Informtica Forense




CAPTULO 5

HERRAMIENTAS Y EQUIPOS PARA EL ANLISIS FORENSE

5.1
Anlisis sobre las herramientas y equipos para la aplicacin de la
Informtica Forense para la Polica Nacional

La Polica Nacional, actualmente se encuentra manejando en proceso de aceptacin

el Departamento de Delitos Informticos en la ciudad de Quito, hasta el momento las
herramientas y la gua o pasos que se beben tomar en el acontecimiento de un delito
informtico, no se encuentran adecuadamente definidos, nuestra labor es proponer
herramientas (software libre) y equipos ptimos que ayuden a la Polica a realizar
actividades vlidas y certeras con la finalidad de obtener evidencias contundentes y
ser presentadas en la corte.

La investigacin de cada una de las herramientas que se presentaran estn basadas en

la siguiente clasificacin 21 orientada a la informtica forense:

1) Herramientas para recoleccin de evidencias.

2) Herramientas para el Monitoreo y/o Control de Computadores.
3) Herramientas de Marcado de documentos.
4) Herramientas de Hardware.

1) Herramientas para recoleccin de evidencias: Existen una gran cantidad de

herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace
necesario debido a:


21

LPEZ scar, INFORMTICA FORENSE: GENERALIDADES, ASPECTOS TCNICOS Y

HERRAMIENTAS.

95

Informtica Forense




La gran cantidad de datos que pueden estar almacenados en un computador.

La variedad de formatos de archivos, los cuales pueden variar enormemente,

an

dentro del contexto de un mismo sistema operativo.

La necesidad de recopilar la informacin de una manera exacta, y que permita

verificar que la copia es exacta.

Limitaciones de tiempo para analizar toda la informacin.

Facilidad para borrar archivos de computadores.

Mecanismos de encripcin, o de contraseas.

2) Herramientas para el Monitoreo y/o Control de Computadores

Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto
existen herramientas que monitorean el uso de las mismas, para poder recolectar
informacin. Existen algunos programas simples como key loggers o recolectores de
pulsaciones del teclado, que guardan informacin sobre las teclas que son
presionadas, hasta otros que guardan imgenes de la pantalla que ve el usuario del
computador, o hasta casos donde la mquina es controlada remotamente.

3) Herramientas de Marcado de documentos

Un aspecto interesante es el de marcado de documentos; en los casos de robo de
informacin, es posible, mediante el uso de herramientas, marcar software para poder
detectarlo fcilmente.
La seguridad est centrada en la prevencin de ataques. Algunos sitios que manejan
informacin confidencial o sensitiva, tienen mecanismos para validar el ingreso,
pero, debido a que no existe nada como un sitio 100% seguro, se debe estar
preparado para cualquier tipo de incidentes.

4) Herramientas de Hardware

96

Informtica Forense




Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe

modificar la informacin se han diseado varias herramientas para ello.

5.2
Costos de equipos y software para la aplicacin de la Informtica
Forense

Las herramientas que se presentan sern evaluadas segn los siguientes factores:
x

Software libre.

Rendimiento y desempeo. Por medio de una evaluacin = alta, media, baja.

Costos.

Confiabilidad ante la recuperacin de evidencias.

Para la puesta en marcha en el manejo de evidencias digitales del Departamento de

Delitos Informticos de la Polica Nacional, el forense o los forenses informticos
asignados a esta rea, pueden apoyarse en determinadas herramientas que adems de
automatizar tareas, tambin le ayudaran a secuenciar sus pasos y a documentar cada
uno de ellos.

As, segn la realidad del Departamento y las leyes vigentes en el pas en base a la
gua que se ha planteado para la Polica Nacional, se presenta mediante un cuadro
comparativo y evaluado, las herramientas que poseen ms cualidades que otras y son
ms recomendables.

97

The Coroners
Toolkit

Herramienta

Libre

Costo

Informtica Forense

98

Descargas: http://www.fish.com/tct/, o desde http://www.porcupine.org/forensics.

.-Se ejecutada cuando la evidencia encontrada, posee un Sistema Operativo (Linux)

- mactime - El programa para visualizar los ficheros/directorios su timestamp MAC

(Modification, Access, y Change).

- unrm y lazarus - Herramientas para la recuperacin de archivos borrados (logs, RAM, swap,
etc.). Estas aplicaciones identifican y recuperan la informacin oculta en los sectores del
disco duro.

- grave-robber - Una utilidad para capturar informacin sobre i-nodes, para ser procesada por
el programa mactime del mismo toolkit.

Aplicaciones importantes:

.- Contiene varias herramientas importantes para el anlisis forense.

.- El funcionamiento de este software se basa principalmente en la recogida de grandes

cantidades de datos para proceder a su anlisis posterior. Algunos de sus componentes son la
herramienta 'ladrn de tumbas' (que captura informacin), los programas para detectar
archivos 'muertos' o 'vivos', as como 'lzaro', que restaura archivos borrados, y otra
herramienta que restaura claves criptogrficas desde un proceso activo o desde algn archivo.

.- Esta coleccin de programas sirve para realizar una 'autopsia' sobre sistemas UNIX despus
de que han 'muerto' completamente.

Caractersticas

RedHat Linux

SUN Solaris

FreeBSD 2-4.*,
OpenBSD 2.*, BSD/OS
2-3.*, SunOS 4-5.* y
Linux 2.*.

Plataforma en las que

trabajan

Media

Evaluacin

Mac-robber

The Sleuth Kit y

Autopsy

Libre

Libre

Informtica Forense

99

.- Requiere que el sistema de ficheros est montado por el sistema operativo, a diferencia de
otras herramientas como el Sleuth Kit que procesan el sistema de ficheros ellos mismos. Por
lo tanto, mac-robber no recopila datos de ficheros eliminados o ficheros que estn ocultos.

.- Est basado en grave-robber (contenido en TCT) explicado anteriormente.

.- Los datos obtenidos pueden ser utilizados por la herramienta mactime, contenida en el
Sleuth Kit, para elaborar una lnea temporal de actividad de los ficheros.

.- Recopila informacin de ficheros localizados en un sistema de ficheros montado

(mounted).

Descargas: http://www.sleuthkit.org/autopsy/download.php

.-Se ejecutada cuando la evidencia encontrada, posee un Sistema Operativo (Windows/Linux)

.- Utiliza interfaz grafica que facilita notablemente el trabajo.

.-Es una coleccin de herramientas.

.-Permite crear notas del investigador e incluso genera informes y muchas tareas.

.-Permite buscar datos dentro de las imgenes por palabras clave,

.- Genera la lnea temporal de actividad de los archivos (timestamp).

.- Permite el acceso a estructuras de archivos y directorios de bajo nivel y eliminados

.- Muestra el detalle de informacin sobre datos eliminados y estructuras del sistema de

ficheros.

.- Analiza discos y sistema de archivos (NTFS, FAT, UFS1/2, Ext2/3).

.- Es una interfaz grafica que trabaja en conjunto con la herramienta the sleuth kit utilizada
para el anlisis forense.

Linux

Unix/Linux, Windows

Bajo

Alto

Foremost

Foundstone
Forensic Toolkit

GPL
(proyecto
abierto al
pblico)

Comercial

Informtica Forense

100

.- Las cabeceras pueden especificarse a travs de su archivo de configuracin, por lo que se

puede especificar bsquedas para formatos especficos.

.- Puede trabajar sobre archivos de imgenes, como los generados con dd, Safeback, Encase,
etc. o directamente sobre un disco o particin.

.- Recupera ficheros basndose en sus cabeceras.

Descarga: www.foundstone.com

-Forensic Toolkit: Es una suite de herramientas para el anlisis de las propiedades de ficheros
Examina los ficheros de un disco en busca de actividad no autorizada y los lista por su ltima
fecha de acceso, permitiendo realizar bsquedas en franjas horarias, bsqueda de archivos
eliminados, etc. (open source)

-Vision: Lista todas los puertos TCP y UDP en escucha (abiertos) y los mapea a las
aplicaciones o procesos que se encuentran detrs.

-Rifiuti: Examina el contenido del fichero INFO2 de la papelera de reciclaje de Windows.

-Galleta: Examina el contenido del fichero de cookies de IE.

-Pasco: Herramienta para analizar la actividad realizada con el navegador web Internet
Explorer de MS .

Herramientas que forman parte:

.- Modificar los tiempos de acceso a directorios que estn montados con permisos de
escritura.

Linux

Windows

Bajo

Alto

Helix/FIRE

Libre

Informtica Forense

101

.- Tiene una configuracin autorun para Windows con herramientas para este SO.
Descarga: http://www.e-fense.com/helix/

.- HELIX est pensado especficamente para no realizar ningn tipo de alteracin sobre los
sistemas en los que se usa.

.- Tiene una excelente deteccin de hardware.

.- Permite elegir entre usar los kernels (2.4.26 o 2.6.5).

.- Su documentacin no es amplia.

.- Contiene ms y nuevas versiones de SleuthKit y Autopsy.

.- Es muy bueno para el anlisis de equipos muertos, sin que se modifiquen las evidencias
pues montar los discos que encuentre en el sistema en modo slo lectura.

.-No realiza el montaje de particiones swap, ninguna otra operacin sobre el disco duro del
equipo sobre el que se arranque.

.- En el entorno Linux, dispone de un Sistema Operativo completo, con un ncleo

modificado para conseguir una excelente deteccin de hardware.

.- Para MS Windows posee un conjunto de herramientas de 90 Mb, permitiendo trabajar con

sistemas vivos, y recuperar informacin voltil.

.- Posee una variedad de herramientas para realizar un anlisis forense tanto a equipos como
imgenes de discos.

.- Live CD.

.-HELIX est basada en KNOPPIX.

Windows, Solaris, Linux

Alto y
recomendable

F.I.R.E (Forensic
and Incident
Response
Environment)

Libre

Informtica Forense

102

Descarga: http://fire.dmzs.com/?section=main o http://biatchux.dmzs.com.

x Nessus, nmap, whisker, hping2, hunt, fragrouter.

x Ethereal, Snort, tcpdump, ettercap, dsniff, airsnort.
x Chkrootkit, F-Port
x TCT, Autopsy.
x Testdisk, fdisk, gpart.
x SSH (cliente y servidor), VNC (cliente y servidor)
x Mozilla, ircII, mc, Perl, biew, fenris, pgp.
Todos estos programas sern comentados brevemente, en el glosario.

.- F.I.R.E posee las siguientes herramientas:

.- Recupera datos de particiones daadas.

.- No realiza ninguna modificacin sobre los equipos en los que se ejecute, por lo que puede
ser utilizado con seguridad

.- Posee una interfaz grafica que hace fcil su uso.

.- Herramientas compiladas estticamente sin necesidad de realizar un reboot de la mquina.

.- Es usable para anlisis en caliente de sistemas, con lo que nicamente montando el CD se

puede usar.

.- Contiene gran cantidad de herramientas de anlisis forense.

.- Respuesta ante incidentes, recuperacin de datos, ataque de virus.

.- Es una distribucin de un nico cdrom, portable y bootable Live CD. Provee herramientas
adecuadas para una actuacin rpida en casos de anlisis forense.

Windows, Solaris y
Freeware

Alto y
recomendable

Libre

Libre
proyecto
abierto al
publico

Libre

BackTrack

FLAG (Forensic
and Log Analysis
GUI)

E-ROL

Informtica Forense

103

.- Registra una media de ms de 350 entradas diarias a su pgina web.

Windows.

duro, unidades ZIP y disquetes, en todos los sistemas operativos de la familia Microsoft

.- Permite a los usuarios recuperar los archivos que hayan sido borrados de unidades de disco

.- Es una aplicacin on-line segura y de fcil manejo.

.- pyFlag es la implementacin (empleada actualmente) en Python. Es una revisin/reescritura

completa de FLAG, ms potente, verstil y robusta.

.- Est basado en web, por lo que puede instalarse en un servidor donde se centralice toda la
informacin de los anlisis, de forma que puede ser consultada por todo el equipo forense.

.- Simplificar el proceso de anlisis de ficheros de log en investigaciones forenses.

.- Los programas que trae este software ya vienen todos configurados y listos para ser
usados, por lo que no se debe emplear tiempo en buscarlos e instalarlos.

.- La versin 2 (recin publicada) utiliza un kernel 2.6.20 con varios parches e incluye soporte
para tarjetas inalmbricas.

.- Posee 300 herramientas de todo tipo (sniffers, exploits, auditora wireless, anlisis forense,
etc) perfectamente organizadas.

.- Se presenta como un LiveCD (no requiere de instalacin)

.- Ocupa el puesto 32 en el famoso rnking de Insecure.org.

.- Es una de las ms conocidas y apreciadas distribuciones GNU/Linux

Windows

Linux

GNU/Linux

Bajo

Bajo

Alto y
recomendable

Ilook

Stellar Phoenix

Libre

Informtica Forense

104

.- Recupera datos corruptos en disquetes, CD, dispositivos usb o el propio disco local.

.- Asiste al investigador a buscar detalles especficos.

.- Recupera todos los datos incluido los de archivos borrados.

.- Basado en Linux.

.- Analiza funciones has.

.- Identifica y soporta varios sistemas archivos.

.- Recupera datos incluso los borrados.

errores.

.- Repara Archivos extrae las informaciones contenidas en el y crea un nuevo archivo sin

Access, Excel, PowerPoint y Word) corrompidos o no accesibles.

.- Rreparar y restablece archivos Zip y archivo en formato Microsoft Office (archivos de

.- El software soporta los archivos de sistema FAT, NTFS

infeccin de virus, de una repentina cada del sistema o por un desperfecto de software.

del cesto de Windows datos anulados o perdidos a causa del formateo del disco duro, de una

.- Recuperar Archivos Programa de recuperacin de archivos anulados: es capaz de recuperar

gama de sistemas operativos y archivos de sistema.

.- Software de Recuperacin de Datos se encuentra disponible para ser utilizado en una vasta

WinXP / Server 2003

Linux, Wink2k

Server e Windows XP.

2000, Windows 2003

Windows NT, Windows

98, Windows ME,

Windows 95, Windows

Media

Media

Encase

Bad copy

.- No es multiplataforma.

$ 2495

105

Tabla comparativa 5.2 Herramientas para la Informtica Forense

http://guidancesoftware.com

.- Encase posee una variedad de funciones que se requiere de otro documento para explicar
cada una de ellas.

.- Muy usada en EEUU por el FBI.

.- Los formatos de archivos con extensin .cda contenidos en CD para equipos de msica no
son bien reconocidos por EnCase.

.- Software lder en el mercado y de mayor uso en el campo de anlisis forense.

recuperarlos, en todo o en parte, en el directorio que se especifique.

originales; puede leer el contenido de archivos corruptos y en la mayora de los casos

.-Utiliza un sistema inteligente de recuperacin de datos y disco, para el contenido de ficheros

etc.

.-Recuperar todo tipo de archivos, como por ejemplo documentos, imgenes, aplicaciones,

Sector
privado

Comercial

$50

Comercial

Informtica Forense

Windows

Win95/98/NT/ME/2000/
XP

Medio

Medio

Informtica Forense




5.2.1 Toolkit para el Departamento de Delitos Informticos de la Polica Nacional

Dejando aparte el software comercial, en el que se puede encontrar herramientas

especficas como EnCase de la empresa Guidance Software, considerado un estndar
en el anlisis forense de sistemas pero no indispensable, nos centramos en
herramientas de cdigo abierto (Open Source) muchos de estos

poseen una

coleccin de herramientas en un solo software (toolkit) que pueden ser descargadas

libremente desde las pginas de sus correspondientes autores o miembros del
proyecto y que cumplen similar funcionalidad a las herramientas que son
comerciales. A ms de ello Linux es un entorno ideal en el cual realizar tareas de
anlisis forense permite proveer de una gran variedad de herramientas que facilitan
todas las etapas que se deben llevar a cabo en la realizacin de un anlisis exhaustivo
de un sistema comprometido.

Mediante el cuadro anterior las herramientas que son claramente ms recomendables

y utilizadas; en el toolkit para el Departamento de Delitos Informticos en la Polica
Nacional son:
x TCT es una herramienta de cdigo abierto, es decir no requiere la obtencin
de licencia tiene una evaluacin media.
x Forensic Toolkit forma parte de la organizacion Foundstone, la misma esta
orientada a plataformas Windows.
x The Sleuth Kit y Autopsy es una herramienta altamente recomendable
debido las funciones que posee, es gratuita y multiplataforma. Las
metodologas que se debe seguir al usar esta herramienta se adjunta en
[Anexo E].
x Otra de las herramientas recomendables pero posee una limitante es
BackTrack, ya que solo funciona en Sistema Operativo Linux, pero tiene un
alto rendimiento.

106

Informtica Forense




x La siguiente herramienta es E-ROL se le considera con una evaluacin baja

debido a que carece de las funciones que poseen las herramientas antes
mencionadas,

pero puede

ser de utilidad, al enfrentarse con entornos

Windows para tomar indicios del ataque.

Uno de los elementos ms importantes que un informtico forense debe emplear al

momento de recaudar evidencia digital, son los conocidos Live CDs o DVDs, que
son una coleccin de herramientas, que permiten realizar un examen forense de
imgenes sin tener que dedicar un equipo especfico para ello y sin necesidad de
cargar otro sistema operativo. Entre los ms recomendables ellos tenemos:
x Helix posee una evaluacin alta, contiene un sin nmero de herramientas,
entre una de ellas el Autopsy, es multiplataforma, y open source.
x F.I.R.E (Forensic and Incident Response Environment), este Live CD, es
altamente recomendable. Si Helix contiene ha Autopsy, F.I.R.E. contiene a
las herramientas TCT y Autopsy a ms de un sin nmero de herramientas,
tiles para la recoleccin de evidencias, es multiplataforma y gratuito.

Clasificacin

Herramientas para recoleccin de evidencias

x TCT (Linux).
x Forensic Toolkit (Windows).
x The Sleuth Kit y Autopsy (Unix/Linux, Windows).
x BackTrack ( Linux).
x E-ROL (Windows).
x Helix (Windows, Solaris, Linux).
x F.I.R.E (Windows, Solaris y Freeware).

107

Informtica Forense




Herramientas para el Monitoreo y/o Control de Computadores.

Honeypot

Es un software o conjunto de computadores cuya intencin es atraer a crackers o

spammers, simulando ser sistemas vulnerables o dbiles a los ataques, permite
recoger informacin sobre los atacantes y sus tcnicas, los mismos pueden distraer a
los atacantes de las mquinas ms importantes del sistema, y advertir rpidamente al
administrador del sistema de un ataque, adems de permitir un examen en
profundidad del atacante, durante y despus del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no
existentes en la realidad y se les conoce como honeypots de baja interaccin y son
usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan
sobre sistemas operativos reales y son capaces de reunir mucha ms informacin; sus
fines suelen ser de investigacin y se los conoce como honeypots de alta interaccin.
Tambin se llama honeypot a un website o sala de chat, que se ha creado para
descubrir a otro tipo de usuarios con intenciones criminales.

KeyLogger

Es una herramienta que puede ser til cuando se quiere comprobar actividad
sospechosa; guarda los eventos generados por el teclado, es decir, cuando el usuario
teclea la tecla de 'enter', esto es guardado en un archivo o es enviado por e-mail.
Existen dos versiones: la registrada y la de demostracin. La principal diferencia es
que en la versin registrada se permite correr el programa en modo escondido. Esto
significa que el usuario de la mquina no notar que sus acciones estn siendo
registradas.

108

Informtica Forense



5.2.2 Entornos de Trabajo Forense sobre computacin virtual para la Polica Nacional

Una de las propuestas, que es sumamente interesante y factible para la Polica

Nacional es implementar una arquitectura conformada por servidores virtuales que
proveen servicios informticos al personal designado al laboratorio el Departamento
de Delitos Informticos de la Polica Nacional.

La labor pericial demanda el uso de distintos Sistemas Operativos (Windows, Linux,

Solaris, etc.) como plataforma de ejecucin de aplicaciones forenses. Para ello se
puede implementar puestos de trabajo con mquinas virtuales, facilitando a los
investigadores la utilizacin de un mayor nmero de recursos de software en forma
simultnea.

La virtualizacin se refiere a una capa de abstraccin que separa el hardware del

sistema operativo, optimizando y flexibilizando de esta manera la utilizacin de los
recursos computacionales. Permite que mltiples mquinas virtuales con sistemas
operativos heterogneos puedan funcionar simultneamente en la misma
computadora. Cada mquina virtual tiene asignado un conjunto propio de recursos de
hardware sobre el que pueden funcionar diferentes aplicaciones. La virtualizacin
brinda la posibilidad de mejorar la infraestructura informtica en cuanto a
escalabilidad, seguridad y una variedad de modalidades en la administracin de
servidores.

Los beneficios de la virtualizacin pueden ser apreciados sobre tres aspectos de alto
impacto para la administracin de sistemas:
x Particionamiento (permite que mltiples aplicaciones y sistemas operativos
puedan compartir el mismo hardware).

109

Informtica Forense




x Aislamiento de componentes (si una mquina virtual falla esta situacin no

afecta al funcionamiento de las restantes).
x Encapsulacin(permite que una mquina virtual pueda almacenarse en un
simple archivo facilitando el backup de la misma, la copia, o el traslado).\

Virtualizacion en el Departamento de Delitos Informticos

En los puestos de trabajo del laboratorio pericial informtico se analiza la evidencia

digital utilizando aplicaciones forenses tales como EnCase, Autopsy, etc. Las
herramientas mencionadas no son multiplataforma. EnCase operan bajo Windows y
Autopsy bajo Linux, impidiendo utilizarlas al mismo tiempo en un mismo equipo.
Mediante la aplicacin de virtualizacin se pueden crear mquinas virtuales con
diferentes sistemas operativos y de esta manera lograr que aplicaciones que no son
multiplataforma operen en paralelo.

Por ello se propone, como tema de aplicacin en el laboratorio pericial informtico,

que cada puesto de trabajo utilice el software de virtualizacin VMware Server
como plataforma de operaciones, funcionando sobre el sistema operativo anfitrin
Windows XP. Se cuenta con una mquina virtual con sistema operativo Linux, sobre
la que es posible ejecutar las aplicaciones Autopsy entre otras.

Las ventajas de la virtualizacin son evidentes, ya que con esta plataforma de

operaciones es posible efectuar una adquisicin remota de un disco rgido mediante
una herramienta destinada para ello y luego abrir la imagen forense para efectuar
alguna operacin en particular con el software respectivo, ejecutando sobre el
sistema operativo anfitrin, sin necesidad de cambiar el entorno habitual de trabajo.

110

Informtica Forense




No se cree conveniente poseer clonar el dispositivo de almacenamiento original y

luego instalar esta copia en un hardware de laboratorio o incluso sobre la
computadora original Este procedimiento no es muy recomendado, ya que
usualmente se presentan problemas de incompatibilidad con el hardware cuando se
utiliza una computadora de laboratorio.

Con la aparicin de herramientas de virtualizacin como VMware se puede recrear el

entorno de trabajo del sospechoso. Debido a que actualmente ha surgido en el
mercado de informtica forense la herramienta comercial VFC , mediante la cual es
posible crear una maquina virtual ejecutable y luego inicializarla con VMware, de
esta manera se podr combinar con el software destinado a la recoleccin de la
evidencia digital.
En el mbito institucional del Ecuador es habitual contar con recursos financieros
mnimos para la adquisicin de tecnologa. Es por ello que se presenta la opcin de
trabajar con servidores virtuales aplicados a la informtica forense del Departamento
de Delitos Informticos de la Polica Nacional, de tal manera que se aproveche
eficientemente el equipamiento informtico y se deje atrs al Sistema Operativo
como un punto de inflexin para el aprovechamiento de recursos informticos en las
actividades periciales.

5.3

Perfil y capacitacin para los miembros de la Polica Nacional en

Informtica Forense

5.3.1 Perfil de un Informtico Forense

EL investigador forense para actuar correctamente ante la escena de un crimen debe

realizar un proceso formal, donde su conocimiento cientfico y tcnico debe ser

111

Informtica Forense




suficiente para generar indicios hacia el descubrimiento de evidencias y resolver un

caso.

Para actuar adecuadamente y de la mejor manera ante un proceso de anlisis forense,

cada miembro que forme parte del equipo de investigacin en el Departamento de
Delitos Informticos de la Polica Nacional se le debe asignar un rol determinado,
con funciones especficas, a continuacin se presentan los roles para cada tipo de
investigador que forma parte de este equipo:

Tcnicos en escenas del crimen informticas o First Responde

Las caractersticas del mismo:
x

Son los primeros en llegar a la escena del crimen.

Recolectan la evidencia.

Formacin bsica en el en el manejo de evidencia y documentacin.

Reconstruyen el delito.

Examinadores de evidencia digital o Informtica

x

Procesan la toda la evidencia digital obtenidas por los Tcnicos en Escenas

del Crimen Informticos.

Debern ser especializados en sistemas e informtica.

Investigadores de Delitos Informticos

x

Realizan la Investigacin y la reconstruccin de los hechos de los Delitos

Informticos de forma general.

Debern poseer un entrenamiento general en cuestiones de informtica

forense.

Debern ser profesionales en:

x

Seguridad Informtica.

Abogado.

112

Informtica Forense




Policas.

Examinadores Forenses.

Perito Informtico
Peritos son las personas que por disposicin legal y encargo Judicial o del Ministerio
Pblico aportan con sus conocimientos los datos necesarios para que el Juez, Fiscal o
la Polica Judicial adquieran conocimiento para determinar las circunstancias en que
se cometi una infraccin.

Las condiciones que debe reunir una persona para ser perito son:
a) Profesional, especializado y calificado por el Ministerio Pblico en un
respectivo campo y determinada materia.
b) Mayores de edad (18 aos).
c) Honradez, calidad moral de proceder ntegro y honrado en el obrar.
d) Deber ser totalmente imparcial.
e) Conocimientos especficos en la materia para cumplir su cometido.
La pericia intenta obtener un dictamen fundado en especiales conocimientos
cientficos, tcnicos, til para el descubrimiento o valoracin de un elemento de
prueba.

5.3.2 Capacitacin, Cursos y Certificaciones

Los investigadores forenses en informtica cuentan con conocimiento tcnicos
informticos, los mismos deben prepararse para desenvolverse en procedimientos
legales y tcnicamente vlidos con la finalidad de establecer evidencia en situaciones
donde se vulneran o comprometen sistemas, utilizando mtodos y procedimiento

113

Informtica Forense




cientficamente probados y claros, permitiendo establecer posibles hiptesis sobre el

hecho y contar con la evidencia requerida que fundamente dichas hiptesis.

Para ello la Polica Nacional deber constantemente capacitar al personal de esta

rea, ya que inevitablemente la tendencia de crecimiento, avances y alcance que tiene
la tecnologa es continua y con ello el aumento de nuevas tcnicas para cometer
ataques y perjudicar sistemas informticos tambin se desarrollan a la par. A mas de
ello para un adecuado manejo de evidencias cada personal que forme parte del
Departamento de Delitos Informticos, deber cumplir funciones especficas
dependiendo de su rea, de tal manera que el proceso de anlisis forense que se
aplique a la evidencia digital sea llevada de la mejor manera y la evidencia sea
contundente y clara en el proceso judicial.

A continuacin presentamos los tipos de cursos y entrenamiento que debern

aplicarse para el equipo del Departamento de Delitos Informticos. Estas son dos de
las asociaciones que han desarrollado programas de certificacin forenses en
informtica, que permiten detallar las habilidades requeridas y las capacidades
deseables en los investigadores informticos:
x

IACIS - International Association of Computer Investigative Specialist

(http://www.cops.org).

HTCN - High Technology Crime Netwok (http://www.htcn.org).

IACIS
Ofrece la certificacin internacional denominada CFEC (Computer Forensic External
Certification), diseada para personas que no pertenezcan a instituciones judiciales o
de polica. Costo de esta certificacin es de US $1250 con una duracin de cinco
meses, y se requiere de una forma de aplicacin con mltiples datos del aspirante, la
misma es evaluada por el comit de IACIS.

114

Informtica Forense




Si el aspirante es aceptado, se inicia el proceso de evaluacin el cual consiste en el

anlisis de seis diskettes especialmente preparados y un disco duro con una
disposicin especial. Cada uno de los diskettes establece un problema tcnico y
forense para el aplicante el cual debe resolver correctamente, documentar sus
hallazgos y presentar un reporte donde detalle sus anlisis. Al final del proceso, se
efecta un examen sobre el proceso y las conclusiones del investigador en cada uno
de los ejercicios, donde el mismo deber demostrar su competencia y claridad para el
desarrollo de las actividades forenses.

La certificacin CFEC, exige que los nuevos investigadores forenses en informtica

certificados posean experiencia y destreza en:
x

Identificacin y recoleccin de evidencia en medios magnticos.

Comprensin y prctica en procedimientos de revisin y anlisis forenses.

Comprensin y prctica de los estndares de tica que rigen las ciencias

forenses en informtica.

Comprensin de los aspectos legales y de privacidad asociados con la

adquisicin y revisin de medios magnticos.

Comprensin y prctica de mantenimiento de la cadena de custodia de la

evidencia cuando se realiza una investigacin.

Comprensin de los diferentes sistemas de archivos asociados con sistemas

operacionales, particularmente FAT de Microsoft.

Conducir de manera detallada recuperacin de datos de todas las porciones de

un disco.

Comprensin de como tener acceso a los archivos temporales, de cach, de

correo electrnico, de web, etc.

Comprensin de los aspectos bsicos de Internet.

Comprensin de tcnicas de rompimiento de contraseas.

Comprensin general de los temas relacionados con investigaciones forenses.

115

Informtica Forense




Mencionada certificacin es avalada y reconocida en diferentes tribunales y cortes

del mundo, debido a la seriedad y rigurosidad de proceso de certificacin, las
personas que obtienen esta certificacin requieren actualizarse permanente en las
nuevos procedimientos y formas para mejorar las tcnicas de seguimiento y anlisis,
permitiendo a los profesionales certificados que se encuentren actualizados y
capacitados para afrontar nuevas formas de anlisis forense en informtica.

HTCN
Ofrece diversas certificaciones en informtica

forense, de manera particular

comentamos sobre el certificado CCCI (Certified Computer Crime Investigador),

que tiende la enseanza de un nivel de educacin bsico y avanzado.
El propsito de esta certificacin es el desarrollar un alto nivel de profesionalismo y
entrenamiento continuo en investigaciones de crmenes de alta tecnologa en la
industria y las organizaciones. Costo de la certificacin es de US $250.
Existen dos tipos de niveles de certificaciones CCCI: nivel bsico y avanzado

CCCI Nivel bsico: para este nivel se requiere lo siguiente:

x

Dos aos de experiencia en investigaciones en cualquier disciplina o poseer

un grado de estudio superior.

Seis meses de experiencia investigativa directamente relacionada con la

disciplina en que busca certificarse.

Haber completado satisfactoriamente un curso de 40 horas sobre delitos

informticos o computacin forense provista por una agencia, organizacin o
empresa.

Demostrar de manera satisfactoria conocimiento tcnico en la disciplina de la

certificacin que se desee obtener, a travs de un examen escrito.

116

Informtica Forense




CCCI Nivel avanzado: para este nivel se requiere lo siguiente:

x

Dos aos de experiencia en investigaciones en cualquier disciplina o poseer

un grado de estudio superior.

Dos aos de experiencia investigativa directamente relacionada con

investigaciones de delitos informticos.

Haber completado satisfactoriamente un curso de 80 horas sobre delitos

informticos o computacin forense provista por una agencia, organizacin o
empresa.

Demostrar de manera satisfactoria conocimiento tcnico en la disciplina de la

certificacin que se desee obtener, a travs de un examen escrito.

La Polica Nacional debe tomar muy en cuenta que la labor que posee la
investigacin forense en informtica requiere de mucho entrenamiento y formacin,
no solamente en las especificaciones tcnicas sino tambin en procedimientos y
habilidades que permitan al profesional que se certifique, enfrentar la difcil tarea de
reconstruir escenarios, establecer y reconocer evidencia digital, procesar y analizar
datos para formular hiptesis que orienten la investigacin de un delito informtico ,
con el fin de descubrir y sustentar las causas y autores del mismo. Por ello el
planteamiento de estas certificaciones importantes a nivel de Informtica Forense.

117