Introducción al análisis forense

[1.1] ¿Cómo estudiar este tema?

[1.2] ¿Qué es la informática forense?

[1.3] Objetivos de un análisis forense

[1.4] Etapas de un análisis forense

[1.5] Cadena de custodia de las evidencias digitales

[1.6] Delitos de falsedad en la pericia

1
TEMA
 Introducción al análisis forense
Esquema

¿Qué es la

TEMA 1 – Esquema
Objetivos de un Etapas de un Delitos de falsedad
informática Cadena de custodia
análisis forense análisis forense en la pericia
forense?

Asegurar NO El perito es
Investigación ¿Qué? Recolectar
alteración un experto

2
Integridad Dolo
Evidencias ¿Cómo? Preservar Autenticidad imprudencia o
Trazabilidad falta de celo

Medio de Documentación
¿Quién? Analizar
prueba y hash

Presentar
Análisis Forense
 Análisis Forense

Ideas clave

1.1. ¿Cómo estudiar este tema?

Este primer tema de la asignatura pretende ser un tema introductorio al mundo del
análisis y la informática forense. Con este tema se pretenden conseguir unos
conocimientos mínimos sobre los que posteriormente se asentará el resto de la
asignatura. Los objetivos de este primer tema son:

Conocer qué es la informática forense y qué se considera una evidencia digital.

Tener una visión de cuáles son los objetivos de un análisis forense.
Saber identificar cada una de las etapas de un análisis forense.
Conocer la importancia de la cadena de custodia en el ámbito de trabajo de un analista
forense.
Conocer los delitos que, como peritos, podemos cometer durante el ejercicio de
nuestra labor.
Conocer a quién se puede considerar perito según la legislación española.

1.2. ¿Qué es la informática forense?

El INCIBE (Instituto Nacional de Ciberseguridad) define la informática forense como:

El proceso de investigación de los sistemas de información para detectar toda evidencia

que pueda ser presentada como medio de prueba fehaciente para la resolución de un litigo
dentro de un procedimiento judicial.

De la definición anterior hay que sacar dos ideas clave, que la informática forense es un
proceso de investigación y que las evidencias que obtengamos deben de poder ser
presentadas como medio de prueba en un procedimiento judicial.

Otros autores (Brown, 2010) definen la informática forense como «The art and science
of applying computer science knowledge and skills to aid the legal process».

Brown cataloga a la vez a la informática forense como arte y como ciencia. Porque, como
comenta el autor, aunque la informática forense se base en procedimientos ya definidos

TEMA 1 – Ideas clave 3

 Análisis Forense

o en el uso de herramientas que ayuden al investigador, los buenos investigadores

forenses tienen la habilidad de ir un paso más allá en la investigación y llegar a
pensar como el autor al que se está intentando encontrar.

Un buen analista forense, tiene que disfrutar de su trabajo siendo a la vez un gran
profesional.

Desde un punto de vista más empresarial (¿Qué es la informática forense o Forensic?),

podríamos ver la informática forense como un fin:

La informática forense permite la solución de conflictos tecnológicos relacionados con

seguridad informática y protección de datos. Gracias a ella, las empresas obtienen una
respuesta a problemas de privacidad, competencia desleal, fraude, robo de información
confidencial y/o espionaje industrial surgidos a través de uso indebido de las tecnologías
de la información. Mediante sus procedimientos se identifican, aseguran, extraen,
analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan
ser aceptadas en un proceso legal.

Otro concepto relacionado con la informática forense y que también debemos de conocer
es el concepto de evidencia digital. La evidencia digital se define como:

Todo elemento que pueda almacenar información en formato electrónico, de forma

física o lógica y que permita constatar un hecho investigado o el esclarecimiento de
este.

Algunos ejemplos de evidencias digitales serían:

Documento electrónico de texto Archivo de imagen o vídeo

Archivos temporales de navegación Cookies del explorador

Registros de eventos del sistema operativo Ficheros de logs

Registros del tráfico de red del equipo Etc.

TEMA 1 – Ideas clave 4

 Análisis Forense

1.3. Objetivos de un análisis forense

El fin último de toda investigación forense es el esclarecimiento de los hechos ocurridos

de acuerdo con las evidencias recogidas en la escena del crimen.

Para ello, deberemos responder estas tres preguntas:

1 ¿Qué se ha alterado?

2 ¿Cómo se ha alterado?

3 ¿Quién ha realizado dicha alteración?

Para responder a la primera de las preguntas, hay que ser capaz de detectar los accesos
o cambios no autorizados que se han realizado en el sistema. Estos cambios no tienen
que consistir únicamente en la alteración física de un fichero, modificándolo o
eliminándolo, también hay que ser capaces de saber qué ficheros fueron accedidos,
aunque solo se trate de la lectura y/o copia de los mismos.

Un ejemplo de acceso no autorizado, podría ser el acceso a la información del

teléfono móvil de una persona, cómo ha sucedido con el teléfono de algunos
famosos, en los que un atacante accede a los datos contenidos en el mismo, sin alterarlos.
Con la pregunta «¿Cómo se ha alterado?», lo que se busca es reconstruir los pasos
dados por el autor de los hechos para llegar a comprender cómo hizo lo que hizo, y ser
capaces de evitar en un futuro que el método utilizado para realizar la alteración se repita.

La última de las preguntas plantea el reto de saber quién fue el autor material de
los hechos. Quién ha realizado las modificaciones que han sido detectadas.

En otros ámbitos de la investigación forense, como pueden ser el análisis dactiloscópico

(análisis de las huellas dactilares) o el de ADN, es posible identificar plenamente a la
persona autora de los hechos; en el análisis forense no se puede llegar a ser tan precisos.

Cuando se realiza un análisis forense, la conclusión más concreta a la que se va a llegar

va a ser el usuario (local o remoto) que realizo las modificaciones y/o la dirección IP
o MAC de la máquina desde la cual dichas modificaciones fueron realizadas. Por lo que
tenemos que ayudarnos de otras técnicas de investigación si se quiere dar con la persona
física autora de los hechos.

TEMA 1 – Ideas clave 5

 Análisis Forense

1.4. Etapas de un análisis forense

Las etapas de un análisis forense son (NIST 2006):

Recolectar Preservar Analizar Presentar

La recolección de las evidencias es el primer paso que se da a la hora de realizar un

análisis forense. Consiste en obtener las evidencias que consideremos de interés de
manera que posteriormente puedan ser analizadas. Asemejando el hecho al ámbito
forense tradicional, la recolección de las evidencias sería algo así como la recogida de una
muestra de sangre dentro de la escena de un crimen. La diferencia es que nuestra escena
del crimen no es la habitación de un domicilio, si no que es un equipo informático y la
sangre que tenemos que recoger puede ser desde un sencillo archivo de logs, hasta el
disco (o discos) duro completo.

Como hemos nombrado anteriormente, algunos ejemplos de evidencias digitales podrían

ser: un documento electrónico de texto, un archivo de imagen o vídeo, los archivos
temporales de navegación, etc. Incluyendo también otro tipo de evidencias como
pendrives, DVDs, discos duros externos, etc.

En definitiva, habría que recolectar cualquier elemento generado o almacenado en un

sistema de la información, y que pueda ser utilizado como prueba en un proceso legal.

La recolección de las evidencias tiene que hacerse con medios que aseguren, en la medida
de lo posible, la no modificación de las mismas:

Artículo 482.3 de la Ley de Enjuiciamiento Criminal (LECrim). […] el Juez o quien lo

represente adoptará las precauciones convenientes para evitar cualquier alteración en la
materia de la diligencia pericial.

Siendo necesaria la documentación de los cambios que tengamos que haber

realizado en el equipo para la recolección, si no ha sido posible evitar su modificación.

Artículo 479 de la LECrim. Si los peritos tuvieren necesidad de destruir o alterar los objetos
que analicen, deberá conservarse, a ser posible, parte de ellos a disposición del Juez, para
que, en caso necesario, pueda hacerse nuevo análisis.

TEMA 1 – Ideas clave 6

 Análisis Forense

La preservación de las evidencias tiene por objetivo el garantizar que lo que se analiza
es lo mismo que previamente se ha recolectado cumpliendo así con el procedimiento
de cadena de custodia, requisito indispensable para que una evidencia tenga validez
judicial.

En el ámbito del análisis forense, el hecho de realizar una imagen o clonado de un dispositivo
(como puede ser un disco duro, o un pendrive) con medios certificados para ello (clonadoras
hardware como la Logicube Forensic Talon o la Tableau Imager, entre otras, han sido
testeadas y aprobadas por el Departamento de Justicia de Estados Unidos), ya es una
garantía de que lo que se copia es imagen fiel y exacta de lo que se ocupa; pero dada la relativa
facilidad de modificación de la evidencia y/o de la copia, se debe garantizar la integridad a lo
largo de todos los procesos a los que estas sean sometidas.

Puedes encontrar más información sobre las herramientas testeadas y aprobadas por el
Departamento de Justicia de Estados Unidos en:
http://nij.ncjrs.gov/App/publications/Pub_search.aspx?searchtype=basic&category=9
9&location=top&PSID=55

Para ello, se hace uso de funciones resumen hash (como MD5 o SHA1). El procedimiento
(que será explicado más detalladamente en posteriores temas) consiste en realizar un
resumen digital a la evidencia original y a la copia, de manera que si ambos resúmenes
coinciden, se asegura que el contenido de la evidencia original y el de la copia son
exactamente iguales.

Posteriormente, y a lo largo de todos los procesos que se realicen, se puede verificar que
se está analizando lo que en su momento se ocupó realizando nuevamente un
resumen digital y comparando el resultado con el primer resultado obtenido.

El análisis de las evidencias es la etapa en la que se intenta responder a las tres

preguntas mencionadas:

¿Qué se ha alterado?
¿Cómo se ha alterado?
¿Quién ha realizado dicha alteración?

Durante el análisis, las evidencias que han sido recolectadas y preservadas previamente se
estudian, con el fin de concluir si los hechos objeto de la investigación son ciertos o no. La

TEMA 1 – Ideas clave 7

 Análisis Forense

presentación es la última etapa de un análisis forense y consiste en la realización de

un informe pericial en el que se detallen (Artículo 478 de la LECrim.):

1 La descripción del equipo informático o dispositivo objeto del mismo.

2 Los procedimientos realizados por los peritos y sus resultados.

Las conclusiones a las que los peritos han llegado en base a los resultados
3
obtenidos.

1.5. Cadena de custodia de las evidencias digitales

Como se ha comentado al principio del tema, las evidencias que obtengamos de un

análisis forense deben de poder ser presentadas como medio de prueba en un
procedimiento judicial. Pero, para que un elemento pueda servir como elemento
probatorio en un procedimiento judicial se tiene que poder asegurar que dicho
elemento no ha sido alterado desde el momento de su recolección hasta su análisis y
presentación. Para ello se utiliza la cadena de custodia.

La cadena de custodia es el proceso mediante el cual la evidencia es transmitida sin

modificación alguna, desde quien la ocupa, hasta quien la analiza. Los objetivos que
se a conseguir mediante el uso de la cadena de custodia son:

Garantizar la integridad de la evidencia, impidiendo que se realice cualquier

1
cambio sobre la misma.

2 Garantizar su autenticidad, permitiendo contrastar su origen.

Garantizar la posibilidad de localización, permitiendo saber en cualquier

3
momento dónde se encuentra una evidencia.

4 Garantizar la trazabilidad de los accesos a la evidencia.

5 Garantizar su preservación a largo plazo.

En el ámbito del análisis forense, el mantenimiento de la cadena de custodia se suele

llevar a cabo mediante la documentación de las personas custodiantes de la evidencia
y el uso de funciones hash que garanticen la integridad de la misma.

TEMA 1 – Ideas clave 8

 Análisis Forense

Así mismo, se ha de llevar un registro de las personas que realicen cualquier

operación con la evidencia, indicando la operación realizada, la fecha en que dicha
operación ha sido realizada (inicio y finalización) y la persona que la ha realizado.

1.6. Delitos de falsedad en la pericia

La figura del perito se corresponde con la de un experto en alguna materia

(artística o científica) en la cual el juez no tiene los conocimientos suficientes.

De esto se desprende que un perito puede ser cualquier persona, siempre y cuando sea
un experto en la materia sobre la cual pretenda realizar la pericia, no siendo necesaria
ningún tipo de titulación al respecto, aunque la tenencia de la misma respalda el
hecho de que el perito es conocedor de la materia sobre la cual tiene titulación.
Tampoco es necesario colegiarse para ser considerado perito por un juez en un
procedimiento judicial, aunque el colegiarse sirve para tener el respaldo de un colegio de
expertos en la materia que aportan credibilidad a la pericia.

La responsabilidad penal del perito no solo se da por la realización del hecho con
dolo (voluntad deliberada de cometer un delito a sabiendas de su ilicitud), sino también
por la imprudencia o falta de celo a la hora de realizar la pericial. Esto último se puede
dar sobre todo en peritos de parte al no mencionar o no analizar aquellos aspectos que
pueden perjudicar a la parte para cual han realizado la pericia.

Por ello, nuestra labor como peritos ha de ser siempre imparcial y destinada a mostrar,
de forma clara y entendible para el juez, aquellos aspectos que por su naturaleza técnica
no sean fácilmente entendibles. Independientemente de la parte para la que se realice el
informe.

Con el objetivo de evitar la corrupción de los peritos, existen una serie de artículos del
código penal dedicados en exclusiva a castigar este tipo de actos. El delito de falso
testimonio por perito, o con mayor precisión el delito de falsa pericia o falso dictamen
del perito, se configuran como una modalidad agravada del tipo básico del delito
de falso testimonio.

TEMA 1 – Ideas clave 9

 Análisis Forense

Se trata de un delito que no requiere la producción de un resultado concreto, si no que

requiere una realización personal de los elementos del tipo y, además, se trata de un
delito especial propio, pues el sujeto activo solo puede serlo el perito, cuyo
fundamento radica en la trasgresión del juramento de actuar con objetividad y de decir
verdad, tal y como se estipula en los artículos 335.2 y 365 de la Ley de Enjuiciamiento
Civil, siendo el bien jurídico protegido, no el interés de las partes, sino el correcto
funcionamiento de la Administración de Justicia, referida esta a la función jurisdiccional
en orden a la correcta valoración de la prueba practicada.

Artículo 335.2 Objeto y finalidad del dictamen de peritos. Juramento o promesa de actuar
con objetividad. Al emitir el dictamen, todo perito deberá manifestar, bajo juramento o
promesa de decir verdad, que ha actuado y, en su caso, actuará con la mayor objetividad
posible, tomando en consideración tanto lo que pueda favorecer como lo que sea
susceptible de causar perjuicio a cualquiera de las partes, y que conoce las sanciones
penales en las que podría incurrir si incumpliere su deber como perito.

Artículo 365.1 Juramento o promesa de los testigos. Antes de declarar, cada testigo prestará
juramento o promesa de decir verdad, con la conminación de las penas establecidas para el
delito de falso testimonio en causa civil, de las que le instruirá el tribunal si manifestare
ignorarlas.

Se distingue entre falso testimonio propio (faltar a la verdad maliciosamente en su

dictamen) y el falso testimonio impropio (sin faltar sustancialmente a la verdad, la
alterasen con reticencias, inexactitudes o silenciando hechos o datos relevantes que le
fueren conocidos). La conducta típica consiste no en un error en el dictamen, sino en
faltar a la verdad en lo que el perito sabe y entiende, con infracción del deber de actuar
con objetividad, antes identificado con el deber de proceder bien y fielmente en el
desempeño del cargo, exigiéndose que el perito «actúe con conocimiento de la
inexactitud del dictamen presentado, faltando así al deber de veracidad impuesto a todo
perito que sirve a la Administración de Justicia».

El tipo objetivo requiere que la declaración del perito sea falsa. Puede consistir tanto
en una acción (aportar juicios inveraces, bien sea por falta de suficiente motivación o
que esta sea arbitraria, o bien que hayan sido tergiversadas las bases fácticas del informe)
como en una omisión (silenciar juicios relevantes induciendo al juez una
representación alterada de los extremos objeto del dictamen). Y el tipo subjetivo
requiere dolo directo de estar dictaminando falsamente, esto es, y en la dicción legal

TEMA 1 – Ideas clave 10

 Análisis Forense

«maliciosamente», referido, no a la necesidad de un especial elemento subjetivo del

injusto, sino al conocimiento de la falsedad propio del dolo.

Una de las mayores dificultades para la sanción penal es la comprobación de la

falsedad, que requiere su confirmación por otro perito de la misma especialidad, de
modo que salvo que aquella sea muy evidente, lo más que encontraremos serán opiniones
científicas, técnicas o artísticas discrepantes.

La doctrina jurisprudencial ha destacado la mayor complejidad en la determinación

de la comisión de un delito de falso testimonio en el caso de los peritos que en el de los
testigos, ya que estos declaran sobre hechos, mientras que para aquellos la conducta
penal comenzará a partir de la línea que separa lo científicamente opinable de lo que es
insostenible bajo cualquier óptica, razón por la cual el art. 459 CP exige que los peritos
falten a la verdad, pero maliciosamente.

Código Penal. Artículo 458.1: El testigo que faltare a la verdad en su testimonio en causa
judicial, será castigado con las penas de prisión de seis meses a dos años y multa de tres a
seis meses.

Código Penal. Artículo 459: Las penas de los artículos precedentes se impondrán en su
mitad superior a los peritos o intérpretes que faltaren a la verdad maliciosamente en su
dictamen o traducción, los cuales serán, además, castigados con la pena de inhabilitación
especial para profesión u oficio, empleo o cargo público, por tiempo de seis a doce años.

Código Penal. Artículo 460: Cuando el testigo, perito o intérprete, sin faltar
sustancialmente a la verdad, la alterare con reticencias, inexactitudes o silenciando hechos
o datos relevantes que le fueran conocidos, será castigado con la pena de multa de seis a
doce meses y, en su caso, de suspensión de empleo o cargo público, profesión u oficio, de
seis meses a tres años.

De menor incidencia práctica son los delitos de cohecho. El cohecho, cuya conducta
típica consiste en la solicitud, recepción o aceptación de dádiva, presente, ofrecimiento o
promesa, protege la confianza depositada en los funcionarios públicos, otorgándose, a
tal efecto y a los peritos la condición de funcionario público.

Código Penal. Artículo 420: La autoridad o funcionario público que, en provecho propio o
de un tercero, recibiere o solicitare, por sí o por persona interpuesta, dádiva, favor o
retribución de cualquier clase o aceptare ofrecimiento o promesa para realizar un acto
propio de su cargo, incurrirá en la pena de prisión de dos a cuatro años, multa de doce a

TEMA 1 – Ideas clave 11

 Análisis Forense

veinticuatro meses e inhabilitación especial para empleo o cargo público y para el ejercicio
del derecho de sufragio pasivo por tiempo de cinco a nueve años.

Código Penal. Artículo 422: La autoridad o funcionario público que, en provecho propio o
de un tercero, admitiera, por sí o por persona interpuesta, dádiva o regalo que le fueren
ofrecidos en consideración a su cargo o función, incurrirá en la pena de prisión de seis
meses a un año y suspensión de empleo y cargo público de uno a tres años.

Con respecto a la responsabilidad civil del perito, en ausencia de una regulación

legal específica se ha objetado que la exigencia de responsabilidad civil podría afectar a
la autoridad de la cosa juzgada. Pero parece más acertado distinguir entre la reparación
de los perjuicios originados por un dictamen inexacto y la invariabilidad de la sentencia
que en dicho juicio se ha dictado. En efecto, al igual que sucede en el proceso de
responsabilidad civil de jueces y magistrados, en el que la sentencia que le pone fin no
alterará la resolución firme recaída en el proceso, tampoco la sentencia declarando la
responsabilidad civil del perito permitirá alterar o modificar la sentencia de la que se
origina dicha responsabilidad, pues a salvo del cauce de la revisión de las sentencias
firmes, la responsabilidad civil del perito por dictamen inexacto no destruye
la fuerza de la cosa juzgada.

Por otro lado, el que un perito cometa algún tipo de delito de falsedad en su pericia,
también puede suponerle responsabilidad disciplinaria ante los órganos judiciales,
exigible por el juez o tribunal ante el que se haya emitido el dictamen, y una
responsabilidad disciplinaria del perito ante su Colegio profesional, exigible
normalmente previa reclamación del particular agraviado o de oficio por la propia
Corporación o Institución.

Esta responsabilidad disciplinaria puede concurrir junto con la penal o civil, a modo de
sanción complementaria, o puede ser autónoma, cuando la conducta del perito, sin
constituir un ilícito penal o civil, infringe las normas de conducta o ética profesional ante
los tribunales.

TEMA 1 – Ideas clave 12

 Análisis Forense

Lo + recomendado

Lecciones magistrales

La cadena de custodia

En esta lección magistral se explica más en profundidad qué es la cadena de custodia y

los motivos por los cuales es tan importante. Además de presentar algunos casos en los
que por deficiencias en la cadena de custodia se invalidó el trabajo de los peritos
forenses.

La clase magistral está disponible en el aula virtual.

No dejes de leer…

Informática forense

U.S. Department of Homeland Security, US-CERT. (2008). Computer Forensics.

Recomendamos la lectura de este informe técnico elaborado por el US-CERT sobre la

necesidad de la informática forense, muy interesante dado el incremento de actividades
criminales que utilizan información digital.

Accede al informe a través del aula virtual o desde la siguiente dirección web:
https://www.us-cert.gov/sites/default/files/publications/forensics.pdf

TEMA 1 – Lo + recomendado 13
 Análisis Forense

Fases y modelos de investigación de informática forense

Yusoff, Y., Ismail, R. y Hassan, Z. (2011). Common phases of computer forensics

investigation models. IJCSIT, 3(3), 17-31.

Artículo publicado en la International Journal of Computer Science & Information

Technology sobre las fases más comunes dentro de los distintos modelos de
investigación en informática forense.

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
http://airccse.org/journal/jcsit/0611csit02.pdf

Evidencias digitales

National Institute of Justice. (14 de abril de 2016). Digital Evidence and Forensics.

En este breve artículo publicado por el NIJ se define qué se considera una evidencia
digital y proporciona acceso a diferentes recursos y herramientas de recolección de
evidencias.

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https://www.nij.gov/topics/forensics/evidence/digital/pages/welcome.aspx

Del falso testimonio

España. Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Boletín Oficial
del Estado, 24 de noviembre de 1995, núm. 281, p. 34038.

Recomendamos la lectura de los artículos 458 al 462 sobre la determinación de la

comisión de un delito de falso testimonio en el caso de los peritos.

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https://www.boe.es/diario_boe/txt.php?id=BOE-A-1995-25444

TEMA 1 – Lo + recomendado 14
 Análisis Forense

La cadena de custodia

Benítez, J. F. (Junio, 2014). La cadena de custodia: fuente de prueba de dispositivos

informáticos y electrónicos. Ponencia presentada en el curso La cadena de la custodia
del CEJ, Madrid.

Recomendamos la lectura de esta ponencia de Juan Francisco Benítez Iglesia ya que:

«Hoy en día, la tecnología y la utilización que se hace de ella por los ciudadanos
y las empresas ha crecido a un ritmo exponencial, y con igual rapidez ha crecido
el uso que la criminalidad hace de la misma para la comisión de infracciones
penales».

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https://www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/PONENCIA_BENI
TEZ_IGLESIAS%20(2).pdf?idFile=f78ecda3-8fba-4b8b-bd1e-d97b25f424e3

No dejes de ver…

Peritaje Informático: una profesión en auge

OpenClass con José Navarro y Juan José Delgado sobre la evolución del peritaje
informático como profesión.

Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=T1329EhPyhg

TEMA 1 – Lo + recomendado 15
 Análisis Forense

Digital Forensics | Davin Teo | TEDxHongKongSalon

Charla de Davin Teo (https://www.linkedin.com/in/davinteo/), responsable del Área de

Forense de Alvarez & Marsal's Dispute and Investigations, en el TEDx de Hong Kong de
2015.

Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=Pf-JnQfAEew

Overview of Digital Forensics

ISACA (Information Systems Audit and Control Association o Asociación de Auditoría

y Control de Sistemas de Información) aporta en este vídeo una visión general sobre las
ciencias forenses aplicadas al ámbito digital.

Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=ZUqzcQc_syE

TEMA 1 – Lo + recomendado 16
 Análisis Forense

+ Información

Webgrafía

Informática forense

Para comenzar en el mundo de la informática forense, aquí tenéis algunas direcciones de

páginas web específicas donde podréis encontrar multitud de recursos relacionados con
el mundo forense.

Un informático en el lado del mal (http://www.elladodelmal.com/)

Forensics Focus (http://www.forensicfocus.com/)
Computer Forensics World (http://www.computerforensicsworld.com/)
Forensics Magazine (http://www.forensicmag.com/)
SANS (http://www.sans.org/)
Cert (http://www.cert.org/)
National Criminal Justicie Reference Service (https://www.ncjrs.gov/)
National Institute of Justice (http://nij.gov/)
FBI: Cyber Crime (http://www.fbi.gov/about-us/investigate/cyber/cyber/)

Bibliografía

EC-Council. (2016). Computer Forensics: Investigation Procedures and Response.

Massachusetts: Cengage Learning.

Brown, C. L. T. (2010). Computer evidence. Collection and preservation. Boston: Course

Technology PTR.

NIST. (2006). Performing the Forensic Process. En Guide to integrating forensic

techniques into incident response.

TEMA 1 – + Información 17
 Análisis Forense

Test

1. ¿Cuáles de las siguientes definiciones se corresponden con la definición de informática

forense?
A. La informática forense es un proceso de investigación.
B. Las evidencias que obtengamos de un análisis forense deben de poder ser
presentadas como medio de prueba.
C. Algunos autores catalogan la informática forense como un arte.
D. Todas las anteriores son correctas.

2. Una evidencia digital…

A. No almacena información en formato electrónico, ya que lo almacena de forma
física.
B. Permite constatar un hecho investigado o ayuda a su esclarecimiento.
C. No almacenan información en ningún formato.
D. Almacena información en formato electrónico de forma física o lógica.

3. Cuál de estos NO es un objetivo de un análisis forense:

A. Averiguar qué se ha alterado.
B. Descubrir por qué se ha realizado la alteración.
C. Saber cómo se ha realizado la alteración.
D. Descubrir quién ha realizado la alteración.

4. Cuando intentamos responder a la pregunta «¿Quién ha realizado la alteración?»...

A. Tenemos que descubrir a la persona física responsable de la alteración.
B. Podemos llegar a descubrir el usuario que realizó la modificación.
C. Podemos obtener la dirección IP o MAC del equipo desde el que se realizó la
alteración.
D. Las respuestas B y C son correctas.

5. Las etapas de un análisis forense son:

A. Recolectar, reservar, analizar y presentar.
B. Recolectar, preservar y analizar.
C. Recolectar, preservar, analizar y presentar.
D. Recolectar, preservar y presentar.

TEMA 1 – Test 18
 Análisis Forense

6. Durante la etapa de recolección, lo que se busca es:

A. Garantizar que lo que se analiza es lo que se ha recolectado.
B. Obtener las evidencias que son consideradas de interés.
C. Responder a la pregunta «¿Cómo se ha alterado?».
D. Ninguna de las anteriores es correcta.

7. La recolección de las evidencias…

A. Tiene que hacerse con medios que aseguren, en la medida de lo posible, la no
modificación de las mismas.
B. Es necesario documentar los cambios que se hayan tenido que realizar en el
equipo si no ha sido posible evitar su modificación.
C. Es el primer paso que se da a la hora de realizar un análisis forense.
D. Todas las anteriores son correctas.

8. Durante el análisis de las evidencias…

A. Se intenta responder a la pregunta «¿Qué se ha alterado?», el resto de preguntas
se responden durante la recolección.
B. El análisis de las evidencias es el paso previo al estudio de las mismas.
C. Se estudian las evidencias que han sido recolectadas y preservadas previamente.
D. Ninguna de las anteriores.

9. En un informe pericial se tienen que detallar:

A. El equipo informático objeto del mismo. Si en lugar de un equipo, es cualquier
otro dispositivo, no se detalla.
B. Los procedimientos realizados por los peritos. Los resultados obtenidos se han
de comentar en el acto del juicio oral.
C. Los procedimientos realizados por los peritos y sus resultados.
D. Ninguna de las anteriores.

10. Los objetivos de la cadena de custodia son:

A. Garantizar la integridad de la evidencia.
B. Garantizar la posibilidad de localización de la evidencia.
C. Garantizar la trazabilidad de los accesos a la evidencia.
D. Todas las anteriores son correctas.

TEMA 1 – Test 19