Este documento describe los conceptos clave de la informática forense, incluyendo la cadena de custodia, el proceso de preservación de evidencia digital, y los pasos metodológicos para realizar un análisis forense de computadoras u otros dispositivos electrónicos de manera legalmente válida.
Presentación ofrecida durante el Internet Global Congress en el Palau de Congressos de Barcelona. Esta fue una de las dos presentaciones escogidas por el comité y que ofrecimos en el transcurso del congreso.
La presentación trata de mostrar los conceptos básicos sobre informática forense, una ciencia un tanto desconocida en el campo de las Tecnologías de la Información y con un auge cada día mayor.
En gran parte la tecnología ha facilitado el mal hábito de provocar infracciones informáticas, por lo que se debe contar con el personal capacitado dentro de la justicia ecuatoriana para castigar el mal uso de las TICs en conjunto con los profesionales informáticos lo que permitirá combatir esta clase de transgresiones.
"Prueba Pericial y Cadena de Custodia en Crimenes Cibernetticos" del Mah. Hugo Ambosio Bejarano, desarrollada en el III Congreso Internacional de Informática Forense y Hacking Ético, desarrollado en la ciudad de Tarija en Bolivia el Sábado 03 de Mayo del 2014
Presentación ofrecida durante el Internet Global Congress en el Palau de Congressos de Barcelona. Esta fue una de las dos presentaciones escogidas por el comité y que ofrecimos en el transcurso del congreso.
La presentación trata de mostrar los conceptos básicos sobre informática forense, una ciencia un tanto desconocida en el campo de las Tecnologías de la Información y con un auge cada día mayor.
En gran parte la tecnología ha facilitado el mal hábito de provocar infracciones informáticas, por lo que se debe contar con el personal capacitado dentro de la justicia ecuatoriana para castigar el mal uso de las TICs en conjunto con los profesionales informáticos lo que permitirá combatir esta clase de transgresiones.
"Prueba Pericial y Cadena de Custodia en Crimenes Cibernetticos" del Mah. Hugo Ambosio Bejarano, desarrollada en el III Congreso Internacional de Informática Forense y Hacking Ético, desarrollado en la ciudad de Tarija en Bolivia el Sábado 03 de Mayo del 2014
Exposición del Dr. Hugo Ambrosio Bejarano, desarrollado en el Segundo Curso Presencial de Informática Forense, desarrollado en Marzo del 2014 en Ediciones Forenses y el Instituto Nacional de Investigación Forense.
El día de ayer (05/10/2011), en los espacios de la UCLA se celebró el foro "Certificación Electrónica, Seguridad de la Información, Redes Sociales e Informática Forense" evento promovido por SUSCERTE y organizado por Fundacite Lara. Los ponentes fueron el Ing. José Zerpa y el Ing. Alejandro González adscritos a SUSCERTE y CENIF respectivamente.
El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
Exposición del Dr. Hugo Ambrosio Bejarano, desarrollado en el Segundo Curso Presencial de Informática Forense, desarrollado en Marzo del 2014 en Ediciones Forenses y el Instituto Nacional de Investigación Forense.
El día de ayer (05/10/2011), en los espacios de la UCLA se celebró el foro "Certificación Electrónica, Seguridad de la Información, Redes Sociales e Informática Forense" evento promovido por SUSCERTE y organizado por Fundacite Lara. Los ponentes fueron el Ing. José Zerpa y el Ing. Alejandro González adscritos a SUSCERTE y CENIF respectivamente.
El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
2. Definiciones
Informática Forense.
Es la aplicación legal de métodos, protocolos y técnicas
para obtener, analizar y preservar evidencia digital relevante
a una situación en investigación. (Kovacich 2000, pag.243).
Según el FBI, la informática (o computación) forense es la
ciencia de adquirir, preservar, obtener y presentar datos que
han sido procesados electrónicamente y guardados en un
medio computacional.
3. Informática forense
Se ocupa de:
– Procesos automatizados
– Factores humanos
– Metodologías y estándares
Procura:
– Identificar a los autores
– Descubrir los procesos que llevaron al suceso analizado
– Entender los procesos sistémicos u operativos que crearon el
problema.
4. Informática forense
La “Informática forense”, y en particular, la “computación
forense” apuntan en dos direcciones:
– Hacia “adentro”:
Clarificar y documentar procesos erróneos
Determinar responsabilidades internas
– Hacia “afuera”
Constituir prueba de validez legal para perseguir a
los autores de los incidentes
5. Computación forense
Es “un proceso para responder interrogantes sobre
estados y eventos digitales” (Carter)
Admite una definición un poco más compleja:
– “... es el uso de técnicas especializadas para el recupero, la
autenticación y el análisis de datos electrónicos cuando un caso
involucra cuestiones relativas a la reconstrucción del uso de una
computadora, el examen de datos residuales, la autenticación de
los datos mediante análisis técnico, o la explicación de
características técnicas de los datos y del uso de computadoras.
6. Computación forense
Técnicas especializadas de recupero, autenticación y
análisis de datos
Para reconstrucción del uso de un sistema informático
Examinando datos residuales
Autenticando los datos mediante análisis técnico
Explicando características técnicas de datos y uso.
“La práctica forense informática requiere capacidades
especializadas que van más allá de las técnicas usuales de
recolección y preservación de datos disponibles para los
usuarios comunes o el personal de soporte de los
sistemas”
7. Computación forense
La práctica forense informática debe realizarse de modo que
adhiera a las normas legales sobre prueba admisibles ante
un tribunal. En consecuencia, la práctica es por naturaleza
técnico-legal, en lugar de puramente técnica o puramente
legal.
Consideraciones fundamentales:
– Entender a los sospechosos
– Entender la prueba
– Asegurar el entorno
8. Informática forense
La interpretación de la evidencia lograda (*)
– Es necesario la aplicación de herramientas + un
experto que las domine y explique al Juez el
resultado obtenido
– Analizar bien la herramienta a aplicar
(confiabilidad)
– Interactuar con expertos entrenados en el uso
de las herramientas (con experiencia +
conocimiento + dominio = credibilidad)
(*) Fred Cohen – Intituto de Investigaciones Forenses de California
9. Informática forense
Objetivos
Evitar la contaminación de la prueba (invalidación)
Definir – Respetar un protocolo pericial asociado a
la pericia informática
Establecer claramente los límites del proceso de
forensia a realizar (precisión en los puntos de
pericia)
Obtener y adjuntar los reportes automáticos que
generan las herramientas seleccionadas.
10. Informática forense
Metodología – Protocolo – Pasos a considerar
ETAPA I
1. Preparación del incidente (análisis de la
estretegia de información a obtener)
2. Detección del incidente
3. Preservación de la “escena del crimen”
4. Identificación del responsable (huellas
dactilares?)
11. Informática forense
Metodología – Protocolo – Pasos a considerar
ETAPA I
5. Intervención adecuada de los elementos (bolsas
antiestáticas, papel de protección para golpes, identificación
clara de los elementos, franjado completo de los equipos, uso
de bandas antiestáticas)
6. Generación de la “cadena de custodia”
7. Almacenamiento de los elementos
12. Informática forense
Metodología – Protocolo – Pasos a considerar
ETAPA I (Cadena de Custodia - Concepto)
La cadena de custodia de la prueba se define
como el procedimiento controlado que se aplica a los
indicios materiales relacionados con el delito, desde su
localización hasta su valoración por los encargados de
administrar justicia y que tiene como fin no viciar el manejo
de que ellos se haga y así evitar alteraciones, sustituciones,
contaminaciones o destrucciones.
13. Informática forense
Metodología – Protocolo – Pasos a considerar
ETAPA II
1. Copia de forensia
2. Análisis de la evidencia (búsqueda – investigación)
3. Recuperación de le evidencia
4. Reporte – Informe Pericial
14. Informática forense
Metodología – Protocolo – Pasos a considerar
COPIA DE FORENSIA
15. Informática forense
Metodología – Protocolo – Pasos a considerar
ETAPA III
1. Preservación final de la prueba
2. Decisión (Análisis del Juez en relación al crimen)
3. Devolución de la fuente de evidencia
16. Informática forense
Objetivos de la metodología:
Obtener información de los elementos a peritar sobre
la base de una estrategia definida en relación con
el delito que se investiga:
– Información “legible”
– Información que pueda obtenerse de archivos
borrados
– Datos en particiones ocultas
– Datos en áreas de disco liberadas (slack space)