Sunteți pe pagina 1din 20

Facultad de Derecho y Ciencia Poltica

Maestra en Ciencia Criminalstica


Curso: Pericias de Ingeniera Forense
S5: Informtica Forense Introduccin Dr. Luis Miguel Romero Echevarria
Introduccin

Los constante reportes de vulnerabilidades en sistemas de


informacin, el aprovechamiento de fallas bien sea humanas o
tecnolgicas sobre infraestructuras de computacin en el mundo,
ofrecen un escenario perfecto para que se cultiven tendencias
relacionadas con intrusos informticos.

La informtica (o computacin) forense es la ciencia de adquirir,


preservar, obtener y presentar datos que han sido procesados
electrnicamente y guardados en un medio computacional. (FBI).
Computo Forense

Cmputo forense, tambin llamado informtica forense,


computacin forense, anlisis forense digital o exanimacin
forense digital; es la aplicacin de tcnicas cientficas y analticas
especializadas a infraestructura tecnolgica que permiten
identificar, preservar, analizar y presentar datos que sean vlidos
dentro de un proceso legal.
Dichas tcnicas incluyen reconstruir el bien informtico, examinar
datos residuales, autenticar datos y explicar las caractersticas
tcnicas del uso aplicado a los datos y bienes informticos.
La informtica forense ayuda a detectar pistas sobre ataques
informticos, robo de informacin, conversaciones o pistas de
emails y chats. La importancia de stos y el poder mantener su
integridad se basa en que la evidencia digital o electrnica es
sumamente frgil. El simple hecho de darle doble clic a un archivo
modificara la ltima fecha de acceso del mismo.
Cmputo Forense

Esta disciplina mantiene la integridad de los datos y del procesamiento de los mismos;
sino que tambin requiere de una especializacin y conocimientos avanzados en
materia de informtica y sistemas para poder detectar dentro de cualquier dispositivo
electrnico lo que ha sucedido.

El conocimiento del informtico forense abarca el conocimiento no solamente del


software si no tambin de hardware, redes, seguridad, hacking, cracking y
recuperacin de informacin.

Adicionalmente, un examinador forense digital, dentro del proceso del cmputo


forense puede llegar a recuperar informacin que haya sido borrada.

La informtica forense o cmputo forense no tiene parte preventiva, es decir, la


informtica forense no tiene como objetivo el prevenir delitos, de ello se encarga la
seguridad informtica, por eso resulta imprescindible tener claro el marco de
actuacin entre la informtica forense, la seguridad informtica y la auditora
informtica.
Informtica Forense

Es una disciplina criminalstica que tiene


como objeto la investigacin en sistemas
informticos de hechos con relevancia
jurdica o para la simple investigacin
privada. Para conseguir sus objetivos, la
Informtica Forense desarrolla tcnicas
idneas para ubicar, reproducir y analizar
evidencias digitales con fines legales.
mbito de actuacin Todo hecho en el que un sistema informtico est involucrado, tanto si es el fin
o un medio, puede ser objeto de estudio y anlisis, y por ello, puede llevarse a juicio como medio
probatorio.
Informtica Forense: Principios

Adherirse a estndares legales

Formacin especfica en tcnicas forenses

investigacin/ recoleccin evidencias


Obtener Permisos: monitorizar uso de ordenadores

Control de Cadena de Custodia


Evidencias Digitales
Informtica Forense:
Normas Fundamentales

Preservar la evidencia original

Establecer y mantener la Cadena de Custodia

Documentar todo hecho

NO EXTRALIMITARSE
Conocimientos personales, Leyes, Normas , Procedimientos

Riesgos:
Corromper evidencias -> No admitirse en juicio
Informtica Forense:
Objetivos

Objetivos Objetivos
Identificar las posibles La compensacin de los
fuentes disponibles daos causados por los
Recoger diferentes tipos de intrusos o criminales.
evidencias La persecucin y
Analizar las evidencias procesamiento judicial de
encontradas los criminales.
Confirmar por pruebas La creacin y aplicacin de
cruzadas medidas para prevenir
casos similares.
Estos objetivos son logrados de varias formas,
As se establecen las bases para PROBAR que
entre ellas, la principal es la coleccin de
se han cometido actos deshonestos o ilegales
evidencia.
Evidencias Digitales: Qu son?

Cualquier documento, fichero, registro, dato, etc.


contenido en un soporte informtico

Susceptible de Documentos de Ofimtica (Word, Excel, ...)


Comunicaciones digitales: E-mails, SMSs, ..
tratamiento Imgenes digitales (fotos, videos...)
digital Bases de Datos
Ejemplos: Ficheros de Registro de Actividad -> LOGS
Dispositivos a analizar
(todo lo que tenga memoria informtica)

Software de
Documentaci Informacin IP, redes,
Disco duro monitoreo y
n referida de Firewalls Proxy
seguridad

Telfono Agendas
Dispositivos Memoria
Mvil o Electrnicas Impresora
de GPS. USB
Celular (PDA)
Evidencias Digitales: Su Validez Jurdica

Uno de los pilares ms importantes de


la informtica forense
Valor que se le puede dar a las evidencias
informticas (e-evidences)
Para aportar en los procesos judiciales.

Cada da hay ms
leyes que regulan Actualmente
las actividades existen grandes
relacionadas con la debates entre
informtica: juristas y expertos
Nacionales tcnicos
Europeas a nivel nacional
Inglesas a nivel internacional
Norteamericanas . . . . .

Objetivo:
Alcanzar un compromiso a nivel internacional
Definir que hay que exigir a una evidencia
informtica para que se pueda aceptar como una
prueba
Categoras de la Evidencia Digital

Registros almacenados en el equipo de tecnologa


informtica (e-mail, archivos, imgenes, comprimidos)

Registros generados por equipos de tecnologa


Informtica (registros, reportes)

Registros que parcialmente han sido generados y


almacenados en los equipos de tecnologa Informtica
(Visitas, consultas)
Pasos para la Investigacin Forense (2)

Para poder realizar con xito su trabajo, el investigador nunca debe olvidar:

Ser imparcial. Solamente analizar y reportar lo encontrado.


Realizar una investigacin formal sin conocimiento y experiencia.
Mantener la cadena de custodia (proceso que verifica la
integridad y manejo adecuado de la evidencia).
Documentar toda actividad realizada.
El especialista debe conocer tambin sobre:

Desarrollo de los exploit (vulnerabilidades), esto le permite al


informtico forense saber qu tipo de programas se pondrn de
moda, para generar una base de estudio que le permita observar
patrones de comportamiento.
El proceso de anlisis forense a una computadora se describe a continuacin:
Pasos para la Investigacin Forense (1)

Identificacin de la Los investigadores deben conocer muy bien los formatos que
tiene la informacin con el fin de saber cmo extraerla, dnde y
evidencia cmo almacenarla y preservarla.

Preservacin de la Es importante que no se generen cambios en la evidencia al


analizarse, sin embargo en algunos casos donde deba
evidencia o Autenticacin presentarse esos cambios deben ser explicados ya que toda
de la evidencia: alteracin debe ser registrada y justificada

Se empieza a estudiar las evidencias para obtener informacin


Anlisis de la evidencia: de relevancia para el caso

El reporte a presentar debe incluir todos los detalles del proceso


de manera exhaustiva, los datos de hardware y software usados
Presentacin: para el estudio as como los mtodos usados para la obtencin
de datos.
Es importante conocer los antecedentes a la investigacin, situacin actual y el proceso que se
Identificacin quiere seguir para poder tomar la mejor decisin con respecto a las bsquedas y las estrategia,
programado y sincronizado con las actividades a realizar, herramientas de extraccin de los registros
de informacin a localizar.
Incluye: Observar, Analizar Interpretar y Aplicar la certeza, (criterio profesional) la identificacin del bien informtico, su uso dentro de la
red, el inicio de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisin del entorno
legal que protege el bien y del apoyo para la toma de decisin con respecto al siguiente paso una vez revisados los resultados.
Revisin y generacin de las imgenes forenses de la evidencia para poder realizar el anlisis. Para
Preservacin poder mantener la integridad de la evidencia y la cadena de custodia que se requiere( soportes).
Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia bit-a-bit (copia binaria) de todo el
disco duro, el cual permitir recuperar en el siguiente paso, toda la informacin contenida y borrada del disco duro. Para evitar la
contaminacin del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura
con el disco, lo que provocara una alteracin no deseada en los medios.
Se pueden realizar bsquedas de cadenas de caracteres, acciones especficas del o de los usuarios
Anlisis de la mquina como son el uso de dispositivos de USB (marca, modelo), bsqueda de archivos
especficos, recuperacin e identificacin de correos electrnicos, recuperacin de los ltimos sitios
visitados, recuperacin del cach del navegador de Internet, etc.
Se pueden realizar bsquedas de cadenas de caracteres, acciones especficas del o de los usuarios de la mquina como son el uso de
dispositivos de USB (marca, modelo), bsqueda de archivos especficos, recuperacin e identificacin de correos electrnicos,
recuperacin de los ltimos sitios visitados, recuperacin del cach del navegador de Internet, etc.

Es recopilar toda la informacin que se obtuvo a partir del anlisis para realizar el reporte y la
Presentacin presentacin a los abogados, jueces o instancias que soliciten este informe, la generacin (si es el
caso) de una pericial y de su correcta interpretacin sin hacer uso de tecnicismos.
Presentar de manera cauta, prudente y discreta al solicitante la documentacin ya que siempre existirn puertas traseras dentro del
sistema en observacin y debe ser muy especifica la investigacin dentro del sistema que se documenta porque se compara y vincula
una plataforma de telecomunicacin y computo forense y que estn muy estrechamente enlazadas no omitiendo los medios de
almacenamiento magnticos portables estos son basamentos sobre software libre y privativo. deber ser muy cuidadosa la informacin
a entregar porque se maneja el prestigio tcnico segn la plataformas y sistemas
Herramientas para recuperar evidencia

Debido a la gran cantidad de datos que pueden estar almacenados en un


computadora

La variedad de formatos de archivos, los cuales pueden variar enormemente, an


dentro del contexto de un mismo sistema operativo.

La necesidad de recopilar la informacin de una manera exacta, y que permita


verificar que la copia es exacta.

Limitaciones de tiempo para analizar toda la informacin.

Mecanismos de encriptacin, o de contraseas.


Herramientas para recuperar evidencia

Administraci
Control de

n de casos
Integridad
Licencia

Anlisis
Imagen
Encase S S S S S
Forensic
S S S S S
Toolkit
Winhex S S S S S
Sleuth Kit No S S S S

Las Herramientas utilizadas deben tener licencia, existen otras que no cuenta con
tanto reconocimiento internacional en procesos legales.
Prxima Sesin:

Definiciones (continua . . . . )
Cadena de Custodia:
Prxima Sesin Para asegurar que los artculos son registrados y
contabilizados durante el tiempo en el cual estn
en su poder, y que son protegidos, as mismo
Definiciones llevando un registro de los nombres de las
personas que manejaron la evidencia o artculos
Delitos Informticos. durante el lapso de tiempo y fechas de entrega y
recepcin.
Casos. Imagen Forense:
Tcnica Llamada tambin "Espejeo" (en ingls
"Mirroring"), la cual es una copia binaria de un
medio electrnico de almacenamiento. En la
imagen quedan grabados los espacios que ocupan
los archivos y las reas borradas incluyendo
particiones escondidas.
Anlisis de Archivo:
Examina cada archivo digital descubierto y crea
una base de datos de informacin relacionada al
archivo (metadatos, etc.), consistente entre otras
cosas en la firma del archivo o hash (indica la
integridad del archivo).
Uro L. Cacho, Erick Marenco, Juan Carlos Carrera (2014). El uso
de Informtica forense. Maestra en Auditoria forense trabajo de
grado. UNESCPA. Panam.
https://es.slideshare.net/Uro26/computo-forense-informtica-forense?qid=717c8f1b-
12e5-4a1e-a2a0-b51e0499daea&v=&b=&from_search=3
Javier Pags Lpez (s/f). Evidencias Digitales en la Informtica
Forense.
https://es.slideshare.net/vaceitunofist/j-16621012?qid=717c8f1b-12e5-4a1e-a2a0-
b51e0499daea&v=&b=&from_search=4

http://www.informatica-forense.es
http://www.inforenses.com

S-ar putea să vă placă și