Documente Academic
Documente Profesional
Documente Cultură
Facultad de Ingeniera
Escuela de Ingeniera en Ciencias y Sistemas
FACULTAD DE INGENIERA
TRABAJO DE GRADUACIN
AL CONFERRSELE EL TTULO DE
Mis hermanos y primos Por estar ah cuando los necesitaba y ser parte
importante en mi vida.
AGRADECIMIENTOS A:
I
2.3.7. Investigaciones de amenazas por correo
electrnico, acoso y acecho ................................. 15
2.3.8. Investigaciones de narcticos ................................. 16
2.3.9. Investigaciones de piratera de software ................. 17
2.3.10. Investigaciones de fraude de
telecomunicaciones ................................................ 17
2.3.11. Investigaciones de robo de identidad...................... 18
II
4.5.2. Identificacin ...........................................................28
4.5.3. Coleccin ................................................................29
4.5.4. Adquisicin .............................................................29
4.5.5. Preservacin ...........................................................29
III
5.5. Recuperar ............................................................................... 39
5.5.1. Planificar recuperacin ........................................... 40
5.5.2. Mejoras .................................................................. 40
CONCLUSIONES ............................................................................................ 45
RECOMENDACIONES .................................................................................... 47
BIBLIOGRAFA ................................................................................................ 49
ANEXO ............................................................................................................ 51
IV
NDICE DE ILUSTRACIONES
FIGURAS
TABLAS
V
VI
GLOSARIO
VII
VIII
RESUMEN
IX
X
OBJETIVOS
General
Especficos
XI
XII
INTRODUCCIN
XIII
XIV
1. CADENA DE CUSTODIA
1.1. Concepto
1.2. Principios
1
Principio de la licitud de la prueba : se refiere a que los canales y medios
de obtencin de pruebas sean legales y estn debidamente establecidos
1.3. Caractersticas
2
Los participantes son responsables de los procedimientos generales y
especficos de la cadena de custodia.
3
Los laboratorios criminalsticos o el Instituto Nacional de Medicina Legal y
Ciencias Forenses podrn abstenerse de analizar elementos de prueba
enviados por las autoridades competentes, cuando se compruebe que no ha
existido cadena de custodia o que esta se ha interrumpido.
4
El control y el diligenciamiento del registro de cadena de custodia,
contina e inicia internamente en los laboratorios criminalsticos y forenses, en
la oficina de correspondencia respectiva.
5
1.4. Control
Tiempos: los tiempos que han estado involucrados cada vez que hay un
contacto con la cadena de custodia.
6
1.5. Objetivo
1.6. Importancia
7
8
2. LA EVIDENCIA
Computador de escritorio.
Computador porttil.
Estacin de trabajo.
Hardware de red.
9
Servidor.
Telfono celular.
Telfono Inteligente misma funcionalidad de que el anterior con una
amplia gama de servicios y aplicaciones con enfoque en acceso a internet
y redes sociales.
Telfono inalmbrico.
Aparato para identificar llamadas.
Localizador - beeper.
GPS aparato que utiliza tecnologa satlite capaz de ubicar
geogrficamente a la persona o vehculo que lo opera.
Cmaras, videos.
Sistemas de seguridad.
Memoria flash dispositivo que tiene capacidad almacenar informacin de
diferentes formas y tamaos.
Palm asistente personal electrnico que almacena datos y posiblemente
tiene conectividad inalmbrica con el Internet.
Tablet es una versin moderna del anterior, es propiamente un hibrido
intermedio entre telfono inteligente y computador personal porttil que
tiene conectividad inalmbrica con el Internet.
Juegos electrnicos en su unidad de datos se puede guardar, incluso,
una memoria de otro aparato.
Sistemas en vehculos computadoras obvias y computadoras del sistema
operativo del vehculo que registra cambios en el ambiente y el mismo
vehculo.
Impresora.
Copiadora.
Grabadora.
Videograbadora, DVD.
10
Duplicadora de discos.
Discos, disquetes, cintas magnticas.
Aparatos ilcitos tales como los aparatos que capturan el nmero celular
de telfonos cercanos para despus copiarlo en otros telfonos, o los
llamados analizadores de paquetes, decodificadores.
11
Los elementos ms comunes en una investigacin digital de este tipo son:
Registros de conversaciones.
Software de la cmara digital.
Correo electrnico, notas y cartas.
Juegos.
Software de edicin y visualizacin grfica.
Imgenes y pelculas.
Registros de actividad de internet.
Nombres de archivos y directorios que clasifican imgenes.
12
2.3.3. Investigaciones de intrusin en redes
Libretas de direcciones.
Archivos de configuracin.
Correos electrnicos, notas y cartas.
Programas ejecutables.
Registros de actividad de internet.
Direcciones de protocolos de internet y nombres de usuarios.
Registros de conversaciones por internet va mensajes instantneos.
Cdigo fuente.
Archivos de texto y documentos con nombres de usuarios y contraseas.
Libretas de direcciones
Correos electrnicos, notas y cartas
Registros de activos financieros
Registros de actividad de internet
13
Documentos legales y testamentos
Registros mdicos
Registros telefnicos
Diarios
Mapas
Fotos de vctima / sospechoso
Fotos de trofeos
Libretas de direcciones
Diarios
Correos electrnicos, notas y cartas
Registros de activos financieros
Registros telefnicos
14
En el campo digital las reas de investigacin son las siguientes:
Libretas de direcciones
Calendario
Imgenes de cheques y rdenes de pago
Imgenes de monedas
Informacin de clientes
Bases de datos
Correos electrnicos, notas y cartas
Identificaciones falsas
Registros de activos financieros
Imgenes de firmas
Registros de actividad de internet
Software bancario en lnea
Imgenes de falsificacin de moneda
Registros bancarios
Nmeros de tarjetas de crdito
15
Libretas de direcciones
Diarios
Correos electrnicos, notas y cartas
Registros de activos financieros
Imgenes
Registros de actividad de internet
Documentos legales
Registros telefnicos
Investigacin de antecedentes de la vctima
Mapas y ubicaciones de la vctima
Libretas de direcciones
Calendario
Bases de datos
Recetas de drogas
Correos electrnicos, notas y cartas
Identificaciones falsas
Registros de activos financieros
Registros de actividad de internet
Imgenes de recetas mdicas
16
2.3.9. Investigaciones de piratera de software
Registros de conversaciones
Correos electrnicos, notas y cartas.
Archivos de imgenes de certificados de software
Registros de actividad de internet
Nmeros de serie de software
Utilidades de software para ingeniera inversa
Directorios de usuario y nombres de archivos que clasifican el software
con derechos de autor
Software de clonacin
Registros de la base de clientes
Nmeros de serie electrnicos, nmeros de identificacin mvil
Correos electrnicos, notas y cartas
Registros de activos financieros
Registros de actividad de internet
17
2.3.11. Investigaciones de robo de identidad
18
Instrumentos negociables
o Cheques de negocios
o Cheques de caja
o Nmeros de tarjetas de crdito
o Falsificacin de documentos judiciales
o Certificados de regalo falsificados
o Falsificacin de documentos de prstamo
o Recibos de venta falsificados
o rdenes de pago
o Cheques personales
19
20
3. PRINCIPIOS DEL PERITAJE
3.1. Objetividad
3.2. Autenticidad
3.3. Legalidad
3.4. Idoneidad
21
3.5. Inalterabilidad
3.6. Documentacin
22
4. ISO 27037 : DIRECTRICES PARA LA IDENTIFICACIN,
RECOPILACIN, CONSOLIDACIN Y PRESERVACIN DE
EVIDENCIA DIGITAL
La Norma ISO 27037 solo cubre el proceso inicial del trabajo forense
digital: identificacin, obtencin y preservacin de la evidencia digital potencial.
Recoleccin
Identificacin Preservacin
Adquisicin
23
4.1. Identificar
24
Coleccin es ms o menos equivalente a la prctica de aplicacin de la ley
estndar de aprovechar los elementos que contengan potencial evidencia digital
bajo la autoridad de un orden jurdico (es decir, una orden de registro) y el envo
de ellos a un laboratorio forense u otro centro para el procesamiento y anlisis.
La adquisicin es ms comn en el sector privado debido a la necesidad de
minimizar el impacto, de una investigacin en curso, en el negocio.
En todos los casos, los requisitos para la copia son muy similares: debe
hacerse mediante un proceso bien conocido, defendible y bien documentado.
Adems, el proceso debe incluir medidas de integridad para asegurar que la
copia no se ha modificado desde la adquisicin. La amplia variedad de la
potencial evidencia digital a copiar, y los requisitos del proceso de copia, hacen
de la adquisicin un proceso ms complejo y difcil que el de coleccin.
4.3. Preservar
25
tribunal de justicia. Sin embargo, la evidencia digital es notoriamente frgil y se
cambia o se destruye fcilmente.
4.4.1. Auditable
1
DEFR es una acrnimo en ingls que significa Digital Evidence First Responder
2
DES es un acrnimo en ingls que significa Digital Evidence Specialist
26
4.4.2. Repetible
4.4.3. Reproducible
4.4.4. Justificable
El DEFR debe ser capaz de justificar todas las acciones y los mtodos
utilizados, por lo cual la Normativa ISO 27037 provee las herramientas
necesarias para el efecto.
27
4.5. Manejo de la evidencia digital
4.5.1. General
Minimizar el manejo.
Registro de cambios y acciones que se han tomado.
Cumplir con las normas locales para las pruebas.
No tomar acciones ms all de la propia competencia.
4.5.2. Identificacin
28
4.5.3. Coleccin
4.5.4. Adquisicin
4.5.5. Preservacin
29
30
5. LA CADENA DE CUSTODIA EN EL MARCO DE TRABAJO
DE SEGURIDAD COMPUTACIONAL
Framework Core
Funciones Categorias Subcategorias Referencias
Identificar
Proteger
Detectar
Responder
Recuperar
31
Teniendo en cuenta que lo ms importante dentro de la cadena de
custodia es la integridad, la confiabilidad es de suma importancia tal y como se
muestra a continuacin:
Confianza
(Sistemas y Componentes)
Habilita
Requerimiento de
Seguridad
Necesidades, leyes, polticas,
Directivas, Instrucciones.
Estndares
Satisface
Proveer
Capacidad de Confianza en Garanta de Seguridad
Seguridad Acciones
Controles de seguridad Desarrollo/Operacionales
Mutuamente Reforzantes (Controles de garantas)
(Tcnico, Fsico y Procedural)
Produce
Genera
Fuente: National Institute of Standards, Security and Privacy Controls for Federal Information
Systems and Organizations.p.24.
32
5.1. Identificar
5.1.2. Gobernanza
33
5.1.3. Evaluacin del riesgo
5.2. Proteger
34
5.2.1. Control de acceso
35
5.2.4. Procesos de proteccin de la informacin y
procedimientos
5.3. Detectar
36
5.3.1. Anomalas y eventos
5.4. Responder
37
5.4.1. Planificar la respuesta
5.4.2. Comunicar
5.4.3. Analizar
Clasificacin de incidente
Alcances del incidente
Anlisis forense
Anomalas
Impacto
38
5.4.4. Mitigar
Contener
Reforzar controles
5.4.5. Mejorar
5.5. Recuperar
39
5.5.1. Planificar recuperacin
5.5.2. Mejoras
40
6. GUA PARA LA CADENA DE CUSTODIA DIGITAL
Leyenda
B (bsico)
I (intermedio)
A (avanzado)
41
6.1.1. Tiempo
6.1.2. Identificacin
42
6.1.3. Descripcin general
6.1.4. Proteccin
Medios externos
NAS
Respaldo
43
6.1.5. Deteccin
6.1.6. Responder
6.1.7. Recuperar
44
CONCLUSIONES
45
5. La cadena de custodia digital, debe hacerse con una firma de tiempo
cronolgica de fecha y hora, siendo lo ideal en el momento de la
intervencin contar con un archivo generado por una autoridad
certificadora abierta, que avale al investigador, la fecha, la hora, el
proceso y el lugar, lo cual garantiza la integridad del archivo.
46
RECOMENDACIONES
47
48
BIBLIOGRAFA
3. Cloud Security Alliance, Mapping the Forensic Standard ISO IEC 27037
to Cloud Computing. [en lnea]. https://downloads.cloud
securityallience.org/initiatives/imf/Mapping-the-Forensic-Standard-
ISO-IEC-27037-to-Cloud-Computing.pdf. [Consulta: 15 de octubre
de 2013].
49
6. U.S. Department of Homeland Security. Best Practices for Seizing
Electronic Evidence v.3: A Pocket Guide for First Responders. [en
lnea] https://www.ncjrs.gov/App/Publications/abstract.aspx?ID=23
9359. [Consulta: 25 de septiembre de 2013].
50
ANEXO
51
52
Software de cdigo libre para la cadena de custodia digital
Caractersticas:
53
o Control del nmero de caso
o Control del examinador o encargado de la evidencia digital
54
Figura C. Identificacion de las fuentes de informacion y marcas
de tiempo
o Resumen de un caso
Nombre del caso
Nmero del caso
Examinador
Marca temporal de creacin
Directorio del caso
Informacin de imgenes digitales de evidencias
relacionadas al caso
55
Figura D. Resumen de un caso
56