Está en la página 1de 0

INTRODUCCIN A LA INFORMTICA FORENSE

Dr. Sant iago Acur io Del Pino 1


Introduccin a la Informtica Forense
Dr. Santiago Acurio Del Pi no
1
Introduccin a la Informtica Forense...................................................................................1
1.- INTRODUCCIN..............................................................................................................1
2.- LA INVESTIGACIN Y LA PRUEBA DE LOS DELITOS INFORMTICOS............................3
2.1.- HARDWARE O ELEMENTOS FSICOS ...........................................................................5
2.2.- INFORMACIN...........................................................................................................6
3.- LAS CIENCIAS FORENSES ..............................................................................................7
4.- LA INFORMTICA FORENSE ..........................................................................................7
5.- EVIDENCIA DIGITAL......................................................................................................8
5.1.- FUENTES DE LA EVIDENCIA DIGITAL .........................................................................9
5.3.- EVIDENCIA DIGITAL CONSTANTE Y VOLTIL ..........................................................10
5.4.- LA DINMICA DE LA EVIDENCIA .............................................................................11
6.- ROLES EN LA INVESTIGACIN.....................................................................................13
6.1.- PERITOS INFORMTICOS..........................................................................................14
7.- INCIDENTES DE SEGURIDAD ........................................................................................17
7.1.- AMENAZAS DELIBERADAS A LA SEGURIDAD DE LA INFORMACIN ...........................20
7.2.- ATAQUES PASIVOS ..................................................................................................22
7.3.- ATAQUES ACTIVOS..................................................................................................22
7.- PROCEDIMIENTO DE OPERACIONES ESTNDAR..........................................................25
8.- INVESTIGACIN EN LA ESCENA DEL DELITO. .............................................................26
8.1.- RECONSTRUCCIN DE LA ESCENA DEL DELITO........................................................28
9.- FASES DE LA INVESTIGACIN FORENSE. .....................................................................29
9.1.- RECOLECCIN.........................................................................................................29
9.2.- PRESERVACIN .......................................................................................................29
9.3.- FILTRADO................................................................................................................30
9.4.- PRESENTACIN........................................................................................................30
10.- EL DELITO INFORMTICO Y SU REALIDAD PROCESAL EN EL ECUADOR...................30
11. - BIBLIOGRAFA...........................................................................................................32
1.- Introduccin
Increblement e los del incuent es hoy est n ut il izando la
t ecnologa para facilit ar el comet imient o de infracciones y eludir a las
aut oridades. Est e hecho ha creado la necesidad de que t ant o la Polica
Judicial, el Minist er io Pblico y la Funcin Judicial deba especializar se
y capacit ar se en est as nuevas reas en donde las TICs
2
se conviert en en
herramient as necesar ias en auxilio de la Just icia y la persecucin de
del it o y el del incuent e.
Los hbit os de las personas han cambiado con el uso de las
TICs, t ambin las for mas en que los delincuent es act an y coment en sus
act os reprochables, es as que el acceso universal a las t ecnologas de l a
infor macin y la comunicacin brinda nuevas oport unidades para que
1
Coordi nador del Depart ament o I nf ormt i co del Mi ni st eri o Pbl i co de
Pi chi ncha, Pr of esor de l a Uni versi dad Cat l i ca del Ecuador.
sacuri o@hot mai l . com
2
Tecnol og as de l a I nf ormaci n y l a Comuni caci n
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 2
gent e inescrupulosa, delincuent es, por ngrafos infant iles, art istas del
engao, quienes realizan t oda clase de at aques cont ra la int imidad,
fraudes infor mt icos, cont ra el t rfico jur dico probat orio, que at acan a
la int egr idad de los sistemas comput acionales y de red a nivel mundial,
act en de for ma desmedida sin que los operadores de just icia puedan
hacer algo, ya que est os han quedado relegados en sus act uaciones por la
falt a de recur sos tecnolgicos y capacit acin a fin de l idiar con la
evidencia digit al pr esent e en t oda clase de infr acciones y especialment e
en los llamados Delit os Infor mt icos.
La comisin de infracciones infor mt icas es una de las causas
de preocupacin de los element os de segur idad de muchos pases en est e
moment o dado que las mismas han causado ingent es prdidas econmicas
especial ment e en el sect or comercial y bancario donde por ejemplo las
manipulaciones informt icas fraudulent as ganan ms t erreno cada vez
ms, se est ima que la prdida ocasionada por est e t ipo de conduct as
del incuenciales supera fci lment e los doscient os mi llones de dlares, a
lo que se suma la per dida de cr edibilidad y debilit amient o inst it ucional
que sufren las ent idades afect adas. Es por eso que en pases como
Est ados Unidos, Alemania o Inglat erra se han creado y desarrollado
t cnicas y herramient as infor mt icas a f in de lograr t ant o el
descubr imient o de los autores de dichas infracciones as como aseguran
la prueba de est as.
Una de est as herramient as es la infor mt ica Forense, cienci a
cr iminalst ica que sumada al i mpulso y ut ilizacin masiva de las
Tecnologas de la Infor macin y de la Comunicacin en t odos los
mbit os del quehacer del hombre, est adquir iendo una gran import ancia,
debido a la global izacin de la Sociedad de la Infor macin
3
. Pero a pesar
de est o est a ciencia no t iene un mt odo est andar izado, razn por la cual
su admisibi lidad dent ro de un proceso judicial podr a ser cuest ionada,
pero esto no debe ser un obst culo para dejar de lado est a import ant e
clase de herramient a, la cual debe ser manejada en base a r gidos
pr incipios cient ficos, nor mas legales y de procedimient o.
Es necesar io mencionar que son los operadores de just icia
t ant o como los profesionales de la infor mt ica, los llamados a combat ir
los delit os t ecnolgicos, ya que los pr imeros saben como piensa el
delincuent e y su modus operandi , mient r as los ot ros conocen el
funcionamient o de los equipos y las r edes infor mt icas. Unidos los dos
confor man la llave par a combat ir efect ivament e esta clase de
3
Es una soci edad en l a que l a cr eaci n, di st ri buci n y mani pul aci n de l a
i nf ormaci n f orman part e i mport ant e de l as act i vi dades cul t ural es y
econmi cas, es deci r es un est adi o del desar rol l o soci al car act eri zado por l a
capaci dad de l os ci udadanos, el sect or pbl i co y el empresari al par a
compart i r, generar , adqui ri r y procesar cual qui er cl ase de i nf ormaci n por
medi o de l as t ecnol og as de l a i nf ormaci n y l a comuni caci n, a f i n de
i ncr ement ar l a product i vi dad y compet i t i vi dad de sus mi embros, y as r educi r
l as di f erenci as soci al es exi st ent es cont ri buyendo a un mayor bi enest ar
col ect i vo e i ndi vi dual .
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 3
infracciones.
De lo expuest o se colige que es necesario cont ar dent ro de los
operadores de just icia con el personal capacit ado en est as reas par a
lidiar con est a clase de problemas surgidos de la mal ut ilizacin de la las
Tecnologas de la Comunicacin y la I nformacin.
La final idad del present e document o es br indar una mir ada
int roduct oria a la infor mt ica forense a fin de sent ar las bases de la
invest igacin cient fica en est a mat er ia, dndole paut as a los fut uros
invest igadores de cmo manejar una escena del delit o en donde se vean
involucr ados sist emas de infor macin o redes y las post er ior
recuperacin de la llamada evidencia digit al.
2.- La Investigacin y la Prueba de los Delitos
Informticos
La prueba dent ro del proceso penal es de especial import ancia,
ya que desde el la se confir ma o desvirt a una hipt esis o afir macin
precedent e, se llega a la posesin de la verdad mater ial. De est a maner a
se confirmar la exist encia de la infraccin y la responsabi lidad de
quienes apar ecen en un inicio como pr esunt os r esponsables, t odo esto
servir para que el Tribunal de Just icia alcance el conoci mient o
necesar io y r esuelva el asunt o somet ido a su conocimient o.
Por ejemplo en delit os como el fraude infor mt ico o la
falsi ficacin elect rnica, los medios de prueba
4
generalment e son de
carct er mater ial o document al, est o en razn de que est a clase de
infracciones son del t ipo ocupacional, (caract er st ica comn en la
mayor a de est as t ransgr esiones). Est o significa que la per sona o
personas que comet en est a var iedad de act os disvaliosos en un novent a
por cient o (90%) t rabajan dent ro de las inst it uciones afect adas; en
consecuencia la prueba de est os delit os se encuent ra gener alment e en los
equipos y programas infor mt icos, en los document os electrnicos, y en
los dems mensajes de dat os que ut ilizan e int er cambian est as personas
en su red de t rabajo. Sit uacin la cual hace indispensable que el
invest igador, cuent e con el conocimient o suficient e acerca del
funcionamient o de t oda clase de sist emas infor mt icos, as como una
slida for macin en cmput o forense y la capacidad para la administ rar
las evidencias e indicios de conviccin aptos para lograr una condena en
est a clase de infr acciones.
Adicionalment e, est as conduct as delict ivas, event os lesivos al
orden jur dico, si bien pueden ser solucionados en part e a t ravs de la
nor mat iva vigent e en el Ecuador como la Ley de Comercio Elect rnico y
Mensajes de Dat os y el Cdigo de Procedi mient o Penal, la part icular
4
Procedi mi ent o que est abl ece l a Ley para i ngresar un el ement o de pr ueba en
un proceso, por ej empl o l as f ormal i dades par a bri ndar t est i moni o, o el
cont eni do de un act a de reconoci mi ent o.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 4
nat uraleza de los medios empleados para su comisin y
fundament alment e la falt a de medios pr obat or ios apr opiados ( Gua de
Buenas pr ct icas en el manejo de evidencia digit al, soft ware y hardware
especializado, personal capacit ado), dificult a que se arr ibe a sent encias
condenat orias
5
.
Es necesar io par t ir del pr incipio de que la infor macin
const it uye un valor econmico con r elevancia jur dico- penal, por ser
posible objet o de conduct as delict ivas (acceso no aut orizado, sabot aje o
dao infor mt ico, espionaje infor mt ico, et c. ) y por ser inst rument o de
comisin, facilit acin, aseguramient o y calificacin de los ilcit os
t radicionales, llegando a ser un bien jur dico prot egido, suscept ible de
prot eccin legal propia y especfica del ordenamient o jurdico i mperant e.
Desde esa concepcin, se han de ident ificar, reconocer y legalizar los
procedimient os y herramient as tcnicas especializadas en est e t ipo de
infracciones para asegurar la prueba, otorgarle validez plena y
const it uir la en el fundament o par a la valoracin y decisin judicial,
sit uacin que como ya se sealo en l neas precedent es est relat ivament e
regulado por la Ley de Comer cio Electrnico, Fir mas Electrnicas y
Mensajes de Dat os y el pr opio Cdigo de Pr ocedimient o Penal vigent e en
nuest ro pas.
De lo expuest o es impor t ant e clarificar los concept os y
descr ibir la t er minologa adecuada que nos seale el rol que t iene un
sist ema infor mt ico dent r o del it er cri mi nis o camino del delit o. Esto a
fin de encaminar correct ament e el t ipo de invest igacin, la obt encin de
indicios y post er ior ment e los element os probat orios necesar ios par a
sost ener nuest r o caso. Es as que por ejemplo, el pr ocedimient o de una
invest igacin por homicidio que t enga relacin con evidencia digit al ser
tot alment e dist int o al que, se ut ilice en un fraude infor mt ico, por t ant o
el rol que cumpla el sist ema infor mt ico det erminar a donde debe ser
ubicada y como debe ser usada la evidencia.
Ahora bien par a est e propsit o se han cr eado cat egor as a fi n
de hacer una necesar ia dist incin ent r e el element o mat er ial de un
sist ema infor mt ico o hardwar e ( evidenci a elect rni ca) y la informacin
cont enida en est e (evidencia digital ). Est a dist incin es t il al moment o
5
Est e hecho se evi denci o dent r o de l a Audi enci a de Juzgami ent o que por el
del i t o de Fal si f i caci n I nf ormt i ca se si gui en el Cuart o Tri bunal Penal de
Pi chi ncha en donde y l uego de anal i zar l a t eor a del caso con t odos l os
part i ci pant es del proceso se l ogro pul i r una est rat egi a ef i caz par a di cha
Audi enci a, t omando en cuent a que l a car ga de l a prueba r ecae compl et ament e
en el Mi ni st eri o Pbl i co, di cho l o cual se mont o un escenari o de anl i si s
donde se exami naron l os i ndi ci os de convi cci n con l os cual es se sust ent o l a
acusaci n f i scal al i gual que el gr ado de par t i ci paci n y l a responsabi l i dad de
cada uno l os acusados en est e Jui ci o. La audi enci a se real i zo si n muchas
compl i caci ones per o se i mprovi so mucho, no se apl i co de f orma ri gurosa l os
pri nci pi os de l a I nf ormt i ca Forense en rel aci n a l a evi denci a di gi t al
encont rada, pero a pesar de est o al f i nal se demost r l a exi st enci a de l a
i nf racci n y l a responsabi l i dad de l os encausados l ogrando una sent enci a
condenat ori a.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 5
de disear los procedimient os adecuados para t rat ar cada t ipo de
evidencia y crear un paralelo ent re una escena fsica del cri men y una
digit al. En est e cont ext o el hardware se refier e a t odos los component es
fsicos de un sist ema infor mt ico, mient ras que la infor macin, se refier e
a t odos los dat os, mensajes de dat os y pr ogr amas almacenados y
t rasmit idos usando el sist ema infor mt ico.
2.1.- Hardware o Elementos Fsicos
SISTEMA INFORMTICO
HARDWARE (Element os Fsicos) Evidenci a Elect rni ca
El hardware es mercanca ilegal
o fr ut o del delit o.
El hardware es una mercanca
i legal cuando su posesin no
est aut orizada por la ley.
Ejemplo: en el caso de los
decodificadores de la seal de
t elevisin por cable, su
posesin es una violacin a los
derechos de propiedad
int elect ual y t ambin un del it o.
El hardware es frut o del delit o
cuando est e es obt enido
mediant e r obo, hur to, fr aude u
ot ra clase de infr accin.
El hardware es un inst rument o Es un inst rument o cuando el
hardware cumple un papel
import ant e en el comet imient o
del delit o, podemos decir que es
usada como un ar ma o
herramient a, t al como una
pist ola o un cuchillo. Un
ejemplo seran los snifers y
ot ros apar at os especialment e
diseados para capt urar el
t rfico en la red o int er cept ar
comunicaciones.
El hardware es evidencia En est e caso el hardware no
debe ni ser una mercanca
ilegal, frut o del delit o o un
inst r ument o. Es un element o
fsico que se const it uye como
prueba de la comisin de un
del it o. Por ejemplo el scanner
que se uso par a digit alizar una
imagen de pornografa infant il,
cuyas caract er st icas nicas son
usadas como element os de
conviccin
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 6
2.2.- Informacin
SISTEMA INFORMTICO
INFORMACIN Evidencia Digital
La infor macin es mer canca
ilegal o el frut o del delit o.
La infor macin es considerada
como mercanca i legal cuando su
posesin no est per mit ida por la
ley, por ejemplo en el caso de la
por nogr afa infant il. De ot ro lado
ser frut o del delit o cuando sea el
result ado de la comisin de una
infraccin, como por ejemplo las
copias pir at eadas de programas de
or denador, secr et os indust r iales
r obados.
La infor macin es un
inst r ument o
La infor macin es un inst rument o o
herramient a cuando es usada como
medio para comet er una infraccin
penal. Son por ejemplo los
programas de ordenador que se
ut ilizan par a romper las
seguridades de un sist ema
infor mt ico, sir ven para romper
cont raseas o para br indar acceso
no aut orizado. En definit iva juegan
un impor t ant e papel en el
comet imient o del del it o.
La infor macin es evidencia Est a es la cat egor a ms grande y
nut r ida de las ant er iores, muchas
de nuest ras acciones diarias dejan
un r ast r o digit al. Uno puede
conseguir mucha infor macin como
evidencia, por ejemplo la
infor macin de los I SPs, de los
bancos, y de las proveedoras de
servicios las cuales pueden revelar
act ividades part iculares de los
sospechosos
En resumen el propsit o fundament al de las cat egoras ant es
mencionadas es el de enfat izar el papel que juegan los sist emas
infor mt icos en la comisin de delit os, a fin de que el invest igador
cr iminal t enga un derrot ero claro y preciso al buscar los element os
conviccin que aseguren el xit o dent ro de un proceso penal. En est as
condiciones par a efect os probat orios son objet o de examen, t ant o el
hardware como la infor macin cont enida en este, para lo cual es
necesar io cont ar con el auxilio y el conocimiento que nos br inda la
ciencia infor mt ica, y en part icular de la Ciencia Forense Infor mt ica.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 7
3.- Las Ciencias Forenses
Las Ciencias Forenses son la ut i lizacin de procedi mient os y
conocimient os cient ficos para encont rar, adquirir, preser var y analizar
las evidencias de un delit o y present ar las apropiadament e a una Cort e de
Just icia. Las ciencias forenses t ienen que ver principal ment e con l a
recuperacin y anlisis de la llamada evidencia lat ent e, como por
ejemplo las huellas digit ales, la comparacin de muest ras de ADN, et c.
Las ciencias forenses combinan el conocimient o cient fico y las
diferent es t cnicas que est e proporciona con los presupuest os legales a
fin de demost rar con la evidencia recuper ada la existencia de la comisin
de un act o consider ado como delict ivo y sus posibles r esponsables ant e
un Tr ibunal de Just icia.
Las ciencias for enses han sido desarrolladas desde hace mucho
t iempo at rs. Uno de los pr imeros t ext os y est udios en est e campo los
podemos ubicar en el ao de 1248 DC, cuando el mdico chino HI DUAN
YU, escr ibi el libr o COMO CORREGIR LOS ERRORES, en el cual
se expl icaban las diferencias ent re una muert e por ahogamient o y ot ra
por una her ida de cuchillo al igual que la muert e por causas nat urales.
Post eriorment e con el avance de la cienci a y la t ecnologa, las
ciencias for enses han alcanzado un desar rollo inconmensurable, pero ese
desarrollo a veces no ha ido de la mano del avance de la legislacin
penal. Est o en r azn del r et r azo en la incorpor acin de nuevos element os
de pr ueba y medios pr obat or ios y sobr e todo en la demor a de la
admisibi lidad de nuevas evidencias o pruebas. Est e es el caso por
ejemplo de la prueba de ADN que fue admit ida en un juicio recin en el
ao de 1996, pero su desarrollo y comprensin se logr desde la dcada
de los ochent as.
Las ciencias forenses siempre est n en const ant e cambio,
siempre buscando nuevos mtodos y procesos para encont rar y fi jar las
evidencias de cualquier t ipo. Creando nuevos est ndares y polt icas. Son
ochocient os aos de exper iencia como discipl ina cient fica.
4.- La Informtica Forense
Es una ciencia forense que se ocupa de la ut ilizacin de los
mt odos cient ficos aplicables a la invest igacin de los delit os, no solo
Infor mt icos y donde se ut iliza el anlisis forense de las evidencias
digit ales, en fin t oda infor macin o dat os que se guardan en una
comput adora o sist ema infor mt ico
6
. En conclusin dir emos que
Infor mt ica Forense es la ci encia f orense que se encarga de l a
preservacin, identif icacin, extraccin, documentacin y interpretacin
de la evidencia digital, para luego sta ser presentada en una Corte de
Justi cia.
6
Si stema I nformti co: Es t odo di sposi t i vo f si co o l gi co ut i l i zado par a cr ear,
gener ar, envi ar, reci bi r, procesar, comuni car o al macenar , de cual qui er f orma,
mensaj es de dat os.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 8
La infor mt ica forense es el vehiculo idneo para localizar y
present ar de for ma adecuada los hechos jur dicos infor mt icos relevant es
dent ro de una invest igacin, ya sea de carct er civil o penal.
La ciencia forense es sist emt ica y se basa en hechos
premedit ados para recabar pruebas par a luego analizarlas. La t ecnologa,
en caso de la ident ificacin, recoleccin y anlisis forense en sist emas
infor mt icos, son aplicaciones que hacen un papel de suma i mpor t ancia
en recaudar la infor macin y los element os de conviccin necesar ios. La
escena del cr imen es el comput ador y la red a la cual st e est conect ado.
Hist ricament e la ciencia forense siempre ha basado su
exper iencia y su accionar en est ndares de prct ica y ent renamient o, a
fin de que las personas que part icipan o t rabajan en est e campo cient fico
t engan la suficient e probidad profesional y solvencia de conocimient os
para realizar un buen t rabajo en su rea de experiencia. Est a sit uacin
debe ser igual en le campo de la I nfor mt ica forense, es por t ant o
necesario que las personas encargadas de est e aspect o de la ciencia
forense t enga parmetros bsicos de act uacin, no solo en la incaut acin
y recoleccin de evidencias digit ales, sino t ambin en su procesamient o,
cumpliendo siempr e con los pr incipios del bsicos del debido pr oceso.
El objet ivo de la I nfor mt ica forense es el de r ecobrar los
r egist r os y mensajes de dat os exist ent es dent r o de un equipo infor mt ico,
de t al manera que t oda esa infor macin digit al, pueda ser usada como
prueba ant e un t ribunal.
De ot ro lado, est a ciencia forense necesit a de una
est andar izacin de procedimient os y de acciones a t omar, est o en razn
de las caract er st icas especficas que las infracciones infor mt icas
present an. Son ent onces est as propiedades que cont r ibuyen a la
existencia de una confusin t er minolgica y concept ual present e en t odos
los campos de la infor mt ica, especialment e en lo que dice relacin con
sus aspect os cr iminales.
5.- Evidencia Digital
En derecho procesal la evidencia
es la cert eza clara, manifiest a y t an
percept ible que nadie puede dudar de el la.
De otro lado la evidencia digit al es cualquier
mensaje de dat os almacenado y t rasmit ido
por medio de un Sistema de I nfor macin que
t enga relacin con el comet imient o de un
act o que compromet a gravement e di cho
sist ema y que post er ior ment e gui a los
invest igadores al descubr imient o de los
posibles infract ores. En definit iva son
campos magnt icos y pulsos elect r nicos
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 9
que pueden ser recogidos y anal izados usando t cnicas y herramient as
especiales
7
, no es ot ra for ma de EVIDENCIA LATENTE, necesit a para su
recoleccin y preser vacin pr incipios cient ficos y un marco legal
apr opiado.
Par a Miguel Lpez Delgado la evidencia digit al es el conjunt o
de dat os en for mato binar io, est o es comprende los archivos, su
cont enido o refer encias a st os (met adat os
8
) que se encuent ren en los
soport es fsicos o lgicos de un sist ema compr omet ido por un incident e
infor mt ico
9
.
5.1.- Fuentes de l a Evidencia Digi tal
Algunas per sonas t ienden a confundir los t r minos evidencia
digit al y evidencia electrnica, dichos t rminos pueden ser usados
indist int ament e como sinnimos, sin embar go es necesar io dist inguir
ent re aparat os electrnicos como los celular es y PDAs y la infor macin
digit al que est os cont engan. Est o es indispensable ya que el foco de
nuest ra invest igacin siempr e ser la evidencia digit al aunque en algunos
casos t ambin ser n los apar at os elect rnicos.
A f in de que los invest igador es for enses t engan una idea de
donde buscar evidencia digit al, st os deben ident ificar las fuent es ms
comunes de evidencia. Sit uacin que br indar al invest igador el mt odo
ms adecuando para su post er ior recoleccin y preservacin.
Las fuent es de evidencia digit al pueden ser clasificadas en t res
grande grupos:
1. SISTEMAS DE COMPUTACIN ABIERTOS, son
aquel los que est n compuest os de las llamadas
comput adores personales y t odos sus per ifr icos como
t eclados, rat ones y monit ores, las comput adoras
port t iles, y los ser vidores. Act ualment e est os
comput adores t iene la capacidad de guardar gr an
cant idad de infor macin dent r o de sus discos dur os, lo
que los conviert e en una gran fuent e de evidencia digit al.
2. SISTEMAS DE COMUNICACIN, est os est n
compuest os por las redes de t elecomunicaciones, l a
comunicacin inalmbr ica y el Int er net . Son t ambin una
gran fuent e de informacin y de evidencia digit al.
7
CASEY Eoghan, Handook of Comput er I nvest i gat i on, El sevi er Academi a
Pr ess, 2005
8
El t rmi no met a provi ene del gri ego y si gni f i ca j unt o a, despus, si gui ent e.
Los met adat os pueden ser def i ni dos como dat os sobre l os dat os. Son como
l as et i quet as de un pr oduct o, nos bri nda i nf ormaci n rel at i va a est e como, el
peso f echa de caduci dad, et c. Tecnol og as de l a I nf ormaci n a l a
comuni caci n ALONSO, Juan A. y ot r os, Edi t ori al ALFAOMEGA y RA-MA,
2005
9
LOPEZ DELGADO, Mi guel , Anl i si s Forense Di gi t al , Juni o del 2007,
CRI PORED.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 10
3. SISTEMAS CONVERGENTES DE COMPUTACIN,
son los que est n for mados por los t elfonos celular es
l lamados int el igent es o SMARTPHONES, los asist ent es
personales digit ales PDAs, las t arjet as int el igent es y
cualquier ot ro aparat o elect rnico que posea
convergencia digit al y que puede cont ener evidencia
digit al
10
.
Dada la ubicuidad de la evidencia digit al es r aro el delit o que
no est asociado a un mensaje de dat os guar dado y t r asmit ido por medios
infor mt icos. Un invest igador ent renado puede usar el cont enido de ese
mensaje de dat os para descubr ir la conduct a de un infract or, puede
t ambin hacer un per fi l de su act uacin, de sus act ividades individuales
y relacionar las con sus vict imas.
5.3.- Evidenci a Digi tal Constante y Vol til
En un principio el t ipo de evidencia digi t al que se buscaba en
los equipos infor mt icos era del t ipo CONSTANTE o PERSISTENTE es
decir la que se encont raba almacenada en un disco duro o en ot ro medio
infor mt ico y que se mant ena preservada despus de que la comput adora
era apagada. Post erior ment e y gracias a las redes de int erconexin, e l
invest igador forense se ve obl igado a buscar t ambin evidencia del t ipo
VOLTI L, es decir evidencia que se encuent ra alojada t emporalment e en
la memor ia RAM, o en el CACHE, son evidencias que por su nat uraleza
inest able se pierden cuando el comput ador es apagado. Est e t ipo de
evidencias deben ser recuperadas casi de inmediato.
De lo dicho se desprende que cuando se comet e un delit o
cualquier a, muchas veces la infor macin que dir ect a o indirect ament e se
relaciona con est a conduct a cr iminal queda almacenada en for ma digit al
dent ro de un Sist ema I nfor mt ico. Est e conjunt o de dat os ordenados
sist emt icament e y convert idos en informacin se conviert e en evidenci a
digit al. He aqu ent onces que encont ramos la pr imera dificult ad en lo que
se refier e a la obt encin de est a clase de evidencia como prueba de la
infraccin comet ida, est o debido a que los Sist emas I nfor mt icos en
donde se almacena la misma present an caract erst icas t cnicas propias,
en t al razn la infor macin ah almacenada no puede ser recuperada,
recolect ada, preservada, procesada y post er ior ment e present ada como
indicio de conviccin ut ilizando los medios cr imnalist icos comunes, se
debe ut ilizar mecanismos diferent es a los tradicionales. Es aqu que se
10
Se t rat a de una car act er st i ca que present a el act ual desar rol l o de l as
i nf raest r uct ur as de r ed y de l os di sposi t i vos t ermi nal es, que l es permi t e, pese
a su nat ur al eza di versa, t ransmi t i r y reci bi r, en esenci a, l a mi sma i nf ormaci n,
t odo el l o gi rando en t orno a l a di gi t al i zaci n de l os cont eni dos que se
t ransmi t en y conduci endo i nel udi bl ement e a una t ransf ormaci n de l a
act i vi dad econmi ca que desarr ol l aban en f orma separada l as empresas de
t el ecomuni caci ones, de i nf ormt i ca y de cont eni dos audi ovi sual es.
Ci berespaci o, Soci edad y Derecho, HERRERA BRAVO Rodol f o, en el Li bro
Derecho a l as Nuev as Tecnol og as, Edi t ori al La Rocca, 2007.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 11
ve la necesidad de ut ilizar los procedimientos t cnicos legales y la
r igurosidad cient fica que pone a disposicin de los invest igadores la
ciencia Forense I nfor mt ica a fin de descubr ir a los aut ores y cmplices
del delit o comet ido.
La falt a de infor macin especializada en est a rea de
invest igacin cient fica, la inexist ent e prct ica y ent renamient o en la
obt encin, recoleccin, document acin y post er ior anlisis e
int erpret acin de la evidencia digit al, pueden permit ir que se condene a
un inocent e y se deje libre a un culpable, sit uacin que es inadmisible en
un proceso penal, es por tant o necesarios que los operadores de just icia,
es decir el Minist er io Pblico, la Polica Nacional y la Funcin Judicial
debe est ar preparada para afront ar el r et o de capacit ar y ent renar al
per sonal necesar io par a que lidien de for ma pt ima no solo con los
Delit os Infor mt icos sino t ambin con ot ra clases de delit os,
aprovechando as las vent ajas de ut ilizar la I nfor mt ica Forense y la
Evidencia Digit al dent ro de los procesos penales.
5.4.- La Dinmica de la Evidencia
La di nmica de la evidencia es la for ma como se ent ienden y se
descr iben los diferent es fact ores (humanos, de la nat uraleza, de los
equipos) que act an sobre las evidencias, a fin de det er minar los cambios
que est os producen sobre ellas.
Podemos afirmar indudablement e que exist en muchos agent es
que int er vienen o act an sobre la evidencia digit al, aqu se aplica el
llamado pr incipio de int ercambio o de Locard
11
; el invest igador forense
se ve en la necesidad de reconocer la forma como est os fact ores pueden
alt erar la evidencia, y as t ener la oport unidad de manejarla de una
manera apropiada, evit ando generalment e cont aminar la, daar la y hast a
per der la por complet o.
Los pr incipios cr imnalist icos, como el de Locard o de
int er cambio y el mismisidad
12
deben t enerse como inst rument os de la
invest igacin en cualquier escena del cr imen inclusive la infor mt ica.
Est o se puede explicar por ejemplo en el caso de las bit coras o LOGS
del sist ema operat ivo de un equipo infor mt ico ut ilizado por un Hacker o
Cracker para romper las segur idades de un programa o vulnerar la
int egr idad de un Sist ema infor mt ico remot o. En dicha bit cora el
invest igador podr a encont rar regist rada dicha act ividad ilegal. Ese es
un ejemplo del principio de int ercambio en accin.
11
El pri nci pi o de i nt ercambi o de Locard, menci ona que cuando dos obj et os
ent ran en cont act o si empre exi st e una t r ansf erenci a de mat eri al ent re el uno y
el ot ro. Es deci r que cuando una per sona est en una escena del cr i men est a
dej a al go de si mi sma dent r o de l a escena, y a su vez cuando sal e de el l a
est a se l l eva al go consi go.
12
Una cosa es i gual a si mi sma y di f erent e de l as dems.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 12
Cuando en una escena del cri men se t iene que t rabajar en
condiciones adversas, como en incendios, inundaciones, derrames de
gasolina o qumicos peligrosos, es indispensable que el invest igador
tome las medidas de segur idad necesar ias para asegurar en pr imer lugar
su int egr idad fsica, luego deber implement ar el procedimient o ms
adecuado para increment ar las posibilidades de recuperar las evidencias
de la manera ms completa. De lo dicho podemos manifest ar que los
examinadores forenses nunca tendrn la oportunidad de revisar una
escena del cr imen en su est ado original, siempre habr algn fact or que
haga que la escena del cri men present e algunas anomal as o
discrepancias.
Con la finalidad de explicar como funciona la dinmica de las
evidencias, a cont inuacin se expondrn algunas de las posibles
sit uaciones en donde est a se ve afect ada dent ro de una escena del
cr imen:
1. EQUIPOS DE EMERGENCIAS: En el caso de un
incendio, los sist emas infor mt icos pueden ser afect ados
por el fuego y el humo, post er ior ment e somet idos a una
gran presin de agua al t rat ar de apagar est e. Est o
provoca que los t cnicos forenses no puedan det er minar
a ciencia ciert a si los sist emas infor mt i cos encont rados
en la escena est uvieron compromet idos, fueron at acados
o usados indebidament e. En ot r as ocasiones los equipos
de emergencia manipulan la escena cuando es necesar io
para salvar la vida de una persona.
2. PERSONAL DE CRIMINALSITICA: En algunas
ocasiones el per sonal de cr iminalsit ica por accident e
cambia, reubica, o alt era la evidencia. Por ejemplo en el
caso de que se quiera sacar una muest ra de sangre de una
got a precipit ada sobre un disquet e o disco compact o
mediant e el uso de un escarpelo, est o puede
accident alment e compromet er los dat os e infor macin
almacenada en dichos soport es.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 13
3. EL SOSPECHOSO O EL IMPUTADO TRATANDO DE
CUBRIR SUS RASTROS: Cuando el Sospechoso o el
imput ado deliberadament e borra o alt era los datos,
r egist r os u ot ros mensajes de dat os consider ados como
evidencia dentr o de un disco duro.
4. ACCIONES DE LA VCTIMA: La vict ima de un delit o,
puede borrar correos elect rnicos que le causen afl iccin
o le provoquen alguna situacin embarazosa.
5. TRANSFERENCIA SECUNDARIA: En algunas
ocasiones, los sist emas infor mt icos usados en el
comet imient o de un delit o, son usados post erior ment e
por alguna persona de for ma inocent e, causando con ello
la dest ruccin y alt eracin de evidencia.
6. TESTIGOS: Un administ rador del sist ema puede borrar
cuent as de usuar ios sospechosas, las mismas que fueron
creadas por un int ruso, a fin de prevenir su acceso y
ut ilizacin fut ura.
7. EL CLIMA Y LA NATURALEZA: Los campos
electromagnt icos pueden corromper la infor macin
guardada en discos magnt icos.
8. DESCOMPOSICIN: En algunos casos la informacin
almacenada en discos magnt icos, o en ot ros soport es
puede per der se o t or nar se ilegible par a los sist emas de
infor macin, a causa del t iempo y de las malas
condiciones de almacenamient o.
En resumen el invest igador forense debe ent ender como los
fact or es humanos, de la nat ur aleza y de l os pr opios equipos infor mt icos
pueden alt erar, borrar o dest ruir evidencia, debe comprender como dichas
var iables act an sobre la escena misma del delit o, debe por t ant o
encaminar la invest igacin desde su et apa ms t emprana t omando en
cuent a esos cambios, a fin de adecuar el mejor mt odo para adquir ir,
preser var y luego analizar las pist as obt enidas, y as r educir de maner a
consider able los posibles efect os de la dinmica de la evidencia.
6.- Roles en la Investigacin
La invest igacin cient fica de una escena del cri men es un
proceso for mal, donde el invest igador forense, document a y adquier e
t oda clase de evidencias, usa su conoci mient o cient fico y sus t cnicas
para ident ificar la y generar indicios suficient es para resolver un caso. Es
por t ant o necesario dejar en claro cuales son los roles y la part icipacin
que t iene ciert as per sonas dent ro de una escena del cr imen de car ct er
infor mt ico o digit al, est as personas son:
1. TCNICOS EN ESCENAS DEL CRIMEN INFORMTICAS,
t ambin l lamados FIRST RESPONDENDERS, son los pr imeros en
llegar a la escena del cr imen, son los encargados de recolect ar las
evidencias que ah se encuent ran. Tiene una formacin bsica en el
manejo de evidencia y document acin, al igual que en
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 14
reconst ruccin del delit o, y la localizacin de element os de
conviccin dent ro de la red.
2. EXAMINADORES DE EVIDENCIA DIGITAL O
INFORMTICA, que son los responsables de procesar t oda la
evidencia digit al o infor mt ica obt enida por los Tcnicos en
Escenas del Cri men Informt icos. Para est o dichas personas
requieren t ener un alt o grado de especializacin en el rea de
sist emas e infor mt ica.
3. INVESTIGADORES DE DELITOS INFORMTICOS, que son
los responsables de realizar la invest igacin y la reconst ruccin de
los hechos de los Delit os Infor mt icos de manera general, son
personas que t iene un ent renamient o general en cuest iones de
infor mt ica forense, son profesionales en Segur idad I nfor mt ica,
Abogados, Policas, y examinadores forenses.
6.1.- Peri tos Informticos
Por ot ro lado, se hace indispensable para la valoracin de las
pruebas o element os de conviccin la int ervencin de personas que
t engan especiales conocimient os en mat er ias especiales en est e caso de
la mater ia infor mt ica, personas que prest an un servicio especial al
Fiscal y al Juez al moment o ilust rar sobr e las mat er ias, t cnicas o ar t es
que son de su conocimient o, a fin de dichos funcionar ios en funcin de
dichas expl icaciones puedan emit ir su crit erio en el moment o adecuado
(Dict amen Fiscal o la Sent encia)
De acuerdo a lo que dispone el Art . 94 del Cdigo de
Procedimient o Penal, son perit os los prof esi onal es especi al izados en
dif erentes mat erias que hayan sido acredit ados como tales, previo
proceso de calif icacin del Ministerio Pblico.
Per it os son las per sonas que por disposicin legal y encargo
Judicial o del Minist er io Pblico apor tan con sus conocimient os los
dat os necesar ios par a que el Juez, el Fiscal o la Polica Judicia l
adquieran un grado de conocimient o par a det er minar las circunst ancias
en que se comet i una infraccin. La presencia e los per it os en una
diligencia es indispensable como lo manda el Ar t . 95 del Cdigo de
Procedimient o Penal, suscr ibir el act a y post er ior ment e llevar la a
conocimient o del Fiscal y el Juez como infor me per icial.
Las condiciones que deben reunir las per sonas para ser per it os
es:
a. Ser profesional especializado y calificado por el Minist er io
Pblico, poniendo a salvo un cr it er io, que es aquel de que no
necesariament e el perit o es un profesional en det erminada rama,
sino una per sona expert a o especializada en su r espect ivo campo
de det er minada mater ia. El Cdigo de Procedimient o Penal facult a
para que en ciert os casos de lugares donde se vaya a realizar una
dil igencia no exist an perit os habi lit ados, el Fiscal nombrar a
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 15
personas mayores de edad, de reconocida honr adez y probidad que
t engan conocimient os sobre la mat er ia que van a infor mar.
b. Mayores de edad, los per it os deben t ener la mayor a de edad que
en nuest ro pas se fi ja en 18 aos, porque a esa edad la persona ha
alcanzado la madurez psicolgica necesar ia para prest ar est a clase
de asesoramient o a la Administ racin de Just icia.
c. Reconocida honradez y probidad, en cuanto a la calidad moral del
per it o, de proceder rect o, nt egro y honr ado en el obrar, el per it o
es un per sonaje esencialment e i mparcial que cumple con su
comet ido y se desvincula del pr oceso.
d. Conocimientos especficos en la mat er ia sobre la que debe
infor mar, es decir los necesar ios y especficos conocimient os para
cumplir su comet ido.
La per icia es un medio de prueba especficament e mencionado
por la Ley procesal, con el cual se intenta obtener para el proceso, un
dictamen f undado en especial es conoci mientos cientf icos, tcnicos o
artsticos, til para el descubrimi ento o valoracin de un elemento de
prueba.
Un infor me per icial, sus conclusiones u obser vaciones no son
defi nit ivos ni concluyent es, la valor acin jur dica del i nfor me per icial
queda a crit erio del Fiscal, Juez penal o Tribunal penal, quienes pueden
acept ar lo o no con el debido sust ent o o mot ivacin.
Se fundament a en la necesidad de supl ir la falt a de
conocimient o del Juez o del Fiscal, porque una per sona no puede saber lo
todo, sobr e t odo en un mundo t an globalizado, donde las ciencias se han
mult iplicado y diversificado, as como los act os delict ivos.
El Per it o Infor mt ico For ense segn la opinin del Pr ofesor
Jeimy Cano
13
requier e la for macin de un per it o infor mt ico int egr al que
siendo especialist a en t emas de Tecnologas de infor macin, t ambin
debe ser for mado en las disciplinas jur dicas, cr iminalist icas y forenses.
En est e sent ido, el per fil que debe most rar el per it o infor mt ico es el de
un profesional hbrido que no le es indiferent e su rea de for macin
profesional y las ciencias jurdicas.
Con est o en ment e se podr a suger ir un conjunt o de asignat uras
y t emas ( bsicos) que no pueden perderse de vist a al for mar un per it o
infor mt ico general, el cual debe t ener por lo menos una for macin en:
13
CANO Jei my, Est ado del Ar t e del Per i t aj e I nf ormt i co en Lat i noamri ca.
ALFA- REDI , 2005
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 16
1. REA DE TECNOLOGAS DE INFORMACIN Y
ELECTRNICA:
Lenguajes de progr amacin
Teora de sist emas operacionales y sist emas de archivo
Protocolos e infraest ruct uras de comunicacin
Fundament os de cir cuir os elct r icos y elect rnicos
Arquit ect ura de Comput adores
2. FUNDAMENTO DE BASES DE DATOS REA DE
SEGURIDAD DE LA FORMACIN:
Pr incipios de Segur idad de la I nfor macin
Polt icas est ndares y procedimient os en Segur idad de la
Informacin
Anlisis de vulnerabilidades de seguridad infor mt ica
Anlisis y administ racin de r iesgos informt icos
Recuperacin y cont inuidad de negocio
Clasificacin de la infor macin
Tcnicas de Hacking y vulneracin de sist emas de
informacin
Mecanismos y t ecnologas de segur idad infor mt ica
Concient izacin en segur idad infor mt ica
3. REA JURDICA:
Teora General del Derecho
Formacin bsica en del it o infor mt ico
Formacin bsica en prot eccin de dat os y derechos de
aut or
For macin bsica en convergencia t ecnolgica
Formacin bsica en evidencias digi t al y pruebas
elect rnicas
Anlisis compar ado de legislaciones e iniciat ivas
int ernacionales
4. REA DE CRIMINALSTICA Y CIENCIAS
FORENSES:
Fundament os de conduct as criminales
Per files psicolgicos y t cnicos
Procedimient os de anl isis y valoracin de pruebas
Cadena de cust odia y cont rol de evidencias
Fundament os de Derecho Penal y Procesal
t ica y responsabil idades del Per it o
Met odologas de anlisis de dat os y present acin de
infor mes
5. REA DE INFORMTICA FORENSE:
Est er ilizacin de medios de almacenamient o magnt ico y
pt ico
Seleccin y ent renamient o en soft ware de r ecuperacin y
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 17
anl isis de dat os
Anlisis de regist ros de audit or ia y cont rol
Correlacin y anlisis de evidencias digit ales
Procedimient os de cont rol y aseguramient o de evidencias
digit ales
Ver ificacin y validacin de procedimient os aplicados en
la per icia forense.
Est ablecer un programa que cubr a las reas propuest as exige un
esfuerzo int erdisciplinar io y volunt ad polt ica t ant o del Minist er io
Pbl ico, del Est ado Ecuat oriano y de los Organismos Int ernacionales y
de la indust r ia par a iniciar la for macin de un profesional que eleve los
niveles de confiabilidad y for malidad exigidos par a que la just icia en un
ent orno digit al ofr ezca las garant as requer idas en los procesos donde la
evidencia digit al es la prot agonist a.
De lo dicho se colige que el PERI TO I NFORMTI CO cumple
un rol import ant e dent ro de una invest igacin penal. En resumen y
siguiendo al Profesor Jeimy J. Cano dir emos que el PERITAJE
INFORMTI CO nace como la respuest a nat ural de la evolucin de la
administ racin de just icia que busca avanzar y fort alecer sus est rat egias
para proveer los recur sos t cnicos, cient ficos y jur dicos que per mit an a
los oper ador es de just icia ( Funcin Judicial, Minist er io Pblico y Polica
Judicial), alcanzar la verdad y asegurar el debido pr oceso en un ambient e
de evidencias digit ales.
7.- Incidentes de Seguridad
Cuando se est a cargo de la Administ racin de Segur idad de
un Sist ema de Infor macin o una Red, se debe conocer y ent ender lo que
es la I nfor mt ica For ense, est o en razn de que cuando ocurre un
incident e de segur idad, es necesario que dicho incident e sea report ado y
document ado a fin de saber que es lo que ocurri. No import a que tipo de
event o haya sucedido, por ms pequeo e insignificant e que pueda ser
est e debe ser ver ificado. Esto es necesar io a fin de sealar la exist encia o
no de un r iesgo para el sist ema infor mt ico. Est t area es de aquel las que
es consider ada de r ut ina por los Administ r ador es de un Sist ema de
Infor macin, per o a pesar de eso, est a t area puede llevar a un
comput ador en especial dent ro de dicho sist ema. Es por t ant o necesar io
que los administ radores y el per sonal de segur idad deben conocer los
presupuest os bsicos del manejo de la evidencia digit al, a fin de que sus
acciones no daen la admisibil idad de dicha evidencia dent ro de un
Tr ibunal de Just icia, de igual for ma deben mostrar la habilidad suficient e
para recuperar t oda la infor macin referent e a un incident e de segur idad
a fin de proceder con su pot encial anlisis.
Un incident e infor mt ico en el pasado era considerado como
cualquier event o anmalo que pudiese afectar a la segur idad de la
infor macin, por ejemplo podr a ser una pr dida de disponibilidad, o
int egr idad o de la confidencialidad, et c. Pero la apar icin de nuevos
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 18
t ipos de incident es ha hecho que est e concept o haya ampl iado su
definicin. Act ualment e y cit ando a Miguel Lpez diremos que un
Incidente de Seguridad Informtica puede considerar se como una
violacin o int ent o de violacin de la pol t ica de seguridad, de la polt ica
de uso adecuado o de las buenas prct icas de ut ilizacin de los sist emas
infor mt icos
14
.
Es por t ant o necesar io a fin de compr ender mejor el t ema
sealar algunos concept os ut ilizados dent ro de la segur idad infor mt ica,
la cual es def inida como el conjunto de tcnicas y mtodos que se
utilizan para proteger tant o la inf ormacin como los equi pos
inf ormticos en donde esta se encuent ra almacenada ya sean estos
individual es o conectados a una red f rente a posibles ataques
premeditados y sucesos accident al es
15
.
La segur idad I nfor mt ica a su vez est dividida en seis
component es a saber:
SEGURIDAD FSICA: Es aquella que t iene relacin con la
prot eccin del comput ador mismo, vela por que las personas
que lo manipulan t engan la aut orizacin para ello,
proporciona t odas las indicaciones t cnicas para evit ar
cualquier t ipo de daos fsicos a los equipos infor mt icos.
SEGURIDAD DE DATOS: Es la que seal a los procedi mient os
necesar ios para evit ar el acceso no autorizado, per mit e
cont rolar el acceso remot o de la i nfor macin, en suma
prot ege la int egr idad de los sistemas de dat os.
BACK UP Y RECUPERACIN DE DATOS: Proporciona los
par met ros bsicos par a la ut ilizacin de sist emas de
recuperacin de dat os y Back Up de los sist emas
infor mt icos. Per mit e recuperar la infor macin necesar ia en
caso de que est a sufra daos o se pierda.
DISPONIBILIDAD DE LOS RECURSOS: Este cuart o component e
procura que los recursos y los dat os almacenados en el
sist ema puedan ser rpidament e accesados por la persona o
personas que lo requieren. Per mit e evaluar const ant ement e
los punt os cr t icos del sist ema par a as poder los cor regir de
manera inmediata.
SEGURIDAD NORMATIVA (POLTICA DE SEGURIDAD): Conjunt o
de nor mas y cr it er ios bsicos que det er minan lo relat ivo al
uso de los recur sos de una organizacin cualquiera. Se
der iva de los pr incipios de legalidad y segur idad jurdica, se
refiere a las nor mas jurdicas necesarias para la prevencin y
sancin de las posibles conduct as que puedan ir en cont r a de
la int egr idad y segur idad de los sist emas infor mt icos.
ANLISIS FORENSE: El Anlisis Forense surge como
14
LOPEZ DELGADO, Mi guel , Anl i si s Forense Di gi t al , Juni o del 2007,
CRI PORED.
15
El Aut or
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 19
consecuencia de la necesidad de invest igar los incident es de
Segur idad I nfor mt ica que se producen en las ent idades.
Persigue la ident ificacin del aut or y del mot ivo del at aque.
Igualment e, t rat a de hallar la maner a de evit ar at aques
similares en el fut uro y obt ener pruebas periciales.
En los lt imos aos se ha puest o de manifiest o una crecient e
masificacin del uso de Segur idad Infor mt ica en los ent ornos
empresar iales, pero a pesar de eso y dado que no existe nunca una
segur idad t ot al es decir los cont roles y polt icas que se est ablecen no
garant izan el cien por cient o de la seguri dad, mxi mo si consideramos lo
que algunos profesionales de la segur idad sealan como la existencia del
llamado r iesgo humano (HUMAN RISK
16
) t ant o de quienes elaboran las
polt icas y los cont r oles como t ambin quienes las t r ansgr eden. Es por
t ant o que una amenaza del iber ada a la segur idad de la infor macin o de
un ent orno infor mt ico (que se vern ms adelant e), es una condicin de
ese ent orno (una persona, una mquina, un suceso o idea) que, dada una
oportunidad, podr a dar lugar a que se suscit e un incident e de segur idad
(at aque cont ra la confidencialidad, int egr idad, disponibilidad o uso
legt imo de los recursos). Con est as consider aciones las inst it uciones
pblicas y pr ivadas deben implement ar la polt ica de segur idad que ms
les convenga a sus int er eses. De igual for ma cumplir con el anlisis de
riesgos del sist ema a fin de ident ificar con ant erioridad las amenazas
que han de ser cont rarrest adas, la necesidad de est o es vit al, ya que est ar
concient e de las amenazas y los riesgos de un sist ema y comprender las
complet ament e har que se aplique los procedimient os de segur idad
apropiados para cada caso.
La integr idad de un Sist ema de I nfor macin puede verse
afect ada por la exist encia de vulnerabilidades, en t al razn un buen
sist ema de segur idad infor mt ica seguido de la aplicacin de los
protocolos necesar ios ( nor mat ividad infor mt ica). Harn que la act ividad
pr oduct iva de una empr esa o su capit al de conocimient o no sean
afect ados por posibles int ent os de explot acin de dichas vulnerabil idades
( incident es de segur idad).
En definit iva par a que exist a una adecuada prot eccin a los
sist emas infor mt icos y t elemt icos se deben conjugar t ant o la segur idad
infor mt ica como la segur idad legal y as poder br indar una adecuada
prot eccin y t ut ela t ant o t cnica como normat iva.
Es import ant e por part e de la persona que realiza la
16
El ri esgo humano si empre debe consi derar se dent ro de un pl an de
seguri dad i nf ormt i ca, ya que si empre nos hemos de hacer l a pregunt a De
que nos prot egemos?, pues l a respuest a es nos pr ot egemos de l as per sonas.
Es deci r si empre exi st e un el ement o que al i ent a al ser humano a i r en cont ra
de l os at r i but os f unci onal es de un si st ema i nf ormt i co (l a conf i denci al i dad, l a
aut ent i caci n, el no repudi o, l a i nt egri dad, y el cont rol de acceso), l a ambi ci n
por el poder. Est e poder r esi de en l os dat os y en l a i nf ormaci n que se
encuent ra en l os act ual es si st emas de i nf ormaci n del mundo.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 20
implement acin t ant o de la Segur idad Infor mt ica (Tcnico en la
mater ia), como quien realiza la Polt ica de Segur idad, (Gerent e de
Segur idad y Abogado de la Empr esa). Que el diseo del sist ema debe
hacer se de manera int egral y conjunt a en orden a poder asegurar una
posible invest igacin en un ambient e Tcnico y Jur dico que de solucin
a posibles problemas de segur idad informt ica y prevencin de de
Delit os I nfor mt icos.
En conclusin es necesar io que t ant o los administ radores del
sistema y como los de segur idad en la red de una empresa, t engan e l
suficient e ent renamient o y habilidad en el uso de t cnicas forenses, est o
con la finalidad de que su act uacin en un incident e de segur idad cumpl a
con los est ndares de una invest igacin penal, ya que dicho incident e
puede ser el r esult ado del accionar delict ivo de una o var ias per sonas,
ent onces la invest igacin de ese hecho saldr de la empresa afect ada para
ent rar en el campo cr iminal, en donde la Polica Judicial y el Minist er io
Pbl ico la l levarn adelant e. Por t ant o es esencial que el i nvest igador
for ense que est envuelt o en la obt encin de la evidencia digit al
comprenda la nat uraleza de la infor macin, de su fr agilidad, y de la
facilidad que t iene en cont aminar se. Si est e se equivoca en la et apa
preliminar de la invest igacin en la cual se ident ifica y obt iene la
evidencia digit al, sus errores y fallas de procediendo harn que esa
evidencia se pierda o si mplement e sea excluida como prueba durant e el
proceso judicial.
7.1.- Amenazas deliberadas a la seguri dad de l a
informaci n
Las amenazas cada vez ms numerosas que ponen en peligr o a
nuestros dat os, nuestra int imidad, nuestros negocios y la propia I nt ernet
ha hecho que la comput acin sea una t area azarosa. Los riesgos
familiares, como los virus y el correo indeseado, ahora cuent an con la
compaa de amenazas ms insidiosas -desde el l lamado malwar e- , los
programas publicit ar ios, y de espionaje que infect an su PC a los ladr ones
de ident idad que at acan las bases de dat os import ant es de infor macin
personal y las pandil las de del incuencia organizada que merodean por el
espacio cibernt ico.
Los incident es de segur idad en un Sist ema de Infor macin
pueden caract er izarse modelando el sist ema como un flujo de mensajes
de dat os desde una fuent e, como por ejemplo un archivo o una regin de
la memor ia pr incipal, a un dest ino, como por ejemplo ot ro ar chivo o un
usuar io. Un incident e no es ms que la realizacin de una amenaza en
cont ra de los at r ibut os funcionales de un sist ema infor mt ico
17
.
17
Un si st ema i nf ormt i co debe t ener v ari os at r i but os f unci onal es que l o hacen
podr amos deci r r esi st ent e a una posi bl e amenaza o at aque. Es por eso que
para hacer f rent e a l os i nci dent es de segur i dad del si st ema se def i nen una
seri e de at ri but os f unci onal es para prot eger l os si st emas de pr ocesami ent o de
dat os y de t ransf erenci a de i nf ormaci n de una organi zaci n. Est os son
consi derados por vari os prof esi onal es de l a seguri dad i nf ormt i ca como
serv i ci os de un Si st ema I nf ormt i co, personal ment e l os consi dero no como
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 21
Las cuat ro cat egoras generales de incident es son las siguient es
INTERRUPCIN: un recurso del sist ema es dest ruido o se vuelve no
disponible. Est e es un at aque cont ra la disponibi lidad
18
. Ejemplos
de est e at aque son la dest ruccin de un element o hardwar e, como
un disco duro, cort ar una lnea de comunicacin o deshabilit ar el
sist ema de gest in de archivos, los at aques de denegacin de
servicios (DoD y DDoD)
INTERCEPCIN: una ent idad no aut orizada consigue acceso a un
recur so. Est e es un at aque cont ra la confidencialidad
19
. La
ent idad no aut orizada podr a ser una per sona, un programa o un
comput ador. Ejemplos de est e at aque son pinchar una lnea par a
hacer se con dat os que circulen por la red (ut ilizar un SNI FFER) y
la copia ilcit a de archivos o programas ( int ercepcin de dat os,
WI RETAPING), o bien la lectura de las cabecer as de paquet es
para desvelar la ident idad de uno o ms de los usuar ios
implicados en la comunicacin obser vada ilegalment e
( int ercepcin de ident idad).
MODIFICACIN: una ent idad no aut orizada no slo consigue acceder a
serv i ci os si no como cual i dades i nt r nsecas de l os si st emas i nf ormt i cos
act ual es, ya que si f ueran sol o servi ci os, se podr an suspender o qui t ar si n
ni ngn pr obl ema, pero l a real i dad es ot ra, su f al t a u omi si n causa mas de un
probl ema grave al si st ema al no t ener est os at ri but os. Est os son l a
conf i denci al i dad, l a aut ent i caci n, el no r epudi o, l a i nt egri dad, y el cont rol de
acceso.
18
La Di sponi bi l idad hace ref erenci a a que sol o l os usuari os aut ori zados,
pueden acceder a l a i nf ormaci n y a ot ros recur sos cuando l os necesi t en.
19
La Conf i denci ali dad se ref l ej a en l a ut i l i zaci n de i nf ormaci n y de l os
recur sos que sol ament e son r evel ados a l os usuari os ( per sonas, ent i dades y
procesos), qui enes est n aut ori zados a acceder a el l os.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 22
un recurso, sino que es capaz de manipularlo. Est e es un at aque
cont ra la int egr idad
20
. Ejemplos de est e ataque es el cambio de
valores en un archivo de dat os, alt erar un programa para que
funcione de for ma difer ent e y modif icar el cont enido de mensajes
que est n siendo t ransferidos por la red.
FABRICACIN: una ent idad no aut orizada insert a objet os falsificados
en el sist ema. Est e es un at aque cont ra la aut ent icidad. Ejemplos
de est e at aque son la insercin de mensajes espur ios en una red o
aadir regist r os a un ar chivo.
Est os at aques se pueden asimismo clasificar de for ma t il en
t rminos de at aques pasivos y at aques act ivos.
7.2.- Ataques pasi vos
En los ataques pasivos el atacant e no alt era la comunicacin,
sino que nicament e la escucha o monit or iza, para obt ener informacin
que est siendo t ransmit ida. Sus objet ivos son la int ercepcin de dat os y
el anlisis de trfico, una t cnica ms sut il para obt ener infor macin de
la comunicacin, que puede consist ir en:
Obtencin del origen y desti natario de la comunicacin, leyendo las
cabeceras de los paquet es monit or izados.
Control del vol umen de trfi co int ercambiado ent re las ent idades
monit or izadas, obt eniendo as infor macin acerca de act ividad o
inact ividad inusuales.
Control de l as horas habi tual es de int ercambio de dat os ent re las
ent idades de la comunicacin, para ext raer infor macin acerca de los
per odos de act ividad.
Los at aques pasivos son muy difciles de det ect ar, ya que no
provocan ninguna alt eracin de los datos. Sin embargo, es posible evit ar
su xit o mediant e el ci frado de la infor macin y ot ros mecanismos que se
vern ms adelant e.
7.3.- Ataques acti vos
Est os at aques implican algn t ipo de modif icacin del f lujo de
dat os t r ansmit ido o la cr eacin de un f also flujo de dat os, pudiendo
subdividir se en cuat ro cat egoras:
Suplantacin de i dentidad
21
: el int ruso se hace pasar por una ent idad
20
La I nt egri dad se ref l ej a en que l a i nf ormaci n y ot ros recur sos sol o pueden
ser modi f i cados sol o por aquel l os usuari os que t i ene derecho a el l o. La
exact i t ud y el det al l e de l os dat os y l a i nf ormaci n est t ambi n garant i zada.
21
PARASI TI SMO I NFORMTI CO (PI GGYBACKI NG) Y SUPLANTACI N DE
PERSONALI DAD ( I MPERSONATI ON), f i guras en que concur san a l a vez l os
del i t os de supl ant aci n de per sonas o nombres y el espi onaj e, ent re ot ros
del i t os. En est os casos, el del i ncuent e ut i l i za l a supl ant aci n de per sonas
para comet er ot ro del i t o i nf ormt i co. Par a el l o se pr eval e de art i maas y
engaos t endi ent es a obt ener, v a supl ant aci n, el acceso a l os si st emas o
cdi gos pri vados de ut i l i zaci n de ci ert os pr ogramas gener al ment e reserv ados
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 23
o usuar io diferent e. Nor malment e incluye alguna de las ot ras for mas
de at aque act ivo. Por ejemplo, secuencias de aut ent icacin pueden ser
capt uradas y repet idas, per mit iendo a una ent idad no autorizada
acceder a una ser ie de recursos pr ivi legiados suplant ando a la ent idad
que posee esos pr ivilegios, como al robar la cont rasea de acceso a
una cuent a.
Reactuaci n: uno o var ios mensajes legt imos son capt urados y
r epet idos par a pr oducir un efect o no deseado, como por ejemplo
ingr esar dinero repet idas veces en una cuent a dada.
Modificacin de mensajes: una porcin del mensaje legt imo es
alt erada, o los mensajes son ret ardados o reordenados, par a producir
un efect o no aut or izado. Por ejemplo, el mensaje I ngresa un milln
de dlares en la cuent a A podr a ser modificado para decir I ngresa
un mil ln de dlares en la cuent a B.
En cuant o a est o podemos hacer una referencia a los t ipos de
delit os infor mt icos que exist en act ualment e y que se refieren a est e t ipo
de conduct a que son los fraudes infor mt icos, a cont inuacin se det allan
est os t ipos de delit os:
LOS DATOS FALSOS O ENGAOSOS ( Data diddling) , conocido
t ambin como int r oduccin de dat os falsos, es una
manipulacin de dat os de ent rada al comput ador con el f in
de producir o lograr movimient os falsos en t ransacciones de
una empresa. Est e t ipo de fraude informt ico conocido
t ambin como manipulacin de datos de entrada, represent a
el delit o infor mt ico ms comn ya que es fcil de cometer y
dif cil de descubr ir . Est e delit o no r equier e de conocimient os
t cnicos de infor mt ica y puede realizar lo cualquier persona
que t enga acceso a las funciones nor males de procesamient o
de dat os en la fase de adquisicin de los mismos.
MANIPULACIN DE PROGRAMAS O LOS CABALLOS DE TROYA
(Troya Horses), Es muy difcil de descubr ir y a menudo pasa
inadvert ida debido a que el delincuent e debe t ener
conocimient os t cnicos concret os de informt ica. Est e delit o
consist e en modificar los programas exist ent es en el sist ema
de comput adoras o en insert ar nuevos programas o nuevas
rut inas. Un mt odo comn ut ilizado por las per sonas que
t ienen conocimient os especializados en programacin
infor mt ica es el denominado Caballo de Troya que consist e
en insert ar inst rucciones de comput adora de for ma
encubiert a en un programa infor mt ico para que pueda
realizar una funcin no aut orizada al mismo t iempo que su
funcin nor mal.
a per sonas en l as que se ha deposi t ado un ni v el de conf i anza i mport ant e en
razn de su capaci dad y posi ci n al i nt eri or de una organi zaci n o empresa
det ermi nada.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 24
LA TCNICA DEL SALAMI ( Salami Technique/Rounching
Down), Aprovecha las r epet iciones automt icas de los
procesos de cmput o. Es una t cnica especializada que se
denomina t cnica del salchichn en la que rodajas muy
finas apenas percept ibles, de t ransacciones financieras, se
van sacando repet idament e de una cuent a y se t ransfieren a
ot ra. Y consist e en int roducir al programa unas instrucciones
para que remit a a una det er minada cuent a los cnt imos de
dinero de muchas cuent as cor r ient es.
FALSIFICACIONES INFORMTICAS: Como objeto: Cuando se
alt eran dat os de los document os almacenados en for ma
comput ar izada. Como i nst rumentos: Las comput ador as
pueden ut ilizarse tambin para efectuar falsi ficaciones de
document os de uso comer cial. Cuando empez a disponer se
de fot ocopiador as comput ar izadas en color basndose en
rayos lser surgi una nueva generacin de falsificaciones o
alt eraciones fraudulent as. Est as fot ocopiadoras pueden hacer
reproducciones de alt a resolucin, pueden modificar
document os e incluso pueden cr ear document os falsos sin
t ener que r ecur r ir a un or iginal, y los document os que
producen son de t al calidad que slo un expert o puede
difer enciar los de los document os aut nt icos.
MANIPULACIN DE LOS DATOS DE SALIDA. - Se efect a fi jando
un objet ivo al funcionamient o del sist ema infor mt ico. El
ejemplo ms comn es el fraude de que se hace objeto a los
cajeros aut omt icos mediant e la falsi ficacin de
instrucciones para la comput adora en la fase de adquisicin
de dat os. Tradicionalment e esos fraudes se hacan basndose
en t ar jet as bancar ias robadas, sin embargo, en la act ualidad
se usan ampliament e equipo y programas de comput adora
especial izados para codificar infor macin elect rnica
falsificada en las bandas magnt icas de las t arjet as bancar ias
y de las t ar jet as de crdit o.
Degradacin fraudulenta del servi cio: impide o inhibe el uso
nor mal o la gest in de recursos infor mt icos y de comunicaciones.
Por ejemplo, el int ruso podra supr imir t odos los mensajes dir igidos a
una det er minada ent idad o se podr a int err umpir el ser vicio de una red
inundndola con mensajes espur ios. Ent re est os at aques se encuent ran
los de denegacin de ser vicio
22
, consist ent es en paralizar
22
ATAQUES DE DENEGACI N DE SERVI CI O: Est os at aques se basan en ut i l i zar l a
mayor cant i dad posi bl e de r ecur sos del si st ema obj et i vo, de manera que nadi e
ms pueda usarl os, perj udi cando as seri ament e l a act uaci n del si st ema,
especi al ment e si debe dar servi ci o a mucho usuari os Ej empl os t pi cos de est e
at aque son: el consumo de memori a de l a mqui na v ct i ma, hast a que se
produce un er ror general en el si st ema por f al t a de memori a, l o que l a dej a
f uera de servi ci o, l a apert ura de ci ent os o mi l es de vent anas, con el f i n de
que se pi erda el f oco del r at n y del t ecl ado, de manera que l a mqui na ya no
responde a pul saci ones de t ecl as o de l os bot ones del rat n, si endo as
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 25
t empor alment e el ser vicio de un ser vidor de correo, Web, FTP, et c.
7.- Procedimiento de Operaciones Estndar
Cuando se va revisar una escena del cr imen del t ipo
infor mt ico es necesar io t ener en cuent a un procedimient o de
operaciones est ndar (POE), el mismo que es el conjunt o de pasos o
et apas que deben realizarse de for ma ordenada al moment o de recolect ar
o examinar la evidencia digit al. Est a seri e de procedi mient os se ut il izan
para asegur ar que t oda la evidencia recogida, preser vada, analizada y
fi lt rada se la haga de una maner a t ranspar ent e e int egr a. La t ransparencia
y la int egr idad met odolgica ( est abilidad en el t iempo de los mt odos
cient ficos ut ilizados) se requieren para evit ar errores, a fin de cert ificar
que los mejores mt odos son usados, increment ado cada vez la
posibilidad de que dos examinador es for enses lleguen al mismo dict amen
o conclusin cuando ellos analicen la misma evidencia por separado. A
est o se lo conoce como reexaminacin.
Una de las mejores Guas Prct icas de manejo de evidenci a
digit al es la de los Jefes y oficiales de Polica del Rei no Unido publicada
en 1999, en base a los principios de la Organizacin Int ernacional de
Evidencia Infor mt ica (SWGDE).
Est os principios est ablecen lo siguient e:
1. Ninguna accin debe t omarse por part e de la Polica o
por sus agent es que cambie o alt ere la infor macin
almacenada dent ro de un sist ema infor mtico o medios
infor mt icos, a fin de que est a sea present ada
fehacient ement e ant e un t ribunal.
2. En circunst ancias excepcionales una persona puede
t ener acceso a la infor macin or iginal almacenada en el
sist ema infor mt ico objet o de la invest igacin, siempre
que despus se explique de manera razonada cual fue la
for ma de dicho acceso, su just ificacin y las
impl icaciones de dichos act os.
3. Cuando se hace una revi sin de un caso por part e de una
t ercera part e ajena al mismo, t odos los archivos y
regist ros de dicho caso y el proceso aplicado a la
evidencia que fue recolect ada y preservada, deben
per mit ir a esa part e recrear el result ado obt enido en el
pr imer anlisis.
4. El oficial a cargo de la invest igacin es responsable de
garant izar el cumpl imient o de la ley y del apego a est os
pr incipios, los cuales se aplican a la posesin y el
acceso a la infor macin al macenada en el sist ema
t ot al ment e i nut i l i zada, en mqui nas que deban f unci onar i ni nt err umpi dament e,
cual qui er i nt err upci n en su servi ci o por at aques de est e t i po puede acarr ear
consecuenci as desast r osas.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 26
infor mt ico. De igual for ma debe asegur ar que cualquier
persona que acceda a o copie dicha informacin cumpl a
con la ley y est os pr incipios.
Est as guas son hechas para cubr ir la gran mayor a de t emas y
sit uaciones comunes a t odas las clases de sist emas infor mt icos
exist ent es en est os moment os. Est as guas no asumen por complet o que
la invest igacin se realizar absolut ament e sobre evidencia digit al, se
debe t omar en cuent a que solo es una par t e de la averiguacin del caso.
El invest igador t iene que ver t oda la escena del cr imen, debe poner sus
sent idos en percibir t odos los objet os relacionados con la infraccin, es
as que por ejemplo la gua adviert e de que no se debe t ocar los
per ifricos de ent rada de la comput adora objeto de la invest igacin,
como el t eclado, el rat n, en los cuales se puede encont rar huellas
digit ales que pueden ayudar a ident ificar a los sospechosos.
Es import ant e dar se cuent a que est as guas y procedimient os se
enfocan mayor ment e en la recoleccin de evidencia digit al y un poco en
el anl isis de est a. Asimismo las nuevas t ecnologas que van apareciendo
con el t iempo no son cubier t as por est as guas.
Para finalizar se debe t omar en cuent a que cada caso es
difer ent e, por eso es difcil t ener un est ndar que abarque en profundidad
cada uno de los aspect os del anl isis forense infor mt ico. Sin embargo es
necesar io siempre usar una met odologa de t rabajo definida par a
organizar y anal izar la gran cant idad de dat os que se encuent ra en los
sist emas de infor macin y las redes de t elecomunicaciones. La ciencia
forense en general usa la reconst ruccin del del it o para definir dicha
met odologa de t r abajo.
8.- Investigacin en la Escena del Delito.
La escena del delit o es el punt o de part ida de una invest igacin
for ense, aqu se aplican los pr incipios cr i mnalist icos como el de
t ransferencia y el de mismisidad, expl icados ant erior ment e; aqu se da
inicio al procedimient o pert inent e de acuerdo a la infraccin comet ida.
En muchos de los casos el invest igador forense no es el pr imero en llegar
a la escena del delit o, a veces llega despus de un t iempo de comet ido
est e, como un expert o secundar io, pero an as debe est ar consient e de su
ent orno de t rabajo, igual como si hubiera sido el pri mero en l legar.
Los Invest igadores que llegan pr imero a una escena del cr imen
t ienen ciert as responsabi lidades, las cuales resumi mos en le siguient e
cuadr o:
OBSERVE Y ESTABLEZCA LOS PARMETROS DE LA ESCENA DEL
DELITO: El pri mero en responder debe est ablecer si el del it o
todava se est a comet iendo, t iene que t omar not a de las
caract er st icas fsicas de el rea cir cundant e. Par a los
invest igadores forenses est a etapa debe ser ext endida a t odo
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 27
sist ema de informacin y de red que se encuent re dent ro de la
escena. En est os casos dicho sist ema o red pueden ser blancos de
un inminent e o act ual at aque como por ejemplo uno de denegacin
de servicio (DoS).
INICI E LAS MEDIDAS DE SEGURIDAD: El objet ivo pri ncipal en t oda
invest igacin es la segur idad de los invest igadores y de la escena.
Si uno obser va y est ablece en una condicin insegura dent ro de
una escena del delit o, debe t omar las medidas necesar ias par a
mit igar dicha sit uacin. Se deben t omar las acciones necesar ias a
fin de evit ar riesgos elct r icos, qumicos o biolgicos, de igual
for ma cualquier act ividad cr iminal. Est o es import ant e ya que en
una ocasin en una invest igacin de pornografa infant il en
Est ados Unidos un invest igador fue muerto y ot ro her ido durant e
la revisin de una escena del cri men.
FACILITE LOS PRIMEROS AUXILIOS: Siempre se deben t omar las
medidas adecuadas par a precaut elar l a vida de las posibles
vct imas del delit o, el objet ivo es br indar el cuidado mdico
adecuado por el per sonal de emergencias y el preservar las
evidencias.
ASEGURE FSICAMENTE LA ESCENA: Est a et apa es crucial
durant e una invest igacin, se debe ret irar de la escena del delit o a
todas las per sonas ext raas a la misma, el objet ivo pr incipal es el
prevenir el acceso no aut orizado de personal a la escena, evit ando
as la cont aminacin de la evidencia o su posible alt eracin.
ASEGURE FSICAMENTE LAS EVIDENCIAS: Est e paso es muy
import ant e a fin de mant ener la cadena de cust odia
23
de las
evidencias, se debe guardar y et iquet ar cada una de las evidencias.
En est e caso se aplican los pr i ncipios y la met odologa
correspondient e a la recoleccin de evidencias de una for ma
prct ica. Est a recoleccin debe ser realizada por personal
ent renado en manejar, guardar y et iquet ar evidencias.
ENTREGAR LA ESCENA DEL DELITO: Despus de que se han
cumplido todas las etapas anter iores, la escena puede ser ent regada
a las aut oridades que se harn cargo de la misma. Est a sit uacin
ser difer ent e en cada caso, ya que por ejemplo en un caso pena l
ser a la Polica Judicial o al Minist er io Pblico; en un caso
23
La cadena de cust odi a es un si st ema de asegur ami ent o que, basado en el
pri nci pi o de l a mi smi dad, t i ene como f i n garant i zar l a aut ent i ci dad de l a
evi denci a que se ut i l i zar como prueba dent ro del proceso. La i nf ormaci n
m ni ma que se manej a en l a cadena de cust odi a, para un caso espec f i co, es
l a si gui ent e: a) Una hoj a de r ut a, en donde se anot an l os dat os pri nci pal es
sobre descr i pci n de l a evi denci a, f echas, hor as, cust odi os, i dent i f i caci ones,
car gos y f i rmas de qui en r eci be y qui en ent rega; b) Reci bos per sonal es que
guarda cada cust odi o y donde est n dat os si mi l ares a l os de l a hoj a de r ut a;
c) Rt ul os que van pegados a l os envases de l as evi denci as, por ej empl o a
l as bol sas pl st i cas, sobr es de papel , sobr es de Mani l a, f rascos, caj as de
car t n, et c. ; d) Et i quet as que t i enen l a mi sma i nf ormaci n que l os r t ul os,
pero van at adas con una cuer di t a a bol sas de papel kr af t , o a f rascos o a
caj as de cart n o a sacos de f i bra; e) Li bros de regi st ro de ent r adas y sal i das,
o cual qui er ot r o si st ema i nf ormt i co que se deben l l evar en l os l aborat ori os
de anl i si s y en l os despachos de l os f i scal es e i nvest i gadores.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 28
corporat ivo a los Administ radores del Sist ema. Lo esencial de est a
et apa es verificar que t odas las evidencias del caso se hayan
recogido y almacenado de for ma cor rect a, y que los sist emas y
redes compromet idos pueden volver a su normal operacin.
ELABORAR LA DOCUMENTACIN DE LA EXPLOTACIN DE LA
ESCENA: Es I ndispensable par a los invest igador es document ar
cada una de las et apas de est e proceso, a fin de t ener una completa
bit cora de los hechos sucedidos durant e la explot acin de la
escena del del it o, las evidencias encont radas y su posible relacin
con los sospechosos. Un invest igador puede encont r ar buenas
refer encias sobr e los hechos ocurr idos en las not as recopiladas en
la explot acin de la escena del Del it o.
8.1.- Reconstruccin de la Escena del Delito
La reconst ruccin del delit o per mit e al invest igador forense
compr ender todos los hechos r elacionados con el comet imient o de una
infraccin, usando para ello las evidencias disponibles. Los indicios que
son ut ilizados en la reproduccin del Delit o per mit en al invest igador
realizar t res for mas de reconst ruccin a saber:
Reconst ruccin Rel acional , se hace en base a indicios
que muestr an la correspondencia que t iene un objet o en
la escena del delit o y su r elacin con los ot ros objet os
present es. Se busca su int eraccin en conjunt o o ent re
cada uno de el los;
Reconstruccin Funcional, se hace sealando la funcin
de cada objet o dent ro de la escena y la for ma en que
est os tr abajan y como son usados;
Reconst ruccin Temporal , se hace con indicios que nos
ubican en la lnea t emporal del comet imient o de la
infraccin y en relacin con las evidencias encont radas.
A fin de ilust rar lo sealado en las lneas precedent es t omemos
como ejemplo una invest igacin de un acceso no aut orizado. Cuando
sucede est e incident e uno en pr imer lugar desea saber cuales son los
sist emas de infor macin o r edes se comunicar on ent re si, cual fue la
vulnerabil idad que se explot para obt ener est e acceso no autorizado y
cuando se pr odujo est e event o.
Con est os ant ecedent es empezamos a realizar la reconst ruccin
relacional en base a la local izacin geogrfica de las personas y de los
equipos infor mt icos involucrados en el i ncident e, t ambin se busca cual
fue su int errelacin en base a las lneas de comunicaciones exist ent es y a
las t ransacciones o int ercambio de infor macin hechas ent re s. Est a
reconst ruccin de t ipo relacional es muy t il en casos de Fraude
Infor mt ico ya que nos puede revelar infor macin crucial dent ro de la
invest igacin, al crear un pat rn de comport amient o conect ando las
t ransacciones financier as fraudulent as con una persona o una
organizacin en part icular. De igual for ma en la invest igacin por el
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 29
acceso no aut orizado se crea una lista de las direcciones IP de los
sist emas de infor macin compromet idos con las direcciones IP donde se
realiz las conexiones, buscando la fuent e y el dest ino de est as, logr ando
un diagrama de cmo los equipos infor mticos int er act uaron ent re si.
El invest igador forense realiza la reconst ruccin funcional del
hecho, est ableciendo el funcionamient o de un sist ema o aplicacin
especfica y como est os fueron configurados en el moment o del delit o.
En algunas ocasiones es necesar io det er minar como un programa de
comput acin o sist ema funciona par a t ener un mejor ent endimient o del
delit o en si o de una evidencia part icular. Cuando una plat afor ma UNI X
es compromet ida usando un root kit , el examinador t iene que reiniciar el
sist ema y anal izar una copia exact a del sist ema expuest o y su
operabilidad con sus component es, lo cual puede cr ear una puert a t rasera
en el sist ema, capt urar cont raseas o esconder evidencias relevant es.
La lnea de t iempo del incident e ayuda al invest igador a
ident ificar pat rones e inconsist encias en l a escena, guiando a st e a ms
fuent es de evidencia. Ant es de realizar est a lnea t emporal el
invest igador debe t omar en cuent a las di ferent es zonas horarias y las
discrepancias t emporales de los relojes de los sist emas de informacin
examinados.
9.- Fases de la Investigacin Forense.
El objet ivo pr incipal de la I nvest igacin Forense Infor mt ica
es la recoleccin, preservacin, filt r ado y present acin de las evidencias
digit ales de acuer do a los pr ocedimient os t cnicos y legales
pr eest ablecidos, como apoyo de la Administ r acin de Just icia.
9.1.- Recoleccin
Est e pr imer paso es fundament al para la invest igacin, aqu el
invest igador for ense debe ident if icar a t odos los objet os que t engan valor
como evidencia para post er ior ment e recolectar los. Nor malment e est os
objet os sern mensajes de dat os, infor macin digit al cont enidos en
discos dur os, flash memor ys y ot ros ar t efact os que almacenan
infor macin digit al, t ambin pueden incluir los respaldos de emergencia,
en fin el invest igador debe tener bien en claro cuales son las fuent es de
la evidencia a fin de ident ificar a est a y la mejor manera de recolectar la.
9.2.- Preservacin
La pr eser vacin es la part e de la invest igacin digit al forense
que se enfoca en resguardar los objet os que t engan valor como evidencia
de manera que estos permanezcan de for ma completa, clara y ver ificable.
Aqu se ut iliza t cnicas cript ogrficas como cdigos de int egr idad
( funcin hash, checksums) y la ms prolija document acin.
La fase de preservacin int er viene a lo largo de todo el proceso
de invest igacin forense, es una fase que int eract a con las dems fases.
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 30
9.3.- Filtrado
Tambin conocida como la fase de anl isis en la invest igacin
forense, es donde el invest igador busca filt rar t odos los objet os
recolect ados y preser vados de la escena del delit o a fin de separar los
objet os que no t ienen valor como evidencia de los que si.
En est a fase el invest igador ut ilizar una ser ie de inst rument os y
t cnicas par a localizar y ext raer la evidencia para luego poner la en el
cont ext o de la invest igacin.
9.4.- Presentacin
Est a es la fase final de la invest igacin forense infor mt ica, es
cuando se presentan los result ados, los hallazgos del invest igador.
La present acin debe ser ent endible y convincent e, es deci r
aqu se debe resear los procedimient os y las tcnicas ut ilizadas par a
recolect ar, preser var y filt rar la evidencia de manera que exista
cert idumbre en los mt odos usados, aument ado as la cr edibi lidad del
invest igador en un cont ra examen de los mismos.
10.- El Delito Informtico y su realidad procesal
en el Ecuador
Desde que en 1999 en el Ecuador se puso en el t apet e de la
discusin el proyect o de Ley de Comercio Elect rnico, Mensajes de
Dat os y Fir mas Elect rnicas, desde ese t iempo se puso de moda el t ema,
se realizaron cursos, seminarios, encuent ros. Tambin se conformo
comisiones par a la discusin de la Ley y par a que for mulen
observaciones a la misma por part e de los organismos dir ect ament e
int eresados en el t ema como el CONATEL, la Superint endencia de
Bancos, las Cmaras de Comercio y ot ros, que ven el Comercio
Telemt ico una buena oport unidad de hacer negocios y de paso hacer que
nuest ro pas ent re en el boom de la llamada Nueva Economa.
Cuando la ley se present o en un pr incipio, tena una ser ie de
falencias, que con el t iempo se fueron puliendo, una de ellas er a la part e
penal de dicha ley, ya que las infracciones a la misma es decir los
llamados Delit os Infor mt icos, como se los conoce, se sancionar an de
confor midad a lo dispuest o en nuest ro Cdigo Penal, sit uacin como
comprendern era un t ant o forzada, est o si t omamos en cuent a los 65
aos de dicho Cdigo, en resumen los t ipos penales ah exist ent es, no
tomaban en cuent a los novsi mos adelant os de la infor mt ica y la
t elemt ica por tant o les haca int iles por decir lo menos, para dar
segur idad al Comer cio Telemt ico ant e el posible asedio de la
crimi nalidad inf ormtica.
Por fin en abr il del 2002 y luego de largas discus iones los
honorables diput ados por fin aprobaron el t ext o definit ivo de la Ley de
Comercio Elect rnico, Mensajes de Dat os y Fir mas Elect rnicas, y en
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 31
consecuencia las refor mas al Cdigo Penal que daban la luz a los
llamados Delit os I nfor mt icos.
De acuerdo a la Const it ucin Polt ica de la Repblica, en su
Tt ulo X, Capit ulo 3ro al hablar del Minist er io Pblico, en su Art . 219
inciso pr imero seala que: El Ministeri o Pblico prevendr en el
conoci miento de las causas, di rigi r y promover la investigacin
pre- procesal y procesal penal. Est o en concordancia con el Art . 33 del
Cdigo de Pr ocedimient o Penal que seala que el ejercicio de la accin
pblica corresponde exclusi vamente al fi scal . De lo dicho podemos
concluir que el dueo de la accin penal y de la invest igacin t ant o
preprocesal como procesal de hechos que sean considerados como delit os
dent ro del nuevo Sist ema Procesal Penal Acusat orio es el Fiscal. Es por
t ant o el Fiscal quien deber l levar como quien dice la voz cant ant e
dent ro de la invest igacin de est a clase de infracciones de t ipo
infor mt ico par a lo cual cont ara como seala el Art . 208 del Cdigo de
Procedimient o Penal con su rgano auxiliar la Polica Judicial quien
realizar la invest igacin de los delit os de accin pblica y de inst ancia
part icular bajo la dir eccin y cont rol Minist er io Pblico, en t al virt ud
cualquier result ado de dichas invest igaciones se incor poraran en su
t iempo ya sea a la Inst ruccin Fiscal o a la Indagacin Previa, est o como
part e de los element os de conviccin que ayudaran post er ior ment e al
represent ant e del Minist er io Pblico a emit ir su dict amen
correspondient e.
Ahora bien el problema que se adviert e por part e de las
inst it uciones l lamadas a perseguir las llamadas infracciones infor mt icas
es la falt a de preparacin en el orden t cnico t ant o del Minist er io
Pblico como de la Polica Judicial, est o en razn de la falt a por un lado
de la infr aest ruct ura necesar ia, como cent ros de vigilancia
comput ar izada, las moder nas herramientas de soft ware y t odos los dems
implement os t ecnolgicos necesar ios para la per secucin de los llamados
Delit os I nfor mt icos, de igual manera falt a la suficient e for macin t ant o
de los Fiscales que dir igirn la invest igacin como del cuer po policial
que lo auxiliara en dicha t area, dado que no exist e hast a ahora en nuest ra
polica una Unidad Especializada, como existe en ot ros pases como en
Est ados Unidos donde el FBI cuent a con el COMPUTER CRIME UNIT, o
en Espaa la Guardia Civi l cuent a con un depart ament o especial izado en
est a clase de infracciones. De ot ro lado tambin por part e de la Funcin
Judicial falt a la suficient e preparacin por part e de Jueces y Magist rados
en t rat ndose de est os t emas, ya que en algunas ocasiones por no decir lo
en la mayor a de los casos los llamados a impart ir just icia se ven
confundidos con la especial par t icular idad de est os delit os y los
confunden con delit os t radicionales que por su estruct ura tpica son
incapaces de subsumir a est as nuevas conduct as delict ivas que t iene a la
infor mt ica como su medio o fin.
Por tanto es esencial que se for men unidades Invest igat ivas
t ant o policiales como del Minist er io Pblico especializadas en abor dar
cuest iones de la delincuencia infor mt ica e infor mt ica forense. Est as
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 32
unidades pueden ser vir t ambin de base t ant o para una cooperacin
int er nacional for mal o una cooperacin infor mal basada en redes
t ransnacionales de confianza ent re los agent es de aplicacin de la ley.
La cooperacin mult ilat eral de los grupos especiales
mult inacionales pueden result ar ser part icularment e t iles - y ya hay
casos en que la cooperacin int er nacional ha sido muy efect iva. De
hecho, la cooperacin puede engendrar emulacin y xit os adicionales.
De ot ro lado en los lt imos t iempos la masif icacin de vir us
infor mt icos globales, la difusin de la pornografa infant il e incluso
act ividades t er rorist as son algunos ejemplos de los nuevos delit os
infor mt icos y sin front eras que present an una realidad difcil de
cont rolar. Con el avance de la t ecnologa digit al en los lt imos aos, ha
surgido una nueva generacin de del incuent es que expone a los
gobier nos, las empr esas y los individuos a est os peligr os.
Es por t ant o como manif iest a PHIL WILLIAMS Profesor de
Est udios de Segur idad I nt ernacional, Universidad de Pit t sbugh
24
, Es
necesar io cont ar no solo con leyes e i nst rument os eficaces y compat ibles
que per mit an una cooperacin idnea ent re los est ados para luchar cont ra
la Delincuencia Infor mt ica, sino t ambin con la infraest ruct ura t ant o
t cnica como con el recurso humano calificado para hacer le frent e a est e
nuevo t ipo de del it os t ransnacionales.
Es por est as razones que el Minist er io Pblico t iene la
obligacin Jur dica en cumplimient o de su mandat o const it ucional de
poseer un cuerpo especializado para combat ir est a clase de criminalidad
a fin de precaut elar los derechos de las vct imas y llevar a los
responsables a juicio, t erminando as con la ci fra negra de est a clase de
infracciones.
11. - Bibliografa
HANDBOOK OF COMPUTER CRIME
INVESTIGATION, FORENSIC TOOLS AND
TECHNOLOGY: Eoghan Casey, Elsevier Academic
Press, 2005
DERECHO DE LAS NUEVAS TECNOLOGAS:
Mar iliana Rico Carr illo Coordinadora, Ediciones La
Rocca, 2007.
COMPUTER EVIDENCE COLLETION &
PRESERVATION: Christ opher L. T. Brown, Charles
River Media, 2006.
ESTADO DEL ARTE DEL PERITAJE
INFORMTICO EN LATINOAMRICA: Jeimy Cano,
24
WI LLI AMS Phi l , Cri men Organi zado y Ci bernt i co, si nergi as, t endenci as y
respuest as. Cent ro de Enseanza en Segur i dad de l a I nt ernet de l a
Uni versi dad Car negi e Mel l on. ht t p: / / www. pi t t . edu/ ~r css/ t oc. ht ml
INTRODUCCIN A LA INFORMTICA FORENSE
Dr. Sant iago Acur io Del Pino 33
ALFA- REDI, 2005.
CRIMEN ORGANIZADO Y CIBERNTICO,
SINERGIAS, TENDENCIAS Y RESPUESTAS: Phil
Williams, Cent ro de Enseanza en Segur idad de la
Int ernet de la Univer sidad Car negie Mellon.
ht t p://www. pit t . edu/~rcss/t oc. ht ml
ANLISIS FORENSE DIGITAL, Lpez Delgado
Miguel, Junio del 2007, CRIPORED.
TECNOLOGAS DE LA INFORMACIN A LA
COMUNICACIN Alonso Juan A. y ot ros, Edit or ial
ALFAOMEGA y RA- MA, 2005
CIBERESPACIO, SOCIEDAD Y DERECHO, Herrera
Br avo Rodolfo. En DERECHO DE LAS NUEVAS
TECNOLOGAS: Mar iliana Rico Carr illo Coordinadora,
Ediciones La Rocca, 2007.