación forense
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
15- Informatica forense
15- Informatica forense15- Informatica forense
15- Informatica forense
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012
 
cyb_pan_manual.pdf
cyb_pan_manual.pdfcyb_pan_manual.pdf
cyb_pan_manual.pdf
 
cyb_pan_manual.pdf
cyb_pan_manual.pdfcyb_pan_manual.pdf
cyb_pan_manual.pdf
 
Manual de manejo de evidencias digitales
Manual de manejo de evidencias digitalesManual de manejo de evidencias digitales
Manual de manejo de evidencias digitales
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forense
 
INFORMÁTICA FORENSE
INFORMÁTICA FORENSEINFORMÁTICA FORENSE
INFORMÁTICA FORENSE
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
Forensia digital
Forensia digitalForensia digital
Forensia digital
 

Último

Los artistas mexicanos con más ventas de discos en la historia (2024).pdf
Los artistas mexicanos con más ventas de discos en la historia (2024).pdfLos artistas mexicanos con más ventas de discos en la historia (2024).pdf
Los artistas mexicanos con más ventas de discos en la historia (2024).pdfJC Díaz Herrera
 
obras-hidraulicas.docxfffffffffffffffffff
obras-hidraulicas.docxfffffffffffffffffffobras-hidraulicas.docxfffffffffffffffffff
obras-hidraulicas.docxfffffffffffffffffffJefersonBazalloCarri1
 
Técnica palatina baja, anestesiología dental
Técnica palatina baja, anestesiología dentalTécnica palatina baja, anestesiología dental
Técnica palatina baja, anestesiología dentalIngrid459352
 
2 PROCESO ESTADISTICO PARA LA INVESTIGACION.pdf
2 PROCESO ESTADISTICO PARA LA INVESTIGACION.pdf2 PROCESO ESTADISTICO PARA LA INVESTIGACION.pdf
2 PROCESO ESTADISTICO PARA LA INVESTIGACION.pdfAnaBelindaArmellonHi
 
triptico-de-las-drogas en la adolescencia
triptico-de-las-drogas en la adolescenciatriptico-de-las-drogas en la adolescencia
triptico-de-las-drogas en la adolescenciaferg6120
 
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdfREPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdfIrapuatoCmovamos
 
Cuáles son las características biológicas que están marcadas en tu individual...
Cuáles son las características biológicas que están marcadas en tu individual...Cuáles son las características biológicas que están marcadas en tu individual...
Cuáles son las características biológicas que están marcadas en tu individual...israel garcia
 
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdfREPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdfIrapuatoCmovamos
 
LA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derechoLA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derechojuliosabino1
 
Data Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datosData Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datosssuser948499
 
Las mujeres más ricas del mundo (2024).pdf
Las mujeres más ricas del mundo (2024).pdfLas mujeres más ricas del mundo (2024).pdf
Las mujeres más ricas del mundo (2024).pdfJC Díaz Herrera
 
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdfPREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdfluisccollana
 
bases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria debases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria deCalet Cáceres Vergara
 
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,juberrodasflores
 
La importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresaLa importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresamerca6
 
SUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior UniversitariaSUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior Universitariachayananazcosimeon
 
tipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicacióntipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicaciónJonathanAntonioMaldo
 
Qué es un Histograma estadístico teoria y problema
Qué es un Histograma estadístico teoria y problemaQué es un Histograma estadístico teoria y problema
Qué es un Histograma estadístico teoria y problemaJoellyAlejandraRodrg
 
Unidad 3 Elementos y compuestos. Física y química
Unidad 3 Elementos y compuestos. Física y químicaUnidad 3 Elementos y compuestos. Física y química
Unidad 3 Elementos y compuestos. Física y químicaSilvia García
 
Critica 1 Grupo 10 RodrigoBenitez_GinaGadea_AlexisGonzález.pdf
Critica 1 Grupo 10 RodrigoBenitez_GinaGadea_AlexisGonzález.pdfCritica 1 Grupo 10 RodrigoBenitez_GinaGadea_AlexisGonzález.pdf
Critica 1 Grupo 10 RodrigoBenitez_GinaGadea_AlexisGonzález.pdfRodrigoBenitez38
 

Último (20)

Los artistas mexicanos con más ventas de discos en la historia (2024).pdf
Los artistas mexicanos con más ventas de discos en la historia (2024).pdfLos artistas mexicanos con más ventas de discos en la historia (2024).pdf
Los artistas mexicanos con más ventas de discos en la historia (2024).pdf
 
obras-hidraulicas.docxfffffffffffffffffff
obras-hidraulicas.docxfffffffffffffffffffobras-hidraulicas.docxfffffffffffffffffff
obras-hidraulicas.docxfffffffffffffffffff
 
Técnica palatina baja, anestesiología dental
Técnica palatina baja, anestesiología dentalTécnica palatina baja, anestesiología dental
Técnica palatina baja, anestesiología dental
 
2 PROCESO ESTADISTICO PARA LA INVESTIGACION.pdf
2 PROCESO ESTADISTICO PARA LA INVESTIGACION.pdf2 PROCESO ESTADISTICO PARA LA INVESTIGACION.pdf
2 PROCESO ESTADISTICO PARA LA INVESTIGACION.pdf
 
triptico-de-las-drogas en la adolescencia
triptico-de-las-drogas en la adolescenciatriptico-de-las-drogas en la adolescencia
triptico-de-las-drogas en la adolescencia
 
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdfREPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
 
Cuáles son las características biológicas que están marcadas en tu individual...
Cuáles son las características biológicas que están marcadas en tu individual...Cuáles son las características biológicas que están marcadas en tu individual...
Cuáles son las características biológicas que están marcadas en tu individual...
 
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdfREPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
 
LA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derechoLA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derecho
 
Data Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datosData Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datos
 
Las mujeres más ricas del mundo (2024).pdf
Las mujeres más ricas del mundo (2024).pdfLas mujeres más ricas del mundo (2024).pdf
Las mujeres más ricas del mundo (2024).pdf
 
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdfPREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
 
bases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria debases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria de
 
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
 
La importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresaLa importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresa
 
SUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior UniversitariaSUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior Universitaria
 
tipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicacióntipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicación
 
Qué es un Histograma estadístico teoria y problema
Qué es un Histograma estadístico teoria y problemaQué es un Histograma estadístico teoria y problema
Qué es un Histograma estadístico teoria y problema
 
Unidad 3 Elementos y compuestos. Física y química
Unidad 3 Elementos y compuestos. Física y químicaUnidad 3 Elementos y compuestos. Física y química
Unidad 3 Elementos y compuestos. Física y química
 
Critica 1 Grupo 10 RodrigoBenitez_GinaGadea_AlexisGonzález.pdf
Critica 1 Grupo 10 RodrigoBenitez_GinaGadea_AlexisGonzález.pdfCritica 1 Grupo 10 RodrigoBenitez_GinaGadea_AlexisGonzález.pdf
Critica 1 Grupo 10 RodrigoBenitez_GinaGadea_AlexisGonzález.pdf
 

Definiciones Legales y Procedimientos Informáticos Forenses

  • 1. Definiciones Legales , Guía de Procedimientos y Buenas Practicas
  • 2.
  • 3. Nahuel L. Sagardoy B. # Forense informático - LACCCF # Metasploit Specialist - UTN VHGroup # Co-Founder – Hefin.net # Cyber Security Architect – EducacionIT (Pend) # Eternal Student – Hack The Planet nahuel.sagardoy@hefin.net Hacking Ético
  • 4.
  • 5. Es el conjunto de métodos, teorías y técnicas de varias disciplinas científicas y analíticas, que brindan soporte de preservación y análisis de una prueba indiciaria. “La prueba indiciaria o indirecta es aquella que permite dar por acreditados en un proceso judicial unos hechos sobre los que no existe una prueba directa, pero que a partir de estimar probados otros hechos relacionados con los que se pretende probar, cabe deducir razonadamente la certeza o acreditación de éstos últimos”
  • 6. La informática forense se utiliza como un método probatorio , el cual desarrolla técnicas periciales de identificación, recolección, reproducción y análisis de evidencia con fines legales.
  • 7. Comprendemos por “Prueba Pericial Informático Forense” al dictamen del perito en conjunto de pruebas documentales informáticas analógicas
  • 8. Marco Legal – Argentina 2019 “Todo acto o conducta ilícita cometida en un hecho digital como medio o fin.” – Nahuel Sagardoy Si bien las definiciones cambian según el autor y estas son varias, podríamos obtener la anteriormente mencionada como guía, ya que la cantidad de delitos relacionados con datos digitales, redes, computadoras y sistemas son tantos, que nos encontramos con la necesidad de crear una definición que nuclee todos estos delitos bajo el nombre de “Delitos Informáticos” Dicho eso podemos Comprender que : Son todos aquellos delitos, tipificados en el código penal, que hacen uso indebido de cualquier medio o sistema informático.
  • 9. Marco Legal – Argentina 2019 LEY 26.388 LEY 25.326 LEY 26.904 Tratado de Budapest LEY 24.766 LEY 11.723
  • 10. Clasificación / Tipificación Calumnias , calumnias y difamaciones Amenazas Delitos contra la propiedad intelectual Pornografía infantil Acceso indebido a sistemas informáticos Fraude informático Instigación a cometer delitos Grooming Extorsión Daño informático
  • 11. Procedimiento primeros pasos * Encase, Os Forensic y Autopsy son por lo general los programas mas utilizados a la hora de realizar pericias informáticas. *Estos se encuentran avalados por el instituto nacional para estándares y tecnología (NIST). *Los tres tienen la finalidad de iniciar un caso, analizar el contenido y presentarlo cumpliendo con las normativas vigentes.
  • 12. Procedimiento primeros pasos #* Ya a nivel Mobil (celular), predomina el Hardware sobre el software, sin embargo las alternativas digitales mas productivas o utilizadas son, Cellebrite (software edition), oxygen forensic, Access Data MPEP, Santoku (Linux OS), etc. #* Cellbrite es el líder Estandard a nivel Hardware dado que su practica presentación TOUCH nos permite realizar en simples pasos el desbloqueo del equipo y la copia bit a bit, ya a nivel de avería se inclina al uso del famoso octopus y la técnica de chipoff, obteniendo datos en crudo del celular en cuestión a pericia.
  • 17. Procedimiento primeros pasos La cadena de Custodia tiene como finalidad preservar la prueba. Por tal motivo debe establecérselos procedimientos indicados para garantizar la idoneidad de los métodos aplicados para la obtención de la evidencia informática.
  • 18. Procedimiento primeros pasos Lugar del Hecho Área de Evidencia UFI MPF UDT-UFIE D.I.D.C. ENVIAR EVIDENCIA INFORMÁTICA ALMACENAR ENVIAR EVIDENCIA + OFICIO + DESIGNACIÓN REMITIR INFORME + EVIDENCIA La preservación de la cadena de custodia sobre la prueba indiciaria es obligación de la totalidad de los miembros del poder juncial, los operadores del derecho y de sus auxiliares directos.
  • 19. Procedimiento primeros pasos Esta etapa corresponde a inteligencia, en la misma se deberá adquirir la máxima información posible sobre la infraestructura y sistema informático existente. Ya que con esta información se procederá a elaborar una planificación que permitirá realizar el secuestro de los elementos necesarios que puedan contener material probatorio.
  • 20. Procedimiento primeros pasos La labor de identificar debe llevarse a cabo teniendo un amplio conocimiento sobre los distintos dispositivos y medios de almacenamiento. Es decir, aunque muchos textos apunten sobre todo a computadores de escritorio, netbook, notebook, tablet, celulares, cámaras y memorias usb. También debemos comprender que existen millones mas, como memorias ocultas, cámaras espías, grabadores de audio, micro computadoras, consolas de videojuego, routers con almacenamiento, etc.
  • 21. Procedimiento primeros pasos Si bien por ausencia de recursos muchos instructivos recomiendan mayormente la utilización de precintos o fajas de seguridad al momento de secuestrar los elementos informático, cabe destacar que por buenas practicas y para una mejor defensa al horario de defender nuestro procedimiento, se intenta utilizar Gabinetes especiales de resguardo, jaulas Faraday para eliminar cualquier nivel estático proveniente del exterior como así mismo la utilización remota y alteración de los dispositivos, etc.
  • 22. Procedimiento primeros pasos Los operadores judiciales realizan una minuciosa investigación y consultas con el objetivo de eliminar ambigüedades y establecer de forma concreta los puntos de pericia en el oficio donde se apuntara los elementos secuestrados y proveerá la información para la realización del correcto análisis forense.
  • 23. Procedimiento primeros pasos Las audiencias son llevadas a cabo en condiciones acordadas con el organismo que así las solicite y teniendo en cuenta el cronograma interno de la oficina. El solicitante deberá remitir la información necesaria para despejar toda incertidumbre posible sobre las tareas que se realizaran.
  • 24. Procedimiento primeros pasos El mismo es responsabilidad del personal policial a cargo del operativo (DDI, PFA, etc.), por ende, todo personal que intervenga en la cadena de custodia deberá dejar registrada su intervención en el acá de secuestro. ( sanciones previstas art 254 y 255 del Código Penal Argentino). La recepción de los elementos secuestrados se realiza cotejando la integridad y presencia de los precintos y fajas de seguridad conforme al procedimiento y protocolo procedimental, en el caso de observar anomalías y discrepancias, se procede con dejar constancia de esto en el acta de recepción.
  • 25. Procedimiento primeros pasos El mismo se lleva a cabo de procedimientos legales validos regidos en la actualidad según los estándares y buenas practicas, con el objetivo de obtener resultados en tiempo y forma sustentados técnica y legalmente. Las actividades periciales "in situ" en la actualidad resultan dificultosas dado los tiempos que estas requieren, por eso mismo en general se opta por el secuestro protocolar y el análisis en los laboratorios forenses en condiciones ideales y son los recursos adecuados garantizando los resultados del mismo. Así mismo la ausencia de personal Informático forense como criminalistas informáticos en la actualidad hace que dicha labor "in situ" sea imposible en todos los allanamientos realizados.
  • 26. Procedimiento primeros pasos Sera presentado utilizando los estándares para la presentación de reportes forenses. En la actualidad el documental informático forense como informe intenta reducir el volumen de información en soporte papel , dando espacio a información complementaria en soporte digital. El lenguaje utilizado será técnico, sin embargo se utilizan comentarios en lenguaje coloquial universal cuando este se requiera para la comprensión de no técnicos. Se imprimirá un informe para presentar al organismo requirente y una copia para ser resguardo en oficina.
  • 27. Procedimiento primeros pasos Dichos elementos se mantendrán al resguardo con los medios adecuando para preservar la integridad y autenticidad de la invidencia hasta finaliza el proceso judicial. Luego serian remitidos al organismo de origen junto al informe correspondiente.
  • 28. Pasos Durante el Allanamiento Se debe separar a las personas que utilicen equipos informáticos lo ante posible. En el caso empresaria, se debe identificar al personal informático interno o a los usuarios del sistema especifico a realizar la pericia. Labrar acta de registro donde figure los usuarios y/o dueños de los dispositivos. En caso de ser posible solicitar y obtener las contraseñas de acceso a sistemas y dispositivos. (no es posible exigir de manera legal que nos entreguen la contraseña en el caso de que un usuario se niegue sin embargo, si el acceso corresponde a una huella dactilar, en ese caso si se puede proceder a exigir el desbloqueo correspondiente y así quitarlo, dejando desbloqueado el dispositivo)
  • 29. Pasos Durante el Allanamiento Se debe fotografiar una toma completa del lugar donde se procesa a secuestrar dispositivos, como así mismo realizarlo a los equipos e instalaciones correspondientes antes secuestrarlos constatando si estos estas con pantallas encendidos. En el caso extraordinario de ser necesario la realizarse adquisición de información in situ, es conveniente registrar en video las acciones a llevara cabo a ojo de los testigos. Evitar el contacto del material informático sin uso de guantes descartables. Ya que dependiendo de la investigación, el teclado, el mouse, o cualquier fuese el dispositivo secuestrado, podría ser utilizado para el análisis de huellas dactilares, levantamiento de ADN, etc. Si se tiene conocimiento con que no se realizaran este tipo de pericias , se puede proceder sin guantes descartables al secuestro de los mismos.
  • 30. Pasos Durante el Allanamiento El equipo debe quedar en el mismo estado en que se lo secuestra, ( si esta apagado debe quedar apagado y si esta encendido, debe quedar encendido) siendo necesario una alimentación externa para que este quede encendido, la modalidad de apagado mas utilizada es desconectando el cable de alimentación desde la parte trasera del gabinete. Sin embargo la labor ante un especialista podría diferir en el caso de necesitar previamente realizar un volcado de memoria RAM, credenciales de acceso y/o cualquier otro elemento que se pierde por falta de suministro eléctrico. En el caso de que el dispositivo este apagado se procederá de desconectarlo de la red eléctrica normalmente. Si los equipos son notebook o notebook, se recomienda quitar la batería de manera estándar, aunque en muchos casos los especialistas pueden solicitar que simplemente se cierre el equipo para mantener una versión de hibernación de dicho equipo y obtener mas datos, cabe destacar proceder a secuestrar los cables y fuente de alimentación de estos dispositivos. En el caso de telefonía móvil aunque muchos siguen el procedimiento protocolar de la notebook / notebook y retiran la batería o apagan el dispositivo para evitar ser alterado, es conveniente que este quede en el estado que se lo encontró y almacenarlo dentro de una jaula Faraday.
  • 31. Pasos Durante el Allanamiento Identificar si existen equipos que estén conectados a una línea telefónica y en su caso el numero telefónico registrarlo en el acta de allanamiento Impedir la utilización de los dispositivos a secuestrar por parte del personal presente que fuese, dado que la navegación por directorios o intento de visualización de la información podría alterar u ocasionar la perdida de la evidencia digital. Identificar todo el material secuestrado Se debe obviar los almacenamientos de poco volúmenes de datos (DVD, cd, etc. ), excepto que se tenga una fuerte presunción de hallar evidencia en estos o que la situación así lo requiera.
  • 32. Pasos Durante el Allanamiento El hardware que se va a secuestrar se debe roturar con los siguientes datos: Para computadoras, notebooks, netbooks, celulares, cámaras digitales, etc.: N° del expediente judicial, fecha y hora, Numero de Serie, Fabricante, Modelo. Para DVD´s , CD´s, Pendrives, etc.: Almacenarlos en conjunto en un sobre antiestático, indicando N° del expediente judicial, Tipo (DVDs, CDs, Pendrives, etc) y Cantidad. En el caso de estar ante presencia de dispositivos y/o periféricos muy específicos conectados a los equipos informáticos a secuestrar, se debe registrar mediante fotografía a los mismos, el como están conectados y etiquetar los cables de conexión respecto a la misma.
  • 33. Pasos Durante el Allanamiento Utilizar bolsas especiales antiestáticas y/o jaula de Faraday siendo posible para almacenar los dispositivos de almacenamiento electromagnéticos a secuestrar siendo estos discos duros o celulares, etc. En el caso de no poseer, se pueden utilizar bolsas de papel madera, evitar el uso de bolsas plásticas, dado que estas pueden causar una descarga eléctrica ocasionando la destrucción de los datos. Precintar cada equipo informático, bloqueando todas sus entradas eléctricas como toda todo puerto de conexión y parte que pueda ser abierta y/o removida. Manipular los elementos secuestrados con extrema cautela, resguardarlos en un lugar limpio y son temperaturas dentro del rango normal y fuera de todo campo electromagnético. Mantener la cadena de custodia del material informático transportado.
  • 34. Pasos Durante el Allanamiento Numero de Serie: Identificador único e irrepetible. Fecha y Hora : realización de secuestro de evidencia informática. Lugar: Lugar del hecho. Evidencia informática: descripción de los elementos informáticos N° Oficio y Expte: se coloca si existe al momento de realizar el procedimiento. Realizado por y Firma: identidad de quien coloco la etiqueta de seguridad y firma. Testigo N° 1 y Firma: Identidad y forma del testigo. Testigo N° 2 y Firma: Identidad y forma del testigo.
  • 36. Etapa de Adquisición GENDARMERÍA NACIONAL ARGENTINA DIRECCIÓN DE POLICÍA CIENTÍFICA
  • 37. Etapa de Adquisición * La copia forense, es una copia no igual sino que IDÉNTICA del dispositivo analizar, es decir, una copia bit a bit. * El dispositivo a realizar la copia debe poseer cierta características dependiendo de varios factores, si el mismo proviene de un secuestro, este debe presentar toda los aspectos fundamentales de la preservación de la cadena de custodia como así mismo haber cumplido con el protocolo paso a paso. En el caso de que seamos nosotros mismos quienes nos encontramos en la fase de secuestro presente a los dispositivos a secuestrar, debemos realizar paso a paso el procedimiento correspondiente para que se cumpla con lo que la ley manda. * La copia forense se avala del HASH ( algoritmo matemático que otorga como resultado un cadenera de caracteres UNICA), este es evaluado y comparado con el original para verificar la autenticación e integridad del mismo. * Nunca se trabaja con el original, ni con la copia, por lo general por buenas practicas y procedimientos correctos, se realiza la pericia a una segunda o tercer copia forense.
  • 38. Etapa de Adquisición • La copia forense, puede realizarse tanto por Duplicadores de Discos , Estaciones dedicadas a dicha funcionalidad, hasta computadoras con software avalado por los entes que lo regulen para su correcto desempeño. • Entre los software nos podemos encontrar con los ya mencionados Encase , como por medio de FTK imager, DD, etc. • Tanto el software como el hardware empleado para dicha labor debe cumplir con los estándares para su función , de caso contrario todo el procedimiento puede ser desestimado a la hora de ser presentado en un juicio.
  • 39. Etapa de Adquisición # Se identifica un conjunto de pruebas para ser tomadas como evidencia. # Recuperar los atributos del archivo # Relevar la mayor cantidad de evidencia digital (sin alterarla) GENDARMERÍA NACIONAL ARGENTINA DIRECCIÓN DE POLICÍA CIENTÍFICA
  • 40. Autentificación de la Evidencia GENDARMERÍA NACIONAL ARGENTINA DIRECCIÓN DE POLICÍA CIENTÍFICA
  • 41. Preguntas Frecuentes *- Información del Hardware de la Computadora *- Información de los programas instalados en la Computadora *- E-Mail | Correo Electrónico *- Historial de Navegación Web *- Logs del Sistema *- Dispositivos Multimedia ( Fotos | Videos) *- Documentos *- Elementos Eliminados *- Dispositivos Conectados *- Dispositivos desconectados (utilizados en alguna instancia) *- Contraseñas almacenadas *- etc ...
  • 42. Preguntas Frecuentes *- Llamadas y SMS *- Historial Web *- Contraseñas almacenadas *- Historial de Ubicaciones Geográficas *- Historial de Voz *- Búsquedas *- Conversaciones de mensajerías instantáneas *- Archivos Multimedia (fotos | videos) *- Elementos eliminados ( fotos | videos | documentos) *- Conversaciones Eliminadas *- Audios enviados y recibidos *- ETC
  • 43. Preguntas Frecuentes Si bien se recurre generalmente a nombrar dispositivos como computadoras o celulares, debemos tener en cuenta que se puede realizar pericia de un sinfín de dispositivos, desde Smart TV, impresoras alámbricas o inalámbricas, GPS, Consolas de Video Juegos, MP4, Raspberry, Centros de Domótica, hasta heladeras o lavarropas, hoy en día el famoso efecto IOT nos ofrece interminables opciones a la hora de realizar el labor.
  • 44. Practica y Operativo *- Recuperación de Archivos *- Búsquedas de un "Target" especifico, sea tanto por una Magic Word (palabra clave) como por su extensión. *- Obtención de Fecha y Hora de archivo eliminado *- Detectar maniobras de encubrimiento *- Recuperación de Conversaciones eliminadas y/o contenidos de la misma *- Detectar adulteraciones en dispositivos *- Determinar la implicación de un dispositivo en un hecho *- Análisis de SIM. *- Obtención de información de interés para una causa. *- ETC
  • 46. Practica y Operativo *- Notebook o Workstation Móvil (software pericial integrado) *- Hardware UFED *- Bloqueado de Escritura (alternativa por software) *- Cables Power, Adaptadores varios. *- Discos de Almacenamiento ( Sanitizados) *- Guantes Descartables *- Zapatillas Eléctrica Multinorma con tomas universales y termina integrada *- Fuente 110/220v *- Maquina Grabadora | fotográfica (estilo GoPro) *- Switch *- Cables UTP *- Bolsas Antiestáticas
  • 47. Practica y Operativo Se debe inventariar todo lo encontrado. Tomar fotografías de los equipos y conexiones tanto externas como internas Documentar Individualmente y en plano general
  • 48. Practica y Operativo Fotografiar pantalla de los mismos, contactar si están encendidos o apagados Documentar
  • 49. Practica y Operativo Al momento de iniciar con una pericia “in situ” (en lugar de los hechos) debemos tener en cuenta la Jerarquía de información relevante dependiendo su Volatilidad. Volátil : La misma ante perdida de suministro eléctrico se pierde, es por eso necesario su resguardo en tiempo y forma. * Usuarios Logueados * Registros del Procesador * Datos en Memoria Cache * Datos en Memoria RAM * Conexiones de Red * Procesos Activos * etc.
  • 50. Practica y Operativo Desde la Consola de Comandos –CMD ( Windows) Podemos Obtener de manera Manual gran parte de los datos necesarios y relevantes de carácter Volátil. Comando = date /t && time /t Fecha y Hora del Sistema
  • 51. Practica y Operativo Comando = whoami y query user Usuario Actual y Usuarios logueados
  • 52. Practica y Operativo Comando = netstat –an Conexiones Activas El Comando - n muestra las conexiones en formato numérico - a muestra conexiones y puertos en escucha
  • 53. Practica y Operativo Comando = ipconfig /all Conexiones Internet
  • 54. Practica y Operativo Comando = systeminfo Información del sistema
  • 55. Practica y Operativo Comando = tasklist Procesos Corriendo en el Sistema
  • 56. Practica y Operativo Script Batch Podríamos resumir todos los comandos previamente vistos es un solo script con el objetivo de adquirir la información automáticamente y generar un reporte del mismo. title RECOLECTOR FORENSIC SYSTEM VOLATIL @echo off echo Reporte Forense Evidencia Digital > Reporte.txt echo ------------- >> Reporte.txt echo Fecha y Hora: >> Reporte.txt date /t && time /t >> Reporte.txt echo ------------- >> Reporte.txt echo Usuario Actual y Usuarios Logueados >> Reporte.txt whoami >> Reporte.txt query user >> Reporte.txt echo ------------- >> Reporte.txt echo conexiones activas >> Reporte.txt netstat –na >> Reporte.txt echo ------------- >> Reporte.txt echo configuracion de adaptador de red >> Reporte.txt ipconfig /all >> Reporte.txt echo ------------- >> Reporte.txt echo informacion del sistema >> Reporte.txt systeminfo >> Reporte.txt echo ------------- >> Reporte.txt procesos Corriendo >> Reporte.txt tasklist >> Reporte.txt echo ------------- >> Reporte.txt echo fin del Reporte Volatil >> Reporte.txt Guardar el Script .bat
  • 57. Practica y Operativo Script Batch Así mismo podemos hacer consultar o generar un Script con el comando wmic WMIC /Output:STDOUT BIOS get /all /format:LIST - Info de la BIOS WMIC /Output:STDOUT CDROM get /all /format:LIST - Info Unidad CDROM WMIC /Output:STDOUT NICCONFIG get /all /format:LIST - Info del Adaptador o Tarjeta de Red WMIC /Output:STDOUT COMPUTERSYSTEM get /all /format:LIST - Info Sistema Operativo WMIC /Output:STDOUT DISKDRIVE get /all /format:LIST - Info Discos Duros WMIC /Output:STDOUT LOGICALDISK get /all /format:LIST - Info Discos Solidos WMIC /Output:STDOUT MEMPHYSICAL get /all /format:LIST - Info Memoria Ram WMIC /Output:STDOUT SERVICE get /all /format:LIST - Info de los Servicios WMIC /Output:STDOUT PROCESS get /all /format:LIST - Info de Los Procesos WMIC /Output:STDOUT STARTUP get /all /format:LIST - Info de los Programas de Inicio de Windows WMIC /Output:STDOUT ONBOARDDEVICE get /all /format:LIST - Info de la MotherBoard WMIC /Output:STDOUT RECOVEROS get /all /format:LIST - Info Errores del Sistema Operativo WMIC
  • 58. Practica y Operativo Si bien no se debe instalar nada en el dispositivo a realizar la pericia con el objetivo de no alterar la evidencia, debemos comprender que el uso de herramientas digitales portables Pueden sernos de gran ayuda. SOFTWARE Access Data FTK Imager es un claro ejemplo de software que nos permite realizar un volcado de Memoria RAM.
  • 59. Practica y Operativo Así mismo UsbDeview nos permite visualizar todos los dispositivos USB activos o contactos alguna vez al dispositivo en cuestión. SOFTWARE
  • 60. Practica y Operativo Investigador 2.0 es un software Argentino que nos entrega un excelente reporte de todas las actividades que le tildemos a recolectar. SOFTWARE
  • 61. Practica y Operativo Tequila OS - Agave64 SOFTWARE Se encuentra tanto en su presentación de Sistema Operativo Como en una estupenda Suite Portable para ser utilizada óptimamente tanto en Windows (portable) como en Linux (OS).
  • 62. Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Principal Adquirir – Duplicar – Preservar
  • 63. Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Análisis de Bitácoras Sus herramientas permiten obtener El historial de los navegadores web en cuestión como así mismo las ultimas actividades realizadas en el sistema.
  • 64. Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Reconocimiento de Sistema Posee Herramientas que nos permiten obtener Información sobre los Procesos Corriendo, Discos Activos, Eventos, Actividades, Archivos Recientes abiertos, y muchas otras Auditorias de Sistema.
  • 65. Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Recuperar Conjunto de herramientas que permiten la labor de recuperar fotografías, videos y cualquier fuese el archivo eliminado lógicamente del sistema operativo.
  • 66. Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Redes Contraseñas almacenadas, Puertos Abiertos, conexiones establecidas, reconocimiento de red y dispositivos conectados a la misma, son una de las tantas opciones que nos presenta este segmento.
  • 67. Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Suite Excelentes Software a la hora de realizar una pericia informática, permitiendo recolectar, analizar y presentar evidencia por medio de reportes de manera profesional.
  • 68. Practica y Operativo Tequila OS - Agave64 SOFTWARE Menú Utilidades Reproducción de Archivos, visualización de metadatos, análisis de exif, verificación de técnicas de ocultamiento | ofuscación, búsqueda de archivos, acceso remoto y otras herramientas de mucha utilidad al horario de una labor in situ.
  • 69. Practica y Operativo Desconectando la Red Por protocolo y buenas practicas se recomienda iniciar por la desconexión re la red, retirando todas las conexiones Visibles del Dispositivo a secuestrar. Sin embargo cabe destacar que este procedimiento podría realizar una perdida importantísima de evidencia digital dependiendo de la investigación en curso, y no siempre nos encontraremos con equipos con claras conexiones y/ líneas de cpu a router / modem, pudiendo visualizar dispositivos complejos o conexiones que requieren de mayor investigación para realizar su desconexión correcta.
  • 70. Practica y Operativo Desconectando la Red Desconectar cable de Red de Modem al Router o ADSL / Coaxil dependiendo conexiones ISP Siempre y cuando la pericia no involucre el seguimiento, investigación o recolección de información pertinente a nodos activos en conexiones por medio de internet y la red analizada, debemos comprender que el bloqueo de toda conexión hacia y desde el exterior es una buena practica para evitar posibles ataque, alteraciones o sistemas con fines de eliminar rastros o huellas digitales.
  • 71. Practica y Operativo Redes Wifi Activas y Disponibles Red Wifi PC Red Wifi Disp Móvil Registrar mediante fotografía e informe la red wifi conectada por los dispositivos a secuestrar y las disponibles. En muchos casos puede diferir de la red actual del domicilio allanado o podríamos encontrar redes ocultas y/o no visibles a la que tenemos conocimiento en relación al allanamiento. Documentar
  • 72. Practica y Operativo Desconectando Suministro Electico Desconectar tirando del Cable, no utilizar la llave de apagado manual ya que esta podría estar adulterada con fines de destrucción de datos Se debe desconectar del suministro eléctrico de forma “brusca”, tirando del cable, o sea, no apagar de manera ordenada. Así nos aseguramos que durante el proceso de apagado no se ejecute ningún programa oculto que pueda alterar la información de los dispositivos de almacenamiento
  • 73. Practica y Operativo Celulares y su Importancia Si bien puede o no ser el objetivo de la pericia en cuestión, la cantidad de información que nos puede ofrecer hoy en día un teléfono móvil es incalculable. Dicho esto podemos comprender que su secuestro y resguardo debe ser minuciosamente confeccionado y cada acción realizada debe ser bajo estricto conocimiento de las mismas. Dependiendo de casos extraordinarios o necesidades puntuales dichas acciones pueden variar.
  • 74. Practica y Operativo Secuestro Teléfono Móvil Según el protocolo de actuación ante el secuestro de teléfonos celulares, se recomienda, siendo posible retirar la batería del celular, en caso contrario ponerlo a este en modo avión y luego apagarlo, para su resguardo correcto, proteger al mismo dentro de una Jaula Faraday y envolverlo con goma espuma, al igual que se actual con los medios de almacenamientos electromagnéticos secuestrados. Sin embargo en ciertos casos extraordinarios y/o necesarios para la futura recolección y análisis de evidencia digital, debemos tener en claro ciertos aspectos. Si apagamos el móvil y este posee un sistema avanzado de cifrado y no poseemos la forma de descifrar al mismo vamos a encontrar problemas a la hora de realizar la pericia. Así mismo existe la posibilidad de perdida de información valiosa Volátil. De caso contrario, al quedar encendido este podría, por su propia automatización, realizar alguna acción propia o secuenciada con fines de destruir evidencia digital del mismo.
  • 75. Practica y Operativo Secuestro Teléfono Movil Faraday Bag Power Phone Si bien como mencionamos anteriormente los dispositivos deben quedar en sus respectivos estados al secuestrarlos (encendido / apagado), cabe destacar que el protocolo de teléfonos móviles varia como bien mencionamos, sin embargo al ser necesario que este quede encendido debemos poseer una bolsa farday correspondiente para su traslado, la misma puede poseer un power bank para mantener al celular con carga, de misma manera se debe recordar ponerlo a este en modo avión, dado que de dicha manera no quera en estado de búsqueda de señal consumiendo toda su energía.
  • 76. Practica y Operativo Laboratorio – Primeros Pasos En el laboratorio debemos analizar varios factores antes de comenzar con el procedimiento de adquisición, análisis y preservación como segunda etapa a pericia luego de un secuestro de evidencia digital. Como primer paso y el mas importante, debemos controlar que se halla cumplido la cadena de custodia correspondiente antes de llegar a nuestras manos. Luego debemos evaluar el estado del mismo dispositivo, dado que no se procede de misma manera con uno terminal sin display, con táctil averiado o con la placa madre averiada. Dicho estado es fundamental para proceder a la preparación de la adquisición forense. El caso de avería extrema, teniendo los conocimientos propios y herramientas, procederemos con la reparación o realización de un Chip-off en el caso de ser necesario. De lo contario se enviara a técnicos para su Reparación correspondiente (Reballing seguramente en casos de dicha índole) para luego proceder con la pericia en cuestión.
  • 77. Practica y Operativo Laboratorio – Hardware Utilizado Si bien aun se siguen utilizando equipos informáticos con software para la adquisición , análisis y reporte de evidencia digital obtenida de teléfonos móviles, ya dichos equipos se están desplazando por comodidad a hardware dedicado y de dimensiones portátiles. Cuando hablamos de hardware extracción en telefonía móvil nos referimos a "UFED" - Universal Forensic Extraction Device, como método. Sin embargo podemos mencionar empresas como lo son XRY, Cellebrite, Spektor, etc., las cuales fabrican estos dispositivos. En la actualidad la mas utilizada es UFED - Cellebrite en su versión actual Touch 2.
  • 78. Practica y Operativo Laboratorio – Hardware Utilizado Estos dispositivos constan de computador central donde se conecta el dispositivo móvil a realizar la pericia correspondiente con su respectivo cable, cual el es solicitado por el software luego de seleccionar el modelo y marca de equipo y la acción solicitada por el personal forense. Estos cables se solicitan según si numeración. En su lateral contario se puede apreciar las ranuras correspondientes al ingreso de Dispositivos USB donde se presentara la evidencia e informe peritado por dicha herramienta.
  • 79. Practica y Operativo Laboratorio – Hardware Utilizado Extracción lógica de los archivos, Extracción del sistema de archivos, Captura de imágenes, Captura de Instantáneas y Extracción Física ( copia forense) sorteando los bloqueos del dispositivo, son algunas de las tantas opciones que nos presenta dicho panel .
  • 80. Practica y Operativo Laboratorio - Extracción El resumen de extracción permite seleccionar los ítems a analizar, se intenta incluir los relevantes para el caso, conociendo el mismo y así evitar la abundante prueba documental pericial informática. De caso contrario se realizará un informe completo de esta en formato digital.
  • 81. Practica y Operativo Laboratorio - Informe El Informe final UFED o reporte, nos permite obtener un abundante estado de todos los aspectos del móvil a analizado garantizando, la precisión, la autenticidad y la integridad de los datos presentados, cumpliendo con las normativas y procedimientos forenses estándares. El cual debe ser presentado con toda prueba documental obtenida en el proceso de secuestro.
  • 82. Definiciones Legales y Guía de Procedimientos y Buenas Practicas