Este documento describe los principios básicos de la informática forense, incluyendo la definición, ámbito de actuación, objetivos del proceso, principios, normas fundamentales, evidencias digitales y su validez jurídica. Explica que la informática forense se encarga de investigar sistemas informáticos para hechos con relevancia jurídica y desarrolla técnicas para ubicar, reproducir y analizar evidencias digitales con fines legales. También cubre temas como la importancia de preservar la evidencia original, establecer

1. Las Evidencias Digitales en
la Informática Forense
Javier Pagès López
Informática Forense, Peritaje y Seguridad
Informá
Colegiado Nº 110 del CPIICYL
Nº
Colegio Profesional de Ingenieros en Informática de Castilla y León
Informá Leó
Contacto Empresa: Contacto Profesional:
Email: javier@informatica-forense.es Email : javier@javierpages.com
Web: http://www.informatica-forense.es Web : http://www.javierpages.com
Blog : http://www.inforenses.com

2. Definiciones:
Informática Forense
Fuente: http://buscon.rae.es/draeI/
mayo de 2007 (C) www.informatica-forense.es 2

3. Informática Forense:
Definición y Objetivo
La Informática Forense es una disciplina
criminalística que tiene como objeto la
investigación en sistemas informáticos de
hechos con relevancia jurídica o para la simple
investigación privada.
Para conseguir sus objetivos, la Informática
Forense desarrolla técnicas idóneas para ubicar,
reproducir y analizar evidencias digitales con
fines legales.
mayo de 2007 (C) www.informatica-forense.es 3

4. Informática Forense:
Ámbito de actuación
Todo hecho en el que un sistema informático esté
involucrado, tanto si es el fin o un medio, puede
ser objeto de estudio y análisis, y por ello, puede
llevarse a juicio como medio probatorio.
mayo de 2007 (C) www.informatica-forense.es 4

5. Informática Forense:
Principios
Adherirse a estándares legales
Formación específica en técnicas forenses
Investigación debe ser “Forensically sound”
Obtener Permisos:
investigación/ recolección evidencias
monitorizar uso de ordenadores
Control de Evidencias Digitales
Cadena de Custodia
mayo de 2007 (C) www.informatica-forense.es 5

6. Informática Forense:
Normas Fundamentales
1. Preservar la evidencia original
2. Establecer y mantener la Cadena de Custodia
3. Documentar todo hecho
4. NO EXTRALIMITARSE
Conocimientos personales
Leyes, Normas , Procedimientos
Riesgos:
Corromper evidencias No admitirse en juicio
mayo de 2007 (C) www.informatica-forense.es 6

7. Informática Forense:
Objetivos del Proceso
Identificar las posibles fuentes disponibles
Recoger diferentes tipos de evidencias
Analizar las evidencias encontradas
Confirmar por pruebas cruzadas
Así se establecen las bases para Probar que se han cometido actos
deshonestos o ilegales
mayo de 2007 (C) www.informatica-forense.es 7

8. Evidencias Digitales:
¿Qué son?
Cualquier documento, fichero, registro, dato, etc.
contenido en un soporte informático
Susceptible de tratamiento digital
Ejemplos:
Documentos de Ofimática (Word, Excell, ...)
Comunicaciones digitales: E-mails, SMSs, Fax, ...
Imágenes digitales (fotos, videos...)
Bases de Datos
Ficheros de Registro de Actividad LOGS
mayo de 2007 (C) www.informatica-forense.es 8

9. Ejemplo: Validez Imagen Digital
Autentificar fotos de fantasmas
Escenario
Programa de TV esotérico
Recibe fotos de fantasmas
Solicita a perito que determine si son falsas
mayo de 2007 (C) www.informatica-forense.es 9

10. Ejemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 10

11. Ejemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 11

12. Ejemplo: Validez Imagen Digital
Estrategia
Búsqueda de elementos originales
Imagen Sin Fantasmas
Imagen Fantasmas
mayo de 2007 (C) www.informatica-forense.es 12

13. Ejemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 13

14. Ejemplo: Validez Imagen Digital
mayo de 2007 (C) www.informatica-forense.es 14

15. Ejemplo: Validez Imagen Digital
Análisis información EXIF de la imagen
Fotos editadas con programa fotográfico
Calidad muy inferior a la original (72pp)
Fueron enviadas por correo electrónico
Es método habitual para ocultar retoques
Fotos no admisibles en proceso judicial
mayo de 2007 (C) www.informatica-forense.es 15

16. Ejemplo: Validez Imagen Digital
Autentificar fotos de fantasmas
Hallazgos posteriores
mayo de 2007 (C) www.informatica-forense.es 16

17. Evidencias Digitales:
Su Validez Jurídica
Uno de los pilares más importantes de la informática forense
Valor que se le puede dar a las evidencias informáticas (e-evidences)
Para aportar en los procesos judiciales.
Actualmente existen grandes debates entre juristas y expertos
técnicos
a nivel nacional -> Foro de la Evidencias Electrónicas
(www.evidenciaselectronicas.org)
a nivel internacional
Objetivo:
Alcanzar un compromiso a nivel internacional
Definir que hay que exigir a una evidencia informática para que se
pueda aceptar como una prueba
mayo de 2007 (C) www.informatica-forense.es 17

18. Evidencias Digitales:
Su Validez Jurídica
Este extremo cada día cobra mayor importancia, dado que cada día hay más leyes y
normativas que regulan las actividades relacionadas con la informática y el uso (o mal
uso) que se haga de ella:
Leyes nacionales:
Proyecto de Ley del Código Penal
Có profunda reforma para penalizar más el mal uso informático
má informá
LOPD con la ¿inminente? aprobación del tan esperado nuevo Reglamento de Seguridad
aprobació
LSSI-CE
LSSI-
Ley de Firma Electrónica
Electró
DNI-e
DNI -
Proyecto de Ley de Conservación de Datos
Conservació
Leyes europeas:
“Data Retention Directive” (Directiva 2006/24/EC)
Directive”
Documento Marco 2005/222/JAI del Consejo de Europa, relativo a los ataques contra los sistemas
sistemas
informáticos
informá
Leyes Inglesas:
“Anti-Terrorism, Crime and Security Act 2001”
Anti- Terrorism, 2001”
“Prevention of Terrorist Act 2005”
2005”
Leyes norteamericanas:
SOX (Sarbanex-Oxley Act 2002)
Sarbanex-
HIPAA (Health Insurance Portability and Accountability Act
...
mayo de 2007 (C) www.informatica-forense.es 18

19. Evidencias Digitales:
Preservar información de uso
Muchas de estas leyes obligan a las empresas a
conservar una serie de datos relacionados con el
uso que se hace de la información contenida en
los sistemas informáticos.
Información que se almacena actualmente en:
logs de actividad de los sistemas informáticos
logs de actividad de aplicaciones informáticas
que se ejecutan en:
cada servidor
en cada ordenador personal.
mayo de 2007 (C) www.informatica-forense.es 19

20. Evidencias Digitales:
“All you need is Logs” (The Beatles)
“Logs, logs, logs…
All you need is logs, logs.
Logs is all you need”
(casi) todo lo que un perito informático
necesita está en los logs
mayo de 2007 (C) www.informatica-forense.es 20

21. Evidencias Digitales:
Validez de los Logs
Pregunta:
“¿Que valor probatorio tiene un log de ordenador?”
Respuestas:
“Ningún valor. Se puede alterar muy fácilmente”
“Valor Total. Aquí lo tengo impreso, y dice lo que
está escrito”.
mayo de 2007 (C) www.informatica-forense.es 21

22. Evidencias Digitales:
Validez de los Logs
Mi opinión:
un log, o un correo electrónico o cualquier otra evidencia
informática:
Tiene el valor que le quieran dar las partes
Si ninguna lo pone en duda, su valor será total
Pero si alguno duda de su autenticidad habrá que esforzarse (y
mucho) para darle valor probatorio
Esta ambigüedad en el valor de las pruebas informáticas
es muy interesante y da mucho juego desde el punto de vista
pericial
provoca una gran incertidumbre a nivel jurídico.
Estamos en el Génesis de la Informática Forense, en sus
inicios.
mayo de 2007 (C) www.informatica-forense.es 22

23. Evidencias Digitales:
Validez de los Logs
Al principio era el caos
“La tierra era caos y confusión y oscuridad
por encima del abismo”
(Génesis 1:2)
mayo de 2007 (C) www.informatica-forense.es 23

24. Evidencias Digitales:
Validez de los Logs
Al principio era el caos
no había ni siquiera esos logs manipulables
nadie obligaba a conservarlos
Las leyes actuales y futuras obligan cada vez más a que
en determinados ámbitos existan esos logs de actividad,
Es un avance infinito respecto
a la situación anterior de oscuridad
mayo de 2007 (C) www.informatica-forense.es 24

25. Evidencias Digitales:
Validez de los Logs
“Y dijo Dios: Sea la luz; y fue la luz.
Y vio Dios que la luz era buena; y separó
Dios la luz de las tinieblas”
(Génesis 1:3)
mayo de 2007 (C) www.informatica-forense.es 25

26. Evidencias Digitales:
Validez de los Logs
Algunas soluciones parciales actuales:
Gestión Logs Centralizado
Reduce puntos de acceso
Reduce riesgo de manipulaciones
No controla el log desde su origen
Consolidación de Logs
Pensados para IDS
Ejemplos: iSOC, OSSIM, Bitácora...
Manipulan y/o Destruyen las evidencias originales
Dudas sobre la validez
mayo de 2007 (C) www.informatica-forense.es 26

27. Evidencias Digitales:
Validez de los Logs
Algunas soluciones parciales actuales:
Almacenamiento seguro de los Logs
Soportes no reescribibles (WORM)
Garantiza integridad a nivel físico
Exige almacenamiento seguro de los soportes (agua, fuego, em...)
Depósito y Custodia de Logs
Ante Notario / Terceras Partes Privadas
Mantenimiento Cadena de Custodia
Garantiza la alteración desde el Depósito hasta la Retirada
mayo de 2007 (C) www.informatica-forense.es 27

28. Evidencias Digitales:
Validez de los Logs
“Y vi en la mano derecha del que estaba sentado
en el trono un libro escrito por dentro y por fuera,
sellado con siete sellos.
Y vi a un ángel fuerte que pregonaba a gran voz:
¿Quién es digno de abrir el libro y desatar sus
sellos?
Y ninguno, ni en el cielo ni en la tierra ni debajo de
la tierra, podía abrir el libro, ni aun mirarlo.”
(Apocalipsis 5:1-3)
mayo de 2007 (C) www.informatica-forense.es 28

29. Evidencias Digitales:
Validez de los Logs
Del Génesis al Apocalipsis (sin pasar por la casilla
de salida)
Cifrado y firma hash
Aporta integridad del log a nivel lógico
Impiden la alteración de los logs
Impiden la apertura y el acceso no autorizados
Impiden siquiera mirarlo sin permiso
Problema de colisiones
Usar dos o mas firmas distintas
Los siete sellos del Apocalipsis
mayo de 2007 (C) www.informatica-forense.es 29

30. Evidencias Digitales:
Validez de los Logs
Del Génesis al Apocalipsis (sin pasar por la casilla de salida)
Serialización del log
Baja el nivel de granularidad de fichero a registro
Permite determinar:
que registros siguen siendo válidos
Que registros han sido
alterados / borrados / añadidos / cambiados de orden
Garantizar el no repudio de las transacciones en ambos extremos
NRO (Non Repudiation of Origin)
NRD (Non Repudiation of Delivery)
Ejemplo: kNotary
mayo de 2007 (C) www.informatica-forense.es 30

31. Evidencias Digitales:
Validez de los Logs - Conclusión
Secure Audit Trail (I):
Generación masiva de logs, para poder disponer de todas las
evidencias posibles
Gestión correcta de logs, centralizándolos en un lugar seguro,
preservando su integridad, controlando su acceso, garantizando la
integridad de los datos y procesos de auditoría, y evitando el no repudio
en ambos extremos
Múltiple firma hash, para garantizar la integridad lógica del fichero
Cifrado, para evitar la consulta no autorizada de su información
Serialización al máximo nivel de granularidad posible, la línea de
registro, para poder diferenciar la parte alterada de la parte inalterada
mayo de 2007 (C) www.informatica-forense.es 31

32. Evidencias Digitales:
Validez de los Logs - Conclusión
Secure Audit Trail (II):
Grabación en soportes físicos no modificables, para garantizar la
integridad física del fichero
Cadena de custodia de los soportes, para evitar su sustitución por
otros soportes
Almacenamiento seguro de los soportes, para evitar su destrucción
accidental o intencionada
Custodia por tercera parte de confianza
de los soportes físicos de los logs
de sus firmas completas
de la serialización de las firmas.
mayo de 2007 (C) www.informatica-forense.es 32

33. Más información:
Web:
http://www.informatica-forense.es
http://www.javierpages.com
Blog:
http://www.inforenses.com
Email:
javier@informatica-forense.es
javier@javierpages.com
mayo de 2007 (C) www.informatica-forense.es 33

34. Sobre el autor...
Javier Pagès López
Licenciado en Informática (Univ. de Valladolid, 1991)
javier@javierpages.com
CEO de Informática Forense, S.L.
javier@informatica-forense.es
Informática Forense
Áreas de Actuación Dictámenes Periciales: Judiciales, Extrajudiciales y Arbitrales
Profesional Seguridad Informática
Auditoría Informática: LOPD, LSSI, Seguridad, ISO-17799...
Intervenciones contra piratería informática
Actuaciones contra delitos informáticos
Consultoría: B2B, e-commerce, Enterprise Integration, CRM, ERP...
Análisis de Mercado, Estudios de Viabilidad
mayo de 2007 (C) www.informatica-forense.es 34

35. Pertenezco a:
Asociación de Ingenieros en Informática (AI2)
Presidente Federal
presidente@ai2.as
www.ai2.as
Asociación de Ingenieros en Informática de Madrid
(AI2- Madrid)
Socio nº 15
www.ai2madrid.org
INFOPERITOS (Gabinete Técnico y Facultativo de AI2)
Perito de Guardia
www.infoperitos.com
Asociación de Técnicos en Informática (ATI)
Socio nº 12.236
Perito del Grupo de Informática Legal de Madrid
javier_pages@ati.es
www.ati.es
mayo de 2007 (C) www.informatica-forense.es 35

36. Pertenezco a:
Information Systems Security Association (ISSA)
ISSA Member ID: 26.563
www.issa.org
Asociación Española para la Seguridad de los
Sistemas de Información (ISSA-España)
Fundador y actual Secretario del Capítulo Español de ISSA
secretario@issa-spain.org
www.issa-spain.org
Internet Society (ISOC)
ISOC Member ID: 1.350.480
www.isoc.org
Commercenet Español
www.commercenet.org
mayo de 2007 (C) www.informatica-forense.es 36

37. Algunas Referencias:
mayo de 2007 (C) www.informatica-forense.es 37