Presentacion Cibercrimen e Informatica Forense.pptx

Cibercrimen
Informática Forense
http://www.free-powerpoint-templates-design.com

I N D I C E
1. Principios de la informática forense
2. Los peritos forenses digitales
3. La informática forense en Guatemala
4. Las evidencias digitales y su valor probatorio
5. La integridad de la evidencia digital
6. El habeas data mitos y realidades en el país
7. El derecho informático y su rol actual
8. ¿Cómo se cometen los ciberdelitos?
9. Herramientas usadas en la informática forense
10. Modalidades de cibercrimen en Guatemala
11. Perfiles falsos en redes sociales
12. El robo de identidad y fuga de información
13. Entendiendo la cibercultura hacker
Cibercrimen/Informática Forense

1.Principios de Informática Forense
a.
b.
c.
d.
Que es la Informática Forense
El propósito Informática Forense
Los objetivos de la Informática
Forense
Informática Forense como
instrumento de análisis
e. Tipos de Informática Forense

Que es la Informática Forense?
 Es un método probatorio consistente en la revisión científica,
tecnológica y técnica, con fines periciales, de una colección de
evidencias digitalizadas para fines de investigación o legales.
 Cada caso específico debe ser analizado como si fuera a juicio, de
esta manera cualquier investigación en Informática Forense puede
soportar un escrutinio legal.
 Informática Forense al conjunto multidisciplinario de teorías,
técnicas y métodos de análisis que brindan soporte conceptual y
procedimental a la investigación de la prueba indiciaria informática.

 El término forense significa utilizar algún tipo de proceso científico
establecido para la recopilación, análisis y presentación de la
evidencia que se ha recopilado. Sin embargo, todas las formas de
evidencia son importantes, especialmente cuando se ha producido
un ataque cibernético.
 Es la disciplina que combina los elementos del derecho y la
informática para recopilar y analizar datos de sistemas informáticos,
redes, comunicaciones inalámbricas y dispositivos de
almacenamiento de una manera que sea admisible como prueba en
un tribunal de justicia.

b. Propósito
Informática
Forense?

Cual es el propósito de la Informática Forense?
 El propósito de la Informática Forense consiste en contribuir en
determinar la identificación de los responsables del delito
informático.
 Permite esclarecer la causa original de un ilícito o evento particular
para asegurar de que no se vuelva a repetirse.
 La Informática Forense es aplicable tanto en los casos llevados a
juicio como en las investigaciones particulares solicitadas por las
empresas u organismos privados con fines de prevención.

c. Objetivos
Informática
Forense

Cuáles son los objetivos de la Informática Forense?
En caso de que se haya producido una brecha de seguridad, estos son
los objetivos esenciales del uso de la computación forense:
 Ayuda a recuperar, analizar y preservar el ordenador y los materiales
relacionados de tal manera que ayuda a la agencia de investigación a
presentarlos como evidencia en un tribunal de justicia.
 Ayuda a postular el motivo detrás del crimen y la identidad del
principal culpable.
 Diseñar procedimientos en una presunta escena del crimen que
ayudan a garantizar que la evidencia digital obtenida no esté corrupta.

Cuáles son los objetivos de la Informática Forense?
 Adquisición y duplicación de datos, como la recuperación de
archivos eliminados y particiones eliminadas de medios digitales
para extraer la evidencia y validarlos.
 Ayuda a identificar la evidencia rápidamente y también permite
estimar el impacto potencial de la actividad maliciosa en la víctima
 Producir un informe forense informático que ofrece un informe
completo sobre el proceso de investigación.
 Preservar la evidencia siguiendo la cadena de custodia.

d. Informática
Forense como
Instrumento de
Análisis

Informática Forense como instrumento de análisis de
la realidad:
 Por su propia naturaleza, la Informática Forense tiende a generar
modelo de comportamiento racional con soporte científico,
tecnológico y técnico respecto de la prueba indiciaria disponible en
un determinado lugar.
 Este modelo de comportamiento, incluyendo sus consideraciones
sociales, criminológicas y criminalística, instrumentado por medios
idóneos, como, por ejemplo, la realidad virtual, se constituye en una
auténtica reconstrucción del hecho virtual. De ahí que la utilidad se
expanda más allá del ámbito jurídico y judicial.

e.Tipos de
Informática
Forense

Principales Tipos de Informática Forense
De sistemas operativos:
 Es el proceso de recuperación de información útil del sistema
operativo (SO) del ordenador o dispositivo móvil en cuestión. El
objetivo de recopilar esta información es adquirir evidencia empírica
contra el autor.
 La comprensión de un sistema operativo y su sistema de archivos
es necesaria para recuperar datos para investigaciones
informáticas. El sistema de archivos proporciona un sistema
operativo con una hoja de ruta para los datos en el disco duro. El
sistema de archivos también identifica cómo el disco duro almacena
los datos.

De redes:
 El análisis forense de la red se refiere a la recopilación, monitorización
y análisis de las actividades de la red para descubrir la fuente de
ataques, virus, intrusiones o violaciones de seguridad que ocurren en
una red o en el tráfico de la red.
 Como tal, el análisis forense de la red se considera junto con el análisis
forense móvil o el análisis forense de imágenes digitales, como parte
del análisis forense digital.
 Por lo general, se usa cuando se trata de ataques a la red. En muchos
casos, se usa para monitorizar una red para identificar proactivamente
el tráfico sospechoso o un ataque inminente. Por otro lado, se utiliza
para recopilar pruebas mediante el análisis de datos de tráfico de red
para identificar la fuente de un ataque.

De dispositivos móviles
 Los crímenes no ocurren aislados de las tendencias tecnológicas;
por lo tanto, el análisis forense de dispositivos móviles se ha
convertido en una parte importante del análisis forense digital.
 El proceso forense móvil tiene como objetivo recuperar evidencia
digital o datos relevantes de un dispositivo móvil de una manera
que conserve la evidencia en una condición forense sólida. Para
lograr eso, el proceso forense móvil necesita establecer reglas
precisas que incauten, aíslen, transporten, almacenen para el
análisis y prueben pruebas digitales que se originen de manera
segura desde dispositivos móviles.

En la nube o Cloud
 Hoy en día, con la mayoría de los datos críticos de una empresa
transferidos a los proveedores de servicios en la nube, una de
nuestras principales preocupaciones es tratar los asuntos de
seguridad. Eso incluye ser capaz de responder rápidamente y
reportar eventos que pueden conducir a problemas legales
 Este proceso no es una tarea fácil y las cosas se complican aún
más por el hecho de que se tiene que confiar en la capacidad del
proveedor de la nube para entregar datos forenses digitales en
caso de cualquier disputa legal (ya sea civil o criminal) durante los
ataques cibernéticos o incluso si los datos se produce una
violación.

De la nube o Cloud
 El análisis forense de la nube combina la computación en la nube y
el análisis forense digital, que se centra principalmente en la
recopilación de información forense digital de una infraestructura de
la nube. Esto significa trabajar con una colección de recursos
informáticos, como activos de red, servidores (tanto físicos como
virtuales), almacenes, aplicaciones y cualquier servicio que se
brinde.
 Para la mayoría de las situaciones, este entorno permanecerá (al
menos parcialmente) en vivo, y puede reconfigurarse rápidamente
con un mínimo esfuerzo. Al final, cualquier tipo de evidencia
recopilada debe ser adecuada para su presentación en un tribunal
de justicia

2.Peritos / Analistas Forenses
e Investigación Científica
a.
b.
Investigación Científica Forense Digital
Peritos y Analistas Informáticos Forenses
a.1 La Investigación Científica / La Ciencia Forense Digital
a.2 Cuando iniciar una investigación digital
a.3 La Ciberseguridad y Análisis Forense Digital
b.1 Que es un Perito Informático Forense
b.2 Perito Informático Judicial
b.3 Funciones Peritos Forense Informático
b.4 Que es un Analista Forense Informático
b.5 Peritos informáticos y entendidos en la materia
b.6 Cualidades de profesional forense informático
b.7 Roles de un Profesional Forense Informático
b.8 Perfil del investigador informático forense
b.9 Principios y relaciones periciales informático forense

1. Investigación
Científica
Forense Digital

La Investigación Científica
 La investigación científica de una escena del crimen es un proceso
formal, donde el investigador forense, documenta y adquiere toda
clase de evidencias, usa su conocimiento científico y sus técnicas
para identificarla y generar indicios suficientes para resolver un caso.
La Ciencia Forense Digital
 La ciencia forense digital es una ciencia forense en la que los
expertos estudian los dispositivos informáticos para ayudar a resolver
los delitos. También puede incluir teléfonos móviles. Los expertos que
hacen la forense digital son a menudo llamados "analistas" o
"investigadores". Cuando se pide a un experto que mire un ordenador,
se le llama "investigación".

Cuando iniciar una investigación digital?
 Una investigación forense digital ocurre cuando alguien es culpado
por un crimen que incluye el uso de una computadora. El experto
buscará pruebas sobre el crimen. Tratarán de probar si la persona
tiene la culpa o no.
 Las investigación forense digital también se utilizan en disputas
entre empresas y/o personas (conocidas como derecho civil). Estos
no pueden involucrar un crimen. En su lugar, se pide al experto que
busque información sobre una persona o empresa mirando su
ordenador. Hay una palabra específica usada para describir este
tipo de investigación, es "eDiscovery".

 También la investigación forense digital es utilizada en los procesos
de "detección de intrusos". Sucede después de que un hacker
irrumpe en una red de computadoras. Después de la pausa en un
experto a menudo se le pide que mire a las computadoras en red
para tratar de averiguar cómo sucedió el cibercrimen.

La Ciberseguridad y Análisis Forense Digital
 La Ciberseguridad y el Análisis Forense Digital trabajan como
equipo. Son fundamentales a la hora de investigar un cibercrimen,
aunque de diferentes ángulos.
 La seguridad cibernética, tiene como función centrarse en la
prevención y detección de ataques y el diseño de sistemas seguros.
En cambio, el análisis forense digital, se ocupa de las secuelas del
incidente en una función de investigación.

2.Peritos y Analistas
Informáticos
Forenses

Perito Informático Forense
Que es un Perito Informático Forense
 Los peritos informáticos son los profesionales que se encargan de dar
soporte a particulares, empresas u organizaciones a la hora de
presentar pruebas tecnológicas ante un tribunal.
 Se encargan de analizar la veracidad de dichos pruebas y de
exponerlas de forma clara y sencilla para que puedan ser
comprendidas por un juez.
Perito Informático Judicial
 La mayoría de jueces no tienen formación especializada en
tecnología. Entonces, ¿cómo pueden saber si una prueba tecnológica
es válida en un procedimiento judicial? ¿Cómo consiguen los
abogados esas pruebas a la hora de presentarlas en un juicio? A
través de un perito informático judicial.

Funciones Peritos Forense Informático
 Los peritos informáticos, no solo se ocupan de certificar la
autenticidad de las publicaciones en Internet en un caso, sino de
preservar y legitimar toda la información que pueda existir en un
producto tecnológico que haya sido manipulado, como por ejemplo
un ordenador.
 Autentican pruebas digitales para que tengan validez, como la
invalidación de las pruebas falsas.
 Intervienen, preservan, se documentan y estudian evidencias
digitales para realizar informes periciales detallados.
 Suministran opiniones fundadas a los tribunales de justicia sobre los
puntos litigiosos.

Funciones Peritos Forense Informático
 Son profesionales autorizados para extraer pruebas de medios de
comunicación como por ejemplo WhatsApp, para recuperar
información que haya sido eliminada y realizar un acta notarial.
 Ante un proceso judicial, estos profesionales serán los encargados
de asesorar durante el mismo y conseguir las pruebas necesarias
que respalden un proceso.
 Realizan informes judiciales o extrajudiciales
 Pueden auxiliar de magistrados, abogados, jueces y tribunales.

Analista Forense Informático
Que es un Analista Forense Informático?
 Un analista forense de computadoras es un profesional
especialmente capacitado que trabaja con las agencias de aplicación
de la ley, así como con empresas privadas, para recuperar
información de las computadoras.
 Los analistas forenses informáticos también se conocen como
investigadores forenses informáticos, examinadores o especialistas.
 Los analistas forenses informáticos combinan sus Ciencias de la
Computación conocimiento con sus habilidades forenses para
recuperar información de computadoras y dispositivos de
almacenamiento. Además, son responsables de ayudar a los agentes
del orden con delitos cibernéticos y también de recuperar pruebas.

Funciones Analista Forense Informático
 Realización de investigaciones de violación de datos y seguridad.
 Recuperación y examen de datos de computadoras y dispositivos
de almacenamiento electrónico.
 Desmontaje y reconstrucción de sistemas dañados para recuperar
datos perdidos.
 Identificar sistemas adicionales comprometidos por ataques
cibernéticos y recopilar evidencia para casos legales.

Profesional Forense Informático
Peritos informáticos y entendidos en la materia
 Perito informático: Profesional que posee titulación oficial en la
materia objeto de la pericia
 Entendido en la materia: Profesional que, sin poseer titulación oficial
en la materia objeto de la pericia, atesora gran experiencia práctica.

Cualidades de profesional forense informático
Un profesional forense informático implica el manejo adecuado de
todos los medios digitales involucrados en casos penales. Para hacer
esto, se requerirán los siguientes conjuntos de habilidades:
 Habilidades de IT
 Habilidades analíticas
 Atención a los detalles
 Habilidades comunicativas
 Habilidades organizativas
 Habilidades para resolver problemas y creatividad
 Gestión del tiempo
 Carácter personal
 Liquidación de seguridad

Roles de un Profesional Forense Informático
 Realizar investigaciones sobre violaciones de datos e incidentes de
seguridad.
 Recupere y examine datos de computadoras y dispositivos de
almacenamiento electrónico.
 Desmontar y reconstruir sistemas dañados para recuperar datos
perdidos.
 Identifique sistemas / redes adicionales comprometidos por
ciberataques.
 Recopilar evidencia para casos legales.
 Redactar informes técnicos, redactar declaraciones y preparar
pruebas para el juicio.

Roles de un Profesional Forense Informático
 Brindar asesoría experta a abogados sobre evidencia electrónica en
un caso.
 Asesorar a la policía sobre la credibilidad de los datos adquiridos.
 Proporcionar testimonio de expertos en procedimientos judiciales.
 Capacitar a los funcionarios encargados de hacer cumplir la ley
sobre los procedimientos de pruebas informáticas.
 Manténgase al tanto de las tecnologías, el software y las
metodologías emergentes
 Sigue siendo competente en habilidades forenses, de respuesta e
ingeniería inversa.

b.7 Roles
Investigación
Forense

Roles de la Investigación del Crimen Informático
Experto vs. Forense:
 Existe una gran diferencia entre el forense informático de un
experto en informática, como lo es un médico de un médico
forense.
Técnicos en escena del crimen Informático:
 Son los primeros en llegar a la escena del crimen, son los
encargados de recolectar las evidencias que ahí se encuentran.
Tiene una formación básica en el manejo de evidencia y
documentación, al igual que en reconstrucción del delito, y la
localización de elementos de convicción dentro de la red.

Roles de la Investigación
Examinadores de evidencia digital o informática:
 Aquellos responsables de procesar toda la evidencia digital o
informática obtenida por los Técnicos en Escenas del Crimen
Informáticos. Para esto dichas personas requieren tener un alto
grado de especialización en el área de sistemas e informática.
Investigadores de delitos informáticos:
 Son los responsables de realizar la investigación y la
reconstrucción de los hechos de los Delitos Informáticos de manera
general, son personas que tienen un entrenamiento general en
cuestiones de informática forense, son profesionales en seguridad
informática, Abogados, Policías, y examinadores forenses.

b.8 Perfil
Investigador
Forense
Informático

Perfil del investigador informático forense
El perfil que debe demostrar es de un profesional híbrido que no le es
indiferente su área de formación profesional, con temas de: Tecnología
de la información, ciencias jurídicas, criminalística y de las ciencias
forenses. Se debe regir bajo los siguientes principios:
Objetividad:
 El investigador Forense debe ser objetivo, debe observar los
códigos de ética profesional.
Autenticidad y conservación:
 Durante la investigación, se debe conservar la autenticidad e
integridad de los medios probatorios.

Perfil del investigador informático forense
Legalidad:
 El perito debe ser preciso en sus observaciones, opiniones y resultados,
conocer la legislación respecto de sus actividades periciales y cumplir con
los requisitos establecidos por ella.
Idoneidad:
 Los medios probatorios debe ser auténticos, ser relevantes y suficientes
para el caso.
Inalterabilidad:
 En todos los casos, existirá una cadena de custodia debidamente
asegurada que demuestre que los medios no han sido modificados
durante la pericia.
Documentación:
 Deberá establecer por escrito los pasos dados en el procedimiento pericial

b.9 Principios y
Relaciones Periciales
Informático Forense

Principios y relaciones periciales informático forense
Principio de entidad pericial propia
 El empleo de los medios informáticos como instrumentos de
conformación de prueba indiciaria informático forense.
 Prueba que si bien constituye una parte de la Criminalística y en lo
formal no difiere de cualquier otra prueba pericial, se integra con
metodología propia, que permite asegurar la detención, identificación,
documentación, preservación y traslado de la evidencia obtenida, con
técnicas e instrumentos propios e inéditos para las ciencias
criminalísticas.
 La prueba indiciaria informático forense, requiere de cuidados
específicos que la diferencian de otras pruebas periciales.

Principios y relaciones periciales informático forenses
Principio de protección y preservación
 Cadena de custodia estricta y con certificación unívoca comprobable
Principio de identidad impropio (de copias)
 Del original, ya que cuando se duplica un archivo informático la
copia no es igual a la original sino idéntica (un bit no difiere de otro
bit y entre sí son identificables unívocamente).

Principio tecnológico transdisciplinario
 Se requiere conocimientos específicos por parte de todos los
involucrados en la prueba indiciaria informático forense:
• Jueces para evaluar correctamente la prueba.
• Fiscales y abogados para efectuar la presentación de
manera adecuada y oportuna.
• Profesionales de la Criminalística y otros peritos, para no
contaminar dicha prueba durante sus propias tareas
periciales a su preservación.
• Funcionario judiciales y policiales a efectos de proteger y
mantener la cadena de custodia establecida

Principio de oportunidad
 Debido a su finalidad de destrucción normalmente requiere de tareas
complementarias que aseguren su recolección (medidas preliminares,
inspecciones o reconocimientos judiciales, órdenes de allanamiento o
de intercepción judicial).
Principio de compatibilización legislativa internacional
 Gran parte de los contratos particulares celebrados en el marco del
derecho Internacional Privado se realiza mediante comunicaciones
digitales (instrumentos de correo electrónico en claro o cifrado y
certificadas por medio de claves criptográficas o firmas digitales).
Estas actividades no solo devienen en demandas civiles, comerciales
y laborales internacionales, sino que en algunas oportunidades
constituyen delitos tipificados en la legislación de casa país.

Principio de Criminalística (Principio del intercambio)
 Se basa en el principio definido por Edmon Locard (Saint-Chamond,
Ródano-Alpes, 13 de diciembre de 1877 - Lyon, 4 de mayo de 1966)
fue un criminalista francés, considerado uno de los principales
pioneros. Es famoso por enunciar el conocido como "Principio de
intercambio de Locard".

 Locard, nos dice que cuando dos objetos entran en contacto
siempre existe una transferencia de material entre el uno y el otro.
Es decir que cuando una persona está en una escena del crimen
esta deja algo de si misma dentro de la escena, y a su vez cuando
sale de ella esta se lleva algo consigo.
 Ej. En el caso de las bitácoras o LOGS del sistema operativo de un
equipo informático utilizado por un Hacker o Cracker para romper
las seguridades de un programa o vulnerar la seguridad de un
Sistema Informático remoto. En dicha bitácora el investigador podrá
encontrar registrada dicha actividad ilegal.

Principio de correspondencia:
 Establece la relación de los indicios con el autor del hecho. Por
ejemplo: si dos huellas dactilares corresponden a la misma
persona, si dos proyectiles fueron disparados por la misma arma,
etc.
Principio de reconstrucción de hechos:
 Permite deducir a partir de los indicios localizados en el lugar de
los hechos, en que forma ocurrieron estos.
Principio de probabilidad:.
 Deduce la posibilidad o imposibilidad de un fenómeno con base en
el número de características verificadas durante un cotejo.

Que es el Peritaje Informático?
 Peritaje informático se encarga de extraer información
de dispositivos electrónicos con el objetivo de realizar análisis
forenses, analizar las pruebas, extraer conclusiones y elaborar los
informes pertinentes en base a dicha investigación, para su
posterior presentación ante un tribunal.
 Aquella disciplina que nace con el objetivo de ofrecer soporte a
empresas y particulares a la hora de resolver casos judiciales en
los que se requiera el análisis de pruebas informáticas.

3.Informática Forense
En Guatemala
a.
b.
c.
El Derecho Informático en el Sector
de Justicia
Informática Forense en Guatemala e
Iniciativas de Ley
Delitos informáticos y Legislación
Penal Guatemala

a. El Derecho
Informático en
el Sector
Justicia

El Derecho Informático en el sector de Justicia
 Según entrevista realizada por IT NOW 2018, a José Leonett Fundador del
Observatorio Guatemalteco de Delitos Informáticos, Coordinador Guatemala
REDLIF Red Latinoamericana de Informática Forense, Corresponsal Oficial
Guatemala Expone diferentes puntos importantes:
 Observación: El desconocimiento de las evidencia digitales o de una cadena de
custodia a raíz de un delito cibernético son algunas señales de la debilidad en el
derecho informático en el sector justicia.
 La carencia que enfrenta el derecho informático en el sector justicia de
Guatemala es tan marcado que cuando los juristas presentan pruebas en un
caso de delito cibernético muestran un sitio web impreso a la que denominan
como evidencia digital. De tal manera que los jueces y fiscales desconectar el
tema, así afirmó José Leonett, director general del Observatorio Guatemalteco
de Delitos Informáticos, durante una entrevista con IT NOW.

El Derecho Informático en el sector de Justicia
 Observación: Aunque las unidades de seguridad tiene el conocimiento para la
extracción de información, no existe un manual de recolección, por lo que los
procesos de cadena de custodia no son muy conocidos.
 En cuanto al sector financiero se considera que es uno de los más golpeados en
América Central y está enfrentando pérdidas ya que en lugar de la cadena de
custodia, se recurre a hacer una copia de respaldo, se trabaja sobre la escena
del delito y al hacer una exhibición en la audiencia, la evidencia es deficiente.
 Observación: Existe un desligamiento entre las áreas de sistemas y áreas
jurídicas.
 “La limitante dentro de organizaciones es que la gente de sistemas no se lleva
con la de jurídico, y este piensa que estalla la red, las gerencias no se involucran,
pero cuando viene la sustracción todos se quedan viendo la cara…”, plasmó
Leonett.

b. Informática
Forense
Iniciativas de Ley
Guatemala

 Existen dos iniciativas de ley: una que está estancada (4054 Ley Contra el
Cibercrimen) y una que, si bien ha pasado dos de tres lecturas en el
Congreso de la República, está desactualizada (4055 Ley Contra Delitos
Informáticos) puesto que no incluye amenazas como: ransomware, tráfico de
datos, clonación de tarjetas, amenazas directas en las redes sociales o
actividades pandilleriles para ejecutar ciberdelitos.
 El sector judicial es el más preocupante, las universidades no están
preparadas con derecho informático, ni el de protección de datos, a pesar de
que hay libre información de beas data, el sector criminalístico y académico
lo desconocen. Los profesores son de penal que enseñan un curso de
introducción a informática. El sector informático debe ser entrenado para
incluir la firma digital, la representación jurídica y digital mediante ella, es un
tema que preocupa”, según Leonett.
Informática Forense en Guatemala e Iniciativas de Ley

 Muchos expertos han expresado la necesidad y la importancia de que
Guatemala se apegue y se suscriba al Convenio de Budapest contra el
cibercrimen, al cual pertenecen más de 60 países. Sin embargo, la seguridad
informática, en un país como Guatemala, aun presenta muchos obstáculos.
 Se han presentado otras tres iniciativas de ley: en 2017 la iniciativa 5254 Ley
de ciberdelincuencia, en 2018 la iniciativa 5339 Ley contra actos terroristas y
en 2019 la iniciativa 5601 Ley de prevención y protección contra la
ciberdelincuencia.
 El principal problema de estas iniciativas es que las condiciones pretenden, de
una u otra manera, transgredir el derecho a la libre expresión. “Una ley de
ciberdelincuencia es necesaria y prioritaria, pero bajo las condiciones óptimas
buscando, ante todo, la seguridad y el bienestar de la población”.
Fuente. Periódico Digital Centroamericano y del Caribe Feb.2020

 Se realizó una presentación del Estudio Centroamericano de Protección de
Datos, realizado por el Instituto Panameño de Derecho y Nuevas Tecnologías,
en el cual se destaca que en Guatemala la Ley de Acceso a la Información
Pública es la única que regula el trato de información personal y de datos
sensibles, dijo Sara Fratti, exdirectora de la instancia.
 Por iniciativa de la Cámara de Comercio Guatemalteco-Americana (AMCHAM,
por sus siglas en inglés) instó al Congreso, principalmente a la próxima
legislatura, para que desengavete y apruebe la iniciativa 4090, Ley de
Protección de Datos, la cual desde 2010, se encuentra pendiente del tercer
debate y aprobación final.
Fuente. Periódico Digital Centroamericano y del Caribe Dc.2019

c. Delitos
Informáticos y la
Legislación Penal
En Guatemala

Delitos informáticos y Legislación Penal Guatemala
En materia de delitos informáticos se citan:
De conformidad con la legislación vigente y las modificaciones incluidas al
Código Penal, según el Decreto No. 33-96 del Congreso de la Republica,
con el propósito de regular las prácticas delictivas, establece en sus
artículos del 274 "A" al 274 "G" 10 siguientes delitos informáticos:
Artículo 274 “A” Destrucción de registros informáticos
 Será sancionado con prisión de seis meses a cuatro años, y multa de
doscientos a dos mil quetzales, el que destruyere, borrare o de
cualquier modo inutilizare registros informáticos.
Artículo 274 “B” Alteración de programas
 La misma pena del artículo anterior se aplicará al que alterare, borrare
o de cualquier modo inutilizare las instrucciones o programas que
utilizan las computadoras.

En materia de delitos informáticos se citan
Artículo 274 “C” Reproducción de Instrucciones o programas de Computación
 Se impondrá prisión de seis meses a cuatro años y multa de quinientos
a dos mil quinientos quetzales al que, sin autorización del autor,
copiare o de cualquier modo reprodujere las instrucciones o programas
de computación.
Artículo 274 “D” Registros Prohibidos
 Se impondrá prisión de seis meses a cuatro años y multa de
doscientos a mil quetzales, al que creare un banco de datos o un
registro informático con datos que puedan afectar la intimidad de las
personas.

En materia de delitos informáticos se citan
Artículo 274 “E” Manipulación de Información
 Se impondrá prisión de uno a cinco años y multa de quinientos a tres mil
quetzales, al que utilizare registros informáticos o programas de
computación para ocultar, alterar o distorsionar información requerida
para una actividad comercial, para el cumplimiento de una obligación
respecto al Estado o para ocultar, falsear o alterar los estados contables
o la situación patrimonial de una persona física o jurídica.
Artículo 274 “F” Uso de la información:
 Se impondrá prisión de seis meses a dos años, y multa de doscientos a
mil quetzales al que, sin autorización, utilizare los registros informáticos
de otro, o ingresare, por cualquier medio, a su banco de datos o archivos
electrónicos.

En materia de delitos informáticos se citan:
Artículo 274 “G” Programas Destructivos
 Será sancionado con prisión de seis meses a cuatro años, y multa
de doscientos a mil quetzales, al que distribuyere o pusiere en
circulación programas o instrucciones destructivas, que puedan
causar perjuicio a los registros, programas o equipos de
computación

Estas no están clasificadas específicamente dentro de los delitos informáticos del
Código Penal, pero señala otras conductas de las que podrían incluirse dentro de
este tipo.
 Violación a Derechos de Autor contenida en el artículo 274 del Código Penal.
 Violación a los Derechos de Propiedad Industrial contenida en el artículo 275
del Código Penal.
 Pánico Financiero contenido en el artículo 342 “B” del Código Penal.
 Ingreso a espectáculos y distribución de material pornográfico a personas
menores de edad contenida en el artículo 189 del Código Penal.
 Violación a la intimidad sexual contenida en el artículo 190 del Código Penal.
 Producción de pornografía de personas menores de edad contenida en el
artículo 194 del Código Penal.

Estas no están clasificadas específicamente dentro de los delitos
informáticos del Código Penal, pero señala otras conductas de las que
podrían incluirse dentro de este tipo.
 Comercialización o difusión de pornografía de personas menores
de edad contenida en el artículo 195.
 Comercialización de Datos Personales ilícito penal contenido en la
Ley de Acceso a la Información Pública, artículo 64.
 Alteración fraudulenta contenido en el artículo 275 Bis del Código
Penal.

Decreto Número 32-2006
 Artículo 1. Se crea el Instituto Nacional de Ciencias Forenses de
Guatemala, INACIF, como institución auxiliar de la administración
de justicia, con autonomía funcional, personalidad jurídica y
patrimonio propio. Tiene competencia a nivel nacional y la
responsabilidad en materia de peritajes técnicos científicos de
conformidad con la presente ley.

Código Procesal Penal en su Articulo 225:
 Procede la peritación cuando para obtener, valorar o explicar un
elemento de prueba fuere necesario o conveniente poseer
conocimientos especiales en alguna ciencia, arte, técnica u oficio.
 En tal sentido, y adecuando dicha normativa al tema de
investigación, se puede indicar que para investigar la comisión de
un hecho delictivo que revista las características de delito
informático, y sea necesario obtener evidencia informática, valorar
dicha evidencia o explicar la misma, se hace necesaria la
intervención de un perito informático, en virtud de las peculiaridades
y características especificas de dicha evidencia, quien de
conformidad con sus conocimientos y experiencia en la materia,
posee la capacidad técnica para obtener, valorar o explicar dicha
evidencia informática.

Código Procesal Penal en su Articulo 225:
 Ser profesional especializado en materia informática y encontrarse
habilitado para el ejercicio de su profesión; aunque debemos tomar
en cuenta lo que establece el Articulo 226 del Código Procesal
Penal, al indicar que no necesariamente el perito debe ser un
profesional, ya que puede designarse a una persona de idoneidad
manifiesta, en aquellos lugares en que no exista un profesional
titulado.

4.Evidencias Digitales y
Su valor probatorio
e. Pruebas Informáticas
Clasificación de las evidencias digitales
Manejo de la evidencia digital
Limitaciones en la recopilación
información como evidencia
f.
g.
h.

Evidencia digital y su valor probatorio con base a ISO
ISO/IEC 27037 Directrices para el manejo de la evidencia:
 Esta norma ISO 27037 está orientada al procedimiento de la
actuación pericial en el escenario de la recogida, identificación,
recopilación, adquisición y preservación de la evidencia digital, no
entra en la fase de Análisis de la evidencia.

Equipos y
medios de
almacenamiento
y dispositivos
periféricos.
Sistemas
críticos (alta
exigencia de
disponibilidad).
Ordenadores y
dispositivos
conectados en
red.
Dispositivos
móviles.
Sistema de
circuito cerrado
de televisión
digital.
Tipología de los Dispositivos y Entornos
de la acuerdo a la ISO 27037

Aplicación de
Métodos
•La evidencia
digital debe ser
adquirida del
modo menos
intrusivo
posible
tratando de
preservar la
originalidad de
la prueba y en
la medida de lo
posible
obteniendo
copias de
respaldo.
Proceso
Auditable
•Los
procedimientos
seguidos y la
documentación
generada
deben haber
sido validados
y contrastados
por las buenas
prácticas
profesionales.
Se debe
proporcionar
trazas y
evidencias de
lo realizado y
sus resultados.
Proceso
Reproducible
•Los métodos y
procedimientos
aplicados
deben de ser
reproducibles,
verificables y
argumentables
al nivel de
comprensión
de los
entendidos en
la materia,
quienes
puedan dar
validez y
respaldo a las
actuaciones
realizadas.
Proceso
Defendible
•Las
herramientas
utilizadas
deben de ser
mencionadas y
éstas deben de
haber sido
validadas y
contrastadas
en su uso para
el fin en el cual
se utilizan en la
actuación
Los principios básicos
en los que se basa la norma ISO 27037

La Identificación de la
evidencia:
•Consiste en localizar e
identificar las
potenciales
informaciones o
elementos de prueba en
sus dos posibles
estados:
•Físico y el lógico según
sea el caso de cada
evidencia.
La Recolección y/o
Adquisición:
•Define como la recolección
de los dispositivos y la
documentación
(incautación y secuestro
de los mismos) que
puedan contener la
evidencia que se desea
recopilar o..
•bien la adquisición y copia
de la información existente
en los dispositivos.
La Conservación /
Preservación:
• La evidencia ha de ser
preservada para garantizar
su utilidad, es decir, su
originalidad para que a
posteriori pueda ser ésta
admisible como elemento
de prueba original e
íntegra.
• Las acciones de este
proceso están claramente
dirigidas a conservar la
Cadena de Custodia, la
integridad y la originalidad
de la prueba.
El Análisis:
•Proceso queda fuera de la
norma.
Etapas del proceso de actuación
Según ISO/IEC 27037

El medio
que
contiene la
información
Características
de la
información
El formato
de la
Información
En tránsito
desplazami
ento o en
movimiento
La
Información
contenida
Almacenad
a
estáticame
nte
Estados de la
información
Almacenada
dinámicame
nte en
proceso
Valores de las
variables a
considerar en
la captura de
la evidencia
La aplicación práctica de la Norma
en las Actuaciones Periciales
Captura Evidencia Telemática.
Cuál es la naturaleza de la evidencia que se desea
recopilar y cuál es la mejor forma o vía de
actuación que garantice el éxito de la misma, para
ello se debería elaborar un protocolo de actuación
adecuado y “ad hoc” para cada caso específico.

ISO / IEC 27040: 2015 Tecnología de la información - Técnicas de
seguridad - la seguridad de almacenamiento.
 Proporciona orientación técnica detallada sobre cómo gestionar
eficazmente todos los aspectos de seguridad de almacenamiento de
datos, desde la planificación y el diseño hasta la implementación y
documentación.
 Es un estándar que entra en profundidad en los riesgos, mejores prácticas
para la protección del almacenamiento y provee bases para la auditoría,
diseño y revisión de controles de seguridad en el almacenamiento y
guardado de información.
 Asociando controles físico, técnicos y administrativos, así como medidas
preventivas, detectivas y correctivas asociadas con los sistemas de
almacenamiento como son configuraciones en cluster, en espejo, con
sistemas de archivo distribuidos, backups, entre otras.

Dominios de seguridad
(separación de recursos de
acuerdo con su nivel de
sensibilidad).
Virtualización
(virtualización de
almacenamiento y
almacenamiento para
sistemas
virtualizados).
Fiabilidad, disponibilidad y
resistencia de los datos
(incluidas las copias de
seguridad y la replicación,
así como la recuperación
ante desastres y la
continuidad del negocio).
La defensa en
profundidad (acciones
basadas en personas,
procesos y tecnología)
Diseño de resiliencia
(eliminación de puntos
únicos de falla y
maximización de la
disponibilidad)
Retención de datos
(retención a largo plazo y
a corto y mediano plazo).
Inicialización segura
(secuencia de transición
desde el estado “caído” a
activo, luego de una falla
o reinicio de los medios
de almacenamiento).
Confidencialidad e
integridad de los datos.
Principios de Conceptos
de seguridad importantes
de seguridad de
almacenamiento (defensa
en profundidad, dominios
de seguridad, resistencia
de diseño e inicialización
segura)
Principios de seguridad básicos al tiempo que se considera
la sensibilidad, la criticidad y el valor de los datos (ISO/IEC
27040)

Recomendaciones para ayudar a
asegurar el almacenamiento
adjunto directo (DAS)
Amplia cobertura de seguridad para
tecnologías y topologías de redes de
almacenamiento con énfasis en redes de
área de almacenamiento o SAN (por
ejemplo, Fibre Channel, iSCSI, FCoE, etc.) y
almacenamiento conectado a la red o NAS
(por ejemplo, NFS y SMB / CIFS)
Identificación de problemas de
seguridad importantes y orientación
para la gestión del almacenamiento.
Seguridad para sistemas de
almacenamiento basados en
bloques con Fibre Channel e
interfaces IP (más allá de los
materiales de redes de
almacenamiento)
Seguridad para sistemas de
almacenamiento basados en archivos
con interfaces NFS, SMB / CIFS y
pNFS (más allá de los materiales de
redes de almacenamiento)
Seguridad para almacenamiento en
la nube, almacenamiento basado en
objetos (OSD) y almacenamiento
direccionable de contenido (CAS)
1
2
3
4
5
6
Controles de apoyo para seguridad
de almacenamiento (ISO/IEC 27040)

La normativa ISO/IEC 27042:2015: Análisis de la evidencia digital.
 Proporciona directrices sobre cómo un perito informático puede
abordar el análisis e interpretación de una evidencia digital en un
incidente o en una intervención pericial, desde su identificación
(evidencia digital potencial), pasando por su análisis (evidencia
digital), hasta que es aceptada como prueba en un juicio (evidencia
digital legal).
 Determina la manera en que un perito debe afrontar el análisis y
posterior interpretación de una evidencia de tipo original en un
determinado problema. Esta norma unifica una serie de buenas
prácticas acerca de la selección, diseño e implementación de
procesos para manipular las evidencias.

Evidencia digital
potencial
• Información o
datos,
almacenados o
transmitidos en
formato binario
que no han sido
determinados a
través un
proceso de
análisis que sea
relevante para la
investigación.
Evidencia
digital:
• Información o
datos,
almacenados o
transmitidos en
formato binario
que han sido
determinados a
través un
proceso de
análisis que sea
relevante para la
investigación.
Evidencia
digital legal:
• Es la evidencia
digital que ha
sido aceptada en
un proceso
judicial. (En
términos
jurídicos es lo
que se llama
prueba)
Investigación
• Aplicación de
exámenes,
análisis e
interpretaciones
para entender un
incidente.
Examen
• Conjunto de
procesos
aplicados para
identificar y
recuperar
evidencia digital
potencial
relevante de uno
o más fuentes.
Análisis
• Evaluación de la
evidencia digital
potencial con el
fin de valorar su
relevancia para
una
investigación,
así como los
significados de
los artefactos
digitales latentes
en su forma
nativa.
Interpretación
• Síntesis de una
explicación,
dentro de los
límites
acordados, para
los hechos
revisados acerca
de la evidencia
resultante de un
conjunto de
exámenes y
análisis que
componen la
investigación.
Serie de definiciones relevantes para el ejercicio
de la informática forense (ISO/IEC 27042)

Es un examen de evidencia
digital potencial, por inspección
exclusivamente, con el fin de
determinar su valor como
evidencia digital (p.e
identificación de artefactos,
construir líneas de tiempo,
revisión de contenidos de
archivo y datos borrados, etc.).
Se inspecciona en formato
crudo y se interpreta a través
del uso de procesos
apropiados (visores
adecuados), sin ejecutar
programas que afecten la
evidencia digital potencial.
El análisis
estático
Sistemas
estáticos
Es un examen de
evidencia digital potencial
en sistemas en vivo o
activos.
Particularmente útil en
sistemas de mensajería
instantánea, teléfono
inteligentes/tabletas,
intrusiones en redes, redes
complejas, dispositivos de
almacenamiento cifrado o
código polimórfico
sospechoso
El análisis
en vivo
Sistemas
En vivo
Modelos analíticos que pueden ser usados por los analistas
forenses en informática (ISO/IEC 27042)

•Este ejercicio tiene un riesgo significativo de perder evidencia digital
potencial cuando se intenta copiarlo o hacerle una imagen.
•Es clave tener importantes cuidados para minimizar el riesgo de daño
de la evidencia digital potencial y asegurar que se tiene un registro
completo de todos los procesos ejecutados.
Análisis en vivo de
sistemas que no
pueden ser
copiados o no se
puede capturar la
imagen.
•Apropiado o necesario examinar el sistema directamente
interactuando u observándolo en su operación.
•Esto es tener cuidado para emular el hardware o software del entorno
original tan cercano como sea posible, usando máquinas virtuales
verificadas, copias del hardware original o mejor aún el tipo de
hardware original, con el fin de permitir un análisis más cercano al
real.
Análisis en vivo de
sistemas que
pueden ser
copiados o se
puede capturar la
imagen.
Dos formas de realizar el análisis en vivo
Norma (ISO/IEC 27042)

 Calificaciones de autor o las competencias para participar en la investigación
y producir el informe.
 La información provista al equipo de investigación antes de iniciar la
investigación (naturaleza del información que se va a desarrollar.
 La naturaleza del incidentes bajo investigación.
 Tiempo y duración del incidente.
 Ubicación del incidente.
 Objetivo de la investigación.
 Miembros del equipo de investigación, sus roles y actuaciones.
 Tiempo y duración de la investigación.
 Localización de la investigación.
El informe debe contener como mínimo lo siguiente
Como resultado de la pericia adelantada (ISO/IEC 27042)

 Hechos concretos soportados por evidencia digital hallados durante la
investigación.
 Cualquier daño a la evidencia digital potencial que se pueda haber observado
durante la investigación y sus impactos en los siguientes pasos del proceso.
 Limitaciones de cualquiera de los análisis realizados.
 Listado de procesos utilizados, incluyendo donde sea apropiado, cualquier
herramienta usada.
 Interpretación de la evidencia digital por parte de investigador.
 Conclusiones.
 Recomendaciones para futuras investigaciones o acciones de remediación.
El informe debe contener como mínimo lo siguiente
como resultado de la pericia adelantada (ISO/IEC 27042)

5. La integridad de la
evidencia digital
a. Evidencia en la Informática Forense
Fuentes de la evidencia digital
Razones para obtener evidencia digital
Pruebas Informáticas
b.
c.
d.

Que es la evidencia digital en la Informática Forense?
Es la certeza manifiesta y tan perceptible
de una cosa que nadie puede
racionalmente dudar de ella.
Es cualquier mensaje de datos
almacenados y trasmitidos por medio de
un Sistema de Información que tengan
relación con el hecho indebido que
comprometa gravemente el sistema y que
posteriormente guie a los investigadores
al descubrimiento de los incriminados.
La evidencia digital es un registro de la
información guardada o difundida a través
de un sistema informático que puede
utilizarse como prueba en un proceso
judicial. Es cualquier dato digital que pueda
relacionar un delito con su víctima o con su
autor.
La evidencia digital se define como
información y datos de valor para una
investigación almacenada, recibida o
transmitida por un dispositivo electrónico.
La evidencia digital puede:
 Está latente (oculta), como huellas digitales o evidencia de ADN
 Cruza fronteras jurisdiccionales rápida y fácilmente
 Se puede alterar, dañar o destruir con poco esfuerzo
 Puede ser sensible al tiempo.

• Son aquellos que están compuestos de las llamadas
computadoras personales y todos sus periféricos como teclados,
ratones y monitores, las computadoras portátiles y los servidores.
Sistemas de
computación abiertos:
• Están compuestos por las redes de telecomunicaciones, la
comunicación inalámbrica y el Internet, grandes fuentes de
información y evidencia digital.
Sistemas de
comunicación:
• Aquellos formados por los teléfonos celulares llamados
inteligentes, los sistemas inteligentes y de convergencia digital.
Sistemas
convergentes de
computación:
Fuentes de la evidencia digital

Razones para obtener evidencia digital?
Casos de espionaje,
revelación de secretos o
violación de la propiedad
industrial.
Delitos contra la propiedad
intelectual.
Intromisiones ilegítimas en
la intimidad de la persona.
Accesos ilegales a
documentos o ficheros de
la empresa.
Competencia desleal por
parte de un empleado.
Despidos por uso
inadecuado de la
tecnología.
Interceptación de
comunicaciones.
Valoración de bienes o
productos tecnológicos.
Protección de datos
personales sensibles o
datos jurídicos.
Difusión de datos privados
o reservados.
Acceso o manipulación
ilegítima de software.
Uso ilegítimo de
servidores, hardware,
redes o sistemas
informáticos.
Investigación de
homicidios
Hábitos sexuales

Razones para obtener evidencia digital?
Uso ilegítimo de servidores,
hardware, redes o sistemas
informáticos.
Daños en equipos informáticos
provocados por un uso
abusivo.
Delitos económicos realizados
a través de medios
informáticos.
Delitos contra los
consumidores o el mercado
realizados a través de medios
informáticos.
Uso, copia y distribución de
programas sin licencia
(piratería).
Estafas y fraudes a través de
soportes digitales.
Acceso, posesión o divulgación
de pornografía infantil.
Rastreo de hábitos de internet
Fraude Extorsión Investigación de SPAM Distribución de virus
Piratería de Software

 La prueba informática cuando es adecuadamente obtenida es una
fuente de evidencia, pero es más difícil el desafío de obtenerla que
el testimonio de testigos u otros tipos de evidencia.
 Frecuentemente el descubrimiento y presentación de la evidencia
computacional puede traer investigaciones o preguntas además de
las sugerencias y conclusiones exitosas.

Entre las pruebas informáticas se pueden citar:
 Registros (de sesión) y otra evidencia de instrucción de una red
 Software pirata
 Pornografía y otras imágenes
 Documentos normales, cartas, notas
 Correo electrónico, fax y otra correspondencia electrónicamente transmitida
 Información financiera y transacciones
 Lista de clientes, víctimas, socios
 Archivos cache (memoria intermedia)
 Cookies de Internet y sitios visitados
 Datos personales o de la compañía
 Datos borrados o escondidos

Clasificación de la evidencia digital
Registros generador por
computador:
•Generados como efecto de la
programación de un
computador, son inalterables
por una persona, llamados
registros de eventos de
seguridad y sirven como
prueba tras demostrar el
correcto y adecuado
funcionamiento del sistema o
computador que generó el
registro.
Registros no generados sino
simplemente almacenados
por o en computadores:
•Generados por una persona, y
que son almacenados en el
computador, por ejemplo, un
documento realizado con un
procesador de palabras. En
estos registros es importante
lograr demostrar la identidad
del generador, y probar hechos
o afirmaciones contenidas en
la evidencia misma.
Registro híbrido que incluyan
tanto registros generados
por computador como
almacenados en los mismos:
•Los registros híbridos son
aquellos que combinan
afirmaciones humanas y los
registros llamados de evento
de seguridad

g. Manejo de la
Evidencia
digital

Manejo y/o manipulación de la evidencia digital
 Puede ser duplicada de forma exacta y se puede sacar una copia para
ser examinada como si fuera la original.
 Mediante herramientas informáticas existentes se puede comparar la
evidencia digital con su original, para determinar si ha sido alterada.
 Es muy fácil de eliminar. Aun cuando un registro es borrado del disco
duro del computador, y éste ha sido formateado, es posible
recuperarlo.
 Cuando los individuos involucrados en un crimen tratan de destruir la
evidencia, existen copias que permanecen en otros sitios.

 Admisibilidad de la evidencia:
– La ley determina qué evidencia potencial puede ser considerada
en la Corte
– Debe ser obtenida de una forma que asegure la autenticidad y
validez
 No se puede utilizar evidencia dañada, destruida o modificada, o
comprometida por procesos de búsquedas.
 Se debe prevenir la introducción de virus en el proceso de análisis
 La evidencia extraída debe ser apropiadamente manejada protegida de
daños físicos o electromagnéticos.

 Hacer uso de medios forenses estériles (para copias de información)
 Mantener y controlar la integridad del medio original. Esto significa,
que a la hora de recolectar la evidencia digital, las acciones realizadas
no deben cambiar nunca esta evidencia.
 Cuando se necesario que una persona tenga acceso a evidencia
digital forense, esa persona debe ser un profesional forense.
 Las copias de los datos obtenidos, deben estar correctamente
marcadas, controladas y preservadas. Y al igual que los resultados de
la investigación, deben estar disponibles para su revisión.

 Siempre que la evidencia digital este en poder de algún individuo,
este será responsable de todas la acciones tomadas con respecto a
ella, mientras éste en su poder.
 Las agencias responsables de llevar el proceso de recolección y
análisis de la videncia digital, serán quienes deben garantizar el
cumplimiento de los principios de criminalística.

h. Limitaciones
en la recopilación
de evidencia

Limitaciones en la recopilación de información como
evidencia
 No se encuentra o recuperan los datos borrados
 No se recuperan las contraseñas de protección de datos
 No se encuentran o recuperan los datos ocultos
 Pérdida o corrupción de datos
 Colapso total de la computadora
 Asegurar la admisibilidad de los datos en juicio.

evidencia
Informática forence vr. anti-forense
 La informática anti-forense puede ser la peor pesadilla de un
investigador informático. Los programadores diseñan herramientas
anti forenses para que sea difícil o imposible recuperar información
durante una investigación.
 La informática anti-forense se refiere a cualquier técnica, dispositivo o
software diseñado para obstaculizar una investigación informática.
 Hay docenas de formas en que las personas pueden ocultar
información. Algunos programas pueden engañar a los ordenadores
cambiando la información en los encabezados de los archivos.

evidencia
 Otros programas pueden dividir los archivos en pequeñas secciones y
ocultar cada sección al final de otros archivos. Los archivos a menudo
tienen un espacio no utilizado llamado espacio flojo. Con el programa
correcto, puede ocultar archivos aprovechando este espacio flojo. Es muy
difícil recuperar y volver a ensamblar la información oculta.
 También es posible ocultar un archivo dentro de otro. Los archivos
ejecutables son particularmente problemáticos. Los programas
llamados empacadores pueden insertar archivos ejecutables en otros
tipos de archivos, mientras que las herramientas llamadas
enlazadoras pueden unir varios archivos ejecutables.

Informática forence vr. anti-forense
 El cifrado es otra forma de ocultar datos. Cuando encriptas datos, utilizas un
conjunto complejo de reglas llamado algoritmo para hacer que los datos sean
ilegibles. Una persona que quiera leer los datos necesitaría la clave de
cifrado. Sin la clave, los detectives tienen que usar programas de ordenador
diseñados para descifrar el algoritmo de cifrado. Cuanto más sofisticado sea
el algoritmo, más tiempo llevará descifrarlo sin una clave.
 Otras herramientas anti forenses pueden cambiar los metadatos adjuntos a
los archivos. Si los metadatos se ven comprometidos, es más difícil
presentar la evidencia como confiable.
 Algunas personas usan informática anti-forense para demostrar cuán
vulnerables y poco confiables pueden ser los datos del ordenador. Si no
puedes estar seguro de cuándo se creó un archivo, cuándo se accedió por
última vez o si alguna vez existió, ¿cómo puedes justificar el uso de pruebas
informáticas en un tribunal de justicia?

6. El habeas data mitos y
realidad en el país
a. El término Habeas Data
Artículos de la Constitución, privacidad e
intimidad de las personas
Artículos asociados a convenios
internacionales
Jurisprudencia Corte de Constitucionalidad
protección de la privacidad de la persona
b.
c.
d.

El habeas data
mitos y realidad
en el país

El habeas data mitos y realidades en el país
A que se refiere el término Habeas Data?
 Es una garantía constitucional que protege a las personas contra el
uso abusivo de información personal, sobre todo cuando esta ha
sido obtenida de forma ilícita o fraudulenta. Busca proteger el
derecho a la privacidad, intimidad, a la información, a la
autodeterminación informativa de una persona ante los registros o
bases de datos de organismos públicos o privados
 En Guatemala, actualmente no existe una ley vigente que regule la
protección de Datos Personales, sin embargo desde el punto de
vista legal se podría afirmar que existe una protección con base a la
siguientes normativas >>.

Constitución de la República de Guatemala
Varios artículos que pretenden proteger la privacidad e intimidad de las
personas, reconocida en nuestra legislación, como:
 Artículo 11 de la Convención Americana de los Derechos Humanos,
inherente a toda persona.
 El Artículo 5 de la Declaración Americana de los Derechos Humanos, el
cual reitera la protección de la dignidad de la persona.
 El Pacto Internacional de Derechos Civiles y Políticos establece en su
Artículo 17, que nadie será objeto de injerencias en su vida privada.

Convenios Internacionales:
 El artículo 24: “la correspondencia de toda persona, sus documentos y libros son
inviolables…se garantiza el secreto de la correspondencia y de las comunicaciones
telefónicas, radiofónicas, cablegráficas y otros productos de la tecnología
moderna…”
 Los artículos 30 y 31: permite a las personas tener acceso a la información de
archivos y registros estatales que conste en lo Registros y Bases de Datos de las
instituciones públicas.
La ley de libre acceso a la información pública, Decreto 15-2008:
 Artículo 30, Habeas Data: Contempla límites justamente para la protección de todos
aquellos datos personales, no pueden ser distribuidos y deben de estar enterados
de la información que sobre ellos conste en esos archivos, registros etc.

Jurisprudencia dictada por la Corte de Constitucionalidad
Existe un precedente legal tendiente a la protección de la privacidad de la persona
y la prohibición de la comercialización de datos personales, el derecho a la
intimidad asocia al derecho a la vida privada personal y familiar; sin embargo, la
tecnología informática genera dificultad en cuanto a proteger adecuadamente el
derecho a la intimidad y a la privacidad de una persona individual:
 Referencia a expediente 863-2011: El derecho a la intimidad propugna por un
mínimo respeto a un ámbito de vida privada personal y familiar, que es aquél
que debe quedar excluido del conocimiento ajeno y de las intromisiones de los
demás.
 Referencia a expediente1356-2006: Estima que la comercialización de datos
personales por parte de una entidad privada, sin autorización expresa del
titular, vulnera la dignidad de la persona.

7. El derecho informático
su rol actual en
Guatemala y Latinoamérica
a. Legislación delitos informáticos
Cuadro comparado sobre los delitos
informáticos analizados en Latinoamérica
No se tiene como encuadrar los delitos
informáticos
Delitos menos sancionados penalmente en
latinoamérica
b.
c.
d.

El Derecho
Informático
Guatemala y
Latinoamérica

El Derecho Informático y su rol actual en países
Latinoamericanos.
Legislación delitos informáticos:
 Es importante resaltar que Guatemala no tiene una legislación al respecto de
los delitos informáticos, y al momento existe una iniciativa de ley que están
en ciernes en de los procesos y cabildeos necesarios para que la misma
salga a la vida jurídica.
 En la siguiente diapositiva se muestra un cuadro comparativo del referido
documento de Temperini, Cuadro de Derecho comparado sobre los delitos
informáticos analizados en Latinoamérica, y se puede apreciar que derivado
de la comparación de los 21 países, Guatemala tiene la posición 17, solo por
encima de Cuba, Haití y Nicaragua.
 Estos cuatro países incluyendo Guatemala, son los que tienen menos
sanción penal para los delitos informáticos considerados. Lo que deja ver
que existen oportunidades de mejora urgentes en materia jurídica de los
delitos informáticos.

El Derecho Informático y su rol actual, países Latino
Americanos.
Cuadro de Derecho
comparado sobre
los delitos
informáticos
analizados en
Latinoamérica

Latinoamericanos.
Hoy no tenemos como encuadrar los delitos informático?
 Los perpetradores de hechos delictivos tecnológicos, que denominamos
crímenes especiales o cibercrimen, la plataforma legal no da margen a un
juicio sobre bases sólidas para poder encuadrar los delitos tipificados
como cibernéticos en la actual legislación guatemalteca.
 Como se observa la siguientes diapositivas el cuadro de información.
Como lo afirma Ricardo Posada Maya, la doctrina especializada reconoce
dos manifestaciones fenomenológicas de este sofisticado problema, que
algunos de manera equivocada tratan como hipótesis jurídicas
equivalentes:
1. la criminalidad informática en sentido amplio y
2. la Cibercriminalidad.

Latinoamericanos.
 La criminalidad informática cubre todas aquellas figuras punibles
tradicionales que, debido a su estructura modal abierta, son realizadas por el
sujeto activo empleando de modo circunstancial redes de comunicación
automatizadas o sistemas informáticos, electrónicos o telemáticos, con la
consecuente lesión o peligro para bienes jurídicos individuales o supra
individuales, como el patrimonio económico, la libertad, la intimidad, la
formación sexual o el orden económico y social.
 El fraude o estafa informática no está encuadrado totalmente en ninguno de
los artículos del Código Penal en su articulado que recoge el 274 y
tampoco en la referida Ley de Derechos de Autor y Derechos
conexos, en una tipo de fraude informático podrían caer todos los ilícitos
que hoy día se practican.

Latinoamericanos.
 Se puede observar en la siguiente diapositiva “cuadro“ de que la
suplantación de identidad permanece encabezando los delitos informáticos
menos sancionados en Latinoamérica.
 Esto es por un lado por la dificulta de tener las pruebas suficientes y
competentes que liguen a un delito de esa índole a la persona que lo realizó,
pero sobre todo, porque también es difícil realizar la cadena de custodia de
estos hallazgos tecnológicos, de tal suerte que, cuando se requiere realizar
sanciones en contra de un individuo, primero tenemos que realizar un
peritaje forense sobre ambiente seguro, es decir, no sobre los componentes
que fueron objeto del atraco, pues estos equipos, si son parte de la
evidencia, no se deben contaminar, por lo que también se observa una
debilidad en la preservación de la cadena de custodia digital.

Latinoamericanos.
Delitos menos
sancionados penalmente
en Latinoamérica

8. Como se comenten los
Ciberdelitos (cibercrimen)
a. Que es el cibercrimen
Tipos de cibercrimen
Tipos de ataques utilizados por el
Cibercrimen
Estadísticas del Cibercrimen al nivel
mundial
b.
c.
d.

a. Que es el
Cibercrimen o
Ciberdelito?

Qué es el Cibercrimen?
 El cibercrimen es una actividad delictiva que afecta o abusa de una
computadora, una red informática o un dispositivo en red.
 La mayor parte del cibercrimen, pero no todo, lo perpetran
cibercriminales o hackers que desean ganar dinero. El cibercrimen lo
cometen personas u organizaciones.
 Algunos cibercriminales están organizados en grupos, utilizan
técnicas avanzadas y cuentan con grandes habilidades técnicas.
Otros son hackers novatos.
 En raras ocasiones, el cibercrimen tiene como objetivo dañar las
computadoras por motivos distintos a la obtención de dinero. Estos
pueden ser políticos o personales.

Tipos de Cibercrimen
 Se identifican tres tipos de Cibercrimen: Delito Cibernético, los
Ciberataques, el Ciberterrorismo.
El delito cibernético:
 Delito informático, delito cibernético o ciberdelito es toda aquella acción
antijurídica que se realiza en el entorno digital, espacio digital o de
Internet. Pueden ser llevado a cabo por individuos o grupos para atacar
sistemas para obtener beneficios financieros o causar interrupciones.
 Se utilizan programas maliciosos, también llamados malwares,
desarrollados para dañar, deteriorar, borrar, hacer inaccesibles, suprimir
o alterar datos informáticos sin la autorización del propietario y con fines
monetarios y de daño.

Ciberdelitos más conocidos:
 El fraude: manipulación de datos en la que se perjudica a personas físicas y
jurídicas para que estas sufran una pérdida económica.
 El chantaje: reclamar una cantidad de dinero a cambio de no dar a conocer
información confidencial.
 Los virus informáticos: se infectan sistemas, destruyen archivos, perturban
el funcionamiento general y se autorreplican para saltar a otros dispositivos y
sistemas.
 El phishing: los delincuentes se hacen pasar por diferentes entidades, como
empresas, oficinas de gobierno o conocidos de la persona, y le solicitan los
datos que necesitan para suplantar su identidad y así ingresar a sus cuentas
en bancos, redes sociales, servicios y aplicaciones.

Ciberdelitos más conocidos:
 El ciberbullying: el acoso que se realiza a través de distintas redes sociales
con la intención de acechar o perseguir a otro individuo, difamarlo, atentar contra
su se integridad moral, etc. Se realiza mediante el descubrimiento y revelación
de secretos.
 La sextorsión: solicitar dinero a cambio de no difundir en las redes sociales
imágenes que surgieron en una relación consentida.
 Ciberodiose: refiere a la violencia, la xenofobia, mensajes que incitan al odio, el
racismo y otros tipos de discriminación a partir del empleo de medios
cibernéticos Estos son contenidos considerados inapropiados que pueden llegar
a vulnerar personas.
 La pornografía infantil: se refiere a la corrupción de menores de edad y su
explotación sexual para producir y comercializar videos e imágenes de actividad
sexual.

Otros Ciberdelitos más conocidos:
 Fraude por correo electrónico e Internet.
 Fraude de identidad (en caso de robo y uso de información personal).
 Robo y venta de datos corporativos.
 Ciberextorsión (amenazar con un ataque para exigir dinero).
 Cryptojacking (en el que los hackers consiguen criptomoneda con recursos
que no les pertenecen).
 Interceptar de forma ilegal o robar datos.
 Interferir con los sistemas de forma que pueda poner en peligro la red.
 Infracción de copyright.
 Casinos y subastas ilegales.
 Venta online de artículos ilegales.

Los ciberataques:
 Son aquellos ataques que va dirigidos a todo o parte de un sistema informático,
computadora o redes de la información y que puede ser muy variado. Puede ser
dirigido a personas individuales o jurídicas. Encontrándose los piratas más
peligros conocidos como “amenazas persistente avanzadas (APT).
 Su finalidad puede ser el secuestro informático, sabotaje informático, extorsión,
chantaje, daños en uno o varios programas informáticos , espionaje informático,
robo o hurto de datos, robo de contraseñas, correos electrónicos, robo de
tarjetas de crédito o datos financieros, piratería informática, amenazas de
revelación de secretos, filtrado de datos, dañar infraestructuras, crear bases
para futuros ataques.
 Su intención es crear programas que aprovechen fallas previamente
desconocidas en el software. Programas como: Ransomware, Spyware, Phising,
Técnicas de Ingeniera Social, Denegación de Servicios, Troyanos, otros

El ciberterrorismo o terrorismo electrónico:
 Tiene como objetivo debilitar los sistemas electrónicos para causar pánico o
temor, incuso utilizan la tecnología para generar terror o miedo a una
población, clase dirigente o gobierno, sus fines pueden ser económicos,
políticos o religiosos principalmente.
 El Consejo de Europa define el ciberterrorismo como al “terrorismo que
utiliza las tecnologías de la información para poder intimidar, coaccionar o
causar daños a grupos sociales con fines políticos-religiosos”
 Se puede definir como el uso de recursos informáticos para intimidar o
coaccionar a otros, por ejemplo, la intrusión en un sistema informático de
un hospital, para dañar su infraestructura crítica y con ello afectar a los
pacientes.

c. Tipos de ataques
utilizados por el
Cibercrimen

Tipos de ataques utilizados por el Cibercrimen
Malware:
 Se llama programa malicioso, programa maligno, programa
malintencionado, en inglés malware, badware o código maligno, a
cualquier tipo de software que realiza acciones dañinas en un sistema
informático de forma intencionada y sin el conocimiento del usuario.
 Los cibercriminales pueden utilizar una computadora infectada por
malware para varios fines. Por ejemplo, robar datos confidenciales,
utilizarla para llevar a cabo otros actos delictivos o dañar datos.
Tipos de Malware:
 Entre los más comunes se pueden citar: Virus informático, gusano
informático, troyano, spyware, adware, ransomware, botnets,
backdoors, keyloggers.

Tipos de ataques utilizados por el Cibercrimen (Malware)
Virus informático:
 Su objetivo es alterar el funcionamiento del dispositivo. Requiere la interacción
de una persona o usuario para propagarse a otros archivos y sistemas.
Gusano informático:
 Este malware tiene como características principal que es capaz de replicarse y
moverse desde un dispositivo infectado a otros a través de la red. Por
ejemplo, este tipo de malware puede provenir de unidades USB infectadas,
archivos adjuntos en los correos electrónicos e incluso sitios web.
Troyano:
 Este malware se accede al sistema de la víctima como un archivo o aplicación
inofensiva y realiza acciones no deseadas en segundo plano. Dependiendo del
tipo de troyano, se pueden llevar a cabo diferentes funciones, como el borrado
selectivo de archivos del sistema o la descarga de más programas maliciosos.

Tipos de ataques utilizados por el Cibercrimen (Malware)
Spyware:
 En este caso, es un programa que espía el dispositivo afectado. Sus funciones
son recoger datos e información del dispositivo y observar la actividad del
usuario sin su consentimiento. Los canales más usuales de propagación son los
correos electrónicos considerados spam o sitios de descargas dudosos.
Adware:
 Este software rastrea el navegador y el historial de descargas del usuario con la
intención de mostrar anuncios emergentes o banners no deseados para atraer al
usuario a realizar una compra o hacer clic . Estos programas suelen entrar en
los dispositivos a través de páginas web infectadas o sitios de descarga
dudosos.
Ransomware:
 Este malware cifra los archivos del disco duro del dispositivo y restringe el
acceso del usuario a ellos. Para poder desbloquear el equipo pide a cambio un
pago, generalmente en criptomonedas. Algunos de los casos más conocidos de
ransomware son WannaCry y Petya.

Tipos de ataques utilizados por el Cibercrimen
Botnets:
 Una red de robots no es un tipo de malware, sino una red de equipos o de código
informático que puede desarrollar o ejecutar malware. Los cibercriminales la
utilizan para realizar tareas en línea sin el permiso del usuario.
Backdoors
 El modus operandi es el de atacar por los rincones menos vigilados de cualquier
PC, similar a lo que hacen los troyanos pero con resultados más devastadores.
Esto quiere decir que será muy difícil localizar el archivo cuando entre. Puede
afectar a tal punto de perder el ordenador y todos los datos.
Keyloggers
 Es un software o hardware que puede interceptar y guardar las pulsaciones
realizadas en el teclado de un equipo que haya sido infectado, para interceptar y
registrar la información sin que el usuario lo note.
 Utilizados por hackers, ciberdelincuentes, servicios de inteligencia de
organizaciones y gobiernos también los utilizan para espiar datos confidenciales.

Algunas medidas preventivas
 Instalar un sistema antivirus y antimalware, así como medidas adicionales de
protección de los equipos informáticos.
 Crear copias de seguridad periódicamente.
 Actualizar constantemente las aplicaciones de los equipos informáticos.
 Establecer un control de acceso al equipo, especialmente en caso de las
empresas.
 Brindar capacitación para crear conciencia y educar a los empleados de los
posibles riesgos.
 Instale parches y actualizaciones del sistema operativo a los equipos y
servidores.
 Implemente la tecnología de sandbox (Sistema de aislamiento de procesos o
entornos aislado)
 Haga cumplir la estricta seguridad del endpoint
 Implementar procesos a un tercero de confianza escaneo su entorno de TI.

Otros tipos de ataques utilizados por el Cibercrimen
Phishing:
 El termino Phishing es utilizado para referirse a uno de los métodos mas
utilizados por delincuentes cibernéticos para estafar y obtener información
confidencial de forma fraudulenta como puede ser una contraseña o
información detallada sobre tarjetas de crédito u otra información bancaria de
la victima.
 El phishing es cuando los cibercriminales atacan a sus víctimas con correos
electrónicos suplantando una empresa legítima (un banco, organismo público
o una reconocida empresa), que solicita información confidencial para robarla.
Con ello logran inducir a que las personas entreguen sus datos de tarjetas de
crédito y otra información personal.

Pharming:
 Es una forma de fraude en línea basado en redirigir el tráfico de un sitio web
de confianza hasta la página fraudulenta. El ladrón suplanta una página web
y la configura de manera que pueda extraer la información que en ella digite
el usuario. Esta modalidad está diseñada para la sustracción de datos o la
infección de virus.
Ataque DDoS y DoS:
 El ataque sobrecarga el servidor web con una abrumadora cantidad de
trafico de solicitudes, "inundándolo" y saturándolo de información, más de la
que el servidor puede gestionar, afectando la red, el servidor ya no responde
debido a que solo puede procesar cierta cantidad de solicitudes a la vez
 DDoS y DoS: El primero, denegación distribuida de servicios, el ataque se
produce desde muchas equipos simultáneamente. El segundo, denegación
del servicio, el ataque se realiza desde un único ordenador.

ARP Poison Routing (APR):
 La suplantación de ARP (en inglés ARP spoofing) es básicamente el
envenenamiento de tablas ARP. Técnica utilizada por los piratas informáticos
para lograr entrar en una red para robar los paquetes de datos que pasan por
la red local logrando controlar o detener el tráfico. Tipo: Ataque de inundación
MAC, Envenenamiento de caché DNS y IP Spoofing.
Ataque Man-In-The-Middle (Hombre en el medio):
 Un ataque MITM ocurre cuando una comunicación entre dos sistemas es
interceptada por una entidad externa.
 Esto puede suceder en cualquier forma de comunicación en línea, como
correo electrónico, redes sociales, navegación web, etc. No solo están
tratando de escuchar nuestras conversaciones privadas, sino que también
pueden dirigir toda la información dentro de los dispositivos.

Ataques Ingeniería Social:
 La ingeniería social es el arte de manipular a las personas para que
renuncien a la información confidencial.
 Los tipos de información que buscan estos delincuentes pueden variar,
mediante el engaño pueden obtener información del usuario como
contraseñas, información bancaria, acceso a la pc para instalar en secreto el
software malicioso para obtener control sobre el mismo.
 Los delincuentes usan tácticas de ingeniería social porque generalmente es
más fácil explotar la inclinación natural a confiar (engañar a alguien) que
descubrir formas de hackear tu software.

Estafas románticas:
 En febrero del 2020, el FBI advirtió a los ciudadanos de EE. UU. que tuvieran
cuidado con el fraude a la confianza que los cibercriminales cometen a
través de sitios de citas, salas de chat y aplicaciones.
 Los perpetradores se aprovechan de las personas que buscan nuevas
parejas y engañan a las víctimas para que proporcionen sus datos
personales.

Cómo protegerse de estos ataques utilizados por el
Cibercrimen?
 Actualizar el software y el sistema operativo
 Utilizar software antivirus y antimalware
 Utilizar contraseñas seguras.
 No abrir archivos adjuntos de correos electrónicos de remitentes
desconocidos, podrían estar infectados con malware.
 Protección aplicaciones Web
 Evitar el uso de redes Wi-Fi no seguras en lugares públicos

Cibercrimen?
Mediante la implementación de herramientas o técnica especializadas como:
 Firewell físico o lógico
 Escaneo o test de puertos de la red
 Filtrado de tráfico en la red Interna
 Sistema de Prevención de Intrusos (IPS)
 Sistema de Detección de Intrusos (IDS)
 VPN (Virtual Private Network)
 Sistemas Honeypot o sistemas “trampa” o “señuelo”, su objetivo es detectar,
investigar y obtener información del ataque informático, de dónde procede
los ciberataques de los ciberdelicentes.

Cibercrimen?
Implementar herramientas o técnica especializadas como:
 Herramentas EDR (endpoint) como una tecnología de ciberseguridad que
monitorea los dispositivos terminales conectados a los bordes de una red.
 Herramientas Análisis de Trafico NetFlow
 Herramientas SIEM, Seguridad de la Información y admón., de eventos .
 Herramientas DLP, prevención pérdida de datos
 Equipos CSIRT, grupos de respuesta de incidentes
 Equipos SOC, Centro de Operaciones de Seguridad

d. Estadísticas del
Cibercrimen
a nivel mundial

Estadísticas del Cibercrimen a nivel mundial
 Se prevé que los costos globales del ciberdelincuencia: crecerán un 15% por
año durante los próximos cinco años, alcanzando los 10.5 Trillones de
dólares anuales para 2025, frente a los 3 Trillones de dólares de 2015.
Fuente: https://cybersecurityventures.com/hackerpocalypse-cybercrime-report
 Predicción de los costos globales de daños por delitos cibernéticos, para 2021:
– $ 6 trillones al año
– $ 500 billones al mes
– $ 115.4 billones a la SEMANA
– $ 16.4 billones al día
– $ 684.9 millones por HORA
– $ 11.4 millones por MINUTO
– $ 190 mil por SEGUNDO

Rentabilidad de los Ciberdelitos:
 Se espera que sea hasta 5 veces más rentable que los delitos
transnacionales globales combinados. Estimándose que los delitos de droga,
tráfico de personas, robo de petróleo, minería ilegal, la pesca y tráfico de
armas, combinados podrían generar entre $ 1.6 billones y $ 2.2 billones
anualmente.
Amenaza de Ciberseguridad No.1 en 2021:
 El ransomware es un tipo de malware que niega a los usuarios y
administradores del sistema el acceso a archivos o redes completas. Una
vez que el malware infecta los sistemas, se envía al objetivo una nota de
rescate que suele exigir el pago en criptomonedas como Bitcoin.
Fuente: https://purplesec.us/cyber-security-trends-2021/

Herramientas
para
Informática
Forense

9. Herramientas utilizada
en la Informática Forense
a. Introducción Herramientas para el análisis
forense digital
Herramienta para la creación de
imágenes con herramienta FTK Imager
Herramienta para cálculo de hashes
(HashCal)
Herramienta análisis de memoria volátil
1. Volatility
2. Belkasoft Live RAM capturer
b.
c.
d.

9. Herramientas utilizada
en la Informática Forense
e. Herramientas para el análisis de registros
1. AccessData Registry Viewer
f. Herramientas Programas de análisis
1. Sleuthkit
2. Encase Forensics
3. SIFT Workstation 3
4. OsForensics v6
f.

Herramientas para el análisis forense digital
Introducción Herramientas para el análisis forense digital
 Existen muchas categorías de herramientas de análisis forense
informático, su elección depende de dónde y cómo deseas usarlas,
ofrecen una gran cantidad de posibilidades para obtener información
durante una investigación.
 El panorama de la investigación forense digital es muy dinámico con
nuevas herramientas y características que se lanzan regularmente para
mantenerse al día con las actualizaciones constantes de los
dispositivos.

Creación de imágenes con herramienta FTK Imager
 FTK Imager es una herramienta de vista previa de datos e imágenes que te
permite examinar archivos y carpetas en discos duros locales, unidades de
red, CD / DVD y revisar el contenido de imágenes forenses o volcados de
memoria.
 Se pueden crear hash de archivos SHA1 o MD5, exportar archivos y carpetas
de imágenes forenses al disco, revisar y recuperar archivos que se eliminaron
de la Papelera de reciclaje (siempre que sus bloques de datos no se hayan
sobrescrito) y montar una imagen forense para ver su contenido en el
Explorador de Windows. MD5 (técnicamente llamado MD5 Message-Digest Algorithm) es una
función de hash criptográfico cuyo objetivo principal es verificar que un archivo no ha sido alterado.
 La herramienta permite agregar piezas o elementos de evidencia, puede crear
una imagen forense, crear una imagen del disco o bien elegir de qué fuente
desea obtener una imagen forense.

Cálculo de hashes (HashCal)
 HashCalc es un programa de calculadora desarrollado por SlavaSoft.
Se utiliza para calcular HMAC, resúmenes de mensajes y sumas de
comprobación para archivos. También se puede usar para calcular
cadenas hexadecimales y cadenas de texto. El programa proporciona
13 de los algoritmos de suma de comprobación y hash más comunes.
 La interfaz del programa es sencilla. Ofrece una ventana estándar que
proporciona todas las opciones directamente desde la interfaz principal.
Para usarlo, el usuario solo tiene que elegir el archivo a calcular y las
funciones hash criptográficas deseadas.

Herramienta para el análisis de memoria volátil
Para el análisis de memoria volátil existen varias herramientas como:
Volatility:
 Se utiliza para la respuesta a incidentes y el análisis de malware. Con
esta herramienta, puedes extraer información de procesos en
ejecución, tomas de red, conexión de red, archivos DLL y colmenas de
registro.
 También tiene soporte para extraer información de archivos de volcado
por caída de Windows y archivos de hibernación. Esta herramienta está
disponible de forma gratuita bajo licencia GPL.

Herramienta para el análisis de memoria volátil
Belkasoft Live RAM capturer:
 Es una pequeña herramienta forense gratuita para extraer de forma
confiable todo el contenido de la memoria volátil del ordenador, incluso
si está protegido por un sistema activo de antidepurado o antidumping.
Se encuentran disponibles versiones separadas de 32 y 64 bits para
minimizar la huella de la herramienta tanto como sea posible. Los
volcados de memoria capturados con Belkasoft Live RAM Capturer se
pueden analizar con cualquier herramienta forense.

Herramientas para el análisis de registros
 El análisis informático forense incluye el descubrimiento y la extracción de
información recopilada en la etapa de recopilación. El tipo de análisis depende
de las necesidades de cada caso. Puede ir desde extraer un solo correo
electrónico hasta unir las complejidades de un caso de fraude o terrorismo.
 Durante el análisis, el perito informático forense generalmente retroalimenta a
su gerente de línea o cliente. Estos intercambios pueden hacer que el análisis
tome un camino diferente o se reduzca a áreas específicas. El análisis forense
debe ser preciso, exhaustivo, imparcial, registrado, repetible y completado
dentro de los plazos disponibles y los recursos asignados.
 Existen múltiples herramientas disponibles para el análisis forense informático.
Una de las más completas es AccessData Registry Viewer.

Herramientas Programas de análisis
Dentro de los programas de análisis para informática forense, podemos destacar
los siguientes:
Sleuthkit:
 Es una colección de herramientas de línea de comandos y una biblioteca C
que permite analizar imágenes de disco y recuperar archivos de ellas. Se
utiliza detrás de escena en Autopsia y en muchas otras herramientas forenses
comerciales y de código abierto.
Encase Forensics:
 Permite buscar, identificar y priorizar rápidamente evidencia potencial, en
ordenadores y dispositivos móviles, para determinar si se justifica una
investigación adicional. Esto dará como resultado una disminución de la
cartera de pedidos para que los investigadores puedan concentrarse en cerrar
el caso.

Programas de análisis
SIFT Workstation 3
 Es un grupo de herramientas forenses y de respuesta libre a incidentes de
código abierto diseñadas para realizar exámenes forenses digitales detallados
en una variedad de entornos. Puede coincidir con cualquier respuesta actual a
incidentes y conjunto de herramientas forenses.
 SIFT demuestra que las capacidades avanzadas de respuesta a incidentes y
las técnicas forenses digitales de inmersión profunda para intrusiones se
pueden lograr utilizando herramientas de código abierto de vanguardia que
están disponibles gratuitamente y se actualizan con frecuencia.

Programas de análisis
OsForensics v6
 Proporciona una de las formas más rápidas y potentes de localizar archivos en
un ordenador con Windows. Puede buscar por nombre de archivo, tamaño,
fechas de creación y modificación, y otros criterios.
 Los resultados se devuelven y están disponibles en varias vistas útiles
diferentes. Esto incluye la Vista de línea de tiempo que le permite examinar las
coincidencias en una línea de tiempo, lo que evidencia el patrón de actividad
del usuario en la máquina.
 OSForensics también puede buscar el contenido de los archivos y devolver
resultados casi instantáneamente después de la indexación. Es capaz de
buscar dentro de los formatos de archivo más comunes y funciona con el
motor de búsqueda Zoom de gran precisión de Wrensoft .

10.Modalidades del
cibercrimen en Guatemala

Modalidades de Cibercrimen en Guatemala
Resumen de modalidades de cibercrímenes según noticias
• Pornografía infantil
• Estafas por internet
• Ciberdelitos sexuales
• Suplantación de identidad
• Perfiles falsos
• Ataques de denegación de servicios DDS
• Ransoware
• Malware
• Fuga de información
• Clonación de tarjetas de crédito
• Hackeo de Uber, SAT, Congreso, Depto.,Transito PN
• Facebook reclutar pandilleros
• Pandilleros usan Apps para coordinar delitos
• Amenazas electrónicas de bobas en colegios
• Mensajes en redes sociales "macrobos mensajes"
• Facebook ofrecimiento de trabajos a cambio de sexo

Modalidades de Cibercrimen en Guatemala
Ejemplos de acuerdo a noticias locales

Modalidades de Cibercrimen en Guatemala (Ejemplos)
Ejemplos de acuerdo a noticias locales

11. Perfiles falsos en
Las Redes Sociales
a. Que son los perfiles falsos
Crecimiento de las redes sociales
Estadísticas de Google sobre perfiles
falsos
Tipos de perfiles falsos
b.
c.
d.
Identificación de perfiles falsos
e.

Perfiles falsos en redes sociales
Que son los perfiles falso?
 Temperini y Macedo (2015) los perfiles falsos en las redes sociales son
aquellos que no cumplen con los términos y condiciones que establece
la plataforma, no pertenecen a personas reales, no pertenecen a la
persona que indican, y, se hacen pasar por perfiles reales existentes .
 Es la presencia en una red social de una persona, organización o
empresa que no existe en la vida real.
 Es el perfil de una persona que no es quien dice ser. Puede ser que la
persona invente una identidad o use la identidad de otra persona.

Perfiles falsos en redes sociales
Según estudios realizados HootSuite y We Are Social
 Según reporte publicado por HootSuite y We Are Social sobre las redes sociales
en Argentina, a principios del año 2020 se contaba con 35 millones de usuarios
de internet, lo que representa un aumento del 2,1% en comparación con 2019
(727 mil nuevos usuarios).
 Asimismo, la penetración de las redes sociales alcanzó el 76% en enero de
2020. En concreto, el ´top 3´, elaborado según datos proporcionados por
SimilarWeb, está conformado por Google, Facebook y YouTube.
 En este contexto de gran crecimiento y penetración de las redes sociales
durante los último meses, los ciberdelincuentes se abocaron a crear perfiles
falsos para obtener información de clientes bancarios y así poder cometer
diversas estafas o ciberdelitos.
 El más reciente informe Digital 2021, creado por Hootsuite y We Are Social,
indica que en los últimos 12 meses se sumaron 332 millones de nuevos usuarios
de internet, alcanzando un total de 4 mil 720 millones de personas hasta abril de
2021. Eso significa que el 60 % de la población mundial ya usa internet.

Perfiles Falsos en Redes Sociales
Estadísticas estudios de Google
 Las redes sociales se han convertido en el principal foco de perfiles
falsos de Internet.
 Según Google, dos aplicaciones sobresalen en las estadísticas:
Facebook y Tinder. Cada trimestre, Facebook desactiva más de 1.500
millones de cuentas falsas, ¡1.500 millones! Prácticamente podríamos
decir que son casi una nueva red social completamente “fake”.
 Por otro lado, algunos indicadores señalan que cerca del 30% de los
adultos norteamericanos disponen de una cuenta en Tinder, una de las
redes sociales de contactos más extendidas en el mundo. Pero no son
las únicas.
 También las redes sociales profesionales, como Linkedin o Xing, sufren
este tipo de situaciones. Y en todas ellas la pregunta que nos hacemos
es siempre la misma: ¿estamos hablando de personas reales?

Perfiles Falsos en Redes Sociales
Tipos
 Existen perfiles falsos, manuales o artesanales creados por
personas y los que son generados y manipulados de forma manual
y automatizada como los bots o robots.
 A menudo, es posible comprobar que muchos de estos perfiles son
simplemente bots, aplicaciones automatizadas cuyo objetivo es
obtener el mayor número de contactos posibles.
 Unos bots que pueden ser sociales, de spam, captadores de “likes”,
generadores de influencia o incluso de propagación en la red con
otros fines.

Consideraciones para identificar perfiles falsos
Se sugiere diferentes variables de seguridad que deben tenerse en cuenta para
identificar si un perfil es oficial:
 Revisar siempre si el nombre de las cuentas lleva el icono de verificación. Es
un 'check' azul que sirve para confirmar si la cuenta es auténtica. Si el ícono
figura, entonces el perfil es fiable.
 Verificar las publicaciones y los comentarios de las cuentas para comprobar
su antigüedad. Básicamente revisar la fecha de creación de la cuenta.
 Evitar la comunicación con cualquier entidad u organización desde perfiles de
personas. Pueden ser falsos y son una buena posibilidad para robar los
datos personales o bancarios.
 Verificar la información adicional de cada cuenta como la ubicación, la página
web.

Consideraciones para identificar perfiles falsos
Se sugiere diferentes variables de seguridad que deben tenerse en cuenta
para identificar si un perfil es oficial:
 Una institución o oganización, en especial las instituciones financieras:
• Nunca solicita datos confidenciales (como claves, número de
tarjetas, etc.) por redes sociales, teléfono, correo o mensajes
ya que es información personal e intransferible.
• Por lo general las grandes instituciones o organizaciones,
especialmente las instituciones financieras publican sus
contactos, listan sus canales de contactos y atención al cliente
en las páginas web corporativas.

12. El robo de identidad
a. En que consiste el robo de identidad
Filtración de datos
Robo de información financiera
Robo de identidad delictiva
b.
c.
d.
Robo de identidad médica
e.

12. El robo de identidad
f. Robo de identidad infantil
Noticias de exposiciones de datos
g.

a. Que es el
robo de
identidad?

En que consiste el robo de identidad?
 El robo de identidad es un delito en el que alguien se hace con su información
personal, normalmente con la intención de cometer un fraude. La definición de
robo de identidad engloba muchos tipos de información personal y fraudes
perpetrados, desde el robo de dinero hasta la utilización de los datos de la
víctima con objeto de recibir un tratamiento médico o solicitar un crédito.
 Robar una identidad puede ser tan sencillo como hackear la cuenta de la red
social de una persona o tan complejo como presentar declaraciones fiscales
en nombre de ella. Puesto que muchas personas publican libremente
información sobre sí mismas en Internet, el robo de identidad es cada vez más
frecuente.
 A menudo, el robo de identidad se convierte en fraude de identidad, que se da
cuando el ladrón se hace pasar por la víctima o actúa en su nombre. Muchas
víctimas de robo de identidad y fraude pasan años tratando de resolver los
delitos, sin garantía alguna de recuperar totalmente sus pérdidas.

El Robo de identidad es un delito?
 Sí, como casi todos los tipos de robo, el de identidad está tipificado como hecho
ilícito y delictivo. Dado que el robo de identidad suele producirse en Internet,
también se considera un tipo de ciberdelito, y por eso hoy se llama
«ciberdelincuentes» a los ladrones de identidades.
 Estos ladrones quieren la información confidencial de los usuarios para
secuestrar sus cuentas, comprar bienes o servicios, solicitar préstamos y otros
créditos, conseguir documentos legales en su nombre, librarse de la cárcel y
muchas otras fechorías.
 Con Internet es extremadamente fácil llevar a cabo estos tipos de delitos. Los
usuarios nunca tienen reparos en dar información nuestra, da igual que sea en
una red social o en un sitio web de comercio electrónico, datos como: escribir
ciudad, trabajo, relaciones, fecha de nacimiento y mucho más. Todos estos
datos quedan expuestos en la esfera pública, esperando a ser usados contra
nosotros.

Fuga de información o filtraciones de datos
 Las filtraciones o fugas de datos suceden cuando los hackers roban
datos confidenciales de los servidores o las bases de datos de una
empresa.
 Si los hackers logran crackear el sistema de seguridad de una empresa
y acceder a los datos de sus usuarios o clientes (que, según la
empresa de que se trate, pueden incluir números de la seguridad
social, otros números identificativos, contraseñas, direcciones, números
de pasaporte, datos de tarjetas de crédito, etc.),
 Los hackers pueden vender estos datos a los ladrones de identidad.
Los corredores de datos, compañías que recopilan y venden
información personal de los usuarios, suelen ser blanco de los ataques
de filtración de datos.

Tipos de robo de identidad?
Robo de identidad financiera:
 El robo de identidad financiera representa el tipo de robo de identidad
más común y sencillo, ya que ocurre en cualquier momento en que
alguien emplee la información de una víctima para conseguir dinero por
medios fraudulentos. También es uno de los tipos de robos de identidad
más perjudiciales, pues supone una pérdida directa para la víctima.
 Ejemplos:
• Iniciar sesión en su cuenta bancaria y transferir dinero a otra
parte.
• Incorporar su nombre a la cuenta bancaria de la víctima para
controlar la cuenta.
• Presentar documentación fiscal fraudulenta y recibir lo que le
correspondería a la persona.
• Solicitar préstamos o créditos en su nombre.
• Realizar compras con su tarjeta de crédito u otra información
financiera.

Robo de identidad delictiva
 Todos los robos de identidad son delitos, pero el robo de identidad delictiva o
con fines de evasión penal hace alusión a una situación en la cual alguien
asume su identidad con el fin de evitar consecuencias jurídicas. Por lo general,
se da cuando una persona facilita información falsa a la policía al ser detenida.
 Los ladrones que perpetran esta clase de robo pueden poseer documentos
oficiales expedidos por el Gobierno que hayan obtenido de forma fraudulenta
con los datos de su víctima o a lo mejor solo tienen un carné falso. Si hay
alguien cometiendo delitos en su nombre, puede resultar difícil convencer a la
policía de que la persona es inocente (y limpiar su reputación), sobre todo si no
encuentran al verdadero delincuente.
 Los efectos de un robo de identidad delictiva pueden perdurar durante años,
puesto que muchas víctimas lo descubren por casualidad, por ejemplo, cuando
un empleado realiza una verificación de antecedentes.

Robo de identidad médica
 Este tipo de delito sucede cuando alguien recibe un tratamiento médico que iba
destinado a la persona.
 El riesgo de robo de identidad médica es especialmente elevado en países que
cuentan con sistemas sanitarios privados, como Estados Unidos. Los gastos
médicos pueden dispararse rápidamente, de modo que los incentivos de
cometer este tipo de robo pesan mucho.
 En muchos países, los ladrones recurren al robo de identidad médica para
recibir tratamientos o conseguir medicamentos que a veces no necesitan en
realidad.
 Luego, cuando la víctima acude a solicitar atención médica, puede encontrarse
con la denegación del tratamiento, pues el ladrón ya lo ha disfrutado. También
puede ocurrir que la historia clínica del ladrón se incorpore al historial médico
de la víctima.

Robo de identidad infantil
 El robo de identidad infantil, que tal vez sea el tipo más pernicioso, ocurre
cuando alguien roba y utiliza la identidad de un niño o una niña para
conseguir los objetivos ya citados u otros.
 El delincuente puede usar el número de la seguridad social u otra
identificación del niño con la finalidad de solicitar un crédito, adquirir
propiedades u obtener documentos oficiales del Gobierno.
 Como los niños no suelen tener deudas ni créditos, sus identidades son muy
valiosas para aquellos que buscan una fuente limpia de crédito.
 En numerosos casos de robo de identidad infantil se ven involucrados los
sistemas de acogida familiar, derivado a que son muchas las personas que
tienen acceso a la información de los niños.

g. Noticias de
exposiciones
de datos

Noticias de exposición de datos
 Según información de titulares de prensa, como la de Equfax, año 2017, en
la que quedaron expuestos los datos de más de 150 millones de personas;
sin embargo, todos los días se producen filtraciones pequeñas.
 Tokopedia nació en Indonesia como una compañía especializada en
comercio electrónico, en abril de 2020 sus sistemas tuvieron una brecha de
seguridad y filtraciones de datos en la que quedaron accesibles más de 11
millones de usuarios, entre los que se encontraban las fechas de
cumpleaños, cuentas de correos, nombres de usuarios y sus contraseñas.
 En mayo de 2020 la aerolínea británica EasyJet reportó una brecha de
seguridad en la que datos de más de 9 millones de clientes fueron expuestos
públicamente, de los cuales 2,208 fueron afectados con filtraciones de datos
que se habían hecho públicos (números de tarjeta, fechas de vencimiento y
código de seguridad de tres dígitos), estos fueron ataques sofisticados en
donde se involucra ingeniería social.

Noticias de exposición de datos
 Weibo es una red social de microblogging muy utilizada en China, con un
valor bursátil muy parecido a Twitter en el momento de escribir el artículo.
En marzo de 2020 tuvo una brecha de seguridad en la que expuso 538
Millones de cuentas. De lo cual se tuvo la certeza de que se encontraron
datos de los usuarios en la Dark Web, con filtraciones de 172 millones de
cuentas de usuarios por un precio de 0.177 bitcoins.
 Wishbone un sistema de votaciones como por ejemplo la elección de una
figura pública frente a otra o escoger entre dos artistas. En enero de 2020
tuvieron una brecha de seguridad en la que los datos de más de 9 millones
de usuarios fueron comprometidos. Estos datos se vendían en el mercado
negro por unos 0,85 BTC (unos 8000 $ al cambio en el momento de
producirse el incidente).

13. Entendiendo la
cibercultura hacker
a. Que es el hackeo
Que es un hacker
Tipos de hacker
b.
c.

Cibercultura Hacker
Que pensamos que es un hacker?
 Que viene a nuestras cabezas cuando se oye del término de “hacker”?
Pues viene a nuestras mentes que se trata de una figura con capucha
teclea comandos a toda velocidad mientras el brillo estéril de su monitor
ilumina una sala oscura.
Que es el hackeo?
 El hackeo es la aplicación de tecnología o conocimientos técnicos para
superar alguna clase de problema u obstáculo; sin embargo, no es
necesariamente de naturaleza delictiva, hay muchos hackers que
pueden utilizar esas habilidades con fines malvados, y de hecho lo
hacen, y aunque mucha gente asocia el hackeo únicamente con el
hackeo delictivo o de seguridad.

Cibercultura Hacker
Que es un Hacker?
 Tradicionalmente, un hacker informático es un programador habilidoso
y sumergido en la cultura de los ordenadores y el software.
 Es una persona con conocimientos informáticos elevados,
generalmente actuando por ocio o desafío personal.
 Sin embargo, en la sociedad, un hacker es un delincuente que accede
a equipos y redes infringiendo sus medidas de seguridad. A eso es a lo
que los medios suelen referirse cuando utilizan la palabra “hacker” o
“pirata informático”.
 Los hackers tradicionales se refieren a la subversión delictiva de un
sistema de seguridad como «cracking» («quebrar», por el verbo en
inglés que se utiliza, por ejemplo, cuando un ladrón de bancos abre una
caja fuerte).

Tipos de Hacker
Hackers de sombrero negro
 Es el turbio ciberdelincuente que se dedica a romper sistemas de
ciberseguridad para obtener acceso ilegal a un equipo o una red. Si un
hacker de sombrero negro descubre una vulnerabilidad de seguridad, la
aprovecha o alertar a otros hackers de la oportunidad, normalmente por
un precio.
 En la mayoría de los casos, su objetivo es ganar dinero, ya sea
mediante, el robo financiero directo, venta de información
comprometida o la extorsión, Provocar el máximo caos posible.

Tipos de Hacker
Hackers de sombrero blanco
 Son catalogados como la contrapartida de los de sombrero negro. Son
igual de habilidosos, pero en vez de tener objetivos delictivos, utilizan
sus talentos a ayudar a las empresas a preparar sus defensas digitales.
 Un hacker de sombrero blanco intentará de forma intencionada entrar
en un sistema, con permiso de su propietario, para identificar los puntos
débiles que hay que reparar. Este tipo de trabajo también se conoce
como hackeo ético, por tal razón son contratados por grandes
organizaciones como parte de su política de ciberseguridad, brindando
sus servicios como consultores o proveedores.

Tipos de Hacker
Hackers de sombrero gris
 Entre los dos tipos mencionados anteriormente, se encuentran los
hackers de sombrero gris. No se dedican a cometer delitos, pero, a
diferencia de los hackers de sombrero blancos que obtienen permiso
antes de probar las vulnerabilidades de un sistema, los sombreros
grises se saltan esa parte y van directo al hackeo (sin autorización).
 Buscan debilidades y después se dirigen a las empresas para ofrecer
sus servicios, por un precio.
 Otros hackean para obligar a empresas reticentes a tomar acciones
contra una determinada debilidad. Un caso notable de hackeo de
sombrero gris de 2013 consiguió que Facebook reconociera y reparara
un fallo de seguridad, pese a haber ignorado anteriormente las
advertencias de los hackers.

Tipos de Hacker
Cracker o hacker maligno:
 El término cracker o cráquer (literalmente traducido como rompedor, del
inglés to crack, que significa romper o quebrar) se utiliza para referirse
a las personas que rompen o vulneran algún sistema de seguridadde
forma ilícita.
 Los crackers pueden estar motivados por una multitud de razones,
incluyendo fines de lucro, protesta, o por el desafío.
 Se dedican a la edición desautorizada de software propietario. Sin
embargo, debe entenderse que si bien los ejecutables binarios son uno
de los principales objetivos de estas personas, una aplicación web o
cualquier otro sistema informático representan otros tipos de ataques
que de igual forma pueden ser considerados actos de cracking.

Tipos de Hacker
Script Kiddie:
 Personas que usan programas de internet para atacar un sistema.
 En la cultura del hacker un script kiddie o skiddie, es un individuo no
calificado que utiliza scripts o programas desarrollados por otros para
atacar sistemas informáticos, redes, y desfase sitios web.
 Por lo general se supone que los kiddies script son jóvenes que
carecen de la capacidad de escribir sofisticados programas de hacking
o explotaciones por su cuenta, y que su objetivo es tratar de
impresionar a sus amigos o ganar crédito en las comunidades de
entusiastas de la computadora. El término suele llegar hacer un insulto.

 Es un método probatorio consistente en la revisión científica,
tecnológica y técnica, con fines periciales, de una colección de
evidencias digitalizadas para fines de investigación o legales.

Presentacion Cibercrimen e Informatica Forense.pptx

Más contenido relacionado

Similar a Presentacion Cibercrimen e Informatica Forense.pptx

Último

Presentacion Cibercrimen e Informatica Forense.pptx