INTRODUCCIN

La informtica forense est adquiriendo una gran importancia dentro del rea de la
informacin electrnica, esto debido al aumento del valor de la informacin y/o al
uso que se le da a sta, al desarrollo de nuevos espacios donde es usada (por Ej.
El Internet), y al extenso uso de computadores por parte de las compaas de
negocios tradicionales (por Ej. bancos). Es por esto que cuando se realiza un
crimen, muchas veces la informacin queda almacenada en forma digital. Sin
embargo, existe un gran problema, debido a que los computadores guardan la
informacin de informacin forma tal que no puede ser recolectada o usada como
prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los
tradicionales. Es de aqu que surge el estudio de la computacin forense como
una ciencia relativamente nueva.
Resaltando su carcter cientfico, tiene sus fundamentos en las leyes de la fsica,
de la electricidad y el magnetismo. Es gracias a fenmenos electromagnticos que
la informacin se puede almacenar, leer e incluso recuperar cuando se crea
eliminada.
La informtica forense, aplicando procedimientos estrictos y rigurosos puede
ayudar a resolver grandes crmenes apoyndose en el mtodo cientfico, aplicado
a la recoleccin, anlisis y validacin de todo tipo de pruebas digitales.

INFORMATICA FORENSE
El cmputo forense, tambin llamado informtica forense, computacin
forense, anlisis forense digital o examinacin forense digital es la aplicacin
de tcnicas cientficas y analticas especializadas a infraestructura tecnolgica que
permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro
de un proceso legal.
Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos
residuales, autenticar datos y explicar las caractersticas tcnicas del uso aplicado
a los datos y bienes informticos.
Como la definicin anterior lo indica, esta disciplina hace uso no solo de tecnologa
de punta para poder mantener la integridad de los datos y del procesamiento de
los mismos; sino que tambin requiere de una especializacin y conocimientos
avanzados en materia de informtica y sistemas para poder detectar dentro de
cualquier dispositivo electrnico lo que ha sucedido. El conocimiento del
informtico forense abarca el conocimiento no solamente del software sino
tambin de hardware, redes, seguridad, hacking, cracking, recuperacin de
informacin.
La informtica forense ayuda a detectar pistas sobre ataques informticos, robo de
informacin, conversaciones o pistas de emails, chats.
La importancia de stos y el poder mantener su integridad se basa en que la
evidencia digital o electrnica es sumamente frgil. El simple hecho de darle doble
clic a un archivo modificara la ltima fecha de acceso del mismo.
Adicionalmente, un examinador forense digital, dentro del proceso del cmputo
forense puede llegar a recuperar informacin que haya sido borrada desde el
sistema operativo.
Es muy importante mencionar que la informtica forense o cmputo forense no
tiene parte preventiva, es decir, la informtica forense no se encarga de prevenir
delitos, para ello que encarga la seguridad informtica, es importante tener claro el
marco de actuacin entre la informtica forense, la seguridad informtica y
la auditora informtica.

DISPOSITIVOS A ANALIZAR

La infraestructura informtica que puede ser analizada puede ser toda aquella que
tenga una Memoria (informtica), por lo que se pueden analizar los siguientes
dispositivos:

Disco duro de una Computadora o Servidor

Documentacin referida del caso.

Tipo de Sistema de Telecomunicaciones

Informacin Electrnica MAC address

Logs de seguridad.

Informacin de Firewalls

IP, redes Proxy. lmhost, host, Crossover, pasarelas

Software de monitoreo y seguridad

Credenciales de autentificacin

Trazo de paquetes de red.

Telfono Mvil o Celular, parte de la telefona celular,

Agendas Electrnicas (PDA)

Dispositivos de GPS.

Impresora

Memoria USB

BIOS

DEFINICIONES:

Cadena de Custodia: La identidad de personas que manejan la evidencia

en el tiempo del suceso y la ltima revisin del caso. Es responsabilidad de la
persona que maneja la evidencia asegurar que los artculos son registrados y
contabilizados durante el tiempo en el cual estn en su poder, y que son
protegidos, llevando un registro de los nombres de las personas que
manejaron la evidencia o artculos con el lapso de tiempo y fechas de entrega
y recepcin.

Imagen Forense: Tcnica Llamada tambin "Espejeo" (en ingls

"Mirroring"), la cual es una copia binaria de un medio electrnico de
almacenamiento. En la imagen quedan grabados los espacios que ocupan los
archivos y las reas borradas incluyendo particiones escondidas.

Anlisis de Archivo: Examina cada archivo digital descubierto y crea una

base de datos de informacin relacionada al archivo (metadatos, etc...),
consistente entre otras cosas en la firma del archivo o hash (indica la
integridad del archivo), autor, tamao, nombre y ruta, as como su creacin,
ltimo acceso y fecha de modificacin.

OBJETIVOS DE LA INFORMTICA FORENSE

La informtica forense tiene 3 objetivos, a saber:
1. La compensacin de los daos causados por los criminales o intrusos.
2. La persecucin y procesamiento judicial de los criminales.
3. La creacin y aplicacin de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la
recoleccin de evidencia.

USOS DE LA INFORMTICA FORENSE

Existen varios usos de la informtica forense, muchos de estos usos provienen de

la vida diaria, y no tienen que estar directamente relacionados con la informtica
forense:
1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada para procesar
una variedad de crmenes, incluyendo homicidios, fraude financiero, trfico y
venta de drogas, evasin de impuestos o pornografa infantil.
2. Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso, divorcio,
pueden ser ayudados por la informtica forense.
3. Investigacin de Seguros: La evidencia encontrada en computadores, puede
ayudar a las compaas de seguros a disminuir los costos de los reclamos por
accidentes y compensaciones.
4. Temas corporativos: Puede ser recolectada informacin en casos que tratan
sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o
propietaria, o an de espionaje industrial.
5. Mantenimiento de la ley: La informtica forense puede ser usada en la
bsqueda inicial de rdenes judiciales, as como en la bsqueda de informacin
una vez se tiene la orden judicial para hacer la bsqueda exhaustiva.

PASOS DEL COMPUTO FORENCE

El proceso de anlisis forense a una computadora se describe a continuacin:

Identificacin
Es muy importante conocer los antecedentes a la investigacin "HotFix", situacin actual y el
proceso que se quiere seguir para poder tomar la mejor decisin con respecto a las
bsquedas y las estrategia (debes estar bien programado y sincronizado con las actividades a
realizar, herramientas de extraccin de los registros de informacin a localizar). Incluye
muchas veces (en un momento especifico Observar, Analizar Interpretar y Aplicar la certeza,
esto se llama criterio profesional que origina la investigacin) la identificacin del bien
informtico, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la
integridad y manejo adecuado de la evidencia), la revisin del entorno legal que protege el

bien y del apoyo para la toma de decisin con respecto al siguiente paso una vez revisados
los resultados.

Preservacin
Este paso incluye la revisin y generacin de las imgenes forenses de la evidencia para
poder realizar el anlisis. Dicha duplicacin se realiza utilizando tecnologa de punta para
poder mantener la integridad de la evidencia y la cadena de custodia que se requiere
(soportes). Al realizar una imagen forense, nos referimos al proceso que se requiere para
generar una copia bit-a-bit (copia binaria) de todo el disco duro, el cual permitir recuperar
en el siguiente paso, toda la informacin contenida y borrada del disco duro. Para evitar la
contaminacin del disco duro, normalmente se ocupan bloqueadores de escritura de
hardware, los cuales evitan el contacto de lectura con el disco, lo que provocara una
alteracin no deseada en los medios.

Anlisis
Proceso de aplicar tcnicas cientficas y analticas a los medios duplicados por medio del
proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden realizar
bsquedas de cadenas de caracteres, acciones especficas del o de los usuarios de la
mquina como son el uso de dispositivos de USB (marca, modelo), bsqueda de archivos
especficos, recuperacin e identificacin de correos electrnicos, recuperacin de los ltimos
sitios visitados, recuperacin del cach del navegador de Internet, etc.

Presentacin
Es el recopilar toda la informacin que se obtuvo a partir del anlisis para realizar el reporte y
la presentacin a los abogados, jueces o instancias que soliciten este informe, la generacin
(si es el caso) de una pericial y de su correcta interpretacin sin hacer uso de tecnicismos; se
deber presentar de manera cauta, prudente y discreta al solicitante la documentacin ya que
siempre existirn puertas traseras dentro del sistema en observacin y debe ser muy
especfica la investigacin dentro del sistema que se documenta porque se compara y vincula
una plataforma de telecomunicacin y computo forense y que estn muy estrechamente
enlazadas no omitiendo los medios de almacenamiento magnticos portables estos son
basamentos sobre software libre y privativo. Deber ser muy cuidadosa la informacin a
entregar porque se maneja el prestigio tcnico segn las plataformas y sistemas

LA CIENCIA FORENSE
La ciencia forense nos proporciona los principios y tcnicas que facilitan la
investigacin del delito criminal, en otras palabras: cualquier principio o tcnica
que puede ser aplicada para identificar, recuperar, reconstruir o analizar la
evidencia durante una investigacin criminal forma parte de la ciencia forense.

Los principios cientficos que hay detrs del procesamiento de una evidencia son
reconocidos y usados en procedimientos como:
1
Recoger y examinar huellas dactilares y ADN.
Recuperar documentos de un dispositivo daado.
Hacer una copia exacta de una evidencia digital.
Generar una huella digital con un algoritmo hash MD5 o SHA1 de un texto
para asegurar que este no se ha modificado.
Firmar digitalmente un documento para poder afirmar que es autntico y
preservar la cadena de evidencias.
Un forense aporta su entrenamiento para ayudar a los investigadores a reconstruir
el crimen y encontrar pistas. Aplicando un mtodo cientfico analiza las evidencias
disponibles, crea hiptesis sobre lo ocurrido para crear la evidencia y realiza
pruebas, controles para confirmar o contradecir esas hiptesis. Esto puede llevar a
una gran cantidad de posibilidades sobre lo que pudo ocurrir, esto es debido a que
un forense no puede conocer el pasado, no puede saber qu ocurri ya que slo
dispone de una informacin limitada. Por esto, slo puede presentar posibilidades
basadas en la informacin limitada que posee.
Un principio fundamental en la ciencia forense, que usaremos continuamente para
relacionar un criminal con el crimen que ha cometido, es el Principio de
Intercambio o transferencia de Locard, (Edmond Locard, francs fundador del
instituto de criminalistica de la universidad de Lion, podemos ver el esquema en la
figura

HERRAMIENTAS DEL CODIGO FORENSE

Sleuth Kit (Forensics Kit)

Py-Flag (Forensics Browser)

Autopsy (Forensics Browser for Sleuth Kit)

Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)

dcfldd (DD Imaging Tool command line tool and also works with AIR)

foremost (Data Carver command line tool)

Air (Forensics Imaging GUI)

md5deep (MD5 Hashing Program)

netcat (Command Line)

cryptcat (Command Line)

NTFS-Tools

Hetman software (Recuperador de datos borrados por los criminales)

qtparted (GUI Partitioning Tool)

regviewer (Windows Registry)

Viewer

X-Ways WinTrace

X-Ways WinHex

X-Ways Forensics

R-Studio Emergency (Bootable Recovery media Maker)

R-Studio Network Edtion

R-Studio RS Agent

Net resident

Faces

Encase

Snort

Helix

NetFlow

Deep Freeze

hirens boot

Canaima 3.1

Mini XP

Herramientas para el anlisis de discos duros

AccessData Forensic ToolKit (FTK)

Guidance Software EnCase

Kit Electronico de Transferencia de datos

Herramientas para el anlisis de correos electrnicos

Paraben

AccessData Forensic ToolKit (FTK)

Herramientas para el anlisis de dispositivos mviles

AccessData Mobile Phone Examiner Plus (MPE+)

Herramientas para el anlisis de redes[editar]

E-Detective - Decision Computer Group

SilentRunner - AccessData

Herramientas para filtrar y monitorear el trfico de una red tanto

interna como a internet

USBDeview

SilentRunner - AccessData