Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMATICA FORENSE
La informtica forense, tambin llamado computacin forense, anlisis
forense digital o examinacin forense digital es la aplicacin de tcnicas
cientficas y analticas especializadas a infraestructura tecnolgica que
permiten identificar, preservar, analizar y presentar datos que sean vlidos
dentro de un proceso legal.
Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos
residuales, autenticar datos y explicar las caractersticas tcnicas del uso
aplicado a los datos y bienes informticos.
Como la definicin anterior lo indica, esta disciplina hace uso no solo de
tecnologa de punta para poder mantener la integridad de los datos y del
procesamiento de los mismos; sino que tambin requiere de una
especializacin y conocimientos avanzados en materia de informtica y
sistemas para poder detectar dentro de cualquier dispositivo electrnico lo
que ha sucedido. El conocimiento del informtico forense abarca el
conocimiento no solamente del software sino tambin de hardware, redes,
seguridad, hacking, cracking, recuperacin de informacin.
La informtica forense ayuda a detectar pistas sobre ataques informticos,
robo de informacin, conversaciones o pistas de emails, chats.
La importancia de stos y el poder mantener su integridad se basa en que
la evidencia digital o electrnica es sumamente frgil. El simple hecho de
darle doble clic a un archivo modificara la ltima fecha de acceso del
mismo.
Adicionalmente, un examinador forense digital, dentro del proceso del
cmputo forense puede llegar a recuperar informacin que haya sido
borrada desde el sistema operativo.
Es muy importante mencionar que la informtica forense o cmputo forense
no tiene parte preventiva, es decir, la informtica forense no se encarga de
prevenir delitos, para ello que encarga la seguridad informtica, es
importante tener claro el marco de actuacin entre la informtica forense, la
seguridad informtica y la auditora informtica.
DISPOSITIVOS A ANALIZAR
Mini XP
Paraben
AccessData Forensic ToolKit (FTK)
II.
USBDeview
SilentRunner - AccessData
EVIDENCIA DIGITAL
Es una denominacin usada de manera amplia para describir cualquier
registro generado o almacenado en un sistema computacional que puede
ser utilizado como prueba en un proceso legal. De acuerdo con el HB: 171
2003 Guideline for the Management of IT Evidence, la evidencia digital es
cualquier informacin que, sujeta a una intervencin humana u otra
semejante ha sido extraida de un medio informtico. El documento
mencionado establece tambin que la evidencia digital puede dividirse en
tres categoras:
Es voltil
Es annima
Es duplicable
Es alterable y modificable
Es eliminable
III.
PROCEDIMIENTO
INVESTIGACIONES
FORENSE
PARA
EL
MANEJO
DE
1. Planeacin
Se espera que en esta etapa se detecte el incidente, el investigador se
familiarice con dicho incidente y con el entorno en el que ocurri y
determine el proceso para la recoleccin de evidencia.
El primer paso consiste en determinar los presuntos actores
involucrados, (mquinas y/o usuarios), identificar el problema aparente e
indagar qu tanto contacto tuvieron los usuarios con el sistema
involucrado en el incidente, para darse una idea de la contaminacin de
la escena.
Como segundo paso, el investigador se debe familiarizar con el entorno
informtico y con el incidente en cuestin. Para ello se sugiere el
desarrollo de entrevistas al personal de la organizacin que tenga algn
tipo de relacin con el entorno informtico, se busca determinar: Qu
tipo de sistemas informticos se usan, qu tipo de registros generan, si
se cuenta con polticas de seguridad o no y quines son responsables
del funcionamiento de los equipos y los servicios de la organizacin, etc.
[6].
El investigador debe describir con detalle la escena. Incluyendo nombres
de usuarios y roles, ubicacin fsica de usuarios, equipos, puntos de red,
etc. Si es posible, se debe registrar informacin grfica del lugar (fotos y
videos), ya que muchas veces en ellos se encontrarn detalles que
posteriormente pueden ser de utilidad en de la investigacin, y que
tambin pueden convertirse en evidencia digital: Sern documentos
todas aquellas formas de expresin producto del desarrollo de las
tcnicas de la comunicacin y la informtica [15], incluyendo, por
ejemplo: videos y fotografas.
2. Recoleccin
Es la etapa ms crtica pues se debe recoger la informacin relevante y
conservarla garantizando los requisitos de admisibilidad fijados por la
Ley: Para valorar la fuerza probatoria de la informacin digital habr
de tenerse en cuenta la confiabilidad en la forma en la que se haya
generado, archivado o comunicado la informacin.
Como muchas veces no es posible presentar los sistemas involucrados
en una audiencia o tenerlos durante la investigacin, se recomienda
tomar una copia idntica -Bit a Bit- de su contenido. Copia que
representar al sistema en cuestin y que adems ser sobre la que se
trabaje. Este tipo de copia es realizada por medio de herramientas que
permiten copiar el contenido visible del dispositivo de almacenamiento,
y el contenido invisible, es decir, la informacin de las reas del disco
que no estn siendo utilizadas, esto incluye los sectores que se
encuentran disponibles para escritura, los que no estn siendo utilizados
por ninguna particin y el espacio sobrante cuando la informacin que se
escribe en un bloque es menor que el tamao de este.
podra ser clave para conocer el cundo, cmo, dnde y por qu del
incidente.
Segn algunos investigadores, ste es uno de los mayores obstculos
que se presentan al realizar una investigacin, adicionalmente, muchos
de los delitos de alta tecnologa, a pesar de ser cometidos desde
sistemas locales, se realizan desde Cabinas de Internet, en los cuales,
debido a la falta de regulacin, el alto grado de anonimato y la alta
actividad que presentan estos sistemas hacen que la evidencia digital
que se encuentra en stos tenga un tiempo de vida muy corto y por
consiguiente la investigacin solo pueda llegar hasta ese punto.
5. Presentacin de la Evidencia Digital
Hasta este punto se ha tratado a la evidencia digital en su forma
electrnica, sin embargo, es necesario convertirla en algo que pueda ser
revisado e interpretado en una corte. Pero, cmo se puede garantizar
la neutralidad de este tipo de presentacin?, a pesar de que no existe
una respuesta nica a esta pregunta, debido a las enormes diferencias
que existen entre cada incidente, Sommers, en el documento
Downloads, Logs and Captures: Evidence from Cyberspace, especifica
que en la mayora de los casos puede ser apropiado ofrecer 2
posibilidades. Una de bajo nivel en la que se muestre la informacin tal
como es sin ningn tipo de anotacin y modificacin. Y otra editada, en
la que se encuentre solo la informacin relevante y que explique que se
hizo con ella y por qu. Con este enfoque, es posible realizar una
inspeccin cruzada en la que la copia de bajo nivel es la encargada de
sustentar tcnicamente los argumentos presentados en la parte editada
y comentada.
Adems es recomendable clasificar la evidencia para su presentacin
ante una corte, identificando si los datos:
Verifican los datos y teoras existentes (Evidencia que inculpa).
Contradicen los datos y teoras existentes (Evidencia que exculpa).
Muestran signos de manipulaciones para esconder otros datos.
Actualmente la legislacin peruana, no ofrece pautas generales en los
cdigos de procedimientos sobre cmo debe ser presentada la evidencia
recolectada de un sistema de cmputo, lo cual es una de las razones
que dificultan condenar las conductas relacionadas con incidentes
informticos y/o relacionados con la informtica, adicionalmente, el
desconocimiento de los aspectos tcnicos bsicos y del lenguaje
utilizado en este tipo de casos por parte de los funcionarios judiciales,
dificulta an ms la penalizacin de estos hechos.
IV.
RECURSOS HUMANOS
Para una efectiva labor forense, el personal tcnico policial, debe tener una
formacin y especializacin determinada que permita garantizar el valor
probatorio de la evidencia digital. Es necesario que este personal se
encuentre calificado y certificado por los fabricantes de las herramientas de
informtica forense que utilizar la PNP. El proceso de investigacin sugiere
tres grupos distintos, con diferentes niveles de conocimiento y formacin.
1. Tcnicos digital de la escena del crimen: Las personas responsables
de la recopilacin de datos en la escena del delito deben tener una
formacin bsica en el manejo de pruebas y documentacin, as como
en la reconstruccin bsica del crimen para ayudar a localizar todas las
fuentes de datos sobre una red.
2. Examinadores de la evidencia digital: Los individuos responsables de
procesar determinados tipos de pruebas digitales requieren formacin
especializada y la certificacin en su rea.
3. Investigadores digitales: Las personas responsables de la
investigacin en general deben recibir una formacin general, pero no
necesitan una formacin muy especializada o certificacin. Los
investigadores tambin tienen la responsabilidad de la reconstruccin de
las acciones relativas a un delito utilizando la informacin de los
primeros interventores y examinadores forenses para crear una imagen
ms completa de investigadores y abogados.
V.
CADENA DE CUSTODIA
La cadena de custodia es el procedimiento de control documentado que se
aplica a la evidencia fsica, para garantizar y demostrar la identidad,
integridad, preservacin, seguridad, almacenamiento, continuidad y registro
de la misma. Esta comienza en el lugar donde se encuentra, obtenga o
recolecta la evidencia fsica y solo finaliza cuando la autoridad competente
lo ordene, durante este proceso se siguen varias etapas que presentamos a
continuacin:
1. Recoleccin, clasificacin y embalaje de la prueba. La cadena de
custodia empieza en la escena del delito por lo cual es fundamental el
aseguramiento de la misma con el fin de evitar la contaminacin de la
evidencia, es necesario seguir los siguientes pasos:
Aislar, identificar y registrar en un acta los equipos informticos y las
personas que trabajen en estos. Registrar y fotografiar todos los
elementos antes de moverlos o desconectarlos. Documentar la hora y la
fecha del sistema si se encontraran equipos encendidos antes de
proceder a apagarlos. Y si se encontraran apagados se procede
nicamente a desconectarlos desde la toma del equipo. Identificar y
clasificar la evidencia encontrada de acuerdo a su naturaleza, y llenar el
acta respectiva.
VI.
PERITO INFORMATICO
El anlisis forense digital debe ser realizado por el perito informtico que es
un profesional con conocimiento de fenmenos tcnicos en informtica,
preparado para aplicar procedimientos legales y tcnicamente vlidos para
establecer evidencias en situaciones donde se vulneran o comprometen
sistemas, el mismo debe cubrir las siguientes reas de conocimiento: rea
de tecnologas de informacin y electrnica, Fundamento de bases de
datos, rea de seguridad de la informacin, rea jurdica, rea de
criminalstica y ciencias forenses y rea de informtica forense.
Para ser perito se requiere una serie de requisitos. Sobre el particular, el
Cdigo Procesal Penal no establece taxativamente cules son; sin
embargo, ello puede inferirse de lo establecido en el Art. 173
(nombramiento) y en el 175 (impedimentos y subrogacin del perito). Las
condiciones que fundamentalmente debe contemplarse son los siguientes:
a. Edad. Este requisito asegura un juicio adecuado sobre el objeto
de la pericia, lo cual obviamente se consigue con una persona
mayor de edad;
b. Salud mental. Por la naturaleza misma de la pericia se requiere
de una persona que se encuentre en ptimas condiciones
intelectuales.
c. Condicin habilitante. Implica la necesidad de que los peritos
cuenten con el ttulo que acredite su ejercicio profesional, artstico
o tcnico.
d. Conducta. En este aspecto debe considerarse la trayectoria del
perito que lo desvincule de toda sospecha sobre su idoneidad
profesional, como por ejemplo que haya sido condenado por una
irregular actuacin sea en el ejercicio profesional o en el
desempeo de una labor pericial. Obviamente en estos casos le
corresponde a las partes un rol protagnico
VII.
como: Cableado de red con puntos de red en todas las reas del
laboratorio, cableado telefnico, UPS o generador elctrico en caso
de falta de energa elctrica. Con respecto al lugar las habitaciones
deben ser en lo posible sin ventanas a la parte externa del
laboratorio y con divisiones con paneles mviles para las distintas
reas.
En el diseo que planteamos las instalaciones estarn divididas en
tres reas: almacenamiento, mecnica y anlisis. El rea de
almacenamiento contar con un cubculo previo con una puerta de
acceso, con seguridad multilock, a la ubicacin de los armarios de
evidencia, contar con un rea de Control de Acceso y Entrada,
que ser el lugar donde se atender a las personas que soliciten
alguna prueba para su anlisis, ningn personal sin autorizacin
podr acceder ms all del rea de Control de Acceso y Entrada.
Los armarios de almacenamiento de evidencia que llega al
laboratorio para el proceso de investigacin y para su almacenaje
posterior tendrn acceso restringido y se registrar la hora y el
nombre de quien acceda a ella.
Se tomarn precauciones para el correcto almacenamiento de la
evidencia dependiendo de la naturaleza de la misma, usando
contenedores antiestticos y/o esponja antiesttica, lo que ayudar
a aislar de fuentes elctricas y de campos magnticos, que puedan
corromper la informacin contenida en los dispositivos digitales
durante su almacenamiento y transporte.
En el rea mecnica, se realizar el desmontaje, ensamblaje y
manipulacin fsica de un computador, en caso de que se necesite
analizar un computador completo, esto es para que sus partes
puedan ser analizadas por separado si las circunstancias lo
ameritan. Para llevar a cabo la tarea de desmontaje, se dispondrn
de herramientas necesarias, as como de equipos especializados.
El rea de anlisis tendr tres puestos de trabajo cada uno con un
armario respectivo. Todas las reas sern de libre acceso, solo se
contar con una puerta de entrada principal a las instalaciones del
laboratorio.
Para llevar a cabo todas las tareas que estn incluidas en el
anlisis de la evidencia, esta rea contar con las herramientas de
anlisis forenses que se dispongan tanto hardware como software.
Existirn dos zonas, una de la cuales tendr acceso a internet en la
cual se podrn realizar investigaciones, que se necesiten dentro del
proceso de anlisis, y la otra zona no tendr acceso a internet para
evitar cualquier intervencin externa en el anlisis de la evidencia.
AREA DE
ALMACENAMIENTO
ARMARIOS DE
EVIDENCIAS
PC FORENSE
AREA DE
ANALISIS
AREA MECANICA
SALA INTERNET
INTRANET
2. Equipos informticos
El conjunto de equipos de trabajo en el laboratorio de Ciencia Forense
Digital, integra herramientas especializadas, computadores de escritorio
y porttiles para llevar a cabo el proceso de anlisis forense.
Herramientas de duplicacin de discos con alta velocidad de copiado,
conectividad con las diferentes interfaces de discos duros, adaptadores,
portabilidad, esto permitir realizar copias de discos duros los cuales se
usarn para los anlisis de las pruebas de una manera fcil y rpida.
Adems se contar con dos tipos de equipo en las instalaciones el
equipo base que ser una desktop y un equipo porttil que ser una
laptop con similares caractersticas que el equipo base.
3. Software utilizado
Existen varios tipos de herramientas entre las cuales hemos escogido
dos, que son Deft-Exra (software libre) y Encase (software privado) las
cuales cumplen con caractersticas importantes como: Clonacin de
discos, comprobar integridad criptogrfica, dar informacin del sistema,
adquisicin en vivo, recuperacin de contraseas, anlisis forense en
redes, anlisis forense en navegadores, bsqueda de archivos, utilitarios
extras, entre otros. Se puede hacer uso de software complementario si
fuese necesario para las tareas que no puedan desempear estas dos
herramientas.
4. Posible ubicacin del Laboratorio Informtico Forense
La PNP ha destinado el local policial, ubicado en XXXXXXXX, para ser
utilizado en la implementacin del Nuevo Laboratorio Central de
Criminalstica de la PNP, en la que se encontrar considerado el
laboratorio de informtica forense PNP.
Por lo antes indicado se debe destinar un rea recomendada de 260 m 2,
para la construccin del laboratorio de Informtica forense, desde cero,
con todas las caractersticas que debe tener un centro de cmputo
estndar.