INFORMTICA FORENSE

La ciencia forense es sistemtica y se basa en hechos premeditados

para recabar pruebas para luego analizarlas. La tecnologa, en caso
de anlisis forense en sistemas informticos, son aplicaciones que
hacen un papel de suma importancia en recaudar la informacin y
pruebas necesarias. La escena del crimen es el computador y la red a
la cual ste est conectado. Gran cantidad de documentos son
elaborados digitalmente en computadores para ser a continuacin
impresos.
Las nuevas leyes sobre delitos informticos y la de firmas electrnicas
y mensaes de datos abren procesalmente y definitivamente los
medios probatorios informticos. Las operaciones comerciales tienden
claramente a reducir costos y ampliar mercados a travs de las redes
informticas.
!a se han producido algunas e"perticias en #enezuela $Proyecto de Ley
de Delitos Informaticos en Vene!ela % y otros pases de habla hispana
uno de los ms destacados es &spa'a, en las cuales se ha solicitado
la determinacin de la autenticidad e integridad por eemplo de
mensaes de e(mail pudindose relacionar con un remitente, direccin
de correo, computador y hasta con una persona determinada e
inclusive la relacin entre estos elementos y los datos ane"os
$attachments% que se encontraban en el email almacenado
previamente en el equipo incurso.
&s posible investigar $a)n cuando internet permite el anonimato y el
uso de nombres falsos% quien es el due'o de sitios *eb, quienes son
los autores de determinados artculos y otros documentos enviados a
travs de redes o publicados en la misma. &l rastreo depende en s de
quien y como realiz el ataque o cualquier otra accin, es posible
buscar atacantes e"teriores de sistemas e incluso se conocen casos
donde se ha determinado la autora de virus.
+on igualmente investigables las modificaciones, alteraciones y otros
maneos dolosos de bases de datos de redes internas o e"ternas, as
como de cualquier sistemas de redes, ataques internos. ,or supuesto,
para realizar esta fragosa tarea se debe poseer un conocimiento
slido $normalmente quienes hacen de -nformticos forenses han
realizados ataques anteriormente o conocen el uso de herramientas,
dispositivos y soft*are de incursin en redes, por lo que tienen una
idea de las posibles intrusiones por parte de terceros en un sistema%.
La destruccin de datos y la manipulacin de los mismos tambin
pueden rastrearse. Los hbitos de los usuarios de los computadores y
las actividades realizadas pueden ayudar a la reconstruccin de
hechos, siendo posible saber de todas las actividades realizadas en
un computador determinado.
Los archivos informticos pueden guardar informacin sobre su autor,
la compa'a, fecha y otros datos de inters urdico. &sta informacin
es almacenada a espaldas del usuario pudiendo determinarse en
algunos casos en que computador.estacin fue redactado el archivo
$esto es poco fiable, ya que cualquier otra persona pudo trabaar con
la pc, falsificando la identidad del usuario propietario de la estacin,
pero es usado como base del procedimiento%.
Las imgenes digitales y otros medios audiovisuales pueden estar
protegidos no solo por derechos de autor $copyright% sino por las
llamadas marcas de agua digitales que serviran para determinar el
origen del archivo aunque hayan sido modificados para disfrazarlos y
darle una apariencia distinta.
!a son frecuentes las inspecciones udiciales sobre pginas /ebs y
archivos, tendientes a la fiacin de hechos que ocurren dentro del
vasto mundo electrnico digital.
La promocin, evacuacin y control de estas e"perticias informticas
es especial y bao las normas de naciente, pero desarrollada
informtica forense que se pone al servicio inmediato del derecho
para afrontar nuevas tareas probatorias y lo ms importante es que
ya se puede contar en #enezuela y en otros pases con este tipo de
pericias )tiles en los procesos udiciales del presente y del futuro.
&l obetivo de un anlisis forense informtico es realizar un proceso
de b)squeda detallada y minuciosa para reconstruir a travs de todos
los medios el log de acontecimientos que tuvieron lugar desde el
mismo instante cuando el sistema estuvo en su estado integro hasta
el momento de deteccin de un estado comprometedor.
&sa labor debe ser llevada acabo con m"ima cautela y de forma
detallada, asegurndose que se conserva intacta, en la medida
posible, la informacin contenida en el disco de un sistema
comprometido, de forma similar que los investigadores policiales
intentan mantener la escena del crimen intacta, hasta que se recogen
todas las pruebas posibles.
0uan 1arlos Guel, efe del 2epartamento de +eguridad en 1mputo
de la 2ireccin General de +ervicios de 1mputo 3cadmico y
1oordinador del &quipo de 4espuesta a -ncidentes en +eguridad en
1mputo 5637(1&48 $no estoy al tanto que a)n posea este cargo%,
se'ala9 :informtica o cmputo forense es un conunto de tcnicas
especializadas que tiene como finalidad la reconstruccin de hechos
pasados basados en los datos recolectados, para lo cual se procesa la
informacin que pueda ser usada como evidencia en un equipo de
cmputo;.
&s decir, el cmputo forense opera diversas herramientas informticas
para determinar el estado de un sistema luego de que sus medidas
de seguridad han sido sobrepasadas y vulneradas, con la finalidad de
encontrar evidencias que permitan definir, con toda certeza, los
mecanismos que los intrusos utilizaron para acceder a ella, as como
de desarrollar las meoras y.o tcnicas que deben seguirse para
evitar futuras incursiones aenas en el sistema.
&n una entrevista realizada por virusprot al 2octor 0eimy 0.1ano,
-ngeniero de +istemas y 1omputacin 5niversidad de los 3ndes
$1olombia% en el a'o <==<, y cito te"tualmente9>?1unto se puede
tardar en reunir las suficientes pistas que den con el autor de un
ataque@
&s una pregunta complicada de responder, pues muchas veces el
informtico forense debe prepararse para fallar en la identificar la
persona real que cometi el ataque. ,ues la versatilidad que ofrece
-nternet para enmascarar direcciones -,, correos electrnicos, entre
otros aspectos, sugiere un gran conocimiento tcnico y paciencia por
parte de los atacantes, los cuales tambin consideran estrategias
>anti(forenses> que limiten las investigaciones y la efectividad de las
mismas. Luego, la recoleccin de pista puede ser demorada, algunos
casos pueden llevar a'os en esta labor.>
Las herramientas que utilizan los peritos forenses en materia de
cmputo para dar con los intrusos, y saber a ciencia cierta qu
hicieron en el sistema, se han desarrollado al paso del tiempo, para
que nos ayuden en cuestiones de velocidad y faciliten identificar lo
que realmente le pas al sistema y qu es lo que le puede suceder, en
su contra parte igualmente se han desarrollado herramientas
bastantes sofisticadas en contra de los anlisis forenses
$herramientas y tcnicas que intentan no dear rastros, camuflarlos o
borrarlos, de tal manera que se dificulte una posterior investigacin.%,
tal como lo indica el 2r. 0eimi 1ano.
2e all el personal que labore en la informtica forense deber poseer
slidos conocimientos tcnicos y prcticos y conocer las herramientas
de uso, estar al da en bugs $vulnerabilidades% de sistemas $+istemas
operativos, soft*are y hard*are%
&l campo de la seguridad informtica es inmensamente heterogneo
e interesante. 3nalizar un entorno atacado y comprometido es un
desafiante eercicio de aplicacin de ingeniera inversa, para el cual es
necesario tener gran conocimiento del funcionamiento de los sistemas
involucrados, las tcnicas de ataque y los rastros que dean las
mismas.
+e puede leer en diferente sitios *eb notas similares a estas9 >&spero
que los nuevos empleados tengan un mnimo de conocimientos de
informtica y soft*are forense antes de que lleguen a la puerta>,
apunta 7arc Airby, detective inspector para la seccin de informtica
forense de la britnica 5nidad 6acional de 1rimen de 3lta 8ecnologa
$6B815%>. +aque sus conclusiones de ese prrafo.
2ebemos tener en cuenta que la prioridad es preservar lo ms
ntegramente posible las evidencias del crimen en un estado ntegro.
&so significa colocar el sistema fuera de servicio $offline% cuando
todos los usuarios del sistema estn presionando para volver a
ponerlo on(line.
+ el sistema, por parte del administrador, fue forzado a seguir
funcionando, eliminando las posibles vulnerabilidades o cualquier otra
supuesta va de acceso al servidor, la investigacin forense no podr
seguir el rumbo correcto ya que9
C. +e eliminara cualquier posibilidad de persecucin del intruso en un
futuro ya que se modifica la >escena del crimen> y no se podra
calcular los da'os estimados con un grado elevado de certeza.
<. Bay muchas posibilidades de que se le paso algo importante por
alto al administrador y el intruso $o intrusos% siguen teniendo acceso
al sistema. ,or lo tanto es meor sufrir un >do*ntime> de red,
mientras que se realiza el anlisis forense del sistema.
+e tiene que establecer una prioridad entre9
$a% Duncionamiento inmediato, teniendo presente que las huellas
deadas por el.los intruso$s% pueden haberse eliminado por descuido
del administrador y su equipo, y que el servidor puede seguir
teniendo puertas traseras bien ocultas. &sta opcin permite estar
operativo en poco tiempo.
$b% -nvestigacin forense detallada. &sta opcin supone un mayor
tiempo de permanencia offline s no e"isten planes de contingencia y
procedimientos para el bacEup del servicio.
Fases de la -nformtica Dorense9
C. &"perticias, 3uditoria e -nspecciones en 1omputadores y
,ginas /eb.
2. 5bicacin de origen de correos annimos y archivos ane"os.
G. 2eterminacin de propietarios de 2ominios .com .net .org y
otros.
H. ,ruebas de violacin de derechos de autor.
I. 1ontrol preventivo y restriccin de uso de computadores e
-nternet.
J. ,roteccin de informacin y derechos de autor.
K. K. 4ecuperacin de data y archivos borrados intencionalmente o
por virus.
L. 4ecuperacin y descifrado de las claves.
3l realizar un anlisis de informtica forense es necesario tomar notas
de lo que se hace con el disco duro, y a que hora, almacenndolo en
una ubicacin segura como por eemplo una caa fuerte. &s
recomendable que siempre que se trabae con el medio original est
acompa'ado por un colega, para que conste a los efectos legales y el
testimonio pueda ser confirmado por alguien con un nivel de
conocimientos similar.
Las copias deben ser hechas bit(por(bit, es decir ser necesario hacer
imgenes del disco. La investigacin debe ser llevada sobre una copia
y nunca sobre el disco original. +e debe hacer tres copias del disco
duro original. +obre todas las copias y original se debe llevar acabo
una verificacin criptogrfica ( un checEsum. &n lo posible realizar
dumps de memoria y almacenarlos al igual que los discos.
&s importante todos los hechos pertinentes al caso durante la
preparacin, recuperacin y anlisis de las pruebas sobre un ataque
sean anotados para poder desarrollar un informe detallado de
incidencia que se debe preparar una vez terminado el anlisis. &ste
documento deber servir como una prueba del incidente o
compromiso. +iempre que se realiza cualquier apunte al cuaderno, el
asistente debe tener completo conocimiento y entendimiento de lo
que ha sido apuntado.
3ntes de apagar el sistema, ser )til recoger algunos eemplos de
aquella informacin que posiblemente no ha sido cambiada por los
intrusos, como la organizacin de sistema de ficheros logs, el nombre
del host, su direccin -, del fichero e informacin de algunos
dispositivos.
&l anlisis de la comunicacin de datos es realmente importante all
se trabaaran en dos actividades9
C. -ntrusin en una red de computadoras o mal uso de la misma.
<. -nterceptacin de datos.
La intrusin en una red de computadoras o mal uso de la misma es la
actividad de la informtica forense principal cuando el anlisis se hace
sobre estructuras de esta naturaleza. 1onsiste en las funciones
siguientes9
a% 2eteccin de la intrusin.
b% 2etectar la evidencia, capturarla y preservarlaM y
c% 4econstruccin de la actividad especfica o del hecho en s.
&l descubrimiento de la intrusin generalmente involucra la aplicacin
de soft*are especializado y en algunos casos hard*are, para
supervisar la comunicacin de los datos y cone"iones a fin de
identificar y aislar un comportamiento potencialmente ilegal.
&ste comportamiento incluye el acceso no autorizado, modificacin
del sistema en forma remota y el monitoreo no autorizado de
paquetes de datos.
La captura de la evidencia y su preservacin, generalmente tiene
lugar despus del descubrimiento de una intrusin o un
comportamiento anormal, para que la actividad anormal o
sospechosa pueda conservarse para el posterior anlisis.
La fase final, la reconstruccin de la intrusin o comportamiento
anormal, permite un e"amen completo de todos los datos recogidos
durante la captura de la evidencia.
,ara llevar a cabo con "ito estas funciones, el investigador forense
debe tener e"periencia en comunicacin de datos y el apoyo de
ingenieros y.o tcnicos de soft*are.
a% 3ntes de realizar un anlisis se debe tener en cuenta la
siguiente informacin9
a% sistema operativo afectado.
b% inventario de soft*are instalado en el equipo
c% tipo de hard*are del equipo
d% accesorios y.o perifricos conectados al equipo
e% si posee fire*all
f% si esta en el mbito del 27N $Nona desmilitarizada%
g% cone"in a internet
h% configuracin
i% parches y.o actualizaciones de soft*are
% polticas de seguridad implementadas
E% forma de almacenamiento de la informacin $cifrada o no%
l% personas con permisos de acceso al equipo
m% el pc esta dentro del 27N
n% e"iste -2+
o% cuantos equipos en red
4ecomiendo como lectura interesante a9
+istemas de 2eteccin de -ntrusiones de 2iego Gonzlez Gmez
"tt#$%%&&&'d(onale'net%#!)%ids%"tml%
-nteresante artculo enviado por 3ntonio 0avier G.7.
"tt#$%%&&&'analisisforense'net%SIC*+,-./0-1/'#df
3lgunos +oft*are.herramientas aplicables en la informtica forense9
. D.-.4.&.9 2estaca dentro de las distribuciones linu" especficas para
informtica forense
+itio *eb9 "tt#$%%)iatc"!2'dms'com
. /inBe"9 +oft*are para informtica forense y recuperacin de
archivos, &ditor Be"adecimal de 3rchivos, 2iscos y 437
+itio *eb9 "tt#$%%&&&'20&ays'net $share*are%
. &ncase9 Berramienta propietaria, la cual ha demostrado ser un
dispositivo )til a los peritos forenses en diferentes casos.
sitio *eb9 "tt#$%%&&&'(!idancesoft&are'com%
. +nort Berramienta libre por e"celencia una de las meores
+itio *eb9 "tt#$%%&&&'snort'or(
. Ossim9 Berramienta de monitorizacin
+itio *eb9"tt#$%%&&&'ossim'net
. &ttercap9 &"celente sniffer de redes
+itio *eb9 "tt#$%%etterca#'so!rcefor(e'net%
. 67ap9 ,otente localizador de vulnerabilidades
+itio *eb9 "tt#$%%&&&'insec!re'or(%nma#%
. 6essus9 Otro proyecto para scanear vulnerabilidades
+itio *eb9 "tt#$%%&&&'ness!s'or(
. &thereal9 Otro potente sniffer
+itio *eb9 "tt#$%%&&&'et"ereal'com
.Dport9 -dentifica puertos abiertos y aplicaciones asociadas a ellos.
+itio *eb9 "tt#$%%fo!ndstone'com%
. putty9 &scelente cliente ++B
+itio *eb9 "tt#$%%&&&'c"iar3'(reenend'or('!3%4s(tat"am%#!tty%
. +tunnel9 ,rograma que cifra las cone"iones 81, bao ++L
+itio *eb9 "tt#$%%&&&'st!nnel'or(%
. 3ir+nort9 Berramienta *ireless para recuperar claves cifradas
+itio *eb9 "tt#$%%airsnort's"moo'com%
. 3ircracE9 sniffer y /&, craqueador de *irless
+tio *eb9 "tt#$%%&&&'cr-'net$1-/-%code%net&or3%
. 3chilles9 Berramienta para testear la seguridad de las aplicaciones
*eb
sitio *eb9 "tt#$%%&&&'ma5ensec!rity'com%ac"illes
. 6et+tumbler Localizador de los puntos de acceso *irless $debes
poseer tareta *irless para q funcione%
+itio *eb9 "tt#$%%&&&'st!m)ler'net%
.2sniff9 sniffer
+itio /eb9 "tt#$%%&&&'datanerds'net%4mi3e%dsniff'"tml
.#61 3dministrador remoto
+itio *eb9 "tt#$%%&&&'real5nc'com%
.8he 3utopsy9 Fro*ser para la informatica forense
+itio *eb9 "tt#$%%&&&'sle!t"3it'or(
.,yDlag9 Berramienta para recuperar discos en 43-2
+itio *eb9 "tt#$%%#yfla('so!rcefor(e'net%
Berramientas 7icrosoft9
. ,romqry C.= $linea de comandos, CCG AF%9
"tt#$%%do&nload'microsoft'com%do&nload%)%)%6%))6ea7+80911-0/8c80
)1/)0)/1.a6/*/a7.%#rom:rycmd'e2e
. ,romqry5- C.= $interfaz grfico, <II AF%9
"tt#$%%do&nload'microsoft'com%do&nload%.%9%6%.969f68.017d)0/d710
a)+-0+.+1/6++d8)f%#rom:ry!i'e2e
+itios *eb de seguridad $recomendados%
"tt#$%%&&&'3)'cert'or(
"tt#$%%&&&'sec!rityfoc!s'com
"tt#$%%&&&'s:lsec!rity'com
"tt#$%%&&&'sec!nia'com
"tt#$%%&&&'sec!ritytrac3er'com
"tt#$%%&&&'forensicfoc!s'com%
"tt#$%%&&&'frsirt'com
"tt#$%%&&&'info"ac3ers'or(
"tt#$%%&&&'"is#asec'com
"tt#$%%&&&'se(!ridad-'com
"tt#$%%&&&'forensic0es'or(
"tt#$%%&&&'synac3sec!rity'com
Duentes consultadas9
tecnoiuris.com
informaticaforense.com
criptored.upm.es
loquefaltaba.com
grafotecnica.com
virusprot.com
obm.corcoles.net
dgonzalez.net
vnunet.es
unam(cert.unam.m"
alfa(redi.org
auseo.net
symantec.com
pandasoft*are.com
monografias.com
criminalista.net
delitosinformaticos.com
hispasec.com
synacEsecurity.com
unmanarc.synacEsecurity.com
3utor9
Pombra
***."ombra.com
8e"tos y.o trabao bao Licencia9
1reative 1ommons License
#er 8erminos en9
"tt#$%%creati5ecommons'or(%&orld&ide%es%
8raduccin al espa'ol9
"tt#$%%creati5ecommons'or(%&orld&ide%es%translated0license