SlideShare una empresa de Scribd logo

INFORMÁTICA FORENSE

Descargar como PPTX, PDF
E
EnmerLR

La informática forense se encarga de analizar sistemas informáticos para localizar evidencias que sirvan de pruebas para realizar una causa judicial o negociación extrajudicial relacionada con delitos informáticos. Aplica técnicas y herramientas relacionadas con software y hardware para localizar datos potenciales, principalmente para estudios jurídicos pero también para empresas y particulares.

Educación
1 de 53
INFORMÁTICA FORENSE Por: Enmer Leandro R.
INTRODUCCIÓN Vivimos en una época está caracterizada por la denominada Sociedad de la Información, en la que se está experimentado un proceso de la eliminación del papel y generando una dependencia casi total de los sistemas informáticos. Estamos sufriendo grandes cambios en las tecnologías, software, plataformas, medios de almacenamiento e incluso en la legislación y con ello nuevos delincuentes que emplean esta tecnología para cometer infracciones, por lo que cada vez es más necesario el uso de procesos, métodos, estándares y buenas prácticas, que brinden algún tipo de garantías en la recuperación de información almacenada digitalmente, pues tanto las empresas, los organismos como los particulares delegan cada vez más tareas o son realizadas a través de los sistemas informáticos, debiendo por tanto de esforzarse por controlar la información digitalizada y crear mecanismos de seguridad, firewall, copias de respaldo y auditorías que posteriormente puedan servir como pruebas en una actuación judicial. En esta nueva Era del Conocimiento aparece la necesidad de contar con algún tipo de garantía científica en la que poder confiar para que un juez pueda ayudarse. Dentro del proceso penal se confirma o desvirtúa una hipótesis en función de las pruebas y es en este punto donde la informática forense tiene mucho que aportar pudiendo esclarecer los hechos en base a las evidencias digitales. Desde que se generalizó el uso de los ordenadores personales, se incrementó su utilización en actividades delictivas. SJM Computación 4.0 2
DEFINICIONES El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examen forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructuras tecnológicas que permiten identificar, preservar, analizar y presentar datos válidos dentro de un proceso legal. Informática forense es la disciplina que combina los elementos del derecho y la informática para recopilar y analizar datos de sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento de una manera que sea admisible como prueba en un tribunal de justicia. La informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en soportes informáticos. Se trata de una practica cada vez más habitual debido al uso que actualmente todos realizamos de las nuevas tecnologías, y que permite resolver casos policiales o judiciales. La informática forense o el cómputo forense es el uso de métodos y técnicas científicas probadas, con el fin de identificar, preservar, validar, analizar, interpretar, documentar y presentar evidencia digital obtenida a partir de fuentes de información digital, con el propósito de facilitar la reconstrucción de hechos en una investigación legal, o ayudar a anticipar o prevenir acciones en contra de la ley. La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial. SJM Computación 4.0 3
DEFINICIONES La informática forense o análisis forense digital como la aplicación de técnicas científicas y analíticas especializadas sobre la información procesada electrónicamente y guardada en un medio computacional, que con el apoyo de herramientas de hardware y software, permiten las siguientes 4 acciones: identificar, preservar, analizar y presentar la información obtenida del análisis para generar el informe forense y su presentación a los abogados, jueces o instancias que lo soliciten La informática forense es la rama de la informática que aglutina todos los conocimientos científicos y técnicos en el ámbito de la informática destinados a explicar un determinado hecho o suceso del pasado, de forma palpable o inferida, mediante la aprehensión, conservación, análisis y documentación de información relativa a elementos hardware y/o software. La informática forense es una rama de la ciencia forense que estudia las evidencias encontradas en computadoras y medios de almacenamiento digitales. El objetivo de la informática forense es examinar de una manera forense los medios digitales con el objetivo de identificar, preservar, recuperar, analizar y presentar hechos y opiniones sobre la información digital. La informática forense legal es una herramienta o disciplina que permite recopilar y analizar datos de sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento para presentarlos como una prueba admisible frente a las autoridades legales (el tribunal de justicia). La informática forense es una ciencia y un arte que requiere el uso de técnicas especiales para recuperar, autenticar y analizar datos electrónicos relacionados con delitos informáticos. Combina la informática, la tecnología de la información y otros asuntos técnicos con la ley. SJM Computación 4.0 4
DEFINICIÓN INFORMÁTICA FORENSE La informática forense es la encargada de analizar sistemas informáticos para localizar evidencias que sirvan de pruebas. Y así poder realizar una causa judicial o una negociación extrajudicial sobre sucesos relacionados con delitos informáticos Esta aplica una seria de técnicas y herramientas relacionadas de forma directa con software y hardware. Que dan la opción de localizar datos potenciales. Este campo de investigación es empleado principalmente para estudios jurídicos. Pero cualquier empresa o particular puede solicitar servicios de informática forense. SJM Computación 4.0 5
DELITOS INFORMÁTICOS SJM Computación 4.0 6 Los delitos informáticos son todas aquellas acciones ilegales, delictivas, antiéticas o no autorizadas que hacen uso de dispositivos electrónicos e internet, a fin de vulnerar, menoscabar o dañar los bienes, patrimoniales o no, de terceras personas o entidades. 1. Accesos ilícitos a sistemas informáticos. 2. Atentado contra la integridad de datos informáticos. 3. Atentado contra la integridad de sistemas informáticos. 4. Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos. 5. Tráfico ilegal de datos. 6. Interceptación de datos informáticos. 7. Fraude informático. 8. Suplantación de identidad. 9. Abuso de mecanismos y dispositivos informáticos. 10. Agravantes.
HISTORIA FORENSE DIGITAL (I) Aquí hay puntos de referencia importantes de la historia forense digital: En 1978 Se crea en florida "Computer Crimes Act", la cual es un acta la cual permite reconocer delitos informáticos ante la ley, como contra la propiedad privada, contra equipos informático, contra usuarios de computadores. En 1981 Se crear Copy2pc, esta herramienta permitía la copia de disquetes que están protegidos, para evitar la piratería de estos. En 1982 Se crear Norton Utilities, esta era un suit la cual entre sus programas incluía recuperador de archivo borrados. En 1984 Se crear el programa del FBI CART (Computer Analysis and response team), el cual es equipo encargado del análisis de computadores en busca de los responsables de delitos informáticos. En 1987 High Tech Crime Investigation Association (HTCIA), encargada de impartir cursos a diferente agencias sobre seguridad informaica. En 1991 Se reúnen seis organizaciones internacionales, con agencias federales para discutir sobre los estándar que se debían llevar en la informática forense. En 1992, el término «informática basica forense» se usó en la literatura científica. En 1995 se creó la Organización Internacional de Pruebas Informáticas (IOCE en inglés). En 1997 Se realiza conferencia del G8, en la cual se determina que las entidades gubernamentales debieran estar reparadas para enfrentar delitos informáticos. SJM Computación 4.0 7
HISTORIA FORENSE DIGITAL (II) En 1998 Interpol crear el departamento Forensic Science Symposium. En 2000 se estableció el primer laboratorio regional de ciencias forenses informáticas del FBI. En 2002 el grupo de Trabajo científico sobre evidencia digital (SWGDE por sus siglas en inglés) publicó el primer libro sobre ciencias forenses digitales titulado Mejores prácticas de las ciencias forenses informáticas. En 2010, Simson Garfinkel identificó los problemas que enfrentan las investigaciones digitales. SJM Computación 4.0 8
¿QUÉ HACE UN ESPECIALISTA EN INFORMÁTICA FORENSE? Un especialista en informática forense es un especialista en tecnología de la información que recopila y analiza datos de computadoras y medios electrónicos para ser utilizados como evidencia legítima en investigaciones criminales. Este especialista es un experto en la recuperación de datos como correos electrónicos, correspondencia comercial y otros archivos, incluso los que hayan sido eliminados, mientras se asegura de que nada en el sistema informático se modifique o destruya. También pueden investigar piratería informática, distribución de software malicioso o incluso terrorismo. Frecuentemente son llamados a declarar en juicios donde se presentan pruebas informáticas. Los especialistas en informática forense a menudo trabajan en la aplicación de la ley. Pueden colaborar con departamentos de policía locales o agencias de policía regionales más grandes. Algunos trabajan en el ejército o la inteligencia. Los bufetes de abogados y las grandes corporaciones a veces también contratan expertos en informática. También pueden trabajar con compañías privadas que brindan servicios forenses digitales por contrato. Un especialista independiente en informática forense además puede trabajar como freelancer. SJM Computación 4.0 9
OBJETIVOS PRINCIPALES Y SECUNDARIOS Objetivos Principales de la informática forense La informática forense tiene tres objetivos: 1.- La compensación de los daños causados por los intrusos o criminales. 2.- La persecución y procesamiento judicial de los criminales. 3.- La creación y aplicación de medidas para prevenir casos similares. Objetivos Secundarios: Los objetivos secundarios del uso de la informática forense: 1. Ayuda a recuperar, analizar y preservar el ordenador y los materiales relacionados de tal manera que ayuda a la agencia de investigación a presentarlos como evidencia en un tribunal de justicia. 2. Ayuda a postular el motivo detrás del crimen y la identidad del principal culpable. 3. Diseñar procedimientos en una presunta escena del crimen que ayudan a garantizar que la evidencia digital obtenida no esté corrupta. 4. Adquisición y duplicación de datos: recuperación de archivos eliminados y particiones eliminadas de medios digitales para extraer la evidencia y validarlos. 5. Ayuda a identificar la evidencia rápidamente y también permite estimar el impacto potencial de la actividad maliciosa en la víctima 6. Producir un informe forense informático que ofrece un informe completo sobre el proceso de investigación. 7. Preservar la evidencia siguiendo la cadena de custodia. SJM Computación 4.0 10
TIPOS DE INFORMÁTICA FORENSE (I) Los principales tipos de informática forense son los siguientes: 1.- De sistemas operativos Es el proceso de recuperación de información útil del sistema operativo (SO) del ordenador o dispositivo móvil en cuestión. El objetivo de recopilar esta información es adquirir evidencia empírica contra el autor. La comprensión de un sistema operativo y su sistema de archivos es necesaria para recuperar datos para investigaciones informáticas. El sistema de archivos proporciona un sistema operativo con una hoja de ruta para los datos en el disco duro. El sistema de archivos también identifica cómo el disco duro almacena los datos. 2.- De redes El análisis forense de la red se refiere a la recopilación, monitorización y análisis de las actividades de la red para descubrir la fuente de ataques, virus, intrusiones o violaciones de seguridad que ocurren en una red o en el tráfico de la red. Como tal, el análisis forense de la red se considera junto con el análisis forense móvil o el análisis forense de imágenes digitales, como parte del análisis forense digital. Por lo general, se usa cuando se trata de ataques a la red. En muchos casos, se usa para monitorizar una red para identificar proactivamente el tráfico sospechoso o un ataque inminente. Por otro lado, se utiliza para recopilar pruebas mediante el análisis de datos de tráfico de red para identificar la fuente de un ataque. SJM Computación 4.0 11
TIPOS DE INFORMÁTICA FORENSE (II) 3.- En dispositivos móviles Los crímenes no ocurren aislados de las tendencias tecnológicas; por lo tanto, el análisis forense de dispositivos móviles se ha convertido en una parte importante del análisis forense digital. El proceso forense móvil tiene como objetivo recuperar evidencia digital o datos relevantes de un dispositivo móvil de una manera que conserve la evidencia en una condición forense sólida. Para lograr eso, el proceso forense móvil necesita establecer reglas precisas que incauten, aíslen, transporten, almacenen para el análisis y prueben pruebas digitales que se originen de manera segura desde dispositivos móviles. 4.- En la nube o Cloud Hoy en día, con la mayoría de los datos críticos de nuestra empresa transferidos a los proveedores de servicios en la nube, una de nuestras principales preocupaciones es tratar los asuntos de seguridad. Eso incluye ser capaz de responder rápidamente y reportar eventos que pueden conducir a problemas legales. Esta no es una tarea fácil y las cosas se complican aún más por el hecho de que tenemos que confiar en la capacidad de nuestro proveedor de la nube para entregar datos forenses digitales en caso de cualquier disputa legal (ya sea civil o criminal) durante los ataques cibernéticos o incluso si los datos se produce una violación. El análisis forense de la nube combina la computación en la nube y el análisis forense digital, que se centra principalmente en la recopilación de información forense digital de una infraestructura de la nube. SJM Computación 4.0 12
LA CADENA DE CUSTODIA (I) ¿Qué es la cadena de custodia de una evidencia digital? La cadena de custodia de una evidencia digital es el procedimiento de informática forense, oportunamente documentado, que permite constatar el origen, autenticidad e integridad del elemento digital demostrativo de un hecho relevante para el proceso judicial, desde que es encontrado e intervenido. En el ámbito de la informática forense resulta fundamental si se requiere acudir a tribunales de justicia para dirimir responsabilidades y daños informáticos causados por terceros. Uno de los principales problemas a los que se enfrenta el informático forense es el de garantizar la cadena de custodia de las evidencias digitales encontradas, de tal manera que quede garantizado que la información trasladada a la autoridad competente es exactamente la misma que fue incautada por el profesional forense. La garantía de la cadena de custodia aplicada a la evidencia digital, se realiza mediante la acreditación de la autenticidad del origen y la integridad del contenido. Las dudas que pueda tener un tribunal de justicia respecto de estos dos requisitos serán determinantes para la denegación de la eficacia probatoria de los datos incautados por el informático forense. SJM Computación 4.0 13
LA CADENA DE CUSTODIA (II) SJM Computación 4.0 14
PROCESOS DE LA INFORMÁTICA FORENSE (I) PROCESOS DE LA INFORMÁTICA FORENSE El examen técnico-informático (también llamado examen informático) es forense y se asigna por orden del investigador. Los requisitos para tal examen y los peritos que lo llevan a cabo son más estrictos y su importancia para la sentencia es mayor que la importancia de los resultados de la investigación no procesal. Estos últimos pueden ser agregados al caso como evidencia, pero no pueden reemplazar la opinión de un experto. 1.- Identificación Es muy importante conocer los antecedentes a la investigación "HotFix", situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategias (debes estar bien programado y sincronizado con las actividades a realizar, herramientas de extracción de los registros de información a localizar). Incluye muchas veces (en un momento específico Observar, Analizar Interpretar y Aplicar la certeza, esto se llama criterio profesional que origina la investigación) la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados. 2.- Preservación Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder SJM Computación 4.0 15
realizar el análisis. Dicha duplicación se realiza utilizando tecnología punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere (soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit- a-bit” (copia binaria) de todo el disco duro, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios. Los datos identificados se conservan en la base computacional, lo cual hace fácil el posterior análisis y búsqueda de esta información cuando sea necesaria a base de una investigación forense o criminalística. 3.- Análisis Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc. El análisis de datos forenses en el procesamiento de la información forense se elabora gracias a un PROCESOS DE LA INFORMÁTICA FORENSE (II) SJM Computación 4.0 16
software profesional y a la cantidad de datos que están presentados en la cartografía forense. El computador hace fácil analizar una gran cantidad de datos, ayudando así a tener un resultado significativo en la investigación forense. 4.- Presentación Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la documentación ya que siempre existirán puertas traseras dentro del sistema en observación y debe ser muy específica la investigación dentro del sistema que se documenta porque se compara y vincula una plataforma de telecomunicación y computo forense y que están muy estrechamente enlazadas no omitiendo los medios de almacenamiento magnéticos portables estos son basamentos sobre software libre y privativo. Deberá ser muy cuidadosa la información a entregar porque se maneja el prestigio técnico según la plataformas y sistemas. Para poder realizar con éxito su trabajo, el investigador nunca debe olvidar: Ser imparcial. Solamente analizar y reportar lo encontrado. PROCESOS DE LA INFORMÁTICA FORENSE (III) SJM Computación 4.0 17
Mantener la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia). Documentar toda actividad realizada. El especialista debe conocer también sobre: Desarrollo de los exploit (vulnerabilidades), esto le permite al informático forense saber qué tipo de programas se pondrán de moda, para generar una base de estudio que le permita observar patrones de comportamiento. PROCESOS DE LA INFORMÁTICA FORENSE (IV) SJM Computación 4.0 18
INFORMÁTICA FORENSE VS INFORMÁTICA ANTI-FORENSE (I) La informática anti-forense puede ser la peor pesadilla de un investigador informático. Los programadores diseñan herramientas anti forenses para que sea difícil o imposible recuperar información durante una investigación. Esencialmente, la informática anti-forense se refiere a cualquier técnica, dispositivo o software diseñado para obstaculizar una investigación informática. Hay docenas de formas en que las personas pueden ocultar información. Algunos programas pueden engañar a los ordenadores cambiando la información en los encabezados de los archivos. Un encabezado de archivo normalmente es invisible para los humanos, pero es extremadamente importante: le dice al ordenador a qué tipo de archivo se adjunta el encabezado. Si tuviera que cambiar el nombre de un archivo mp3 para que tuviera una extensión .gif, el ordenador sabría que el archivo era realmente un mp3 debido a la información en el encabezado. Algunos programas permiten cambiar la información en el encabezado para que el ordenador piense que es un tipo diferente de archivo. Otros programas pueden dividir los archivos en pequeñas secciones y ocultar cada sección al final de otros archivos. Los archivos a menudo tienen un espacio no utilizado llamado espacio flojo. Con el programa correcto, puede ocultar archivos aprovechando este espacio flojo. Es muy difícil recuperar y volver a ensamblar la información oculta. SJM Computación 4.0 19
INFORMÁTICA FORENSE VS INFORMÁTICA ANTI-FORENSE (II) También es posible ocultar un archivo dentro de otro. Los archivos ejecutables son particularmente problemáticos. Los programas llamados empacadores pueden insertar archivos ejecutables en otros tipos de archivos, mientras que las herramientas llamadas enlazadoras pueden unir varios archivos ejecutables. El cifrado es otra forma de ocultar datos. Cuando encriptas datos, utilizas un conjunto complejo de reglas llamado algoritmo para hacer que los datos sean ilegibles. Una persona que quiera leer los datos necesitaría la clave de cifrado. Sin la clave, los detectives tienen que usar programas de ordenador diseñados para descifrar el algoritmo de cifrado. Cuanto más sofisticado sea el algoritmo, más tiempo llevará descifrarlo sin una clave. Otras herramientas anti forenses pueden cambiar los metadatos adjuntos a los archivos. Si los metadatos se ven comprometidos, es más difícil presentar la evidencia como confiable. Algunas personas usan informática anti-forense para demostrar cuán vulnerables y poco confiables pueden ser los datos del ordenador. Si no puedes estar seguro de cuándo se creó un archivo, cuándo se accedió por última vez o si alguna vez existió, ¿cómo puedes justificar el uso de pruebas informáticas en un tribunal de justicia? SJM Computación 4.0 20
DISPOSITIVOS A ANALIZAR Dispositivos a analizar Toda aquella infraestructura informática que tenga una memoria es susceptible de análisis: Disco duro de una Computadora o Servidor Documentación referente al caso. Tipo de sistema de telecomunicaciones. Dirección MAC. Inicios de sesiones. Información de los cortafuegos. IP, redes Proxy. LMhost, host, conexiones cruzadas, pasarelas. Software de supervisión y seguridad. Credenciales de autentificación. Rastreo de paquetes de red. Teléfonos móviles o celulares (telefonía móvil) Agendas electrónicas (PDA). Dispositivos de GPS. Impresoras. Memorias USB. BIOS. SJM Computación 4.0 21
HARDWARE PARA ANÁLISIS FORENSE (I) Para realizar un Análisis Informático Forense es imprescindible contar con el equipamiento necesario, no solo para investigar sino también para proteger la integridad de los dispositivos a analizar, de forma que sigan siendo válidos como prueba judicial. los equipos con la más avanzada tecnología en el campo del Análisis Informático Forense: copiadoras duplicadoras, creadoras de imágenes ultrarrápidas, equipos para investigación "en caliente" no intrusivos que no dejan huella, así como equipos para borrado seguro. ESTACIONES FORENSES Estación Forense Velociraptor 7 El equipo Velociraptor 7 es una estación forense de alto rendimiento, pensada para acelerar la obtención de resultados y profundizar en las investigaciones. Está diseñada para ejecutar diferentes aplicaciones forenses al mismo tiempo, incorpora 32TB en Raid 5 para dar máxima seguridad al almacenamiento de evidencias. Además incluye el dispositivo DeepSpar, el cual permite recuperar datos de discos duros con inestables, dándole la oportunidad al investigador de obtener información que puede ser valiosa para la investigación. SJM Computación 4.0 22
CLONADORAS DE DISCOS Duplicadora Ditto DX Forensic CRU presenta el nuevo estándar de explotación de datos digitales y adquisición forense. Ditto es mucho más que una máquina de clonado forense al uso. Construida completamente en aluminio y llegando a alcanzar velocidades de operación de hasta 6.5GB/min, Ditto ofrece un gran abanico de posibilidades: Capacidad de navegación y adquisición de datos a través de la red mediante conexión SSL por sus puertos, origen y destino Gigabit Ethernet HARDWARE PARA ANÁLISIS FORENSE (II) Perfecta para el trabajo de campo al estar equipada con una batería de larga duración Sin ruido de ventilación debido a su arquitectura Copia simultánea a dos dispositivos en modo RAW DD, clon o mixto Interfaz sencilla y amigable SJM Computación 4.0 23
EQUIPO ANÁLISIS FORENSE Voom modelo Shadow 3 Dispositivo hardware diseñado para ayudar a los investigadores forenses a acceder al soporte magnético sin alterar su contenido. Principales características: Permite investigar discos duros origen en la escena del crimen en cuestión de minutos, antes de crear la imagen. Con el constante aumento de capacidad de los discos duros, el ahorro de tiempo a la hora de priorizar el orden de los discos de los que se creará la imagen, o incluso eliminar la necesidad de crear la imagen de ciertos discos cuando se trata de una captura múltiple, se ha convertido en algo de vital importancia. HARDWARE PARA ANÁLISIS FORENSE (III) Permite investigar y analizar discos origen una y otra vez en el laboratorio forense en cuestión de segundos sin necesidad de volver a crear la imagen. Permite ver las evidencias en su ambiente nativo. Permite presentar las evidencias de una forma comprensible para los no expertos en el propio ordenador investigado. Cuando se sospecha una actividad ilícita, como la descarga nocturna de archivos confidenciales, utilice Shadow para verificar la actividad y preservar los metadatos. SJM Computación 4.0 24
BLOQUEADORES DE ESCRITURA Logicube Logicube proporciona una línea de bloqueadores de escritura para análisis forense: portátil, de escritorio y bahía. La idea detrás de la línea de productos es combinar múltiples interfaces en un solo dispositivo. Bloqueador WriteProtect Desktop Conexión de host USB3.0 Fast Superspeed HARDWARE PARA ANÁLISIS FORENSE (IV) Admite unidades de origen SAS, SATA, FireWire, USB3.0, IDE Admite SSD PCIe (M.2 SATA / AHCI / NVMe), tarjetas PCIe y mini-PCIe express con adaptadores opcionales Interfaz de usuario basada en navegador para vista previa de unidades, actualizaciones de software, gestión de HPA / DCO Permite conectar y crear imágenes de múltiples unidades de fuente simultáneamente con su software de imágenes forenses SJM Computación 4.0 25
PC-3000 EXPRESS SYSTEM PC-3000 Express System PC-3000 Express es una de las soluciones más eficientes y rápidas de hardware y software diseñadas para el diagnóstico, reparación y recuperación de datos de discos duros dañados basados en puertos SATA e IDE, soporta discos con diferentes capacidades de almacenamiento, desde 500MB hasta 6TB. HARDWARE PARA ANÁLISIS FORENSE (V) La PC-3000 Expressincorpora4 puertos SATA y 2 puertos IDE, además incluye que el software Data Extractor Express, para recuperación de datos una vez que haya sido reparado el disco. Dependiendo cuales sean los requerimientos, existen diferentes sistemas PC-3000 que se ajustan a las necesidades que se tengan. SJM Computación 4.0 26
EL MALETÍN DEL INVESTIGADOR FORENSE (I) Respecto a las capacidades para clonado de discos, es importante tener duplicadores de disco con varias interfaces ATA, IDE, SCSI e incluso USB y Firewire. Algunos duplicadores pueden funcionar en modo "espejo", permitiendo a un investigador escribir copias a dos unidades simultáneamente y teniendo una redundancia tan importante hoy en día en los análisis forenses. Otro aspecto que debe incluir todo buen maletín son los write blockers o protectores de escritura. Debido a que muchos sistemas operativos escriben datos en el disco nada más encender el equipo, muchos investigadores optan por el uso de bloqueadores hardware para prohibir cualquier modificación durante el duplicado. Un write blocker no es más (ni menos) que una herramienta para interceptar las comunicaciones entre el sistema operativo y el medio de almacenamiento (por lo general un disco duro ATAPI) filtrando las E/S que solicitan la modificación de los datos. Requisitos de software En cuanto al software, no hay un entorno definitivamente mejor que otro para nuestra estación de trabajo forense. No obstante hay que tener en cuenta también una serie de consideraciones. Basta un sistema operativo estable, multiusuario, que tenga capacidades para loggear los eventos de hardware relevantes y los datos de las sesiones. Debe ser un sistema modular, que soporte diferentes periféricos y sistemas de ficheros. Es necesario tener un control absoluto de los servicios y de cómo se montan las particiones y dispositivos para preservar la evidencia durante el análisis. Por último y en caso de duda, es preferible instalar un sistema multi-arranque o virtualizar. SJM Computación 4.0 27
EL MALETÍN DEL INVESTIGADOR FORENSE (II) Hoy en día existen una serie de maletines que facilitan estas tareas proporcionando al investigador un completo y auténtico laboratorio forense portátil. Estos kits suelen ahorrar tiempo en las fases de adquisición e investigación, por ejemplo incluyendo write-blocking y realizando cálculos de hashes. mientras se copian los datos. Sin embargo, hay que decir que no existe ninguna función que realice cualquiera de estos kits que no pueda también llevar a cabo un programa de software instalado en un equipo convencional. Requisitos de hardware Primero es imprescindible que la estación de trabajo forense sea ampliable y que el investigador sea capaz de reconfigurar el sistema para dar cabida a interfaces adicionales. Uno de los nuevos procesadores Intel o AMD será más que suficiente para la mayoría de las investigaciones. Aunque en algunas ocasiones será necesario comparar los hashes de una gran cantidad de ficheros o buscar palabras clave en el disco duro, la velocidad de proceso dependerá de la velocidad de acceso a la unidad, por lo que en lugar de invertir en un procesador muy potente será necesario centrarse en conseguir la velocidad más alta posible del bus I/O para que el sistema pueda acceder rápidamente a los datos almacenados en el disco. En cuanto a la capacidad de almacenamiento de las evidencias dependerá un poco del nivel y la periodicidad de los análisis forenses que realicemos. SJM Computación 4.0 28
LA EVIDENCIA DIGITAL INFORMÁTICA FORENSE (I) QUÉ ES LA EVIDENCIA DIGITAL INFORMÁTICA FORENSE? Una evidencia digital informática forense es cualquier registro de la información almacenada o transmitida a través de un sistema informático y por lo tanto en formato digital que pueda usarse como probatorio ya sea en parte o en su totalidad ante el tribunal para de un proceso judicial o simplificando la definición, la evidencia digital informática forense es cualquier dato digital capaz de establecer una relación entre un crimen y su víctima o un crimen y su autor. Durante el un peritaje forense informático podrán tratarse tanto evidencias electrónicas como evidencias digitales, las cuales son abordadas diseñando el procedimiento adecuado en función del tipo de evidencia y creando un paralelismo entre la escena física del crimen y la digital. Los involucrados en un crimen suelen intentar eliminar o cambiar la evidencia digital alternado cualquier rastro pero estas acciones pueden no serles suficientes para salir airosos dado que: - Es posible obtener una copia exacta y fehaciente de la evidencia digital, evitando el riesgo de alterar la prueba original. - Las herramientas de la informática forense permiten comprar el original con la evidencia digital para determinar si ha sido alterada. - Aún borrando la información de los discos es posible recuperarlos. Suelen existir copias de la evidencia - Los propios movimientos dejan a su vez rastros. SJM Computación 4.0 29
LA EVIDENCIA DIGITAL INFORMÁTICA FORENSE (II) CUÁNDO ES ADMISIBLE UNA EVIDENCIA DIGITAL COMO PRUEBA EN JUICIO Con las legislaciones actuales en la mano podemos determinar que una evidencia digital es admisible si cumple los criterios de: Autenticidad: Se cumplirá el criterio de autenticidad cuando la evidencia digital se pueda demostrar que: 1) ha sido obtenida, generada y registrada en el lugar de los hechos y 2) que los medios originales no han sido alterados, dada la facilidad de manipulación, debiendo por tanto aplicar mecanismos que certifiquen la integridad de los archivos y el control de cambios. Confiabilidad: Se dice que los registros de eventos de seguridad son confiables si provienen de fuentes que son “creíbles y verificable”. Para probar esto, se debe contar con una arquitectura de computación en correcto funcionamiento, la cual demuestre que los logs que genera tiene una forma confiable de ser identificados, recolectados, almacenados y verificados. Una prueba digital es confiable si el “sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o generar la prueba”. La arquitectura de computación del sistema logrará tener un funcionamiento correcto siempre que tenga algún mecanismo de sincronización del registro de las acciones de los usurarios del sistema y que a posea con un registro centralizado e íntegro de los mismos registros. SJM Computación 4.0 30
LA EVIDENCIA DIGITAL INFORMÁTICA FORENSE (III) Completitud de las pruebas: Para que una prueba esté considerada dentro del criterio de la suficiencia debe estar completa con lo que es necesario hacer una correlación de los distintos registros. Reglas del poder judicial: La evidencia digital debe cumplir con los códigos de procedimientos, disposiciones y normas legales vigentes en el sistema jurídico del ordenamiento del país. CÓMO SALVAGUARDAR LA EVIDENCIA DIGITAL Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulación de la evidencia digital: - Hacer copias empleando medios de almacenamiento nuevos y debidamente formateados. - Evitar que cualquier proceso pueda alterar la integridad del medio original. - La evidencia digital forense sólo será accesible por un profesional forense informático. - Etiquetar, controlar, preservar y documentar las copias de los datos recogidos del medio original y los resultados de la investigación. - La evidencia digital será responsabilidad de aquel forense informático que la tenga en posesión o persona autorizada para su custodia. SJM Computación 4.0 31
LA EVIDENCIA DIGITAL INFORMÁTICA FORENSE (IV) Creación de imágenes forenses La herramienta más ampliamente utilizada para la creación de imágenes forenses es Guymager, que es una herramienta gratuita de adquisición y preservación de evidencias digitales en entorno Linux, generando imágenes en formato dd, E01 y AFF. También es capaz de realizar el clonado forense de discos duros sin necesidad de una clonadora y de obtener la firma Hash del disco duro clonado o del fichero de imagen creado. Cálculo de firmas hash Normalmente se trata de software que nos generará el código hash identificativo de cada uno de los ficheros electrónicos que estamos estudiando o del dispositivo de almacenamiento completo. Ello se usa para acreditar que las copias de datos se corresponden fielmente con los originales. Uno de los más comunes es FCIV. SJM Computación 4.0 32
EL FUTURO DEL ANÁLISIS INFORMÁTICO FORENSE (I) ¿Por qué el análisis informático forense será tan importante en el futuro? Con el constante aumento de los dispositivos digitales y las actuaciones en línea, la mayoría de los delitos en el futuro serán cometidos en la red. La importancia de la informática forense para un negocio o una corporación es enorme. Por ejemplo, a menudo se piensa que simplemente fortalecer las líneas de defensa con cortafuegos, enrutadores, etc. será suficiente para frustrar cualquier ataque cibernético. Pero el profesional de seguridad sabe que esto no es cierto, dada la naturaleza extremadamente sofisticada del hacker cibernético actual. Esta premisa tampoco es cierta desde el punto de vista de la informática forense. Si bien estas piezas especializadas de hardware proporcionan información en cierto grado sobre lo que generalmente ocurrió durante un ataque cibernético, a menudo no poseen esa capa más profunda de datos para proporcionar esas pistas sobre lo que sucedió exactamente. Esto subraya la necesidad de que la organización también implemente esos mecanismos de seguridad (junto con el hardware anterior) que pueden proporcionar estos datos específicos (ejemplos de esto incluyen los dispositivos de seguridad que utilizan inteligencia artificial, aprendizaje automático, análisis de negocios, etc.). Por lo tanto, la implementación de este tipo de modelo de seguridad en el que también se adoptan los principios de la informática forense también se conoce como “Defensa en profundidad“. SJM Computación 4.0 33
EL FUTURO DEL ANÁLISIS INFORMÁTICO FORENSE (II) Al tener estos datos específicos, hay una probabilidad mucho mayor de que las pruebas presentadas se consideren admisibles en un tribunal de justicia, lo que lleva a los responsables que lanzaron el ataque cibernético ante la justicia. Además, al incorporar los principios de una “Defensa en profundidad”, la empresa o corporación puede cumplir fácilmente con las leyes y mandatos gubernamentales. Requieren que todos los tipos y tipos de datos se archiven y almacenen para fines de auditoría. Si una entidad falla alguna medida de cumplimiento, puede enfrentar severas sanciones financieras. SJM Computación 4.0 34
USOS DE LAS EVIDENCIAS DIGITALES EN INFORMÁTICA FORENSE Los usos de la informática forense son diversos y dado que en la vida cotidiana estamos trabajando continuamente con los sistemas de información en los que vamos dejando rastro de nuestras acciones, puede ayudar a resolver situaciones en distintos entornos: Corporativos: Resolviendo casos de espionaje industrial, mal uso de los recursos por parte de un trabajador, apropiación de información confidencial, acoso sexual, robo... Criminales: Evidencia incriminatoria es usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. Litigios: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense. Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva. SJM Computación 4.0 35
SISTEMAS OPERATIVOS ORIENTADOS A INFORMÁTICA FORENSE I Sistemas operativos completos orientados a informática forense Actualmente existen sistemas operativos todo en uno, que disponen de la gran mayoría de herramientas de informática forense que veremos a continuación. Si estás pensando en realizar un análisis forense y no tienes creado un sistema operativo todo en uno con tus propias herramientas, con estos sistemas operativos podrás empezar rápidamente. CAINE CAINE es un sistema operativo completo que está orientado específicamente a la informática forense, está basado en Linux e incorpora la gran mayoría de herramientas que necesitaremos para realizar un análisis forense completo. Dispone de una interfaz gráfica de usuario, es muy fácil de utilizar, aunque lógicamente necesitarás los conocimientos adecuados para utilizar todas y cada una de sus herramientas. CAINE se puede utilizar en modo LiveCD sin tocar el almacenamiento del ordenador donde queremos arrancarlo, de esta manera, toda la información del disco duro permanecerá intacta para posteriormente realizar la copia de toda la información. Entre las herramientas incluidas con CAINE tenemos las siguientes: The Sleuth Kit, Autopsy, RegRipper, Wireshark, PhotoRec, Fsstat y muchas otras. SJM Computación 4.0 36
Un aspecto muy importante de CAINE es que también dispone de herramientas que se pueden ejecutar directamente en sistemas operativos Windows, por lo que si nos bajamos la imagen ISO y extraemos su contenido, podremos acceder al software para Windows que incorpora, sin necesidad de arrancar el LiveCD o utilizar una máquina virtual. Algunas de las herramientas para Windows que tenemos disponibles son: Nirsoft suite + launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, Network tools, NTFS Journal viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC y Windows File Analyzer. Kali Linux Kali Linux es uno de los sistemas operativos relacionados con seguridad informáticas más utilizados, tanto para pentesting como también para informática forense, ya que en su interior tenemos una gran cantidad de herramientas preinstaladas y configuradas para ponernos a realizar un análisis forense lo antes posible. Este sistema operativo no solo tiene una gran cantidad de herramientas forenses en su interior, sino que dispone de un modo Live específico para análisis forense, y no escribir absolutamente nada en el disco duro o almacenamiento interno que tengamos en los equipos. También impide que cuando introducimos un dispositivo de almacenamiento extraíble, se monte automáticamente, sino que lo tendremos que hacer nosotros mismos manualmente. SISTEMAS OPERATIVOS ORIENTADOS A INFORMÁTICA FORENSE II SJM Computación 4.0 37
DEFT Linux y DEFT Zero El sistema operativo DEFT Linux está también orientado específicamente a análisis forense, incorpora la gran mayoría de herramientas de CAINE y Kali Linux, es una alternativa más que tenemos disponible y que podemos utilizar. Lo más destacable de DEFT es que dispone de una gran cantidad de herramientas forenses listo para utilizar. DEFT Zero es una versión mucho más ligera y reducida de DEFT, está orientada a exactamente lo mismo, pero ahora necesitaremos menos recursos para poder utilizarla sin problemas, además, es compatible tanto con sistemas de 32 bits y 64 bits, así como sistemas UEFI. SISTEMAS OPERATIVOS ORIENTADOS A INFORMÁTICA FORENSE III SJM Computación 4.0 38
HERRAMIENTAS GRATUITAS DE ANÁLISIS FORENSE (I) Herramientas gratuitas de análisis forense Hemos visto todos los sistemas operativos orientados a informática y análisis forense, vamos a ver diferentes herramientas gratuitas para la realización de tareas forense y están incorporadas en estas distribuciones Linux que acabamos de ver. Autopsy y The Sleuth Kit Autopsy es una de las más utilizadas y recomendadas, nos permitirá localizar muchos de los programas y plugins de código abierto, es como una biblioteca de Unix y utilidades basadas en Windows, el cual facilita enormemente el análisis forense de sistemas informáticos. Autopsy es una interfaz gráfica de usuario que muestra los resultados de la búsqueda forense. Esta herramienta es muy utilizada por la policía, los militares y las empresas cuando quieren investigar qué es lo que ha pasado en un equipo. Uno de los aspectos más interesantes es que es extensible, esto significa que los usuarios pueden agregar nuevos complementos de manera fácil y rápida. Incorpora algunas herramientas de manera predeterminada como PhotoRec para recuperar archivos, e incluso permite extraer información EXIF de imágenes y vídeos. The Sleuth Kit, es una colección de herramientas de comandos en línea para investigar y analizar el volumen y los sistemas de archivos utilizados en investigaciones forenses digitales. Con su diseño modular, se puede utilizar para obtener los datos correctos y encontrar evidencias. Además, es compatible y funciona en Linux y se ejecuta en plataformas Windows y Unix. SJM Computación 4.0 39
HERRAMIENTAS GRATUITAS DE ANÁLISIS FORENSE (II) Magnet Encrypted Disk Detector Esta herramienta funciona a través de la línea de comandos, verifica de manera rápida y no intrusiva los volúmenes cifrados en un ordenador, para saber si existen para posteriormente intentar acceder a ellos con otras herramientas. La última versión disponible es la 3.0, y es la que se recomienda utilizar, además, es recomendable usar el sistema operativo Windows 7 o superior. Esta herramienta nos permite detectar discos físicos cifrados con TrueCrypt, PGP, VeraCrypt, SafeBoot, o Bitlocker de Microsoft. Magnet Encrypted Disk Detector es totalmente gratuita, pero necesitaremos registrarnos en su web oficial para proceder con la descarga. Magnet RAM Capture y RAM Capturer Magnet RAM Capture es una herramienta que está diseñada para obtener la memoria física del ordenador donde la utilicemos. Al usarla, podremos recuperar y analizar datos muy valiosos que se almacenan en la memoria RAM y no en un disco duro o SSD. Es posible que, en determinados casos, tengamos que buscar la evidencia directamente en la memoria RAM, y debemos recordar que la RAM es volátil y que se borra cada vez que apagamos el equipo. ¿Qué podemos encontrar en la memoria RAM? Procesos, programas ejecutándose en el sistema, conexiones de red, evidencias de malware, credenciales de usuario y mucho más. Esta herramienta permite exportar los datos de memoria en bruto, sin procesar, para posteriormente cargar esta información en otras herramientas específicamente diseñadas para ello. Por supuesto, este software también es gratis. SJM Computación 4.0 40
HERRAMIENTAS GRATUITAS DE ANÁLISIS FORENSE (III) RAM Capturer, podremos volcar los datos de la memoria RAM de un ordenador a un disco duro, pendrive u otro dispositivo de almacenamiento extraíble. Esta herramienta nos permitirá acceder a las credenciales de usuario de volúmenes cifrados como TrueCrypt, BitLocker, PGP Disk o credenciales de inicio de sesión de cuenta para muchos servicios de correo web y redes sociales, ya que toda esta información suele almacenarse en la memoria RAM. Magnet Process Capture MAGNET Process Capture es una herramienta gratuita que nos permitirá capturar la memoria de procesos individuales de un sistema, es decir, si necesitamos saber los datos que está utilizando un determinado proceso de nuestro sistema operativo, podremos hacerlo con esto. Magnet Web Page Saver y FAW MAGNET Web Page Saver es una alternativa a la anterior, y se encuentra actualizada por lo que dispondremos de todas las mejoras. Esta herramienta es perfecta para capturar cómo está la web en un determinado momento, es especialmente útil cuando queremos mostrar una web, pero no tenemos conexión a Internet. Además, esta herramienta permite realizar capturas de cada página, podremos indicar las URL manualmente o importándolas vía fichero de texto o CSV, además, podremos navegar fácilmente por la web descargada. SJM Computación 4.0 41
HERRAMIENTAS GRATUITAS DE ANÁLISIS FORENSE (IV) FAW o Forensics Acquisition of Websites, es una herramienta que nos permite descargar páginas web completas para su posterior análisis forense, los requisitos de esta herramienta son muy básicos, por lo que podrás ejecutarla sin problemas. Con esta herramienta podremos adquirir evidencias de páginas web de manera fácil y rápida. Otras características interesantes son que podremos decidir qué área de la web queremos analizar, podremos capturar las imágenes, el código fuente HTML e incluso puede integrarse con Wireshark que hemos visto anteriormente. SIFT SIFT, que significa SANS Investigative Forensic Toolkit, es un conjunto completo de herramientas forenses y una de las plataformas de respuesta a incidentes de código abierto más populares. En cuanto a sistemas operativos, tenemos disponible una versión para utilizar en máquina virtual que hace uso de Ubuntu LTS 16.04 en su versión de 64 bits, esta versión ha sufrido importantes cambios, como, por ejemplo, mejor utilización de memoria, actualización automática del paquete DFIR para respuesta ante incidentes informáticos, incorpora las últimas herramientas forenses y técnicas, así como disponibilidad cruzada entre Linux y Windows. Esta herramienta es un todo en uno realmente interesante y recomendable, todas las herramientas son gratuitas, y están diseñadas para realizar exámenes forenses digitales detallados dando soporte a una gran variedad de situaciones. Uno de los aspectos más destacables es que se actualiza con mucha frecuencia. SJM Computación 4.0 42
HERRAMIENTAS GRATUITAS DE ANÁLISIS FORENSE (V) Volatility es otra aplicación forense de memoria de código abierto para respuesta a incidentes y análisis de malware, esta herramienta se encuentra incorporada en SIFT. Permite a los investigadores analizar el estado de tiempo en ejecución de un dispositivo, mediante la lectura de la memoria RAM. Volatility no tiene muchas actualizaciones, pero este framework es realmente potente y aún se encuentra con actualizaciones. Os recomendamos acceder a su web oficial donde encontraréis todos los detalles sobre esta gran herramienta. SJM Computación 4.0 43
PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD I Programas para realizar hash y comprobar integridad HashMyFiles te ayudará a calcular los hashes MD5 y SHA1 y funciona en casi todos los sistemas operativos Windows, esta herramienta es una de las más utilizadas por todos para calcular estos hash y garantizar la integridad de todos los archivos, por lo que si cambia un solo bit, también cambiará por completo el hash que nosotros tengamos. Hay otros muchos programas de este estilo, tanto para Windows como para Linux, por nombrar algunos, en Windows también tenemos IgorWare Hasher, HashCheck, HashTools y muchos otros, para Linux tenemos por defecto los md5sum y sha1sum instalado en el propio sistema operativo. CrowdResponse Crowdresponse es una aplicación de Windows de Crowd Strike, esta herramienta te permitirá recopilar información del sistema operativo para dar respuesta a los incidentes que hayan ocurrido y a cualquier compromiso de la seguridad del sistema. Este programa es portable, no necesita instalación, y todos los módulos están integrados en la aplicación principal y no se requieren de herramientas externas de terceros. CrowdResponse es ideal para la recopilación de datos de forma no intrusiva de múltiples sistemas cuando se coloca en la red. También tiene otras herramientas útiles para investigadores Shellshock Scanner, que escaneará su red para buscar una vulnerabilidad shellshock y mucho más. SJM Computación 4.0 44
PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD II Exiftool Cualquier imagen y vídeo incorpora unos datos EXIF con todos los metadatos de la imagen, esta herramienta gratuita te ayudará a leer, escribir y editar metainformación para varios tipos de archivos. Es capaz de leer EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, etc. Esta herramienta se ejecuta directamente sin necesidad de instalación, es portable, y está disponible tanto para Windows como también para macOS. Esta herramienta es una biblioteca Perl independiente más una aplicación de comandos en línea para leer, escribir y editar metainformación en una amplia variedad de formatos. Como podéis observar admite muchos formatos de metadatos diferentes y algunas de sus características incluyen sus imágenes Geotags de archivos de registro de seguimiento GPS con corrección de deriva de tiempo, y además también genera registros de seguimiento de imágenes geoetiquetadas. Esta herramienta es una de las más completas para ver todos los metadatos de una imagen. Browser History Capturer (BHC) y Browser History Viewer (BHV) El software Browser History Capture nos permite capturar el historial de navegación web de cualquier sistema operativo Windows, posteriormente, podremos usar Browser History Viewer (BHV) que es una herramienta de software forense para extraer y ver el historial de Internet de los principales navegadores web de escritorio. SJM Computación 4.0 45
PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD III Ambas las podemos encontrar de manera gratuita. Estas herramientas se pueden ejecutar desde una memoria USB y lo que hará básicamente es capturar el historial de los principales navegadores: Chrome, Edge, Firefox e Internet Explorer. Los archivos del historial se copian a un destino en su formato original para su posterior tratamiento. Paladin Forensic Suite Paladin es una herramienta basada en Ubuntu que permite simplificar la tarea del informático forense. Encontraremos una gran cantidad de herramientas en esta suite para realizar diferentes tareas, lo más destacable es que incorpora más de 100 herramientas muy útiles para investigar incidentes informáticos. Gracias a Paladin, podremos simplificar y acelerar las tareas forenses. Este software dispone de interfaz gráfica de usuario, no requiere la utilización de comandos en línea, por lo que nos facilitará enormemente su utilización. FTK Imager FTK Imager es una herramienta forense para sistemas Windows, nos permite obtener una vista previa de los datos recuperables de un disco de cualquier tipo. También puede crear copias perfectas, llamadas imágenes forenses, de esos datos. Entre sus características y funciones adicionales tenemos la posibilidad de crear archivos hash o montar las imágenes de disco ya creadas son otra de las importantes ventajas a mencionar. Aparentemente AccessData FTK Imager parece una herramienta muy profesional creada sólo para SJM Computación 4.0 46
PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD IV expertos en informática forense avanzada. Sin embargo, en realidad es más sencilla de usar de lo que aparenta y la podría utilizar más gente. Bulk_extractor Bulk_extractor es una herramienta informática forense que nos va a permitir escanear la imagen de un disco, un archivo o un directorio de archivos. Los resultados que obtenemos pueden inspeccionarse y analizarse fácilmente con herramientas automatizadas. Un aspecto destacable es que esta herramienta es muy rápida, a diferencia de otros programas similares, esto es debido a que ignora la estructura del sistema de archivos, por lo que puede procesar diferentes partes del disco en paralelo. LastActivityView LastActivityView es una herramienta de software portable para ver la última actividad registrada en su PC. Respecto a esta aplicación, hay un aspecto importante a mencionar, y es que el registro de Windows ya no se va a actualizar. LastActivityView tiene un muy buen tiempo de respuesta y es capaz de detectar actividad antes de su primera ejecución, además, se ejecuta con una cantidad muy baja de CPU y RAM, por lo que no afectará el rendimiento general de su computadora. Que consuma pocos recursos es una cosa muy positiva y a valorar. FireEye RedLine FireEye es una herramienta de seguridad Endpoint que proporciona capacidades de investigación de SJM Computación 4.0 47
PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD V hosts a los usuarios para encontrar signos de actividad maliciosa a través de la memoria y el análisis de archivos. En este caso hay que señalar que está disponible en OS X y Linux. Entre sus características principales, se incluyen la auditoría y la recopilación de todos los procesos y controles en ejecución desde la memoria, metadatos del sistema de archivos, datos de registro, registros de eventos, información de red, servicios, tareas e historial web. También podremos considerar muy útil un análisis en profundidad, porque permite al usuario establecer la línea de tiempo y el alcance de un incidente. Wireshark y Network Miner Wireshark es actualmente uno de los mejores analizadores de protocolos de redes que existen, es el más conocido y utilizado, multiplataforma (Windows, Linux, FreeBSD y más), y, por supuesto, completamente gratuito. En RedesZone hemos hablado en multitud de ocasiones sobre esta herramienta tan importante, y es que podremos realizar un completo análisis forense a la red local, esnifando todos los paquetes para su posterior estudio. Wireshark nos permite realizar una inspección profunda de todos los paquetes capturados, y tiene una interfaz gráfica de usuario para verlo todo en detalle clasificado por capas (capa física, de enlace, de red, de transporte y aplicación). Con la información que Wireshark captura, podremos ver la información con TShark a través de la línea de comandos. Lo más destacable de Wireshark son los filtros, y es que podremos filtrar una gran captura para que solamente nos muestre lo que nos interesa. SJM Computación 4.0 48
Network Miner es muy similar a Wireshark, es un analizador forense de red para Windows, Linux y MAC OS X. Esta herramienta se utiliza para detectar SO, nombre de host, sesiones, y qué direcciones Ip y puertos se han usado en la captura de datos. Network Miner se puede usar para analizar e incluso capturar paquetes transferidos a través de la red, podremos detectar sistemas operativos de los equipos que hay en la red, puertos abiertos y mucho más. Estas dos herramientas nos permitirán también obtener credenciales de usuario, certificados digitales, información en texto plano, e incluso descifrar comunicaciones si las crackeamos o contamos con la clave de descifrado. Network Miner tiene una versión gratuita, pero también una versión de pago con la que podremos acceder a todas las funcionalidades avanzadas, como la detección del sistema operativo, geolocalización de IP y mucho más. PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD VI SJM Computación 4.0 49
ROLES PRINCIPALES EN PROCESO DE INVESTIGACIÓN FORENSE En un proceso de investigación forense en informática hay ocho roles principales en un caso: el líder del caso, el propietario del sistema, el asesor legal, el auditor/ingeniero especialista en seguridad de la información, el administrador del sistema, el especialista en informática forense, el analista en informática forense y el fiscal. Usualmente, entre todos estos roles, los informáticos forenses pueden tomar los siguientes cuatro roles: Líder del caso: es aquel que planea y organiza todo el proceso de investigación digital. Debe identificar el lugar en donde se realizará la investigación, quienes serán los participantes y el tiempo necesario para esta. Auditor/ingeniero especialista en seguridad de la información: conoce el escenario en donde se desarrolla la investigación. Tiene el conocimiento del modelo de seguridad en el cual ocurrieron los hechos y de los usuarios y las acciones que pueden realizar en el sistema. A partir de sus conocimientos debe entregar información crítica a la investigación. Especialista en informática forense: es un criminalista digital que debe identificar los diferentes elementos probatorios informáticos vinculados al caso, determinando la relación entre los elementos y los hechos para descubrir el autor del delito. Analista en informática forense: examina en detalle los datos, los elementos informáticos recogidos en la escena del crimen con el fin de extraer toda la información posible y relevante para resolver el caso. ** Es importante recalcar que una misma persona puede tomar más de un rol, e incluso los cuatro, en un proceso de investigación. SJM Computación 4.0 50
CLAVES PARA EL ÉXITO LEGAL DE LA INFORMÁTICA FORENSE Claves para el éxito en el uso legal de la informática forense La recopilación electrónica Debe serlo más amplia posible, tomando en consideración a todos los dispositivos electrónicos que podrían estar involucrados y aportar información. Documentar la cadena de custodia Con la intención de llevar un registro minucioso sobre la forma y el momento en el que se obtuvo la información. De igual manera, es imprescindible almacenar datos sobre el dispositivo electrónico en el que se encontró la evidencia. Hacer una copia o respaldo del dispositivo de almacenamiento forense, A fin de evitar poner en riesgo la información encontrada. Mantener contacto cercano Y tomar en cuenta todas las recomendaciones del especialista en informática a la hora de manipular la información, con la intención de reducir los riesgos de afectar la data. El especialista en informática forense Debe contar con la mayor información posible sobre el caso y sus antecedentes. De esta forma, es mucho más certero en su búsqueda y puede encontrar información más interesante para el caso. SJM Computación 4.0 51
CONCLUSIONES La Informática Forense puede ser crucial para ganar un juicio, ya que aporta pruebas irrefutables de ciertos hechos que se quieren probar. Puede ser una gran ventaja en una disputa. También es un arma muy poderosa para la ciberseguridad de la empresa. A través de auditorías minuciosas, los peritos pueden detectar las vulnerabilidades y debilidades en la seguridad de los datos y dispositivos. Los resultados de este análisis harán que la compañía mejore en ese aspecto evitando futuros problemas. El personal especializado en esta disciplina debe tener un amplio conocimiento del mundo de la informática y la tecnología, donde se incluyen técnicas de hacking, cracking y recuperación de información. Su misión es mantener la integridad de los equipos y de los datos sin causar modificaciones que puedan afectar la validez de la información y la hagan inservible dentro del proceso legal. Cabe aclarar que la misión de la informática forense no es la prevenir delitos o ataques informáticos, sino la de investigar y encontrar información valiosa que pueda ser usada dentro de la investigación de un proceso legal. Las labores de prevención son más propias de la seguridad informática. SJM Computación 4.0 52
WEBGRAFÍA https://es.wikipedia.org/wiki/C%C3%B3mputo_forense https://www.ondata.es/recuperar/equipos-forensics.htm https://recfaces.com/es/articles/informatica-forense https://www.europapress.es/portaltic/sector/noticia-informatica-forense-usa-resolver-casos-policiales- judiciales-20181124112932.html https://www.imagar.com/blog-desarrollo-web/la-informatica-forense-que-es-y-para-que-sirve/ https://www.redeszone.net/tutoriales/seguridad/mejores-herramientas-gratuitas-informatica-forense/ https://aldanayabogados.com/informatica-forense-una-herramienta-en-el-derecho/#.YV88ktrMLIU https://platzi.com/blog/que-es-un-informatico-forense/ https://www.timetoast.com/timelines/historia-de-la-informatica-forense-41d18e84-554f-4ea5-856a- 01864e1d401e https://protecciondatos-lopd.com/empresas/informatica-forense/ https://peritojudicial.com/como-informatica-forense-puede-ayudar-juicio/ https://indalics.com/blog-peritaje-informatico/informatica-forense-entorno-juridico https://www.guiaspracticas.com/recuperacion-de-datos/informatica-forense https://www.isecauditors.com/informatica-forense-peritajes https://www.informaticaforense.com.ar/informatica_forense.htm https://docplayer.es/5686591-Analisis-forense-de-un-ataque-web.html SJM Computación 4.0 53

Recomendados

INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSE
Luis Maduro
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Analista Forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Leidy Johana Garcia Ortiz
 
Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.
Internet Security Auditors
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digital
Hacking Bolivia
 
AI05 Analisis forense de sistemas
AI05 Analisis forense de sistemasAI05 Analisis forense de sistemas
AI05 Analisis forense de sistemas
Pedro Garcia Repetto
 
Delitos Informáticos
Delitos InformáticosDelitos Informáticos
Delitos Informáticos
Roxana Carril
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Kmilo Perez
 

Recomendados

INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSE
Luis Maduro
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Analista Forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Leidy Johana Garcia Ortiz
 
Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.
Internet Security Auditors
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digital
Hacking Bolivia
 
AI05 Analisis forense de sistemas
AI05 Analisis forense de sistemasAI05 Analisis forense de sistemas
AI05 Analisis forense de sistemas
Pedro Garcia Repetto
 
Delitos Informáticos
Delitos InformáticosDelitos Informáticos
Delitos Informáticos
Roxana Carril
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Kmilo Perez
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Manuel Mujica
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
 
Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Cyberconference - Evidencia digital
Cyberconference - Evidencia digital
Héctor Revelo Herrera
 
..INFORMATICA FORENSE-CIES
..INFORMATICA FORENSE-CIES..INFORMATICA FORENSE-CIES
..INFORMATICA FORENSE-CIES
tatianachitan
 
Mapa mental contra los delitos informaticos
Mapa mental contra los delitos informaticosMapa mental contra los delitos informaticos
Mapa mental contra los delitos informaticos
yadiraer
 
Manual Evidencia Digital
Manual Evidencia DigitalManual Evidencia Digital
Manual Evidencia Digital
Carmen Castillo
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
Internet Security Auditors
 
Informática forense
Informática forenseInformática forense
Informática forense
deyvidmendozadurand
 
Delitos Informáticos en México y el Mundo
Delitos Informáticos en México y el MundoDelitos Informáticos en México y el Mundo
Delitos Informáticos en México y el Mundo
Joel A. Gómez Treviño
 
Prueba Pericial Informatico Forense
Prueba Pericial Informatico ForensePrueba Pericial Informatico Forense
Prueba Pericial Informatico Forense
Ø Miguel Quintabani
 
Bioseguridad en la Escena del Crimen
Bioseguridad en la Escena del CrimenBioseguridad en la Escena del Crimen
Bioseguridad en la Escena del Crimen
Cesar Jesus Chavez Martinez
 
Metodo informatico forense
Metodo informatico forenseMetodo informatico forense
Metodo informatico forense
Verónika Luna LLena
 
INDICIO DE LA PRUEBA
INDICIO DE LA PRUEBAINDICIO DE LA PRUEBA
INDICIO DE LA PRUEBA
Junior Lino Mera Carrasco
 
características de la informática Juridica
características de la informática Juridicacaracterísticas de la informática Juridica
características de la informática Juridica
ANALAMAS86
 
Diapositivas delitos informaticos
Diapositivas delitos informaticosDiapositivas delitos informaticos
Diapositivas delitos informaticos
Escarlet Perez
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería Social
Alexander Velasque Rimac
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
MSc Aldo Valdez Alvarado
 
Cyber Forensics Module 1
Cyber Forensics Module 1Cyber Forensics Module 1
Cyber Forensics Module 1
Manu Mathew Cherian
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação Forense
Vaine Luiz Barreira, MBA
 
Introducción a la Informática Forensemelissa - copia.pptx
Introducción a la Informática Forensemelissa - copia.pptxIntroducción a la Informática Forensemelissa - copia.pptx
Introducción a la Informática Forensemelissa - copia.pptx
KarinaRamirez16146
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Leonardo Gonzalez
 

Más contenido relacionado

La actualidad más candente

Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
 
Prueba Pericial Informatico Forense
Prueba Pericial Informatico ForensePrueba Pericial Informatico Forense
Prueba Pericial Informatico Forense
Ø Miguel Quintabani
 

La actualidad más candente (20)

Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Cyberconference - Evidencia digital
Cyberconference - Evidencia digital
 
..INFORMATICA FORENSE-CIES
..INFORMATICA FORENSE-CIES..INFORMATICA FORENSE-CIES
..INFORMATICA FORENSE-CIES
 
Mapa mental contra los delitos informaticos
Mapa mental contra los delitos informaticosMapa mental contra los delitos informaticos
Mapa mental contra los delitos informaticos
 
Manual Evidencia Digital
Manual Evidencia DigitalManual Evidencia Digital
Manual Evidencia Digital
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Delitos Informáticos en México y el Mundo
Delitos Informáticos en México y el MundoDelitos Informáticos en México y el Mundo
Delitos Informáticos en México y el Mundo
 
Prueba Pericial Informatico Forense
Prueba Pericial Informatico ForensePrueba Pericial Informatico Forense
Prueba Pericial Informatico Forense
 
Bioseguridad en la Escena del Crimen
Bioseguridad en la Escena del CrimenBioseguridad en la Escena del Crimen
Bioseguridad en la Escena del Crimen
 
Metodo informatico forense
Metodo informatico forenseMetodo informatico forense
Metodo informatico forense
 
INDICIO DE LA PRUEBA
INDICIO DE LA PRUEBAINDICIO DE LA PRUEBA
INDICIO DE LA PRUEBA
 
características de la informática Juridica
características de la informática Juridicacaracterísticas de la informática Juridica
características de la informática Juridica
 
Diapositivas delitos informaticos
Diapositivas delitos informaticosDiapositivas delitos informaticos
Diapositivas delitos informaticos
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería Social
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
 
Cyber Forensics Module 1
Cyber Forensics Module 1Cyber Forensics Module 1
Cyber Forensics Module 1
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação Forense
 

Similar a INFORMÁTICA FORENSE

Informatica forense
Informatica forenseInformatica forense
Informatica forense
javiercailo
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
DONALETE69
 
Informatica forense1
Informatica forense1Informatica forense1
Informatica forense1
Arlen Caicedo
 
Exposición forensia informática
Exposición forensia informáticaExposición forensia informática
Exposición forensia informática
Luis Canelon
 

Similar a INFORMÁTICA FORENSE (20)

Introducción a la Informática Forensemelissa - copia.pptx
Introducción a la Informática Forensemelissa - copia.pptxIntroducción a la Informática Forensemelissa - copia.pptx
Introducción a la Informática Forensemelissa - copia.pptx
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informatica forence compress
Informatica forence compressInformatica forence compress
Informatica forence compress
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
Informatica forence
Informatica forenceInformatica forence
Informatica forence
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Prueba pericial y cadena de custodia
Prueba pericial y cadena de custodiaPrueba pericial y cadena de custodia
Prueba pericial y cadena de custodia
 
Informática forense
Informática forenseInformática forense
Informática forense
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
INFORMATICA FORENSE 2-CIES
INFORMATICA FORENSE 2-CIESINFORMATICA FORENSE 2-CIES
INFORMATICA FORENSE 2-CIES
 
Informatica forense1
Informatica forense1Informatica forense1
Informatica forense1
 
Uso de la informatica forense en el analisis de los delitos informaticos en l...
Uso de la informatica forense en el analisis de los delitos informaticos en l...Uso de la informatica forense en el analisis de los delitos informaticos en l...
Uso de la informatica forense en el analisis de los delitos informaticos en l...
 
Katia stanziola informatica forense
Katia stanziola informatica forenseKatia stanziola informatica forense
Katia stanziola informatica forense
 
EXPOSICION FORENSE GRUPO 9° explicación de normas
EXPOSICION FORENSE GRUPO 9° explicación de normasEXPOSICION FORENSE GRUPO 9° explicación de normas
EXPOSICION FORENSE GRUPO 9° explicación de normas
 
Exposición forensia informática
Exposición forensia informáticaExposición forensia informática
Exposición forensia informática
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Grupo 9 tecnologia informatica vinculada en la ingeneria forense
Grupo 9 tecnologia informatica vinculada en la ingeneria forenseGrupo 9 tecnologia informatica vinculada en la ingeneria forense
Grupo 9 tecnologia informatica vinculada en la ingeneria forense
 
Informática forense
Informática forenseInformática forense
Informática forense
 

Más de EnmerLR

Más de EnmerLR (20)

PHOTOPEA. Editor online de fotos e imágenes
PHOTOPEA. Editor online de fotos e imágenesPHOTOPEA. Editor online de fotos e imágenes
PHOTOPEA. Editor online de fotos e imágenes
 
ROWS.pptx Hoja de cálculo con inteligencia artificial
ROWS.pptx Hoja de cálculo con inteligencia artificialROWS.pptx Hoja de cálculo con inteligencia artificial
ROWS.pptx Hoja de cálculo con inteligencia artificial
 
WHATSAPP PLUS. versión modificada del original
WHATSAPP PLUS. versión modificada del originalWHATSAPP PLUS. versión modificada del original
WHATSAPP PLUS. versión modificada del original
 
GAMMA AI.pptx genera presentaciones con AI
GAMMA AI.pptx genera presentaciones con AIGAMMA AI.pptx genera presentaciones con AI
GAMMA AI.pptx genera presentaciones con AI
 
CAMI AI asistente personal para whatsapp.pptx
CAMI AI asistente personal para whatsapp.pptxCAMI AI asistente personal para whatsapp.pptx
CAMI AI asistente personal para whatsapp.pptx
 
IDEOGRAM AI imágenes generadas por textos.pptx
IDEOGRAM AI imágenes generadas por textos.pptxIDEOGRAM AI imágenes generadas por textos.pptx
IDEOGRAM AI imágenes generadas por textos.pptx
 
SOCRATIC DE GOOGLE (resuelve tareas académicas).pptx
SOCRATIC DE GOOGLE (resuelve tareas académicas).pptxSOCRATIC DE GOOGLE (resuelve tareas académicas).pptx
SOCRATIC DE GOOGLE (resuelve tareas académicas).pptx
 
CLIPCHAMP.pptx
CLIPCHAMP.pptxCLIPCHAMP.pptx
CLIPCHAMP.pptx
 
Google Lens.pptx
Google Lens.pptxGoogle Lens.pptx
Google Lens.pptx
 
MAGIC ERASER AI.pptx
MAGIC ERASER AI.pptxMAGIC ERASER AI.pptx
MAGIC ERASER AI.pptx
 
LEONARDO AI.pptx
LEONARDO AI.pptxLEONARDO AI.pptx
LEONARDO AI.pptx
 
STABLE DOODLE.pptx
STABLE DOODLE.pptxSTABLE DOODLE.pptx
STABLE DOODLE.pptx
 
TOME AI.pptx
TOME AI.pptxTOME AI.pptx
TOME AI.pptx
 
FLIKI AI.pptx
FLIKI AI.pptxFLIKI AI.pptx
FLIKI AI.pptx
 
LuzIA.pptx
LuzIA.pptxLuzIA.pptx
LuzIA.pptx
 
ROBOTS HUMANOIDES.pptx
ROBOTS HUMANOIDES.pptxROBOTS HUMANOIDES.pptx
ROBOTS HUMANOIDES.pptx
 
INGENIERIA DE PROMPT.pptx
INGENIERIA DE PROMPT.pptxINGENIERIA DE PROMPT.pptx
INGENIERIA DE PROMPT.pptx
 
GOOGLE BARD.pptx
GOOGLE BARD.pptxGOOGLE BARD.pptx
GOOGLE BARD.pptx
 
SISTEMA POS.pptx
SISTEMA POS.pptxSISTEMA POS.pptx
SISTEMA POS.pptx
 
STABLE DIFFUSION.pptx
STABLE DIFFUSION.pptxSTABLE DIFFUSION.pptx
STABLE DIFFUSION.pptx
 

Último

ACERTIJO LA RUTA DE LAS ADIVINANZAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
ACERTIJO LA RUTA DE LAS ADIVINANZAS OLÍMPICAS. Por JAVIER SOLIS NOYOLAACERTIJO LA RUTA DE LAS ADIVINANZAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
ACERTIJO LA RUTA DE LAS ADIVINANZAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernándezPRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
Ruben53283
 
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdfPresentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
juancmendez1405
 

Último (20)

Presentación Pedagoía medieval para exposición en clases
Presentación Pedagoía medieval para exposición en clasesPresentación Pedagoía medieval para exposición en clases
Presentación Pedagoía medieval para exposición en clases
 
LA ILIADA Y LA ODISEA.LITERATURA UNIVERSAL
LA ILIADA Y LA ODISEA.LITERATURA UNIVERSALLA ILIADA Y LA ODISEA.LITERATURA UNIVERSAL
LA ILIADA Y LA ODISEA.LITERATURA UNIVERSAL
 
ACERTIJO LA RUTA DE LAS ADIVINANZAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
ACERTIJO LA RUTA DE LAS ADIVINANZAS OLÍMPICAS. Por JAVIER SOLIS NOYOLAACERTIJO LA RUTA DE LAS ADIVINANZAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
ACERTIJO LA RUTA DE LAS ADIVINANZAS OLÍMPICAS. Por JAVIER SOLIS NOYOLA
 
Proceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de PamplonaProceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de Pamplona
 
Análisis de la situación actual .La Matriz de Perfil Competitivo (MPC)
Análisis de la situación actual .La Matriz de Perfil Competitivo (MPC)Análisis de la situación actual .La Matriz de Perfil Competitivo (MPC)
Análisis de la situación actual .La Matriz de Perfil Competitivo (MPC)
 
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernándezPRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
PRÁCTICAS PEDAGOGÍA.pdf_Educación Y Sociedad_AnaFernández
 
Proyecto Integrador 2024. Archiduque entrevistas
Proyecto Integrador 2024. Archiduque entrevistasProyecto Integrador 2024. Archiduque entrevistas
Proyecto Integrador 2024. Archiduque entrevistas
 
ESTEREOTIPOS Y ROLES DE GÉNERO (labor de grupo)
ESTEREOTIPOS Y ROLES DE GÉNERO (labor de grupo)ESTEREOTIPOS Y ROLES DE GÉNERO (labor de grupo)
ESTEREOTIPOS Y ROLES DE GÉNERO (labor de grupo)
 
Proyecto integrador Vereda Cujacal Centro.pptx
Proyecto integrador Vereda Cujacal Centro.pptxProyecto integrador Vereda Cujacal Centro.pptx
Proyecto integrador Vereda Cujacal Centro.pptx
 
ENUNCIADOS CUESTIONARIO S9 GEOLOGIA Y MINERALOGIA - GENERAL.docx
ENUNCIADOS CUESTIONARIO S9 GEOLOGIA Y MINERALOGIA - GENERAL.docxENUNCIADOS CUESTIONARIO S9 GEOLOGIA Y MINERALOGIA - GENERAL.docx
ENUNCIADOS CUESTIONARIO S9 GEOLOGIA Y MINERALOGIA - GENERAL.docx
 
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNETPRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
PRESENTACION DE LA SEMANA NUMERO 8 EN APLICACIONES DE INTERNET
 
Evaluación de los Factores Internos de la Organización
Evaluación de los Factores Internos de la OrganizaciónEvaluación de los Factores Internos de la Organización
Evaluación de los Factores Internos de la Organización
 
PROYECTO INTEGRADOR ARCHIDUQUE. presentacion
PROYECTO INTEGRADOR ARCHIDUQUE. presentacionPROYECTO INTEGRADOR ARCHIDUQUE. presentacion
PROYECTO INTEGRADOR ARCHIDUQUE. presentacion
 
📝 Semana 09 - Tema 01: Tarea - Aplicación del resumen como estrategia de fuen...
📝 Semana 09 - Tema 01: Tarea - Aplicación del resumen como estrategia de fuen...📝 Semana 09 - Tema 01: Tarea - Aplicación del resumen como estrategia de fuen...
📝 Semana 09 - Tema 01: Tarea - Aplicación del resumen como estrategia de fuen...
 
ensayo literario rios profundos jose maria ARGUEDAS
ensayo literario rios profundos jose maria ARGUEDASensayo literario rios profundos jose maria ARGUEDAS
ensayo literario rios profundos jose maria ARGUEDAS
 
6.Deícticos Dos_Enfermería_EspanolAcademico
6.Deícticos Dos_Enfermería_EspanolAcademico6.Deícticos Dos_Enfermería_EspanolAcademico
6.Deícticos Dos_Enfermería_EspanolAcademico
 
Diagnostico del corregimiento de Junin del municipio de Barbacoas
Diagnostico del corregimiento de Junin del municipio de BarbacoasDiagnostico del corregimiento de Junin del municipio de Barbacoas
Diagnostico del corregimiento de Junin del municipio de Barbacoas
 
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdfPresentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
Presentación de medicina Enfermedades Fotográfico Moderno Morado (1).pdf
 
5.Deicticos Uno_Enfermería_EspanolAcademico
5.Deicticos Uno_Enfermería_EspanolAcademico5.Deicticos Uno_Enfermería_EspanolAcademico
5.Deicticos Uno_Enfermería_EspanolAcademico
 
4.Conectores Dos_Enfermería_Espanolacademico
4.Conectores Dos_Enfermería_Espanolacademico4.Conectores Dos_Enfermería_Espanolacademico
4.Conectores Dos_Enfermería_Espanolacademico
 

INFORMÁTICA FORENSE

  • 2. INTRODUCCIÓN Vivimos en una época está caracterizada por la denominada Sociedad de la Información, en la que se está experimentado un proceso de la eliminación del papel y generando una dependencia casi total de los sistemas informáticos. Estamos sufriendo grandes cambios en las tecnologías, software, plataformas, medios de almacenamiento e incluso en la legislación y con ello nuevos delincuentes que emplean esta tecnología para cometer infracciones, por lo que cada vez es más necesario el uso de procesos, métodos, estándares y buenas prácticas, que brinden algún tipo de garantías en la recuperación de información almacenada digitalmente, pues tanto las empresas, los organismos como los particulares delegan cada vez más tareas o son realizadas a través de los sistemas informáticos, debiendo por tanto de esforzarse por controlar la información digitalizada y crear mecanismos de seguridad, firewall, copias de respaldo y auditorías que posteriormente puedan servir como pruebas en una actuación judicial. En esta nueva Era del Conocimiento aparece la necesidad de contar con algún tipo de garantía científica en la que poder confiar para que un juez pueda ayudarse. Dentro del proceso penal se confirma o desvirtúa una hipótesis en función de las pruebas y es en este punto donde la informática forense tiene mucho que aportar pudiendo esclarecer los hechos en base a las evidencias digitales. Desde que se generalizó el uso de los ordenadores personales, se incrementó su utilización en actividades delictivas. SJM Computación 4.0 2
  • 3. DEFINICIONES El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examen forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructuras tecnológicas que permiten identificar, preservar, analizar y presentar datos válidos dentro de un proceso legal. Informática forense es la disciplina que combina los elementos del derecho y la informática para recopilar y analizar datos de sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento de una manera que sea admisible como prueba en un tribunal de justicia. La informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en soportes informáticos. Se trata de una practica cada vez más habitual debido al uso que actualmente todos realizamos de las nuevas tecnologías, y que permite resolver casos policiales o judiciales. La informática forense o el cómputo forense es el uso de métodos y técnicas científicas probadas, con el fin de identificar, preservar, validar, analizar, interpretar, documentar y presentar evidencia digital obtenida a partir de fuentes de información digital, con el propósito de facilitar la reconstrucción de hechos en una investigación legal, o ayudar a anticipar o prevenir acciones en contra de la ley. La Informática Forense se encarga de analizar sistemas informáticos en busca de evidencia que colabore a llevar adelante una causa judicial o una negociación extrajudicial. SJM Computación 4.0 3
  • 4. DEFINICIONES La informática forense o análisis forense digital como la aplicación de técnicas científicas y analíticas especializadas sobre la información procesada electrónicamente y guardada en un medio computacional, que con el apoyo de herramientas de hardware y software, permiten las siguientes 4 acciones: identificar, preservar, analizar y presentar la información obtenida del análisis para generar el informe forense y su presentación a los abogados, jueces o instancias que lo soliciten La informática forense es la rama de la informática que aglutina todos los conocimientos científicos y técnicos en el ámbito de la informática destinados a explicar un determinado hecho o suceso del pasado, de forma palpable o inferida, mediante la aprehensión, conservación, análisis y documentación de información relativa a elementos hardware y/o software. La informática forense es una rama de la ciencia forense que estudia las evidencias encontradas en computadoras y medios de almacenamiento digitales. El objetivo de la informática forense es examinar de una manera forense los medios digitales con el objetivo de identificar, preservar, recuperar, analizar y presentar hechos y opiniones sobre la información digital. La informática forense legal es una herramienta o disciplina que permite recopilar y analizar datos de sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento para presentarlos como una prueba admisible frente a las autoridades legales (el tribunal de justicia). La informática forense es una ciencia y un arte que requiere el uso de técnicas especiales para recuperar, autenticar y analizar datos electrónicos relacionados con delitos informáticos. Combina la informática, la tecnología de la información y otros asuntos técnicos con la ley. SJM Computación 4.0 4
  • 5. DEFINICIÓN INFORMÁTICA FORENSE La informática forense es la encargada de analizar sistemas informáticos para localizar evidencias que sirvan de pruebas. Y así poder realizar una causa judicial o una negociación extrajudicial sobre sucesos relacionados con delitos informáticos Esta aplica una seria de técnicas y herramientas relacionadas de forma directa con software y hardware. Que dan la opción de localizar datos potenciales. Este campo de investigación es empleado principalmente para estudios jurídicos. Pero cualquier empresa o particular puede solicitar servicios de informática forense. SJM Computación 4.0 5
  • 6. DELITOS INFORMÁTICOS SJM Computación 4.0 6 Los delitos informáticos son todas aquellas acciones ilegales, delictivas, antiéticas o no autorizadas que hacen uso de dispositivos electrónicos e internet, a fin de vulnerar, menoscabar o dañar los bienes, patrimoniales o no, de terceras personas o entidades. 1. Accesos ilícitos a sistemas informáticos. 2. Atentado contra la integridad de datos informáticos. 3. Atentado contra la integridad de sistemas informáticos. 4. Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos. 5. Tráfico ilegal de datos. 6. Interceptación de datos informáticos. 7. Fraude informático. 8. Suplantación de identidad. 9. Abuso de mecanismos y dispositivos informáticos. 10. Agravantes.
  • 7. HISTORIA FORENSE DIGITAL (I) Aquí hay puntos de referencia importantes de la historia forense digital: En 1978 Se crea en florida "Computer Crimes Act", la cual es un acta la cual permite reconocer delitos informáticos ante la ley, como contra la propiedad privada, contra equipos informático, contra usuarios de computadores. En 1981 Se crear Copy2pc, esta herramienta permitía la copia de disquetes que están protegidos, para evitar la piratería de estos. En 1982 Se crear Norton Utilities, esta era un suit la cual entre sus programas incluía recuperador de archivo borrados. En 1984 Se crear el programa del FBI CART (Computer Analysis and response team), el cual es equipo encargado del análisis de computadores en busca de los responsables de delitos informáticos. En 1987 High Tech Crime Investigation Association (HTCIA), encargada de impartir cursos a diferente agencias sobre seguridad informaica. En 1991 Se reúnen seis organizaciones internacionales, con agencias federales para discutir sobre los estándar que se debían llevar en la informática forense. En 1992, el término «informática basica forense» se usó en la literatura científica. En 1995 se creó la Organización Internacional de Pruebas Informáticas (IOCE en inglés). En 1997 Se realiza conferencia del G8, en la cual se determina que las entidades gubernamentales debieran estar reparadas para enfrentar delitos informáticos. SJM Computación 4.0 7
  • 8. HISTORIA FORENSE DIGITAL (II) En 1998 Interpol crear el departamento Forensic Science Symposium. En 2000 se estableció el primer laboratorio regional de ciencias forenses informáticas del FBI. En 2002 el grupo de Trabajo científico sobre evidencia digital (SWGDE por sus siglas en inglés) publicó el primer libro sobre ciencias forenses digitales titulado Mejores prácticas de las ciencias forenses informáticas. En 2010, Simson Garfinkel identificó los problemas que enfrentan las investigaciones digitales. SJM Computación 4.0 8
  • 9. ¿QUÉ HACE UN ESPECIALISTA EN INFORMÁTICA FORENSE? Un especialista en informática forense es un especialista en tecnología de la información que recopila y analiza datos de computadoras y medios electrónicos para ser utilizados como evidencia legítima en investigaciones criminales. Este especialista es un experto en la recuperación de datos como correos electrónicos, correspondencia comercial y otros archivos, incluso los que hayan sido eliminados, mientras se asegura de que nada en el sistema informático se modifique o destruya. También pueden investigar piratería informática, distribución de software malicioso o incluso terrorismo. Frecuentemente son llamados a declarar en juicios donde se presentan pruebas informáticas. Los especialistas en informática forense a menudo trabajan en la aplicación de la ley. Pueden colaborar con departamentos de policía locales o agencias de policía regionales más grandes. Algunos trabajan en el ejército o la inteligencia. Los bufetes de abogados y las grandes corporaciones a veces también contratan expertos en informática. También pueden trabajar con compañías privadas que brindan servicios forenses digitales por contrato. Un especialista independiente en informática forense además puede trabajar como freelancer. SJM Computación 4.0 9
  • 10. OBJETIVOS PRINCIPALES Y SECUNDARIOS Objetivos Principales de la informática forense La informática forense tiene tres objetivos: 1.- La compensación de los daños causados por los intrusos o criminales. 2.- La persecución y procesamiento judicial de los criminales. 3.- La creación y aplicación de medidas para prevenir casos similares. Objetivos Secundarios: Los objetivos secundarios del uso de la informática forense: 1. Ayuda a recuperar, analizar y preservar el ordenador y los materiales relacionados de tal manera que ayuda a la agencia de investigación a presentarlos como evidencia en un tribunal de justicia. 2. Ayuda a postular el motivo detrás del crimen y la identidad del principal culpable. 3. Diseñar procedimientos en una presunta escena del crimen que ayudan a garantizar que la evidencia digital obtenida no esté corrupta. 4. Adquisición y duplicación de datos: recuperación de archivos eliminados y particiones eliminadas de medios digitales para extraer la evidencia y validarlos. 5. Ayuda a identificar la evidencia rápidamente y también permite estimar el impacto potencial de la actividad maliciosa en la víctima 6. Producir un informe forense informático que ofrece un informe completo sobre el proceso de investigación. 7. Preservar la evidencia siguiendo la cadena de custodia. SJM Computación 4.0 10
  • 11. TIPOS DE INFORMÁTICA FORENSE (I) Los principales tipos de informática forense son los siguientes: 1.- De sistemas operativos Es el proceso de recuperación de información útil del sistema operativo (SO) del ordenador o dispositivo móvil en cuestión. El objetivo de recopilar esta información es adquirir evidencia empírica contra el autor. La comprensión de un sistema operativo y su sistema de archivos es necesaria para recuperar datos para investigaciones informáticas. El sistema de archivos proporciona un sistema operativo con una hoja de ruta para los datos en el disco duro. El sistema de archivos también identifica cómo el disco duro almacena los datos. 2.- De redes El análisis forense de la red se refiere a la recopilación, monitorización y análisis de las actividades de la red para descubrir la fuente de ataques, virus, intrusiones o violaciones de seguridad que ocurren en una red o en el tráfico de la red. Como tal, el análisis forense de la red se considera junto con el análisis forense móvil o el análisis forense de imágenes digitales, como parte del análisis forense digital. Por lo general, se usa cuando se trata de ataques a la red. En muchos casos, se usa para monitorizar una red para identificar proactivamente el tráfico sospechoso o un ataque inminente. Por otro lado, se utiliza para recopilar pruebas mediante el análisis de datos de tráfico de red para identificar la fuente de un ataque. SJM Computación 4.0 11
  • 12. TIPOS DE INFORMÁTICA FORENSE (II) 3.- En dispositivos móviles Los crímenes no ocurren aislados de las tendencias tecnológicas; por lo tanto, el análisis forense de dispositivos móviles se ha convertido en una parte importante del análisis forense digital. El proceso forense móvil tiene como objetivo recuperar evidencia digital o datos relevantes de un dispositivo móvil de una manera que conserve la evidencia en una condición forense sólida. Para lograr eso, el proceso forense móvil necesita establecer reglas precisas que incauten, aíslen, transporten, almacenen para el análisis y prueben pruebas digitales que se originen de manera segura desde dispositivos móviles. 4.- En la nube o Cloud Hoy en día, con la mayoría de los datos críticos de nuestra empresa transferidos a los proveedores de servicios en la nube, una de nuestras principales preocupaciones es tratar los asuntos de seguridad. Eso incluye ser capaz de responder rápidamente y reportar eventos que pueden conducir a problemas legales. Esta no es una tarea fácil y las cosas se complican aún más por el hecho de que tenemos que confiar en la capacidad de nuestro proveedor de la nube para entregar datos forenses digitales en caso de cualquier disputa legal (ya sea civil o criminal) durante los ataques cibernéticos o incluso si los datos se produce una violación. El análisis forense de la nube combina la computación en la nube y el análisis forense digital, que se centra principalmente en la recopilación de información forense digital de una infraestructura de la nube. SJM Computación 4.0 12
  • 13. LA CADENA DE CUSTODIA (I) ¿Qué es la cadena de custodia de una evidencia digital? La cadena de custodia de una evidencia digital es el procedimiento de informática forense, oportunamente documentado, que permite constatar el origen, autenticidad e integridad del elemento digital demostrativo de un hecho relevante para el proceso judicial, desde que es encontrado e intervenido. En el ámbito de la informática forense resulta fundamental si se requiere acudir a tribunales de justicia para dirimir responsabilidades y daños informáticos causados por terceros. Uno de los principales problemas a los que se enfrenta el informático forense es el de garantizar la cadena de custodia de las evidencias digitales encontradas, de tal manera que quede garantizado que la información trasladada a la autoridad competente es exactamente la misma que fue incautada por el profesional forense. La garantía de la cadena de custodia aplicada a la evidencia digital, se realiza mediante la acreditación de la autenticidad del origen y la integridad del contenido. Las dudas que pueda tener un tribunal de justicia respecto de estos dos requisitos serán determinantes para la denegación de la eficacia probatoria de los datos incautados por el informático forense. SJM Computación 4.0 13
  • 14. LA CADENA DE CUSTODIA (II) SJM Computación 4.0 14
  • 15. PROCESOS DE LA INFORMÁTICA FORENSE (I) PROCESOS DE LA INFORMÁTICA FORENSE El examen técnico-informático (también llamado examen informático) es forense y se asigna por orden del investigador. Los requisitos para tal examen y los peritos que lo llevan a cabo son más estrictos y su importancia para la sentencia es mayor que la importancia de los resultados de la investigación no procesal. Estos últimos pueden ser agregados al caso como evidencia, pero no pueden reemplazar la opinión de un experto. 1.- Identificación Es muy importante conocer los antecedentes a la investigación "HotFix", situación actual y el proceso que se quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategias (debes estar bien programado y sincronizado con las actividades a realizar, herramientas de extracción de los registros de información a localizar). Incluye muchas veces (en un momento específico Observar, Analizar Interpretar y Aplicar la certeza, esto se llama criterio profesional que origina la investigación) la identificación del bien informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma de decisión con respecto al siguiente paso una vez revisados los resultados. 2.- Preservación Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder SJM Computación 4.0 15
  • 16. realizar el análisis. Dicha duplicación se realiza utilizando tecnología punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere (soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia “bit- a-bit” (copia binaria) de todo el disco duro, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios. Los datos identificados se conservan en la base computacional, lo cual hace fácil el posterior análisis y búsqueda de esta información cuando sea necesaria a base de una investigación forense o criminalística. 3.- Análisis Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca, modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos, recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc. El análisis de datos forenses en el procesamiento de la información forense se elabora gracias a un PROCESOS DE LA INFORMÁTICA FORENSE (II) SJM Computación 4.0 16
  • 17. software profesional y a la cantidad de datos que están presentados en la cartografía forense. El computador hace fácil analizar una gran cantidad de datos, ayudando así a tener un resultado significativo en la investigación forense. 4.- Presentación Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y discreta al solicitante la documentación ya que siempre existirán puertas traseras dentro del sistema en observación y debe ser muy específica la investigación dentro del sistema que se documenta porque se compara y vincula una plataforma de telecomunicación y computo forense y que están muy estrechamente enlazadas no omitiendo los medios de almacenamiento magnéticos portables estos son basamentos sobre software libre y privativo. Deberá ser muy cuidadosa la información a entregar porque se maneja el prestigio técnico según la plataformas y sistemas. Para poder realizar con éxito su trabajo, el investigador nunca debe olvidar: Ser imparcial. Solamente analizar y reportar lo encontrado. PROCESOS DE LA INFORMÁTICA FORENSE (III) SJM Computación 4.0 17
  • 18. Mantener la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia). Documentar toda actividad realizada. El especialista debe conocer también sobre: Desarrollo de los exploit (vulnerabilidades), esto le permite al informático forense saber qué tipo de programas se pondrán de moda, para generar una base de estudio que le permita observar patrones de comportamiento. PROCESOS DE LA INFORMÁTICA FORENSE (IV) SJM Computación 4.0 18
  • 19. INFORMÁTICA FORENSE VS INFORMÁTICA ANTI-FORENSE (I) La informática anti-forense puede ser la peor pesadilla de un investigador informático. Los programadores diseñan herramientas anti forenses para que sea difícil o imposible recuperar información durante una investigación. Esencialmente, la informática anti-forense se refiere a cualquier técnica, dispositivo o software diseñado para obstaculizar una investigación informática. Hay docenas de formas en que las personas pueden ocultar información. Algunos programas pueden engañar a los ordenadores cambiando la información en los encabezados de los archivos. Un encabezado de archivo normalmente es invisible para los humanos, pero es extremadamente importante: le dice al ordenador a qué tipo de archivo se adjunta el encabezado. Si tuviera que cambiar el nombre de un archivo mp3 para que tuviera una extensión .gif, el ordenador sabría que el archivo era realmente un mp3 debido a la información en el encabezado. Algunos programas permiten cambiar la información en el encabezado para que el ordenador piense que es un tipo diferente de archivo. Otros programas pueden dividir los archivos en pequeñas secciones y ocultar cada sección al final de otros archivos. Los archivos a menudo tienen un espacio no utilizado llamado espacio flojo. Con el programa correcto, puede ocultar archivos aprovechando este espacio flojo. Es muy difícil recuperar y volver a ensamblar la información oculta. SJM Computación 4.0 19
  • 20. INFORMÁTICA FORENSE VS INFORMÁTICA ANTI-FORENSE (II) También es posible ocultar un archivo dentro de otro. Los archivos ejecutables son particularmente problemáticos. Los programas llamados empacadores pueden insertar archivos ejecutables en otros tipos de archivos, mientras que las herramientas llamadas enlazadoras pueden unir varios archivos ejecutables. El cifrado es otra forma de ocultar datos. Cuando encriptas datos, utilizas un conjunto complejo de reglas llamado algoritmo para hacer que los datos sean ilegibles. Una persona que quiera leer los datos necesitaría la clave de cifrado. Sin la clave, los detectives tienen que usar programas de ordenador diseñados para descifrar el algoritmo de cifrado. Cuanto más sofisticado sea el algoritmo, más tiempo llevará descifrarlo sin una clave. Otras herramientas anti forenses pueden cambiar los metadatos adjuntos a los archivos. Si los metadatos se ven comprometidos, es más difícil presentar la evidencia como confiable. Algunas personas usan informática anti-forense para demostrar cuán vulnerables y poco confiables pueden ser los datos del ordenador. Si no puedes estar seguro de cuándo se creó un archivo, cuándo se accedió por última vez o si alguna vez existió, ¿cómo puedes justificar el uso de pruebas informáticas en un tribunal de justicia? SJM Computación 4.0 20
  • 21. DISPOSITIVOS A ANALIZAR Dispositivos a analizar Toda aquella infraestructura informática que tenga una memoria es susceptible de análisis: Disco duro de una Computadora o Servidor Documentación referente al caso. Tipo de sistema de telecomunicaciones. Dirección MAC. Inicios de sesiones. Información de los cortafuegos. IP, redes Proxy. LMhost, host, conexiones cruzadas, pasarelas. Software de supervisión y seguridad. Credenciales de autentificación. Rastreo de paquetes de red. Teléfonos móviles o celulares (telefonía móvil) Agendas electrónicas (PDA). Dispositivos de GPS. Impresoras. Memorias USB. BIOS. SJM Computación 4.0 21
  • 22. HARDWARE PARA ANÁLISIS FORENSE (I) Para realizar un Análisis Informático Forense es imprescindible contar con el equipamiento necesario, no solo para investigar sino también para proteger la integridad de los dispositivos a analizar, de forma que sigan siendo válidos como prueba judicial. los equipos con la más avanzada tecnología en el campo del Análisis Informático Forense: copiadoras duplicadoras, creadoras de imágenes ultrarrápidas, equipos para investigación "en caliente" no intrusivos que no dejan huella, así como equipos para borrado seguro. ESTACIONES FORENSES Estación Forense Velociraptor 7 El equipo Velociraptor 7 es una estación forense de alto rendimiento, pensada para acelerar la obtención de resultados y profundizar en las investigaciones. Está diseñada para ejecutar diferentes aplicaciones forenses al mismo tiempo, incorpora 32TB en Raid 5 para dar máxima seguridad al almacenamiento de evidencias. Además incluye el dispositivo DeepSpar, el cual permite recuperar datos de discos duros con inestables, dándole la oportunidad al investigador de obtener información que puede ser valiosa para la investigación. SJM Computación 4.0 22
  • 23. CLONADORAS DE DISCOS Duplicadora Ditto DX Forensic CRU presenta el nuevo estándar de explotación de datos digitales y adquisición forense. Ditto es mucho más que una máquina de clonado forense al uso. Construida completamente en aluminio y llegando a alcanzar velocidades de operación de hasta 6.5GB/min, Ditto ofrece un gran abanico de posibilidades: Capacidad de navegación y adquisición de datos a través de la red mediante conexión SSL por sus puertos, origen y destino Gigabit Ethernet HARDWARE PARA ANÁLISIS FORENSE (II) Perfecta para el trabajo de campo al estar equipada con una batería de larga duración Sin ruido de ventilación debido a su arquitectura Copia simultánea a dos dispositivos en modo RAW DD, clon o mixto Interfaz sencilla y amigable SJM Computación 4.0 23
  • 24. EQUIPO ANÁLISIS FORENSE Voom modelo Shadow 3 Dispositivo hardware diseñado para ayudar a los investigadores forenses a acceder al soporte magnético sin alterar su contenido. Principales características: Permite investigar discos duros origen en la escena del crimen en cuestión de minutos, antes de crear la imagen. Con el constante aumento de capacidad de los discos duros, el ahorro de tiempo a la hora de priorizar el orden de los discos de los que se creará la imagen, o incluso eliminar la necesidad de crear la imagen de ciertos discos cuando se trata de una captura múltiple, se ha convertido en algo de vital importancia. HARDWARE PARA ANÁLISIS FORENSE (III) Permite investigar y analizar discos origen una y otra vez en el laboratorio forense en cuestión de segundos sin necesidad de volver a crear la imagen. Permite ver las evidencias en su ambiente nativo. Permite presentar las evidencias de una forma comprensible para los no expertos en el propio ordenador investigado. Cuando se sospecha una actividad ilícita, como la descarga nocturna de archivos confidenciales, utilice Shadow para verificar la actividad y preservar los metadatos. SJM Computación 4.0 24
  • 25. BLOQUEADORES DE ESCRITURA Logicube Logicube proporciona una línea de bloqueadores de escritura para análisis forense: portátil, de escritorio y bahía. La idea detrás de la línea de productos es combinar múltiples interfaces en un solo dispositivo. Bloqueador WriteProtect Desktop Conexión de host USB3.0 Fast Superspeed HARDWARE PARA ANÁLISIS FORENSE (IV) Admite unidades de origen SAS, SATA, FireWire, USB3.0, IDE Admite SSD PCIe (M.2 SATA / AHCI / NVMe), tarjetas PCIe y mini-PCIe express con adaptadores opcionales Interfaz de usuario basada en navegador para vista previa de unidades, actualizaciones de software, gestión de HPA / DCO Permite conectar y crear imágenes de múltiples unidades de fuente simultáneamente con su software de imágenes forenses SJM Computación 4.0 25
  • 26. PC-3000 EXPRESS SYSTEM PC-3000 Express System PC-3000 Express es una de las soluciones más eficientes y rápidas de hardware y software diseñadas para el diagnóstico, reparación y recuperación de datos de discos duros dañados basados en puertos SATA e IDE, soporta discos con diferentes capacidades de almacenamiento, desde 500MB hasta 6TB. HARDWARE PARA ANÁLISIS FORENSE (V) La PC-3000 Expressincorpora4 puertos SATA y 2 puertos IDE, además incluye que el software Data Extractor Express, para recuperación de datos una vez que haya sido reparado el disco. Dependiendo cuales sean los requerimientos, existen diferentes sistemas PC-3000 que se ajustan a las necesidades que se tengan. SJM Computación 4.0 26
  • 27. EL MALETÍN DEL INVESTIGADOR FORENSE (I) Respecto a las capacidades para clonado de discos, es importante tener duplicadores de disco con varias interfaces ATA, IDE, SCSI e incluso USB y Firewire. Algunos duplicadores pueden funcionar en modo "espejo", permitiendo a un investigador escribir copias a dos unidades simultáneamente y teniendo una redundancia tan importante hoy en día en los análisis forenses. Otro aspecto que debe incluir todo buen maletín son los write blockers o protectores de escritura. Debido a que muchos sistemas operativos escriben datos en el disco nada más encender el equipo, muchos investigadores optan por el uso de bloqueadores hardware para prohibir cualquier modificación durante el duplicado. Un write blocker no es más (ni menos) que una herramienta para interceptar las comunicaciones entre el sistema operativo y el medio de almacenamiento (por lo general un disco duro ATAPI) filtrando las E/S que solicitan la modificación de los datos. Requisitos de software En cuanto al software, no hay un entorno definitivamente mejor que otro para nuestra estación de trabajo forense. No obstante hay que tener en cuenta también una serie de consideraciones. Basta un sistema operativo estable, multiusuario, que tenga capacidades para loggear los eventos de hardware relevantes y los datos de las sesiones. Debe ser un sistema modular, que soporte diferentes periféricos y sistemas de ficheros. Es necesario tener un control absoluto de los servicios y de cómo se montan las particiones y dispositivos para preservar la evidencia durante el análisis. Por último y en caso de duda, es preferible instalar un sistema multi-arranque o virtualizar. SJM Computación 4.0 27
  • 28. EL MALETÍN DEL INVESTIGADOR FORENSE (II) Hoy en día existen una serie de maletines que facilitan estas tareas proporcionando al investigador un completo y auténtico laboratorio forense portátil. Estos kits suelen ahorrar tiempo en las fases de adquisición e investigación, por ejemplo incluyendo write-blocking y realizando cálculos de hashes. mientras se copian los datos. Sin embargo, hay que decir que no existe ninguna función que realice cualquiera de estos kits que no pueda también llevar a cabo un programa de software instalado en un equipo convencional. Requisitos de hardware Primero es imprescindible que la estación de trabajo forense sea ampliable y que el investigador sea capaz de reconfigurar el sistema para dar cabida a interfaces adicionales. Uno de los nuevos procesadores Intel o AMD será más que suficiente para la mayoría de las investigaciones. Aunque en algunas ocasiones será necesario comparar los hashes de una gran cantidad de ficheros o buscar palabras clave en el disco duro, la velocidad de proceso dependerá de la velocidad de acceso a la unidad, por lo que en lugar de invertir en un procesador muy potente será necesario centrarse en conseguir la velocidad más alta posible del bus I/O para que el sistema pueda acceder rápidamente a los datos almacenados en el disco. En cuanto a la capacidad de almacenamiento de las evidencias dependerá un poco del nivel y la periodicidad de los análisis forenses que realicemos. SJM Computación 4.0 28
  • 29. LA EVIDENCIA DIGITAL INFORMÁTICA FORENSE (I) QUÉ ES LA EVIDENCIA DIGITAL INFORMÁTICA FORENSE? Una evidencia digital informática forense es cualquier registro de la información almacenada o transmitida a través de un sistema informático y por lo tanto en formato digital que pueda usarse como probatorio ya sea en parte o en su totalidad ante el tribunal para de un proceso judicial o simplificando la definición, la evidencia digital informática forense es cualquier dato digital capaz de establecer una relación entre un crimen y su víctima o un crimen y su autor. Durante el un peritaje forense informático podrán tratarse tanto evidencias electrónicas como evidencias digitales, las cuales son abordadas diseñando el procedimiento adecuado en función del tipo de evidencia y creando un paralelismo entre la escena física del crimen y la digital. Los involucrados en un crimen suelen intentar eliminar o cambiar la evidencia digital alternado cualquier rastro pero estas acciones pueden no serles suficientes para salir airosos dado que: - Es posible obtener una copia exacta y fehaciente de la evidencia digital, evitando el riesgo de alterar la prueba original. - Las herramientas de la informática forense permiten comprar el original con la evidencia digital para determinar si ha sido alterada. - Aún borrando la información de los discos es posible recuperarlos. Suelen existir copias de la evidencia - Los propios movimientos dejan a su vez rastros. SJM Computación 4.0 29
  • 30. LA EVIDENCIA DIGITAL INFORMÁTICA FORENSE (II) CUÁNDO ES ADMISIBLE UNA EVIDENCIA DIGITAL COMO PRUEBA EN JUICIO Con las legislaciones actuales en la mano podemos determinar que una evidencia digital es admisible si cumple los criterios de: Autenticidad: Se cumplirá el criterio de autenticidad cuando la evidencia digital se pueda demostrar que: 1) ha sido obtenida, generada y registrada en el lugar de los hechos y 2) que los medios originales no han sido alterados, dada la facilidad de manipulación, debiendo por tanto aplicar mecanismos que certifiquen la integridad de los archivos y el control de cambios. Confiabilidad: Se dice que los registros de eventos de seguridad son confiables si provienen de fuentes que son “creíbles y verificable”. Para probar esto, se debe contar con una arquitectura de computación en correcto funcionamiento, la cual demuestre que los logs que genera tiene una forma confiable de ser identificados, recolectados, almacenados y verificados. Una prueba digital es confiable si el “sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o generar la prueba”. La arquitectura de computación del sistema logrará tener un funcionamiento correcto siempre que tenga algún mecanismo de sincronización del registro de las acciones de los usurarios del sistema y que a posea con un registro centralizado e íntegro de los mismos registros. SJM Computación 4.0 30
  • 31. LA EVIDENCIA DIGITAL INFORMÁTICA FORENSE (III) Completitud de las pruebas: Para que una prueba esté considerada dentro del criterio de la suficiencia debe estar completa con lo que es necesario hacer una correlación de los distintos registros. Reglas del poder judicial: La evidencia digital debe cumplir con los códigos de procedimientos, disposiciones y normas legales vigentes en el sistema jurídico del ordenamiento del país. CÓMO SALVAGUARDAR LA EVIDENCIA DIGITAL Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto a la manipulación de la evidencia digital: - Hacer copias empleando medios de almacenamiento nuevos y debidamente formateados. - Evitar que cualquier proceso pueda alterar la integridad del medio original. - La evidencia digital forense sólo será accesible por un profesional forense informático. - Etiquetar, controlar, preservar y documentar las copias de los datos recogidos del medio original y los resultados de la investigación. - La evidencia digital será responsabilidad de aquel forense informático que la tenga en posesión o persona autorizada para su custodia. SJM Computación 4.0 31
  • 32. LA EVIDENCIA DIGITAL INFORMÁTICA FORENSE (IV) Creación de imágenes forenses La herramienta más ampliamente utilizada para la creación de imágenes forenses es Guymager, que es una herramienta gratuita de adquisición y preservación de evidencias digitales en entorno Linux, generando imágenes en formato dd, E01 y AFF. También es capaz de realizar el clonado forense de discos duros sin necesidad de una clonadora y de obtener la firma Hash del disco duro clonado o del fichero de imagen creado. Cálculo de firmas hash Normalmente se trata de software que nos generará el código hash identificativo de cada uno de los ficheros electrónicos que estamos estudiando o del dispositivo de almacenamiento completo. Ello se usa para acreditar que las copias de datos se corresponden fielmente con los originales. Uno de los más comunes es FCIV. SJM Computación 4.0 32
  • 33. EL FUTURO DEL ANÁLISIS INFORMÁTICO FORENSE (I) ¿Por qué el análisis informático forense será tan importante en el futuro? Con el constante aumento de los dispositivos digitales y las actuaciones en línea, la mayoría de los delitos en el futuro serán cometidos en la red. La importancia de la informática forense para un negocio o una corporación es enorme. Por ejemplo, a menudo se piensa que simplemente fortalecer las líneas de defensa con cortafuegos, enrutadores, etc. será suficiente para frustrar cualquier ataque cibernético. Pero el profesional de seguridad sabe que esto no es cierto, dada la naturaleza extremadamente sofisticada del hacker cibernético actual. Esta premisa tampoco es cierta desde el punto de vista de la informática forense. Si bien estas piezas especializadas de hardware proporcionan información en cierto grado sobre lo que generalmente ocurrió durante un ataque cibernético, a menudo no poseen esa capa más profunda de datos para proporcionar esas pistas sobre lo que sucedió exactamente. Esto subraya la necesidad de que la organización también implemente esos mecanismos de seguridad (junto con el hardware anterior) que pueden proporcionar estos datos específicos (ejemplos de esto incluyen los dispositivos de seguridad que utilizan inteligencia artificial, aprendizaje automático, análisis de negocios, etc.). Por lo tanto, la implementación de este tipo de modelo de seguridad en el que también se adoptan los principios de la informática forense también se conoce como “Defensa en profundidad“. SJM Computación 4.0 33
  • 34. EL FUTURO DEL ANÁLISIS INFORMÁTICO FORENSE (II) Al tener estos datos específicos, hay una probabilidad mucho mayor de que las pruebas presentadas se consideren admisibles en un tribunal de justicia, lo que lleva a los responsables que lanzaron el ataque cibernético ante la justicia. Además, al incorporar los principios de una “Defensa en profundidad”, la empresa o corporación puede cumplir fácilmente con las leyes y mandatos gubernamentales. Requieren que todos los tipos y tipos de datos se archiven y almacenen para fines de auditoría. Si una entidad falla alguna medida de cumplimiento, puede enfrentar severas sanciones financieras. SJM Computación 4.0 34
  • 35. USOS DE LAS EVIDENCIAS DIGITALES EN INFORMÁTICA FORENSE Los usos de la informática forense son diversos y dado que en la vida cotidiana estamos trabajando continuamente con los sistemas de información en los que vamos dejando rastro de nuestras acciones, puede ayudar a resolver situaciones en distintos entornos: Corporativos: Resolviendo casos de espionaje industrial, mal uso de los recursos por parte de un trabajador, apropiación de información confidencial, acoso sexual, robo... Criminales: Evidencia incriminatoria es usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. Litigios: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense. Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva. SJM Computación 4.0 35
  • 36. SISTEMAS OPERATIVOS ORIENTADOS A INFORMÁTICA FORENSE I Sistemas operativos completos orientados a informática forense Actualmente existen sistemas operativos todo en uno, que disponen de la gran mayoría de herramientas de informática forense que veremos a continuación. Si estás pensando en realizar un análisis forense y no tienes creado un sistema operativo todo en uno con tus propias herramientas, con estos sistemas operativos podrás empezar rápidamente. CAINE CAINE es un sistema operativo completo que está orientado específicamente a la informática forense, está basado en Linux e incorpora la gran mayoría de herramientas que necesitaremos para realizar un análisis forense completo. Dispone de una interfaz gráfica de usuario, es muy fácil de utilizar, aunque lógicamente necesitarás los conocimientos adecuados para utilizar todas y cada una de sus herramientas. CAINE se puede utilizar en modo LiveCD sin tocar el almacenamiento del ordenador donde queremos arrancarlo, de esta manera, toda la información del disco duro permanecerá intacta para posteriormente realizar la copia de toda la información. Entre las herramientas incluidas con CAINE tenemos las siguientes: The Sleuth Kit, Autopsy, RegRipper, Wireshark, PhotoRec, Fsstat y muchas otras. SJM Computación 4.0 36
  • 37. Un aspecto muy importante de CAINE es que también dispone de herramientas que se pueden ejecutar directamente en sistemas operativos Windows, por lo que si nos bajamos la imagen ISO y extraemos su contenido, podremos acceder al software para Windows que incorpora, sin necesidad de arrancar el LiveCD o utilizar una máquina virtual. Algunas de las herramientas para Windows que tenemos disponibles son: Nirsoft suite + launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, Network tools, NTFS Journal viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC y Windows File Analyzer. Kali Linux Kali Linux es uno de los sistemas operativos relacionados con seguridad informáticas más utilizados, tanto para pentesting como también para informática forense, ya que en su interior tenemos una gran cantidad de herramientas preinstaladas y configuradas para ponernos a realizar un análisis forense lo antes posible. Este sistema operativo no solo tiene una gran cantidad de herramientas forenses en su interior, sino que dispone de un modo Live específico para análisis forense, y no escribir absolutamente nada en el disco duro o almacenamiento interno que tengamos en los equipos. También impide que cuando introducimos un dispositivo de almacenamiento extraíble, se monte automáticamente, sino que lo tendremos que hacer nosotros mismos manualmente. SISTEMAS OPERATIVOS ORIENTADOS A INFORMÁTICA FORENSE II SJM Computación 4.0 37
  • 38. DEFT Linux y DEFT Zero El sistema operativo DEFT Linux está también orientado específicamente a análisis forense, incorpora la gran mayoría de herramientas de CAINE y Kali Linux, es una alternativa más que tenemos disponible y que podemos utilizar. Lo más destacable de DEFT es que dispone de una gran cantidad de herramientas forenses listo para utilizar. DEFT Zero es una versión mucho más ligera y reducida de DEFT, está orientada a exactamente lo mismo, pero ahora necesitaremos menos recursos para poder utilizarla sin problemas, además, es compatible tanto con sistemas de 32 bits y 64 bits, así como sistemas UEFI. SISTEMAS OPERATIVOS ORIENTADOS A INFORMÁTICA FORENSE III SJM Computación 4.0 38
  • 39. HERRAMIENTAS GRATUITAS DE ANÁLISIS FORENSE (I) Herramientas gratuitas de análisis forense Hemos visto todos los sistemas operativos orientados a informática y análisis forense, vamos a ver diferentes herramientas gratuitas para la realización de tareas forense y están incorporadas en estas distribuciones Linux que acabamos de ver. Autopsy y The Sleuth Kit Autopsy es una de las más utilizadas y recomendadas, nos permitirá localizar muchos de los programas y plugins de código abierto, es como una biblioteca de Unix y utilidades basadas en Windows, el cual facilita enormemente el análisis forense de sistemas informáticos. Autopsy es una interfaz gráfica de usuario que muestra los resultados de la búsqueda forense. Esta herramienta es muy utilizada por la policía, los militares y las empresas cuando quieren investigar qué es lo que ha pasado en un equipo. Uno de los aspectos más interesantes es que es extensible, esto significa que los usuarios pueden agregar nuevos complementos de manera fácil y rápida. Incorpora algunas herramientas de manera predeterminada como PhotoRec para recuperar archivos, e incluso permite extraer información EXIF de imágenes y vídeos. The Sleuth Kit, es una colección de herramientas de comandos en línea para investigar y analizar el volumen y los sistemas de archivos utilizados en investigaciones forenses digitales. Con su diseño modular, se puede utilizar para obtener los datos correctos y encontrar evidencias. Además, es compatible y funciona en Linux y se ejecuta en plataformas Windows y Unix. SJM Computación 4.0 39
  • 40. HERRAMIENTAS GRATUITAS DE ANÁLISIS FORENSE (II) Magnet Encrypted Disk Detector Esta herramienta funciona a través de la línea de comandos, verifica de manera rápida y no intrusiva los volúmenes cifrados en un ordenador, para saber si existen para posteriormente intentar acceder a ellos con otras herramientas. La última versión disponible es la 3.0, y es la que se recomienda utilizar, además, es recomendable usar el sistema operativo Windows 7 o superior. Esta herramienta nos permite detectar discos físicos cifrados con TrueCrypt, PGP, VeraCrypt, SafeBoot, o Bitlocker de Microsoft. Magnet Encrypted Disk Detector es totalmente gratuita, pero necesitaremos registrarnos en su web oficial para proceder con la descarga. Magnet RAM Capture y RAM Capturer Magnet RAM Capture es una herramienta que está diseñada para obtener la memoria física del ordenador donde la utilicemos. Al usarla, podremos recuperar y analizar datos muy valiosos que se almacenan en la memoria RAM y no en un disco duro o SSD. Es posible que, en determinados casos, tengamos que buscar la evidencia directamente en la memoria RAM, y debemos recordar que la RAM es volátil y que se borra cada vez que apagamos el equipo. ¿Qué podemos encontrar en la memoria RAM? Procesos, programas ejecutándose en el sistema, conexiones de red, evidencias de malware, credenciales de usuario y mucho más. Esta herramienta permite exportar los datos de memoria en bruto, sin procesar, para posteriormente cargar esta información en otras herramientas específicamente diseñadas para ello. Por supuesto, este software también es gratis. SJM Computación 4.0 40
  • 41. HERRAMIENTAS GRATUITAS DE ANÁLISIS FORENSE (III) RAM Capturer, podremos volcar los datos de la memoria RAM de un ordenador a un disco duro, pendrive u otro dispositivo de almacenamiento extraíble. Esta herramienta nos permitirá acceder a las credenciales de usuario de volúmenes cifrados como TrueCrypt, BitLocker, PGP Disk o credenciales de inicio de sesión de cuenta para muchos servicios de correo web y redes sociales, ya que toda esta información suele almacenarse en la memoria RAM. Magnet Process Capture MAGNET Process Capture es una herramienta gratuita que nos permitirá capturar la memoria de procesos individuales de un sistema, es decir, si necesitamos saber los datos que está utilizando un determinado proceso de nuestro sistema operativo, podremos hacerlo con esto. Magnet Web Page Saver y FAW MAGNET Web Page Saver es una alternativa a la anterior, y se encuentra actualizada por lo que dispondremos de todas las mejoras. Esta herramienta es perfecta para capturar cómo está la web en un determinado momento, es especialmente útil cuando queremos mostrar una web, pero no tenemos conexión a Internet. Además, esta herramienta permite realizar capturas de cada página, podremos indicar las URL manualmente o importándolas vía fichero de texto o CSV, además, podremos navegar fácilmente por la web descargada. SJM Computación 4.0 41
  • 42. HERRAMIENTAS GRATUITAS DE ANÁLISIS FORENSE (IV) FAW o Forensics Acquisition of Websites, es una herramienta que nos permite descargar páginas web completas para su posterior análisis forense, los requisitos de esta herramienta son muy básicos, por lo que podrás ejecutarla sin problemas. Con esta herramienta podremos adquirir evidencias de páginas web de manera fácil y rápida. Otras características interesantes son que podremos decidir qué área de la web queremos analizar, podremos capturar las imágenes, el código fuente HTML e incluso puede integrarse con Wireshark que hemos visto anteriormente. SIFT SIFT, que significa SANS Investigative Forensic Toolkit, es un conjunto completo de herramientas forenses y una de las plataformas de respuesta a incidentes de código abierto más populares. En cuanto a sistemas operativos, tenemos disponible una versión para utilizar en máquina virtual que hace uso de Ubuntu LTS 16.04 en su versión de 64 bits, esta versión ha sufrido importantes cambios, como, por ejemplo, mejor utilización de memoria, actualización automática del paquete DFIR para respuesta ante incidentes informáticos, incorpora las últimas herramientas forenses y técnicas, así como disponibilidad cruzada entre Linux y Windows. Esta herramienta es un todo en uno realmente interesante y recomendable, todas las herramientas son gratuitas, y están diseñadas para realizar exámenes forenses digitales detallados dando soporte a una gran variedad de situaciones. Uno de los aspectos más destacables es que se actualiza con mucha frecuencia. SJM Computación 4.0 42
  • 43. HERRAMIENTAS GRATUITAS DE ANÁLISIS FORENSE (V) Volatility es otra aplicación forense de memoria de código abierto para respuesta a incidentes y análisis de malware, esta herramienta se encuentra incorporada en SIFT. Permite a los investigadores analizar el estado de tiempo en ejecución de un dispositivo, mediante la lectura de la memoria RAM. Volatility no tiene muchas actualizaciones, pero este framework es realmente potente y aún se encuentra con actualizaciones. Os recomendamos acceder a su web oficial donde encontraréis todos los detalles sobre esta gran herramienta. SJM Computación 4.0 43
  • 44. PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD I Programas para realizar hash y comprobar integridad HashMyFiles te ayudará a calcular los hashes MD5 y SHA1 y funciona en casi todos los sistemas operativos Windows, esta herramienta es una de las más utilizadas por todos para calcular estos hash y garantizar la integridad de todos los archivos, por lo que si cambia un solo bit, también cambiará por completo el hash que nosotros tengamos. Hay otros muchos programas de este estilo, tanto para Windows como para Linux, por nombrar algunos, en Windows también tenemos IgorWare Hasher, HashCheck, HashTools y muchos otros, para Linux tenemos por defecto los md5sum y sha1sum instalado en el propio sistema operativo. CrowdResponse Crowdresponse es una aplicación de Windows de Crowd Strike, esta herramienta te permitirá recopilar información del sistema operativo para dar respuesta a los incidentes que hayan ocurrido y a cualquier compromiso de la seguridad del sistema. Este programa es portable, no necesita instalación, y todos los módulos están integrados en la aplicación principal y no se requieren de herramientas externas de terceros. CrowdResponse es ideal para la recopilación de datos de forma no intrusiva de múltiples sistemas cuando se coloca en la red. También tiene otras herramientas útiles para investigadores Shellshock Scanner, que escaneará su red para buscar una vulnerabilidad shellshock y mucho más. SJM Computación 4.0 44
  • 45. PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD II Exiftool Cualquier imagen y vídeo incorpora unos datos EXIF con todos los metadatos de la imagen, esta herramienta gratuita te ayudará a leer, escribir y editar metainformación para varios tipos de archivos. Es capaz de leer EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, Photoshop IRB, FlashPix, etc. Esta herramienta se ejecuta directamente sin necesidad de instalación, es portable, y está disponible tanto para Windows como también para macOS. Esta herramienta es una biblioteca Perl independiente más una aplicación de comandos en línea para leer, escribir y editar metainformación en una amplia variedad de formatos. Como podéis observar admite muchos formatos de metadatos diferentes y algunas de sus características incluyen sus imágenes Geotags de archivos de registro de seguimiento GPS con corrección de deriva de tiempo, y además también genera registros de seguimiento de imágenes geoetiquetadas. Esta herramienta es una de las más completas para ver todos los metadatos de una imagen. Browser History Capturer (BHC) y Browser History Viewer (BHV) El software Browser History Capture nos permite capturar el historial de navegación web de cualquier sistema operativo Windows, posteriormente, podremos usar Browser History Viewer (BHV) que es una herramienta de software forense para extraer y ver el historial de Internet de los principales navegadores web de escritorio. SJM Computación 4.0 45
  • 46. PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD III Ambas las podemos encontrar de manera gratuita. Estas herramientas se pueden ejecutar desde una memoria USB y lo que hará básicamente es capturar el historial de los principales navegadores: Chrome, Edge, Firefox e Internet Explorer. Los archivos del historial se copian a un destino en su formato original para su posterior tratamiento. Paladin Forensic Suite Paladin es una herramienta basada en Ubuntu que permite simplificar la tarea del informático forense. Encontraremos una gran cantidad de herramientas en esta suite para realizar diferentes tareas, lo más destacable es que incorpora más de 100 herramientas muy útiles para investigar incidentes informáticos. Gracias a Paladin, podremos simplificar y acelerar las tareas forenses. Este software dispone de interfaz gráfica de usuario, no requiere la utilización de comandos en línea, por lo que nos facilitará enormemente su utilización. FTK Imager FTK Imager es una herramienta forense para sistemas Windows, nos permite obtener una vista previa de los datos recuperables de un disco de cualquier tipo. También puede crear copias perfectas, llamadas imágenes forenses, de esos datos. Entre sus características y funciones adicionales tenemos la posibilidad de crear archivos hash o montar las imágenes de disco ya creadas son otra de las importantes ventajas a mencionar. Aparentemente AccessData FTK Imager parece una herramienta muy profesional creada sólo para SJM Computación 4.0 46
  • 47. PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD IV expertos en informática forense avanzada. Sin embargo, en realidad es más sencilla de usar de lo que aparenta y la podría utilizar más gente. Bulk_extractor Bulk_extractor es una herramienta informática forense que nos va a permitir escanear la imagen de un disco, un archivo o un directorio de archivos. Los resultados que obtenemos pueden inspeccionarse y analizarse fácilmente con herramientas automatizadas. Un aspecto destacable es que esta herramienta es muy rápida, a diferencia de otros programas similares, esto es debido a que ignora la estructura del sistema de archivos, por lo que puede procesar diferentes partes del disco en paralelo. LastActivityView LastActivityView es una herramienta de software portable para ver la última actividad registrada en su PC. Respecto a esta aplicación, hay un aspecto importante a mencionar, y es que el registro de Windows ya no se va a actualizar. LastActivityView tiene un muy buen tiempo de respuesta y es capaz de detectar actividad antes de su primera ejecución, además, se ejecuta con una cantidad muy baja de CPU y RAM, por lo que no afectará el rendimiento general de su computadora. Que consuma pocos recursos es una cosa muy positiva y a valorar. FireEye RedLine FireEye es una herramienta de seguridad Endpoint que proporciona capacidades de investigación de SJM Computación 4.0 47
  • 48. PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD V hosts a los usuarios para encontrar signos de actividad maliciosa a través de la memoria y el análisis de archivos. En este caso hay que señalar que está disponible en OS X y Linux. Entre sus características principales, se incluyen la auditoría y la recopilación de todos los procesos y controles en ejecución desde la memoria, metadatos del sistema de archivos, datos de registro, registros de eventos, información de red, servicios, tareas e historial web. También podremos considerar muy útil un análisis en profundidad, porque permite al usuario establecer la línea de tiempo y el alcance de un incidente. Wireshark y Network Miner Wireshark es actualmente uno de los mejores analizadores de protocolos de redes que existen, es el más conocido y utilizado, multiplataforma (Windows, Linux, FreeBSD y más), y, por supuesto, completamente gratuito. En RedesZone hemos hablado en multitud de ocasiones sobre esta herramienta tan importante, y es que podremos realizar un completo análisis forense a la red local, esnifando todos los paquetes para su posterior estudio. Wireshark nos permite realizar una inspección profunda de todos los paquetes capturados, y tiene una interfaz gráfica de usuario para verlo todo en detalle clasificado por capas (capa física, de enlace, de red, de transporte y aplicación). Con la información que Wireshark captura, podremos ver la información con TShark a través de la línea de comandos. Lo más destacable de Wireshark son los filtros, y es que podremos filtrar una gran captura para que solamente nos muestre lo que nos interesa. SJM Computación 4.0 48
  • 49. Network Miner es muy similar a Wireshark, es un analizador forense de red para Windows, Linux y MAC OS X. Esta herramienta se utiliza para detectar SO, nombre de host, sesiones, y qué direcciones Ip y puertos se han usado en la captura de datos. Network Miner se puede usar para analizar e incluso capturar paquetes transferidos a través de la red, podremos detectar sistemas operativos de los equipos que hay en la red, puertos abiertos y mucho más. Estas dos herramientas nos permitirán también obtener credenciales de usuario, certificados digitales, información en texto plano, e incluso descifrar comunicaciones si las crackeamos o contamos con la clave de descifrado. Network Miner tiene una versión gratuita, pero también una versión de pago con la que podremos acceder a todas las funcionalidades avanzadas, como la detección del sistema operativo, geolocalización de IP y mucho más. PROGRAMAS PARA REALIZAR HASH Y COMPROBAR INTEGRIDAD VI SJM Computación 4.0 49
  • 50. ROLES PRINCIPALES EN PROCESO DE INVESTIGACIÓN FORENSE En un proceso de investigación forense en informática hay ocho roles principales en un caso: el líder del caso, el propietario del sistema, el asesor legal, el auditor/ingeniero especialista en seguridad de la información, el administrador del sistema, el especialista en informática forense, el analista en informática forense y el fiscal. Usualmente, entre todos estos roles, los informáticos forenses pueden tomar los siguientes cuatro roles: Líder del caso: es aquel que planea y organiza todo el proceso de investigación digital. Debe identificar el lugar en donde se realizará la investigación, quienes serán los participantes y el tiempo necesario para esta. Auditor/ingeniero especialista en seguridad de la información: conoce el escenario en donde se desarrolla la investigación. Tiene el conocimiento del modelo de seguridad en el cual ocurrieron los hechos y de los usuarios y las acciones que pueden realizar en el sistema. A partir de sus conocimientos debe entregar información crítica a la investigación. Especialista en informática forense: es un criminalista digital que debe identificar los diferentes elementos probatorios informáticos vinculados al caso, determinando la relación entre los elementos y los hechos para descubrir el autor del delito. Analista en informática forense: examina en detalle los datos, los elementos informáticos recogidos en la escena del crimen con el fin de extraer toda la información posible y relevante para resolver el caso. ** Es importante recalcar que una misma persona puede tomar más de un rol, e incluso los cuatro, en un proceso de investigación. SJM Computación 4.0 50
  • 51. CLAVES PARA EL ÉXITO LEGAL DE LA INFORMÁTICA FORENSE Claves para el éxito en el uso legal de la informática forense La recopilación electrónica Debe serlo más amplia posible, tomando en consideración a todos los dispositivos electrónicos que podrían estar involucrados y aportar información. Documentar la cadena de custodia Con la intención de llevar un registro minucioso sobre la forma y el momento en el que se obtuvo la información. De igual manera, es imprescindible almacenar datos sobre el dispositivo electrónico en el que se encontró la evidencia. Hacer una copia o respaldo del dispositivo de almacenamiento forense, A fin de evitar poner en riesgo la información encontrada. Mantener contacto cercano Y tomar en cuenta todas las recomendaciones del especialista en informática a la hora de manipular la información, con la intención de reducir los riesgos de afectar la data. El especialista en informática forense Debe contar con la mayor información posible sobre el caso y sus antecedentes. De esta forma, es mucho más certero en su búsqueda y puede encontrar información más interesante para el caso. SJM Computación 4.0 51
  • 52. CONCLUSIONES La Informática Forense puede ser crucial para ganar un juicio, ya que aporta pruebas irrefutables de ciertos hechos que se quieren probar. Puede ser una gran ventaja en una disputa. También es un arma muy poderosa para la ciberseguridad de la empresa. A través de auditorías minuciosas, los peritos pueden detectar las vulnerabilidades y debilidades en la seguridad de los datos y dispositivos. Los resultados de este análisis harán que la compañía mejore en ese aspecto evitando futuros problemas. El personal especializado en esta disciplina debe tener un amplio conocimiento del mundo de la informática y la tecnología, donde se incluyen técnicas de hacking, cracking y recuperación de información. Su misión es mantener la integridad de los equipos y de los datos sin causar modificaciones que puedan afectar la validez de la información y la hagan inservible dentro del proceso legal. Cabe aclarar que la misión de la informática forense no es la prevenir delitos o ataques informáticos, sino la de investigar y encontrar información valiosa que pueda ser usada dentro de la investigación de un proceso legal. Las labores de prevención son más propias de la seguridad informática. SJM Computación 4.0 52
  • 53. WEBGRAFÍA https://es.wikipedia.org/wiki/C%C3%B3mputo_forense https://www.ondata.es/recuperar/equipos-forensics.htm https://recfaces.com/es/articles/informatica-forense https://www.europapress.es/portaltic/sector/noticia-informatica-forense-usa-resolver-casos-policiales- judiciales-20181124112932.html https://www.imagar.com/blog-desarrollo-web/la-informatica-forense-que-es-y-para-que-sirve/ https://www.redeszone.net/tutoriales/seguridad/mejores-herramientas-gratuitas-informatica-forense/ https://aldanayabogados.com/informatica-forense-una-herramienta-en-el-derecho/#.YV88ktrMLIU https://platzi.com/blog/que-es-un-informatico-forense/ https://www.timetoast.com/timelines/historia-de-la-informatica-forense-41d18e84-554f-4ea5-856a- 01864e1d401e https://protecciondatos-lopd.com/empresas/informatica-forense/ https://peritojudicial.com/como-informatica-forense-puede-ayudar-juicio/ https://indalics.com/blog-peritaje-informatico/informatica-forense-entorno-juridico https://www.guiaspracticas.com/recuperacion-de-datos/informatica-forense https://www.isecauditors.com/informatica-forense-peritajes https://www.informaticaforense.com.ar/informatica_forense.htm https://docplayer.es/5686591-Analisis-forense-de-un-ataque-web.html SJM Computación 4.0 53