La ciencia forense es sistemtica y se basa en hechos premeditados
para recabar pruebas para luego analizarlas. La tecnologa, en caso de anlisis forense en sistemas informticos, son aplicaciones que hacen un papel de suma importancia en recaudar la informacin y pruebas necesarias. La escena del crimen es el computador y la red a la cual ste est conectado. Gran cantidad de documentos son elaborados digitalmente en computadores para ser a continuacin impresos. Las nuevas leyes sobre delitos informticos y la de firmas electrnicas y mensaes de datos abren procesalmente y definitivamente los medios probatorios informticos. Las operaciones comerciales tienden claramente a reducir costos y ampliar mercados a travs de las redes informticas. !a se han producido algunas e"perticias en #enezuela $Proyecto de Ley de Delitos Informaticos en Vene!ela % y otros pases de habla hispana uno de los ms destacados es &spa'a, en las cuales se ha solicitado la determinacin de la autenticidad e integridad por eemplo de mensaes de e(mail pudindose relacionar con un remitente, direccin de correo, computador y hasta con una persona determinada e inclusive la relacin entre estos elementos y los datos ane"os $attachments% que se encontraban en el email almacenado previamente en el equipo incurso. &s posible investigar $a)n cuando internet permite el anonimato y el uso de nombres falsos% quien es el due'o de sitios *eb, quienes son los autores de determinados artculos y otros documentos enviados a travs de redes o publicados en la misma. &l rastreo depende en s de quien y como realiz el ataque o cualquier otra accin, es posible buscar atacantes e"teriores de sistemas e incluso se conocen casos donde se ha determinado la autora de virus. +on igualmente investigables las modificaciones, alteraciones y otros maneos dolosos de bases de datos de redes internas o e"ternas, as como de cualquier sistemas de redes, ataques internos. ,or supuesto, para realizar esta fragosa tarea se debe poseer un conocimiento slido $normalmente quienes hacen de -nformticos forenses han realizados ataques anteriormente o conocen el uso de herramientas, dispositivos y soft*are de incursin en redes, por lo que tienen una idea de las posibles intrusiones por parte de terceros en un sistema%. La destruccin de datos y la manipulacin de los mismos tambin pueden rastrearse. Los hbitos de los usuarios de los computadores y las actividades realizadas pueden ayudar a la reconstruccin de hechos, siendo posible saber de todas las actividades realizadas en un computador determinado. Los archivos informticos pueden guardar informacin sobre su autor, la compa'a, fecha y otros datos de inters urdico. &sta informacin es almacenada a espaldas del usuario pudiendo determinarse en algunos casos en que computador.estacin fue redactado el archivo $esto es poco fiable, ya que cualquier otra persona pudo trabaar con la pc, falsificando la identidad del usuario propietario de la estacin, pero es usado como base del procedimiento%. Las imgenes digitales y otros medios audiovisuales pueden estar protegidos no solo por derechos de autor $copyright% sino por las llamadas marcas de agua digitales que serviran para determinar el origen del archivo aunque hayan sido modificados para disfrazarlos y darle una apariencia distinta. !a son frecuentes las inspecciones udiciales sobre pginas /ebs y archivos, tendientes a la fiacin de hechos que ocurren dentro del vasto mundo electrnico digital. La promocin, evacuacin y control de estas e"perticias informticas es especial y bao las normas de naciente, pero desarrollada informtica forense que se pone al servicio inmediato del derecho para afrontar nuevas tareas probatorias y lo ms importante es que ya se puede contar en #enezuela y en otros pases con este tipo de pericias )tiles en los procesos udiciales del presente y del futuro. &l obetivo de un anlisis forense informtico es realizar un proceso de b)squeda detallada y minuciosa para reconstruir a travs de todos los medios el log de acontecimientos que tuvieron lugar desde el mismo instante cuando el sistema estuvo en su estado integro hasta el momento de deteccin de un estado comprometedor. &sa labor debe ser llevada acabo con m"ima cautela y de forma detallada, asegurndose que se conserva intacta, en la medida posible, la informacin contenida en el disco de un sistema comprometido, de forma similar que los investigadores policiales intentan mantener la escena del crimen intacta, hasta que se recogen todas las pruebas posibles. 0uan 1arlos Guel, efe del 2epartamento de +eguridad en 1mputo de la 2ireccin General de +ervicios de 1mputo 3cadmico y 1oordinador del &quipo de 4espuesta a -ncidentes en +eguridad en 1mputo 5637(1&48 $no estoy al tanto que a)n posea este cargo%, se'ala9 :informtica o cmputo forense es un conunto de tcnicas especializadas que tiene como finalidad la reconstruccin de hechos pasados basados en los datos recolectados, para lo cual se procesa la informacin que pueda ser usada como evidencia en un equipo de cmputo;. &s decir, el cmputo forense opera diversas herramientas informticas para determinar el estado de un sistema luego de que sus medidas de seguridad han sido sobrepasadas y vulneradas, con la finalidad de encontrar evidencias que permitan definir, con toda certeza, los mecanismos que los intrusos utilizaron para acceder a ella, as como de desarrollar las meoras y.o tcnicas que deben seguirse para evitar futuras incursiones aenas en el sistema. &n una entrevista realizada por virusprot al 2octor 0eimy 0.1ano, -ngeniero de +istemas y 1omputacin 5niversidad de los 3ndes $1olombia% en el a'o <==<, y cito te"tualmente9>?1unto se puede tardar en reunir las suficientes pistas que den con el autor de un ataque@ &s una pregunta complicada de responder, pues muchas veces el informtico forense debe prepararse para fallar en la identificar la persona real que cometi el ataque. ,ues la versatilidad que ofrece -nternet para enmascarar direcciones -,, correos electrnicos, entre otros aspectos, sugiere un gran conocimiento tcnico y paciencia por parte de los atacantes, los cuales tambin consideran estrategias >anti(forenses> que limiten las investigaciones y la efectividad de las mismas. Luego, la recoleccin de pista puede ser demorada, algunos casos pueden llevar a'os en esta labor.> Las herramientas que utilizan los peritos forenses en materia de cmputo para dar con los intrusos, y saber a ciencia cierta qu hicieron en el sistema, se han desarrollado al paso del tiempo, para que nos ayuden en cuestiones de velocidad y faciliten identificar lo que realmente le pas al sistema y qu es lo que le puede suceder, en su contra parte igualmente se han desarrollado herramientas bastantes sofisticadas en contra de los anlisis forenses $herramientas y tcnicas que intentan no dear rastros, camuflarlos o borrarlos, de tal manera que se dificulte una posterior investigacin.%, tal como lo indica el 2r. 0eimi 1ano. 2e all el personal que labore en la informtica forense deber poseer slidos conocimientos tcnicos y prcticos y conocer las herramientas de uso, estar al da en bugs $vulnerabilidades% de sistemas $+istemas operativos, soft*are y hard*are% &l campo de la seguridad informtica es inmensamente heterogneo e interesante. 3nalizar un entorno atacado y comprometido es un desafiante eercicio de aplicacin de ingeniera inversa, para el cual es necesario tener gran conocimiento del funcionamiento de los sistemas involucrados, las tcnicas de ataque y los rastros que dean las mismas. +e puede leer en diferente sitios *eb notas similares a estas9 >&spero que los nuevos empleados tengan un mnimo de conocimientos de informtica y soft*are forense antes de que lleguen a la puerta>, apunta 7arc Airby, detective inspector para la seccin de informtica forense de la britnica 5nidad 6acional de 1rimen de 3lta 8ecnologa $6B815%>. +aque sus conclusiones de ese prrafo. 2ebemos tener en cuenta que la prioridad es preservar lo ms ntegramente posible las evidencias del crimen en un estado ntegro. &so significa colocar el sistema fuera de servicio $offline% cuando todos los usuarios del sistema estn presionando para volver a ponerlo on(line. + el sistema, por parte del administrador, fue forzado a seguir funcionando, eliminando las posibles vulnerabilidades o cualquier otra supuesta va de acceso al servidor, la investigacin forense no podr seguir el rumbo correcto ya que9 C. +e eliminara cualquier posibilidad de persecucin del intruso en un futuro ya que se modifica la >escena del crimen> y no se podra calcular los da'os estimados con un grado elevado de certeza. <. Bay muchas posibilidades de que se le paso algo importante por alto al administrador y el intruso $o intrusos% siguen teniendo acceso al sistema. ,or lo tanto es meor sufrir un >do*ntime> de red, mientras que se realiza el anlisis forense del sistema. +e tiene que establecer una prioridad entre9 $a% Duncionamiento inmediato, teniendo presente que las huellas deadas por el.los intruso$s% pueden haberse eliminado por descuido del administrador y su equipo, y que el servidor puede seguir teniendo puertas traseras bien ocultas. &sta opcin permite estar operativo en poco tiempo. $b% -nvestigacin forense detallada. &sta opcin supone un mayor tiempo de permanencia offline s no e"isten planes de contingencia y procedimientos para el bacEup del servicio. Fases de la -nformtica Dorense9 C. &"perticias, 3uditoria e -nspecciones en 1omputadores y ,ginas /eb. 2. 5bicacin de origen de correos annimos y archivos ane"os. G. 2eterminacin de propietarios de 2ominios .com .net .org y otros. H. ,ruebas de violacin de derechos de autor. I. 1ontrol preventivo y restriccin de uso de computadores e -nternet. J. ,roteccin de informacin y derechos de autor. K. K. 4ecuperacin de data y archivos borrados intencionalmente o por virus. L. 4ecuperacin y descifrado de las claves. 3l realizar un anlisis de informtica forense es necesario tomar notas de lo que se hace con el disco duro, y a que hora, almacenndolo en una ubicacin segura como por eemplo una caa fuerte. &s recomendable que siempre que se trabae con el medio original est acompa'ado por un colega, para que conste a los efectos legales y el testimonio pueda ser confirmado por alguien con un nivel de conocimientos similar. Las copias deben ser hechas bit(por(bit, es decir ser necesario hacer imgenes del disco. La investigacin debe ser llevada sobre una copia y nunca sobre el disco original. +e debe hacer tres copias del disco duro original. +obre todas las copias y original se debe llevar acabo una verificacin criptogrfica ( un checEsum. &n lo posible realizar dumps de memoria y almacenarlos al igual que los discos. &s importante todos los hechos pertinentes al caso durante la preparacin, recuperacin y anlisis de las pruebas sobre un ataque sean anotados para poder desarrollar un informe detallado de incidencia que se debe preparar una vez terminado el anlisis. &ste documento deber servir como una prueba del incidente o compromiso. +iempre que se realiza cualquier apunte al cuaderno, el asistente debe tener completo conocimiento y entendimiento de lo que ha sido apuntado. 3ntes de apagar el sistema, ser )til recoger algunos eemplos de aquella informacin que posiblemente no ha sido cambiada por los intrusos, como la organizacin de sistema de ficheros logs, el nombre del host, su direccin -, del fichero e informacin de algunos dispositivos. &l anlisis de la comunicacin de datos es realmente importante all se trabaaran en dos actividades9 C. -ntrusin en una red de computadoras o mal uso de la misma. <. -nterceptacin de datos. La intrusin en una red de computadoras o mal uso de la misma es la actividad de la informtica forense principal cuando el anlisis se hace sobre estructuras de esta naturaleza. 1onsiste en las funciones siguientes9 a% 2eteccin de la intrusin. b% 2etectar la evidencia, capturarla y preservarlaM y c% 4econstruccin de la actividad especfica o del hecho en s. &l descubrimiento de la intrusin generalmente involucra la aplicacin de soft*are especializado y en algunos casos hard*are, para supervisar la comunicacin de los datos y cone"iones a fin de identificar y aislar un comportamiento potencialmente ilegal. &ste comportamiento incluye el acceso no autorizado, modificacin del sistema en forma remota y el monitoreo no autorizado de paquetes de datos. La captura de la evidencia y su preservacin, generalmente tiene lugar despus del descubrimiento de una intrusin o un comportamiento anormal, para que la actividad anormal o sospechosa pueda conservarse para el posterior anlisis. La fase final, la reconstruccin de la intrusin o comportamiento anormal, permite un e"amen completo de todos los datos recogidos durante la captura de la evidencia. ,ara llevar a cabo con "ito estas funciones, el investigador forense debe tener e"periencia en comunicacin de datos y el apoyo de ingenieros y.o tcnicos de soft*are. a% 3ntes de realizar un anlisis se debe tener en cuenta la siguiente informacin9 a% sistema operativo afectado. b% inventario de soft*are instalado en el equipo c% tipo de hard*are del equipo d% accesorios y.o perifricos conectados al equipo e% si posee fire*all f% si esta en el mbito del 27N $Nona desmilitarizada% g% cone"in a internet h% configuracin i% parches y.o actualizaciones de soft*are % polticas de seguridad implementadas E% forma de almacenamiento de la informacin $cifrada o no% l% personas con permisos de acceso al equipo m% el pc esta dentro del 27N n% e"iste -2+ o% cuantos equipos en red 4ecomiendo como lectura interesante a9 +istemas de 2eteccin de -ntrusiones de 2iego Gonzlez Gmez "tt#$%%&&&'d(onale'net%#!)%ids%"tml% -nteresante artculo enviado por 3ntonio 0avier G.7. "tt#$%%&&&'analisisforense'net%SIC*+,-./0-1/'#df 3lgunos +oft*are.herramientas aplicables en la informtica forense9 . D.-.4.&.9 2estaca dentro de las distribuciones linu" especficas para informtica forense +itio *eb9 "tt#$%%)iatc"!2'dms'com . /inBe"9 +oft*are para informtica forense y recuperacin de archivos, &ditor Be"adecimal de 3rchivos, 2iscos y 437 +itio *eb9 "tt#$%%&&&'20&ays'net $share*are% . &ncase9 Berramienta propietaria, la cual ha demostrado ser un dispositivo )til a los peritos forenses en diferentes casos. sitio *eb9 "tt#$%%&&&'(!idancesoft&are'com% . +nort Berramienta libre por e"celencia una de las meores +itio *eb9 "tt#$%%&&&'snort'or( . Ossim9 Berramienta de monitorizacin +itio *eb9"tt#$%%&&&'ossim'net . &ttercap9 &"celente sniffer de redes +itio *eb9 "tt#$%%etterca#'so!rcefor(e'net% . 67ap9 ,otente localizador de vulnerabilidades +itio *eb9 "tt#$%%&&&'insec!re'or(%nma#% . 6essus9 Otro proyecto para scanear vulnerabilidades +itio *eb9 "tt#$%%&&&'ness!s'or( . &thereal9 Otro potente sniffer +itio *eb9 "tt#$%%&&&'et"ereal'com .Dport9 -dentifica puertos abiertos y aplicaciones asociadas a ellos. +itio *eb9 "tt#$%%fo!ndstone'com% . putty9 &scelente cliente ++B +itio *eb9 "tt#$%%&&&'c"iar3'(reenend'or('!3%4s(tat"am%#!tty% . +tunnel9 ,rograma que cifra las cone"iones 81, bao ++L +itio *eb9 "tt#$%%&&&'st!nnel'or(% . 3ir+nort9 Berramienta *ireless para recuperar claves cifradas +itio *eb9 "tt#$%%airsnort's"moo'com% . 3ircracE9 sniffer y /&, craqueador de *irless +tio *eb9 "tt#$%%&&&'cr-'net$1-/-%code%net&or3% . 3chilles9 Berramienta para testear la seguridad de las aplicaciones *eb sitio *eb9 "tt#$%%&&&'ma5ensec!rity'com%ac"illes . 6et+tumbler Localizador de los puntos de acceso *irless $debes poseer tareta *irless para q funcione% +itio *eb9 "tt#$%%&&&'st!m)ler'net% .2sniff9 sniffer +itio /eb9 "tt#$%%&&&'datanerds'net%4mi3e%dsniff'"tml .#61 3dministrador remoto +itio *eb9 "tt#$%%&&&'real5nc'com% .8he 3utopsy9 Fro*ser para la informatica forense +itio *eb9 "tt#$%%&&&'sle!t"3it'or( .,yDlag9 Berramienta para recuperar discos en 43-2 +itio *eb9 "tt#$%%#yfla('so!rcefor(e'net% Berramientas 7icrosoft9 . ,romqry C.= $linea de comandos, CCG AF%9 "tt#$%%do&nload'microsoft'com%do&nload%)%)%6%))6ea7+80911-0/8c80 )1/)0)/1.a6/*/a7.%#rom:rycmd'e2e . ,romqry5- C.= $interfaz grfico, <II AF%9 "tt#$%%do&nload'microsoft'com%do&nload%.%9%6%.969f68.017d)0/d710 a)+-0+.+1/6++d8)f%#rom:ry!i'e2e +itios *eb de seguridad $recomendados% "tt#$%%&&&'3)'cert'or( "tt#$%%&&&'sec!rityfoc!s'com "tt#$%%&&&'s:lsec!rity'com "tt#$%%&&&'sec!nia'com "tt#$%%&&&'sec!ritytrac3er'com "tt#$%%&&&'forensicfoc!s'com% "tt#$%%&&&'frsirt'com "tt#$%%&&&'info"ac3ers'or( "tt#$%%&&&'"is#asec'com "tt#$%%&&&'se(!ridad-'com "tt#$%%&&&'forensic0es'or( "tt#$%%&&&'synac3sec!rity'com Duentes consultadas9 tecnoiuris.com informaticaforense.com criptored.upm.es loquefaltaba.com grafotecnica.com virusprot.com obm.corcoles.net dgonzalez.net vnunet.es unam(cert.unam.m" alfa(redi.org auseo.net symantec.com pandasoft*are.com monografias.com criminalista.net delitosinformaticos.com hispasec.com synacEsecurity.com unmanarc.synacEsecurity.com 3utor9 Pombra ***."ombra.com 8e"tos y.o trabao bao Licencia9 1reative 1ommons License #er 8erminos en9 "tt#$%%creati5ecommons'or(%&orld&ide%es% 8raduccin al espa'ol9 "tt#$%%creati5ecommons'or(%&orld&ide%es%translated0license