Documente Academic
Documente Profesional
Documente Cultură
INTRODUCCIÓN........................................................................................................................3
OBJETIVOS.................................................................................................................................5
¿QUÉ ES UN INFORMÁTICO FORENSE?............................................................................5
PERFIL DEL PERITO INFORMÁTICO FORENSE................................................................6
TEMAS QUE SE IMPARTEN EN UN CURSO BÁSICO DE PERITO INFORMÁTICO
FORENSE................................................................................................................................8
DEBERES DE UN PERITO INFORMÁTICO..........................................................................9
AREAS DE ACTUACION DE UN PERITO INFORMATICO.................................................9
EL PERITO INFORMÁTICO EN ESPAÑA............................................................................10
EL PERITAJE INFORMÁTICO...............................................................................................11
EL PERITO INFORMATICO Y EL RASTRO EN INTERNET Y LAS REDES SOCIALES
.....................................................................................................................................................11
EL PERITO INFORMÁTICO DENTRO DE LA RAMA FORENSE.....................................12
ORGANISMOS QUE DEFIENDEN EL DERECHO AL OLVIDO EN INTERNET.........13
LA ACTUACION DE UN PERITO INFORMATICO FORENSE EN EL ÁMBITO
JUDICIAL...................................................................................................................................14
INFORMATICA FORENSE......................................................................................................16
IMPORTANCIA.....................................................................................................................16
USOS DE LA INFORMATICA FORENSE.............................................................................17
PROSECUCIÓN CRIMINAL................................................................................................17
LITIGACIÓN CIVÍL................................................................................................................17
INVESTIGACIÓN DE SEGUROS.......................................................................................17
Temas corporativos:.........................................................................................................17
MANTENIMIENTO DE LA LEY...........................................................................................18
INVESTIGACIÓN CIENTÍFICA...........................................................................................18
USO FINAL............................................................................................................................18
ASPECTOS TÉCNICOS – FASES DE UN ANÁLISIS FORENSE DIGITAL....................19
DESCUBRIR LAS SEÑALES DEL ATAQUE....................................................................19
RECOPILACION DE EVIDENCIAS....................................................................................20
PRESERVACION DE LA EVIDENCIA...............................................................................21
ANALISIS DE LA EVIDENCIA............................................................................................22
PREPARACION PARA EL ANÁLISIS............................................................................23
EL INFORME TÉCNICO..........................................................................................................29
EL INFORME EJECUTIVO......................................................................................................30
CONCLUSIONES.....................................................................................................................31
BIBLIOGRAFÍA.........................................................................................................................32
INTRODUCCIÓN
Pero el uso indebido de las mismas por gente inescrupulosa que realiza ataques
en contra de la integridad de sistemas computacionales o redes ha causado
ingentes pérdidas económicas especialmente en el sector comercial y bancario,
debido a esto las empresas pierden credibilidad y se debilitan
institucionalmente.
Por esta razón se desarrollan herramientas que permite descubrir a los autores
del delito y asegurar las pruebas del mismo.
Objetivo Principal:
Objetivos específicos:
Sin duda, El Perito Judicial Informático, será el profesional más demandado por
una sociedad cada vez más tecnológica y la prueba electrónica es reina en
la investigación criminal actual.
TEMAS QUE SE IMPARTEN EN UN CURSO BÁSICO DE PERITO
INFORMÁTICO FORENSE
El Perito Judicial Informático debe contar con una formación universitaria que
tenga un perfil técnico y tecnológico. Además, es necesario poseer
conocimientos legales en Derecho Procesal Civil, Penal, Administrativo y
Laboral. Es por eso que los Grados en Derecho, Relaciones Laborales,
Sociología, Ingeniería Informática, Ingeniería de Sistemas de
Telecomunicaciones, etc., son los más indicados antes de realizar esta
especialización.
Pero además de las aptitudes técnicas y científicas, es necesario que este perfil
cuente con una buena habilidad en comunicación. En la mayoría de los casos,
el Perito Judicial Informático trabaja con personas que no entienden su materia.
Por este motivo, es muy útil que se exprese de una forma clara y sencilla para
que todo el mundo lo pueda entender. Por tanto, su formación humanística
también será un plus.
DEBERES DE UN PERITO INFORMÁTICO
1.- Los peritos deberán poseer el título oficial que corresponda a la materia
objeto del dictamen y a la naturaleza de éste. Si se tratare de materias que no
estén comprendidas en títulos profesionales oficiales, habrán de ser nombrados
entre personas entendidas en aquellas materias.
Todo lo anterior implica que los usuarios van dejando cierto rastro en Internet a
través de sus fotos, vídeos o sus comentarios en las redes sociales y los foros,
lo que implica que dicho rastro permanece en Internet y que cualquier persona
puede tener acceso al mismo. Esto no tendría por qué tener demasiada
importancia si no fuese porque, en cualquier momento, cualquier persona que
quisiera obtener información sobre el usuario para cualquier fin, podría contratar
a un experto que siguiera el rastro del objetivo por Internet y, uniendo toda la
información desperdigada en cada red social o foro de Internet (que el usuario
pensaba que, al estar separada, no podría usarse en conjunto), fuese capaz de
hacerse una composición muy precisa de la personalidad del objetivo y usarla
en su contra, utilizando para ello la amenaza y/o la coacción.
Para proceder de esta forma, los herederos deben tener totalmente identificados
los sitios web o redes sociales en los que el difunto se dio de alta con su nombre
y apellidos o dirección de correo electrónico (dirección que, en cuyo caso,
tendrán que acreditar que efectivamente pertenecía al difunto, lo cual no es
sencillo); porque en los sitios en los que el difunto operase bajo un seudónimo
(nicknameen la jerga de Internet), será muy difícil que los datos sean dados de
baja, al ser muy compleja la identificación fehaciente del difunto con los
mencionados seudónimos. En caso de que las páginas web contactadas no
hagan caso de la solicitud oficial, sería conveniente que los herederos
contactaran con un perito informático que les asesore en la mejor manera de
proceder para la eliminación del rastro.
Las nuevas modalidades delictivas con el uso de tecnología informática (ya con
recepción legislativa como se indicara con la Ley 26.388 de Delitos Informáticos
y arts. del Código Penal) requieren un trabajo intensivo en materia pericial para
poder aportar pruebas relevantes a la investigación judicial. Las características
de los elementos probatorios hace necesario que sean resguardados en
condiciones apropiadas, debiéndose mantener registro del traslado e
intervención pericial sobre la evidencia desde el momento del secuestro hasta la
finalización del procedimiento judicial. La omisión de observar las formalidades
mínimas establecidas a nivel forense durante las actuaciones judiciales facilita
que la evidencia digital pueda ser extraviada, alterada o sustituida. Por otra
parte, el desconocimiento del alcance de la actividad pericial ocasiona que el
operador judicial tienda a efectuar requerimientos ajenos a la disciplina, lo que
ocasiona un dispendio de recursos humanos calificados y sobrecarga los
tiempos de trabajo de los especialistas. Parte de la solución a esta situación
yace en la madurez institucional, la actualización profesional de los operadores
jurídicos y en los avances en la legislación que se logren en materia de delitos
informáticos, siendo asimismo trascendental la formalización de un protocolo de
actuación, el que puede contribuir significativamente a acercar posiciones y
encuadrar el ámbito de actuación del Perito Informático viii
IMPORTANCIA
PROSECUCIÓN CRIMINAL
LITIGACIÓN CIVÍL
Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser
ayudados por la informática forense.
INVESTIGACIÓN DE SEGUROS
Temas corporativos:
Puede ser recolectada información en casos que tratan sobre acoso sexual,
robo, mal uso o apropiación de información confidencial o propietaria, o aún de
espionaje industrial.
MANTENIMIENTO DE LA LEY
INVESTIGACIÓN CIENTÍFICA
USO FINAL
Cada vez es más común que las personas usen herramientas de software para
recuperar archivos borrados, encriptar documentos y rastrear el origen de un
correo electrónico.
ASPECTOS TÉCNICOS – FASES DE UN ANÁLISIS
FORENSE DIGITAL
Para iniciar una primera inspección del equipo deberá tener en mente la
premisa de que debe conservar la evidencia, no haga nada que pueda
modificarla. Deberá utilizar herramientas que no cambien los sellos de tiempo de
acceso (timestamp), o provoquen modificaciones en los archivos, y por supuesto
que no borren nada.
Si está seguro de que sus sistemas informáticos han sido atacados. En este
punto deberá decidir cuál es su prioridad:
PRESERVACION DE LA EVIDENCIA
Como primer paso deberá realizar dos copias de las evidencias obtenidas,
genere una suma de comprobación de la integridad de cada copia mediante el
empleo de funciones hash tales como MD5 o SHA 1. Incluya estas firmas en la
etiqueta de cada copia de la evidencia sobre el propio CD o DVD, incluya
también en el etiquetado la fecha y hora de creación de la copia, nombre cada
copia, por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del
original.
EL ENTORNO DE TRABAJO
Prepare dos estaciones de trabajo, en una de ellas, que contendrá al menos dos
discos duros, instale un sistema operativo que actuará de anfitrión y que le
servirá para realizar el estudio de las evidencias. En ese mismo ordenador y
sobre un segundo disco duro, vuelque las imágenes manteniendo la estructura
de particiones y del sistema de archivos tal y como estaban en el equipo
atacado.
El primer paso que deberá dar es crear una línea temporal de sucesos o
timeline, para ello recopile la siguiente información sobre los ficheros:
Inodos asociados.
Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación
y borrado).
Ruta completa.
Tamaño en bytes y tipo de fichero. • Permisos de acceso.
Usuarios y grupos a quien pertenece. • Si fue borrado o no
Sin duda esta será la información que más tiempo le llevará recopilar, pero será
el punto de partida para su análisis, podría plantearse aquí dedicar un poco de
tiempo a preparar un script que automatizase el proceso de creación del
timeline.
Para comenzar ordene los archivos por sus fechas MAC, esta primera
comprobación, aunque simple, es muy interesante pues la mayoría de los
archivos tendrán la fecha de instalación del sistema operativo, por lo que un
sistema que se instaló hace meses y que fue comprometido recientemente
presentará en los ficheros nuevos, inodos y fechas MAC muy distintas a las de
los ficheros más antiguos.
Además existen otros aspectos del ataque como los efectos negativos de tipo
técnico que ha causado el incidente, tanto inmediato como potencial. Por
ejemplo ataques al cortafuego, el router de conexión a Internet o Intranet, el
servidor Web corporativo, los servidores de bases de datos, tendrán diferente
repercusión según el tipo de servicio o negocio que preste su organización y las
relaciones de dependencia entre sus usuarios.
Documentación del incidente
Cada paso dado debe ser documentado y fechado desde que se descubre el
incidente hasta que finalice el proceso de análisis forense, esto le hará ser más
eficiente y efectivo al tiempo que reducirá las posibilidades de error a la hora de
gestionar el incidente.
Por otro lado, cuando se haya concluido el análisis y durante éste, tendrá que
mantener informados a las personas adecuadas de la organización, por lo que
será interesante que disponga de diversos métodos de comunicación.
Análisis de la evidencia.
O Huellas de la intrusión.
O Alcance de la intrusión.
Cronología de la intrusión.
Conclusiones.
Recomendaciones específicas.
Referencias.
EL INFORME EJECUTIVO
Constará de pocas páginas, entre tres y cinco, y será de especial interés para
exponer lo sucedido a personal no especializado en sistemas informáticos,
como pueda ser el departamento de Recursos Humanos, Administración, e
incluso algunos directivos.
Motivos de la intrusión.
Desarrollo de la intrusión
Resultados del análisis.
Recomendaciones.
CONCLUSIONES
www.auditoresdesistemas.com
www.criptored.upm.es
www.ioce.org
www.dfrws.org
www.isaca.org
www.e-fense.com
www.opensourceforensics.org
www.forensics-es.org
www.securityfocus.com