ÍNDICE

INTRODUCCIÓN........................................................................................................................3
OBJETIVOS.................................................................................................................................5
¿QUÉ ES UN INFORMÁTICO FORENSE?............................................................................5
PERFIL DEL PERITO INFORMÁTICO FORENSE................................................................6
TEMAS QUE SE IMPARTEN EN UN CURSO BÁSICO DE PERITO INFORMÁTICO
FORENSE................................................................................................................................8
DEBERES DE UN PERITO INFORMÁTICO..........................................................................9
AREAS DE ACTUACION DE UN PERITO INFORMATICO.................................................9
EL PERITO INFORMÁTICO EN ESPAÑA............................................................................10
EL PERITAJE INFORMÁTICO...............................................................................................11
EL PERITO INFORMATICO Y EL RASTRO EN INTERNET Y LAS REDES SOCIALES
.....................................................................................................................................................11
EL PERITO INFORMÁTICO DENTRO DE LA RAMA FORENSE.....................................12
ORGANISMOS QUE DEFIENDEN EL DERECHO AL OLVIDO EN INTERNET.........13
LA ACTUACION DE UN PERITO INFORMATICO FORENSE EN EL ÁMBITO
JUDICIAL...................................................................................................................................14
INFORMATICA FORENSE......................................................................................................16
IMPORTANCIA.....................................................................................................................16
USOS DE LA INFORMATICA FORENSE.............................................................................17
PROSECUCIÓN CRIMINAL................................................................................................17
LITIGACIÓN CIVÍL................................................................................................................17
INVESTIGACIÓN DE SEGUROS.......................................................................................17
Temas corporativos:.........................................................................................................17
MANTENIMIENTO DE LA LEY...........................................................................................18
INVESTIGACIÓN CIENTÍFICA...........................................................................................18
USO FINAL............................................................................................................................18
ASPECTOS TÉCNICOS – FASES DE UN ANÁLISIS FORENSE DIGITAL....................19
DESCUBRIR LAS SEÑALES DEL ATAQUE....................................................................19
RECOPILACION DE EVIDENCIAS....................................................................................20
PRESERVACION DE LA EVIDENCIA...............................................................................21
ANALISIS DE LA EVIDENCIA............................................................................................22
PREPARACION PARA EL ANÁLISIS............................................................................23
EL INFORME TÉCNICO..........................................................................................................29
EL INFORME EJECUTIVO......................................................................................................30
CONCLUSIONES.....................................................................................................................31
BIBLIOGRAFÍA.........................................................................................................................32
 INTRODUCCIÓN

El uso y evolución de las Tecnologías de Información y la Comunicación (TICs),

brinda nuevas oportunidades para que una institución esté innovada y pueda
prevalecer frente a la competencia, transformando sustancialmente los procesos
de intercambio y producción de información.

Pero el uso indebido de las mismas por gente inescrupulosa que realiza ataques
en contra de la integridad de sistemas computacionales o redes ha causado
ingentes pérdidas económicas especialmente en el sector comercial y bancario,
debido a esto las empresas pierden credibilidad y se debilitan
institucionalmente.

Por esta razón se desarrollan herramientas que permite descubrir a los autores
del delito y asegurar las pruebas del mismo.

En gran parte la tecnología ha facilitado el mal hábito de provocar infracciones

informáticas, por lo que se debe contar con el personal capacitado dentro de la
justicia ecuatoriana para castigar el mal uso de las TICs en conjunto con los
profesionales informáticos lo que permitirá combatir esta clase de
transgresiones.

Una de las herramientas es la informática forense, ciencia criminalística que

sumada al impulso y utilización masiva de nuevas tecnologías en todos los
ámbitos, está adquiriendo una gran importancia debido a la globalización de la
sociedad de la información.

La informática forense no ha sido totalmente conocida, razón por la cual su

admisibilidad dentro de un proceso judicial podría ser cuestionada, pero esto no
debe ser un obstáculo para dejar de lado esta importante clase de herramienta,
debiendo ser manejada en base a rígidos principios científicos, normas legales y
procedimientos.

La aplicación de esto nos ayudará a resolver grandes crímenes apoyándose en

el método científico, aplicado a la recolección, análisis y validación de todo tipo
de pruebas digitales.

El propósito de este documento es socializar sobre la informática forense, dando

pautas para que se pueda manejar delitos informáticos con la debida
recuperación de evidencia digital.

Además la universidad debe aprovechar las bondades de la informática forense

para realizar estudios de seguridad, vigilar la evolución de las amenazas e
identificar las tendencias de los ataques informáticos.
OBJETIVOS

Objetivo Principal:

Recolectar evidencia digital presente en toda clase de infracciones en los

Delitos Informáticos.

Objetivos específicos:

Compensar de los daños causados por los criminales o intrusos.

Perseguir y procesar judicialmente a los criminales informáticos.

Aplicar medidas como un enfoque preventivo.

¿QUÉ ES UN INFORMÁTICO FORENSE?

Un Perito Informático Forense es un profesional con conocimientos,

habilidades y experiencia que se necesitan para ayudar en los juicios y los
tribunales a esclarecer delitos cibernéticos. El perito informático es un perito
judicial, que en su carácter de auxiliar de la justicia tiene como tarea primordial
la de asesorar al juez respecto a temas relacionados con la informática. La
función del perito informático consiste en el análisis de elementos informáticos,
en busca de aquellos datos que puedan constituir una prueba o indicio útil para
el litigio jurídico al que ha sido asignado.

Los ordenadores, teléfonos inteligentes, tablets, Internet… almacenan todos los

datos que se realizan, y un perito informático tiene que ser capaz de extraer las
evidencias electrónicas irrefutables que sean esenciales para resolver cualquier
conflicto.
En muchas ocasiones, son los encargados de encontrar las pruebas de los
delitos. Pero además de la rama judicial, también pueden trabajar para las
grandes empresas con el objetivo de evitar espionajes, fraudes, robos de
información, manipulación de datos y programas, etc., que pueden ocasionar
grandes pérdidas a las compañías.

Aunque no existe una carrera de este perfil, sí hay varias posibilidades de

especializarse. En este sentido, a juicio de Bahamontes, la elección de la
especialidad a través de Masteres, Postgrados o Cursos de Expertos será la
clave que permita diferenciar a un profesional de otro.

“Muchas veces tendemos a elegir especialidades que vienen a ser una

repetición de lo que estudiamos en el Grado. Por este motivo, se debe prestar
especial atención al contenido de la formación y comprobar que aporta
suficientes conocimientos nuevos para poder dedicarte a ello”.

PERFIL DEL PERITO INFORMÁTICO FORENSE

Para ejercer de Perito Judicial informático es indispensable una certificación

refrendada por alguna institución en la que haya acreditado sus conocimientos y
su pericia. Su titulación le acredita como encargado experto con amplios
conocimientos sobre informática y legalidad para que avale cualquier
conocimiento, vestigio, prueba o hecho de cualquier índole, que pueda ser
imputable como delito.
El Perito Judicial Informático, debe poseer un perfil técnico, con amplios
conocimientos legales con una formación Universitaria en derecho procesal civil,
penal, administrativo y laboral que le permitan desarrollar su tarea sin que la
misma sea descalificada o impugnada durante su presentación judicial.

El Perito Judicial Informático, tiene que ser experto y tener conocimientos

forenses, de investigación legal y criminalística; siendo de vital importancia
que esté familiarizado con las pruebas electrónicas. Actualmente se observa la
convergencia de técnicas de análisis, estrategias y procedimientos científicos
que se disponen para obtener, revisar, analizar y salvaguardar la exactitud y la
confiabilidad de este tipo de evidencia.
Ante el creciente desarrollo de la criminalidad en medios informáticos, es de
suma importancia no arrojar ninguna duda sobre los medios probatorios
tecnológicos correspondientes para recoger, analizar y sustentar hipótesis sobre
escenarios donde la tecnología actúa como medio o fin para configurar una
conducta ilícita.
En el ámbito jurídico, el Perito Judicial Informático es un profesional nombrado
por la autoridad del proceso, a fin de que mediante juicio científico-técnico,
dictamine con veracidad e imparcialidad, opinando y emitiendo conclusiones
sobre puntos concretos relacionados con hechos o circunstancias, sus causas o
efectos, para cuya apreciación son indispensables conocimientos
especializados.

El dictamen del Perito Judicial Informático, es una declaración de ciencia que

debe sustentarse en reglas probadas, lógicas y verificadas que prevalecen en
su cultura científico-técnica, y ha de valerse de los procedimientos técnicos
forenses en medios electrónicos que fortalecen y desarrollan una línea de
investigación forense en informática.
Las tareas a desarrollar por el perito informático no son distintas de la de otros
peritos judiciales. Por lo tanto deberá recopilar la información que es puesta a su
disposición, analizar la misma en busca de los datos que el juez le ha requerido
y emitir un informe o dictamen en donde vuelque las conclusiones de la
investigación realizada.

Del Perito Judicial Informático se exige además de la formación pragmática y

académica la adquisición de habilidad técnica y científica usando un lenguaje
científico, no cientificista, que permita al profano en esta ciencia comprender el
mismo.

Sin duda, El Perito Judicial Informático, será el profesional más demandado por
una sociedad cada vez más tecnológica y la prueba electrónica es reina en
la investigación criminal actual.
TEMAS QUE SE IMPARTEN EN UN CURSO BÁSICO DE PERITO
INFORMÁTICO FORENSE

 cómo extraer y recuperar datos y evidencias electrónicas

 cómo actuar y recuperar los datos perdidos
 la cadena de custodia
 cibercrimen
 ciberataques
 ciberarmas
 ciberdefensa
 laboratorio tecnológico forense y aplicaciones
 Pentest
 herramientas y programas forenses
 redacción de un informe pericial
 estructura y protocolo
 aspectos clave de la defensa de la pericial en sala judicial, etc.

El Perito Judicial Informático debe contar con una formación universitaria que
tenga un perfil técnico y tecnológico. Además, es necesario poseer
conocimientos legales en Derecho Procesal Civil, Penal, Administrativo y
Laboral. Es por eso que los Grados en Derecho, Relaciones Laborales,
Sociología, Ingeniería Informática, Ingeniería de Sistemas de
Telecomunicaciones, etc., son los más indicados antes de realizar esta
especialización.

Pero además de las aptitudes técnicas y científicas, es necesario que este perfil
cuente con una buena habilidad en comunicación. En la mayoría de los casos,
el Perito Judicial Informático trabaja con personas que no entienden su materia.
Por este motivo, es muy útil que se exprese de una forma clara y sencilla para
que todo el mundo lo pueda entender. Por tanto, su formación humanística
también será un plus.
DEBERES DE UN PERITO INFORMÁTICO

 Aceptar el cargo que le es asignado, colaborar con el resto de los peritos

o consultores técnicos y declarar ante el juez en el caso de que este lo
requiera.
 Fundamentar sus conclusiones técnicas, expresando claramente los
elementos analizados y las técnicas utilizadas para llegar a las mismas.
 Respetar el código de ética que le impone su profesión.

AREAS DE ACTUACION DE UN PERITO INFORMATICO

 Propiedad industrial: Espionaje / Revelación de secretos.

 Acceso o copia de ficheros de la empresa, planos, fórmulas, costes.
 Uso de información: Competencia desleal de un empleado.
 Vulneración de la intimidad. Lectura de correo electrónico.
 Despido por causas tecnológicas.
 Valoraciones de bienes informáticos.
 Interceptación de telecomunicaciones.
 Protección de datos personales y datos reservados de personas jurídicas.
 Apoderamiento y difusión de datos reservados.
 Manipulación de datos o programas.
 Valoraciones de bienes informáticos.
 Hardware, redes y componentes (todos los sistemas).
 Instalaciones y desarrollos llave en mano.
 Vulneración de la buena fe contractual.
 Publicidad engañosa, competencia desleal.
 Delitos económicos, monetarios y societarios.
 Delitos contra el mercado o contra los consumidores.
 Delitos contra la propiedad intelectual.
 Uso de de software sin licencia. Piratería.
 Copia y distribución no autorizada de programas de ordenador.
 Daños mediante la destrucción o alteración de datos. Sabotaje.
 Estafa, fraudes, conspiración para alterar el precio de las cosas,
 Pornografía infantil: acceso o posesión, divulgación, edición,
 Uso indebido de equipos informáticos: daños o uso abusivo.

EL PERITO INFORMÁTICO EN ESPAÑA

Según la Ley de Enjuiciamiento Civil, en su artículo 340, se indica que:

Artículo 340. Condiciones de los peritos.

1.- Los peritos deberán poseer el título oficial que corresponda a la materia
objeto del dictamen y a la naturaleza de éste. Si se tratare de materias que no
estén comprendidas en títulos profesionales oficiales, habrán de ser nombrados
entre personas entendidas en aquellas materias.

2.- Podrá asimismo solicitarse dictamen de Academias e instituciones culturales

y científicas que se ocupen del estudio de las materias correspondientes al
objeto de la pericia. También podrán emitir dictamen sobre cuestiones
específicas las personas jurídicas legalmente habilitadas para ello.

3.- En los casos del apartado anterior, la institución a la que se encargue el

dictamen expresará a la mayor brevedad qué persona o personas se
encargarán directamente de prepararlo, a las que se exigirá el juramento o
promesa previsto en el apartado segundo del artículo 335.
EL PERITAJE INFORMÁTICO

El peritaje informático se ha convertido en prueba esencial en los últimos

tiempos. La tecnologías de la información y la informática se han abierto camino
en una sociedad cada vez más globalizada que requiere de expertos que
solucionen en sede judicial los problemas de índole informática que se le
pueden presentar a un particular, a una empresa, a una organización, etc.

EL PERITO INFORMATICO Y EL RASTRO EN INTERNET

Y LAS REDES SOCIALES

En los tiempos actuales, Internet se ha convertido en una herramienta

fundamental para la comunicación global. Además, en los últimos años, las
conocidas como redes sociales, han experimentado un auténtico auge, tanto en
número de webs que ofrecen dicho servicio, muchas veces incluso segmentado
(existen redes sociales tan dispares como las dedicadas a citas, a cazadores, o
a amantes de la cocina, por poner unos ejemplos), así como en número de
usuarios y en información que circula a través de las mismas. También existen
numerosos foros en los que los usuarios (de forma, en principio, anónima,
aunque no siempre es así), se comunican entre sí sobre una o varias temáticas
determinadas.

Todo lo anterior implica que los usuarios van dejando cierto rastro en Internet a
través de sus fotos, vídeos o sus comentarios en las redes sociales y los foros,
lo que implica que dicho rastro permanece en Internet y que cualquier persona
puede tener acceso al mismo. Esto no tendría por qué tener demasiada
importancia si no fuese porque, en cualquier momento, cualquier persona que
quisiera obtener información sobre el usuario para cualquier fin, podría contratar
a un experto que siguiera el rastro del objetivo por Internet y, uniendo toda la
información desperdigada en cada red social o foro de Internet (que el usuario
pensaba que, al estar separada, no podría usarse en conjunto), fuese capaz de
hacerse una composición muy precisa de la personalidad del objetivo y usarla
en su contra, utilizando para ello la amenaza y/o la coacción.

Es en este momento en el que entra en juego el perito informático como experto

en la materia ya que, desde el momento en que el usuario pudiera tener la
sospecha de que, determinada información que hubiese subido a una red social
o escrito en un foro pudiese estar siendo utilizada en su contra (por ejemplo
para realizarle chantaje con hacer públicos ciertos aspectos de su privacidad),
éste debería ponerse en contacto inmediato con un perito informático y también
con un abogado que le asesoren a nivel técnico y legal, respectivamente,
además de cursar denuncia en los Cuerpos y Fuerzas de Seguridad del Estado
(los encargados de estos asuntos son la Guardia Civil y el Cuerpo Nacional de
Policía).

En el aspecto técnico, el perito informático puede realizar, desde un punto de

vista profesional y siempre contando con la ayuda del usuario (que debe
indicarle al perito informático en qué redes sociales y foros participa), el mismo
procedimiento de rastreo en Internet que puede estar siendo usado contra él,
pudiendo asesorar a éste sobre la mejor forma de borrar la información de
Internet y por tanto el rastro, manteniendo en todo momento el secreto
profesional de la información obtenida.

EL PERITO INFORMÁTICO DENTRO DE LA RAMA

FORENSE

Dentro de la rama forense de la eliminación del rastro en Internet, es necesario

remarcar el caso particular de los difuntos. Cuando una persona fallece, si en
vida tuvo cierta actividad en la red, su rastro permanecerá en las páginas web o
redes sociales en las que se dio de alta hasta que los herederos soliciten la
retirada de la información. La forma de proceder, en estos casos, es que uno de
los herederos legales remita, identificándose con su propio DNI y con la
documentación legal pertinente que le acredite como heredero del difunto, una
comunicación oficial (burofax) con la información legal del difunto, su parte de
defunción y una carta solicitando la retirada de la información relacionada con el
difunto a la mayor brevedad.

Para proceder de esta forma, los herederos deben tener totalmente identificados
los sitios web o redes sociales en los que el difunto se dio de alta con su nombre
y apellidos o dirección de correo electrónico (dirección que, en cuyo caso,
tendrán que acreditar que efectivamente pertenecía al difunto, lo cual no es
sencillo); porque en los sitios en los que el difunto operase bajo un seudónimo
(nicknameen la jerga de Internet), será muy difícil que los datos sean dados de
baja, al ser muy compleja la identificación fehaciente del difunto con los
mencionados seudónimos. En caso de que las páginas web contactadas no
hagan caso de la solicitud oficial, sería conveniente que los herederos
contactaran con un perito informático que les asesore en la mejor manera de
proceder para la eliminación del rastro.

Igualmente, también seguirán apareciendo entradas en la red sobre actividades

empresariales relacionadas con el difunto, debido a que los boletines
mercantiles están conectados a la red y se actualizan automáticamente,
alimentando a través de sistemas de agregación a terceras páginas web. Este
caso es más complejo por la cantidad de páginas web que normalmente suelen
estar implicadas y requiere de una asesoría personalizada de un perito
informático.

 ORGANISMOS QUE DEFIENDEN EL DERECHO AL OLVIDO EN

INTERNET

Asimismo, recientemente el Tribunal de Justicia de la Unión Europea, ha

fallado a favor de que buscadores como Google deban retirar, a petición de
cualquier usuario interesado, aquellos enlaces que dicho usuario considere
contrarios a sus intereses y/o reputación, siempre y cuando éstos puedan ser
obtenidos a partir de la búsqueda directa del nombre y apellidos del usuario, en
lo que se ha venido en llamar el “derecho al olvido”. Estarían aún por ver las
implicaciones que podría tener esta sentencia para el caso de la eliminación de
información de Internet de personas difuntas, pero Google ya ha comenzado a
aplicar dicha sentencia para aquellas personas interesadas en que no
aparezcan determinados enlaces a partir de una búsqueda realizada con su
nombre y apellidos.

LA ACTUACION DE UN PERITO INFORMATICO

FORENSE EN EL ÁMBITO JUDICIAL

Las nuevas modalidades delictivas con el uso de tecnología informática (ya con
recepción legislativa como se indicara con la Ley 26.388 de Delitos Informáticos
y arts. del Código Penal) requieren un trabajo intensivo en materia pericial para
poder aportar pruebas relevantes a la investigación judicial. Las características
de los elementos probatorios hace necesario que sean resguardados en
condiciones apropiadas, debiéndose mantener registro del traslado e
intervención pericial sobre la evidencia desde el momento del secuestro hasta la
finalización del procedimiento judicial. La omisión de observar las formalidades
mínimas establecidas a nivel forense durante las actuaciones judiciales facilita
que la evidencia digital pueda ser extraviada, alterada o sustituida. Por otra
parte, el desconocimiento del alcance de la actividad pericial ocasiona que el
operador judicial tienda a efectuar requerimientos ajenos a la disciplina, lo que
ocasiona un dispendio de recursos humanos calificados y sobrecarga los
tiempos de trabajo de los especialistas. Parte de la solución a esta situación
yace en la madurez institucional, la actualización profesional de los operadores
jurídicos y en los avances en la legislación que se logren en materia de delitos
informáticos, siendo asimismo trascendental la formalización de un protocolo de
actuación, el que puede contribuir significativamente a acercar posiciones y
encuadrar el ámbito de actuación del Perito Informático viii

La eficacia probatoria de los elementos informáticos, y su interpretación a través

de los dictámenes periciales genera y, generará por bastante tiempo
inconvenientes, cuando la prueba derivada de los procesadores de datos se
haya obtenido de sistemas no implementados a la luz de previsiones legales o
reglamentaciones específicas y resulta inevitable su cuestionamiento. De todos
modos, ello obedece exclusivamente a la reticencia o retardo con que el
derecho enfrenta los avances tecnológicos pues, para desvirtuar la opinión de
cualquier perito es imprescindible valorar elementos que permitan advertir
fehacientemente el error o el insuficiente empleo de datos científicos, que deben
conocer por su profesión. En general no es la ausencia de método o
fundamentos científicos lo que pone en tela de juicio la eficacia probatoria de los
dictámenes sino la tendencia a creer que todo aquello que escapa a la
percepción directa de los sentidos y se requiere de un experto para dilucidar su
existencia, es esencialmente falible; cuando en realidad, la pericia informática,
como muchas otras, se funda en principios técnicos inobjetables y no existe
prueba de igual significado procesal que le desvirtúe. Es muy recomendable que
las guías para el secuestro sean desarrolladas teniendo en cuenta el nivel de
conocimiento técnico de los recursos humanos que participan en un
allanamiento.

El desconocimiento del alcance de las labores periciales informática por parte

de los magistrados o los funcionarios del Ministerio Público, no permite una
clara interacción entre profesionales de ambas disciplinas y conlleva a la falta de
aprovechamiento de servicios profesionales que se ofrecen en este ámbito. En
todo momento se debe intentar evitar el dispendio de recursos humanos
calificados, por lo que es necesario formalizar el ámbito de actuación del Perito.
Los códigos procesales establecen claramente que el Juez podrá ordenar
pericias siempre que para conocer o apreciar algún hecho o circunstancia
pertinente a la causa sean necesarios o convenientes conocimientos especiales
en alguna ciencia, arte o técnica. Cuando un magistrado carece de los
conocimientos mínimos de los servicios forenses que se brindan en materia
informática, esta normativa suele ser obviada mediante requerimientos triviales
de índole administrativa que entorpecen las tareas propias de la especialidad.
INFORMATICA FORENSE

Definición: “La informática forense es la ciencia que nos permite identificar,

preservar, analizar y presentar, evidencia digital, que pueda ser usada como
evidencia dentro de un proceso legal.”

Según el FBI, la informática forense es la ciencia de adquirir, preservar, obtener

y presentar datos que han sido procesados electrónicamente y guardados en un
medio computacional.

Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el

cumplimiento de la ley empezaron a desarrollar programas para examinar
evidencia computacional.

IMPORTANCIA

La informática forense nace en vista de la necesidad del personal del derecho

en poder afrontar nuevas tareas probatorias.

Esta necesidad crea el nacimiento de los llamados detectives digitales o peritos

informáticos.

Los Informáticos forenses tienen la ardua labor de realizar investigaciones en

busca de evidencia digital.
USOS DE LA INFORMATICA FORENSE

PROSECUCIÓN CRIMINAL

Evidencia incriminatoria puede ser usada para procesar una variedad de

crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas,
evasión de impuestos o pornografía infantil.

LITIGACIÓN CIVÍL

Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser
ayudados por la informática forense.

INVESTIGACIÓN DE SEGUROS

La evidencia encontrada en computadores, puede ayudar a las compañías de

seguros a disminuir los costos de los reclamos por accidentes y
compensaciones.

Temas corporativos:

Puede ser recolectada información en casos que tratan sobre acoso sexual,
robo, mal uso o apropiación de información confidencial o propietaria, o aún de
espionaje industrial.
MANTENIMIENTO DE LA LEY

La informática forense puede ser usada en la búsqueda inicial de órdenes

judiciales, así como en la búsqueda de información una vez que se tiene la
orden judicial para hacer la búsqueda exhaustiva.

INVESTIGACIÓN CIENTÍFICA

Academias y universidades aprovechan las bondades de la informática forense

para realizar estudios de seguridad, vigilar la evolución de las amenazas e
identificar las tendencias de los ataques informáticos, entre otros.

USO FINAL

Cada vez es más común que las personas usen herramientas de software para
recuperar archivos borrados, encriptar documentos y rastrear el origen de un
correo electrónico.
ASPECTOS TÉCNICOS – FASES DE UN ANÁLISIS
FORENSE DIGITAL

Identificación del incidente: búsqueda y recopilación de evidencias

Una de las primeras fases del análisis forense comprende el proceso de

identificación del incidente, que lleva aparejado la búsqueda y recopilación de
evidencias. Antes de comenzar una búsqueda desesperada de señales del
incidente que lo único que conlleve sea una eliminación de “huellas”, actúe de
forma metódica y profesional.

DESCUBRIR LAS SEÑALES DEL ATAQUE

Para iniciar una primera inspección del equipo deberá tener en mente la
premisa de que debe conservar la evidencia, no haga nada que pueda
modificarla. Deberá utilizar herramientas que no cambien los sellos de tiempo de
acceso (timestamp), o provoquen modificaciones en los archivos, y por supuesto
que no borren nada.

Un inciso importante es que si no hay certeza de que las aplicaciones y

utilidades de seguridad que incorpora el Sistema Operativo, o las que se hayan
instalado se mantienen intactas deberemos utilizar otras alternativas. Piense
que en muchos casos los atacantes dispondrán de herramientas capaces de
modificar la información que el administrador verá tras la ejecución de ciertos
comandos. Por ejemplo podrán ocultarse procesos o puertos TCP/UDP en uso.
Cuestione siempre la información que le proporcionen las aplicaciones
instaladas en un sistema que crea comprometido.
RECOPILACION DE EVIDENCIAS

Si está seguro de que sus sistemas informáticos han sido atacados. En este
punto deberá decidir cuál es su prioridad:

- Tener nuevamente operativos sus sistemas rápidamente.

- Realizar una investigación forense detallada.

Piense que la primera reacción de la mayoría de los administradores será la de

intentar devolver el sistema a su estado normal cuanto antes, pero esta actitud
sólo hará que pierda casi todas las evidencias que los atacantes hayan podido
dejar en “la escena del crimen”, eliminando la posibilidad de realizar un análisis
forense de lo sucedido que le permita contestar a las preguntas de ¿qué?,
¿cómo?, ¿quién?, ¿de dónde? y ¿cuándo? se comprometió el sistema, e
impidiendo incluso llevar a cabo acciones legales posteriores. Esto también
puede llevarle a trabajar con un sistema vulnerable, exponiéndolo nuevamente a
otro ataque.

Documentar detalladamente todas las operaciones que realice sobre los

sistemas atacados. No escatime en la recopilación de datos incluso haga
fotografías de los equipos y del entorno, cualquier evidencia puede ser
definitiva. También sería recomendable que le acompañase otra persona
durante el proceso de recopilación de evidencias, ésta actuaría como testigo de
sus acciones, así que si es alguien imparcial mejor, y si puede permitirse que le
acompañe un Notario mejor, recuerde los requisitos legales para que una
evidencia pase a ser considerada como prueba en un juicio.

PRESERVACION DE LA EVIDENCIA

Aunque el primer motivo que le habrá llevado a la recopilación de evidencias

sobre el incidente sea la resolución del mismo, puede que las necesite
posteriormente para iniciar un proceso judicial contra sus atacantes y en tal caso
deberá documentar de forma clara cómo ha sido preservada la evidencia tras la
recopilación. En este proceso, es imprescindible definir métodos adecuados
para el almacenamiento y etiquetado de las evidencias.

Como primer paso deberá realizar dos copias de las evidencias obtenidas,
genere una suma de comprobación de la integridad de cada copia mediante el
empleo de funciones hash tales como MD5 o SHA 1. Incluya estas firmas en la
etiqueta de cada copia de la evidencia sobre el propio CD o DVD, incluya
también en el etiquetado la fecha y hora de creación de la copia, nombre cada
copia, por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del
original.

Otro aspecto a tener en cuenta, y que está relacionado con el comentario

anterior, es el proceso que se conoce como la cadena de custodia, donde se
establecen las responsabilidades y controles de cada una de las personas que
manipulen la evidencia. Deberá preparar un documento en el que se registren
los datos personales de todos los implicados en el proceso de manipulación de
las copias, desde que se tomaron hasta su almacenamiento.
ANALISIS DE LA EVIDENCIA

Una vez que disponemos de las evidencias digitales recopiladas y almacenadas

de forma adecuada, el Análisis Forense reconstruirá con todos los datos
disponibles la línea temporal del ataque o timeline, determinando la cadena de
acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al
inicio del ataque, hasta el momento de su descubrimiento.

Este análisis se dará por concluido cuando conozcamos cómo se produjo el

ataque, quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo,
cuál era el objetivo del ataque, qué daños causaron, etc.
PREPARACION PARA EL ANÁLISIS

EL ENTORNO DE TRABAJO

Antes de comenzar el análisis de las evidencias deberá acondicionar un entorno

de trabajo adecuado al estudio que desee realizar. Es recomendable no tocar
los discos duros originales y trabajar con las imágenes que recopiló como
evidencias, o mejor aún con una copia de éstas, tenga en cuenta que necesitará
montar esas imágenes tal cual estaban en el sistema comprometido.

Prepare dos estaciones de trabajo, en una de ellas, que contendrá al menos dos
discos duros, instale un sistema operativo que actuará de anfitrión y que le
servirá para realizar el estudio de las evidencias. En ese mismo ordenador y
sobre un segundo disco duro, vuelque las imágenes manteniendo la estructura
de particiones y del sistema de archivos tal y como estaban en el equipo
atacado.

En el otro equipo instale un sistema operativo configurado exactamente igual

que el del equipo atacado, además mantenga nuevamente la misma estructura
de particiones y ficheros en sus discos duros.

Si no dispone de recursos, puede utilizar software como VMware, que le

permitirá crear una plataforma de trabajo con varias máquinas virtuales (varios
equipos lógicos independientes funcionando sobre un único equipo físico).
RECONSTRUCCION DE LA SECUENCIA TEMPORAL DEL ATAQUE

El primer paso que deberá dar es crear una línea temporal de sucesos o
timeline, para ello recopile la siguiente información sobre los ficheros:

 Inodos asociados.
 Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación
y borrado).
 Ruta completa.
 Tamaño en bytes y tipo de fichero. • Permisos de acceso.
 Usuarios y grupos a quien pertenece. • Si fue borrado o no

Sin duda esta será la información que más tiempo le llevará recopilar, pero será
el punto de partida para su análisis, podría plantearse aquí dedicar un poco de
tiempo a preparar un script que automatizase el proceso de creación del
timeline.

Para comenzar ordene los archivos por sus fechas MAC, esta primera
comprobación, aunque simple, es muy interesante pues la mayoría de los
archivos tendrán la fecha de instalación del sistema operativo, por lo que un
sistema que se instaló hace meses y que fue comprometido recientemente
presentará en los ficheros nuevos, inodos y fechas MAC muy distintas a las de
los ficheros más antiguos.

La idea es buscar ficheros y directorios que han sido creados, modificados o

borrados recientemente, o instalaciones de programas posteriores a la del
sistema operativo y que además se encuentren en rutas poco comunes. Piense
que la mayoría de los atacantes y sus herramientas crearán directorios y
descargarán sus “aplicaciones” en lugares donde no se suele mirar, como por
ejemplo en los directorios temporales.
DETERMINACION DE CÓMO SE REALIZO EL ATAQUE

Una vez que disponga de la cadena de acontecimientos que se han producido,

deberá determinar cuál fue la vía de entrada a su sistema, averiguando qué
vulnerabilidad o fallo de administración causó el agujero de seguridad y que
herramientas utilizó el atacante para aprovecharse de tal brecha.

Estos datos, deberá obtenerlos de forma metódica, empleando una combinación

de consultas a archivos de logs, registro, claves, cuentas de usuarios, etc.

IDENTIFICACION DEL AUTOR O AUTORES DEL INCIDENTE

La identificación de sus atacantes será de especial importancia si tiene pensado

llevar a cabo acciones legales posteriores o investigaciones internas a su
organización.

Deberá realizar algunas pesquisas como parte del proceso de identificación.

Primero intente averiguar la dirección IP de su atacante, para ello revise con
detenimiento los registros de conexiones de red y los procesos y servicios que
se encontraban a la escucha.
También podría encontrar esta información en fragmentos de las evidencias
volátiles, la memoria virtual o archivos temporales y borrados, como restos de e-
mail, conexiones fallidas, etc.
Otro aspecto que le interesaría averiguar es el perfil de sus atacantes, aunque
sin entrar en detalles podrá encontrarse con los siguientes tipos de “tipos”:

 Hackers: Son los más populares y tienen hasta su propia película

(HACKERS de Iain Softley, 1995). Se trata de personas con
conocimientos en técnicas de programación, redes, Internet y sistemas
operativos. Sus ataque suelen tener motivaciones de tipo ideológico
(pacifistas, ecologistas, anti-globalización, anti-Microsoft, etc.) o
simplemente lo consideran como un” desafío intelectual”.

 SciptKiddies: Son una nueva especie que ha saltado a la escena de la

delincuencia informática recientemente. Se trata de jóvenes que con
unos conocimientos aceptables en Internet y programación emplean
herramientas ya fabricadas por otros para realizar ataques y “ver que
pasa”.

 Profesionales: Son personas con muchísimos conocimientos en

lenguajes de programación, en redes y su equipamiento (routers, firewall,
etc.), Internet y sistemas operativos tipo UNIX. Suelen realizar los
ataques taques bajo encargo, por lo que su forma de trabajar implica una
exhaustiva preparación del mismo, realizando un estudio meticuloso de
todo el proceso que llevará a cabo, recopilando toda la información
posible sobre sus objetivos, se posicionará estratégicamente cerca de
ellos, realizará un tanteo con ataques en los que no modificará nada ni
dejará huellas.

EVALUACIÓN DEL IMPACTO CAUSADO AL SISTEMA

Para poder evaluar el impacto causado al sistema, el análisis forense le ofrece

la posibilidad de investigar qué es lo que han hecho los atacantes una vez que
accedieron a sus sistemas. Esto le permitirá evaluar el compromiso de sus
equipos y realizar una estimación del impacto causado. Generalmente se
pueden dar dos tipos de ataques:

Ataques pasivos: en los que no se altera la información ni la operación normal

de los sistemas, limitándose el atacante a fisgonear por ellos.

Ataques activos: en los que se altera, y en ocasiones seriamente, tanto la

información como la capacidad de operación del sistema.

Además existen otros aspectos del ataque como los efectos negativos de tipo
técnico que ha causado el incidente, tanto inmediato como potencial. Por
ejemplo ataques al cortafuego, el router de conexión a Internet o Intranet, el
servidor Web corporativo, los servidores de bases de datos, tendrán diferente
repercusión según el tipo de servicio o negocio que preste su organización y las
relaciones de dependencia entre sus usuarios.
Documentación del incidente

Tan pronto como el incidente haya sido detectado, es muy importante

comenzar a tomar notas sobre todas las actividades que se lleven a cabo.

Cada paso dado debe ser documentado y fechado desde que se descubre el
incidente hasta que finalice el proceso de análisis forense, esto le hará ser más
eficiente y efectivo al tiempo que reducirá las posibilidades de error a la hora de
gestionar el incidente.

Por otro lado, cuando se haya concluido el análisis y durante éste, tendrá que
mantener informados a las personas adecuadas de la organización, por lo que
será interesante que disponga de diversos métodos de comunicación.

Además, necesitará tener preparados una serie de formularios y presentar tras

la resolución del incidente al menos dos tipos de informes uno Técnico y otro
Ejecutivo.

UTILIZACION DE FORMULARIOS DE REGISTRO DEL INCIDENTE

El empleo de formularios puede ayudarle bastante en este propósito. Éstos

deberán ser rellenados por los departamentos afectados por el compromiso o
por el propio equipo que gestionará el incidente.

Alguno de los formularios que debería preparar serán:

 Documento de custodia de la evidencia.

 Formulario de identificación de equipos y componentes.
 Formulario de incidencias tipificadas.
 Formulario de publicación del incidente.
 Formulario de recogida de evidencias.
 Formulario de discos duros.
EL INFORME TÉCNICO

Este informe consiste en una exposición detallada del análisis efectuado.

Deberá describir en profundidad la metodología, técnicas y hallazgos del
equipo forense.

A modo de orientación, deberá contener, los siguientes puntos:

 Antecedentes del incidente.

 Recolección de los datos.
 Descripción de la evidencia.
 Entorno del análisis.

O Descripción de las herramientas.

 Análisis de la evidencia.

O Información del sistema analizado.

 Características del SO.

 Aplicaciones.
 Servicios.
 Vulnerabilidades.
 Metodología.

 Descripción de los hallazgos.

O Huellas de la intrusión.

O Herramientas usadas por el atacante.

O Alcance de la intrusión.

O El origen del ataque

 Cronología de la intrusión.
 Conclusiones.
 Recomendaciones específicas.
 Referencias.
EL INFORME EJECUTIVO

Este informe consiste en un resumen del análisis efectuado, pero empleando

una explicación no técnica, con lenguaje común, en el que se expondrá los
hechos más destacables de lo ocurrido en el sistema analizado.

Constará de pocas páginas, entre tres y cinco, y será de especial interés para
exponer lo sucedido a personal no especializado en sistemas informáticos,
como pueda ser el departamento de Recursos Humanos, Administración, e
incluso algunos directivos.

En este informe deberá constar lo siguiente:

Motivos de la intrusión.
Desarrollo de la intrusión
Resultados del análisis.
Recomendaciones.
 CONCLUSIONES

 La informática forense es una herramienta indispensable que toda

organización debe contemplar dentro de su política de seguridad y
enmarcarla dentro del proceso de respuesta a incidentes en los sistemas
informáticos.

 Las herramientas que el mercado maneja ya están muy consolidadas y los

procedimientos en uso son aplicados por todas las empresas y expertos de
estas.

 En el ámbito preventivo existen acciones dispersas dentro de otros

proyectos de mayor entidad como los planes de continuidad, contingencia y
respuesta a incidentes, pero que adolecen de cierta seguridad en lo que a
requisitos forenses se refiere.

 La protección de las evidencias, firma digital de estas, controles de acceso,

vigilancia y las implicaciones legales asociadas; llevan a plantear nuevos
modelos de gestión de la seguridad.
 Incidir en el enfoque preventivo de la práctica forense para:
 Garantizar la calidad de las evidencias.
 Dar mejor gestión y control de los procesos de negocios.
 Asegurar el menor costo en la gestión anterior a un incidente sin la
presión de una situación de emergencia.
 BIBLIOGRAFÍA

 www.auditoresdesistemas.com
 www.criptored.upm.es
 www.ioce.org
 www.dfrws.org
 www.isaca.org
 www.e-fense.com
 www.opensourceforensics.org
 www.forensics-es.org
 www.securityfocus.com