Análisis de Los Beneficios Del Uso de Técnicas y Herramientas de "Forensics" en Las Pymes para La Recuperación y Prevención de Pérdida de Datos

Protocolo de Investigacin
Maestra en Tecnologas de Informacin
Jos Roberto Lpez Quiones
Protocolo de investigacin
Tabla de contenido
ndice de ilustraciones................................................................................................................................4
ndice de tablas..........................................................................................................................................5
Introduccin...........................................................................................................................................9
Revisin de literatura.............................................................................................................................9
Informtica forense: Una valiosa herramienta para las PyMEs................................................................9
Resumen.................................................................................................................................................9
Abstract................................................................................................................................................10
Principios del forensics........................................................................................................................12
Herramientas tecnolgicas...................................................................................................................13
Herramientas de informtica forense de hardware y software.............................................................13
Causas de daos...................................................................................................................................14
Recuperando informacin de la computadora.....................................................................................14
Conceptos.............................................................................................................................................16
Metodologa general de la investigacin.............................................................................................19
Descripcin de la metodologa seleccionada: materiales, mtodos, instrumentos, tcnicas,
participantes.........................................................................................................................................19
Materiales.........................................................................................................................................19
Mtodos............................................................................................................................................19
Medidas e instrumentos de evaluacin............................................................................................20
Tcnicas...........................................................................................................................................20
Participantes.....................................................................................................................................20
Introduccin a la informtica forense (forensics)............................................................................21
Qu es forensics?........................................................................................................................21
Cules son los objetivos de forensics?........................................................................................21
Usos de forensics..........................................................................................................................22
Distincin entre documentos electrnicos y documentos impresos (20)...........................................22
Tcnicas de forensics........................................................................................................................23
Cmo se puede recuperar evidencia borrada?....................................................................................24
Funcionamiento de los dispositivos de almacenamiento.................................................................24
Escritura de datos en dispositivos de almacenamiento....................................................................25
Lectura de datos en dispositivos de almacenamiento......................................................................27
Proceso de forensics.........................................................................................................................28
Identificacin de la evidencia digital...............................................................................................28
Extraccin y preservacin del material informtico........................................................................29
Anlisis de datos..............................................................................................................................31
File Slack (14, 25)............................................................................................................................31
Archivo swap de Windows (14, 25).................................................................................................32
Unallocated file space (14, 26)........................................................................................................33
Herramientas de forensics................................................................................................................33
Herramientas para la recoleccin de evidencia................................................................................33
Herramientas de monitoreo y/o control de computadoras...............................................................37
Keylogger (29).................................................................................................................................37
UNID 2010
Pgina 2
Herramientas de marcado de documentos(14).................................................................................38

Herramientas de hardware (14)........................................................................................................38
Dificultades del experto en forensics(14).........................................................................................38
Seguridad forense en negocios. (30)....................................................................................................39
Quin utiliza la seguridad forense. (30)...............................................................................................39
Fases de la seguridad forense (30).......................................................................................................40
Retos de forensics(30)......................................................................................................................41
Incidentes de seguridad (8)..................................................................................................................41
Forensia en redes (Network Forensics)................................................................................................44
Presupuesto de la investigacin...........................................................................................................45
Procedimiento..........................................................................................................................................46
Encuesta...............................................................................................................................................46
Anlisis de la informacin...................................................................................................................50
Referencias...........................................................................................................................................51
ANEXO1. Resultados de las encuestas...................................................................................................53
UNID 2010
Pgina 3
ndice de ilustracione
Ilustracin 1Eleccin del tema de investigacin.......................................................................................8

Ilustracin 2 Principales rubros de costos asociados a la seguridad de la informacin en su
organizacin(6)........................................................................................................................................10
Ilustracin 3. Etapas de una investigacin (10)......................................................................................12
Ilustracin 4 Una cabeza de escritura(14)................................................................................................25
Ilustracin 5 Escribiendo datos en un medio de almacenamiento(14)....................................................25
Ilustracin 6 Leyendo datos desde un medio de almacenamiento(14)....................................................26
Ilustracin 7 Metodologa de trabajo para anlisis de datos(21).............................................................27
Ilustracin 8 Elementos para la identificacin de evidencia.(21)............................................................28
Ilustracin 9 Elementos para la preservacin de evidencia(21)...............................................................29
Ilustracin 10 Elementos para el anlisis de evidencia.(21)....................................................................30
Ilustracin 11 Categoras generales de incidentes(8)...............................................................................42
UNID 2010
Pgina 4
ndice de tablas
Tabla 1 Seguridad en algoritmos de hash (24).........................................................................................29
Tabla 2 Area del file slack (18)................................................................................................................31
Tabla 3 Caractersticas de los principales software de "forensics"(21)...................................................36
UNID 2010
Pgina 5
Titulo
Anlisis de los beneficios del uso de tcnicas y herramientas de forensics en las Pymes para
la recuperacin y prevencin de prdida de datos.
Justificacin
Con el gran auge de las tecnologas de informacin, cada vez es ms comn la perdida
de datos por parte de los usuarios, ya sea de una forma accidental o deliberada, lo cual,
para las empresas, es una perdida principalmente de recursos econmicos,
desgraciadamente esto es muy comn en las promesa, ya sea por errores de captura, o lo
ms frecuente, empleados descontentos.(1)
La prdida de informacin sin una correcta planificacin e implementacin de medidas
de seguridad, podra requerir de una alta inversin en tiempo e incluso dinero para su
recuperacin, y eso siempre y cuando sea posible ya que no siempre lo es, o por lo
menos no totalmente. En un entorno empresarial esto es an ms grave ya que la
disponibilidad de la informacin es fundamental para el correcto desarrollo de su
actividad diaria.(2)
Existen diferentes herramientas que ayudan en la recuperacin de datos, el anlisis de
intrusos, proteccin de atacantes, entre otras que, con el conocimiento adecuado
permitiran a las Pymes recuperar informacin perdida o incluso prevenir que suceda
dicha perdida.(3)
Objetivo General
Analizar los beneficios del uso de tcnicas y herramientas de forensics para apoyar a
en la recuperacin y prevencin de prdida de datos en pequeas y medianas empresas.
Objetivos Especficos
Determinar cules son las diferentes herramientas de forensics que existen en

el mercado.
UNID 2010
Analizar las diferencias entre las herramientas de forensics.

Pgina 6
Determinar cul es el giro empresarial ms afectado por la prdida de

informacin en Durango.
UNID 2010
Pgina 7
Determinacin del tema de investigacin
Ilustracin 1Eleccin del tema de investigacin
UNID 2010
Pgina 8
Introduccin
Contexto
Con la adopcin cada vez ms frecuente de las tecnologas de informacin por las empresas, la
dependencia de la informacin digital es cada vez mayor y por lo tanto se tienen que preparar y utilizar
recursos para proteger dichos datos e inclusive recuperar algunos de esos datos que pueden llegar a
perderse por distintos motivos principalmente por la accin de virus informticos(4). En algunos casos
la perdida de informacin se debe a empleados descontentos que realizan fraudes y en esos casos se
pueden llegar a acciones penales contra ellos, sin embargo para obtener las pruebas necesarias para
proceder legalmente, es necesario el uso de tcnicas y herramientas tanto de software como de
hardware (5) para obtener dichas pruebas, aunque dichas tcnicas y herramientas pueden ser usadas con
otros propsitos como la proteccin de los datos para evitar su prdida o recuperar datos que fueron
borrados accidentalmente y que son crticos para la empresa, ya que sta depende directamente de la
informacin que generan sus sistemas de informacin(6).
Revisin de literatura
Informtica forense: Una valiosa herramienta para las PyMEs

Resumen
El constante incremento en el uso de las nuevas tecnologas de informacin por las empresas ha
ocasionado una gran dependencia de las mismas, a causa de ello, por diversas razones, principalmente
empleados descontentos, datos importantes para las empresas se pierden, generando prdidas
econmicas. Existen diversas tcnicas de informtica forense que ayudan en la recuperacin de datos
perdidos, incluso software especializado en informtica forense que puede ayudar a las empresas a
evitar prdidas o en la recuperacin de datos y por lo tanto, evitar prdidas econmicas.
Palabras clave: Informtica forense, software, tcnicas de forensics.
UNID 2010
Pgina 9
Abstract
The steady increase in the use of new information technologies the companies has led to a big
dependency on them, because of it, for various reasons, mainly disgruntled employees, for business
critical data is lost, causing economic losses. There are various techniques of computer forensics that
help in the recovery of lost data, even software that specializes in computer forensics that can help
companies to avoid or recover lost data and therefore, prevent economic losses.
Key words: Forensics, software, forensics techniques
Costos asociados a la seguridad de la informacin en las empresas.
Es difcil elegir o dar prioridad a solo algunos rubros que intervienen en los costos que implica la
seguridad de la informacin. A continuacin se presenta un mapa mental para tratar de dejar ver un
panorama general de la informacin.
Ilustracin 2 Principales rubros de costos asociados a la seguridad de la informacin en su

organizacin(6)
Con el grfico anterior se puede decir que si se tiene una especial importancia por las Tecnologas de
UNID 2010
Pgina 10
Informacin (TI).
La prdida de informacin sin una correcta planificacin e implementacin de medias de seguridad,
podra requerir de una alta inversin en tiempo e incluso dinero para su recuperacin, y eso siempre y
cuando sea posible ya que no siempre lo es, o por lo menos no totalmente. En un entorno empresarial
esto es aun ms grave ya que la disponibilidad de la informacin es fundamental para el correcto
desarrollo de su actividad diaria.(2)
Qu es la informtica forense?
Existen mltiples definiciones a la fecha sobre el tema forense en informtica. Una primera revisin
nos sugiere diferentes trminos para aproximarnos a este tema, dentro de los cuales se tienen:
computacin forense, digital forensics (forensia digital), network forensics (forensia en redes), entre
otros. La informtica forense se puede definir entonces como la disciplina cientfica y especializada
que entendiendo los elementos propios de las tecnologas de los equipos de computacin ofrece un
anlisis de la informacin residente en dichos equipos.(7)
La informtica forense se ocupa de la utilizacin de los mtodos cientficos aplicables a la
investigacin de los delitos, no solo informticos y donde se utiliza el anlisis forense de las evidencias
digitales, en fin toda informacin o datos que se guardan en una computadora o sistema informtico. En
conclusin diremos que la informtica forense es la ciencia forense que se encarga de la preservacin,
identificacin, extraccin, documentacin y interpretacin de la evidencia digital, para luego sta ser
presentada en una corte de justicia.(8)
Si bien la informtica forense est encaminada a la resolucin de casos de ndole penal, las tcnicas y
herramientas de las que hace uso, se pueden usar con otros fines, como la proteccin y recuperacin de
datos informticos. Para ello se tienen que tener en claro las partes que pudieran estar involucradas en
la prdida de informacin, para este propsito se han creado categoras a fin de hacer una necesaria
distincin entre el elemento material de un sistema informtico o hardware (evidencia electrnica) y la
informacin contenida en este (evidencia digital).(8)
UNID 2010
Pgina 11
Principios del forensics

Existen un gran nmero de principios bsicos que son necesarios independientemente de si ests
examinando un ordenador o un cadver:
1. Evitar la contaminacin. En televisin salen los examinadores forenses ataviados con batas
blancas y guantes, tomando las pruebas con pinzas y ponindolas en bolsas de plstico selladas.
Todo ello es para prevenir la contaminacin.(9)
2. Actuar metdicamente. En cualquier cosa que se haga, si se tuviera que ir a un juicio, se
necesitara justificar todas las acciones que se hayan realizado. Si se actuara de manera
cientfica y metdica, tomando cuidadosas notas de todo lo que se hace y como se hace, esta
justificacin sera mucho ms fcil.(9)
3. Cadena de evidencias. Significa que, en cualquier momento del tiempo, se pueda justificar
quien ha tenido acceso y donde ha sido, eliminando as la posibilidad de que alguien haya
podido sabotearlo o falsificarlo de alguna manera.(9)
Ilustracin 3. Etapas de una investigacin (10)
UNID 2010
Pgina 12
Herramientas tecnolgicas
De forma global, las herramientas tecnolgicas que hay son muchas a nivel mundial. Su funcionalidad
como se menciono anteriormente viene a ser la de ayudar al perito que realiza una investigacin a
encontrar mejores pruebas y de una forma ms exacta y precisa, y que a la postre, sirva como evidencia
clara para el debido proceso penal.(11)
Algunas de las herramientas que con frecuencia son utilizadas en procesos de informtica forense son:
ENCASE. Es una de las herramientas clave que las fuerzas policiales han empezado a utilizar
en tcnicas de investigacin ciberntica.(11)

FORENSICTOOLKIT. Ofrece a los profesionales la capacidad de realizar exmenes forenses
informatizados completos y exhaustivos(11).
Herramientas de informtica forense de hardware y software

Una herramienta forense produce resultados tiles, reproducibles y verificables. Las herramientas
forenses pueden dividirse en dos grandes clases de herramienta: hardware y software.(5)
Uso de herramientas de hardware. Las herramientas de hardware incluyen cada elemento externo a
la computadora que se est analizando, tal como cables especializados, bloqueadores de escritura,
extractores de dispositivos y otros utensilios que permiten que las herramientas de software funcionen.
(5)
Uso de herramientas de software(5)
Las herramientas de software pueden tener muchas categoras dependiendo en como se quiera
vulnerarlas. Algunas herramientas son multipropsito y pueden cubrir ms de un escenario, otras
herramientas son altamente especializadas.
Algunas de las principales categoras de herramientas forenses son:
Herramientas de adquisicin
Herramientas de descubrimiento de datos
Herramientas de historial de internet
UNID 2010
Pgina 13
Causas de daos
La perdida de informacin ocurre por diversos motivos, de acuerdo a una encuesta realizada en 2008 a
diversas organizaciones, los incidentes por virus ocurren cada vez ms frecuentemente, teniendo casi la
mitad de las respuestas (un 49%), el segundo incidente ms comn son los abusos de redes con un
44%, seguidos por el robo de laptops y otros dispositivos mviles.(4)
Recuperando informacin de la computadora.

Para entender cmo funciona la recuperacin de datos perdidos, primero hay que entender que la
informacin se guarda en medios fsicos por lo tanto no existe como tal sino mas bien se encuentra
latente como una forma metafsica por lo cual puede ser accedida de alguna manera. Los discos
duros guardan la informacin de forma magntica y los datos se van sobrescribiendo, utilizando
algunas tcnicas especializadas, es posible acceder a historiales magnticos de los datos borrados y
recuperarlos.(12)
UNID 2010
Pgina 14
Preguntas de investigacin.
Cul sector de empresas sera el ms beneficiado al implantar tcnicas y herramientas de forensics?
Es necesario personal especializado para implantar las tcnicas de forensics?
Con que frecuencia se pierden datos en las empresas?
De los datos perdidos, qu cantidad es imprescindible para la empresa?
Qu consecuencia trae consigo la perdida de informacin digital?
Hiptesis
La adopcin de tcnicas y herramientas de informtica forense para la recuperacin y prevencin de
datos por las empresas disminuir prdidas econmicas y operativas.
UNID 2010
Pgina 15
Conceptos
Para la correcta comprensin del presente documento, es necesario conocer algunos conceptos
importantes, a continuacin se presentan aquellos conceptos que se considera son los de mayor
relevancia para el proyecto.
Informtica o computacin forense: Segn el FBI, la informtica (o computacin) forense es la
ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y
guardados en un medio computacional.(13)
La informtica forense hace entonces su aparicin como una disciplina auxiliar de la justicia moderna,
para enfrentar los desafos y tcnicas de los intrusos informticos, as como garante de la verdad
alrededor de la evidencia digital que se pudiese aportar en un proceso.(7)
Dentro de la informtica forense, se pueden encontrar diferentes conceptos, tales como:
Computacin forense (computer forensics) que se entiende por disciplina de las ciencias forenses,
que considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la
informacin en los medios informticos para establecer los hechos y formular las hiptesis relacionadas
con el caso; o como la disciplina cientfica y especializada que entendiendo los elementos propios de
las tecnologas de los equipos de computacin ofrece un anlisis de la informacin residente en dichos
equipos. (7)
Forensia en redes (network forensics) Es un escenario an ms complejo, pues es necesario
comprender la manera como los protocolos, configuraciones e infraestructuras de comunicaciones se
conjugan para dar como resultado un momento especfico en el tiempo y un comportamiento particular.
Esta conjuncin de palabras establece un profesional que entendiendo las operaciones de las redes de
computadores, es capaz, siguiendo los protocolos y formacin criminalstica, de establecer los rastros,
los movimientos y acciones que un intruso ha desarrollado para concluir su accin. A diferencia de la
definicin de computacin forense, este contexto exige capacidad de correlacin de evento, muchas
veces disyuntos y aleatorios, que en equipos particulares, es poco frecuente. (7)
UNID 2010
Pgina 16
Forensia digital (digital forensics) Es la forma de aplicar los conceptos, estrategias y procedimientos
de la criminalstica tradicional a los medios informticos especializados, con el fin de apoyar a la
administracin de justicia en su lucha contra los posibles delincuentes o como una disciplina
especializada que procura el esclarecimiento de los hechos (quin?, cmo?, dnde?, cundo?,
porqu?) de eventos que podran catalogarse como incidentes, fraudes o usos indebidos bien sea en el
contexto de la justicia especializada o como apoyo a las acciones internas de las organizaciones en el
contexto de la administracin de la inseguridad informtica. (7)
Importancia de la informtica forense
"High-tech crime is one of the most important priorities of the Department of Justice". Con esta frase
se puede observar cmo los crmenes informticos, su prevencin, y procesamiento se vuelven cada
vez ms importantes.(14) Esto es respaldado por estudios sobre el nmero de incidentes reportados por
las empresas debido a crmenes relacionados con la informtica.(15)
Los investigadores de la computacin forense usan gran cantidad de tcnicas para descubrir evidencia,
incluyendo herramientas de software que automatizan y aceleran el anlisis computacional.(14)
Usos de la informtica forense
Existen varios usos que se le pueden dar a la informtica forense, y aunque algunos de ellos sean casos
muy particulares relacionados con actividades legales, existen otros que estn ligados a la vida
cotidiana.
Prosecucin Criminal: la evidencia digital puede ser usada para incriminar y procesar diversos tipos
de crmenes, incluyendo homicidios, fraude financiero, trfico y venta de drogas, evasin de impuestos
o pornografa infantil.
Litigacin Civil: Ayuda en los casos que tratan con fraude, discriminacin, acoso, divorcio, entre otros.
Investigacin de Seguros: La evidencia encontrada en computadoras, ayuda a las compaas de
seguros a disminuir los costos de los reclamos por accidentes y compensaciones.
UNID 2010
Pgina 17
Temas corporativos: Informacin que trata sobre acoso sexual, robo, mal uso o apropiacin de
informacin confidencial o propietaria, o an de espionaje industrial puede ser recolectada de las
computadoras.
UNID 2010
Pgina 18
Metodologa general de la investigacin

En la presente investigacin se tendr como objeto de estudio las diferentes tcnicas y herramientas de
forensics que las pymes del estado de Durango puedan usar para la recuperacin y/o prevencin de
prdida de datos.
La metodologa a seguir se basar en la aplicacin de encuestas con tendencias de seguridad de la
informacin que se realizarn al personal del rea de sistemas de cada empresa, posteriormente se
analizarn los resultados obtenidos de las encuestas utilizando weka, un software libre usado para el
procesamiento de datos a travs de algoritmos de minera de datos (16).
Descripcin de la metodologa seleccionada: materiales, mtodos, instrumentos, tcnicas,
participantes.
sta investigacin ser realizada mediante una investigacin aplicada, ya que se pretende que los
resultados obtenidos sean puestos en prctica para contribuir a la mejora de la seguridad en la
informacin de las Pymes en el estado de Durango, evitando o controlando la prdida de datos.
MATERIALES
Los materiales requeridos para sta investigacin se resumen a: computadora; conexin a internet;
artculos, libros, publicaciones dentro de los temas de forensics, recuperacin de informacin,
Software de forensics; software de procesamiento de minera de datos, Diversos software de
forensics.
MTODOS
Para la presente investigacin se har uso del Mtodo deductivo, ya que a partir de todos los aspectos
que el computo forense(7) abarca solo se enfocar a aquellos que tengan que ver nica y
exclusivamente con la prdida y recuperacin de datos.
UNID 2010
Pgina 19
MEDIDAS E INSTRUMENTOS DE EVALUACIN

Las medidas e instrumentos de evaluacin que sern utilizados durante el proyecto de investigacin
son los resultados que sean arrojados por el software weka (16) as como una comparativa entre las
caractersticas de cada uno de los software analizados..
TCNICAS
Las tcnicas establecidas para sta investigacin son: uso de tcnicas de minera de datos (17) a travs
del software weka(16) siendo ste alimentado por las respuestas de las encuestas aplicadas, evaluacin
de las caractersticas de los diferentes software de forensics.
PARTICIPANTES
Los participantes sern los las empresas en las que se encuentran realizando su residencia profesional
los estudiantes de las carreras de Ingeniera en Sistemas Computacionales y Licenciatura en
Informtica del Instituto Tecnolgico de Durango.
UNID 2010
Pgina 20
Introduccin a la informtica forense (forensics)

La informtica forense est adquiriendo cada vez ms importancia en el rea de la informacin
electrnica, esto debido al aumento del valor de la informacin as como al uso que se le da a sta, al
desarrollo de nuevos lugares donde es usada (por Ej. Internet), y al extenso uso de computadoras por
parte de las compaas de negocios tradicionales (por Ej. bancos). Es por esto que cuando se realiza un
crimen, muchas veces la informacin queda almacenada en forma digital. Sin embargo, existe un gran
problema, debido a que las computadoras guardan la informacin de informacin forma tal que no
puede ser recolectada o usada como prueba utilizando medios comunes, se deben utilizar mecanismos
diferentes a los tradicionales. Es de aqu que surge el estudio de la computacin forense como una
ciencia relativamente nueva.
QU ES FORENSICS?
Existen diversos conceptos acerca de forensics, sin embargo todos ellos van enfocados hacia la
adquisicin, preservacin, y presentacin de datos que han sido procesados y guardados en un medio
electrnico. Aunque el propsito inicial de forensics est orientado hacia aspectos legales las tcnicas
y herramientas en las que se basa (18) pueden ser usadas con otros fines y dependiendo de por quin
sean usadas, puede resultar en beneficio de las empresas y/o particulares.
CULES SON LOS OBJETIVOS DE FORENSICS?
Los objetivos de forensics como tal, son los siguientes:(19)
1. La compensacin de los daos causados por los criminales o intrusos.
2. La persecucin y procesamiento judicial de los criminales.
3. La creacin y aplicacin de medidas para prevenir casos similares.
Sin embargo, para los efectos de la presente investigacin se tomara como objetivo primordial de
forensics el punto nmero 3 La creacin y aplicacin de medidas para prevenir casos similares, ya
que lo que se busca es disminuir al mximo los riesgos de prdida de informacin en las empresas.
UNID 2010
Pgina 21
USOS DE FORENSICS
Forensics no est ligado nicamente hacia aspectos legales sino que puede abarcar varios aspectos
generales entre ellos se pueden mencionar los siguientes:
Prosecucin Criminal
Litigacin Civil
Investigacin de Seguros
Temas corporativos
Mantenimiento de la ley
Como se puede observar, los diversos usos de forensics pueden ser desde aspectos simples como la
perdida de informacin empresarial hasta casos graves como estafas bancarias, es por ello que se
pueden usar las tcnicas y herramientas que usa forensics en varios escenarios.
Distincin entre documentos electrnicos y documentos impresos (20)

Cuando se piensa en nuevas tecnologas (tales como documentos electrnicos) en trminos de
tecnologa antigua (Papel y tinta), no se pueden apreciar las caractersticas y potenciales distintivos.
Y esto se debe principalmente a la resistencia que tienen las personas al cambio, por ejemplo, cuando la
electricidad se invento y los focos vinieron a reemplazar a las lmparas de gas, la gente cambiaba muy
rpido los focos para que la electricidad no goteara sobre el socket. Se tuvieron que poner anuncios
sobre los focos para que la gente los leyera Este cuarto est equipado con la luz elctrica Edison. No
intente encenderla con un cerillo. Simplemente encienda el apagador que est en la pared cerca de la
puerta. Todo esto se debe a la resistencia que tenan las personas en aquellos tiempos al cambio,
estaban tan acostumbrados a utilizar lmparas de gas, cerillos y dems accesorios que cuando llego
aquel descubrimiento tan innovador, lidiaron contra sus actividades cotidianas para dar paso a algo
nuevo y benfico. Con los documentos electrnicos y los documentos tradicionales pasa lo mismo, la
UNID 2010
Pgina 22
resistencia que tenemos para utilizar algo nuevo es muy grande, ya que se pueden pensar cosas
como:
Cmo se compartirn mis documentos?
Cmo van a firmar mis documentos?
Cmo almacenar mis documentos?
Si tengo todos mis documentos en la computadora cualquier persona podr verlos, es preferible
mantenerlos bajo llave en el archivero.
La principal causa de los puntos antes mencionados es el desconocimiento del potencial de las nuevas
tecnologas las cuales hacen de los documentos electrnicos una herramienta muy poderosa, y es por
ello que las empresas han optado por cambiar paulatinamente hacia las nuevas tecnologas y dejar atrs
los esquemas tradicionales de trabajo.
Tcnicas de forensics
Las tcnicas forenses son aquellas que surgen de una investigacin metdica para reconstruir una
secuencia de eventos. Las tcnicas de forense digital son el arte de recrear que ha pasado en un
dispositivo digital. Existen dos aspectos principales sobre los cuales trabajar:(21)
Lo que hace un usuario en su equipo,
Recuperacin de archivos eliminados
Desencriptacin elemental
Bsqueda de cierto tipo de archivos
Bsqueda de ciertas frases
Observacin de reas interesantes del computador
Lo que hace un usuario remoto en otro equipo,
Leer archivos de registro
Reconstruir acciones
Rastrear el origen
UNID 2010
Pgina 23
Anlisis de conexiones desde o hacia el host
Forensics hace uso de diversas tcnicas especializadas as como herramientas sofisticadas para ver
informacin que no puede ser accedida por usuarios comunes. Esta informacin pudo haber sido
borrada por el usuario meses o incluso aos antes de que se sucediera la investigacin o incluso pudo
nunca haber sido guardada, pero puede aun existir en parte del disco duro.(22)
Dependiendo de la naturaleza de la investigacin, puede ser recomendable la creacin de una imagen
del disco, para as analizar nicamente la imagen y evitar la sobreescritura de informacin por el
sistema operativo ya que en ocasiones el propio sistema operativo realiza actualizaciones sobre
archivos automticamente. Por ejemplo, en un sistema Windows, ms de 160 alteraciones son
realizadas a los archivos cuando la computadora es encendida. Dichos cambios no son visibles para el
usuario, pero los cambios que pueden ocurrir pueden alterar o incluso borrar evidencia.(22)
Cmo se puede recuperar evidencia borrada?
El sistema operativo de una computadora utiliza un directorio que contiene el nombre y lugar de cada
archivo en el disco. Cuando un archivo es borrado, varios eventos toman lugar en una computadora. Un
marcador de estatus de archivo es activado para mostrar que el archivo ha sido borrado. Una marca de
estatus de disco es colocada para mostrar que el espacio est disponible para otro uso. Con esto el
usuario no podr ver el archivo listado en un directorio, sin embargo no se ha realizado ningn cambio
al archivo mismo. ste espacio nuevo es llamado libre o sin asignar y hasta que sea escrito por otro
archivo, el especialista forense puede obtener dicho archivo sin problema.
En muchos casos, incluso cuando el usuario ha desfragmentado o reformateado un disco, la evidencia
aun se puede recuperar. Muchos datos no son alterados por desfragmentar un disco, porque muchos
documentos contienen informacin interna que describe fechas, usuarios y otros datos histricos que
pueden ser tiles. Mientras que formatear un disco reconstruye el sistema de archivos, no elimina la
informacin que previamente exista en el disco.
UNID 2010
Pgina 24
FUNCIONAMIENTO DE LOS DISPOSITIVOS DE ALMACENAMIENTO

La mayor parte de los dispositivos de almacenamiento actuales, se basan en el principio magntico que
se debe a los siguientes fenmenos fsicos:
Una corriente elctrica produce un campo magntico.
Algunos materiales se magnetizan con facilidad cuando son expuestos a un campo magntico
dbil. Cuando el campo se apaga, el material se desmagnetiza rpidamente.
En algunos materiales magnticos suaves, la resistencia elctrica cambia cuando el material es

magnetizado. La resistencia regresa a su valor original cuando el campo magntico es apagado.
Otros materiales se magnetizan con dificultad, pero una vez que se magnetizan, mantienen su
magnetizacin cuando el campo se apaga.
Estos cuatro fenmenos son explotados por los fabricantes de cabezas grabadoras magnticas, que leen
y escriben datos, para almacenar y recuperar datos en unidades de disco. Aplicndolos en los siguientes
puntos: (14)
Cabezas de escritura: Escriben bits de informacin en un disco magntico giratorio.
Cabezas de lectura: Leen bits de informacin.
Medios de almacenamiento: son magnetizados de forma permanente en una direccin

determinada por el campo de escritura.
ESCRITURA DE DATOS EN DISPOSITIVOS DE ALMACENAMIENTO

En la siguiente figura se muestra un esquema simplificado de una cabeza de escritura. La vista superior
de una cabeza de escritura (izquierda) muestra un rollo espiral, envuelto entre dos capas de material
magntico suave: a la derecha est un corte transversal de esta cabeza vista de lado. En el extremo
UNID 2010
Pgina 25
inferior, hay un espacio entre las capas, y en el extremo superior, las capas estn unidas. Las capas
superior e inferior de material magntico se magnetizan con facilidad cuando fluye una corriente
elctrica en el rollo espiral, de tal forma que estas capas se vuelven los polos Norte y Sur magnticos de
un pequeo electro-magneto. (En una cabeza real, la distancia desde el espacio hasta la parte superior
del rollo es de aproximadamente 30 mm).(14)
Ilustracin 4 Una cabeza de escritura(14)

Las computadoras almacenan los datos en un disco giratorio en forma de bits transmitidos a la unidad
de disco en una secuencia de tiempo correspondiente a los dgitos binarios uno y cero. Estos bits son
convertidos en una onda de corriente elctrica que es transmitida por medio de cables al rollo de la
cabeza de escritura tal como se muestra en la siguiente figura. En su forma ms simple, un bit uno,
corresponde a un cambio en la polaridad de la corriente, mientras que un bit cero corresponde a la
ausencia de cambio en la polaridad de la corriente de escritura. En otras palabras los unos almacenados
aparecen en donde ocurre una inversin en la direccin magntica en el disco y los ceros residen entre
los unos.
UNID 2010
Pgina 26
Ilustracin 5 Escribiendo datos en un medio de almacenamiento(14)

Un reloj de regulacin esta sincronizado con la rotacin del disco y existen celdas de bit para cada tic
de reloj: algunas de estas celdas de bits representaran un uno y otras representaran ceros. Una vez
escritos, los bits en la superficie del disco quedan magnetizados permanentemente en una direccin
hasta que nuevos patrones sean escritos sobre los viejos.(14)
LECTURA DE DATOS EN DISPOSITIVOS DE ALMACENAMIENTO

En la actualidad, las cabezas de lectura leen datos magnticos mediante resistores magnticamente
sensitivos llamados Vlvulas Spin que explotan el efecto GMR(23). Estas cabezas GMR/Vlvula Spin
son situadas muy cerca del disco de almacenamiento magntico rotatorio exponiendo el elemento GMR
a los campos magnticos de bit previamente escritos en la superficie del disco. Si la cabeza GMR se
aleja ligeramente del disco la intensidad del campo cae por fuera de un nivel til y los datos magnticos
no pueden ser recuperados fielmente. El proceso de lectura incluyendo el ruido, presente en cualquier
dispositivo elctrico se esquematiza en la siguiente figura:
UNID 2010
Pgina 27
Ilustracin 6 Leyendo datos desde un medio de almacenamiento(14)

Proceso de forensics
El xito de forensics es el anlisis de discos duros, discos extrables, CD, discos SCSI y otros medios
de almacenamiento. Este anlisis no solo busca archivos potencialmente incriminatorios o perdidos
sino tambin otra informacin valiosa como contraseas, datos de acceso y rastros de actividad en
internet.
UNID 2010
Pgina 28
Ilustracin 7 Metodologa de trabajo para anlisis de datos(21)

Existen muchas formas de buscar evidencia en un disco, mas aun cuando los usuarios no tienen la mas
mnima idea de cmo funcionan las computadoras y por lo tanto no hacen un mayor esfuerzo para
borrar archivos.
IDENTIFICACIN DE LA EVIDENCIA DIGITAL
Identificar la evidencia digital representa una tarea caracterizada por distintos aspectos. Entre ellos
podemos mencionar el factor humano, que realiza los secuestros de material informtico, en muchos
casos la identificacin y recoleccin de potencial evidencia digital es realizada por personal que no
cuenta con los conocimientos adecuados para llevar a cabo las tareas en cuestin.
La omisin de algunos aspectos tcnicos puede llevar a la perdida de los datos o a la imposibilidad de
analizar cierta informacin digital.
UNID 2010
Pgina 29
Ilustracin 8 Elementos para la identificacin de evidencia.(21)
EXTRACCIN Y PRESERVACIN DEL MATERIAL INFORMTICO.

Extraer y preservar el material informtico durante los secuestros de informacin implica considerar
la fragilidad de los medios de almacenamiento de datos y la volatilidad de la informacin. Sobre este
aspecto cabe destacar que existe una gran falencia en lo que se conoce como cadena de custodia cuyo
objetivo consiste en mantener el registro de todas las operaciones que se realizan sobre la evidencia
digital en cada uno de los pasos de investigacin detallados. Si al realizar un anlisis de datos se detecta
que la informacin original ha sido alterada, la evidencia pierde su valor probatorio.
En cuestiones del transporte de la informacin digital, es muy comn que los elementos informticos
lleguen sin los ms mnimos resguardos, lo cual puede ocasionar roturas en el equipamiento, o que la
temperatura ambiente no sea la optima para preservar la informacin, incluso en algunos casos toparse
con campos electromagnticos que imposibilitaran el anlisis de informacin.
UNID 2010
Pgina 30
Ilustracin 9 Elementos para la preservacin de evidencia(21)

Por ltimo los aspectos tcnicos relativos a la no alteracin de la evidencia original. La utilizacin de
algn software que genere un valor hash a partir de un conjunto de datos es de gran ayuda de tal
manera que el experto en forensics puede estar seguro que trabaja con la informacin exacta y no
corrupta.
Algoritmo de hash
CRC-16
CRC-32
MD5 (128 bits)
SHA-1
SHA-256
Probabilidad de colisin
1 en 32768
1 en 2147483648
1 en 170141183460469231731687303715884105728
1 en 2159
1 en 2255
Tabla 1 Seguridad en algoritmos de hash (24)
UNID 2010
Pgina 31
ANLISIS DE DATOS.
Analizar involucra aquellas tareas referidas a extraer evidencia digital de los dispositivos de
almacenamiento, sin embargo dicha operacin puede ser un tanto tediosa, ya que se tienen que tomar
en cuenta diversos factores, tales como el sistema operativo sobre el que se est trabajando, la
estructura del sistema de archivos y la cantidad de documentos con los que cuenta el sistema. Es por
ello que las herramientas de forensics incorporan un sistema de bsqueda a travs de palabras clave,
o a travs de fechas, incluso la aplicacin de filtros para determinados tipos de archivos.
Ilustracin 10 Elementos para el anlisis de evidencia.(21)
Entre los recursos que un experto en forensics puede hacer uso para recuperar informacin de un
dispositivo de almacenamiento, se encuentran los siguientes:
FILE SLACK (14, 25)
Los archivos son creados en varios tamaos dependiendo de lo que contengan. Algunos sistemas
operativos almacenan los archivos en bloques de tamao fijo llamados clster, en los cuales
raramente el tamao de los archivos coincide perfectamente con el tamao de uno o muchos
clsteres.
UNID 2010
Pgina 32
El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final del clster se
llama file slack. Los tamaos de los clsteres varan en longitud dependiendo del sistema operativo
involucrado y en el caso de Windows, tambin del tamao de la particin lgica implicada.
Un tamao ms grande en los clsteres significan mas file slack y tambin mayor prdida de espacio de
almacenamiento. Sin embargo esta debilidad de la seguridad de la computadora crea ventajas para el
experto en forensics ya que el file slack es una fuente significativa de evidencias y pistas.
Tabla 2 Area del file slack (18)
ARCHIVO SWAP DE WINDOWS (14, 25)

Los sistemas operativos Microsoft Windows utilizan un archivo especial como un cuaderno de
apuntes para escribir datos cuando se necesita memoria de acceso aleatorio adicional, a estos archivos
se les conoce como archivos Swap o archivos de intercambio.
Los archivos de intercambio pueden ser muy grandes y la mayora de los usuarios no saben que existen,
su potencial es contener archivos sobrantes del tratamiento de procesadores de texto, los mensajes
electrnicos, la actividad en internet (cookies, archivos temporales, entre otros), log de entradas a bases
de datos y casi cualquier trabajo que se haya ejecutado en las ltimas sesiones. Todo esto genera un
problema de seguridad por que al usuario nunca se le informa que es lo que est pasando ya que el
proceso es transparente.
UNID 2010
Pgina 33
Los archivos swap de Windows proporcionan a los expertos en forensics pistas esenciales con las
cuales investigar ya que nicamente en este archivo se encuentra la informacin y no se podra
conseguir de otra manera.
UNALLOCATED FILE SPACE (14, 26)
Cuando los archivos son borrados o suprimidos, el contenido de los archivos no es verdaderamente
borrado, a menos que se utilice algn software especial que ofrezca un alto grado de seguridad en el
proceso de eliminacin, los datos borrados, permanecen en un rea llamada espacio de
almacenamiento no asignado (unallocated file space). Igual sucede con el file slack asociado al archivo
antes que este fuera borrado. Consecuentemente siguen existiendo los datos, escondidos, pero presentes
y pueden ser detectados mediante herramientas de software para el anlisis de forensics.
Herramientas de forensics
Existen una gran cantidad de herramientas sobre las que los expertos en forensics (27) pueden
valerse para utilizar las tcnicas antes mencionadas y realizar un proceso forense en una o varias
computadoras, dichas herramientas pueden ser clasificadas en cuatro grupos principales para su mejor
comprensin:
HERRAMIENTAS PARA LA RECOLECCIN DE EVIDENCIA.
Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas
sofisticadas se hace necesario debido a:
1. La gran cantidad de datos que pueden estar almacenados en una computadora.
2. La variedad de formatos de archivos, los cuales pueden variar enormemente, aun dentro del
contexto de un mismo sistema operativo.

3. La necesidad de recopilar la informacin de una manera exacta, y que permita verificar que
la copia es exacta.
4. Limitaciones de tiempo para analizar toda la informacin.
UNID 2010
Pgina 34
5. Facilidad para borrar archivos de computadoras.

6. Mecanismos de encriptacin o de contraseas.
Entre las herramientas para la recoleccin de evidencia, se pueden mencionar Kazeon

(www.kazeon.com), Digital Intelligence (www.digitalintelligence.com), X-Ways WinHex (www.xways.net/winhex), X-Ways Forensics (www.x-ways.net/forensics), Paraben (www.paraben.com),
EnCase (www.guidancesoftware.com), FTK (www.accessdata.com), y Nuix (www.nuix.com), que son
algunas de herramientas ms utilizadas en el mbito de la recoleccin de evidencia.(20)
A continuacin se describen algunos de los mbitos que abarcan las herramientas para la recoleccin de
evidencias, se enfocara especficamente sobre la herramienta EnCase, pero en general todas se basan en
los mismos principios.(14, 28)
Copiado comprimido de discos fuente. Emplea un estndar sin prdida para crear copias
comprimidas de los discos origen. Los archivos comprimidos resultantes pueden ser analizados,
buscados y verificados de manera semejante a los originales. Esta caracterstica ahorra
cantidades importantes de espacio en el disco de la computadora donde se realizara el anlisis.
Bsqueda y anlisis de mltiples partes de archivos adquiridos. Permite al experto buscar y

analizar mltiples partes de la evidencia. Muchos expertos involucran una gran cantidad de
discos duros, discos extrables, y otros dispositivos de almacenamiento. Con Encase se pueden
analizar todos los posibles dispositivos a la vez, ahorrando tiempo.
Diferente capacidad de almacenamiento. Los datos pueden estar en diferentes unidades (discos
duros, CD, USB, etc.). Encase permite copiar de forma comprimida todos esos datos a un solo
CD-ROM manteniendo la integridad del equipo original.
Varios campos de ordenamiento, incluyendo estampillas de tiempo. Permite al especialista

ordenar los archivos de acuerdo a diferentes campos incluyendo cuando se cre, ultimo acceso,
ultima escritura, nombres de archivos, firma de archivos y extensiones.
UNID 2010
Pgina 35
Anlisis compuesto del documento. Permite la recuperacin de archivos internos y metadatos

con la opcin de montar directorios como un sistema virtual.
Bsqueda automtica y anlisis de archivos de tipo Zip y attachments de e-mail
Firmas de archivos, identificacin y anlisis. La mayora de las grficas y de los archivos de

texto comunes contiene una pequea cantidad de bytes en el comienzo del sector los cuales
constituyen una firma del archivo. Encase verifica dicha firma para cada archivo contra una
lista de firmas conocidas de extensiones de archivos, si existe alguna discrepancia, como en el
caso de que se haya renombrado un archivo, se detecta automticamente la identidad del
archivo.
Anlisis electrnico del rastro de intervencin. Sellos de fecha, sellos de hora, registros de
accesos y la actividad del comportamiento reciclado son puntos crticos de una investigacin
por computadora. Encase proporciona los nicos medios prcticos de recuperar y documentar
dicha informacin de una manera no invasora y eficiente.
Soporte de mltiples sistemas de archivo. Encase reconstruye los sistemas de archivos forense
en DOS, Windows, Macintosh, Linux, UNIX, CD-ROM, y los sistemas de archivos DVD-R.
Vista de archivos y otros datos en el espacio UNALLOCATED. Encase provee una interfaz tipo
explorador de Windows y una vista del disco duro de origen, tambin permite ver los archivos
borrados y todos los datos en el espacio unallocated. Tambin muestra el Slack File con un
color rojo despus de terminar el espacio ocupado por el archivo dentro del clister.
Integracin de reportes. Encase genera el reporte del proceso de la investigacin forense como
un estimado. En dicho documento se realiza un anlisis y una bsqueda de resultados, en donde
se muestra el caso incluido, la evidencia relevante, los comentarios del investigacin, favoritos,
imgenes recuperadas, criterios de bsqueda y tiempo en que se realizaron las bsquedas.
UNID 2010
Pgina 36
Visualizador integrado de imgenes con galera. Encase ofrece una vista completamente
integrada que localiza automticamente, extrae y despliega muchos archivos de imgenes
como .gif y .jpg del disco.
UNID 2010
Pgina 37
Nombre
Descripcin
Enhanced_loopbac Duplicado forense y utilizacin como disco

k
rgido
No analiza los datos, solamente obtiene
Open Source /
Sistema
Comercial
Operativo
Open source
Linux
Open source
Linux
informacin relevante para el anlisis.

Cononer's toolkit
Incorpora un recuperador de ficheros

borrados (lazarus) para cualquier Unix.
Permite analizar los procesos en ejecucin.
The Sleuth Kit
Recuperacin de archivos borrados
Open source
Linux Windows
Copiado comprimido de discos fuente

Bsqueda y anlisis de mltiples partes de
archivos adquiridos
Diferente capacidad de almacenamiento
Varios campos de ordenamiento,
incluyendo estampillas de tiempo
Anlisis compuesto del documento
Firmas de archivos, identificacin y
Encase
anlisis
Comercial
Windows
Anlisis electrnico del rastro de

intervencin
Soporte de mltiples sistemas de archivo
Vista de archivos y otros datos en el
espacio Unallocated
Integracin de reportes
Visualizador integrado de imgenes con
galera
UNID 2010
Pgina 38
Permite principalmente analizar la

informacin relevada de un sistema.
Manejo de imgenes de File systems
Windows (NTFS, FAT) y Linux (ext2,
ext3) realizadas con Encase, Smart,
Snapback, Safeback y DD).
Anlisis de archivos comprimidos (winzip,
Forensic Tool Kit
pkzip, rar, gzip, tar).
Comercial
Anlisis de correo electrnico,
Windows Linux
Identificacin de archivos tpicos del file

system y programas, de evidencia,
hashsets, etc.
Generacin de reportes, acceso y
desencriptado de datos protegidos y de
registros.
Tabla 3 Caractersticas de los principales software de "forensics"(21)
HERRAMIENTAS DE MONITOREO Y/O CONTROL DE COMPUTADORAS

En algunas ocasiones es necesario obtener informacin acerca del uso que se ha tenido en una
determinada computadora, existen algunas herramientas que monitorean el uso de las computadoras
para poder obtener informacin. Existen algunos programas simples como key loggers o recolectores
de pulsaciones de teclado, que guardan informacin sobre las teclas que son presionadas hasta otros
que guardan imgenes de la pantalla que ve el usuario de la computadora, incluso existen algunos casos
en los que la computadora se controla de forma remota. (14)
KEYLOGGER (29)
Keylogger es un ejemplo de herramientas de monitoreo y/o control de computadoras. Es una
herramienta que puede ser til cuando se quiere comprobar actividad sospechosa: guarda los eventos
generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de retroceder, esto es guardado
UNID 2010
Pgina 39
en un archivo o enviado por e-mail. Los datos que se generan son complementados con informacin
relacionada con el programa que tiene el foco de atencin, con anotaciones sobre las horas y con los
mensajes que generan algunas aplicaciones.
HERRAMIENTAS DE MARCADO DE DOCUMENTOS(14)
Estas herramientas ayudan en la recuperacin de documentos robados, ya que marcan los
documentos y realizan una bitcora de accesos a ellos permitiendo saber al experto en forensics que
acciones se realizaron sobre los archivos.
HERRAMIENTAS DE HARDWARE (14)
Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe modificar la
informacin, se han diseado varias herramientas como DIBS Portable Evidence Recovery Unit.
Dificultades del experto en forensics(14)
El investigador forense requiere de varias habilidades que no son fciles de adquirir, es por esto que el
usuario normal se encontrar con dificultades como las siguientes:
1. Carencia de software especializado para buscar la informacin en varias computadoras.
2. Posible dao de los datos visibles o escondidos, an sin darse cuenta.
3. Ser difcil encontrar toda la informacin valiosa.
4. Es difcil adquirir la categora de experto para que el testimonio personal sea vlido ante una
corte.
5. Los errores cometidos pueden costar caro para la persona o la organizacin que representa.
6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar los datos
como evidencia.
7. Falta de experiencia para mostrar, reportar y documentar un incidente computacional.
8. Dificultad para conducir la investigacin de manera objetiva.
9. Dificultad para hacer correctamente una entrevista con las personas involucradas.
10. Reglamentacin que puede causar problemas legales a la persona.
UNID 2010
Pgina 40
Es por esto que, antes de lanzarse a ser un investigador forense, se necesita bastante estudio y
experiencia, entre otras cosas, y si no se cumple con los requisitos, en caso de un accidente es
aconsejable llamar a uno o varios expertos.
Seguridad forense en negocios. (30)

En el mbito de los negocios es muy frecuente el uso de forensics para identificar y seguir la pista de:
robos/destruccin de propiedad intelectual, actividad no autorizada, hbitos de navegacin por internet,
reconstruccin de eventos, inferir intenciones, vender ancho de banda de una empresa, piratera de
software, acoso sexual, reclamacin de despido injustificado.
Quin utiliza la seguridad forense. (30)

Forensics es utilizada por un colectivo cada vez mayor de personas entre otros:
Las personas que persiguen delincuentes y criminales. Se basan en las evidencias obtenidas de
la computadora y redes que el investigador sospecha y utiliza como evidencia.
Litigios civiles y administrativos. Los datos de negocios y personas descubiertos en una

computadora se pueden utilizar en casos de acoso, discriminacin, divorcio, fraude, etc., o para
mejorar la seguridad.
Compaas de seguros. Las evidencias digitales descubiertas en computadoras se pueden

utilizar para compensar costos (fraude, compensacin a trabajadores, incendio provocado, etc.+.
Corporaciones privadas. Las evidencias obtenidas de las computadoras de los empleados

pueden utilizarse en casos de acosos, fraude y desfalcos.
Policas que aplican las leyes. Se utilizan para respaldar rdenes de registro y manipulaciones
post-incautacin.
Ciudadanos privados. Obtienen los servicios de profesionales en forensics para soportar

denuncias de acosos, abusos, despidos improcedentes de empleo, o para mejorar la seguridad.
UNID 2010
Pgina 41
Fases de la seguridad forense (30)

Las fases de forensics son:
1. Adquisicin o recogida de datos de evidencias. Se trata de obtener posesin fsica o remota de
la computadora, todas las correspondencias de red desde el sistema y dispositivos de
almacenamiento fsico externo. Se incluye la autenticacin de evidencias, la cadena de custodia,
la documentacin y la preservacin de evidencias.
2. Identificacin y anlisis de datos. Identificar que datos pueden recuperarse y recuperarlos
electrnicamente ejecutando diversas herramientas de forensics. Se realiza un anlisis
automatizado con herramientas. El anlisis manual se realiza con experiencia y formacin.
3. Evaluacin. Evaluar la informacin recuperada para determinar si es til para los fines que se
requieran.
4. Presentacin de los descubrimientos. Presentacin de evidencias descubiertas de manera que
sean entendidas por cualquier persona no tcnica. Puede ser una presentacin oral o escrita.
Algunas de las debilidades del proceso forense son:
En el proceso de recogida de datos. Si se identifica una cadena de custodia o recogida de datos

incompleta.
En la fase de anlisis de datos. Si se utiliza una metodologa, formacin o herramientas

inadecuadas
En la fase de presentacin de los descubrimientos. Si existe facilidad para sembrar la duda en

los hallazgos presentados.
Se trata entonces de actuar y explotar vulnerabilidades en las tres reas.
UNID 2010
Pgina 42
Retos de forensics(30)
La informacin y datos que se buscan despus del incidente y se recogen en la investigacin deben ser
manejados adecuadamente. Estos pueden ser:
1. Informacin voltil. Tanto:
a.
Informacin de red. Comunicacin entre el sistema y la red.
b.
Procesos activos. Programas actualmente activos en el sistema.
c.
Usuarios logeados. Usuarios y empleados que actualmente utilizan el sistema.
d.
Archivos abiertos. Libreras en uso, archivos ocultos, troyanos/rootkit cargados en el

sistema.
2. Informacin no voltil. Se incluye informacin, datos de configuracin, archivos del sistema y

datos del registro que son disponibles despus del re-arranque.
Incidentes de seguridad (8)

Cuando se est a cargo de la administracin de seguridad de un sistema de informacin o una red, se
debe estar familiarizado con las bases de forensics, esto en razn de que cuando ocurre un incidente
de seguridad, es necesario que dicho incidente sea reportado y documentado a fin de saber qu es lo
que ocurri. No importa qu tipo de evento haya sucedido, por ms pequeo e insignificante que pueda
ser, este debe ser verificado con el fin de sealar la existencia o no de un riesgo para el sistema
informtico.
Un incidente informtico en el pasado era considerado como cualquier evento anmalo que pudiese
afectar a la seguridad de la informacin, por ejemplo podra ser una prdida de disponibilidad o
integridad o de la confidencialidad, Pero con la aparicin de nuevos tipos de incidentes ha cambiado su
definicin ya que ahora puede considerarse como una violacin o intento de violacin de la poltica de
seguridad de los sistemas informticos.
Para comprender mejor el tema de seguridad, es necesario sealar algunos conceptos utilizados dentro
de la seguridad informtica definida como El conjunto de tcnicas y mtodos que se utilizan para
proteger tanto la informacin como los equipos informticos en donde esta se encuentra almacenada ya
sean estos individuales o conectados a una red frente a posibles ataques premeditados y suceso
accidentales.(8)
UNID 2010
Pgina 43
La seguridad informtica puede ser dividida en seis componentes:
Seguridad fsica: es aquella que tiene relacin con la proteccin de la computadora en si

evitando cualquier tipo de dao fsico.
Seguridad de datos: Es la que seala los procedimientos necesarios para evitar el acceso no
autorizado, permite controlar el acceso remoto de la informacin.
Back up y recuperacin de datos: Proporciona los parmetros bsicos para la utilizacin de

sistemas de recuperacin de datos y respaldos de los sistemas informticos.
Seguridad normativa: Conjunto de normas y criterios bsicos que determinan lo relativo al

uso de los recursos de una organizacin cualquiera. Se deriva de los principios de legalidad y
seguridad jurdica.
Anlisis forense: Surge como consecuencia de la necesidad de investigar los incidentes de

seguridad informtica que se producen en las entidades. Persigue la identificacin del autor y
del motivo del ataque, igualmente trata de hallar la manera de evitar ataques similares en el
futuro.
Los incidentes de seguridad en un sistema de informacin pueden caracterizarse modelando el sistema

como un flujo de mensajes de datos desde una fuente, como por ejemplo un archivo o una regin de la
memoria principal, a un destino, como por ejemplo otro archivo o un usuario. Un incidente no es ms
que la realizacin de una amenaza en contra de los atributos funcionales de un sistema informtico.
UNID 2010
Pgina 44
Ilustracin 11 Categoras generales de incidentes(8)
Como se puede observar en la figura anterior, los incidentes pueden ser clasificados en cuatro
categoras.
Interrupcin. Un recurso del sistema es destruido o se vuelve no disponible. Se trata de un ataque
contra la disponibilidad.
Intercepcin. Una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la
confidencialidad.
Modificacin. Una entidad no autorizada no solo consigue acceder a un recurso, sino que es capaz de
manipularlo. Es un ataque contra la integridad.
Fabricacin. Una entidad no autorizada inserta objetos falsificados en el sistema. Es un ataque contra
la autenticidad.
UNID 2010
Pgina 45
Forensia en redes (Network Forensics)

Si forensics es un campo relativamente nuevo en los cuestiones de cmputo, la forensia en redes, est
en paales. Se tiene que pensar en dos cambios primordiales al hablar de network forensics, la
tecnologa y sus mtodos son ms que solo administracin de una red y los costos de dispositivos de
almacenamiento estn al alcance de cualquier persona. Ahora se pueden almacenar Terabytes de datos
en una red, sin romper el banco de almacenamiento.(31)
La forensia en redes es un escenario aun ms complejo, ya que es necesario comprender la manera
como los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como
resultado un momento especifico en el tiempo y un comportamiento particular. Esta conjuncin de
palabras establece un profesional que entendiendo las operaciones de las redes de computadoras, es
capaz de establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir
su accin. A diferencia de la definicin de forensics, este contexto exige capacidad de correlacin de
evento, muchas veces disyuntos y aleatorios, que en equipos particulares, es poco frecuente.(7)
Las redes son conexiones de un gran volumen de trfico lo que las hace un verdadero reto para los
especialistas. Encontrar la herramienta adecuada para una situacin en especfico puede ser difcil, ms
no imposible. El trabajar con herramientas de network forensics es un proceso complejo pero hacen
el trabajo ms fcil al automatizar la mayor parte de las tareas de adquisicin de datos.
UNID 2010
Pgina 46
Presupuesto de la investigacin.
Para la presente investigacin se cuenta con un presupuesto un tanto reducido, sin embargo por la
naturaleza de la investigacin ms que nada se requiere bibliografa dentro de la cual la mayor parte de
los libros no se consiguen en Mxico y probablemente habra que comprarlos en el extranjero, el
presupuesto para la compra de bibliografa es de $5000.00 pesos mexicanos. Por otro lado, para la
elaboracin de encuestas se tratar de comunicarse va electrnica con los diferentes encargados del
rea de computacin, en cuanto a viticos y transporte se cuenta con $3000.00. Para la evaluacin del
software se buscar aquel que ofrezca un periodo de prueba para su uso, evitando as la compra del
mismo.
UNID 2010
Pgina 47
Procedimiento
Se redact una encuesta basada en una serie de preguntas realizadas por una empresa espaola(16) para
evaluar la seguridad de las empresas a las que brinda consultora, adicionalmente se agregan algunas
preguntas que ayudan a orientar el propsito de la encuesta conforme al objetivo de la investigacin,
quedando con la siguiente estructura:
Encuesta
Nombre de la empresa: _______________________________________________________________
Poltica Global de Seguridad

SI
NO
1. Ha tenido en cuenta la posibilidad de perder informacin, que se la roben, que no sea

correcta?
2. Se ha definido una poltica global de seguridad en la empresa?
3. Existen controles que detecten posibles fallos en la seguridad?
4. Se ha definido el nivel de acceso de los usuarios?, es decir, a qu recursos tienen acceso
y a qu recursos no.
Agresiones fsicas externas
5. Existen filtros y estabilizadores elctricos en la red elctrica de suministro a los
equipos?
6. Tienen instaladas fuentes de alimentacin redundantes?
7. Tienen instalados Sistemas de Alimentacin Ininterrumpida?
Controles de acceso fsico
8. Existe algn control que impida el acceso fsico a los recursos a personal no autorizado?
(Puertas de seguridad, alarmas, controles de acceso mediante tarjetas. )
9. Existe algn mecanismo fsico que impida el uso de los sistemas de informacin a
mecanismos no autorizados?
Servidores
10. Existen sistemas operativos servidores, que impiden el acceso a los datos a los usuarios
no autorizados?
11. Estn los servidores protegidos en cuanto a inicio de sesin y accesos a travs de la
red?
UNID 2010
Pgina 48
12. Tienen instaladas fuentes de alimentacin redundantes?

13. Tienen instalados Sistemas de Alimentacin Ininterrumpida?
14. Tienen discos RAID?
Copias de seguridad
15. Con qu periodicidad se realizan copias de los datos?
a) Diario b) Cada 3 dias c) Semanal
d) Mensual e)Bimestral
f)Semestral
g)Anual e) No se
realizan copias de seguridad

16. Existe un procedimiento de copia de seguridad?
17. Est automatizado el proceso de copia de seguridad?
18. Se almacenan las copias de seguridad en un lugar de acceso restringido?
19. Se almacena alguna copia fuera de los locales de trabajo?
20. Ha probado a restaurar alguna copia de seguridad?
Mecanismos de identificacin y autenticacin
21. Existe un procedimiento de Identificacin y Autenticacin?
22. Est basado en contraseas?
23. Las contraseas se asignan de forma automtica por el servidor?
24. Existe un procedimiento de cambio de contraseas?
Controles de acceso
25. Existen controles para el acceso a los recursos?
26. Existen ficheros de log o similares que registren los accesos autorizados y los intentos
de acceso ilcitos?
27. Una vez pasados los filtros de identificacin, se han separado los recursos a los que
tiene acceso cada usuario?
Virus
28. Tiene cuentas de correo electrnico de Internet?
29. Tiene antivirus corporativo?
30. Protege su antivirus los correos electrnicos y la descarga de archivos va Web?
31. Actualiza regularmente el antivirus?
32. Ha tenido alguna vez problemas con algn virus en su sistema?
Planes de seguridad y contingencias
33. Se ha elaborado un plan de seguridad?
34. Existe un responsable o responsables que coordinen las medidas de seguridad
aplicables?
35. Existe un plan de contingencias?
36. Existe un presupuesto asignado para la seguridad en la empresa?
37. Se ha elaborado un plan de seguridad?
38. Se han incluido en el mismo los aspectos relacionados con las comunicaciones?
39. Realiza el seguimiento del plan de seguridad personal de la empresa?
40. Existe un contrato de mantenimiento en el que se priorice la seguridad y el plan de
contingencias?
41. Dispone de personal informtico involucrado directamente con la seguridad
UNID 2010
Pgina 49
informtica?
Acceso a internet
42. Existe una poltica definida para los accesos a Internet?
43. Se ha explicado claramente a los trabajadores de la empresa?
44. Existe un acceso a Internet corporativo?
45. Est limitado el acceso por departamento y/o por usuario?
46. Existen controles sobre las pginas accedidas por cada departamento o usuario?
47. Existen controles sobre intrusiones externas en nuestro sistema de informacin?
Prdida de informacin
48. En el ltimo semestre Cuntas veces ha sufrido de prdida de informacin?
a) Menos de 5 veces b) Entre 5 y 10 veces c) Ms de 10 veces d) Ninguna
49. Qu importancia o prioridad tena dicha informacin para la empresa?
a)Muy importante b)Importante c)Poco importante
50. Qu importancia o prioridad tena dicha informacin para su persona?
a)Muy importante b)Importante c)Poco importante
51. Cul fue la causa de la prdida de informacin?
a) Accidental b)Virus c) Dao de hardware d) Intrusin en el equipo
52. La prdida de informacin fue un desencadenante para la prdida de recursos
monetarios?
53. De haber perdido recurso monetario, aproximadamente cual fu el monto?
a) menos de $5000 b) entre $5000 y $10000 c) entre $10000 y $20000 d)ms de $20000
54. Cmo se llev a cabo la recuperacin de datos?
a) No se recuperaron los datos
b) Copia de respaldo
c) Empresa externa realiz la recuperacin
d) El encargado del depto. De informtica lo hizo

55. Si una empresa externa realiz la recuperacin de datos, Cual fu el costo de dicho trabajo?
a) menos de $500 b) entre $500 y $1000
56. Considera que el pago realizado fue:
a) Bajo
c) Justo
c) entre $1000 y $5000
d) ms de $5000
d)Alto
Para la aplicacin de la encuesta los alumnos del Instituto Tecnolgico de Durango de la materia de
Tpicos avanzados de bases de datos del ciclo escolar Agosto Diciembre 2011 se dieron a la tarea de
visitar empresas de la comunidad para realizar las preguntas. Cabe mencionar que en algunas de las
empresas se negaban a contestar la encuesta por la naturaleza de las preguntas que, en algunos casos,
son de ndole privado, por dicha razn en algunos casos la empresa contest la encuesta con la
condicin de no revelar el nombre de la misma en los resultados de la investigacin, mismos que se
pueden ver en el anexo.
UNID 2010
Pgina 50
Dentro de las empresas que permitieron revelar su nombre se encuentran: Malda Arquitectos, Vidrios
vargas, Calderon Sa de CV, Farmacia Durango., banquetes Beluvida , contrucciones Rosbad, Lab.
Amcci, CETS, Rest. Boolovan, Alum dgo, Finansas, XIFER, Stieefel, Lab. Nova , Lab. Guadiana,
Acabados Carrera, Lab. Civic, Vidrios Rosales, Vidrios Moreno, CID construcciones, CMIC,
Acerradero Serrano, Muebles serrano, Toyota, LALA, Compufcil, Intercraft.Anlisis de la
informacin
UNID 2010
Pgina 51
Referencias
1.
Vacca JR. Computer Forensics: Computer crime scene investigation 2nd edition. 2 ed. Boston,
Massachusetts: Charles River Media, Inc.; 2005.
2.
Cerpa JJ. Como prevenir la prdida de informacin? Seguridad de la informacin2009. p.
Blog dedicado a temas de seguridad de informacion, proteccion de datos, seguridad de informtica,
auditorias y peritajes informaticos e informtica forense.
3.
Casey E. Handbook of computer crime investigation: forensic tools and technology: Academic
Pr; 2002.
4.
Richardson R, Director C. CSI computer crime and security survey. Computer Security
Institute. 2007:2008-08.
5.
Davis C, Philipp A, Cowen D. Hacking exposed computer forensics: secrets & solutions:
McGraw-Hill Osborne Media; 2005.
6.
Lopez J. Cales son los principales rubros de costos asociados a la seguridad de la informacin
en su organizacin? SISTEMAS. 2006:35.
7.
Cano JJ. Introduccin a la informtica forense. SISTEMAS. 2006:64-73.
8.
Pino SAd. Informtica forense en el ecuador. Introduccin a la informtica forense.
Ecuador2007.
9.
Biles S. Digital forensics. Hacker Highschool. 2004(8).
10.
Cambrn MB. Anlisis Forense Informtico: Automatizacin de procesamiento de Evidencia
Digital. Automatizacin de procesos en anlisis forense informtico; Montevideo: CIBSI09; 2009.
11.
Arias Chaves M. Panorama general de la informtica forense y de los delitos informaticos en
Costa Rica. InterSedes: Revista de las Sedes Regionales. 2006;7(12):141-54.
12.
Noblett M, Pollitt M, Presley L. Recovering and examining computer forensic evidence.
Forensic Science Communications. 2000;2(4):102-9.
13.
Noblett. MG. Recovering and Ecaminig Computer Forensic Evidence. 2000.
14.
Oscar Lopez HA, Ricardo Leon. Informatica forense: generalidades, aspectos tecnicos y
herramientas. Morelia, Mexico2002.
15.
CERT Statistics (Historical). 2008 [cited 2010 2 Diciembre 2010]; Sitio dedicado a la
recoleccion de informacion de las vulnerabilidades existentes en internet.]. Available from:
http://www.cert.org/stats/cert_stats.html.
16.
complusoft. MD802CS Encuesta 01 Seguridad informtica. Alcal de Henares, Madrid2006
[cited 2011 30/07/2011]; Cuestionario para evaluar los niveles de seguridad informtica en las
empresas]. Available from: www.complusoft.es.
17.
Frand J. Data Mining: What is Data Mining? 1996 [cited 2010 06/12/2010]; Available from:
http://www.anderson.ucla.edu/faculty/jason.frand/teacher/technologies/palace/datamining.htm.
18.
Young S, editor. Forensic Analysis. An organization for local information security; 2005.
UNID 2010
Pgina 52
19.
Giovanni Zuccardi JDG. Informtica Forense. 2006.
20.
Linda Volonino IR. e-discovery for dummies: Willey Pubishing, Inc; 2010.
21.
Acosta Gonzalo AA, Rodriguez Gabriel, Rossi Eduardo. Informatica forense. 2007.
22.
Hassell J. Computer forensics 1012004: Available from:
http://www.expertlaw.com/library/forensic_evidence/computer_forensics_101.html.
23.
The giant magnetoresistive head: a giant leap for IBM Research: Available from:
http://www.research.ibm.com/research/gmr.html.
24.
Lyle J. Verification of digital forensic tools. 2010.
25.
File Slack Defined.
26.
unallocated file space defined.
27.
Computer forensics tools, digital evidence software, utilities.
28.
software G. EnCase Forensic Features and Functionality.
29.
Keylogger. [7/12/2010]; Available from: http://keylogger.com/.
30.
Bertolin JA. Seguridad forense, tcnicas antiforenses, respuesta a incidentes y gestin de
evidencias digitales. 2010.
31.
Linda Volonino RA. Computer forensics for dummies2008.
UNID 2010
Pgina 53
ANEXO1. Resultados de las encuestas
En que formato?
UNID 2010
Pgina 54

Análisis de Los Beneficios Del Uso de Técnicas y Herramientas de "Forensics" en Las Pymes para La Recuperación y Prevención de Pérdida de Datos

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Análisis de Los Beneficios Del Uso de Técnicas y Herramientas de "Forensics" en Las Pymes para La Recuperación y Prevención de Pérdida de Datos

Încărcat de

Drepturi de autor:

Formate disponibile

Protocolo de Investigacin

Maestra en Tecnologas de Informacin

Jos Roberto Lpez Quiones

Jos Roberto Lpez Quiones

Jos Roberto Lpez Quiones

Herramientas de marcado de documentos(14).................................................................................38

Jos Roberto Lpez Quiones

Ilustracin 1Eleccin del tema de investigacin.......................................................................................8

Jos Roberto Lpez Quiones

Jos Roberto Lpez Quiones

Determinar cules son las diferentes herramientas de forensics que existen en

Analizar las diferencias entre las herramientas de forensics.

Jos Roberto Lpez Quiones

Determinar cul es el giro empresarial ms afectado por la prdida de

Jos Roberto Lpez Quiones

Determinacin del tema de investigacin

Ilustracin 1Eleccin del tema de investigacin

Jos Roberto Lpez Quiones

Informtica forense: Una valiosa herramienta para las PyMEs

Jos Roberto Lpez Quiones

Ilustracin 2 Principales rubros de costos asociados a la seguridad de la informacin en su

Jos Roberto Lpez Quiones

Jos Roberto Lpez Quiones

Principios del forensics

Ilustracin 3. Etapas de una investigacin (10)

Jos Roberto Lpez Quiones

en tcnicas de investigacin ciberntica.(11)

Herramientas de informtica forense de hardware y software

Jos Roberto Lpez Quiones

Recuperando informacin de la computadora.

Jos Roberto Lpez Quiones

Jos Roberto Lpez Quiones

Jos Roberto Lpez Quiones

Jos Roberto Lpez Quiones

Jos Roberto Lpez Quiones

Metodologa general de la investigacin

Jos Roberto Lpez Quiones

MEDIDAS E INSTRUMENTOS DE EVALUACIN

Jos Roberto Lpez Quiones

Introduccin a la informtica forense (forensics)

Jos Roberto Lpez Quiones

Distincin entre documentos electrnicos y documentos impresos (20)

Jos Roberto Lpez Quiones

Cmo se compartirn mis documentos?

Cmo van a firmar mis documentos?

Cmo almacenar mis documentos?

Recuperacin de archivos eliminados

Bsqueda de cierto tipo de archivos

Bsqueda de ciertas frases

Observacin de reas interesantes del computador

Lo que hace un usuario remoto en otro equipo,

Leer archivos de registro

Jos Roberto Lpez Quiones

Anlisis de conexiones desde o hacia el host

Jos Roberto Lpez Quiones

FUNCIONAMIENTO DE LOS DISPOSITIVOS DE ALMACENAMIENTO

Una corriente elctrica produce un campo magntico.

En algunos materiales magnticos suaves, la resistencia elctrica cambia cuando el material es

Cabezas de escritura: Escriben bits de informacin en un disco magntico giratorio.

Cabezas de lectura: Leen bits de informacin.

Medios de almacenamiento: son magnetizados de forma permanente en una direccin

ESCRITURA DE DATOS EN DISPOSITIVOS DE ALMACENAMIENTO

Jos Roberto Lpez Quiones