21/11/2008

Ing. Guido Rosales Uriona

INFORMATICA FORENSE

OBJETIVO
ƒ Mostrar el estado de los delitos informaticos en
Bolivia
ƒ Compartir para despertar la inquietud de forma
masiva
ƒ Es un movimiento emergente. Lo contrario sera
muy dificil

Ing. Guido Rosales Uriona

1
 21/11/2008

Contenido
ƒ La evidencia digital
ƒ Delitos Informáticos
ƒ Delitos comunes
ƒ La Informatica Forense
ƒ El marco legal
ƒ Servicios Profesionales
ƒ Formación
ƒ Recursos de infraestructura, hardware y software
ƒ Casos reales en Bolivia

Ing. Guido Rosales Uriona

LA EVIDENCIA DIGITAL
ƒ Evidencia: del latin Evidentia. Cualidad de evidente
(Cierto, claro, sin duda)
ƒ RAE: Certeza clara y manifiesta de la que no se puede dudar
ƒ Evidencia digital: “información de valor probatorio
almacenada o transmitida en forma digital”
• IOCE (Internacional Organization Of Computer Evidence). 1999.
ƒ Requisitos Ejemplo: (Ley 527 de 1999 – Colombia)
ƒ la confiabilidad en la forma en la que se generó; la confiabilidad
en la forma en la que se conservó; yy, la confiabilidad en la forma
en la que se identifica al autor.
ƒ Proyecto de ley de documentos, firmas y comercio
electronico
ƒ Valor probatorio

Ing. Guido Rosales Uriona

2
 21/11/2008

MARCO LEGAL
Fecha de
Promulgación
Descripción.
11/3/97 LEY 1768 CODIGO PENAL 2 ARTICULOS DE DELITOS INFORMATICOS

25/4/97 REGLAMENTO DE SOPORTE LÓGICO, D.S. 24582

31/3/98 LEY 1834 DE MERCADO DE VALORES ART. 56 PERMITE LOS TITULOS VALORES

1/4/98 LEY 1836 DEL TRIBUNAL CONSTITUCIONAL ART. 29 ADMITE DEMANDAS Y

RECURSOS POR FAX.
20/12/01 LEY 2297 DEL MODIFICA BANCOS 1498 ART. 6 APRUEBA EL USO DE Y SU VALOR
PROBATORIO EN EL SECTOR FINANCIERO
8/8/02 LEY 24 10 CONSTITUCION POLITICA DEL ESTADO , INTRODUCE EL RECURSO DE
HABEAS DATA PARA LOS DATOS PERSONALES
2/8/03 LEY 2492 CÓDIGO TRIBUTARIO DE ART. 77 ADMITE COMO MEDIOS DE PRUEBA
LOS INFORMÁTICOS
INFORMÁTICOS, ART.79
ART 79 INCORPORA LOS MEDIOS TECNOLÓGICOS
TECNOLÓGICOS,
APRUEBA LAS NOTIFICACIONES ELECTRONICAS
14/11/03 D.S. 27241 DE REGLAMENTO A LOS PROCEDIMIENTOS ADMINISTRATIVOS,
ADMITE COMO MEDIOS DE PRUEBA LAS DOCUMENTOS ELECTRÓNICOS
1/07/04 RESOLUCION DE DIRECTORIO BCB Nº 086/2004 APRUEBA REGLAMENTO DE
FIRMA DIGITAL.
9/01/04 D.S. 27310 DE REGLAMENTO DEL CÓDIGO TRIBUTARIO, RECONOCE MEDIOS E
INSTRUMENTOS TECNOLÓGICOS Y PERMITE NOTIFICACIONES POR MEDIOS
ELECTRÓNICOS.. Fuente: Investigación Propia
MSc. Ing. Guido Rosales Uriona

MARCO REGULATORIO

Sector Documento Fuente Observaciones

Gobierno Ninguno http://www.abi.bo No se tiene nada específico. Existe el
anteproyecto de Ley sobre Transacciones
electrónicas y Delitos Informáticos.

Sector Ninguno www.sittel.gov.bo Solo se regulan temas de servicios y no de

telecomunicaciones
Sector Energía
Eléctrica
Sector Financiero
sistemas.
Ninguno www.sicoes.gov.bo Intentos de efectuar Auditorias de sistemas
desde el año 2004. Tiene un reglamento de
calidad de información amparado en un
decreto.
SB 443/03 www.sbef.gov.bo Requisitos mínimos de seguridad informática.

Sector Pensiones, Circular www.spvs.gov.vo Requiere elaborar análisis de riesgos para

Valores y Seguros fundamentar la infraestructura de seguridad.
Ad i i
Administrativa
i

Sector educación Ninguno www.abi.bo No se efectúan actividades relacionadas.

FFAA Ninguno www.ejercito.mil.bo Se creó un departamento denominado

CRISIS, sin embargo no se conoce nada
oficialmente sobre su finalidad.
Fuente: Investigación Propia

MSc. Ing. Guido Rosales Uriona

3
 21/11/2008

DELITOS INFORMATICOS
ƒ Delitos cometidos con la participacion de TI
como objetivo o medio
ƒ Directos / Activos
ƒ Indirectos / Pasivos
ƒ Actores
ƒ De persona a persona (Acceso no autorizado
Calumnias)
ƒ De
D empresa a persona (Spam)
(S )
ƒ De persona a empresa (virus, spam, manipulacion)
ƒ De empresa a empresa (Espionaje)

MSc. Ing. Guido Rosales Uriona

Los delitos
ƒ Delitos Informáticos
ƒ Art. 363 bis : Manipulación Informatica
ƒ Art 363 ter : Acceso no autorizado
ƒ Delitos contra la fe pública:
ƒ 198 Falsedad material
ƒ 199 Falsedad ideológica
ƒ 203 Uso de instrumento falsificado
ƒ Delitos contra la propiedad
ƒ 326 Hurto
ƒ 331 Robo
ƒ 335 Estafa
ƒ 345 Apropiación Indebida
ƒ 346 Abuso de confianza

Ing. Guido Rosales Uriona

4
 21/11/2008

INSEGURIDAD LEGAL

PAÍS LEY Y FECHA DE PROMULGACIÓN
Argentina
g Leyy 25.506,, Firma Digital,
g , Diciembre 2001.
Bolivia Proyecto de Ley
Chile Ley 19.799, Promulgada en Marzo del 2002
Colombia Ley 527 sobre Mensajes de Datos. Comercio
Electrónico y Firma Digital de 18/08/1999
Ecuador Ley No. 2002-67) 10/04/2002
España Ley 59/2003
Perú Ley 27269, 26/05/2000
Paraguay Proyecto
Uruguay La ley N° 17.243 del 29/06/2000
Venezuela 10 de febrero del 2001
Guido Rosales Uriona

TENDENCIAS CONSULTORIA

12

10

0
01 AL 02 03 AL 05 05 AL 06 06 AL 07 08 AL 10

AUDITORIAS FORENSES SGSI MICs

MSc. Ing. Guido Rosales Uriona

Fuente: Investigación Propia

5
 21/11/2008

ESTADISTICAS NACIONALES

AMENAZAS TECNOLOGICAS

Robo de
Informacion

Violacion
DeCCTV
privacidad
Acoso

SPAM PIrateria Phising

Pornografia
Infantil Espionaje

Virus

6
 21/11/2008

BOLIVIA
BOLIVIA:
INFORMATICA FORENSE

Ing. Guido Rosales Uriona

TRIÁNGULO DEL CRIMEN

/
REAL VIRTUAL

/
REAL VIRTUAL
/
REAL VIRTUAL

7
 21/11/2008

LA INFORMATICA FORENSE
ƒ Concepto
ƒ Ciencia que se ocupa de recolectar, preservar,
analizar
li y presentar la
l evidencia
id i di
digital.
i l
ƒ Marco legal en Bolivia
ƒ Figura de la Pericia: Art. 204 - 215, c.p.p
ƒ El consultor técnico: Art. 207 c.p.p
ƒ Ley de arbitraje y conciliación N 1770 – 10/03/1997. Artículo 48

Ing. Guido Rosales Uriona

APLICACIÓN INFOFOR

INFORMATICA
Escena FORENSE Análisis
del Pericial
Hecho (Forense)
F/V F/V
80/20 20/80

8
 21/11/2008

INFOFOR - COMO ESTAMOS?

12,5
12,5 50

25

6Rs Completo Escena del hecho

Previo Analisis

Método del Octágono

Mundo Real

Mundo Virtual

9
 21/11/2008

ETAPA 1. PROTECCION

ƒ Evitar la contaminación de la escena del hecho

ƒ Considerar necesidad de Investigación Interna
ƒ Volcado de memoria
ƒ Registro del tiempo exacto (GMT -4)
ƒ Apagar dispositivos previa acta del último estado o pantalla
visible

ETAPA 2: EVALUACION
Santa Cruz

Servidor
Servidor
Servidor

Cochabamba
ENTEL/ Comteco /
COTAS, etc

Servidor

ƒ Conocimiento previo SU3, escaneo de red y/o interrogatorio

ƒ Escena: Cerrada, mixta y abierta
ƒ Principio de e-locard

10
 21/11/2008

ETAPA 3: FIJACION

ƒ Facilitar la
reconstrucción de la
escena del hecho
ƒ Identificar fuentes de
evidencia: Señalectica
ƒ Caracterización por I I
seriales impresos I
ƒ Fijación digital
mediante clonación o
imagen de medios I I
I V
I

ETAPA 4: RASTREO FISICO / DIGITAL

Rastreo digitl sobre copias (clon o imagen)

•Manual – Explorador
•Automático – Antivirus, antispyware, set de hashes

11
 21/11/2008

ETAPA 5: RECONOCIMIENTO DE OBJETIVO

O MEDIO

ƒ Repositorios en red: PC, impresoras, servidores

ƒ Repositorios en Internet: Cuentas de email,
servidores hackeados
ƒ PC Zombis: Artillería remota
ƒ Maniobras de distracción: Confundir al enemigo
ƒ En función de la topología y esquema de red
ƒ Servidores de seguridad
seguridad, de base de datos
datos, de
aplicaciones, de correo

ETAPA 6: HIPOTESIS CRIMINAL

La estrategia del TERO

12
 21/11/2008

ETAPA 7: COLECTA O EMBALAGE

Embalaje Lógico: Función hash / Zipeo con

Clave / Imagen

ETAPA 8: CADENA DE CUSTODIO

ƒ Garantizar la invariabilidad de la evidencia.

ƒ Bóvedas o jaulas FARADAY

13
 21/11/2008

Ing. Guido Rosales Uriona

CONCLUSION

ESCENA DEL HECHO

TRATAMIENTO
ETAPA 1
PROTECCION

ETAPA 8
ETAPA 2 Cadena de
Evaluacion Custodio
ETAPA n
…

14
 21/11/2008

METODO DE ANALISIS FORENSE

R1 - RECONOCIMIENTO

ƒ Reconocimiento Estratégico
ƒ Impacto FINOL (Financiero, Imagen, Normativo,
O
Operativo
ti y Legal)
L l)
ƒ Análisis interno de:
ƒ Políticas de seguridad, Matriz de Cumplimiento,
Auditorias y Control Interno, BIA, etc.
ƒ Reacción hormonal Vs. Reacción Neuronal
ƒ La Pataleta gerencial
ƒ El Proyecto Forense
ƒ La formalidad del juramento
ƒ Los puntos de Pericia: HIPOTESIS CRIMINAL

15
 21/11/2008

R2 - REQUISITOS

ƒ La Evidencia digital:
ƒ Tiene un autor claramente identificado,
ƒ Cuenta
C t con una fecha
f h y hora
h d
de
creación o alteración.
ƒ Cuenta con elementos que permiten
validar su autenticidad.
ƒ Puede ser verificados en su fiabilidad de
producción o generación
ƒ PENTAVALORES
ƒ Buenos Backups y Criptografía
implementada (PKI)
ƒ Antiforense
ƒ Metadatos
ƒ Edición Hexadecimal

R3 - RECOLECCION

ƒ Levantar toda evidencia e indicios, siendo preferible pecar por exceso que
por defecto.
ƒ Manejarla sólo lo estrictamente necesario, a fin de no alterarla o
contaminarla.
t i l
ƒ Evitar contaminarla con los instrumentos que se utilizan para su
levantamiento, los cuales deberán purificados meticulosamente antes y
después de su uso.
ƒ Levantarla por separado, evitando mezclarla.
ƒ Marcarla en aquellos sitios que no ameriten estudio ulterior o individualizarla
con funciones hash
ƒ Embalarla individualmente, procurando que se mantenga la integridad de su
naturaleza.
ƒ Anti forense
ƒ Criptografía
ƒ Fragmentación del disco

16
 21/11/2008

R4 - RECUPERACION
ƒ De datos
ƒ En medios actuales
ƒ En medios obsoletos
ƒ Valor probatorio
ƒ Basureros físicos y lógicos
ƒ Indicios

METODOS ANTIFORENSES

17
 21/11/2008

R5: RECONSTRUCCION

PLANIFICACION
OBJETIVO RECOLECCION

ATAQUE

PROCESAMIENTO

ANÁLISIS Y
PRODUCCIÓN
FASES DE UN ATAQUE

R5 - RECONSTRUCCION

ƒ En la mente del atacante

ƒ ITER CRIMINIS
ƒ a.- Interna (Ideación)
• Deliberación
• Resolución o determinación
ƒ b.- Intermedia Proposición a delinquir
• Resolución manifestada
ƒ c.- Externa (Actos preparatorios)
• Actos de ejecución
ƒ MODUS OPERANDI

18
 21/11/2008

R 5: RECONSTRUCCION

La estrategia del TERO

R6 - RESULTADOS

ƒ DICTAMEN PERICIAL
ƒ En función de los puntos periciales
ƒ Introducción: comprende la designación oficial por parte del Fiscal o
Juez acompañando en anexo el acta de juramento.
ƒ Puntos de Pericia (Objetivos): Aquellos definidos por la instancia
legal correspondiente. Generalmente están expresados en el acta de
posesión o juramento de ley.
ƒ Dictamen (Conclusiones): Conclusiones en función de los puntos de
pericia definidos.
ƒ Detalle de la Pericia: Informe técnico en extenso y abundante detalle
donde se explique todos los pasos seguidos

19
 21/11/2008

R6 - RESULTADOS

ƒ JUICIO ORAL
ƒ Lectura en extenso
ƒ M
Medios
di apropiados:
i d audiovisuales,
di i l reconstrucción
t ió ttridimensional,
idi i l
gráficos, etc.
ƒ Interrogatorio y Contrainterrogatorio
ƒ Abogados y Consultores Técnicos
ƒ Debido entrenamiento

CONCLUSION

20
 21/11/2008

CASOS REALES
ƒ PUBLICOS
ƒ CASO RUAT - Manipulacion
ƒ CASO ABC – Corrupcion Publica
ƒ CASO SIDUNEA – Manipulacion Informatica
ƒ PRIVADOS
ƒ Bancos
ƒ Aseguradoras
ƒ Telecomunicaciones
ƒ PYMES
ƒ Personales

Ing. Guido Rosales Uriona

ACCIONES TOMADAS

2005 - Capacitación PTJ La Paz 2005 - Capacitación PTJ Santa Cruz

21
 21/11/2008

1. CISO(CISSP - CISM) 15 VERSIONES – 150 – 50 CERTIFICADOS

2. ISSA (CISA - CISM) – 7 VERSIONES 70 – 20 CERTIFICADOS
3. FCA (ENCE)– 3 VERSIONES – 30 – 10 CERTIFICADOS

www.yanapti.com

CONTENIDO FCA

22
 21/11/2008

FASE 1: INFOFOR 18 y 19 de Septiembre 2008

FASE 2: FCA

ƒ CERTIFICACION NACIONAL
ƒ 10 semanas – 60 horas

23
 21/11/2008

FASE 3: CERTIFICACION EnCE

• CERTIFICACION
INTERNACIONAL

FASE 4: LABO INFOFOR

24
 21/11/2008

ESTADO DEL PROYECTO

ƒ FASE 1: Evento masivo – Completado
ƒ FASE 2: Entrenamiento FCA – 80 %
ƒ FASE 3: Certificacion EnCE – Sin Comenzar
ƒ FASE 4: Laboratorio – Completado

ƒ AVANCE TOTAL 70%

Ing. Guido Rosales Uriona

!! GRACIAS !!

Email: grosales@yanapti.com
Dirección: Av. Arce N 2105, Edificio Venus 5a
Teléfonos: 2152273 / 2440985
www.yanapti.com

25