SlideShare una empresa de Scribd logo
Inform´atica Forense
Tema 2. Evidencia digital
Francisco Medina L´opez —
paco.medina@comunidad.unam.mx
http://aulavirtual.capacitacionentics.com
Facultad de Contadur´ıa y Administraci´on
Universidad Nacional Aut´onoma de M´exico
2016-2
1 Evidencia Digital
Introducci´on
Principios de manejo y recolecci´on de evidencia
Metodolog´ıa para la adquisici´on y tratamiento de evidencia
digital
Captura de evidencia vol´atil en red
Recolecci´on de evidencia vol´atil (Live Response)
Recolecci´on de evidencia no vol´atil
Fijaci´on y embalaje de indicios
Cadena de custodia
1 Evidencia Digital
Introducci´on
Principios de manejo y recolecci´on de evidencia
Metodolog´ıa para la adquisici´on y tratamiento de evidencia
digital
Captura de evidencia vol´atil en red
Recolecci´on de evidencia vol´atil (Live Response)
Recolecci´on de evidencia no vol´atil
Fijaci´on y embalaje de indicios
Cadena de custodia
¿Qu´e es la evidencia digital?
Una de las primeras fases del an´alisis forense comprende el proceso
de identificaci´on del incidente, que lleva de la mano la b´usqueda y
recopilaci´on de evidencias.
Definici´on
La evidencia es cualquier informaci´on contrastable encontrada en
un sistema. Son los hechos encontrados, por lo tanto la evidencia
digital es toda aquella informaci´on electr´onica que pueda aportar
alg´un dato para el an´alisis forense digital posterior.
La Adquisici´on de la evidencia digital inicia cuando la informaci´on
y/o dispositivos relacionados son colectados y almacenados para
realizar un an´alisis forense.
Ejemplos de evidencia digital
• Fecha de ´ultimo acceso de un archivo o aplicaci´on.
• Un registro de acceso de un archivo.
• Una cookie de navegaci´on web almacenada en un disco duro.
• El uptime o tiempo que lleva sin apagarse un sistema.
• Un archivo almacenado en un disco duro.
• Un proceso en ejecuci´on.
• Archivos temporales.
• Restos de la instalaci´on de un programa.
• Un disco duro, una unidad USB de almacenamiento u otro
dispositivo de almacenamiento.
1 Evidencia Digital
Introducci´on
Principios de manejo y recolecci´on de evidencia
Metodolog´ıa para la adquisici´on y tratamiento de evidencia
digital
Captura de evidencia vol´atil en red
Recolecci´on de evidencia vol´atil (Live Response)
Recolecci´on de evidencia no vol´atil
Fijaci´on y embalaje de indicios
Cadena de custodia
RFC 3227 I
Al momento de recolectar las evidencias digitales hay que seguir
ciertos procedimientos para que este proceso sea eficiente y ´util. El
documento RFC 32271 recoge las recomendaciones sobre las
pautas que un administrador debe seguir a la hora de obtener las
evidencias en un sistema. En ´el se tratan los siguientes aspectos:
• Principios para la recolecci´on de evidencias. Realizar un
an´alisis forense debe ser tomado como un proyecto delicado y
como tal deben ser cumplidos ciertos prerequisitos.
• Orden de volatilidad. Al momento de recolectar las
evidencias de un sistema no toda tienen el mismo orden de
volatilidad. El concepto de volatilidad de evidencia
est´a marcado por el marco temporal en el que es posible
acceder a una evidencia. As´ı, el contenido de un DVD
ser´a menos vol´atil que el contenido de la memoria RAM o los
datos almacenado en la memoria de una impresora.
RFC 3227 II
• Acciones que deben ser evitadas. Hay acciones que
invalidan un proceso de an´alisis forense t´ecnicamente
hablando o para su utilizaci´on como prueba en una causa
legal. Hay que tomar ciertas precauciones para que las
evidencias sigan siendo v´alidas.
• Consideraciones relativas a la privacidad de los datos. En
un proceso de an´alisis forense pueden estar implicados datos
sujetos a otras leyes de privacidad que deben ser mantenidas
con la seguridad y privacidad que exija el marco lega.
• Consideraciones legales. Para que un proceso de an´alisis
forense sea ´util en un proceso legal deben tomarse
precauciones. Adem´as, la legislaci´on es diferente dependiendo
del pa´ıs, as´ı que puede suceder que un proceso de an´alisis
forense sea admitido como prueba en un juicio y no en otro.
RFC 3227 III
• Procedimientos de recolecci´on. Recolectar la informaci´on lo
m´as puramente posible, con la menor perdida de informaci´on.
La ejecuci´on de un comando en el sistema puede hacer que se
borren p´aginas de memoria que conten´ıan informaci´on de un
proceso de inter´es.
• Transparencia. Es recomendable utilizar t´ecnicas y
herramientas transparentes que permitan conocer
exactamente como se est´an tratando las evidencias. Hay que
evitar el uso de herramientas y procedimientos de los que no
se conozcan completamente qu´e est´an haciendo con la
informaci´on. Podr´ıa llevar a conclusiones err´oneas.
• Cadena de custodia de la informaci´on. En todo momento
se debe poder constatar qui´en entrega la informaci´on y qui´en
es el responsable de la custodia de la misma de manera que
pueda ser posible conocer el flujo de la misma desde su
recolecci´on hasta su utilizaci´on como prueba.
RFC 3227 IV
• Metodolog´ıa de almacenamiento de evidencias.
Almacenar las evidencias es tambi´en una labor importante.
Utilizar almacenamiento que puedan tener un tiempo de vida
menor al necesario para que termine el proceso judicial podr´ıa
llevar a un problema, pero tambi´en almacenar las evidencias
en sistemas de los que no se ha podido probar su seguridad, lo
que llevar´ıa a que fueran invalidadas las evidencias
encontradas.
1
https://www.ietf.org/rfc/rfc3227.txt
Forensic Examination of Digital Evidence I
Con fundamento el documento Forensic Examination of Digital
Evidence: A Guide for Law Enforcement 2 se desprenden los
principales puntos que hay que observar para la recolecci´on de la
posible evidencia que ser´a presentada ante un juez:
1 En la recolecci´on de indicios no se debe alterar bajo ninguna
circunstancia la posible evidencia, salvo previa autorizaci´on
por parte del agente del Ministerio P´ublico de la Federaci´on,
quien deber´a dar fe de todas y cada uno de los procedimientos
realizados por el personal pericial.
2 S´olo un profesional forense acreditado tendr´a acceso a indicios
digitales originales.
3 Toda la actividad relacionada con la recolecci´on, acceso,
almacenamiento y transferencia de la posible evidencia digital
deber´a ser documentada, preservada y permanecer disponible
para su revisi´on.
Forensic Examination of Digital Evidence
II
4 Un individuo es responsable de todas las acciones con
respecto al tratamiento de la posible evidencia digital mientras
´esta se encuentra bajo su resguardo.
5 Toda agencia responsable de recolectar posible evidencia
digital deber´a cumplir con los principios antes mencionados.
2
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
1 Evidencia Digital
Introducci´on
Principios de manejo y recolecci´on de evidencia
Metodolog´ıa para la adquisici´on y tratamiento de evidencia
digital
Captura de evidencia vol´atil en red
Recolecci´on de evidencia vol´atil (Live Response)
Recolecci´on de evidencia no vol´atil
Fijaci´on y embalaje de indicios
Cadena de custodia
Tipos de investigaci´on forense digital
Antes de proceder al an´alisis y tratamiento de manera directa con
la posible evidencia, es necesario distinguir dos tipos de vertientes
en relaci´on a la investigaci´on forense en TIC’s:
1 Trabajo de campo o investigaci´on en el lugar de los hechos.
2 Investigaci´on en ambiente controlado o trabajo de Laboratorio.
Trabajo de campo o investigaci´on en el
lugar de los hechos
El Perito Criminalista en Tecnolog´ıas de la Informaci´on y
Comunicaciones debe tomar en cuenta los siguientes puntos al
momento de realizar una investigaci´on en el lugar de los hechos:
1 Antes de llevar a cabo una instrucci´on ministerial en el
lugar de los hechos
2 Fijaci´on del lugar de los hechos.
3 Durante la b´usqueda de indicios as´ı como generaci´on y
registro de conjeturas
4 Embalaje de probables evidencias.
5 Aplicaci´on del formato de cadena de custodia.
Antes de llevar a cabo una instruccion
ministerial
• Una vez COMPRENDIDO el planteamiento del problema y
ante la posibilidad impl´ıcita de la diversidad de elementos,
dispositivos, computadoras y/o sistemas inform´aticos con los
que el o los investigadores se pueden enfrentar y con la
finalidad de evitar en la medida de lo posible situaciones
imprevistas, se deben preparar de manera met´odica todos los
elementos necesarios para llevar a cabo la diligencia en el
lugar de los hechos.
Elementos, Herramienta y Dispositivos
Necesarios en una Investigaci´on I
Ante la dificultad de lograr una correcta recolecci´on y preservaci´on
de indicios en este tipo de investigaciones, es necesario prever
cualquier dificultad de control y manejo de incidencias en el ´area
f´ısica del lugar de los hechos y en cuanto a los dispositivos
inform´aticos y de comunicaci´on. La siguiente lista menciona los
elementos m´ınimos necesarios para realizar una investigaci´on:
• Computadora personal (Laptop) con la mayor capacidad
posible en Disco Duro, procesador de 2 o 4 n´ucleos, memoria
RAM de 8 GB, capacidad de comunicaci´on inal´ambrica (WiFi,
bluetoot), por lo menos dos sistemas operativos instalados en
la m´aquina (Linux, Windows) o en su caso tener instalado un
emulador de m´aquinas virtuales (VMWare, Virtual Machine).
Cabe mencionar que en caso de necesitar emular sistemas
operativos, ser´a necesario conocer previo a la inspecci´on
Elementos, Herramienta y Dispositivos
Necesarios en una Investigaci´on II
ministerial, el tipo y versiones de los sistemas operativos que
ser´an utilizados en la diligencia con la finalidad de evitar
errores y retrasos propios de la aplicaci´on correcta de ´este
procedimiento. Se recomienda verificar el estado de la pila
interna de la m´aquina y de preferencia contar con una pila
adicional de larga duraci´on.
• Disco Compacto y/o Memoria USB con capacidad de
booteo. Hay que tomar en cuenta que no siempre el Perito se
enfrentar´a a equipos de ´ultima generaci´on, por lo que siempre
ser´a preferible prever cualquier eventualidad.
Elementos, Herramienta y Dispositivos
Necesarios en una Investigaci´on III
Elementos, Herramienta y Dispositivos
Necesarios en una Investigaci´on IV
• C´amara Digital, de la mayor resoluci´on posible con
capacidad de realizar acercamientos y con capacidad de
recarga sin necesidad de uso de bater´ıas. Se recomienda la
utilizaci´on de una memoria de almacenamiento adicional de
por lo menos 512 MB la cual tendr´a una capacidad de
almacenamiento de im´agenes de buena calidad aproximado de
100. Se recomienda complementar con el
tripi´e correspondiente en caso de necesitar precisi´on en alguna
fijaci´on y no contar con el Perito en Fotograf´ıa.
• Grabadora Digital o Anal´ogica. La tecnolog´ıa nos permite
hacer uso de este tipo de dispositivos con la finalidad de
grabar en el momento de llevar a cabo la diligencia,
conjeturas, comentarios y entrevistas realizadas con el
personal responsable del sistema a investigar.
Elementos, Herramienta y Dispositivos
Necesarios en una Investigaci´on V
• Interfaces varias. Esta parte es delicada a consecuencia de
los avances tecnol´ogicos y la variedad de dispositivos que
pueden ser sujetos a an´alisis forense, sin embargo se sugiere
incluir en el malet´ın cables de red con conectores RJ-45,
interfaces para conectar Discos Duros (PC’s y Laptops),
interfaces de lectura de memorias, interfaces de lectura de
Discos Compactos y DVD’s, entre otros.
• Estuche de pinzas, desarmadores y mult´ımetro digital.
Disco Duro externo con conectores. Se recomienda la mayor
capacidad tecnol´ogicamente posible.
• Dispositivo bloqueador contra escritura para dispositivos
de almacenamiento.
Elementos, Herramienta y Dispositivos
Necesarios en una Investigaci´on VI
Elementos, Herramienta y Dispositivos
Necesarios en una Investigaci´on VII
• Software de an´alisis, copiado y recuperaci´on de datos.
Elementos necesarios para cumplir de manera estandarizada
con las mejores pr´acticas en el tratado de evidencia digital.
• Guantes de l´atex. El contacto directo con la piel debe ser
evitado con la finalidad de no contaminar las huellas presentes
en el lugar de los hechos con las del propio Perito investigador.
• Tapabocas. El interior del gabinete de los equipos de
c´omputo suele en el mejor de los casos contener cantidades
importantes de polvo el cual puede ser da˜nino para la salud
del investigador por lo que se recomienda que siempre que se
lleven a cabo acciones de desensamblado de equipo de
c´omputo se recomienda el uso de tapabocas
Elementos, Herramienta y Dispositivos
Necesarios en una Investigaci´on VIII
• Lentes protectores. Con la finalidad de proteger los ojos del
investigador contra cualquier eventualidad al momento de
llevar a cabo la revisi´on de equipo electr´onico se recomienda el
uso de lentes protectores
• Pincel o brocha de cerdas finas y/o aire comprimido. El
polvo acumulado a consecuencia de la est´atica natural que se
forma en el interior de los equipos electr´onicos, puede generar
problemas de visi´on y el´ectricos al momento de llevar a cabo
la revisi´on y desmontaje de alg´un dispositivo, por lo que se
recomienda remover el exceso del mismo con la ayuda de um
pincel, brocha o aire comprimido.
• Libreta de apuntes, L´apiz y Goma. Cuando no se cuenta
con los dispositivos tecnol´ogicos mencionados con
anterioridad, siempre ser´a importante tener donde apuntar y
aplicar las t´ecnicas antes mencionadas al estilo cl´asico.
Elementos, Herramienta y Dispositivos
Necesarios en una Investigaci´on IX
• Lupa. Herramienta indispensable al momento de obtener
datos relacionados con dispositivos electr´onicos como n´umeros
de serie, identificador de dispositivo, entre otros.
• L´ampara. Herramienta necesaria al momento de buscar
indicios en cites y dentro de gabinetes de computadoras,
conmutadores, entre otros.
• Cinta adhesiva. Aditamento ´util para embalaje e
identificaci´on de indicios.
• Etiquetas. Aditamento ´util para identificaci´on de indicios al
momento de su embalaje.
• Pl´astico polietileno con burbujas para embalar. Material
necesario para embalaje de indicios.
En caso de tratarse de recuperaci´on y traslado de tel´efonos
celulares, a˜nadir:
Elementos, Herramienta y Dispositivos
Necesarios en una Investigaci´on X
• Bolsas o contenedores aislantes. Necesarias para embalar
tel´efonos celulares y dispositivos electr´onicos varios.
• Software de an´alisis forense de PDA’s y Celulares.
• Fuente de voltaje ajustable. Necesaria en caso de realizar
pruebas a dispositivos electr´onicos y recarga de pilas de
celulares.
• Interfaces de conexi´on.
• Mult´ımetro digital. Herramienta indispensable para pruebas
a dispositivos electr´onicos.
En caso de tratarse de la identificaci´on de dispositivos electr´onicos
y/o sistemas de telecomunicaciones:
• Equipos de medici´on propios del caso.
• Herramientas necesarias dependiendo el planteamiento del
problema.
Fijaci´on del lugar de los hechos I
Permite a las personas (que necesitan saberlo):
• Entender lo que sucedi´o,
• reconstruir el lugar de los hechos,
• reconstruir la cadena de sucesos y
• saber qui´en proces´o los indicios.
La fijaci´on empieza con:
• una evaluaci´on visual general,
• un recorrido de inspecci´on cuidadoso,
• una conversaci´on del investigador con sus colegas.
Las preguntas b´asicas que se deben de responder al investigador de
manera general antes de proceder a realizar la investigaci´on:
1 Fecha y hora en la que se realiza la intervenci´on o
investigaci´on
2 Domicilio del lugar de los hechos.
Fijaci´on del lugar de los hechos II
3 Persona responsable de la administraci´on de los recursos
inform´aticos. (nombre y cargo)
4 Recursos en tecnolog´ıas de la informaci´on y comunicaciones
con los que cuenta el lugar de los hechos. (numero de
computadoras, aplicaciones y configuraciones de seguridad,
bases de datos)
5 Accesos f´ısicos a los recursos inform´aticos.
6 Accesos L´ogicos
7 Infraestructura de comunicaciones (telecomunicaciones, redes
inform´aticas y su tecnolog´ıa)
8 Verificar si existe control de acceso a los recursos en TIC’s a
trav´es del uso de usuario y contrase˜na s´ı como e perfil de los
usuarios (Administrador o limitados).
9 Rango de direcciones IP e inventario de las mismas.
10 Bit´acoras activas.
Fijaci´on del lugar de los hechos III
11 Proveedores de Servicios de Comunicaciones.
Fijar fotogr´aficamente el estado f´ısico del equipo as´ı como cables y
dispositivos conectados a ´el.
B´usqueda de indicios as´ı como generaci´on
y registro de conjeturas I
Durante la b´usqueda de indicios as´ı como generaci´on y registro
de conjeturas:
1 En caso de encontrarse personal laborando y manipulando los
equipo que ser´an sujeto a estudio, evitar que dicho personal se
levante de su asiento y asegurarse de que ´este retire las manos
de los teclados y escritorio, coloc´andolas sobre sus muslos.
2 Localizaci´on e identificaci´on del equipo o equipos sujetos a
estudio.
3 Estado del equipo al momento de realizar la diligencia
(apagado, encendido).
4 En caso de encontrarse en estado de apagado el o los equipos
y/o dispositivos sujetos a estudio, se debe proceder a embalar
y etiquetar de forma individual cada elemento con la finalidad
de ser trasladado para su an´alisis en el Laboratorio.
B´usqueda de indicios as´ı como generaci´on
y registro de conjeturas II
5 En caso de encontrarse encendido el o los equipos y/o
dispositivos sujetos a estudio se debe:
1 Identificar la hora del sistema y en su caso, el desfasamiento
con el horario oficial.
2 Identificar las caracter´ısticas del sistema (RAM, discos duros,
versi´on, etc.)
3 Obtener informaci´on vol´atil (primera muestra).
4 Identificar y fijar escritorio, documentos recientes y
aplicaciones.
5 Identificar y fijar procesos.
6 Identificar y fijar informaci´on de conexiones a Internet.
7 Previsualizaci´on de las unidades de almacenamiento.
8 Obtener informaci´on vol´atil (segunda muestra).
6 Si se trata de evidencia digital contenida en tel´efonos
celulares:
B´usqueda de indicios as´ı como generaci´on
y registro de conjeturas III
7 Durante la b´usqueda de indicios as´ı como generaci´on y
registro de conjeturas
1 Aislamiento: En caso de no contar con dispositivos de
aislamiento y manejo de tel´efonos celulares los cuales cumplen
con la funci´on de evitar que el dispositivo sujeto a estudio
reciba o env´ıe llamadas o informaci´on, se deber´a de buscar en
la medida de lo posible un lugar aislado entre muros o s´otanos
que eviten la recepci´on o env´ıo de se˜nales las cuales pueden
provocar la alteraci´on de manera remota de la informaci´on
contenida en el o los dispositivos sujetos a estudio.
2 Fijaci´on: En este punto se reconoce el dispositivo en cuanto a
marca, modelo, n´umero de serie y caracter´ısticas particulares,
as´ı como el estado f´ısico y los dispositivos de almacenamiento
que lo componen (memorias). Cabe aclarar en este punto que
el investigador deber´a de tomar las mayores precauciones para
evitar toda manipulaci´on del dispositivo sometido a estudio sin
el uso de guantes de l´atex.
B´usqueda de indicios as´ı como generaci´on
y registro de conjeturas IV
8 En caso de ser necesario y con la autorizaci´on del Agente del
Ministerio P´ublico o responsable del ´area, recolectar:
• Dispositivos de comunicaci´on (tel´efonos celulares, agendas
electr´onicas)
• Dispositivos de almacenamiento (memorias USB, CD’s,
Disquetes, memorias SIMS, entre otros).
Dada la complejidad y diversidad de escenarios y variantes
relacionadas a conductas delictivas relacionadas con TIC’s en el
lugar de los hechos, entre los cuestionamientos b´asicos que el
investigador debe de plantearse para la generaci´on de conjeturas
sugerimos las siguientes:
• Acceso no autorizado.
• Fallos a consecuencia de virus maliciosos.
• Correos electr´onicos.
B´usqueda de indicios as´ı como generaci´on
y registro de conjeturas V
• Intervenci´on de sistemas de comunicaci´on.
• Negaci´on de servicios.
• Fallos a consecuencia de errores humanos.
• Sabotaje (interna o externa).
• Identificaci´on de dispositivos electr´onicos.
Embalaje de probables evidencias I
Cuando el equipo de c´omputo se encuentra apagado y no es posible
incautarlo se procede a realizar una imagen forense del disco duro:
1 Preparar medio destino.
2 Identificar tecla de acceso al BIOS.
Embalaje de probables evidencias II
3 Accesar al BIOS.
4 Identificar fecha del sistema.
5 Identificar desfasamiento entre el horario del sistema y el
horario oficial.
6 Identificar orden de arranque del sistema.
7 Asegurase que el sistema arranque desde el medio forense
(CAINE).
8 En caso de ser necesario previsualizar las unidades de
almacenamiento conectadas al equipo de c´omputo (discos
duros, memorias)
9 Realizar imagen o im´agenes forenses.
Cadena de custodia
Definici´on
Procedimiento controlado que se aplica a los indicios relacionados
con el delito, desde su localizaci´on hasta su valoraci´on por los
encargados de su an´alisis, normalmente peritos, y que tiene fin no
viciar el manejo que de ellos se haga y as´ı evitar alteraciones,
sustituciones, contaminaciones o destrucciones.
Investigaci´on en ambiente controlado o
trabajo de Laboratorio.
• Seguir los procedimientos de recepci´on de indicios.
• Ejecutar los procedimientos de investigaci´on.
• Elaborar el dictamen pericial.
1 Evidencia Digital
Introducci´on
Principios de manejo y recolecci´on de evidencia
Metodolog´ıa para la adquisici´on y tratamiento de evidencia
digital
Captura de evidencia vol´atil en red
Recolecci´on de evidencia vol´atil (Live Response)
Recolecci´on de evidencia no vol´atil
Fijaci´on y embalaje de indicios
Cadena de custodia
1 Evidencia Digital
Introducci´on
Principios de manejo y recolecci´on de evidencia
Metodolog´ıa para la adquisici´on y tratamiento de evidencia
digital
Captura de evidencia vol´atil en red
Recolecci´on de evidencia vol´atil (Live Response)
Recolecci´on de evidencia no vol´atil
Fijaci´on y embalaje de indicios
Cadena de custodia
1 Evidencia Digital
Introducci´on
Principios de manejo y recolecci´on de evidencia
Metodolog´ıa para la adquisici´on y tratamiento de evidencia
digital
Captura de evidencia vol´atil en red
Recolecci´on de evidencia vol´atil (Live Response)
Recolecci´on de evidencia no vol´atil
Fijaci´on y embalaje de indicios
Cadena de custodia
1 Evidencia Digital
Introducci´on
Principios de manejo y recolecci´on de evidencia
Metodolog´ıa para la adquisici´on y tratamiento de evidencia
digital
Captura de evidencia vol´atil en red
Recolecci´on de evidencia vol´atil (Live Response)
Recolecci´on de evidencia no vol´atil
Fijaci´on y embalaje de indicios
Cadena de custodia
1 Evidencia Digital
Introducci´on
Principios de manejo y recolecci´on de evidencia
Metodolog´ıa para la adquisici´on y tratamiento de evidencia
digital
Captura de evidencia vol´atil en red
Recolecci´on de evidencia vol´atil (Live Response)
Recolecci´on de evidencia no vol´atil
Fijaci´on y embalaje de indicios
Cadena de custodia
Referencias bibliogr´aficas I
´Oscar. Lira Arteaga.
Cibercriminalidad. Fundamentos de investigaci´on en M´exico..

Más contenido relacionado

La actualidad más candente

Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic InvestigationsDigital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
Filip Maertens
 
Practica pericial de informatica forense en dispositivos moviles
Practica pericial de informatica forense en dispositivos movilesPractica pericial de informatica forense en dispositivos moviles
Practica pericial de informatica forense en dispositivos moviles
Data Security
 
Escena del crimen
Escena del crimenEscena del crimen
Escena del crimen
Rosangelica Gutierrez Gil
 
Analysis of digital evidence
Analysis of digital evidenceAnalysis of digital evidence
Analysis of digital evidence
rakesh mishra
 
Digital Evidence - the defence, prosecution, & the court
Digital Evidence - the defence, prosecution, & the courtDigital Evidence - the defence, prosecution, & the court
Digital Evidence - the defence, prosecution, & the court
Cell Site Analysis (CSA)
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
Vidoushi B-Somrah
 
Introducción a la Informática Jurídica
Introducción a la Informática JurídicaIntroducción a la Informática Jurídica
Introducción a la Informática Jurídica
Hayde Ramos UPT
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
Fredy Ricse
 
FDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalFDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense Digital
Junior Abreu
 
Digital investigation
Digital investigationDigital investigation
Digital investigation
unnilala11
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação Forense
Vaine Luiz Barreira, MBA
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
Vidoushi B-Somrah
 
Computer forensic
Computer forensicComputer forensic
Computer forensic
bhavithd
 
Cyber Forensics Module 2
Cyber Forensics Module 2Cyber Forensics Module 2
Cyber Forensics Module 2
Manu Mathew Cherian
 
Introduction to computer forensic
Introduction to computer forensicIntroduction to computer forensic
Introduction to computer forensic
Online
 
Digital Forensics by William C. Barker (NIST)
Digital Forensics by William C. Barker (NIST)Digital Forensics by William C. Barker (NIST)
Digital Forensics by William C. Barker (NIST)
AltheimPrivacy
 
Computer forensic ppt
Computer forensic pptComputer forensic ppt
Computer forensic ppt
Priya Manik
 
Cadena de custodia Ecuador
Cadena de custodia EcuadorCadena de custodia Ecuador
Cadena de custodia Ecuador
Diego Guerra
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Analista Forense
 
03 Data Recovery - Notes
03 Data Recovery - Notes03 Data Recovery - Notes
03 Data Recovery - Notes
Kranthi
 

La actualidad más candente (20)

Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic InvestigationsDigital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
 
Practica pericial de informatica forense en dispositivos moviles
Practica pericial de informatica forense en dispositivos movilesPractica pericial de informatica forense en dispositivos moviles
Practica pericial de informatica forense en dispositivos moviles
 
Escena del crimen
Escena del crimenEscena del crimen
Escena del crimen
 
Analysis of digital evidence
Analysis of digital evidenceAnalysis of digital evidence
Analysis of digital evidence
 
Digital Evidence - the defence, prosecution, & the court
Digital Evidence - the defence, prosecution, & the courtDigital Evidence - the defence, prosecution, & the court
Digital Evidence - the defence, prosecution, & the court
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
 
Introducción a la Informática Jurídica
Introducción a la Informática JurídicaIntroducción a la Informática Jurídica
Introducción a la Informática Jurídica
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
FDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense DigitalFDTK - O Ubuntu para Perícia Forense Digital
FDTK - O Ubuntu para Perícia Forense Digital
 
Digital investigation
Digital investigationDigital investigation
Digital investigation
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação Forense
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
 
Computer forensic
Computer forensicComputer forensic
Computer forensic
 
Cyber Forensics Module 2
Cyber Forensics Module 2Cyber Forensics Module 2
Cyber Forensics Module 2
 
Introduction to computer forensic
Introduction to computer forensicIntroduction to computer forensic
Introduction to computer forensic
 
Digital Forensics by William C. Barker (NIST)
Digital Forensics by William C. Barker (NIST)Digital Forensics by William C. Barker (NIST)
Digital Forensics by William C. Barker (NIST)
 
Computer forensic ppt
Computer forensic pptComputer forensic ppt
Computer forensic ppt
 
Cadena de custodia Ecuador
Cadena de custodia EcuadorCadena de custodia Ecuador
Cadena de custodia Ecuador
 
Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
03 Data Recovery - Notes
03 Data Recovery - Notes03 Data Recovery - Notes
03 Data Recovery - Notes
 

Destacado

Presentación Materia Informática Forense 2016-2
Presentación Materia Informática Forense 2016-2Presentación Materia Informática Forense 2016-2
Presentación Materia Informática Forense 2016-2
Francisco Medina
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática Forense
Francisco Medina
 
CCNA 1 - Itn instructor ppt_chapter5
CCNA 1 - Itn instructor ppt_chapter5CCNA 1 - Itn instructor ppt_chapter5
CCNA 1 - Itn instructor ppt_chapter5
Yerald Méndez Hernández
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
Francisco Medina
 
CCNA 1 V5
CCNA 1 V5CCNA 1 V5
CCNA 1 - Itn instructor ppt_chapter3
CCNA 1 - Itn instructor ppt_chapter3CCNA 1 - Itn instructor ppt_chapter3
CCNA 1 - Itn instructor ppt_chapter3
Yerald Méndez Hernández
 
CCNA 1 - Itn instructor ppt_chapter2
CCNA 1 - Itn instructor ppt_chapter2CCNA 1 - Itn instructor ppt_chapter2
CCNA 1 - Itn instructor ppt_chapter2
Yerald Méndez Hernández
 
9 modelo tcp-ip
9 modelo tcp-ip9 modelo tcp-ip
9 modelo tcp-ip
Pablo Miranda
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
Francisco Medina
 
Tema 1. Introducción a TCP/IP
Tema 1. Introducción a TCP/IPTema 1. Introducción a TCP/IP
Tema 1. Introducción a TCP/IP
Francisco Medina
 
2015 2-Módulo 4. Redes Inalámbricas
2015 2-Módulo 4. Redes Inalámbricas2015 2-Módulo 4. Redes Inalámbricas
2015 2-Módulo 4. Redes Inalámbricas
Francisco Medina
 
Presentación materia: Informática Forense
Presentación materia: Informática ForensePresentación materia: Informática Forense
Presentación materia: Informática Forense
Francisco Medina
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
Francisco Medina
 
2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática
Francisco Medina
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
Francisco Medina
 
Tema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadTema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridad
Francisco Medina
 
Unidad iii arquitectura tcp ip
Unidad iii arquitectura tcp ipUnidad iii arquitectura tcp ip
Unidad iii arquitectura tcp ip
Daniel Cerda
 
Arquitectura tcpip
Arquitectura tcpipArquitectura tcpip
Arquitectura tcpip
arsepe
 
Diapositivas capitulo 2
Diapositivas capitulo 2Diapositivas capitulo 2
Diapositivas capitulo 2
linux035
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
Francisco Medina
 

Destacado (20)

Presentación Materia Informática Forense 2016-2
Presentación Materia Informática Forense 2016-2Presentación Materia Informática Forense 2016-2
Presentación Materia Informática Forense 2016-2
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática Forense
 
CCNA 1 - Itn instructor ppt_chapter5
CCNA 1 - Itn instructor ppt_chapter5CCNA 1 - Itn instructor ppt_chapter5
CCNA 1 - Itn instructor ppt_chapter5
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
 
CCNA 1 V5
CCNA 1 V5CCNA 1 V5
CCNA 1 V5
 
CCNA 1 - Itn instructor ppt_chapter3
CCNA 1 - Itn instructor ppt_chapter3CCNA 1 - Itn instructor ppt_chapter3
CCNA 1 - Itn instructor ppt_chapter3
 
CCNA 1 - Itn instructor ppt_chapter2
CCNA 1 - Itn instructor ppt_chapter2CCNA 1 - Itn instructor ppt_chapter2
CCNA 1 - Itn instructor ppt_chapter2
 
9 modelo tcp-ip
9 modelo tcp-ip9 modelo tcp-ip
9 modelo tcp-ip
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
 
Tema 1. Introducción a TCP/IP
Tema 1. Introducción a TCP/IPTema 1. Introducción a TCP/IP
Tema 1. Introducción a TCP/IP
 
2015 2-Módulo 4. Redes Inalámbricas
2015 2-Módulo 4. Redes Inalámbricas2015 2-Módulo 4. Redes Inalámbricas
2015 2-Módulo 4. Redes Inalámbricas
 
Presentación materia: Informática Forense
Presentación materia: Informática ForensePresentación materia: Informática Forense
Presentación materia: Informática Forense
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
 
2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
 
Tema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadTema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridad
 
Unidad iii arquitectura tcp ip
Unidad iii arquitectura tcp ipUnidad iii arquitectura tcp ip
Unidad iii arquitectura tcp ip
 
Arquitectura tcpip
Arquitectura tcpipArquitectura tcpip
Arquitectura tcpip
 
Diapositivas capitulo 2
Diapositivas capitulo 2Diapositivas capitulo 2
Diapositivas capitulo 2
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
 

Similar a Tema 2. Evidencia digital

Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
Roger CARHUATOCTO
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
Eventos Creativos
 
Informatica forense
Informatica  forenseInformatica  forense
Informatica forense
mmazonf
 
cyb_pan_manual.pdf
cyb_pan_manual.pdfcyb_pan_manual.pdf
cyb_pan_manual.pdf
RafaelMenendez10
 
cyb_pan_manual.pdf
cyb_pan_manual.pdfcyb_pan_manual.pdf
cyb_pan_manual.pdf
RafaelMenendez10
 
Manual de manejo de evidencias digitales
Manual de manejo de evidencias digitalesManual de manejo de evidencias digitales
Manual de manejo de evidencias digitales
MAURO666
 
Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012
Alejandro BATISTA
 
Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.
Internet Security Auditors
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
Roger CARHUATOCTO
 
Forensia digital
Forensia digitalForensia digital
Forensia digital
Lely53
 
Informatica Forense - Nahuel Sagardoy
Informatica Forense - Nahuel SagardoyInformatica Forense - Nahuel Sagardoy
Informatica Forense - Nahuel Sagardoy
NahuelLeandroSagardo
 
Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014
Lorenzo Martínez
 
Informática forense.
Informática forense.Informática forense.
Informática forense.
cinthyabb_
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forense
david475023
 
Examenfinal (3)
Examenfinal (3)Examenfinal (3)
Examenfinal (3)
tonys0012
 
Examenfinal
ExamenfinalExamenfinal
Examenfinal
tonys0012
 
Examenfinal
ExamenfinalExamenfinal
Examenfinal
tonys0012
 
a
aa
Examen final 2
Examen final 2Examen final 2
Examen final 2
tonys0012
 
Examen final slideshare
Examen final slideshareExamen final slideshare
Examen final slideshare
tonys0012
 

Similar a Tema 2. Evidencia digital (20)

Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Informatica forense
Informatica  forenseInformatica  forense
Informatica forense
 
cyb_pan_manual.pdf
cyb_pan_manual.pdfcyb_pan_manual.pdf
cyb_pan_manual.pdf
 
cyb_pan_manual.pdf
cyb_pan_manual.pdfcyb_pan_manual.pdf
cyb_pan_manual.pdf
 
Manual de manejo de evidencias digitales
Manual de manejo de evidencias digitalesManual de manejo de evidencias digitales
Manual de manejo de evidencias digitales
 
Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012
 
Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
Forensia digital
Forensia digitalForensia digital
Forensia digital
 
Informatica Forense - Nahuel Sagardoy
Informatica Forense - Nahuel SagardoyInformatica Forense - Nahuel Sagardoy
Informatica Forense - Nahuel Sagardoy
 
Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014
 
Informática forense.
Informática forense.Informática forense.
Informática forense.
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forense
 
Examenfinal (3)
Examenfinal (3)Examenfinal (3)
Examenfinal (3)
 
Examenfinal
ExamenfinalExamenfinal
Examenfinal
 
Examenfinal
ExamenfinalExamenfinal
Examenfinal
 
a
aa
a
 
Examen final 2
Examen final 2Examen final 2
Examen final 2
 
Examen final slideshare
Examen final slideshareExamen final slideshare
Examen final slideshare
 

Más de Francisco Medina

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
Francisco Medina
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
Francisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
Francisco Medina
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
Francisco Medina
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
Francisco Medina
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
Francisco Medina
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
Francisco Medina
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
Francisco Medina
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
Francisco Medina
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
Francisco Medina
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
Francisco Medina
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
Francisco Medina
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
Francisco Medina
 
Ejercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali LinuxEjercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali Linux
Francisco Medina
 
Actividad No 4.3 IPv4 SSH
Actividad No 4.3 IPv4 SSHActividad No 4.3 IPv4 SSH
Actividad No 4.3 IPv4 SSH
Francisco Medina
 
Actividad No 4.2 IPv4 Telnet
Actividad No 4.2 IPv4 TelnetActividad No 4.2 IPv4 Telnet
Actividad No 4.2 IPv4 Telnet
Francisco Medina
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con Snort
Francisco Medina
 
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/LinuxActividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Francisco Medina
 

Más de Francisco Medina (20)

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
 
Ejercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali LinuxEjercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali Linux
 
Actividad No 4.3 IPv4 SSH
Actividad No 4.3 IPv4 SSHActividad No 4.3 IPv4 SSH
Actividad No 4.3 IPv4 SSH
 
Actividad No 4.2 IPv4 Telnet
Actividad No 4.2 IPv4 TelnetActividad No 4.2 IPv4 Telnet
Actividad No 4.2 IPv4 Telnet
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con Snort
 
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/LinuxActividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
 

Último

UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdfUNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
Joan Ribes Gallén
 
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
20minutos
 
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLMExamen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Juan Martín Martín
 
Radicación con expresiones algebraicas para 9no grado
Radicación con expresiones algebraicas para 9no gradoRadicación con expresiones algebraicas para 9no grado
Radicación con expresiones algebraicas para 9no grado
perezducasaarmando
 
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJAPANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
estroba5
 
Mauricio-Presentación-Vacacional- 2024-1
Mauricio-Presentación-Vacacional- 2024-1Mauricio-Presentación-Vacacional- 2024-1
Mauricio-Presentación-Vacacional- 2024-1
MauricioSnchez83
 
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxxPLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
cportizsanchez48
 
Manual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HCManual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HC
josseanlo1581
 
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
DanielaBurgosnazario
 
Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024
israelsouza67
 
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT  Mineduc Ccesa007.pdfGuia para Docentes como usar ChatGPT  Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Demetrio Ccesa Rayme
 
Guia Practica de ChatGPT para Docentes Ccesa007.pdf
Guia Practica de ChatGPT para Docentes Ccesa007.pdfGuia Practica de ChatGPT para Docentes Ccesa007.pdf
Guia Practica de ChatGPT para Docentes Ccesa007.pdf
Demetrio Ccesa Rayme
 
Examen de la EvAU 2024 en Navarra Latín.
Examen de la EvAU 2024 en Navarra Latín.Examen de la EvAU 2024 en Navarra Latín.
Examen de la EvAU 2024 en Navarra Latín.
amayaltc18
 
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdfFEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
Jose Luis Jimenez Rodriguez
 
pueblos originarios de chile presentacion twinkl.pptx
pueblos originarios de chile presentacion twinkl.pptxpueblos originarios de chile presentacion twinkl.pptx
pueblos originarios de chile presentacion twinkl.pptx
RAMIREZNICOLE
 
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docxRETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
100078171
 
Inteligencia Artificial para Docentes HIA Ccesa007.pdf
Inteligencia Artificial para Docentes  HIA  Ccesa007.pdfInteligencia Artificial para Docentes  HIA  Ccesa007.pdf
Inteligencia Artificial para Docentes HIA Ccesa007.pdf
Demetrio Ccesa Rayme
 
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdfEl Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
Robert Zuñiga Vargas
 
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIACONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
ginnazamudio
 
Elites municipales y propiedades rurales: algunos ejemplos en territorio vascón
Elites municipales y propiedades rurales: algunos ejemplos en territorio vascónElites municipales y propiedades rurales: algunos ejemplos en territorio vascón
Elites municipales y propiedades rurales: algunos ejemplos en territorio vascón
Javier Andreu
 

Último (20)

UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdfUNA VISITA A SAN PEDRO EN EL VATICANO.pdf
UNA VISITA A SAN PEDRO EN EL VATICANO.pdf
 
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
Horarios y fechas de la PAU 2024 en la Comunidad Valenciana.
 
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLMExamen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
 
Radicación con expresiones algebraicas para 9no grado
Radicación con expresiones algebraicas para 9no gradoRadicación con expresiones algebraicas para 9no grado
Radicación con expresiones algebraicas para 9no grado
 
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJAPANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
PANDERETAS DECORADAS CON MOTIVOS DE LA RIOJA
 
Mauricio-Presentación-Vacacional- 2024-1
Mauricio-Presentación-Vacacional- 2024-1Mauricio-Presentación-Vacacional- 2024-1
Mauricio-Presentación-Vacacional- 2024-1
 
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxxPLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
 
Manual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HCManual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HC
 
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
 
Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024
 
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT  Mineduc Ccesa007.pdfGuia para Docentes como usar ChatGPT  Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
 
Guia Practica de ChatGPT para Docentes Ccesa007.pdf
Guia Practica de ChatGPT para Docentes Ccesa007.pdfGuia Practica de ChatGPT para Docentes Ccesa007.pdf
Guia Practica de ChatGPT para Docentes Ccesa007.pdf
 
Examen de la EvAU 2024 en Navarra Latín.
Examen de la EvAU 2024 en Navarra Latín.Examen de la EvAU 2024 en Navarra Latín.
Examen de la EvAU 2024 en Navarra Latín.
 
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdfFEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
FEEDBACK DE LA ESTRUCTURA CURRICULAR- 2024.pdf
 
pueblos originarios de chile presentacion twinkl.pptx
pueblos originarios de chile presentacion twinkl.pptxpueblos originarios de chile presentacion twinkl.pptx
pueblos originarios de chile presentacion twinkl.pptx
 
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docxRETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
 
Inteligencia Artificial para Docentes HIA Ccesa007.pdf
Inteligencia Artificial para Docentes  HIA  Ccesa007.pdfInteligencia Artificial para Docentes  HIA  Ccesa007.pdf
Inteligencia Artificial para Docentes HIA Ccesa007.pdf
 
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdfEl Cerebro se Cambia a si Mismo-Norman Doidge.pdf
El Cerebro se Cambia a si Mismo-Norman Doidge.pdf
 
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIACONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
 
Elites municipales y propiedades rurales: algunos ejemplos en territorio vascón
Elites municipales y propiedades rurales: algunos ejemplos en territorio vascónElites municipales y propiedades rurales: algunos ejemplos en territorio vascón
Elites municipales y propiedades rurales: algunos ejemplos en territorio vascón
 

Tema 2. Evidencia digital

  • 1. Inform´atica Forense Tema 2. Evidencia digital Francisco Medina L´opez — paco.medina@comunidad.unam.mx http://aulavirtual.capacitacionentics.com Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2016-2
  • 2. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 3. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 4. ¿Qu´e es la evidencia digital? Una de las primeras fases del an´alisis forense comprende el proceso de identificaci´on del incidente, que lleva de la mano la b´usqueda y recopilaci´on de evidencias. Definici´on La evidencia es cualquier informaci´on contrastable encontrada en un sistema. Son los hechos encontrados, por lo tanto la evidencia digital es toda aquella informaci´on electr´onica que pueda aportar alg´un dato para el an´alisis forense digital posterior. La Adquisici´on de la evidencia digital inicia cuando la informaci´on y/o dispositivos relacionados son colectados y almacenados para realizar un an´alisis forense.
  • 5. Ejemplos de evidencia digital • Fecha de ´ultimo acceso de un archivo o aplicaci´on. • Un registro de acceso de un archivo. • Una cookie de navegaci´on web almacenada en un disco duro. • El uptime o tiempo que lleva sin apagarse un sistema. • Un archivo almacenado en un disco duro. • Un proceso en ejecuci´on. • Archivos temporales. • Restos de la instalaci´on de un programa. • Un disco duro, una unidad USB de almacenamiento u otro dispositivo de almacenamiento.
  • 6. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 7. RFC 3227 I Al momento de recolectar las evidencias digitales hay que seguir ciertos procedimientos para que este proceso sea eficiente y ´util. El documento RFC 32271 recoge las recomendaciones sobre las pautas que un administrador debe seguir a la hora de obtener las evidencias en un sistema. En ´el se tratan los siguientes aspectos: • Principios para la recolecci´on de evidencias. Realizar un an´alisis forense debe ser tomado como un proyecto delicado y como tal deben ser cumplidos ciertos prerequisitos. • Orden de volatilidad. Al momento de recolectar las evidencias de un sistema no toda tienen el mismo orden de volatilidad. El concepto de volatilidad de evidencia est´a marcado por el marco temporal en el que es posible acceder a una evidencia. As´ı, el contenido de un DVD ser´a menos vol´atil que el contenido de la memoria RAM o los datos almacenado en la memoria de una impresora.
  • 8. RFC 3227 II • Acciones que deben ser evitadas. Hay acciones que invalidan un proceso de an´alisis forense t´ecnicamente hablando o para su utilizaci´on como prueba en una causa legal. Hay que tomar ciertas precauciones para que las evidencias sigan siendo v´alidas. • Consideraciones relativas a la privacidad de los datos. En un proceso de an´alisis forense pueden estar implicados datos sujetos a otras leyes de privacidad que deben ser mantenidas con la seguridad y privacidad que exija el marco lega. • Consideraciones legales. Para que un proceso de an´alisis forense sea ´util en un proceso legal deben tomarse precauciones. Adem´as, la legislaci´on es diferente dependiendo del pa´ıs, as´ı que puede suceder que un proceso de an´alisis forense sea admitido como prueba en un juicio y no en otro.
  • 9. RFC 3227 III • Procedimientos de recolecci´on. Recolectar la informaci´on lo m´as puramente posible, con la menor perdida de informaci´on. La ejecuci´on de un comando en el sistema puede hacer que se borren p´aginas de memoria que conten´ıan informaci´on de un proceso de inter´es. • Transparencia. Es recomendable utilizar t´ecnicas y herramientas transparentes que permitan conocer exactamente como se est´an tratando las evidencias. Hay que evitar el uso de herramientas y procedimientos de los que no se conozcan completamente qu´e est´an haciendo con la informaci´on. Podr´ıa llevar a conclusiones err´oneas. • Cadena de custodia de la informaci´on. En todo momento se debe poder constatar qui´en entrega la informaci´on y qui´en es el responsable de la custodia de la misma de manera que pueda ser posible conocer el flujo de la misma desde su recolecci´on hasta su utilizaci´on como prueba.
  • 10. RFC 3227 IV • Metodolog´ıa de almacenamiento de evidencias. Almacenar las evidencias es tambi´en una labor importante. Utilizar almacenamiento que puedan tener un tiempo de vida menor al necesario para que termine el proceso judicial podr´ıa llevar a un problema, pero tambi´en almacenar las evidencias en sistemas de los que no se ha podido probar su seguridad, lo que llevar´ıa a que fueran invalidadas las evidencias encontradas. 1 https://www.ietf.org/rfc/rfc3227.txt
  • 11. Forensic Examination of Digital Evidence I Con fundamento el documento Forensic Examination of Digital Evidence: A Guide for Law Enforcement 2 se desprenden los principales puntos que hay que observar para la recolecci´on de la posible evidencia que ser´a presentada ante un juez: 1 En la recolecci´on de indicios no se debe alterar bajo ninguna circunstancia la posible evidencia, salvo previa autorizaci´on por parte del agente del Ministerio P´ublico de la Federaci´on, quien deber´a dar fe de todas y cada uno de los procedimientos realizados por el personal pericial. 2 S´olo un profesional forense acreditado tendr´a acceso a indicios digitales originales. 3 Toda la actividad relacionada con la recolecci´on, acceso, almacenamiento y transferencia de la posible evidencia digital deber´a ser documentada, preservada y permanecer disponible para su revisi´on.
  • 12. Forensic Examination of Digital Evidence II 4 Un individuo es responsable de todas las acciones con respecto al tratamiento de la posible evidencia digital mientras ´esta se encuentra bajo su resguardo. 5 Toda agencia responsable de recolectar posible evidencia digital deber´a cumplir con los principios antes mencionados. 2 https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
  • 13. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 14. Tipos de investigaci´on forense digital Antes de proceder al an´alisis y tratamiento de manera directa con la posible evidencia, es necesario distinguir dos tipos de vertientes en relaci´on a la investigaci´on forense en TIC’s: 1 Trabajo de campo o investigaci´on en el lugar de los hechos. 2 Investigaci´on en ambiente controlado o trabajo de Laboratorio.
  • 15. Trabajo de campo o investigaci´on en el lugar de los hechos El Perito Criminalista en Tecnolog´ıas de la Informaci´on y Comunicaciones debe tomar en cuenta los siguientes puntos al momento de realizar una investigaci´on en el lugar de los hechos: 1 Antes de llevar a cabo una instrucci´on ministerial en el lugar de los hechos 2 Fijaci´on del lugar de los hechos. 3 Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas 4 Embalaje de probables evidencias. 5 Aplicaci´on del formato de cadena de custodia.
  • 16. Antes de llevar a cabo una instruccion ministerial • Una vez COMPRENDIDO el planteamiento del problema y ante la posibilidad impl´ıcita de la diversidad de elementos, dispositivos, computadoras y/o sistemas inform´aticos con los que el o los investigadores se pueden enfrentar y con la finalidad de evitar en la medida de lo posible situaciones imprevistas, se deben preparar de manera met´odica todos los elementos necesarios para llevar a cabo la diligencia en el lugar de los hechos.
  • 17. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on I Ante la dificultad de lograr una correcta recolecci´on y preservaci´on de indicios en este tipo de investigaciones, es necesario prever cualquier dificultad de control y manejo de incidencias en el ´area f´ısica del lugar de los hechos y en cuanto a los dispositivos inform´aticos y de comunicaci´on. La siguiente lista menciona los elementos m´ınimos necesarios para realizar una investigaci´on: • Computadora personal (Laptop) con la mayor capacidad posible en Disco Duro, procesador de 2 o 4 n´ucleos, memoria RAM de 8 GB, capacidad de comunicaci´on inal´ambrica (WiFi, bluetoot), por lo menos dos sistemas operativos instalados en la m´aquina (Linux, Windows) o en su caso tener instalado un emulador de m´aquinas virtuales (VMWare, Virtual Machine). Cabe mencionar que en caso de necesitar emular sistemas operativos, ser´a necesario conocer previo a la inspecci´on
  • 18. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on II ministerial, el tipo y versiones de los sistemas operativos que ser´an utilizados en la diligencia con la finalidad de evitar errores y retrasos propios de la aplicaci´on correcta de ´este procedimiento. Se recomienda verificar el estado de la pila interna de la m´aquina y de preferencia contar con una pila adicional de larga duraci´on. • Disco Compacto y/o Memoria USB con capacidad de booteo. Hay que tomar en cuenta que no siempre el Perito se enfrentar´a a equipos de ´ultima generaci´on, por lo que siempre ser´a preferible prever cualquier eventualidad.
  • 19. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on III
  • 20. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on IV • C´amara Digital, de la mayor resoluci´on posible con capacidad de realizar acercamientos y con capacidad de recarga sin necesidad de uso de bater´ıas. Se recomienda la utilizaci´on de una memoria de almacenamiento adicional de por lo menos 512 MB la cual tendr´a una capacidad de almacenamiento de im´agenes de buena calidad aproximado de 100. Se recomienda complementar con el tripi´e correspondiente en caso de necesitar precisi´on en alguna fijaci´on y no contar con el Perito en Fotograf´ıa. • Grabadora Digital o Anal´ogica. La tecnolog´ıa nos permite hacer uso de este tipo de dispositivos con la finalidad de grabar en el momento de llevar a cabo la diligencia, conjeturas, comentarios y entrevistas realizadas con el personal responsable del sistema a investigar.
  • 21. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on V • Interfaces varias. Esta parte es delicada a consecuencia de los avances tecnol´ogicos y la variedad de dispositivos que pueden ser sujetos a an´alisis forense, sin embargo se sugiere incluir en el malet´ın cables de red con conectores RJ-45, interfaces para conectar Discos Duros (PC’s y Laptops), interfaces de lectura de memorias, interfaces de lectura de Discos Compactos y DVD’s, entre otros. • Estuche de pinzas, desarmadores y mult´ımetro digital. Disco Duro externo con conectores. Se recomienda la mayor capacidad tecnol´ogicamente posible. • Dispositivo bloqueador contra escritura para dispositivos de almacenamiento.
  • 22. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VI
  • 23. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VII • Software de an´alisis, copiado y recuperaci´on de datos. Elementos necesarios para cumplir de manera estandarizada con las mejores pr´acticas en el tratado de evidencia digital. • Guantes de l´atex. El contacto directo con la piel debe ser evitado con la finalidad de no contaminar las huellas presentes en el lugar de los hechos con las del propio Perito investigador. • Tapabocas. El interior del gabinete de los equipos de c´omputo suele en el mejor de los casos contener cantidades importantes de polvo el cual puede ser da˜nino para la salud del investigador por lo que se recomienda que siempre que se lleven a cabo acciones de desensamblado de equipo de c´omputo se recomienda el uso de tapabocas
  • 24. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VIII • Lentes protectores. Con la finalidad de proteger los ojos del investigador contra cualquier eventualidad al momento de llevar a cabo la revisi´on de equipo electr´onico se recomienda el uso de lentes protectores • Pincel o brocha de cerdas finas y/o aire comprimido. El polvo acumulado a consecuencia de la est´atica natural que se forma en el interior de los equipos electr´onicos, puede generar problemas de visi´on y el´ectricos al momento de llevar a cabo la revisi´on y desmontaje de alg´un dispositivo, por lo que se recomienda remover el exceso del mismo con la ayuda de um pincel, brocha o aire comprimido. • Libreta de apuntes, L´apiz y Goma. Cuando no se cuenta con los dispositivos tecnol´ogicos mencionados con anterioridad, siempre ser´a importante tener donde apuntar y aplicar las t´ecnicas antes mencionadas al estilo cl´asico.
  • 25. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on IX • Lupa. Herramienta indispensable al momento de obtener datos relacionados con dispositivos electr´onicos como n´umeros de serie, identificador de dispositivo, entre otros. • L´ampara. Herramienta necesaria al momento de buscar indicios en cites y dentro de gabinetes de computadoras, conmutadores, entre otros. • Cinta adhesiva. Aditamento ´util para embalaje e identificaci´on de indicios. • Etiquetas. Aditamento ´util para identificaci´on de indicios al momento de su embalaje. • Pl´astico polietileno con burbujas para embalar. Material necesario para embalaje de indicios. En caso de tratarse de recuperaci´on y traslado de tel´efonos celulares, a˜nadir:
  • 26. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on X • Bolsas o contenedores aislantes. Necesarias para embalar tel´efonos celulares y dispositivos electr´onicos varios. • Software de an´alisis forense de PDA’s y Celulares. • Fuente de voltaje ajustable. Necesaria en caso de realizar pruebas a dispositivos electr´onicos y recarga de pilas de celulares. • Interfaces de conexi´on. • Mult´ımetro digital. Herramienta indispensable para pruebas a dispositivos electr´onicos. En caso de tratarse de la identificaci´on de dispositivos electr´onicos y/o sistemas de telecomunicaciones: • Equipos de medici´on propios del caso. • Herramientas necesarias dependiendo el planteamiento del problema.
  • 27. Fijaci´on del lugar de los hechos I Permite a las personas (que necesitan saberlo): • Entender lo que sucedi´o, • reconstruir el lugar de los hechos, • reconstruir la cadena de sucesos y • saber qui´en proces´o los indicios. La fijaci´on empieza con: • una evaluaci´on visual general, • un recorrido de inspecci´on cuidadoso, • una conversaci´on del investigador con sus colegas. Las preguntas b´asicas que se deben de responder al investigador de manera general antes de proceder a realizar la investigaci´on: 1 Fecha y hora en la que se realiza la intervenci´on o investigaci´on 2 Domicilio del lugar de los hechos.
  • 28. Fijaci´on del lugar de los hechos II 3 Persona responsable de la administraci´on de los recursos inform´aticos. (nombre y cargo) 4 Recursos en tecnolog´ıas de la informaci´on y comunicaciones con los que cuenta el lugar de los hechos. (numero de computadoras, aplicaciones y configuraciones de seguridad, bases de datos) 5 Accesos f´ısicos a los recursos inform´aticos. 6 Accesos L´ogicos 7 Infraestructura de comunicaciones (telecomunicaciones, redes inform´aticas y su tecnolog´ıa) 8 Verificar si existe control de acceso a los recursos en TIC’s a trav´es del uso de usuario y contrase˜na s´ı como e perfil de los usuarios (Administrador o limitados). 9 Rango de direcciones IP e inventario de las mismas. 10 Bit´acoras activas.
  • 29. Fijaci´on del lugar de los hechos III 11 Proveedores de Servicios de Comunicaciones. Fijar fotogr´aficamente el estado f´ısico del equipo as´ı como cables y dispositivos conectados a ´el.
  • 30. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas I Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas: 1 En caso de encontrarse personal laborando y manipulando los equipo que ser´an sujeto a estudio, evitar que dicho personal se levante de su asiento y asegurarse de que ´este retire las manos de los teclados y escritorio, coloc´andolas sobre sus muslos. 2 Localizaci´on e identificaci´on del equipo o equipos sujetos a estudio. 3 Estado del equipo al momento de realizar la diligencia (apagado, encendido). 4 En caso de encontrarse en estado de apagado el o los equipos y/o dispositivos sujetos a estudio, se debe proceder a embalar y etiquetar de forma individual cada elemento con la finalidad de ser trasladado para su an´alisis en el Laboratorio.
  • 31. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas II 5 En caso de encontrarse encendido el o los equipos y/o dispositivos sujetos a estudio se debe: 1 Identificar la hora del sistema y en su caso, el desfasamiento con el horario oficial. 2 Identificar las caracter´ısticas del sistema (RAM, discos duros, versi´on, etc.) 3 Obtener informaci´on vol´atil (primera muestra). 4 Identificar y fijar escritorio, documentos recientes y aplicaciones. 5 Identificar y fijar procesos. 6 Identificar y fijar informaci´on de conexiones a Internet. 7 Previsualizaci´on de las unidades de almacenamiento. 8 Obtener informaci´on vol´atil (segunda muestra). 6 Si se trata de evidencia digital contenida en tel´efonos celulares:
  • 32. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas III 7 Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas 1 Aislamiento: En caso de no contar con dispositivos de aislamiento y manejo de tel´efonos celulares los cuales cumplen con la funci´on de evitar que el dispositivo sujeto a estudio reciba o env´ıe llamadas o informaci´on, se deber´a de buscar en la medida de lo posible un lugar aislado entre muros o s´otanos que eviten la recepci´on o env´ıo de se˜nales las cuales pueden provocar la alteraci´on de manera remota de la informaci´on contenida en el o los dispositivos sujetos a estudio. 2 Fijaci´on: En este punto se reconoce el dispositivo en cuanto a marca, modelo, n´umero de serie y caracter´ısticas particulares, as´ı como el estado f´ısico y los dispositivos de almacenamiento que lo componen (memorias). Cabe aclarar en este punto que el investigador deber´a de tomar las mayores precauciones para evitar toda manipulaci´on del dispositivo sometido a estudio sin el uso de guantes de l´atex.
  • 33. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas IV 8 En caso de ser necesario y con la autorizaci´on del Agente del Ministerio P´ublico o responsable del ´area, recolectar: • Dispositivos de comunicaci´on (tel´efonos celulares, agendas electr´onicas) • Dispositivos de almacenamiento (memorias USB, CD’s, Disquetes, memorias SIMS, entre otros). Dada la complejidad y diversidad de escenarios y variantes relacionadas a conductas delictivas relacionadas con TIC’s en el lugar de los hechos, entre los cuestionamientos b´asicos que el investigador debe de plantearse para la generaci´on de conjeturas sugerimos las siguientes: • Acceso no autorizado. • Fallos a consecuencia de virus maliciosos. • Correos electr´onicos.
  • 34. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas V • Intervenci´on de sistemas de comunicaci´on. • Negaci´on de servicios. • Fallos a consecuencia de errores humanos. • Sabotaje (interna o externa). • Identificaci´on de dispositivos electr´onicos.
  • 35. Embalaje de probables evidencias I Cuando el equipo de c´omputo se encuentra apagado y no es posible incautarlo se procede a realizar una imagen forense del disco duro: 1 Preparar medio destino. 2 Identificar tecla de acceso al BIOS.
  • 36. Embalaje de probables evidencias II 3 Accesar al BIOS. 4 Identificar fecha del sistema. 5 Identificar desfasamiento entre el horario del sistema y el horario oficial. 6 Identificar orden de arranque del sistema. 7 Asegurase que el sistema arranque desde el medio forense (CAINE). 8 En caso de ser necesario previsualizar las unidades de almacenamiento conectadas al equipo de c´omputo (discos duros, memorias) 9 Realizar imagen o im´agenes forenses.
  • 37. Cadena de custodia Definici´on Procedimiento controlado que se aplica a los indicios relacionados con el delito, desde su localizaci´on hasta su valoraci´on por los encargados de su an´alisis, normalmente peritos, y que tiene fin no viciar el manejo que de ellos se haga y as´ı evitar alteraciones, sustituciones, contaminaciones o destrucciones.
  • 38. Investigaci´on en ambiente controlado o trabajo de Laboratorio. • Seguir los procedimientos de recepci´on de indicios. • Ejecutar los procedimientos de investigaci´on. • Elaborar el dictamen pericial.
  • 39. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 40. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 41. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 42. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 43. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 44. Referencias bibliogr´aficas I ´Oscar. Lira Arteaga. Cibercriminalidad. Fundamentos de investigaci´on en M´exico..