Tesis Informatica Forense.desbloqueado

8/17/2019 Tesis Informatica Forense.desbloqueado

1/159

Informática Forense

1

UNIVERSIDAD POLITÉCNICA SALESIANA

SEDE CUENCA

FACULTAD DE INGENIERÍAS CARRERA

DE INGENIERÍA DE SISTEMAS

Trabajo de Grado previo a la ob e!"i#! delT$ %lo de I!&e!iero de Si' e(a'

)METODOLOGÍAS* ESTRATEGIAS + ,ERRAMIENTAS DE LAINFORM-TICA FORENSE APLICA.LES PARA LA DIRECCI/NNACIONAL DE COMUNICACI/N + CRIMINALÍSTICA DE LA

POLICÍA NACIONAL0

A% ore'1 Mar$a Da!iela -lvare2 Galar2a

Ver#!i"a Ale3a!dra G%a(4! Reib4!

Dire" or1 I!&5 Vladi(ir Roble'

C%e!"a* Febrero 6778


2/159

DECLARACI/N

Nosotras, María Daniela Álvarez Galarza y Verónica Alexan ra G!amán "ei#án,

eclaramos #a$o $!ramento %!e el tra#a$o a%!í escrito es e n!estra a!toría& %!e no'a si o (reviamente (resenta o (ara nin)*n )ra o o calificación (rofesional& y, %!e'emos cons!lta o las referencias #i#lio)ráficas %!e incl!yen en este oc!mento+

A trav s e la (resente eclaración ce emos n!estros erec'os e (ro(ie aintelect!al corres(on ientes a este tra#a$o, a la -niversi a .olit cnica /alesiana,

se)*n lo esta#leci o (or la 0ey e .ro(ie a Intelect!al, (or s! "e)lamento y (or lanormativi a vi)ente+

Fir(a1

Da!iela -lvare2 G5 Ver#!i"a G%a(4! R5


3/159

CERTIFICACI/N

ertifico %!e el (resente tra#a$o f!e esarrolla o (or María Daniela Álvarez Galarzay Verónica Alexan ra G!amán "ei#án, #a$o mi s!(ervisión+

Fir(a1

I!&5 Vladi(ir Roble'

Dire" or de Te'i!a


4/159

DEDICATORIA

A mi familia (or el a(oyo y amor (ermanente %!e me ofrecen ca a instante, a misami)as, ami)os y com(a2eros (or el a(oyo %!e e !na ! otra manera me 'an #rin a o+ 3 e manera es(ecial a !na (ersona %!ien sin verlo más, 'a c!ltiva o enmi vi a y en la vi a e mi familia el enten er %!e ca a ía tenemos !na n!evao(ort!ni a +

Daniela


5/159

DEDICATORIA

A lo lar)o e n!estra vi a vamos 'acien o cosas %!e %!izás !nas son más sencillas%!e otras, (ero ca a !na e ellas nos e$a !na ense2anza y f!era e ser !na tarea %!ec!m(lir son o(ort!ni a es (ara a(ren er y esc!#rir en los etalles lo %!e te ay! ano sólo a la realización (rofesional sino a !na realización (ersonal+

A Dios, por permitir que las cosas se den.

A mis Padres, por su apoyo y enseñanzas

A los amigos y compañeros, por los momentos compartidos

Verónica


6/159

AGRADECIMIENTO

A los (rofesores (or las ense2anzas com(arti as, %!e nos 'an ay! a o aesenvolvernos en el esarrollo el tra#a$o e )ra o, %!e a!n%!e a veces creíamos

%!e ciertas cosas no nos servirían, 'oy (o emos ecir %!e to o c!anto se a(ren e en

!na a!la res!lta m!y acerta o en el momento %!e nos toca act!ar+

A la .olicía Nacional el 4c!a or y e manera es(ecial al 5eniente .a#lo In)a (or s!a(ert!ra, cola#oración e inter s (resta o (ara %!e se esarrolle e la me$or manera eltra#a$o+

Al In)+ Vla imir "o#les, (or ser !n t!tor con (aciencia y (or sa#er orientarnos+

3 so#re to o )racias a Dios (or ser n!estra )!ía, a n!estros (a res (or s! (reoc!(ación y a(oyo+


7/159

INDICE DE CONTENIDOS

CAPÍTULO 9

CONCEPTOS GENERALES SO.RE LA INFORM-TICA FORENSE

1+1 Intro !cción66666666666666666666++ .á)+ 7

1+7 Informática Forense+66666666666666666++ .á)+ 8

1+7+1 Definición6+++666666666666666+++++++++1+7+7 9#$etivo e la Informática Forense666666666+

.á)+ 8

.á)+ 8

1+7 om(!tación Anti:Forense66666666666666+++ .á)+ ;

1+; Delitos Informáticos66666666666666666++ .á)+ <

1+= "e)las e la Informática Forense666666666666++ .á)+>

1+? As(ectos 0e)ales666666666666666666+++ .á)+18

1+?+1 0ey e omercio 4lectrónico, Firmas 4lectrónicas y

Mensa$es e Datos 6++6666666666666666+ .á)+18

1+?+7 0ey e .ro(ie a Intelect!al66666666666+ .á)+1;

CAPÍTULO 6

AN-LISIS + DIAGN/STICO DE LA INSTITUCI/N

7+1 Antece entes66666666666666666666++ .á)+1?

7+7 .roceso Inter e(artamental666666666666666+ .á)+1<

7+8 @erramientas Informáticas orienta as a la investi)ación e elitos

vi)entes en la act!ali a en la .olicía Nacional6666+++++++++++++ .á)+1>


8/159

CAPÍTULO :

FASES DE LA INFORM-TICA FORENSE

8+1 I entificación e 4vi encia Di)ital66666666666++ .á)+7=

8+1+1 Desc!#rimiento e las se2ales el ata%!e6666 .á)+8

8+1+7 "ecolección e evi encias666666666++ .á)+87

8+1+7+1 !i a os en la "ecolección e 4vi encias666+ .á)+88

8+1+7+7 Inicio e la "ecolección66666666666.á)+8;

8+7 .reservación e la 4vi encia Di)ital66666666666+++ .á)+8=

8+8 Análisis e la 4vi encia Di)ital666666666666+++ .á)+8<

8+8+1 .re(aración (ara el análisisB4ntorno e tra#a$o6666666666666 .á)+8C

8+8+7 "econstr!cción e la sec!encia tem(oralel ata%!e6666666666666666++.á)+8>

8+8+8 Determinación e cómo se realizó el

ata%!e6666666666666+66666.á)+;

8+8+; I entificación el a!tor o a!toresel inci ente66666666+ 66666+6++ .á)+;1

8+8+= 4val!ación el im(acto ca!sa oal sistema666666666666666++6+ .á)+;8

8+; .resentación e 4vi encia Di)ital666666666666 .á)+;;

8+;+1 -tilización e form!larios e re)istroel inci ente666666666666666666+.á)+;;

8+;+7 Informe t cnico66666666666666666+.á)+;=

8+;+8 Informe 4$ec!tivo6666666666666666+.á)+;?


9/159

CAPÍTULO ;

METODOLOGÍAS + ESTRATEGIAS EN .ASE A LA INFORM-TICA

FORENSE;+1 Análisis e /o(ortes y Dis(ositivos 4lectrónicos666666+ .á)+;<

;+7 Análisis e la com!nicación e atos66666666666 .á)+;C

;+8 Meto olo)ías y 4strate)ias666666666666666 .á)+;>

;+8+1 /ec!estros e 4%!i(os666666666666 .á)+=8

; +8+7 Discos D!ros6666666666666666 .á)+==;+8+8 /istemas 9(erativos6666666666666 .á)+=<

;+8+8+1 File slac 66666666666666++ .á)+=C

;+8+8+7 Arc'ivo /Ea(66666666666+++++++ .á)+=C

;+8+8+8 -nallocate File /(ace666666666 .á)+=>

;+8+; ases e Datos66666666666666 .á)+?1

;+8+= 5el fonos móviles y tar$etas666666666 .á)+?7

;+8+? Análisis e sistemas vivos++666666666 .á)+?;

;+; G!ía Informática Forense A(lica a (ara la .olicía Nacional +66 .á)+


10/159

=+7+1 5ool it (ara el De(artamento e Delitos Informáticos e

la .olicía Nacional ++6666666666666+ .á)+>=

=+7+7 4ntornos e tra#a$o so#re com(!tación virt!al (ara la

.olicía Nacional 666666666666666 .á)+>C

=+8 .erfil y ca(acitación (ara los miem#ros e la .olicía Nacional en

el área e Informática Forense 666666666666+ .á)+1

=+8+1 .erfil e !n Informático Forense6666666++++++ .á)+1

=+8+7 a(acitación c!rsos y certificaciones666666 .á)+1 7

oncl!siones 666666666666666666666+ .á)+1 <

"ecomen aciones 66666666666666666666 .á)+1 C

i#lio)rafía 66666666666666666666666 .á)+11

Glosario

A( n icesA( n ice A 66666666666666666666666 .á)+117

A( n ice A1 6666666666666666666666 .á)+118

A( n ice A7 6666666666666666666666 .á)+11;

A( n ice 66666666666666666666666+ .á)+17=

A( n ice 666666666666666666666666 .á)+18

FIGURAS1

Fi)!ra 1+1

Fi)!ra 7+1

lasificación e la om(!tación Anti:Forense 6666

9r)ani)rama el De(artamento e Investi)ación

e Delitos Informáticos .ro(!estaH 6666666++

.á)+ =

.á)+1C

Fi)!ra 7+7 /istema e I entificación Deca actilar a!tomatiza o 6+ .á)+71


11/159

Fi)!ra 8+1

Fi)!ra ;+1

Fi)!ra ;+1

Meto olo)ía el Análisis Forense 666666666

o(ia e Disco D!ro 6666++666666666+

Fra)mento e !n Arc'ivo e "e)istro+++666666++

.á)+78

.á)+=?

.á)+?

TA.LAS

5a#la 1+1 Nivel e /e)!ri a e M to os Anti:Forenses6666++ .á)+ ?

5a#la 1+7 /anciones (ara los elitos informáticos en el 4c!a or6+ .á)+1=

5a#la 8+1 I entificación e la 4vi encia IH 66666666 .á)+7>

5a#la 8+7 I entificación e la 4vi encia IIH 66666666 .á)+85a#la ;+1 Arc'ivos e "e)istro en -nix 0in!x 6666666++ .á)+=>


12/159

Me odolo&$a'*

E' ra e&ia' >,erra(ie! a'

de laI!?or(4 i"a

Fore!'eapli"able' para

la Dire""i#! Na"io!al de Co(%!i"a"i#! >Cri(i!al$' i"a de la Poli"$a Na"io!al5


13/159

CAPITULO I

CONCEPTOS GENERALES SO.RE LA INFORMATICA FORENSE

959 I! rod%""i#!

Act!almente !n me io más (ara cometer infracciones y el! ir a las a!tori a es es latecnolo)ía+ 4sto 'a crea o la necesi a e %!e la .olicía Nacional e#aes(ecializarse y ca(acitarse en n!evas áreas en on e las tecnolo)ías e lainformación y e la com!nicación res(on an a favor e la J!sticia+

4n (aíses como 4sta os -ni os, Alemania, In)laterra, olom#ia, Ar)entina, etc+, seestá !tilizan o la Informática Forense con el fin e o#tener (r!e#as y lo)rar

esc!#rir a los a!tores e ic'as infracciones+ De#i o a la )lo#alización e la/ocie a e la Información, la informática Forense está a %!irien o !na )ranim(ortancia+

4l inter s e la .olicía Nacional el 4c!a or es esta#lecer la Informática forense (ara encontrar evi encias e los elitos informáticos, crímenes tra icionales y eesta forma (o rían ser !tiliza as en c!al%!ier (roceso $! icial como (r!e#a elilícito+ /e consi era formalizar las t cnicas y los (roce imientos (ara arle valor (ro#atorio a esas evi encias i)itales+

4n !n crimen m!c'as veces las com(!ta oras (ortátiles, e escritorio, me ios físicose almacenamiento como DKs, DVDKs, memorias, tel fonos cel!lares, is(ositivose almacenamiento masivo, etc+, son evi encias (or lo tanto se re%!iere e


14/159

mecanismos (ara rec!(erar, inter(retar y !sarlas (ara %!e (!e an servir como (r!e#as+

0a finali a e este oc!mento es analizar meto olo)ías, t cnicas y (ro(oner 'erramientas a la .olicía Nacional (ara %!e orienten y ay! en a mane$ar !na escena

el elito en on e se vean invol!cra os sistemas e información o re es y la (osterior rec!(eración e las evi encias i)itales+1

956 I!?or(4 i"a Fore!'e

95659 De?i!i"i#!

4s la ciencia forense %!e se encar)a e la (reservación, i entificación, extracción,inter(retación y (resentación e la información o atos %!e 'an si o (rocesa oselectrónicamente y )!ar a os en !na com(!ta ora o sistema informático, %!e servirácomo evi encia i)ital+

0a ciencia forense es sistemática y se #asa en 'ec'os (reme ita os (ara reca#ar (r!e#as %!e l!e)o serán analiza as+

95656 Obje ivo de la I!?or(4 i"a Fore!'e

"eco#rar los re)istros y mensa$es e atos existentes entro e !n e%!i(oinformático, y si es necesario reconstr!ir los mismos con la finali a e o#tener información i)ital %!e (!e a servir como (r!e#a en !n (roceso $! icial+

1 0L.4 D40GAD9 Mi)!el, Análisis Forense Di)ital, J!nio el 7


15/159

1=

95: Co(p% a"i#! A! i Fore!'e

Na ie (!e e ise2ar !n sistema, %!e al)!ien más no (!e a com(rometer ov!lnerarO+ 4sta frase nos a vierte %!e las me$oras y acciones %!e se a elanten en las'erramientas forenses siem(re estarán ex(!estas a n!evos esafíos y (r!e#as (or lallama a informática Anti:Forense+ 0a c!al nos (ermitirá n!evos esarrollos yestrate)ias (ara enfrentar la inse)!ri a e la información y los exi)entes re%!isitosle)ales, alre e or e la evi encia i)ital, %!e se eman an al (artici(ar en !n (roceso $! icial+

0a com(!tación anti forense es !n con$!nto e m to os e levantamiento eevi encias con el o#$etivo e e#ilitar los res!lta os e la com(!tación forense,!tilizan o ciertas 'erramientas con las c!ales se o#tiene información confia#le (aracrear insolvencias en la evi encia y el (roceso forense+

Afectan los Datos estr!cción, oc!ltamiento, mani(!lación, fa#ricaciónH,

'erramientas e#ili a es, fallas en los res!lta osH, análisis inconsistenciasH+7

Cara" er$' i"a'

• Interr!m(e el (roceso e recolección e evi encias•

Incrementa los tiem(os necesarios e e icación a !n caso• Genera ! as so#re !n (roceso forense o testimonio• Afecta la e$ec!ción y !tilización e las 'erramientas forenses• 4vita la etección e al)!na clase e evento oc!rri o

0a informática forense (osee as(ectos (ositivos y ne)ativos tales comoB

7 D40GAD9 405"ÁN arlos Análisis Anti:Forense O, 4nero 7 C + I em 8


16/159

Po'i ivo'

• "e(lantean y vali anB (rocesos forenses, 'erramientas forenses y 'a#ili a es+

Ne&a ivo'

• .!e en exonerar a !n c!l(a#le+• .!e en inc!l(ar a !n inocente+• Afectar al (roceso forense+

Cla'i?i"a"i#!

1 l a s i f i c a c i ó n

De s t r ! i r 9 c ! l t ar 4 l i m i n ar la F! e n t e Fa ls i f i c ar

Fi)!ra 1+1 lasificación e la om(!taciónAnti:Forense

A contin!ación se etalla las características y al)oritmos %!e se em(lean en laclasificación e la com(!tación anti:forenseB

• .revenir %!e la evi encia sea encontra a, y en caso e ello, re !cir s!

!tili a +• Desmantelar o in!tilizar la evi encia entro e !n (roceso forense+• No #!sca 'acer la evi encia inaccesi#le, #!sca %!e esta sea irrec!(era#le+• Nivel físico y ló)ico+

FísicaB a trav s e cam(os ma)n ticos De))a!serH, G!ar ian Do) is(ositivoma)n ticoH+

0ó)icaB cam#io e la com(osición e los atos, so#rescri#ir atos Meta a, DataH, amás e eliminar las referencias e los atos+


17/159

1<

Pi(e 0i#erarHB so#rescri#ir los atos me iante la !tilización e al)oritmos, acontin!ación se listan los m to os !tiliza os (ara esto al)oritmos y s! nivel ese)!ri a B

M to o Nivel e /e)!ri aorra o rá(i o a$o

" M. 5//I5 9./:II Me io

DoD /im(le Me ioDoD =77 :77 M Me io

G!tman Alto

."NG /tream Me io:Alto

5a#la 1+1 Nivel e /e)!ri a e M to osAnti:Forenses

4l nivel e com(le$i a al !sar estas 'erramientas es sencillo, y la rec!(eración eestos atos es casi im(osi#le, !na e las (osi#les sol!ciones ante este ti(o e cienciaAnti Q Forense es Análisis Ma)n tico+

M@ odo' a! i ?ore!'e'

E!"rip a"i#!, es !no e los m to os más !sa os (ara e#ilitar la com(!taciónforense+

/e (!e e ivi ir en tres ti(os la encri(taciónB

/im tricaB se realiza (or me io e !na contrase2a %!e se intro !ce al momento eencri(tar el arc'ivo ne)an o e esta manera el acceso+ /! esventa$a es %!e si existeal)!na necesi a e#emos enviar la información encri(ta a a otra (ersona, le

e#eríamos enviar la clave e la encri(tación+

Asim tricaB se !tiliza !na com#inación e llaves (*#licas y (riva as y e !n.ress'are Rey !tiliza o (ara comenzar el (roceso e encri(tación+


18/159

1C

4steno)rafíaB 0!e)o e la encri(ción e atos, los mismos se almacenan #a$o laa(ariencia e otros arc'ivos+ 4stos arc'ivos contienen los atos oc!ltos y se los

enominan arc'ivos (orta ores+

.orrado Se&%ro1 om*nmente !sa a (ara eliminar atos almacena os enis(ositivos ma)n ticos+ /e realizan me iante a(licaciones comoB Pi(er, 4rase,

.G., Pin@ex, etc+

E'"o!der (e!'aje'1 el arte e escon er mensa$es, es e tal forma %!e las (ersonasno (!e en (erci#ir %!e eso s!ce e, (or e$em(lo la t cnica más !sa a es en imá)enesy arc'ivos e a! io, me iante la a ición e #its insi)nificativos, esta t cnica es (osi#le e#i o a la inca(aci a %!e tienen los seres '!manos e (erci#ir variaciones

e soni o y cali a e ima)en+

4s im(ortante tener en consi eración, %!e las t cnicas Anti:Forenses (!e en ser em!c'a !tili a (ara me$orar el (roceso forense, e#i o a %!e (ermiten enfrentar y

esc!#rir las v!lnera#ili a es a las %!e la informática forense está ex(!esta, ycontrolar la estr!cción e las evi encias y así evitar la c!l(a#ili a e !n criminal oen el (eor e los casos incriminar a !n inocente+

95; Deli o' I!? or(4 i"o'

0os elitos informáticos, son a%!ellos actos elictivos %!e en s! realización 'acen!so e las tecnolo)ías electrónicas ya sea como m to o, me io o fin y los elitos en%!e se a2a estos e%!i(os, re es informáticas, o la información conteni a en ellos,v!lneran o #ienes $!rí icos (rote)i os+8

8 @-I0 A.I .4SAFI40 Art!ro 9sEal o, 45ID 9(c+ it


19/159

0os ti(os e Delitos sonB

Mani(!lación e com(!ta orasB

• Mani(!lación e atos e entra a• Mani(!lación e (ro)ramas• Mani(!lación e los atos e sali a• Da2os o mo ificaciones e (ro)ramas o atos com(!tariza os

Falsificaciones informáticasB

• !an o se alteran atos e los oc!mentos almacena os en formacom(!tariza a+

• !an o se !san las com(!ta oras (ara efect!ar falsificaciones eoc!mentos e !so comercial+

Fra! es en InternetB

•

ar in)B !so e tar$etas e cr ito a$enas o fra! !lentas• Ventas e (ro !ctos %!e n!nca lle)an a entre)arse• 4stafas, s!#astas ficticias• .'isin)B re irección me iante correo electrónico a falsas (á)inas

sim!la as tr!ca as+

/e)!ri a 0ó)icaB

• /a#ota$e informático me ianteB vir!s, )!sanos, ata%!es e ene)ación e

servicio, s!stracción e atos, 'ac in), esc!#rimiento y revelación esecretos, s!(lantación e (ersonali a es, s!stracción e c!entas e correoelectrónico+

• Delitos e in$!rias, cal!mnias y amenazas a trav s el e:mail, neEs, foros,c'ats o /M/+


20/159

.ro(ie a Intelect!alB

• .iratería e (ro)ramas e or ena or, e m*sica y e (ro !ctos

cinemato)ráficos• "o#os e có i)o+

Accesos no a!toriza osB

• Acceso no a!toriza o a servicios y sistemas informáticos+• .iratas informáticos o 'ac ers+•

"e(ro !cción no a!toriza a e (ro)ramas informáticos e (rotecciónle)al+

9tros elitosB

• A trav s e Internet se (!e en com(rar ro)as ilícitas, armas, (ro !ctosfarmac !ticos no re)!la os, oc!mentos falsos+

• .orno)rafía infantil (ro !cción, istri#!ción y (osesiónH

95< Re&la' de la I!? or(4 i"a Fore!'e

A contin!ación se (resentan re)las )enerales (ara a(licar a c!al%!ier (roceso en la

informática forense, s! c!m(limiento es f!n amental (ara ase)!rar la ace(tación,rece(ción e c!al%!ier evi encia en !n $!z)a o+ Da o %!e la meto olo)ía %!e seem(lee será etermina a (or el es(ecialista forense, el (roceso esco)i o e#ea(licarse e forma %!e no se v!lneren las re)las #ásicas e la informática forense+;

4sencialmente, las re)las e la informática forense sonB

; A/43, 4+ Di)ital 4vi ence an om(!ter rime+ Aca emic .ress, 7 + 9(+ it+


21/159

Re&la 91 Mi!i(i2ar el Ma!ejo del Ori&i!al

0a a(licación el (roceso e la informática forense !rante el examen e los atos

ori)inales se e#erá re !cir al mínimo (osi#le+ 4sto se (!e e consi erarse como lare)la más im(ortante en la informática forense+ !al%!ier análisis e#e iri)irse emanera tal %!e minimice la (ro#a#ili a e alteración, esto se lo)ra co(ian o elori)inal y examinan o l!e)o los atos !(lica os+

0a !(licación e evi encia tiene varias venta$asB

• Ase)!rar %!e el ori)inal no será altera o en caso e !n !so incorrecto o

ina(ro(ia o el (roceso %!e se a(li%!e+• .ermitir al examina or a(licar iferentes t cnicas en casos ón e el me$or

res!lta o no está claro+ /i !rante tales ensayos los atos se alteran o seestr!yen, sim(lemente se rec!rre a otra co(ia+

• .ermite a varios es(ecialistas e informática forense tra#a$ar en los mismosatos, o en (artes e los atos, al mismo tiem(o+

• Ase)!rar %!e el ori)inal se 'a (reserva o en el me$or esta o (osi#le (ara la

(resentación en !n $!z)a o+

A!n%!e 'ay venta$as al !(licar la evi encia, 'ay tam#i n esventa$as+

• 0a !(licación e evi encia e#e realizarse e la me$or manera y con

'erramientas, %!e ase)!ren %!e el !(lica o es !na co(ia (erfecta el

ori)inal+ 4l fracaso (ara a!tenticar el !(lica o a(ro(ia amente, (ro !cirá!n c!estionamiento so#re s! inte)ri a , lo %!e lleva inevita#lemente a (re)!ntar (or la exactit! y fia#ili a el (roceso el examen y losres!lta os lo)ra os+

• D!(lican o el ori)inal, se está a)re)an o !n (aso a icional en el (roceso

forense, a mas e %!e la recreación e este am#iente se torna !na tanto ifícil,


22/159

77

esto im(lica %!e se re%!ieren más rec!rsos y tiem(o extra (ara facilitar el (roceso e !(licación, y la meto olo)ía em(lea a e#e exten erse (araincl!ir el (roceso e la !(licación+

Re&la 61 Do"%(e! ar lo' "a(bio'

!an o oc!rren cam#ios ya sea en la evi encia ori)inal o !(lica os !rante !nexamen forense, la nat!raleza, ma)nit! y razón (ara ellos e#e oc!mentarsea(ro(ia amente, esto se a(lica tanto a nivel físico como ló)ico+ A icionalmente, el

(erito e#e ser ca(az e i entificar correctamente la ma)nit! e c!al%!ier cam#io yar !na ex(licación etalla a e (or %! era necesario el mismo, este (rocesoe(en e irectamente e las 'a#ili a es y conocimiento el investi)a or forense+

D!rante el examen forense este (!nto (!e e (arecer insi)nificante, (ero se v!elve !n (ro#lema crítico c!an o el examina or está (resentan o s!s res!lta os en !n $!icio+

A!n%!e la evi encia (!e e ser le)ítima, las (re)!ntas acerca e las 'a#ili a es elexamina or y conocimiento (!e en afectar s! cre i#ili a , así como la confia#ili a

el (roceso em(lea o+ on !na ! a razona#le, los res!lta os el (roceso forense,en el (eor e los casos, se consi eraran inace(ta#les+ A!n%!e la necesi a e alterar los atos oc!rre (ocas veces, 'ay casos ón e al examina or se le exi)e el cam#io (ara facilitar el (roceso el examen forense+

Re&la :1 C%(plir "o! la' Re&la' de Evide!"ia

.ara la a(licación o el esarrollo e 'erramientas y t cnicas forenses se e#en tener en c!enta las normas (ertinentes e evi encia+

• Ase)!rar %!e el !so e 'erramientas y t cnicas no ismin!ye la a misi#ili a

el (ro !cto final+


23/159

• .resentar la información e !na manera %!e sea tan re(resentativa elori)inal como sea (osi#le+ 4s ecir, el m to o e (resentación no e#e alterar el si)nifica o e la evi encia+

Re&la ;1 No e3"eda '% "o!o"i(ie! o

4l es(ecialista en informática forense no e#e em(ren er !n examen más allá e s!nivel e conocimiento y 'a#ili a + 4s esencial %!e el (erito sea consciente el límite

e s! conocimiento y 'a#ili a + 0le)a o este (!nto, is(one e las si)!ientes

o(cionesB

• Detener c!al%!ier examen y #!scar la ay! a e (ersonal más ex(erimenta o+• "ealizar la investi)ación necesaria (ara me$orar s! (ro(io conocimiento, (ara

%!e le (ermita contin!ar el examen y se alcance a o#tener lo %!e se #!sca+

4s in is(ensa#le %!e el examina or forense (!e e escri#ir correctamente los (rocesos em(lea os !rante !n examen y ex(licar e la me$or manera lameto olo)ía se)!i a (ara ese (roceso+ 4l fracaso (ara ex(licar com(etentemente ycon (recisión, la a(licación e !n (roceso (!e e (ro !cir c!estionamientos so#re elconocimiento y cre i#ili a el examina or+

0os análisis com(le$os e#en ser em(ren i os (or (ersonal califica o yex(erimenta o %!e (osea !n a(ro(ia o nivel e entrenamiento+ A icionalmente,

a o %!e la tecnolo)ía está avanzan o contin!amente, es im(ortante %!e elexamina or reci#a entrenamiento contin!o+


24/159

7;

95B A'pe" o' Le&ale'

95B59 Le> de Co(er"io Ele" r#!i"o* Fir(a' Ele" r#!i"a' > Me!'aje' de Da o'Le> N 6776 B

4n a#ril el 7 7 se a(ro#ó el texto efinitivo e la 0ey e omercio 4lectrónico,Mensa$es e Datos y Firmas 4lectrónicas, y en consec!encia las reformas al ó i)o.enal %!e 'acen referencia a los elitos informáticos+

De ac!er o a la onstit!ción .olítica e la "e(*#lica el 4c!a or, en s! 5ít!lo T,a(ít!lo 8ro+, al 'a#lar el Ministerio .*#lico, en s! Art+ 71> inciso (rimero se2ala

%!e el Ministerio .*#lico (reven rá en el conocimiento e las ca!sas, iri)irá y (romoverá la investi)ación (re:(rocesal y (rocesal (enal+ 4sto es en concor anciacon el Art+ 88 el ó i)o e .rocesamiento .enal %!e se2ala %!eB el e$ercicio e laacción (*#lica corres(on e excl!sivamente al fiscalO+ 4s (or tanto el Fiscal %!ien

e#erá llevar la voz en la investi)ación e esta clase e infracciones e ti(oinformático (ara lo c!al contara como se2ala el Art+ 7 C el ó i)o e.roce imiento .enal con s! ór)ano a!xiliar la .olicía J! icial %!ien realizará lainvesti)ación e los elitos e acción (*#lica y e instancia (artic!lar #a$o la

irección y control Ministerio .*#lico, en tal virt! c!al%!ier res!lta o e ic'asinvesti)aciones se incor(oran en s! tiem(o ya sea a la Instr!cción Fiscal o a laIn a)ación .revia, esto como (arte e los elementos e convicción %!e ay! arán (osteriormente al re(resentante el Ministerio .*#lico a emitir s! ictamencorres(on iente+=

0a 0ey e omercio 4lectrónico, Mensa$es e Datos y Firmas 4lectrónicas re)!lalos mensa$es e atos, la firma electrónica, los servicios e certificación, lacontratación electrónica y telemática, la (restación e servicios electrónicos, a trav s

e re es e información, incl!i o el comercio electrónico y la (rotección a los!s!arios e estos sistemas+ 5am#i n contem(la !n a(ít!lo con cinco artíc!los conreferencia al me io e (r!e#a, %!e los mensa$es e atos, firmas electrónicas,

oc!mentos electrónicos y los certifica os electrónicos nacionales o extran$eros,

= Dr+ A -"I9 D40 .IN9 /antia)o, Intro !cción a la Informática ForenseDr+ 4"NA0 Geovanny , Informática J!rí ica, 4nero 7 C+


25/159

emiti os e conformi a con esta 0ey, c!al%!iera sea s! (roce encia o )eneración,serán consi era os me ios e (r!e#a, con !na valoración #a$o los (rinci(ios

etermina os en la 0ey y toman o en c!enta la se)!ri a y fia#ili a e los me ios

con los c!ales se la envió, reci#ió, verificó, almacenó o com(ro#ó si f!ese el caso,sin (er$!icio e %!e ic'a valoración se efect*e con el em(leo e otros m to os %!eaconse$en la t cnica y la tecnolo)ía+ 0a valoración e la (r!e#a se someterá al li#recriterio $! icial, se)*n las circ!nstancias en %!e 'ayan si o (ro !ci os+ 4l $!ez oár#itro com(etente %!e conozca el caso e#erá esi)nar los (eritos %!e consi erenecesarios (ara el análisis y est! io t cnico y tecnoló)ico e las (r!e#as (resenta as+

0as "eformas al ó i)o .enal e las Infracciones Informáticas incl!yen los ata%!es%!e se (ro !cen contra el erec'o a la intimi a , a la o#tención y !tilización noa!toriza a e información, sa#ota$es informáticos, falsificación electrónica, a2osinformáticos, a(ro(iación ilícita+

95B56 L e > d e P r o p iedad I ! e le " %al M a> 8

0a 0ey e .ro(ie a intelect!al vi)ente en el 4c!a or es e Mayo e 1>>C se refierea las normas %!e )arantiza el erec'o e a!tor, inventor e la o#ra, invento o

esc!#rimiento corres(on iente+ ontem(la los (ro)ramas e or ena or softEareH+!an o se trata e softEare la (rotección es so#re los erec'os e a!tor no como

invento o esc!#rimiento+ Al ser (ro !cto e in)enio '!mano es consi era o como!na o#ra literaria+ 4l reconocimiento es in e(en iente el o#$eto en el c!al este

incor(ora a la o#ra, los erec'os e a!tor se )arantiza a (esar e no estar incor(ora o en !n or ena or e in e(en ientemente e s! forma e ex(resión, es

ecir sea le)i#le (ara el 'om#re o (ara la má%!ina+ .!e en ser ia)ramas e fl!$o, (lanos, man!ales e !so, (ro)ramas o(erativos, a(licativos y to os los elementos%!e conforman la estr!ct!ra, sec!encia y or)anización e !n (ro)rama+

0os artíc!los 87; Q 87= e la 0ey e .ro(ie a Intelect!al 'a esta#leci o lassanciones a a(licarse en caso e violaciones contra estos erec'os como la


26/159

(!#licación, if!sión, re(ro !cción, eformación, mo ificación, tra !cción,m!tilación, arre)lo, a a(tación, etc+, no a!toriza os (or el a!tor+

4 -AD9"

5a#la+1+7 /anciones (ara los elitos informáticos en el 4c!a or

.ara l!c'ar contra la Delinc!encia Informática no sólo es necesario contar con leyese instr!mentos eficaces sino tam#i n con la infraestr!ct!ra tanto t cnica como con elrec!rso '!mano califica o (ara 'acerle frente a este ti(o e elitos ca a vez máscrecientes+ 4n c!m(limiento con el man ato constit!cional el Ministerio .*#licotiene la o#li)ación J!rí ica e (oseer !n c!er(o es(ecializa o (ara com#atir esta ti(o

e criminali a a fin e (reca!telar los erec'os e las víctimas y llevar a losres(onsa#les a $!icio+ 4s (reciso esarrollarse en las investi)aciones tanto (oliciales

como el Ministerio .*#lico es(ecializa as en a#or ar c!estiones e la elinc!enciainformática e informática forense+

Act!almente en la .olicía Nacional está en (roceso e a(ro#ación la im(lementacióne !na -ni a 4s(ecializa a en Investi)ación e Delitos Informáticos con seccionese Investi)aciones e Inteli)encia y e Análisis Forense+?

? In)+ A"IA/ MIS9 Gonzalo Mayor e .olicía+ 9(+ it

LE+ DELITO =UE SANCIONA ARTÍCULO

0ey e omercio4lectrónico, Firmas4lectrónicas yMensa$es e Datos

Da2os informáticos ysa#ota$e informático

;1=+1:;1=+7o + .enal

Falsificación informática 8=8+1o + .enal

A(ro(iación ilícita ==8+1o + .enal

4stafas y otrasefra! aciones

=?8o + .enal

Infracción o(y"i)'t e #asee atos

;1=+1o + .enal

Accesos no a!toriza os 7 7+1:7 7+7o + .enal

.orno)rafía Infantil =7C+<o + .enal

0ey e .ro(ie aIntelect!al

.ro(ie a Intelect!al 7C al 87


27/159

CAPÍTULO 6

AN-LISIS + DIAGN/STICO DE LA INSTITUCI/N

659 A! e"ede! e'

0os (asos %!e 'oy en ía se an en el cam(o e la tecnolo)ía son verti)inosas,com(!ta oras, cel!lares, Internet, a!tomatización e tareas me iante laim(lementación e (ro)ramas, telecom!nicaciones, etc+, 'an lle)a o a ser (arte e lavi a el ser '!mano, no solo en el ám#ito la#oral sino tam#i n (ersonal e#i o a lainformación so#re la i enti a e ca a (ersona, almacena a en las iversas ases eDatos, e i)!al manera las transacciones e com(ra, venta, (a)os, e(ósitos, etc+, selo realiza a trav s e Internet+ 5o o este fl!$o e información es trasmiti a a trav s lare e re es InternetH+

0o %!e en)lo#a esta era tecnoló)ica trae interro)antes como, U ! tan (rote)i a estála informaciónW, e U ómo se (!e e reaccionar a ata%!es contra la inte)ri a elin ivi !o o e las em(resasW, UDe %!e si las leyes y me ios existentes en n!estro (aís (!e en esc!#rir cómo, %!i n cometió el elito y %!e sentencia reci#iráW+

4n el 4c!a or se 'an manifesta o casos e elitos informáticos %!e no son

iv!l)a os o en!ncia os (or los in ivi !os o em(resas afecta as (or evitar !n caos, (or res)!ar ar s! ima)en o, m!c'as veces (or esconocimiento e la ley %!eincrimina ciertos elitos informáticos+

0a .olicía Nacional tiene como f!ncionali a res)!ar ar y (rote)er a la ci! a anía, (or ello se consi era %!e el crecimiento e la instit!ción e#e ser (ermanente y enconstante act!alización, ya %!e ca a vez más la tecnolo)ía informática se 'aconverti o en !n instr!mento (ara cometer crímenes+ 0a .olicía es consciente e%!e los elitos tanto tra icionales como informáticos %!e se s!scitan en n!estro (aís,


28/159

7C

eman an )ran es esafíos en s!s investi)aciones ya %!e se 'an o#teni o evi enciascomo com(!ta oras, tel fonos cel!lares, is(ositivos e almacenamiento, (ro)ramaso c!al%!ier ti(o e 'ar Eare %!e re%!ieren e conocimiento, t cnicas y 'erramientas

e Informática Forense (ara %!e se (!e a realizar !na reconstr!cción, análisis yreconocimiento el elito e !na manera a ec!a a y lle)ar así 'asta el atacante+ 4nla misma instit!ción se 'an a o casos e extorsión me iante la tecnolo)ía, en on eno se 'a (o i o a(licar !na meto olo)ía e investi)ación e análisis forense (ara (o er o#tener evi encias cont!n entes y e esta manera etectar a tiem(o alin ivi !o y %!e sea en$!icia o+

0a .olicía Nacional al consi erar %!e estos com(ortamientos elictivos afectanirectamente a la socie a ec!atoriana en s! con$!nto, 'a inicia o !n .royecto en el

%!e se esarrollan las re)las y normativas (ara la im(lementación e !nDe(artamento 4s(ecializa o en la investi)ación e elitos informáticos+

656 Pro"e'o I! erdepar a(e! al

0a .olicía Nacional (ara c!m(lir s!s f!nciones se enc!entra ivi i a en lassi)!ientes áreasB

• .olicía J! icial• 5ránsito• Mi)ración• riminalística

o Investi)aciones• Antinarcóticos• De(artamento Nacional e om!nicaciones+

a a área (osee etermina as f!nciones c!m(len con el o#$etivo e (rote)er y velar (or el #ienestar e la ci! a anía+


29/159

0as investi)aciones %!e se realizan so#re los crímenes o elitos e(en ien o elti(oH re%!ieren e la (resencia e interacción e to os los e(artamentos e la .olicía Nacional+

0os elitos informáticos son en!ncia os irectamente en la Dirección Nacional ela .olicía J! icial (ero act!almente no son trata os en !n e(artamento es(ecífico (ara el correcto análisis y com(ro#ación e los mismos, el (ersonal (olicial %!eact*a son los (ertenecientes al De(artamento Nacional e om!nicaciones si se trata

e elitos informáticos (ro(iamente ic'os, (ero si se trata e elitos tra icionales y%!e como me io se !tilizó !n is(ositivo i)ital o electrónico act*a el De(artamento

e riminalística y e(en ien o el caso el De(artamento e Antinarcóticos+

0a .olicía Nacional 'a visto la necesi a e me$orar el res)!ar o e la ci! a aníacon los atenta os e este ti(o e elitos+ .or tal razón, la .olicía 'a realiza o !n.royecto en el %!e se (ro(onen incrementar !n e(artamento es(ecializa o en elitosinformáticos+ /e (lantea iniciar en la ci! a e !ito con la si)!iente estr!ct!ra el

e(artamentoB

Fi)!ra 7+7 9r)ani)rama el De(artamento e Investi)ación e Delitos Informáticos .ro(!estaH

omo o#$etivos el De(artamento (lantea os en el .royecto son los si)!ientesB

• Investi)ar elitos relaciona os con el !so ilícito e rec!rsos tecnoló)icos y e

esta manera #rin ar al Ministerio .*#lico y a las !ni a es e la .olicía

Nacional el so(orte t cnico en mane$o e los in icios+


30/159

• Desarrollar conocimientos es(ecializa os e t cnicas e investi)ación eelitos ci#ern ticos+

• Mantener la coo(eración e a)encias e investi)ación, encar)a os emantenimiento e or en y se)!ri a (*#lica en otros (aíses+

• A(ro#ar los me ios (ro#atorios a la fiscalía+• -tilizar 'erramientas y rec!rsos tecnoló)icos (ara !n a ec!a o análisis+• Asistir al Ministerio .*#lico (ara !na correcta e$ec!ción e las leyes contra el

ci#ercrimen+• Detectar e investi)ar con !ctas ilícitasB

o Acceso ile)al a sistemas informáticoso Interce(tación ile)al e las telecom!nicacioneso Da2os en sistemas informáticoso Fra! e electrónicoo Fra! e en las 5elecom!nicacioneso .orno)rafía infantil en sitios y servi ores Pe# !#ica os en n!estro

(aís+

.ara %!e el De(artamento en (royecto (!e a res(on er a las ex(ectativas ansia asse re%!iere e !na ex'a!stiva investi)ación e la Informática Forense, (ara (o er esco)er !na meto olo)ía a ec!a a, con 'erramientas selecciona as a(ro(ia amentey con !na )!ía e #!enas (rácticas enfoca a a la reali a e n!estro (aís+

65: ,erra(ie! a' I!?or(4 i"a' orie! ada' a la i!ve' i&a"i#! de deli o' vi&e! e'e! la a" %alidad

0a .olicía Nacional tiene !n /istema e Informática Inte)ra o, %!e f!e a %!iri o a laem(resa 5rans5ools, el (royecto com(ren e el esarrollo e s!#sistemas a la me i a

e las necesi a es e la .olicía Nacional+

4l sistema informático está ivi i o en os áreasB

-rea de Ge' i#! E3 er!a*com(!esta (or los si)!ientes s!#sistemasB


31/159

• 5ránsito• Mi)ración• Investi)aciones• Antinarcóticos

Incl!ye la instalación e inte)ración el /istema e I entificación eca actilar a!tomatiza o AFI/H e la 4m(resa ."IN5"AR M959"90A+ 4sta 'erramientaen (arte está enfoca a a la informática forense+

-rea de Ge' i#! I! er!a* com(!esta (or los si)!ientes s!#sistemasB

• "ec!rsos @!manos• /al!• 4 !cación• Ins(ectoría• Inteli)encia• 9(eraciones• Gerencial• Doc!mental

4l o#$etivo e este esarrollo es lo)rar %!e la .olicía c!ente con !na #ase e atosinte)ral y *nica #asa a en la información el (ersonal (olicial, ve'íc!los, o#$etos,

casos e inci entes+

4l (royecto 'a si o a ministra o con cinco com(onentesB

1+ Acon icionamiento t cnico o(eracional7+ @ar Eare y softEare e #ase8+ /oftEare a(licativo

;+ onectivi a=+ a(acitación+


32/159

4l /istema Informático no es !n sistema sofistica o e inteli)encia, el sistemac!m(le los si)!ientes o#$etivosB

•

"enovar la estr!ct!ra or)anizacional e la Instit!ción .olicial (ara %!e estconforme con el cam#io tecnoló)ico y c!lt!ral+

• Formar !n )r!(o e (rofesionales (oliciales en el área e informática (ara

res(onsa#ilizarse e la o(eración y mantenimiento f!t!ro el /istemaInformático Inte)ra o+

• onsoli ar !na #ase e atos *nica a nivel nacional, a la %!e (!e an acce er

los istintos f!ncionarios e la .olicía Nacional, e(en ien o e s! ran)o y

los niveles e se)!ri a esta#leci os en el sistema+

Si' e(a AFIS

Fi)!ra 7+1 /istema e I entificación Deca actilara!tomatiza o

4l /istema e I entificación eca actilar a!tomatiza o AFI/H act!almente está enf!ncionamiento en el De(artamento e riminalística e las ci! a es e !ito yG!aya%!il como a(oyo en las investi)aciones e crímenes tra icionales y %!e (o ríaser *til tam#i n (ara investi)aciones e elitos informáticos+

4l sistema AFI/ es !n sistema e i entificación (olicial #asa o en i entificación

#iom trica me iante '!ellas actilares+ 4l sistema a!tomatiza las tareas e #*s%!e a


33/159

y almacenamiento e '!ellas actilares, *nicamente en los arc'ivos (oliciales y en lainformación e los re)istros e los eteni os+

4l imensionamiento el sistema es (ara !n almacenamiento en línea e !n máximoe 7 + tar$etas eca actilares e eteni os y ? + '!ellas latentes+

4l sistema no mantiene la #ase e atos e to os los ci! a anos ec!atorianos (or%!eel "e)istro ivil está encar)a o e esta res(onsa#ili a +

Co!ve!io' "o! I!' i %"io!e' del E' ado para (a! e!er el Si' e(a I!?or(4 i"o

Re&i' ro Civil1 onvenio (ara vali ar y cote$ar la información, (ara %!e losoc!mentos %!e emite la .olicía Nacional, como licencias, matríc!las, atos e

filiación, certificaciones e censos, re%!isitos e a misión a las filas (oliciales,certifica os e antece entes (ersonales, etc+, sean ver a eras y confia#les+

Servi"io de Re! a' I! er!a'1 on las enti a es #ancarias no existe relación ya %!eto a la información el (a)o e es(ecies se realiza a trav s el sistema #ancario, losc!ales irectamente transfieren al /ervicio e "entas Internas y este a s! vez

transfiere a la .olicía Nacional+

0a falta e @erramientas orienta as a la Informática Forense 'a si o !n (ro#lema (ara la .olicía Nacional ya %!e no 'a (o i o c!m(lir a ca#ali a las investi)acionesre%!eri as (ara o#tener evi encias y así s!stentar las (r!e#as (ara la sentencia e !n

elito informático+

< A)encia e Noticias e la .olicía el 4c!a or :E E E +(o lic i ales+ co# e r t! r a i) ital+ c o m

http://www.policiales.coberturadigital.com/http://www.policiales.coberturadigital.com/http://www.policiales.coberturadigital.com/http://www.policiales.coberturadigital.com/


34/159

CAPÍTULO :

FASES DE LA INFORM-TICA FORENSE

0a .olicía Nacional, ante el mane$o e evi encias so#re !n crimen o elitoinformático cometi o, e#erá act!ar como c!al%!ier (roceso criminal, el (rimer (asoes ase)!rara la escena el elito restrin)ien o el acceso a la misma (ara no mo ificar la evi encia+ 0os (eritos %!e mane$en el caso e#erán (oseer conocimientos so#relas meto olo)ías el análisis forense informático %!e se e#en a(licar se)*n el caso+

Identificar evidencia

- Según prioridad-Conservación inicial

Preservar lasev idenc ias

- Fase crítica- Preservar de formaque no exista dudade la evidencia-Creación deimágenes a nivel debit- Generar c ec!sumde original " copias

Analizar lasevidencias

- Propósito# darrespuestas a laspreguntas$%&ui'n( que cuando" como)- *nali+arrequerimientos delcliente$ ,úsqueda delas evidenciasacorde al caso$

Presentación deevidencia

- ar un informaclaro( conciso (estructurada " sinambig.edad de lasevidencias $- /o se debe usar unlengua0e mu" t'cnico- eberá con tenerlas evidenciasencontradas deacuerdo al caso

Fi)!ra 8+1 Meto olo)ía el Análisis ForenseC

.ara llevar a ca#o !na investi)ación forense es a ec!a o conocer ciertos as(ectostales comoB

• onocer las con iciones #a$o las c!ales, la evi encia será consi era a como Bo A misi#leo A!tentica

C4%!i(o e Investi)ación e Inci entes y Delitos Informáticos+PPP +4 II D I + 9M

http://www.eiidi.com/http://www.eiidi.com/


35/159

o om(letao onfia#leo reí#le

• onocer el (roce imiento (ara llevar a ca#o !na investi)ación, c!an o e#ellevarse a ca#o las c!estiones le)ales a tener en c!enta, e(en ien o el (aís

on e se lleve a ca#o+

4xisten mo os e Análisis (ara la Informatica Forense, estos sonB

X Análisis (ost:mortemB se realiza con !n e%!i(o e ica o es(ecíficamente (ara fines

forenses (ara examinar iscos !ros, atos o c!al%!ier ti(o e información reca#a ae !n sistema %!e 'a s!fri o !n inci ente+ 4n este caso, las 'erramientas e las %!ese (!e e is(oner son a%!ellas %!e existan en el la#oratorio estina o al análisis e

iscos !ros, arc'ivos e lo)s e fireEalls, etc+

X Análisis en calienteB se lleva a ca#o c!an o !n sistema (res!me %!e 'a s!fri o !ninci ente o está s!frien o !n inci ente e se)!ri a + 4n este caso, se e#e em(lear !n D con las 'erramientas e "es(!esta ante Inci entes y Análisis Forensecom(ila as e forma %!e no realicen mo ificaciones en el sistema+ -na vez 'ec'oeste análisis en caliente, y confirma o el inci ente, se realiza el análisis(ost:mortem+

Cade!a de "%' odia1el es con$!nto e (asos o (roce imientos se)!i os (ara (reservar la (r!e#a i)ital %!e (ermita convertirla y !sarla como evi encia i)ital en!n (roceso $! icial+ No existe !n están ar reconoci o (*#licamente+

0a ca ena e c!sto ia e#eB Q "e !cir al máximo la canti a e a)entes im(lica os en el mane$o otratamiento e evi encias+

Q Mantener la i enti a e las (ersonas im(lica as es e la o#tención 'astala (resentación e las evi encias+

Q Ase)!rar la firmeza e las evi encias+

Q "e)istros e tiem(os, firma os (or los a)entes, en los intercam#ios entre

estos e las evi encias+ a a !no e ellos se 'ará res(onsa#le e lasevi encias en ca a momento+


36/159

Q Ase)!rar la firmeza e las evi encias c!an o las evi encias estánalmacena as ase)!ran o s! (rotección+

0a sec!encia e la ca ena e la evi encia e#e se)!ir el si)!iente or enB

Q "ecolección e i entificación e evi encia+

Q Análisis+

Q Almacenamiento+

Q .reservación+

Q 5rans(orte+

Q .resentación en el $!z)a o+

Q "etorno a s! !e2o+

0a ca ena e la evi encia m!estraB

Q !i n o#t!vo la evi encia+ Q Dón e y c!án o la evi encia f!e o#teni a+

Q !i n (rote)ió la evi encia+

Q !i n 'a teni o acceso a la evi encia+

:59 Ide! i?i"a"i#! de la Evide!"ia Di&i al

4n esta fase se e#e localizar los is(ositivos on e (o emos encontrar evi encias,ya %!e m!c'as veces la información %!e irecta o in irectamente se relaciona conesta con !cta criminal %!e a almacena a e forma i)ital entro e estos /istemasInformáticos+

0a Evide!"ia Di&i al4s el con$!nto e atos en formato #inario, com(ren e losfic'eros, s! conteni o o referencias a stos meta: atosY atos acerca e atosH %!e


37/159

se enc!entren en los so(ortes físicos o ló)icos el sistema ataca o, los mismos (!e en ser recolecta os y analiza os con 'erramientas y t cnicas es(eciales+

Tipo de Evide!"ia Di&i al

• Co!' a! e1evi encia almacena a en !n me io informático y %!e se mantiene (reserva a es(! s e %!e la com(!ta ora sea a(a)a a+

• Vol4 il1evi encia %!e se enc!entra almacena a tem(oralmente, en lamemoria "AM, o en el cac' , y al interr!m(ir la alimentación el ctrica laevi encia se (ier e+ 4ste ti(o e evi encia e#er ser rec!(era a casi einme iato, )!ar arlas a fic'eros e sta forma se convertirá en evi encias novolátiles+

4s im(ortante consi erar la iferencia %!e 'ay entre la evi encia i)ital y evi enciaelectrónica ya %!e estas (!e en ser !sa as como sinónimos, sin em#ar)o la (rimerase refiere a los a(aratos electrónicos como cel!lares y .DA/> y la se)!n a a lainformación i)ital %!e estos conten)an+

Cla'i?i"a"i#! de la Evide!"ia Di&i al97

1) Evide!"iaF$'i"a

- Sopor e' de Al(a"e!a(ie! o•

.-• Dis ettes• D:"9Ms, DVD• intas ma)n ticas, etc+

- Di'po'i ivo' ele" r#!i"o'• 5el fonos cel!lares

> .DA/B es !n c o m ( ! ta o r e mano ori)inalmente ise2a o comoa ) e n a ele c tr ó n ica calen ario,lista e contactos, #loc e notas y recor atoriosH con !n sistema e reconocimiento e escrit!ra+ @oy

ía se (!e e !sar como !na com(!ta ora om stica ver (elíc!las, crear oc!mentos, $!e)os, correoelectrónico, nave)ar (or Internet, re(ro !cir arc'ivos e a! io, etc+H+

1 - A"DI Giovanni Q G-5IZ""4 J!an Davi +, Informática Forense+

http://es.wikipedia.org/wiki/Computadorhttp://es.wikipedia.org/wiki/Agendahttp://es.wikipedia.org/wiki/Electr%C3%B3nicahttp://es.wikipedia.org/wiki/Computadorhttp://es.wikipedia.org/wiki/Agendahttp://es.wikipedia.org/wiki/Electr%C3%B3nica


38/159

8C

• A)en as• 9r)aniza ores electrónicos

- Di'po'i ivo' de "o(%!i"a"io!e' de red 99

• "o!ters• /Eitc'Ks• @!#Ks

6 Evide!"ia L#&i"a1c!al%!ier ato almacena o o )enera o en !n me ioma)n tico, este ti(o e evi encia (!e e ser clasifica a en tres cate)oríasB

• Re&i' ro' &e!erado' por "o(p% ador14stos re)istros son )enera os comoefecto e la (ro)ramación e !n com(!ta or, y son inaltera#les (or !na (ersona, los mismos son llama os re)istros e eventos e se)!ri a lo)sH+

• Re&i' ro' !o &e!erado' 'i!o 'i(ple(e! e al(a"e!ado' por o e!"o(p% adore'1 4stos re)istros son )enera os (or !na (ersona, sonalmacena os en el com(!ta or, (or e$em(lo, !n oc!mento realiza o con !n (rocesa or e (ala#ras+

• Re&i' ro' H$brido'1estos re)istros incl!yen tanto re)istros )enera os (or com(!ta or como almacena os en los mismos+0os re)istros 'í#ri os son a%!ellos %!e com#inan afirmaciones '!manas ylo)s+

• Re&i' ro' de "ada 'ervidor1son a%!ellos re)istros el sistema y e ca a (ro)rama en e$ec!ción, como (!e en ser los e !n servi or Pe# A(ac'e+

• Re&i' ro' de r4?i"o de red

11/Eitc'B is(ositivo electrónico e interconexión er e es e or e n a or es % !e o(era en la ca(a 7n iv el e e n lace e at o s H el m o elo 9/ I +

@!#B oc o n c e n tra o r es !n e%!i(o e re es %!e (ermite conectar entre sí otros e%!i(os y retransmitelos (a%!etes %!e reci#e es e c!al%!iera e ellos a to os+

"o!terB enr!ta or o encamina or, is(ositivo e 'ar Eare (ara interconexión er e es e las

c o m ( ! ta or as %!e o(era en la ca(a tres n iv el e r e H

http://es.wikipedia.org/wiki/Red_de_ordenadoreshttp://es.wikipedia.org/wiki/Nivel_de_enlace_de_datoshttp://es.wikipedia.org/wiki/Modelo_OSIhttp://es.wikipedia.org/wiki/Modelo_OSIhttp://es.wikipedia.org/wiki/Concentradorhttp://es.wikipedia.org/wiki/Concentradorhttp://es.wikipedia.org/wiki/Red_de_computadorashttp://es.wikipedia.org/wiki/Red_de_computadorashttp://es.wikipedia.org/wiki/Nivel_de_redhttp://es.wikipedia.org/wiki/Red_de_ordenadoreshttp://es.wikipedia.org/wiki/Nivel_de_enlace_de_datoshttp://es.wikipedia.org/wiki/Modelo_OSIhttp://es.wikipedia.org/wiki/Concentradorhttp://es.wikipedia.org/wiki/Red_de_computadorashttp://es.wikipedia.org/wiki/Red_de_computadorashttp://es.wikipedia.org/wiki/Red_de_computadorashttp://es.wikipedia.org/wiki/Nivel_de_red


39/159

• Re&i' ro' de apli"a"i#!1son a%!ellos re)istros a los %!e ca a a(licaciónalmacena so#re el acceso e los !s!arios, errores oc!rri os e informaciónso#re las activi a es e ca a !s!ario en la a(licación+

F%e! e' de la Evide!"ia Di&i al

0as f!entes e evi encia i)ital (!e en serB

1H /istemas e com(!tación a#iertosB están com(!estos (or com(!ta oras (ersonales y servi ores con s!s (erif ricos tecla o, Mo!se, monitorH, son!na f!ente e evi encia i)ital m!y im(ortante ya %!e almacenan )rancanti a e información en s!s iscos !ros+

7H /istemas e om!nicaciónB están com(!estos (or re es etelecom!nicaciones, Internet y com!nicación inalám#rica+

8H /istemas onver)entes e om(!taciónB forma os (or tel fonoscel!lares, llama as inteli)entes, asistentes (ersonales i)itales .DAs,tar$etas inteli)entes y c!al%!ier is(ositivo electrónico %!e (oseaten encia i)ital+

Ide! i?i"a"i#! de la Evide!"ia96

.ara la i entificación e la evi encia entro el (roceso forense se e#eB

• Antici(ar %! (roce imientos serán em(lea os en la (ráctica forense almomento e reco(ilar la evi encia+

• I entificar el ti(o e información almacena a en !n is(ositivo y el formatoen %!e se )!ar a, con la finali a e !sar la tecnolo)ía a(ro(ia a (ara extraer la información %!e se mantienen en el mismo+

• 0os investi)a ores forenses e#en estar en ca(aci a e reconocer %!formato tiene etermina a información, cómo extraerla y %! me iore%!ieren (ara almacenar y (reservar la misma+

on la finali a e eterminar on e e # e s e r !#ic a a y c omo e #e s e r !sa a lae vi en c ia, se efinen cate)orías (ara istin)!ir entre !n sistema informáticoo


40/159

17 Dr+ A -"I9 D40 .IN9, Intro !cción a la Informática Forense /antia)o+ 9(+ it+( 18


41/159

'ar Eare evi encia electrónicaH y la información conteni a en este evi enciai)italH+

4l 'ar Eare se refiere a to os los com(onentes físicos e !n sistema informático, la

información se refiere a atos, (ro)ramas almacena os, mensa$es e atostrasmiti os !san o el sistema informático+

SISTEMAINFORM-TICO

,ard are

ele(e! o' ?$'i"o'

Evide!"ia Ele" r#!i"a

4l 'ar Eare es mercancíaile)al o fr!to el elito+

: 4l 'ar Eare es !na mercancía ile)al c!an o s! (osesión no estáa!toriza a (or la ley+

: 4l 'ar Eare es fr!to el elito c!an o es o#teni o me iante ro#o,fra! e ! otra clase e infracción

4l 'ar Eare es !n instr!mento : 4s !n instr!mento c!an o el 'ar Eare c!m(le !n (a(elim(ortante en al cometer el elito, es ecir si se lo !sa como !naarma o 'erramienta tal como !na (istola, e$em(lo snifers18

4l 'ar Eare es evi encia : 4s !n elemento físico %!e se constit!ye como (r!e#a e lacomisión e !n elito+

5a#la 8+1 I entificación e la 4vi encia IH

SISTEMAINFORM-TICO

I!?or(a"i#! Evide!"ia Ele" r#!i"a

0a información esmercancía ile)al ofr!to el elito+

: 0a información es mercancía ile)al c!an o s! (osesión no está a!toriza a (or la ley+ 4$em(loB (orno)rafía infantil

: 0a información es fr!to el elito c!an o sea el res!lta o e la comisión e!na infracción+ 4$em(loB co(ias (iratas e (ro)ramas, secretos in !striales'!rta os+

0a información es !ninstr!mento

: 0a información es !n instr!mento o 'erramienta, c!an o es !sa a comome io (ara cometer !na infracción (enal+ 4$em(loB (ro)ramas !sa os (ararom(er se)!ri a e !n sistema informático, rom(ien o contrase2as o

18 /nifersB es !n (ro)rama (ara monitorizar y analizar el tráfico en !na re e com(!ta oras,etectan o los c!ellos e #otella y (ro#lemas %!e existan+ 5am#i n (!e e ser !tiliza o (ara

[ca(tar[, lícitamente o no, los atos %!e son transmiti os en la re +


42/159

;1

#rin an acceso no a!toriza o+

0a información esevi encia

: 4sta cate)oría es e s!ma im(ortancia, e#i o a %!e m!c'as e n!estrasacciones iarias e$an !n rastro i)ital, se (!e e o#tener m!c'a informacióncomo evi encia+ 4$em(loB información e los I/.Ks1; , #ancos ya %!e estos (!e en revelar activi a es (artic!lares e los sos(ec'osos+

5a#la 8+7 I entificación e la 4vi encia IIH

:5959 De'"%bri(ie! o de la' 'eJale' del a aK%e

.ara esc!#rir al)*n ti(o e anomalía, inci ente o ata%!e se e#erá tomar enconsi eración las si)!ientes tareasB

- Inter(retar coman os en mo o consola cm , #as'H- 4n!merar (!ertos 5 . y -D. a#iertos y s!s a(licaciones asocia as

f(ort, lsoftH- 0istar !s!arios conecta os local y remotamente al sistema- 9#tener fec'a y 'ora el sistema ate, timeH- 4n!merar (rocesos activos, rec!rsos %!e !tilizan, !s!arios o a(licaciones

%!e los lanzaron (s, (slistH+- 4n!merar las irecciones I. el sistema y ma(ear la asi)nación e

irecciones físicas MA con ic'as I. (ro)ramasB i(confi), ar(, netstat,netH

o MA MA 5imesBX a a entra a el /istema e Fic'eros mantiene tres fec'as y'oras

1; I/.KsB (rovee ores e servicio e Internet+


43/159

e to as las entra as %!e se enc!entran en este fic'eros,irectorios, lin s, etc+H+

X Im(ortantes (ara el análisis e má%!inas com(rometi as+X 0os MA 5imes sonB

Q Mo ificación Mo ificationHB am#ios en el fic'ero oirectorio

a nivel e s! conteni o+

Q Acceso AccessHB Acciones e lect!ra, escrit!ra (!e e noim(lica cam#ioH, etc+

Q am#io 'an)eHB am#io a nivel e características elfic'ero (ermisos, !s!arios, (ro(ietarios, etc+H

- !scar fic'eros oc!ltos o #orra os (ro)ramasB 'fin , !nrm, lazar!sH- Vis!alizar re)istros y lo)s el sistema (ro)ramasB re), !m(elH- Vis!alizar la confi)!ración e se)!ri a el sistema a! it(olH

- Generar f!nciones 'as' e fic'eros (ro)ramasB sa'1s!m, m =s!mH- 0eer, co(iar y escri#ir a trav s e la re (ro)ramasB netcat, cry(catH- "ealizar co(ias #it:a:#it e iscos !ros y (articiones (ro)ramasB ,

safe#ac H- Analizar el tráfico e re (ro)ramasB tc( !m(, Ein !m(H

Op"io!e' de . 'K%eda

- "ealizar !na verificación e inte)ri a e los fic'eros el sistema,!tili a es como 5ri(Eire o AID4 A vance Intr!sion Detection4nviromentH ay! arán a ello+

- onocer los (rocesos %!e se están e$ec!tan o act!almente en el e%!i(o yver c!al e ellos cons!me más rec!rsos, con !#icaciones (oco frec!entes


44/159

en el sistema e arc'ivos y los %!e manten)an conexiones e re en (!ertos 5 . o -D. no 'a#it!ales+

- 0istar to os los (!ertos 5 . y -D. a#ierto, se e#erá tomar m!y en

c!enta a%!ellos (rocesos %!e em(lean (!ertos altos (or encima el 1 7;+- 4 itar los arc'ivos e re)istro el sistema y lo)s en #!sca e entra as y

avisos so#re fallos e instalación, accesos no a!toriza os, conexioneserróneas o falli as+

Al momento e esc!#rir !na evi encia, se e#eráB

: onservar la evi encia, y (or nin)*n motivo(odi?i"arla5

: -tilizar 'erramientas %!e no mo ifi%!en el tiem(o e e$ec!ción e losarc'ivos+

: No mo ificar los arc'ivos ni #orrarlos+

:5956 Re"ole""i#! de Evide!"ia'

0a reco(ilación e evi encias (ermite eterminar el m to o e entra a al sistema, laactivi a e los intr!sos, s! i enti a y ori)en, (ara to o ello se e#e (oseer m!c'a (reca!ción (ara evitar alterar las evi encias !rante el (roceso e recolección+

0a recolección e evi encia, varía e (aís en (aís, y (or lo tanto, !n análisis exacto ycom(leto está f!era e los límites+ /in em#ar)o, se (resentan )!ías #ásicas %!e (!e en ay! ar a c!al%!ier investi)a or forenseB


45/159

0a I9 4 9r)anización Internacional e 4vi encias en om(!ta oraH efine cinco (!ntos (rinci(ales (ara el mane$o y recolección e evi encia i)italB

1+ Al recolectar evi encia i)ital, las acciones toma as no e#en cam#iar (or nin)*n motivo esta evi encia+

7+ 0a (ersona %!e ten)a acceso a evi encia i)ital ori)inal, e#erá ser !n (rofesional forense+

8+ 5o a la activi a referente a la recolección, el acceso, almacenamiento o a latransferencia e la evi encia i)ital, e#e ser oc!menta a com(letamente,

(reserva a y is(oni#le (ara la revisión+;+ -n in ivi !o es res(onsa#le e to as las acciones toma as con res(ecto a la

evi encia i)ital mientras %!e sta est en s! (osesión+=+ !al%!ier a)encia %!e sea res(onsa#le e recolectar, tener acceso, almacenar

o transferir evi encia i)ital es res(onsa#le e c!m(lir con estos (rinci(ios+

:595659 C%idado' e! la Re"ole""i#! de evide!"ia'

0a recolección e evi encia informática es !n as(ecto frá)il el la com(!taciónforense, es(ecialmente (or%!e re%!iere e (rácticas y c!i a os a icionales %!e no setienen en la recolección e evi encia convencional+ 4s (or esto %!eB

• /e e#e (rote)er los e%!i(os el a2o+• /e e#e (rote)er la información conteni a entro e los sistemas e

almacenamiento e información m!c'as veces, estos (!e en ser altera osfácilmente (or ca!sas am#ientales, o (or !n sim(le cam(o ma)n ticoH+

• Al)!nas veces, será im(osi#le reconstr!ir la evi encia o el e%!i(o %!e lacontieneH, si no se tiene c!i a o e recolectar to as las (iezas %!e senecesiten+


46/159

4l 'ar Eare es !no e los elementos %!e se e#en tener en c!enta a la 'ora e larecolección e evi encias, es (or eso %!e se e#en tener consi eraciones es(eciales+0o (rimero %!e se e#e (re)!ntar el investi)a or es %! (artes se e#en #!scar o

investi)ar+

:595656 I!i"io de la Re"ole""i#!

.ara iniciar la recolección e evi encias se e#eB

• A(a)ar el e%!i(o ataca o• Anotar la fec'a, 'ora e inicio y fin e ca a !no e los (asos %!e se realicen• Anotar las características y n*meros e serie e ca a e%!i(o, e s!s

com(onentes, e s! /+9+ /istema 9(erativoH, etc+• Foto)rafiar los e%!i(os el entorno+• 4s recomen a#le %!e exista !n acom(a2ante !rante el (roceso e

reco(ilación e evi encias, sta act!aría como testi)o al tomar c!al%!ier acción en la escena, si es !n Notario es m!c'o me$or+

-na vez %!e ya se realizaron las tareas anteriores se e#erá efinir el esta o elsistema y el atacanteB

- 4le)ir el ti(o e análisis %!e se efect!ará en el e%!i(oBo Análisis con el e%!i(o a(a)a oY 4n fríoB es váli o si se lo realiza

#ien, (ero no se (osee to a la información el ata%!e+o Análisis en calienteYmientras el ata%!e se esta realizan oB #rin a

más información (rocesos, conexiones e re , etc+H, (ero si se lorealiza e forma ina ec!a a, (!e e (er$! icar el (osterior análisisen frío, esto (!e e conllevar a (ro#lemas le)ales, ismin!yen o lacont!n encia e la evi encia+


47/159

- Mantenerse (recavi os ante el esta o el atacante, ya %!e este (!e ese)!ir conecta o y (rovocar #orra o, mofica o e la informaciónme iante !na (!erta e entra a+

- Asec'ar al atacante evitan o %!e eva a la vi)ilancia en caso e %!e estese manten)a conecta o+

9tro e los tantos (ro#lemas %!e (osee !n investi)a or forense, es #!scar evi enciavolátil, es ecir evi encia %!e se enc!entre alo$a a tem(oralmente en la memoria"AM o en el A @4, son evi encias %!e se (ier en c!an o se a(a)a elcom(!ta or, (or ello, este ti(o e información e#e ser rec!(era a e formainme iata+

:56 Pre'erva"i#! de la evide!"ia

0a (reservación se enfoca en res)!ar ar los o#$etos %!e ten)an valor como

evi encia, e manera %!e estos (ermanezcan e forma com(leta, clara y verifica#le,

es im(ortante %!e c!al%!ier examen %!e se lleve a ca#o no )enere cam#ios, en caso

e s!scitarse !n cam#io e manera inevita#le, es esencial %!e se (resente la razón

(or la %!e se io tal acontecimiento, ex(lican o el s!ceso etalla amente, (osterior a

ello e#e ser re)istra o y $!stifica o+

4n esta fase se !tiliza t cnicas cri(to)ráficas como có i)os e se)!ri a f!nción

'as', c'ec s!msH+1=

1= ri(to)rafíaB es ela r te o ci e n cia e cifrar y escifrarin f o r m a c ió n !tilizan o t cnicas %!e 'a)an (osi#le el intercam#io e mensa$es e manera se)!ra %!e sólo (!e an ser leí os (or las (ersonas a%!ienes van iri)i os+

http://es.wikipedia.org/wiki/Artehttp://es.wikipedia.org/wiki/Cienciahttp://es.wikipedia.org/wiki/Informaci%C3%B3nhttp://es.wikipedia.org/wiki/Artehttp://es.wikipedia.org/wiki/Cienciahttp://es.wikipedia.org/wiki/Informaci%C3%B3n


48/159

0a fase e (reservación interviene a lo lar)o e to o el (roceso e investi)ación

forense, la misma interact*a con las emás fases+

0as tareas %!e se e#en se)!ir (ara (reservar la evi encia i)ital sonB

- "ealizar os co(ias e las evi encias o#teni as+

- Generar !na s!ma e com(ro#ación e la inte)ri a e ca a co(ia

em(lean o f!nción 'as' MD= o /@A1H+

- Incl!ir las firmas o#teni as en la eti%!eta e ca a co(ia e la evi encia en

el D o DVD, incl!ir fec'a, 'ora e la creación e la co(ia y el nom#re

e la misma+

- .rote)er los is(ositivos e factores externos comoB cam#ios #r!scos,

tem(erat!ra o cam(os electroma)n ticos, ya %!e (!e en alterar laevi encia+

/i se extraen iscos !ros se e#erá se)!ir el mismo (roce imiento+ 3 en caso e%!e se re%!iera %!e los iscos sean analiza os (or otras em(resas es(ecializa as, se

e#e solicitar %!e lo ase)!ren+

F!nción 'as'B es !na 'erramienta f!n amental en la cri(oto)rafía, son !sa as (rinci(almente (araresolver el (ro#lema e la inte)ri a e los mensa$es, así como la a!tentici a e mensa$es y e s!ori)en, es tam#i n am(liamente !sa a (ara la firma i)ital, ya %!e los oc!mentos a firmar son en)eneral emasia o )ran es, la f!nción 'as' les asocia !na ca ena e lon)it! 1? #its %!e los 'acemás mane$a#les (ara el (ro(ósito e firma i)ital+


49/159

9tro as(ecto %!e se e#e tomar en c!enta es la ca ena e c!sto ia, on e seesta#lecen las res(onsa#ili a es y controles e ca a !na e las (ersonas %!emani(!len la evi encia, se e#erá re)istrar los atos (ersonales e to os los

im(lica os en el (roceso e mani(!lación e las co(iasB

• Dón e, c!án o y %!i n mane$o o examinó la evi encia, incl!yen o s!nom#re, s! car)o, n*mero e i entificación, fec'as y 'oras, etc+

• !i n est!vo c!sto ian o la evi encia, !rante c!anto tiem(o y ón e sealmacenó+

• !an o se cam#ie la c!sto ia e la evi encia tam#i n e#erá oc!mentarse

c!án o y cómo se (ro !$o la transferencia y %!i n la trans(ortó+

:5: A!4li'i' de la Evide!"ia Di&i al

AFD Análisis Forense Di)italH, es !n con$!nto e (rinci(ios y t cnicas %!e

com(ren e el (roceso e a %!isición, conservación, oc!mentación, análisis y (resentación e evi encias i)itales y %!e lle)a o el caso (!e an ser ace(ta asle)almente en !n (roceso $! icial+

4ste análisis se ará (or concl!i o c!an o se conozca cómo se (ro !$o el ata%!e,%!i n o %!ienes lo llevaron a ca#o, #a$o %! circ!nstancias se (ro !$o, c!ál era elo#$etivo el ata%!e, %! a2os ca!saron, etc+

Antes e realizar !n análisis se e#e tener en c!enta la si)!iente informaciónB

aH /istema o(erativo afecta o+

#H Inventario e softEare instala o en el e%!i(o

cH 5i(o e 'ar Eare el e%!i(o

H Accesorios y o (erif ricos conecta os al e%!i(o


50/159

;>

eH /i (osee fireEall

fH /i esta en el ám#ito el DM ona esmilitariza aH

)H onexión a Internet+'H onfi)!ración+

iH .arc'es y o act!alizaciones e softEare

$H .olíticas e se)!ri a im(lementa as

H Forma e almacenamiento e la información cifra a o noH

lH .ersonas con (ermisos e acceso al e%!i(o

mH 4l com(!ta or esta entro el DMnH 4xiste ID/1?

oH !antos e%!i(os en re se enc!entran conecta os+

(H 0istar !s!arios conecta os local y remotamente al sistema+

:5:59 Prepara"i#! para el a!4li'i'1 El e! ro!o de rabajo

4s im(ortante esta#lecer estaciones e tra#a$o (ara realizar las istintas (r!e#as yest! ios al s!r)ir !n caso, e(en ien o el ata%!e o crimen cometi o+ .ara ello se

e#eráB

- lasificar el ti(o e inci ente- /e)!ir el (roceso inter: e(artamental (ara el mane$o e las evi encias- I entificar el ti(o e is(ositivo com(!ta or, cel!lar, memorias, .DAKs,

etc+H y las 'erramientas necesarias (ara s! análisis+

1? ID/B las f!nciones %!e c!m(le el ID/ sonB Monitorea las activi a es a nivel e !s!ario o (rocesos y

activi a es e !n sistema @ID/H, o las activi a es e !na re NID/H, ifra o e atos, 'ace !nia)nostico com(leto el ata%!e y en al)!nos casos (!e e ar recomen aciones e cómo controlar elata%!e+


51/159

4n las estaciones se e#erá o(erar e la si)!iente maneraB

- Montar imá)enes e iscos !ros+

- Instalar /istemas 9(erativos (ara realizar el est! io e evi encias+- "ealizar co(ias exactas el isco !ro con la finali a e realizar (r!e#asy verificaciones conforme s!r$an las 'i(ótesis el ata%!e+

- 4n caso e no is(oner e rec!rsos se (!e e !sar e softEare (ara crear

!na (lataforma e tra#a$o con varias má%!inas virt!ales+1<

- /e (!e e crear !n entorno e tra#a$o 'i(ot tico con las co(ias o#teni as (ara realizar la em!lación e los ata%!es+

:5:56 Re"o!' r%""i#! de la 'e"%e!"ia e(poral del a aK%e

-na vez esta#leci a la estación e tra#a$o, el (rimer (aso es crear !na línea tem(orale s!cesos o timeline, (ara ello se e#erá reco(ilar la si)!iente información so#re los

fic'erosB

- Marcas e tiem(o MA D fec'a y 'ora e mo ificación, acceso, creacióny #orra oH+

- "!ta com(leta el fic'ero+- 5ama2o en #ytes y ti(o e fic'ero+- -s!arios y )r!(os a %!ien (ertenece el fic'ero+- .ermisos e acceso+- I entificar si f!e #orra o o no+

4sta información es la %!e más tiem(o lleva reco(ilar (ero es el (!nto e (arti a (ara el análisis+ 4s im(ortante (re(arar !n'"rip con la finali a e a!tomatizar el (roceso e creación el timeline+

0!e)o e realizar lo antes menciona o se e#eráB

1< Má%!inas virt!alesB varios e%!i(os ló)icos in e(en ientes f!ncionan o so#re !n e%!i(o físico+ 4lsoftEare %!e se (!e e em(lear (ara la creación e (lataforma es VMEare+


52/159

=1

- 9r enar los arc'ivos (or s!s fec'as MA , esto se e#e realizar e#i o a%!e los arc'ivos ten rán la fec'a e instalación el sistema o(erativo, (or lo %!e !n sistema %!e se instaló 'ace meses y %!e f!e com(rometi o

recientemente (resentará en los fic'eros n!evas fec'as MA m!yistintas a las e los fic'eros más anti)!os+

- !scar fic'eros y irectorios %!e 'an si o crea os, mo ifica os o #orra os recientemente+

- !scar instalaciones e (ro)ramas (osteriores a la el sistema o(erativo y%!e a emás se enc!entren en r!tas (oco com!nes+

- !scar en l!)ares on e no se s!ele mirar, (or e$em(lo en los irectorios

tem(orales+- !scar los arc'ivos e sistema mo ifica os tras la instalación el sistema

o(erativo, averi)!ar arc'ivos oc!ltos on e se enc!entran y %!e ti(o son+- !scar arc'ivos #orra os, ya %!e (!e en ser restos e lo)s y re)istros

#orra os (or s!s atacantes+- 4n las imá)enes realiza as a los iscos !ros se (!e e acce er al es(acio

resi !al %!e 'ay etrás e ca a arc'ivo ya %!e los mismos s!elen

almacenarse (or #lo%!es, e tal manera %!e se (!e a leer zonas %!e elsistema o(erativo no ve+

- "ec!(erar arc'ivos #orra os, al momento e 'acerlo, se e#erá intentar rec!(erar s! conteni o y fec'a e #orra o+

- 4xaminar y las 'oras e manera más etalla a e los fic'eros lo)s yre)istros %!e ya se revisaron con la finali a e encontrar !na correlaciónentre eventos+

- "evisar el arc'ivo e contrase2as, #!scar la creación e !s!arios yc!entas extra2as relacionar la 'ora e la creación e estas c!entas en caso

e %!e existan con la 'ora en la %!e se inició el ata%!e al sistema+

:5:5: De er(i!a"i#! de "#(o 'e reali2# el a aK%e

-na vez %!e se is(on)a e la ca ena e acontecimientos %!e se 'an (ro !ci o, se

e#erá eterminar c!ál f!e la vía e entra a al sistema, averi)!an o %!


53/159

v!lnera#ili a o fallo e a ministración ca!só el a)!$ero e se)!ri a y %!e'erramientas !tilizó el atacante (ara a(rovec'arse e tal #rec'a+ .ara ello se e#eráB

- om#inar cons!ltas a arc'ivos lo)s, re)istro, claves c!entas e !s!ariosetc+

- .restar atención a los servicios y (rocesos a#iertos, (!ertos a#iertos5 . -D. y conexiones %!e ya se tomaron como evi encia volátilc!an o el sistema esta#a a*n vivo+

- 4xaminar las circ!nstancias sos(ec'osas encontra as al in icio el

ata%!e, y #!scar con ellas si son o no v!lnera#ili a es a trav s e Internet,e$em(loBE E E + ) o o ) le+ c o m , E E E+ c e rt+ c o m , E E E+s ec ! r it y foc!s+c o m +

- /i ya esta claro c!al f!e la v!lnera#ili a el sistema, se e#erá #!scar en

Internet al)*n ex(loit 1C anterior a la fec'a el ata%!e, %!e !tilice esav!lnera#ili a +

- "eforzar ca a !na e las 'i(ótesis me iante la fórm!la ca!sa:efecto+- -tilizar la má%!ina cone$illo e In iasO con la finali a e realizar las

(r!e#as y ex(loits encontra os+- om(ro#ar si la e$ec!ción el ex(loit so#re !na má%!ina i)!al a la

ataca a, )enera los mismos eventos %!e se 'an encontra o entre lasevi encias+

:5:5; Ide! i?i"a"i#! del a% or o a% ore' del i!"ide! e

-na vez %!e se eterminó como se infiltraron al sistema, a'ora se tiene %!e sa#er %!i n o %!ienes lo 'icieron, (ara ello se e#erá cons!ltar n!evamente al)!nasevi encias volátiles %!e f!eron reco(ila as en la (rimera faseB

1C 4x(loitB es !n (ro ) r a m a infor m á t ico malicioso, o (arte el (ro)rama, %!e trata e forzar al)!naeficiencia o v!lnera#ili a e otro (ro)rama llama as #! ) sH+ -n [ex(loit[ es !sa o normalmente

(ara ex(lotar !na v!lnera#ili a en !n sistema y acce er a l, lo %!e es llama o como [rootear[ tener (rivile)ios e root a ministra orH+ /e (!e en encontrar ex(loits en EE E +( a ets to r ms e c ! r it y +or )

http://www.google/http://www.cert/http://www.cert/http://www.cert/http://www.securityfocus.com/http://www.securityfocus.com/http://es.wikipedia.org/wiki/Programa_inform%C3%A1ticohttp://es.wikipedia.org/wiki/Error_de_softwarehttp://www.paketstormsecurity.org/http://www.paketstormsecurity.org/http://www.google/http://www.cert/http://www.securityfocus.com/http://es.wikipedia.org/wiki/Programa_inform%C3%A1ticohttp://es.wikipedia.org/wiki/Error_de_softwarehttp://www.paketstormsecurity.org/


54/159

=8

- "evisar las conexiones %!e se encontra#an a#iertas, %!e (!ertos y %!eirecciones I. las solicitaron, a más e ello se e#erá #!scar entre las

entra as a los lo)s e conexiones+

- In a)ar entre los arc'ivos #orra os %!e se 'an rec!(era o+

.ara I entificar a los atacantes se e#e realizar al)!nas averi)!aciones como (arteel (roceso e i entificaciónB

- Averi)!ar la irección I. el atacante, (ara ello se e#erá revisar eteni amente los re)istros e conexiones e re , los (rocesos y servicios

%!e se encontra#an a la esc!c'a+ 4sta información se (o ría encontrar enfra)mentos e las evi encias volátiles, la memoria virt!al o arc'ivostem(orales y #orra os, como restos e e:mail, conexiones falli as, etc+

- Al a %!irir la irección I. sos(ec'osa, se e#erá com(ro#ar en el re)istro"I.4 N E E E+ r i( e +n e t H a %!ien (ertenece, es im(ortante consi erar %!e no se (!e e sacar concl!siones (remat!ras, e#i o a %!e m!c'os

atacantes falsifican la irección I. con t cnicas e s(oofin)1>+ 0osatacantes tam#i n (!e en !tilizar or ena ores zom#is, stos soncom(rometi os en (rimera instancia (or el atacante y (osteriormente son!tiliza os como instr!mentos el ata%!e final sin %!e s!s (ro(ietariosse(an %!e están sien o cóm(lices e tal 'ec'o+ .or ello, (ara i entificar as! atacante ten rá %!e verificar y vali ar la irección I. o#teni a+

- /e (!e e em(lear t cnicas 'ac er (ara i entificar al atacante ya %!e el

e%!i(o el mismo e#e tener inevita#lemente !n (!erto %!e se enc!entrees(eran o noticias o #!scan o víctimas+ Nma( ca(ít!lo =H

- Averi)!ar el (erfil el atacante, se (!e e encontrar con los si)!ientesti(osB

1> /(oofin)B !so e t cnicas e s!(lantación e i enti a )eneralmente con !sos maliciosos o einvesti)ación+

http://www.ripe.net/http://www.ripe.net/http://www.ripe.net/


55/159

o @ac ersB (ersonas con conocimientos en t cnicas e (ro)ramación, re es, Internet y sistemas o(erativos, s!sata%!es son en senti o i eoló)ico y (acifista+

o /cri(tRi iesB son (ersonas n!evas %!e 'an salta o a la

escena e la elinc!encia informática recientemente+ /e tratae $óvenes %!e con !nos conocimientos ace(ta#les en Internet

y (ro)ramación em(lean 'erramientas ya fa#rica as (or otros (ara realizar ata%!es y ver %!e (asaO+

o .rofesionalesB son (ersonas con m!c'ísimos conocimientos enlen)!a$es e (ro)ramación, re es y s! e%!i(amiento ro!ters,fireEall, etc+H, Internet y sistemas o(erativos ti(o -NIT+

:5:5< Eval%a"i#! del i(pa" o "a%'ado al 'i' e(a

4l análisis forense ofrece la (osi#ili a e investi)ar %! es lo %!e 'an 'ec'o losatacantes !na vez %!e acce ieron al sistema+ 4sto (ermitirá eval!ar el ata%!ecometi o a los e%!i(os y realizar !na estimación el im(acto ca!sa o+ Generalmentese (!e en ar os ti(os e ata%!esB

9 A aK%e' pa'ivo'1en los %!e no se altera la información ni la o(eración

normal e los sistemas, limitán ose el atacante solo a fis)onear+

6 A aK%e' a" ivo'B en los %!e se altera la información, y en ocasionesseriamente, la ca(aci a e o(eración el sistema+

/e e#erá tener en c!enta los efectos y el im(acto %!e ca!se el ata%!e a sistemas,

servi ores e ases e Datos, servi ores P4 , cortaf!e)os, ro!ter con la finali ae ser !n a(orte, (resentan o los a2os encontra os, al (ersonal e se)!ri a


56/159

informática e la instit!ción ataca a o en *ltimo e los casos a la com(a2ía ese)!ros e la misma+

:5; Pre'e! a"i#! de Evide!"ia Di&i al67

4sta es la fase final e la investi)ación forense informática ya %!e se (resentan losres!lta os y 'allaz)os el investi)a or+ 5an (ronto como el inci ente 'aya si o

etecta o es im(ortante tomar nota so#re las activi a es %!e se llevan a ca#o, ca a (aso a o e#e ser oc!menta o y fec'a o es e %!e se esc!#re el inci ente 'astafinalizar la (resentación, la misma e#e ser enten i#le, creí#le, confia#le yconvincente, es ecir se e#erá es(ecificar claramente los (roce imientos y last cnicas !tiliza as (ara recolectar, (reservar y filtrar la evi encia e tal manera %!esea le)almente ace(ta#le (ara ser (resenta as a las enti a es investi)a oras y $! iciales+

:5;59 U ili2a"i#! de ?or(%lario' de re&i' ro del i!"ide! e

0a a(licación e form!larios ay! ará a (resentar !na resol!ción el inci enteme iante la (resentación e informes !no 5 cnico y otro 4$ec!tivo+ 4stosform!larios e#en ser llena os (or e(artamentos o enti a es afecta as o (or ele%!i(o %!e )estiona el inci ente, los form!larios %!e se e#en (re(arar sonB

o Doc!mento e c!sto ia e la evi encia+o Form!lario e i entificación e e%!i(os y com(onentes+o Form!lario e inci encias+o Form!lario e (!#licación el inci ente+o Form!lario e reco)i a e evi encias+o Form!lario e iscos !ros+

7 0L.4 D40GAD9 Mi)!el, Análisis Forense Di)ital+ 9(+ it+ ( 7AMA3A, "icar o 0eón, Informática ForenseB Generali a es, as(ectos t cnicos y 'erramientas+


57/159

:5;56 I!?or(e T@"!i"o

4ste informe consiste en !na ex(osición etalla a el análisis efect!a o+ De#eráescri#ir en (rof!n i a la meto olo)ía, t cnicas y 'allaz)os el e%!i(o forense+De#erá contener, al menos, los si)!ientes (!ntosB

- Antece entes el inci ente+- "ecolección e los atos+- Descri(ción e la evi encia+

- 4ntorno el análisis+ Descri(ción e las 'erramientas+

- Análisis e la evi encia+ Información el sistema analiza o+

• aracterísticas el /9+• A(licaciones+• /ervicios+• V!lnera#ili a es+• Meto olo)ía+

- Descri(ción e los 'allaz)os+

• @!ellas e la intr!sión+• @erramientas !sa as (or el atacante+• Alcance %!e 'a teni o el elito+• 4l ori)en el ata%!e

- ronolo)ía el elito+- oncl!siones+- "ecomen aciones es(ecíficas+- "eferencias+


58/159

=<

:5;5: I!?or(e Eje"% ivo

4ste informe es !n res!men el análisis efect!a o a las evi encias i)itales, elmismo e#eráB

- /er re acta o en !n len)!a$e com*n %!e sea le)i#le (ara c!al%!ier (ersona+

- No ser escrito e manera t cnica+- 4x(oner los 'ec'os más estaca#les e lo oc!rri o en el sistema

analiza o+

- onstará e (ocas (á)inas, entre tres y cinco,- De#erá ser e inter s (ara ex(oner lo s!ce i o a (ersonal no

es(ecializa o en sistemas informáticos, como el e(artamento e"ec!rsos @!manos, A ministración, e incl!so al)!nos irectivos+

4n el mismo se e#e escri#irB

- Motivos e la intr!sión+- Desarrollo e la intr!sión+- "es!lta os el análisis+- "ecomen aciones+


59/159

CAPÍTULO ;

METODOLOGÍAS + ESTRATEGIAS EN .ASE A LA INFORM-TICAFORENSE

0as meto olo)ías %!e se !sen en la Informática Forense (!e en ser iversas ein e(en ientemente e las (lataformas o sistema o(eracional on e se efect*en lasactivi a es e los investi)a ores forenses en informática se e#e c!m(lir los

si)!ientes re%!isitos con la información o evi encia i entifica a+ .ara las co(ias e la información se e#e !tilizar me ios forenses

est riles Mantener la inte)ri a el me io ori)inal

4ti%!etar, controlar y transmitir a ec!a amente las co(ias e los atos,

im(resiones y res!lta o e la investi)ación+

De esta forma la evi encia no será re#ati a y tam(oco escarta a como me io (ro#atorio+

;59 A!4li'i' de Sopor e' > Di'po'i ivo' Ele" r#!i"o'

0os so(ortes e almacenamiento, como los iscos, almacenamientos removi#lesis%!etes, iscos I., D:"9M, DVD, etc+H+ .ara s! análisis se re%!iere !na

com(rensión com(leta tanto e la estr!ct!ra física y el f!ncionamiento e losme ios e almacenamiento como la forma y la estr!ct!ra ló)ica e cómo sealmacenan los atos+


60/159

0os is(ositivos electrónicos se refieren a c!al%!ier is(ositivo ca(az e )!ar ar información %!e (osea valor como evi encia+ Dentro e stos se (!e e incl!ir a los


61/159

tel fonos cel!lares, a)en as y or)aniza ores electrónicos, is(ositivos ecom!nicaciones e re como ro!ters, '!#s, etc+ 4l análisis e estos is(ositivos esmás com(le$o %!e rec!(erar los atos e los so(ortes, incl!sive el 'ar Eare

re%!eri o es )eneralmente más es(ecializa o+

.or tanto (or el am(lio alcance e la informática forense, están invol!cra as variasciencias y isci(linas como in)eniería electrónica, cri(to)rafía, in)eniería esoftEare, com!nicaciones, erec'o, son áreas %!e en con$!nto 'acen (osi#le elanálisis e los so(ortes e almacenamiento y is(ositivos electrónicos+

;56 A!4li'i' de la "o(%!i"a"i#! de da o'

.ara realizar el análisis e la com!nicación e atos, es im(ortante a#arcar osas(ectosB

1+ Intr!sión en !na re e com(!ta oras o el mal !so e la misma+7+ Interce(tación e atos+

4l análisis so#re estr!ct!ras e esta nat!raleza, consiste en las f!nciones si)!ientesB

Detección e la intr!sión o interce(tación+

Detectar la evi encia, ca(t!rarla y (reservarla+ "econstr!ir e la activi a es(ecífica o el 'ec'o en sí+

.ara la etección e la intr!sión o interce(tación )eneralmente se !tiliza softEarees(ecializa o y en al)!nos casos 'ar Eare, (ara s!(ervisar la com!nicación e los

atos y conexiones con el (ro(ósito e i entificar y aislar !n com(ortamiento ile)al+Dic'o com(ortamiento incl!ye el acceso no a!toriza o, mo ificación el sistema en

forma remota y el monitoreo no a!toriza o e (a%!etes e atos+


62/159

Des(! s el esc!#rimiento e la intr!sión o !n com(ortamiento anormal, se e#eca(t!rar la evi encia, (ara %!e se (!e a conservar (ara el (osterior análisis+

0a reconstr!cción e la intr!sión o !n com(ortamiento anormal (ermite !n examene to os los atos reco)i os !rante la ca(t!ra e la evi encia+

;5: Me odolo&$a' > E' ra e&ia'

.ara realizar !n análisis forense se re%!iere e !na meto olo)ía científica (ro#a a, yel !so e la tecnolo)ía is(oni#le (ara encontrar, recolectar, (rocesar e inter(retar atos, así como e !na c!i a osa ca!tela y e #!enos conocimientos+

0os com(onentes (rinci(ales %!e e#e c!m(lir !na meto olo)ía (ara !n análisis

forense esB

Mar"o Cie! $?i"o1Investi)aciones y ex(eriencias a(oya as estrictamente en elm to o científico+ Más allá e la fl!i ez ar)!mentativa (ro(ia e ca a (rofesionalse e#e a(ortar estr!ct!ra ló)icas necesarias (ara $!stificar las f!n amentaciones emanera estricta e irre#ati#le+

Mar"o Cri(i!al$' i"oB Interrelacionarse con los restantes es(ecialistas el área,interact!ar con los mismos, tra#a$ar en forma mancom!na a y en #ase a visioneses(ecíficas lle)ar a concl!siones co'erentes+ 9#tener los conocimientos necesarios (ara etectar, oc!mentar, (reservar y e ser necesario sec!estrar los elementos (ro#atorios (ro(ios e otras es(eciali a es (resentes en el l!)ar el 'ec'o+


63/159

Mar"o I!?or(4 i"o &e!eral1 las meto olo)ías e Análisis e /istemas, %!e se!tiliza en 'erramientas e !so )eneral se (!e en a a(tar a las activi a es (ericialesinformáticas+ 0as eta(as e relevamiento e información y esarrollo e !n mo elo

co'erente e análisis, se evi encian como instr!mentos a ec!a os (ara #rin ar so(orte meto oló)ico a la activi a el ex(erto en informática Forense+

Mar"o I!?or(4 i"o e'pe"$?i"o1en relación con las 'erramientas (ro(ias el análisisforense informático, e#en ser a#or a as es e las características más a ec!a as %!evayan con la reali a e n!estra socie a , ya sean am#ientes e softEare li#re o

softEare (ro(ietario+

Mar"o Le&al1Im(lica la inserción le)al el accionar (ericial al conc!rrir al l!)ar el'ec'o, los c!m(limientos e los (lazos le)ales, la con ición e testi)o ex(erto, losartíc!los e las leyes vi)entes en n!estro (aís+

Al c!m(lir con los com(onentes meto oló)icos nom#ra os el Informe .ericial seráB

• ientíficamente f!n amenta o• riminalísticamente interrelaciona o• Mo ela o me iante t cnicas (ro(ias el Análisis e /istemas+• Investi)a o con las me$ores 'erramientas is(oni#les+•

Inserto en el marco le)al corres(on iente+

Me odolo&$a Si' @(i"a

0a investi)ación es !na serie activi a es ten ientes a resolver !n (ro#lemaes(ecífico y acota o, la meto olo)ía sist mica es !na e las más a(ro(ia as yact!aliza as (ara enfrentar ic'a tarea+


64/159

0os m to os clásicos e in !cción, e !cción y a# !cción, to os ellos re!ni os enel m to o científico, constit!yen 'erramientas inevita#les y #ásicas en !nainvesti)ación, (ero la (lanificación )eneral es sist mica+

0os as(ectos a consi erar entro e las meto olo)ías e la Informática forense sonB

• Ase)!rar %!e nin)!na (ersona ten)a acceso a la com(!ta ora y a s!s

alre e ores+ /i es !na em(resa se e#e i entificar al (ersonal informáticointerno y a los !s!arios e a(licaciones es(ecíficas %!e e#en someterse a (erita$e+

• /i la com(!ta ora se enc!entra encen i a, foto)rafiar la (antalla+• /i la com(!ta ora se enc!entra a(a)a a, no encen er ya %!e (!e en activarse

sistemas %!e estr!irán la información+• Des'a#ilitar la ener)ía es e s! f!ente o cerrar el sistema !san o los

coman os el /istema 9(erativo, si son note#oo s será necesario %!itarle la #atería+ 4l (erito informático eterminará la mo ali a e a(a)a o y

esconexión el ctrica+• Desconectar o es'a#ilitar el mó em• Desconectar la f!ente e la im(resora• Insertar !n is ette, c o v c!#ierto con cinta e evi encia• Antes e em(ezar con el (rocesamiento e la evi encia se e#e foto)rafiar

!na toma com(leta el l!)ar on e se enc!entran los e%!i(os, a lasconexiones e to os los e%!i(os y l!e)o ia)ramarlas+ 4n al)!nos casos si esconveniente se (!e e realizar !na filmación+

• "ot!lar to as la conexiones e los e%!i(os (ara (o er resta!rar laconfi)!ración ori)inal

• Foto)rafiar el área es(! s e %!e el )a#inete 'a si o removi o• Investi)ar el área en #!sca e información relaciona a o e contrase2as+• /ec!estrar li#ros, notas, man!ales, softEare, iscos, sistemas e

almacenamiento y to o lo relaciona o al

Documents

Tesis Informatica Forense.desbloqueado