1. INDICE
CÓMPUTO FORENSE................................................................................................................2
CONCEPTO.-............................................................................................................................2
ORIGENES.- .............................................................................................................................2
PRIMEROS PROGRAMAS:................................................................................................3
EVIDENCIA DIGITAL.-................................................................................................................3
CONCEPTO.-............................................................................................................................3
CATEGORIAS.- ........................................................................................................................3
CARACTERISTICAS.-.............................................................................................................4
PROCESO DE ANÁLISIS FORENSE ......................................................................................4
IDENTIFICACION DEL INOCENTE.-....................................................................................6
PRESERVACION DE LA EVIDENCIA.- ...............................................................................7
ANÁLISIS DE LA EVIDENCIA.- .............................................................................................7
DOCUMENTACIÓN DEL INCIDENTE.- ...............................................................................7
DISPOSITIVOS A ANALIZAR DENTRO DEL CÓMPUTO FORENSE ...............................8
LA INFRAESTRUCTURA INFORMÁTICA A ANALIZAR PUEDE SER TODA
AQUELLA QUE TENGA UNA MEMORIA (INFORMÁTICA), POR LO QUE SE
INCLUYEN EN TAL PERICIA LOS SIGUIENTES DISPOSITIVOS: ...............................8
CRIMINALÍSTICA DIGITAL ........................................................................................................8
CONCEPTO.-............................................................................................................................8
PERITO INFORMATICO.- ......................................................................................................9
CASOS RELACIONADOS........................................................................................................10
Andrés Velázquez...................................................................Error! Bookmark not defined.
2. CÓMPUTO FORENSE
CONCEPTO.-
También llamado informática forense, computación forense, análisis forense digital o
examinación forense digital.
Es la utilización de información, archivos y datos contenidos en elementos tecnológicos
para poder presentarlos en un procedimiento legal.
Estos elementos tecnológicos se refiere a computadoras, teléfonos celulares, asistentes
personales digitales o cualquier dispositivo con memoria que pueda convertirse en una
prueba ante un delito informático.
ORIGENES.-
A comienzo de los años 90, el FBI (Federal Bureau of Investigation) observó que las
pruebas o evidencias digitales tenían el potencial de convertirse en un elemento de
prueba tan poderoso para la lucha contra la delincuencia, como lo era el de la
identificación por ADN. Para ello, mantuvo reuniones en su ámbito, y a finales de los
años 90 se creó la IOCE (International Organization of Computer Evidence) con la
intención decompartir información sobre las prácticas de informática forense en todo el
mundo.
En marzo del año 1998, el G8 –a través del subgrupo de trabajo denominado The High
Tech Crime, conocido como el Grupo de Lyón– encargó a la IOCE el desarrollo de una
serie de principios aplicables a los procedimientos para actuaciones sobre pruebas
digitales, así como la armonización de métodos y procedimientos entre las naciones que
garantizasen la fiabilidad en el uso de las pruebas digitales recogidas por unestado para
ser utilizadas en tribunales de justicia de otro estado. La IOCE, trabajó en el desarrollo
de estos principios a lo largo de dos años.
La Scientific Working Group on Digital Evidence (SWGDE), principal portavoz de la IOCE
en Estados Unidos, y la Association of Chief Police Officers (ACPO) del Reino Unido,
propusieron una serie de puntos que luego englobaron los principios generales que se
presentaron en el año 4 2000 al Grupo de Lyón.
3. PRIMEROS PROGRAMAS:
IACIS (IACIS, del inglés international association of computer investigative specialists), o
Asociación Internacional de Especialistas de Investigación). 1988 en Oregon.
SCERS (SCERS, del inglés seized computer evidence recovery specialists), o
especialistas en recuperación de la evidencia informática incautada.
IOCE (IOCE, del inglés international organization on computer evidence), u organización
internacional de evidencia informática fue establecida. 1995.
EVIDENCIA DIGITAL.-
CONCEPTO.-
J. Cano
“Cualquier registro generado por o almacenado en un sistema computacional que puede
ser utilizado como evidencia en un proceso legal.”
Incluye, por ejemplo, la evidencia en computadores, videos, sonidos, teléfonos celulares,
máquinas de fax, etc. No debe olvidarse entonces, que los medios electrónicos en los
que se soporta la evidencia digital son la “vía requerida para presentar pruebas de los
hechos ocurridos en sistemas o dispositivos electrónicos”.
Es un tipo de evidencia física, menos tangible que otras formas de evidencia (DNA,
huellas digitales, componentes de computadores)
CATEGORIAS.-
Registros almacenados en el equipo de tecnología informática (por ejemplo, correos
electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.).
Registros generados por los equipos de tecnología informática (registros de auditoría,
registros de transacciones, registros de eventos, etc.).
Registros que parcialmente han sido generados y almacenados en los equipos de
tecnología informática. (hojas de cálculo financieras, consultas especializadas en bases
de datos vistas parciales de datos, etc.)
4. CARACTERISTICAS.-
Puede ser duplicada de manera exacta y copiada tal como si fuese el original.
Con herramientas adecuadas es relativamente fácil identificar si la evidencia ha
sido alterada, comparada con la original.
Aún si es borrada, es posible, en la mayoría de los casos, recuperar la información.
Cuando los criminales o sospechosos tratan de destruir la evidencia, existen
copias que permanecen en otros sitios del sistema.
PROCESO DE ANÁLISIS FORENSE
Es un área perteneciente al ámbito de la seguridad informática surgida a raíz del
incremento de los diferentes incidentes de seguridad. En el análisis forense se realiza un
análisis posterior de los incidentes de seguridad, mediante el cual se trata de reconstruir
como se ha penetrado o vulnerado en el sistema.
Adquisición de datos
La adquisición de datos es una de las actividades más críticas en el análisis forense.
Dicha criticidad es debida a que, si se realizase mal, todo el análisis e investigación
posterior no sería válido debido a que la información saldría con impurezas, es decir, la
información que creemos que es del origen no lo es realmente.
Una vez que se ha detectado un incidente de seguridad, uno de los primeros problemas
del analista en la recogida de datos se resume en decir si el equipo hay que apagarlo o
no.
Análisis e investigación
La fase de análisis e investigación de las evidencias digitales es un proceso que requiere
obviamente un gran conocimiento de los sistemas a estudiar. Las fuentes de recogida de
información en esta fase son varias:
• Registros de los sistemas analizados,
• Registro de los detectores de intrusión,
• Registro de los cortafuegos,
5. • Ficheros del sistema analizado.
En el caso de los ficheros del sistema analizado, hay que tener cuidado con las carpetas
personales de los usuarios. Dichas carpetas están ubicadas en el directorio /home en
sistemas GNU/Linux y en c:documents and settings en sistemas Windows con
tecnología NT (Windows 2000, XP, etc.).
Hay que tener en cuenta que no se consideran personales aquellas carpetas que han
sido creadas por defecto en la instalación del sistema operativo, por ejemplo, las cuentas
de administrador. De todas formas, siempre es recomendable asesorarse con un jurista
ante la realización de un análisis forense para prevenir posibles situaciones
desagradables (por ejemplo: ser nosotros los denunciados por incumplir la legislación).
Redacción del informe
La redacción del informe es una tarea ardua a la par que compleja, porque no sólo hay
que recoger todas las evidencias, indicios y pruebas recabados sino que, además, hay
que explicarlos de una manera clara y sencilla. Hay que tener en cuenta que muchas
veces dichos informes van a ser leídos por personas sin conocimientos técnicos y
obviamente tiene que ser igual de riguroso y debe ser entendido, con lo que habrá que
explicar minuciosamente cada punto.
Todo informe deberá tener perfectamente identificada la fecha de finalización de éste,
así como a las personas involucradas en su desarrollo. Aunque a continuación
explicaremos los dos tipos de informes que hemos mencionado anteriormente (informe
ejecutivo e informe técnico) en ciertas situaciones se pueden unificar en uno
dependiendo del caso y de la situación, aunque no es recomendable.
A) Informe ejecutivo
Los principales lectores de los informes ejecutivos son la alta dirección de las empresas,
organismos, etc.; es decir, personas que no tienen un perfil técnico. Por tanto, el lenguaje
del informe no debe ser muy técnico y, si se utiliza alguna jerga técnica, tiene que ser
explicada de una manera clara.
Este informe consta de los siguientes puntos:
7. PRESERVACION DE LA EVIDENCIA.-
Mecanismos utilizados para el correcto mantenimiento de evidencia. Importante para
acciones legales posteriores.
Es uno de los pasos clave dentro de la investigación. Como lo comentaba anteriormente,
es necesario mantener la integridad de la evidencia digital, y para ello usamos varios
mecanismos que van desde generar un “clon” de el disco, llamado “Imagen Forense”
para poder trabajar sobre él y no sobre la evidencia original. Pero aún así, hay una
pregunta clave: ¿cómo podemos asegurar que lo que se recolectó como evidencia digital
es exactamente igual a lo que se analiza y a lo que se entrega al finalizar el proceso?
Por medio de una función matemática, podemos generar algo muy parecido a una huella
digital de un disco duro. Si un bit (mínima expresión de almacenamiento en medios
magnéticos) es alterado, entonces la huella digital del disco duro cambiará.
ANÁLISIS DE LA EVIDENCIA.-
Refiere a los elementos involucrados en el análisis de la evidencia.
Una vez que se generó la imagen forense de los medios de almacenamiento se procede
a realizar la investigación, la cual puede llegar a ser tan cansado como el mismo caso.
He tenido casos donde se resuelven en una semana y algunas veces se realizan hasta
seis u ocho meses de trabajo en un solo caso.
DOCUMENTACIÓN DEL INCIDENTE.-
Es una de las partes más difíciles que uno se puede llegar a enfrentar como investigador,
y esto sucede porque al generar un reporte para poder explicar qué fue lo que pasó
dentro de la computadora, normalmente estos reportes llegan a personas que no
conocen de computadoras y es por ello que hay que realizarlo en un lenguaje coloquial,
sin hacer uso de tecnicismos.
1. Involucra técnicas y métodos específicos utilizados en la recolección de evidencia.
2. Para poder realizar con éxito su trabajo, el investigador nunca debe olvidar:
3. Ser imparcial. Solamente analizar y reportar lo encontrado.
4. Realizar una investigación formal sin conocimiento y experiencia.
8. 5. Mantener la cadena de custodia (proceso que verifica la integridad y manejo
adecuado de la evidencia).
6. Documentar toda actividad realizada.
7. El especialista debe conocer también sobre:
Desarrollo de los exploit (vulnerabilidades), esto le permite al informático forense saber
qué tipo de programas se pondrán de moda, para generar una base de estudio que le
permita observar patrones de comportamiento.
DISPOSITIVOS A ANALIZAR DENTRO DEL CÓMPUTO FORENSE
LA INFRAESTRUCTURA INFORMÁTICA A ANALIZAR PUEDE SER TODA AQUELLA
QUE TENGA UNA MEMORIA (INFORMÁTICA), POR LO QUE SE INCLUYEN EN TAL
PERICIA LOS SIGUIENTES DISPOSITIVOS:
La infraestructura informática que puede ser analizada puede ser toda aquella que tenga
una Memoria (informática), por lo que se pueden analizar los siguientes dispositivos:
1. Disco duro de una Computadora o Servidor
2. Documentación referida del caso.
3. Logs de seguridad.
4. Credenciales de autentificación
5. Trazo de paquetes de red.
6. Teléfono Móvil o Celular, parte de la telefonía celular,
7. Agendas Electrónicas (PDA)
8. Dispositivos de GPS.
9. Impresora
10.Memoria USB
11.Definiciones
CRIMINALÍSTICA DIGITAL
CONCEPTO.-
Se llama criminalística digital, debido a que los criminales informáticos o tecnológicos
responden a diferentes tipos de perfiles, de individuos o grupos que tienen un gusto en
común por las tecnologías y sus posibilidades.
9. Estos diseñan estrategias para lograr objetivos ilícitos.
PERITO INFORMATICO.-
Un Perito Judicial Informático es el profesional, que en su carácter de auxiliar de la
justicia, tiene la función de asesorar al juez respecto a temas informáticos. La función del
perito informático consiste en análizar elementos informáticos, en busca de aquellos
datos que puedan constituir una prueba o indicio útil para el litigio jurídico al que ha sido
asignado.
Andrés Velázquez
Ingeniero Cibernético con vocación de Abogado, inició haciendo investigaciones de
delitos informáticos por el mismo destino después de pasar un par de años en el área de
seguridad de la información en varias empresas. Como un buen workaholic trabaja en
buscar las pruebas digitales para encontrar a los responsables de un fraude, una
amenaza o cualquier otra situación donde esté involucrada la tecnología. En este
proceso, creó la idea del podcast Crimen Digital para promover la prevención de los
delitos informáticos en América Latina.
Las analogías para poder explicar lo que muchas veces no se entiende del uso de una
computadora, son sus herramientas más fuertes para poder explicar a qué se dedica y
presentarle pruebas a gente que no habla el lenguaje de los ingenieros. Es un
apasionado de criticar las fallas de cadena de custodia de los programas como CSI,
viajero frecuente de más de una aerolínea, amante de los simuladores de vuelo, jugador
de Xbox, músico frustrado e internet-dependiente.
Su mamá piensa que es un “policía de internet”
10. CASOS RELACIONADOS
Integrantes de la Unidad Especial de Policia Cibernetica de la Secretaria de
Seguridad Publica Federal (SSPF), en coordinacion con autoridades
estadounidenses desarticularon una red de prostitucion infantil que operaba en
America y Europa
Los integrantes de la SSPF y representantes de Servicios de Aduanas y Postal de
Estados Unidos, lograron desarticular esta organizacion que operaba en EU y Mexico,
ademas de tener nexos en paises europeos como Alemania, Inglaterra y Holanda.
La dependencia mexicana informo en un comunicado que gracias a las investigaciones
que iniciaron en Estados Unidos hace cinco años se iniciaron pesquisas en nuestro pais
hace tres años, lo que permitio la captura del estadunidense Joseph Timothy Julian, jefe
de la red de pedofilos que abuso sexualmente de dos menores mexicanos.
El Gran Jurado de Indiana, aseguro la SSPF, se encuentra por condenar a 25 años de
prisión a Timothy Julian por los delitos de explotacion sexual infantil, mientras que
continuan las investigaciones para detectar a los complices de esa organizacion en el
puerto de Acapulco, Guerrero.
La Unidad Especial de Policia Cibernetica de la SSPF conocio que la organizacion
delictiva opero en Acapulco y a traves de Internet promovio el turismo sexual con
menores de edad mexicanos a quienes reclutaban mediante engaños.
En este caso, en Mexico, operaba Robert Decker, tambien conocido como Roberto
Campos Lopez, quien era financiado por Timothy Julian, en lo que se conocio como la
casa de asistencia "La Esperanza", misma a la que asistian personas que se
denominaban "Los Amantes de Niños".
En los anuncios promovidos via internet se podia leer: "Ven y disfruta Acapulco, donde
el Sol, la Playa y dulces abejitas endulzaran tu estancia", aludiendo al comercio sexual
de menores de edad.
Por estos hechos, la Unidad Cibernetica de la SPPF presentara ante las autoridades de
Estados Unidos a los dos menores de edad que fueron abusados sexualmente por esta
11. organizacion criminal, en el juicio que se sigue en contra de Timothy Julian, quien fue
encontrado culpable por el Gran Jurado de Indiana y espera una sentencia de 25 años
de carcel.
Fuente: El Universal On Line
México
24/02/2003
Otro caso:
El caso de Joe Jacob’s (Manzo, 2008), que fue juzgado en NY por Distribución de drogas
en diferentes escuelas, el juez que llevó su caso necesitaba evidencia para condenar a
esta persona por tráfico de droga, así como saber quién era su proveedor. Se obtuvo
como evidencia un diskette, en éste contenía información oculta, por este motivo se
empleó la informática forense, el objetivo era encontrar información del nombre del
proveedor de marihuana de Joe Jacob’s, su dirección y saber si la escuela secundaria
de Smith Hill que Joe Jacob’s frecuentaba era la única en la que distribuía drogas.
Haciendo uso de las herramientas de la informática forense, con el análisis forense se
encontró en el diskette un archivo que fue eliminado, se restauró y así se dió con el
nombre del proveedor de drogas de Joe Jacob’s, llamado Jimmy Jungle, su dirección y
el nombre de las escuelas y los días en que distribuía la droga.
Fuente:
http://ri.uaemex.mx/bitstream/handle/20.500.11799/14288/404004.pdf?sequence=1