Tesis Informatica Forense - Desbloqueado

Informtica Forense
UNIVERSIDAD POLITCNICA SALESIANA

SEDE CUENCA
FACULTAD DE INGENIERAS CARRERA

DE INGENIERA DE SISTEMAS
Trabajo de Grado previo a la obtencin del

Ttulo de Ingeniero de Sistemas
METODOLOGAS, ESTRATEGIAS Y HERRAMIENTAS DE LA

INFORMTICA FORENSE APLICABLES PARA LA DIRECCIN
NACIONAL DE COMUNICACIN Y CRIMINALSTICA DE LA
POLICA NACIONAL
Autores:
Mara Daniela lvarez Galarza
Vernica Alexandra Guamn Reibn
Director:
Ing. Vladimir Robles
Cuenca, Febrero 2008

1
DECLARACIN
Nosotras, Mara Daniela lvarez Galarza y Vernica Alexandra Guamn Reibn,

declaramos bajo juramento que el trabajo aqu descrito es de nuestra autora; que no
ha sido previamente presentado para ningn grado o calificacin profesional; y, que
hemos consultado las referencias bibliogrficas que incluyen en este documento.
A travs de la presente declaracin cedemos nuestros derechos de propiedad

intelectual correspondientes a este trabajo, a la Universidad Politcnica Salesiana,
segn lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad vigente.
Firma:
Daniela lvarez G.
Vernica Guamn R.
CERTIFICACIN
Certifico que el presente trabajo fue desarrollado por Mara Daniela lvarez Galarza
y Vernica Alexandra Guamn Reibn, bajo mi supervisin.
Firma:
Ing. Vladimir Robles
Director de Tesina
DEDICATORIA
A mi familia por el apoyo y amor permanente que me ofrecen cada instante, a mis
amigas, amigos y compaeros por el apoyo que de una u otra manera me han
brindado. Y de manera especial a una persona quien sin verlo ms, ha cultivado en
mi vida y en la vida de mi familia el entender que cada da tenemos una nueva
oportunidad.
Daniela
DEDICATORIA
A lo largo de nuestra vida vamos haciendo cosas que quizs unas son ms sencillas
que otras, pero cada una de ellas nos deja una enseanza y fuera de ser una tarea que
cumplir son oportunidades para aprender y descubrir en los detalles lo que te ayuda
no slo a la realizacin profesional sino a una realizacin personal.
A Dios, por permitir que las cosas se den.

A mis Padres, por su apoyo y enseanzas
A los amigos y compaeros, por los momentos compartidos
Vernica
AGRADECIMIENTO
A los profesores por las enseanzas compartidas, que nos han ayudado a
desenvolvernos en el desarrollo del trabajo de grado, que aunque a veces creamos
que ciertas cosas no nos serviran, hoy podemos decir que todo cuanto se aprende en
una aula resulta muy acertado en el momento que nos toca actuar.
A la Polica Nacional del Ecuador y de manera especial al Teniente Pablo Inga por su
apertura, colaboracin e inters prestado para que se desarrolle de la mejor manera el
trabajo.
Al Ing. Vladimir Robles, por ser un tutor con paciencia y por saber orientarnos.
Y sobre todo gracias a Dios por ser nuestra gua, a nuestros padres por su
preocupacin y apoyo.
INDICE DE CONTENIDOS
CAPTULO 1
CONCEPTOS GENERALES SOBRE LA INFORMTICA FORENSE
1.1
Introduccin.. Pg. 2
1.2
Informtica Forense... Pg. 3

1.2.1 Definicin............ Pg. 3
1.2.2 Objetivo de la Informtica Forense. Pg. 3
1.2
Computacin Anti-Forense... Pg. 4
1.4
Delitos Informticos.. Pg. 7
1.5
Reglas de la Informtica Forense.. Pg.9
1.6
Aspectos Legales... Pg.13

1.6.1
Ley de Comercio Electrnico, Firmas Electrnicas y
Mensajes de Datos ... Pg.13

1.6.2 Ley de Propiedad Intelectual. Pg.14
CAPTULO 2
ANLISIS Y DIAGNSTICO DE LA INSTITUCIN
2.1
Antecedentes.. Pg.16
2.2
Proceso Interdepartamental. Pg.17
2.3
Herramientas Informticas orientadas a la investigacin de delitos

vigentes en la actualidad en la Polica Nacional............. Pg.19
CAPTULO 3
FASES DE LA INFORMTICA FORENSE
3.1 Identificacin de Evidencia Digital.. Pg.25
3.1.1 Descubrimiento de las seales del ataque Pg.30
3.1.2 Recoleccin de evidencias.. Pg.32
3.1.2.1 Cuidados en la Recoleccin de Evidencias. Pg.33
3.1.2.2 Inicio de la RecoleccinPg.34
3.2 Preservacin de la Evidencia Digital... Pg.35
3.3
Anlisis de la Evidencia Digital... Pg.37

3.3.1 Preparacin para el anlisis:
Entorno de trabajo Pg.38
3.3.2 Reconstruccin de la secuencia temporal
del ataque..Pg.39
3.3.3 Determinacin de cmo se realiz el
ataque.Pg.40
3.3.4 Identificacin del autor o autores
del incidente. ... Pg.41
3.3.5 Evaluacin del impacto causado
al sistema... Pg.43
3.4 Presentacin de Evidencia Digital Pg.44

3.4.1 Utilizacin de formularios de registro
del incidente.Pg.44
3.4.2 Informe tcnico.Pg.45
3.4.3 Informe Ejecutivo.Pg.46
CAPTULO 4
METODOLOGAS Y ESTRATEGIAS EN BASE A LA INFORMTICA
FORENSE
4.1
Anlisis de Soportes y Dispositivos Electrnicos.
Pg.47
4.2
Anlisis de la comunicacin de datos Pg.48
4.3
Metodologas y Estrategias Pg.49

4.3.1
4.4
Secuestros de Equipos
Pg.53
4 .3.2 Discos Duros
Pg.55
4.3.3
Sistemas Operativos
Pg.57
4.3.3.1 File slack..
Pg.58
4.3.3.2 Archivo Swap.......
Pg.58
4.3.3.3 Unallocated File Space
Pg.59
4.3.4
Bases de Datos Pg.61
4.3.5
Telfonos mviles y tarjetas Pg.62
4.3.6
Anlisis de sistemas vivos.. Pg.64
Gua Informtica Forense Aplicada para la Polica Nacional . Pg.71
CAPTULO 5
HERRAMIENTAS Y EQUIPOS PARA EL ANLISIS FORENSE
5.1
Anlisis sobre las herramientas y equipos para la aplicacin

de la Informtica Forense para la Polica Nacional . Pg.84
5.2
Costos de equipos y software para la aplicacin de la Informtica

Forense .
Pg.86
5.2.1 Toolkit para el Departamento de Delitos Informticos de

la Polica Nacional ... Pg.95
5.2.2 Entornos de trabajo sobre computacin virtual para la
Polica Nacional Pg.98
5.3
Perfil y capacitacin para los miembros de la Polica Nacional en

el rea de Informtica Forense .
Pg.100
5.3.1 Perfil de un Informtico Forense......
Pg.100
5.3.2 Capacitacin cursos y certificaciones
Pg.102
Conclusiones
Pg.107
Recomendaciones
Pg.108
Bibliografa
Pg.110
Glosario
Apndices
Apndice A
Pg.112
Apndice A1
Pg.113
Apndice A2
Pg.114
Apndice B.
Pg.125
Apndice
Pg.130
FIGURAS:
Figura 1.1
Clasificacin de la Computacin Anti-Forense Pg. 5
Figura 2.1
Organigrama del Departamento de Investigacin

de Delitos Informticos (Propuesta) ..
Figura 2.2
Pg.18
Sistema de Identificacin Decadactilar automatizado . Pg.21
Figura 3.1
Metodologa del Anlisis Forense Pg.23
Figura 4.1
Copia de Disco Duro ... Pg.56
Figura 4.1
Fragmento de un Archivo de Registro.....
Pg.60
TABLAS
Tabla 1.1
Nivel de Seguridad de Mtodos Anti-Forenses.. Pg. 6
Tabla 1.2
Sanciones para los delitos informticos en el Ecuador. Pg.15
Tabla 3.1
Identificacin de la Evidencia (I)
Pg.29
Tabla 3.2
Identificacin de la Evidencia (II)
Pg.30
Tabla 4.1
Archivos de Registro en Unix/Linux .. Pg.59
Metodologas,
Estrategias y
Herramientas
de la
Informtica
Forense
aplicables para
la Direccin Nacional de Comunicacin y
Criminalstica de la Polica Nacional.
CAPITULO I
CONCEPTOS GENERALES SOBRE LA INFORMATICA FORENSE
1.1
Introduccin
Actualmente un medio ms para cometer infracciones y eludir a las autoridades es la

tecnologa.
Esto ha creado la necesidad de que la Polica Nacional deba
especializarse y capacitarse en nuevas reas en donde las tecnologas de la

informacin y de la comunicacin respondan a favor de la Justicia.
En pases como Estados Unidos, Alemania, Inglaterra, Colombia, Argentina, etc., se

est utilizando la Informtica Forense con el fin de obtener pruebas y lograr
descubrir a los autores de dichas infracciones.
Debido a la globalizacin de la
Sociedad de la Informacin, la informtica Forense est adquiriendo una gran

importancia.
El inters de la Polica Nacional del Ecuador es establecer la Informtica forense

para encontrar evidencias de los delitos informticos, crmenes tradicionales y de
esta forma podran ser utilizadas en cualquier proceso judicial como prueba del
ilcito. Se considera formalizar las tcnicas y los procedimientos para darle valor
probatorio a esas evidencias digitales.
En un crimen muchas veces las computadoras porttiles, de escritorio, medios fsicos

de almacenamiento como CDs, DVDs, memorias, telfonos celulares, dispositivos
de almacenamiento masivo, etc., son evidencias por lo tanto se requiere de
mecanismos para recuperar, interpretar y usarlas
para que puedan servir
como
pruebas.
La finalidad de este documento es analizar metodologas, tcnicas y proponer
herramientas a la Polica Nacional para que orienten y ayuden a manejar una escena
del delito en donde se vean involucrados sistemas de informacin o redes y la
posterior recuperacin de las evidencias digitales.
1.2
Informtica Forense
1.2.1 Definicin
Es la ciencia forense que se encarga de la preservacin, identificacin, extraccin,

interpretacin y presentacin de la informacin o datos que han sido procesados
electrnicamente y guardados en una computadora o sistema informtico, que servir
como evidencia digital.
La ciencia forense es sistemtica y se basa en hechos premeditados para recabar

pruebas que luego sern analizadas.
1.2.2 Objetivo de la Informtica Forense
Recobrar los registros y mensajes de datos existentes dentro de un equipo

informtico, y si es necesario reconstruir los mismos con la finalidad de obtener
informacin digital que pueda servir como prueba en un proceso judicial.
LPEZ DELGADO Miguel, Anlisis Forense Digital, Junio del 2007, CRIPORED Op. Cit
1.3
Computacin Anti Forense
Nadie puede disear un sistema, que alguien ms no pueda comprometer o

vulnerar. Esta frase nos advierte que las mejoras y acciones que se adelanten en las
herramientas forenses siempre estarn expuestas a nuevos desafos y pruebas por la
llamada informtica Anti-Forense.
La cual nos permitir nuevos desarrollos y
estrategias para enfrentar la inseguridad de la informacin y los exigentes requisitos

legales, alrededor de la evidencia digital, que se demandan al participar en un
proceso judicial.
La computacin anti forense es un conjunto de mtodos de levantamiento de

evidencias con el objetivo de debilitar los resultados de la computacin forense,
utilizando ciertas herramientas con las cuales se obtiene informacin confiable para
crear insolvencias en la evidencia y el proceso forense.
Afectan
los
Datos
(destruccin,
ocultamiento,
manipulacin,
fabricacin),
herramientas (debilidades, fallas en los resultados), anlisis (inconsistencias).
Caractersticas
Interrumpe el proceso de recoleccin de evidencias
Incrementa los tiempos necesarios de dedicacin a un caso
Genera dudas sobre un proceso forense o testimonio
Afecta la ejecucin y utilizacin de las herramientas forenses
Evita la deteccin de alguna clase de evento ocurrido
La informtica forense posee aspectos positivos y negativos tales como:
DELGADO BELTRN Carlos Anlisis Anti-Forense , Enero 2008 . Idem 3

15
Positivos
Replantean y validan: procesos forenses, herramientas forenses y habilidades.
Negativos
Pueden exonerar a un culpable.
Pueden inculpar a un inocente.
Afectar al proceso forense.
Clasificacin
Clasificacin
Destruir
Ocultar
Eliminar la Fuente
Falsificar
Figura 1.1 Clasificacin de la Computacin Anti-Forense
A continuacin se detalla las caractersticas y algoritmos que se emplean en la

clasificacin de la computacin anti-forense:
Prevenir que la evidencia sea encontrada, y en caso de ello, reducir su
utilidad.
Desmantelar o inutilizar la evidencia dentro de un proceso forense.
No busca hacer la evidencia inaccesible, busca que esta sea irrecuperable.
Nivel fsico y lgico.
Fsica: a travs de campos magnticos (Deggauser), Guardian Dog (dispositivo

magntico).
Lgica: cambio de la composicin de los datos, sobrescribir datos (Metada, Data), a

ms de eliminar las referencias de los datos.
Wipe (Liberar): sobrescribir los datos mediante la utilizacin de algoritmos, a

continuacin se listan los mtodos utilizados para esto algoritmos y su nivel de
seguridad:
Mtodo
Nivel de Seguridad
Borrado rpido
Bajo
RCMP TSSIT OPS-II
Medio
DoD Simple
Medio
DoD 5220-22 M
Medio
Gutman
Alto
PRNG Stream
Medio-Alto
Tabla 1.1 Nivel de Seguridad de Mtodos Anti-Forenses
El nivel de complejidad al usar estas herramientas es sencillo, y la recuperacin de

estos datos es casi imposible, una de las posibles soluciones ante este tipo de ciencia
Anti Forense es Anlisis Magntico.
Mtodos anti-forenses
Encriptacin, es uno de los mtodos ms usados para debilitar la computacin
forense.
Se puede dividir en tres tipos la encriptacin:
Simtrica: se realiza por medio de una contrasea que se introduce al momento de
encriptar el archivo negando de esta manera el acceso. Su desventaja es que si existe
alguna necesidad debemos enviar la informacin encriptada a otra persona, le
deberamos enviar la clave de la encriptacin.
Asimtrica: se utiliza una combinacin de llaves pblicas y privadas y de un

Presshared Key utilizado para comenzar el proceso de encriptacin.
17
Estenografa: Luego de la encripcin de datos, los mismos se almacenan bajo la

apariencia de otros archivos.
Estos archivos contienen los datos ocultos y se los
denominan archivos portadores.
Borrado Seguro: Comnmente usada para eliminar datos almacenados en

dispositivos magnticos.
Se realizan mediante aplicaciones como: Wiper, Erase,
PGP, WinHex, etc.
Esconder mensajes: el arte de esconder mensajes, es de tal forma que las personas
no pueden percibir que eso sucede, por ejemplo la tcnica ms usada es en imgenes
y archivos de audio, mediante la adicin de bits insignificativos, esta tcnica es
posible debido a la incapacidad que tienen los seres humanos de percibir variaciones
de sonido y calidad de imagen.
Es importante tener en consideracin, que las tcnicas Anti-Forenses pueden ser de

mucha utilidad para mejorar el proceso forense, debido a que permiten enfrentar y
descubrir las vulnerabilidades a las que la informtica forense est expuesta,
controlar la destruccin de las evidencias y as evitar la culpabilidad de un criminal o

en el peor de los casos incriminar a un inocente.
1.4
Delitos Informticos
Los delitos informticos, son aquellos actos delictivos que en su realizacin hacen
uso de las tecnologas electrnicas ya sea como mtodo, medio o fin y los delitos en
que se daa estos equipos, redes informticas, o la informacin contenida en ellos,
vulnerando bienes jurdicos protegidos.
HUILCAPI PEAFIEL Arturo Oswaldo, CETID Opc.Cit

18
Los tipos de Delitos son:

Manipulacin de computadoras:
Manipulacin de datos de entrada
Manipulacin de programas
Manipulacin de los datos de salida
Daos o modificaciones de programas o datos computarizados
Falsificaciones informticas:
Cuando se alteran datos de los documentos almacenados en forma
computarizada.
Cuando se usan las computadoras para efectuar falsificaciones de
documentos de uso comercial.
Fraudes en Internet:
Carding: uso de tarjetas de crdito ajenas o fraudulentas
Ventas de productos que nunca llegan a entregarse
Estafas, subastas ficticias
Phising: redireccin mediante correo electrnico a falsas pginas

simuladas trucadas.
Seguridad Lgica:
Sabotaje informtico mediante: virus, gusanos, ataques de denegacin de
servicio, sustraccin de datos, hacking, descubrimiento y revelacin de
secretos, suplantacin de personalidades, sustraccin de cuentas de correo
electrnico.
Delitos de injurias, calumnias y amenazas a travs del e-mail, news, foros,
chats o SMS.
Propiedad Intelectual:
Piratera de programas de ordenador, de msica y de productos
cinematogrficos
Robos de cdigo.
Accesos no autorizados:
Acceso no autorizado a servicios y sistemas informticos.
Piratas informticos o hackers.
Reproduccin no autorizada de programas informticos de proteccin

legal.
Otros delitos:
A travs de Internet se pueden comprar drogas ilcitas, armas, productos
farmacuticos no regulados, documentos falsos.
1.5
Pornografa infantil (produccin, distribucin y posesin)
Reglas de la Informtica Forense
A continuacin se presentan reglas generales para aplicar a cualquier proceso en la

informtica forense, su cumplimiento es fundamental para asegurar la aceptacin,
recepcin de cualquier evidencia en un juzgado. Dado que la metodologa que se
emplee ser determinada por el especialista forense, el proceso escogido debe
aplicarse de forma que no se vulneren las reglas bsicas de la informtica forense.
Esencialmente, las reglas de la informtica forense son:

4
CASEY, E. Digital Evidence and Computer Crime. Academic Press, 2000. Op.Cit.
Regla 1: Minimizar el Manejo del Original

La aplicacin del proceso de la informtica forense durante el examen de los datos
originales se deber reducir al mnimo posible. Esto se puede considerarse como la
regla ms importante en la informtica forense. Cualquier anlisis debe dirigirse de
manera tal que minimice la probabilidad de alteracin, esto se logra copiando el
original y examinando luego los datos duplicados.
La duplicacin de evidencia tiene varias ventajas:
Asegurar que el original no ser alterado en caso de un uso incorrecto o

inapropiado del proceso que se aplique.
Permitir al examinador aplicar diferentes tcnicas en casos dnde el mejor

resultado no est claro. Si durante tales ensayos los datos se alteran o se
destruyen, simplemente se recurre a otra copia.
Permite a varios especialistas de informtica forense trabajar en los mismos

datos, o en partes de los datos, al mismo tiempo.
Asegurar que el original se ha preservado en el mejor estado posible para la

presentacin en un juzgado.
Aunque hay ventajas al duplicar la evidencia, hay tambin desventajas.
La duplicacin de evidencia debe realizarse de la mejor manera y con

herramientas, que aseguren que el duplicado es una copia perfecta del
original. El fracaso para autenticar el duplicado apropiadamente, producir
un cuestionamiento sobre su integridad, lo que lleva inevitablemente a
preguntar por la exactitud y fiabilidad del proceso del examen y los
resultados logrados.
Duplicando el original, se est agregando un paso adicional en el proceso

forense, a mas de que la recreacin de este ambiente se torna una tanto difcil,
esto implica que se requieren ms recursos y tiempo extra para facilitar el

proceso de duplicacin, y la metodologa empleada debe extenderse para
incluir el proceso de la duplicacin.
Regla 2: Documentar los cambios

Cuando ocurren cambios ya sea en la evidencia original o duplicados durante un
examen forense, la naturaleza, magnitud y razn para ellos debe documentarse
apropiadamente, esto se aplica tanto a nivel fsico como lgico. Adicionalmente, el
perito debe ser capaz de identificar correctamente la magnitud de cualquier cambio y
dar una explicacin detallada de por qu era necesario el mismo, este proceso
depende directamente de las habilidades y conocimiento del investigador forense.
Durante el examen forense este punto puede parecer insignificante, pero se vuelve un
problema crtico cuando el examinador est presentando sus resultados en un juicio.
Aunque la evidencia puede ser legtima, las preguntas acerca de las habilidades del
examinador y conocimiento pueden afectar su credibilidad, as como la confiabilidad
del proceso empleado. Con una duda razonable, los resultados del proceso forense,
en el peor de los casos, se consideraran inaceptables. Aunque la necesidad de alterar
los datos ocurre pocas veces, hay casos dnde al examinador se le exige el cambio
para facilitar el proceso del examen forense.
Regla 3: Cumplir con las Reglas de Evidencia

Para la aplicacin o el desarrollo de herramientas y tcnicas forenses se deben tener
en cuenta las normas pertinentes de evidencia.
Asegurar que el uso de herramientas y tcnicas no disminuye la admisibilidad

del producto final.
22
Presentar la informacin de una manera que sea tan representativa del

original como sea posible. Es decir, el mtodo de presentacin no debe alterar
el significado de la evidencia.
Regla 4: No exceda su conocimiento

El especialista en informtica forense no debe emprender un examen ms all de su
nivel de conocimiento y habilidad. Es esencial que el perito sea consciente del lmite
de su conocimiento y habilidad. Llegado este punto, dispone de las siguientes
opciones:
Detener cualquier examen y buscar la ayuda de personal ms experimentado.
Realizar la investigacin necesaria para mejorar su propio conocimiento, para

que le permita continuar el examen y se alcance a obtener lo que se busca.
Es indispensable que el examinador forense puede describir correctamente los

procesos empleados durante un examen y explicar de la mejor manera la
metodologa seguida para ese proceso. El fracaso para explicar competentemente y
con precisin, la aplicacin de un proceso puede producir cuestionamientos sobre el
conocimiento y credibilidad del examinador.
Los anlisis complejos deben ser emprendidos por personal calificado y

experimentado que posea un apropiado nivel de entrenamiento. Adicionalmente,
dado que la tecnologa est avanzando continuamente, es importante que el
examinador reciba entrenamiento continuo.
1.6 Aspectos Legales
1.6.1 Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos

(Ley N2002-67)
En abril del 2002 se aprob el texto definitivo de la Ley de Comercio Electrnico,
Mensajes de Datos y Firmas Electrnicas, y en consecuencia las reformas al Cdigo
Penal que hacen referencia a los delitos informticos.
De acuerdo a la Constitucin Poltica de la Repblica del Ecuador, en su Ttulo X,
Captulo 3ro., al hablar del Ministerio Pblico, en su Art. 219 inciso primero seala
que el Ministerio Pblico prevendr en el conocimiento de las causas, dirigir y
promover la investigacin pre-procesal y procesal penal. Esto es en concordancia
con el Art. 33 del Cdigo de Procesamiento Penal que seala que: el ejercicio de la
accin pblica corresponde exclusivamente al fiscal. Es por tanto el Fiscal quien
deber llevar la voz en la investigacin de esta clase de infracciones de tipo
informtico para lo cual contara como seala el Art. 208 del Cdigo de
Procedimiento Penal con su rgano auxiliar la Polica Judicial quien realizar la
investigacin de los delitos de accin pblica y de instancia particular bajo la
direccin y control Ministerio Pblico, en tal virtud cualquier resultado de dichas
investigaciones se incorporan en su tiempo ya sea a la Instruccin Fiscal o a la
Indagacin Previa, esto como parte de los elementos de conviccin que ayudarn
posteriormente al representante del Ministerio Pblico a emitir su dictamen
correspondiente.
La Ley de Comercio Electrnico, Mensajes de Datos y Firmas Electrnicas regula

los mensajes de datos, la firma electrnica, los servicios de certificacin, la
contratacin electrnica y telemtica, la prestacin de servicios electrnicos, a travs
de redes de informacin, incluido el comercio electrnico y la proteccin a los
usuarios de estos sistemas. Tambin contempla un Captulo con cinco artculos con
referencia al medio de prueba, que los mensajes de datos, firmas electrnicas,
documentos electrnicos y los certificados electrnicos nacionales o extranjeros,
5
Dr. ACURIO DEL PINO Santiago, Introduccin a la Informtica Forense

Dr. BERNAL Geovanny , Informtica Jurdica, Enero 2008.
24
emitidos de conformidad con esta Ley, cualquiera sea su procedencia o generacin,

sern considerados medios de prueba, con una valoracin bajo los principios
determinados en la Ley y tomando en cuenta la seguridad y fiabilidad de los medios
con los cuales se la envi, recibi, verific, almacen o comprob si fuese el caso,
sin perjuicio de que dicha valoracin se efecte con el empleo de otros mtodos que
aconsejen la tcnica y la tecnologa. La valoracin de la prueba se someter al libre
criterio judicial, segn las circunstancias en que hayan sido producidos. El juez o
rbitro competente que conozca el caso deber designar los peritos que considere
necesarios para el anlisis y estudio tcnico y tecnolgico de las pruebas presentadas.
Las Reformas al Cdigo Penal de las Infracciones Informticas incluyen los ataques
que se producen contra el derecho a la intimidad, a la obtencin y utilizacin no
autorizada de informacin, sabotajes informticos, falsificacin electrnica, daos
informticos, apropiacin ilcita.
1.6.2
Ley de Propiedad Intelectual (May-98)
La Ley de Propiedad intelectual vigente en el Ecuador desde Mayo de 1998 se refiere

a las normas que
garantiza el derecho de autor, inventor de la obra, invento o
descubrimiento correspondiente. Contempla los programas de ordenador (software).

Cuando se trata de software la proteccin es sobre los derechos de autor no como
invento o descubrimiento. Al ser producto de ingenio humano es considerado como
una obra literaria.
El reconocimiento es independiente del objeto en el cual este
incorporada la obra, los derechos de autor se garantiza a pesar de no estar

incorporado en un ordenador e independientemente de su forma de expresin, es
decir sea legible para el hombre o para la mquina. Pueden ser diagramas de flujo,
planos, manuales de uso, programas operativos, aplicativos y todos los elementos
que conforman la estructura, secuencia y organizacin de un programa.
Los artculos 324 325 de la Ley de Propiedad Intelectual ha establecido las

sanciones a aplicarse en caso de violaciones contra estos derechos como la
publicacin,
difusin,
reproduccin,
deformacin,
modificacin,
traduccin,
mutilacin, arreglo, adaptacin, etc., no autorizados por el autor.
LEY
Ley de Comercio
Electrnico, Firmas
Electrnicas y
Mensajes de Datos
ECUADOR
Ley de Propiedad
Intelectual
DELITO QUE SANCIONA ARTCULO

Daos
informticos
y 415.1-415.2
sabotaje informtico
Cod. Penal
Falsificacin informtica
353.1
Cod. Penal
Apropiacin ilcita
553.1
Cod. Penal
Estafas
y
otras
563
defraudaciones
Cod. Penal
Infraccin CopyRight de base
415.1
de datos
Cod. Penal
Accesos no autorizados
202.1-202.2
Cod. Penal
Pornografa Infantil
528.7
Cod. Penal
Propiedad Intelectual
28 al 32
Tabla.1.2 Sanciones para los delitos informticos en el Ecuador
Para luchar contra la Delincuencia Informtica no slo es necesario contar con leyes
e instrumentos eficaces sino tambin con la infraestructura tanto tcnica como con el
recurso humano calificado para hacerle frente a este tipo de delitos cada vez ms
crecientes. En cumplimiento con el mandato constitucional el Ministerio Pblico
tiene la obligacin Jurdica de poseer un cuerpo especializado para combatir esta tipo
de criminalidad a fin de precautelar los derechos de las vctimas y llevar a los
responsables a juicio. Es preciso desarrollarse en las investigaciones tanto policiales
como del Ministerio Pblico especializadas en abordar cuestiones de la delincuencia
informtica e informtica forense.
Actualmente en la Polica Nacional est en proceso de aprobacin la implementacin
de una Unidad Especializada en Investigacin de Delitos Informticos con secciones
de Investigaciones e Inteligencia y de Anlisis Forense.
Ing. ARIAS MIO Gonzalo Mayor de Polica. Op.Cit
CAPTULO 2
ANLISIS Y DIAGNSTICO DE LA INSTITUCIN
2.1 Antecedentes
Los pasos que hoy en da se dan en el campo de la tecnologa son vertiginosas,

computadoras,
celulares,
Internet,
automatizacin
de
tareas
mediante
la
implementacin de programas, telecomunicaciones, etc., han llegado a ser parte de la

vida del ser humano, no solo en el mbito laboral sino tambin personal debido a la
informacin sobre la identidad de cada persona, almacenada en las diversas Bases de
Datos, de igual manera las transacciones de compra, venta, pagos, depsitos, etc., se
lo realiza a travs de Internet. Todo este flujo de informacin es trasmitida a travs la
red de redes (Internet).
Lo que engloba esta era tecnolgica trae interrogantes como, Qu tan protegida est
la informacin?, de Cmo se puede reaccionar a ataques contra la integridad del
individuo o de las empresas?, De que si las leyes y medios existentes en nuestro
pas pueden descubrir cmo, quin cometi el delito y que sentencia recibir?.
En el Ecuador se han manifestado casos de delitos informticos que no son

divulgados o denunciados por los individuos o empresas afectadas por evitar un caos,
por resguardar su imagen o, muchas veces por desconocimiento de la ley que
incrimina ciertos delitos informticos.
La Polica Nacional tiene como funcionalidad resguardar y proteger a la ciudadana,
por ello se considera que el crecimiento de la institucin debe ser permanente y en
constante actualizacin, ya que cada vez ms la tecnologa informtica se ha
convertido en un instrumento para cometer crmenes. La Polica es consciente de
que los delitos tanto tradicionales como informticos que se suscitan en nuestro pas,
demandan grandes desafos en sus investigaciones ya que se han obtenido evidencias

como computadoras, telfonos celulares, dispositivos de almacenamiento, programas
o cualquier tipo de hardware que requieren de conocimiento, tcnicas y herramientas
de Informtica Forense para que se pueda realizar una reconstruccin, anlisis y
reconocimiento del delito de una manera adecuada y llegar as hasta el atacante. En
la misma institucin se han dado casos de extorsin mediante la tecnologa, en donde
no se ha podido aplicar una metodologa de investigacin de anlisis forense para
poder obtener evidencias contundentes y de esta manera detectar a tiempo al
individuo y que sea enjuiciado.
La Polica Nacional al considerar que estos comportamientos delictivos afectan

directamente a la sociedad ecuatoriana en su conjunto, ha iniciado un Proyecto en el
que se desarrollan las reglas y normativas para la implementacin de un
Departamento Especializado en la investigacin de delitos informticos.
2.2 Proceso Interdepartamental
La Polica Nacional para cumplir sus funciones se encuentra dividida en las

siguientes reas:
Polica Judicial
Trnsito
Migracin
Criminalstica
o Investigaciones
Antinarcticos
Departamento Nacional de Comunicaciones.
Cada rea posee determinadas funciones cumplen con el objetivo de proteger y velar
por el bienestar de la ciudadana.
28
Las investigaciones que se realizan sobre los crmenes o delitos (dependiendo del
tipo) requieren de la presencia e interaccin de todos los departamentos de la Polica
Nacional.
Los delitos informticos son denunciados directamente en la Direccin Nacional de

la Polica Judicial pero actualmente no son tratados en un departamento especfico
para el correcto anlisis y comprobacin de los mismos, el personal policial que
acta son los pertenecientes al Departamento Nacional de Comunicaciones si se trata
de delitos informticos propiamente dichos, pero si se trata de delitos tradicionales y
que como medio se utiliz un dispositivo digital o electrnico acta el Departamento
de Criminalstica y dependiendo del caso el Departamento de Antinarcticos.
La Polica Nacional ha visto la necesidad de mejorar el resguardo de la ciudadana

con los atentados de este tipo de delitos. Por tal razn, la Polica ha realizado un
Proyecto en el que se proponen incrementar un departamento especializado en delitos
informticos. Se plantea iniciar en la ciudad de Quito con la siguiente estructura del
departamento:
Figura 2.2 Organigrama del Departamento de Investigacin de Delitos Informticos (Propuesta)
Como objetivos del Departamento planteados en el Proyecto son los siguientes:
Investigar delitos relacionados con el uso ilcito de recursos tecnolgicos y de

esta manera brindar al Ministerio Pblico y a las unidades de la Polica
Nacional el soporte tcnico en manejo de los indicios.
Desarrollar conocimientos especializados de tcnicas de investigacin de

delitos cibernticos.
Mantener la cooperacin de agencias de investigacin, encargados de

mantenimiento de orden y seguridad pblica en otros pases.
Aprobar los medios probatorios a la fiscala.
Utilizar herramientas y recursos tecnolgicos para un adecuado anlisis.
Asistir al Ministerio Pblico para una correcta ejecucin de las leyes contra el
cibercrimen.
Detectar e investigar conductas ilcitas:

o
Acceso ilegal a sistemas informticos
Interceptacin ilegal de las telecomunicaciones
Daos en sistemas informticos
Fraude electrnico
Fraude en las Telecomunicaciones
Pornografa infantil en sitios y servidores Web ubicados en nuestro

pas.
Para que el Departamento en proyecto pueda responder a las expectativas ansiadas

se requiere de una exhaustiva investigacin de la Informtica Forense, para poder
escoger una metodologa adecuada, con herramientas seleccionadas apropiadamente
y con una gua de buenas prcticas enfocada a la realidad de nuestro pas.
2.3 Herramientas Informticas orientadas a la investigacin de delitos vigentes

en la actualidad
La Polica Nacional tiene un Sistema de Informtica Integrado, que fue adquirido a la

empresa TransTools, el proyecto comprende el desarrollo de subsistemas a la medida
de las necesidades de la Polica Nacional.
El sistema informtico est dividido en dos reas:

rea de Gestin Externa, compuesta por los siguientes subsistemas:
Trnsito
Migracin
Investigaciones
Antinarcticos
Incluye la instalacin e integracin del Sistema de Identificacin decadactilar

automatizado (AFIS) de la Empresa PRINTRAK MOTOROLA. Esta herramienta
en parte est enfocada a la informtica forense.
rea de Gestin Interna, compuesta por los siguientes subsistemas:
Recursos Humanos
Salud
Educacin
Inspectora
Inteligencia
Operaciones
Gerencial
Documental
El objetivo de este desarrollo es lograr que la Polica cuente con una base de datos
integral y nica basada en la informacin del personal policial, vehculos, objetos,
casos e incidentes.
El proyecto ha sido administrado con cinco componentes:

1. Acondicionamiento tcnico operacional
2. Hardware y software de base
3. Software aplicativo
4. Conectividad
5. Capacitacin.
El Sistema Informtico no es un sistema sofisticado de inteligencia, el sistema

cumple los siguientes objetivos:
Renovar la estructura organizacional de la Institucin Policial para que est

conforme con el cambio tecnolgico y cultural.
Formar un grupo de profesionales policiales en el rea de informtica para

responsabilizarse de la operacin y mantenimiento futuro del Sistema
Informtico Integrado.
Consolidar una base de datos nica a nivel nacional, a la que puedan acceder
los distintos funcionarios de la Polica Nacional, dependiendo de su rango y
los niveles de seguridad establecidos en el sistema.
Sistema AFIS
Figura 2.1 Sistema de Identificacin Decadactilar automatizado
El Sistema de Identificacin decadactilar automatizado (AFIS) actualmente est en

funcionamiento en el Departamento de Criminalstica de las ciudades de Quito y
Guayaquil como apoyo en las investigaciones de crmenes tradicionales y que podra
ser til tambin para investigaciones de delitos informticos.
El sistema AFIS es un sistema de identificacin policial basado en identificacin
biomtrica mediante huellas dactilares. El sistema automatiza las tareas de bsqueda
y almacenamiento de huellas dactilares, nicamente en los archivos policiales y en la

informacin de los registros de los detenidos.
El dimensionamiento del sistema es para un almacenamiento en lnea de un mximo

de 200.000 tarjetas decadactilares de detenidos y 600.000 huellas latentes.
El sistema no mantiene la base de datos de todos los ciudadanos ecuatorianos porque

el Registro Civil est encargado de esta responsabilidad.
Convenios con Instituciones del Estado para mantener el Sistema Informtico
Registro Civil: Convenio para validar y cotejar la informacin, para que los
documentos que emite la Polica Nacional, como licencias, matrculas, datos de
filiacin, certificaciones de censos, requisitos de admisin a las filas policiales,
certificados de antecedentes personales, etc., sean verdaderas y confiables.
Servicio de Rentas Internas: Con las entidades bancarias no existe relacin ya que
toda la informacin del pago de especies se realiza a travs del sistema bancario, los
cuales directamente transfieren al Servicio de Rentas Internas y este a su vez
transfiere a la Polica Nacional.
La falta de Herramientas orientadas a la Informtica Forense ha sido un problema

para la Polica Nacional ya que no ha podido cumplir a cabalidad las investigaciones
requeridas para obtener evidencias y as sustentar las pruebas para la sentencia de un
delito informtico.
Agencia de Noticias de la Polica del Ecuador - www.policiales.coberturadigital.com
CAPTULO 3
FASES DE LA INFORMTICA FORENSE
La Polica Nacional, ante el manejo de evidencias

sobre un crimen o delito
informtico cometido, deber actuar como cualquier proceso criminal, el primer paso
es asegurara la escena del delito restringiendo el acceso a la misma para no modificar
la evidencia. Los peritos que manejen el caso debern poseer conocimientos sobre
las metodologas del anlisis forense informtico que se deben aplicar segn el caso.
Presentacin de
evidencia
Analizar las
evidencias
Preservar las
evidencias
Identificar
evidencia
- Segn prioridad
-Conservacin inicial
- Fase crtica
- Preservar de forma
que no exista duda
de la evidencia
-Creacin de
imgenes a nivel de
bit
- Generar checksum
de original y copias
- Propsito: dar
respuestas a las
preguntas.
Quin, que cuando
y como?
- Analizar
requerimientos del
cliente. Bsqueda de
las evidencias
acorde al caso.
Figura 3.1 Metodologa del Anlisis Forense
- Dar un informa
claro, conciso,
estructurada y sin
ambigedad de las
evidencias.
- No se debe usar un
lenguaje muy tcnico
- Deber contener
las evidencias
encontradas de
acuerdo al caso
Para llevar a cabo una investigacin forense es adecuado conocer ciertos aspectos
tales como:
Conocer las condiciones bajo las cuales, la evidencia ser considerada como :
o Admisible
o Autentica
Equipo de Investigacin de Incidentes y Delitos Informticos. WWW.EIIDI.COM
o Completa
o Confiable
o Creble
Conocer el procedimiento para llevar a cabo una investigacin, cuando debe

llevarse a cabo las cuestiones legales a tener en cuenta, dependiendo del pas
donde se lleve a cabo.
Existen modos de Anlisis para la Informatica Forense, estos son:
Anlisis post-mortem: se realiza con un equipo dedicado especficamente para fines

forenses para examinar discos duros, datos o cualquier tipo de informacin recabada
de un sistema que ha sufrido un incidente. En este caso, las herramientas de las que
se puede disponer son aquellas que existan en el laboratorio destinado al anlisis de
discos duros, archivos de logs de firewalls, etc.
Anlisis en caliente: se lleva a cabo cuando un sistema presume que ha sufrido un

incidente o est sufriendo un incidente de seguridad. En este caso, se debe emplear
un CD con las herramientas de Respuesta ante Incidentes y Anlisis Forense
compiladas de forma que no realicen modificaciones en el sistema. Una vez hecho
este anlisis en caliente, y confirmado el incidente, se realiza el anlisispost-mortem.
Cadena de custodia: el es conjunto de pasos o procedimientos seguidos para

preservar la prueba digital que permita convertirla y usarla como evidencia digital en
un proceso judicial. No existe un estndar reconocido pblicamente.
La cadena de custodia debe:

Reducir al mximo la cantidad de agentes implicados en el manejo o
tratamiento de evidencias.
Mantener la identidad de las personas implicadas desde la obtencin hasta
la presentacin de las evidencias.
Asegurar la firmeza de las evidencias.
Registros de tiempos, firmados por los agentes, en los intercambios entre
estos de las evidencias. Cada uno de ellos se har responsable de las
evidencias en cada momento.
Asegurar la firmeza de las evidencias cuando las evidencias estn

almacenadas asegurando su proteccin.
La secuencia de la cadena de la evidencia debe seguir el siguiente orden:

Recoleccin e identificacin de evidencia.
Anlisis.
Almacenamiento.
Preservacin.
Transporte.
Presentacin en el juzgado.
Retorno a su dueo.
La cadena de la evidencia muestra:
Quin obtuvo la evidencia.

Dnde y cundo la evidencia fue obtenida.
Quin protegi la evidencia.
Quin ha tenido acceso a la evidencia.
3.1
Identificacin de la Evidencia Digital
En esta fase se debe localizar los dispositivos donde podemos encontrar evidencias,
ya que muchas veces la informacin que directa o indirectamente se relaciona con
esta conducta criminal queda almacenada de forma digital dentro de estos Sistemas
Informticos.
La Evidencia Digital Es el conjunto de datos en formato binario, comprende los

ficheros, su contenido o referencias a stos (meta-datos= datos acerca de datos) que
se encuentren en los soportes fsicos o lgicos del sistema atacado, los mismos
pueden ser recolectados y analizados con herramientas y tcnicas especiales.
Tipo de Evidencia Digital
Constante: evidencia almacenada en un medio informtico y que se mantiene

preservada despus de que la computadora sea apagada.
Voltil: evidencia que se encuentra almacenada temporalmente, en la

memoria RAM, o en el cach, y al interrumpir la alimentacin elctrica la
evidencia se pierde. Este tipo de evidencia deber ser recuperada casi de
inmediato, guardarlas a ficheros de sta forma se convertir en evidencias no
voltiles.
Es importante considerar la diferencia que hay entre la evidencia digital y evidencia

electrnica ya que estas pueden ser usadas como sinnimos, sin embargo la primera
9
se refiere a los aparatos electrnicos como celulares y PDAS y la segunda a la
informacin digital que estos contengan.
Clasificacin de la Evidencia Digital
1)
Fsica
10
Evidencia
Soportes de Almacenamiento
CPU
Diskettes
CD-ROMs, DVD
Cintas magnticas, etc.
Dispositivos electrnicos
Telfonos celulares
9 PDAS: es un computador de mano originalmente diseado como agenda electrnica (calendario,

lista de contactos, bloc de notas y recordatorios) con un sistema de reconocimiento de escritura. Hoy
da se puede usar como una computadora domstica (ver pelculas, crear documentos, juegos, correo
electrnico, navegar por Internet, reproducir archivos de audio, etc.).
10
ZUCCARDI Giovanni GUTIRREZ Juan David., Informtica Forense.
Agendas
Organizadores electrnicos
Dispositivos de comunicaciones de red
11
Routers
Switchs
Hubs
2) Evidencia Lgica: cualquier dato almacenado o generado en un medio

magntico, este tipo de evidencia puede ser clasificada en tres categoras:
Registros generados por computador: Estos registros son generados como

efecto de la programacin de un computador, y son inalterables por una
persona, los mismos son llamados registros de eventos de seguridad (logs).
Registros no generados sino simplemente almacenados por o en

computadores: Estos registros son generados por una persona, son
almacenados en el computador, por ejemplo, un documento realizado con un
procesador de palabras.
Registros hbridos: estos registros incluyen tanto registros generados por

computador como almacenados en los mismos.
Los registros hbridos son aquellos que combinan afirmaciones humanas y
logs.
Registros de cada servidor: son aquellos registros del sistema y de cada

programa en ejecucin, como pueden ser los de un servidor Web Apache.
Registros de trfico de red
11
Switch: dispositivo electrnico de interconexin de redes de ordenadores que opera en la capa 2

(nivel de enlace de datos) del modelo OSI.
Hub: o concentrador es un equipo de redes que permite conectar entre s otros equipos y retransmite
los paquetes que recibe desde cualquiera de ellos a todos.
Router: enrutador o encaminador, dispositivo de hardware para interconexin de redes de las
computadoras que opera en la capa tres (nivel de red)
38
Registros de aplicacin: son aquellos registros a los que cada aplicacin

almacena sobre el acceso de los usuarios, errores ocurridos e informacin
sobre las actividades de cada usuario en la aplicacin.
Fuentes de la Evidencia Digital
Las fuentes de evidencia digital pueden ser:
1) Sistemas de computacin abiertos: estn compuestos por computadoras

personales y servidores con sus perifricos (teclado, Mouse, monitor), son
una fuente de evidencia digital muy importante ya que almacenan gran
cantidad de informacin en sus discos duros.
2) Sistemas de Comunicacin: estn compuestos por
telecomunicaciones, Internet y comunicacin inalmbrica.
redes
de
3) Sistemas Convergentes de Computacin: formados por telfonos

celulares, llamadas inteligentes, asistentes personales digitales PDAs,
tarjetas inteligentes y cualquier dispositivo electrnico que posea
tendencia digital.
Identificacin de la Evidencia
12
Para la identificacin de la evidencia dentro del proceso forense se debe:
Anticipar qu procedimientos sern empleados en la prctica forense al

momento de recopilar la evidencia.
Identificar el tipo de informacin almacenada en un dispositivo y el formato
en que se guarda, con la finalidad de usar la tecnologa apropiada para extraer
la informacin que se mantienen en el mismo.
Los investigadores forenses deben estar en capacidad de reconocer qu
formato tiene determinada informacin, cmo extraerla y qu medio
requieren para almacenar y preservar la misma.
Con la finalidad de determinar donde debe ser ubicada y como debe ser usada la
evidencia, se definen categoras para distinguir entre un sistema informtico
o
12
Dr. ACURIO DEL PINO, Introduccin a la Informtica Forense Santiago. Op. Cit.p 13
hardware (evidencia electrnica) y la informacin contenida en este (evidencia

digital).
El hardware se refiere a todos los componentes fsicos de un sistema informtico, la
informacin se refiere a datos, programas almacenados, mensajes de datos
trasmitidos usando el sistema informtico.
SISTEMA INFORMTICO
Hardware
Evidencia Electrnica
(elementos fsicos)
El hardware es mercanca
ilegal o fruto del delito.
- El hardware es una mercanca ilegal cuando su posesin no est

autorizada por la ley.
- El hardware es fruto del delito cuando es obtenido mediante robo,
fraude u otra clase de infraccin
El hardware es un instrumento
- Es un instrumento cuando del hardware cumple un papel

importante en al cometer del delito, es decir si se lo usa como una
13
arma o herramienta tal como una pistola, ejemplo snifers
El hardware es evidencia
- Es un elemento fsico que se constituye como prueba de la

comisin de un delito.
Tabla 3.1 Identificacin de la Evidencia (I)
SISTEMA INFORMTICO
Informacin
Evidencia Electrnica
La informacin es
mercanca ilegal o
fruto del delito.
- La informacin es mercanca ilegal cuando su posesin no est autorizada

por la ley. Ejemplo: pornografa infantil
La informacin es un
instrumento
- La informacin es un instrumento o herramienta, cuando es usada como

medio para cometer una infraccin penal. Ejemplo: programas usados para
romper seguridad de un sistema informtico, rompiendo contraseas o
- La informacin es fruto del delito cuando sea el resultado de la comisin de

una infraccin. Ejemplo: copias piratas de programas, secretos industriales
hurtados.
13 Snifers: es un programa para monitorizar y analizar el trfico en una red de computadoras,

detectando los cuellos de botella y problemas que existan. Tambin puede ser utilizado para
"captar", lcitamente o no, los datos que son transmitidos en la red.
brindan acceso no autorizado.

La informacin es
evidencia
- Esta categora es de suma importancia, debido a que muchas de nuestras

acciones diarias dejan un rastro digital, se puede obtener mucha informacin
14
como evidencia. Ejemplo: informacin de los ISPs , bancos ya que estos
pueden revelar actividades particulares de los sospechosos.
Tabla 3.2 Identificacin de la Evidencia (II)
3.1.1 Descubrimiento de las seales del ataque
Para descubrir algn tipo de anomala, incidente o ataque se deber tomar en

consideracin las siguientes tareas:
Interpretar comandos en modo consola (cmd, bash)
Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas

(fport, lsoft)
Listar usuarios conectados local y remotamente al sistema
Obtener fecha y hora del sistema (date, time)
Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones

que los lanzaron (ps, pslist).
Enumerar las direcciones IP del sistema y mapear la asignacin de

direcciones fsicas MAC con dichas IP (programas: ipconfig, arp, netstat,
net)
o MACMAC Times:
Cada entrada del Sistema de Ficheros mantiene tres fechas y
horas
14 ISPs: proveedores de servicio de Internet.
41
de todas las entradas que se encuentran en este (ficheros,

directorios, links, etc.).
Importantes para el anlisis de mquinas comprometidas.
Los MAC Times son:
Modificacin (Modification): Cambios en el fichero o
directorio
a nivel de su contenido.
Acceso (Access): Acciones de lectura, escritura (puede no
implica cambio), etc.
Cambio (Change): Cambio a nivel de caractersticas del
fichero (permisos, usuarios, propietarios, etc.)
-
Buscar ficheros ocultos o borrados (programas: hfind, unrm, lazarus)
Visualizar registros y logs del sistema (programas: reg, dumpel)
Visualizar la configuracin de seguridad del sistema (auditpol)
Generar funciones hash de ficheros (programas: sah1sum, md5sum)
Leer, copiar y escribir a travs de la red (programas: netcat, crypcat)
Realizar copias bit-a-bit de discos duros y particiones (programas: dd,

safeback)
Analizar el trfico de red (programas: tcpdump, windump)
Opciones de Bsqueda
Realizar una verificacin de integridad de los ficheros del sistema,

utilidades como Tripwire o AIDE (Advance Intrusion Detection
Enviroment) ayudarn a ello.
Conocer los procesos que se estn ejecutando actualmente en el equipo y

ver cual de ellos consume ms recursos, con ubicaciones poco frecuentes
en el sistema de archivos y los que mantengan conexiones de red en

puertos TCP o UDP no habituales.
-
Listar todos los puertos TCP y UDP abierto, se deber tomar muy en
cuenta aquellos procesos que emplean puertos altos por encima del 1024.
Editar los archivos de registro del sistema y logs en busca de entradas y

avisos sobre fallos de instalacin, accesos no autorizados, conexiones
errneas o fallidas.
Al momento de descubrir una evidencia, se deber:
- Conservar la evidencia, y por ningn motivo modificarla.

- Utilizar herramientas que no modifiquen el tiempo de ejecucin de los
archivos.
- No modificar los archivos ni borrarlos.
3.1.2 Recoleccin de Evidencias
La recopilacin de evidencias permite determinar el mtodo de entrada al sistema, la

actividad de los intrusos, su identidad y origen, para todo ello se debe poseer mucha
precaucin para evitar alterar las evidencias durante el proceso de recoleccin.
La recoleccin de evidencia, vara de pas en pas, y por lo tanto, un anlisis exacto y

completo est fuera de los lmites. Sin embargo, se presentan guas bsicas que
pueden ayudar a cualquier investigador forense:
La IOCE (Organizacin Internacional de Evidencias en Computadora) define cinco

puntos principales para el manejo y recoleccin de evidencia digital:
1. Al recolectar evidencia digital, las acciones tomadas no deben cambiar por

ningn motivo esta evidencia.
2. La persona que tenga acceso a evidencia digital original, deber ser un
profesional forense.
3. Toda la actividad referente a la recoleccin, el acceso, almacenamiento o a la
transferencia de la evidencia digital, debe ser documentada completamente,
preservada y disponible para la revisin.
4. Un individuo es responsable de todas las acciones tomadas con respecto a la
evidencia digital mientras que sta est en su posesin.
5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar
o transferir evidencia digital es responsable de cumplir con estos principios.
3.1.2.1 Cuidados en la Recoleccin de evidencias
La recoleccin de evidencia informtica es un aspecto frgil del la computacin

forense, especialmente porque requiere de prcticas y cuidados adicionales que no se
tienen en la recoleccin de evidencia convencional. Es por esto que:
Se debe proteger los equipos del dao.
Se debe proteger la informacin contenida dentro de los sistemas de

almacenamiento de informacin (muchas veces, estos pueden ser alterados
fcilmente por causas ambientales, o por un simple campo magntico).
Algunas veces, ser imposible reconstruir la evidencia (o el equipo que la

contiene), si no se tiene cuidado de recolectar todas las piezas que se
necesiten.
El hardware es uno de los elementos que se deben tener en cuenta a la hora de la

recoleccin de evidencias, es por eso que se deben tener consideraciones especiales.
Lo primero que se debe preguntar el investigador es qu partes se deben buscar o
investigar.
3.1.2.2 Inicio de la Recoleccin
Para iniciar la recoleccin de evidencias se debe:
Apagar el equipo atacado
Anotar la fecha, hora de inicio y fin de cada uno de los pasos que se realicen
Anotar las caractersticas y nmeros de serie de cada equipo, de sus

componentes, de su S.O. (Sistema Operativo), etc.
Fotografiar los equipos el entorno.
Es recomendable que exista un acompaante durante el proceso de

recopilacin de evidencias, sta actuara como testigo al tomar cualquier
accin en la escena, si es un Notario es mucho mejor.
Una vez que ya se realizaron las tareas anteriores se deber definir el estado del
sistema y del atacante:
Elegir el tipo de anlisis que se efectuar en el equipo:

o Anlisis con el equipo apagado= En fro: es vlido si se lo realiza
bien, pero no se posee toda la informacin del ataque.
o Anlisis en caliente=mientras el ataque se esta realizando: brinda
ms informacin (procesos, conexiones de red, etc.), pero si se lo
realiza de forma inadecuada, puede perjudicar el posterior anlisis
en fro, esto puede conllevar a problemas legales, disminuyendo la
contundencia de la evidencia.
Mantenerse precavidos ante el estado del atacante, ya que este puede

seguir conectado y provocar borrado, moficado de la informacin
mediante una puerta de entrada.
Asechar al atacante evitando que evada la vigilancia en caso de que este

se mantenga conectado.
Otro de los tantos problemas que posee un investigador forense, es buscar evidencia
voltil, es decir evidencia que se encuentre alojada temporalmente en la memoria
RAM o en el CACHE, son evidencias que se pierden cuando se apaga el
computador, por ello, este tipo de informacin debe ser recuperada de forma
inmediata.
3.2
Preservacin de la evidencia
La preservacin se enfoca en resguardar los objetos que tengan valor como

evidencia, de manera que estos permanezcan de forma completa, clara y verificable,
es importante que cualquier examen que se lleve a cabo no genere cambios, en caso
de suscitarse un cambio de manera inevitable, es esencial que se presente la razn
por la que se dio tal acontecimiento, explicando el suceso detalladamente, posterior a
ello debe ser registrado y justificado.
En esta fase se utiliza tcnicas criptogrficas como cdigos de seguridad (funcin
hash, checksums).
15
15 Criptografa: es el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas que hagan
posible el intercambio de mensajes de manera segura que slo puedan ser ledos por las personas a
quienes van dirigidos.
La fase de preservacin interviene a lo largo de todo el proceso de investigacin

forense, la misma interacta con las dems fases.
Las tareas que se deben seguir para preservar la evidencia digital son:
-
Realizar dos copias de las evidencias obtenidas.
Generar una suma de comprobacin de la integridad de cada copia

empleando funcin hash (MD5 o SHA1).
Incluir las firmas obtenidas en la etiqueta de cada copia de la evidencia en

el CD o DVD, incluir fecha, hora de la creacin de la copia y el nombre
de la misma.
Proteger los dispositivos de factores externos como: cambios bruscos,

temperatura o campos electromagnticos, ya que pueden alterar la
evidencia.
Si se extraen discos duros se deber seguir el mismo procedimiento. Y en caso de

que se requiera que los discos sean analizados por otras empresas especializadas, se
debe solicitar que lo aseguren.
Funcin hash: es una herramienta fundamental en la cripotografa, son usadas principalmente para
resolver el problema de la integridad de los mensajes, as como la autenticidad de mensajes y de su
origen, es tambin ampliamente usada para la firma digital, ya que los documentos a firmar son en
general demasiado grandes, la funcin hash les asocia una cadena de longitud 160 bits que los hace
ms manejables para el propsito de firma digital.
Otro aspecto que se debe tomar en cuenta es la cadena de custodia, donde se

establecen las responsabilidades y controles de cada una de las personas que
manipulen la evidencia, se deber registrar los datos personales de todos los
implicados en el proceso de manipulacin de las copias:
Dnde, cundo y quin manejo o examin la evidencia, incluyendo su

nombre, su cargo, nmero de identificacin, fechas y horas, etc.
Quin estuvo custodiando la evidencia, durante cuanto tiempo y dnde se

almacen.
Cuando se cambie la custodia de la evidencia tambin deber documentarse

cundo y cmo se produjo la transferencia y quin la transport.
3.3
Anlisis de la Evidencia Digital
AFD (Anlisis Forense Digital), es un conjunto de principios y tcnicas que

comprende el proceso de adquisicin, conservacin, documentacin, anlisis y
presentacin de evidencias digitales y que llegado el caso puedan ser aceptadas
legalmente en un proceso judicial.
Este anlisis se dar por concluido cuando se conozca cmo se produjo el ataque,
quin o quienes lo llevaron a cabo, bajo qu circunstancias se produjo, cul era el
objetivo del ataque, qu daos causaron, etc.
Antes de realizar un anlisis se debe tener en cuenta la siguiente informacin:

a) Sistema operativo afectado.
b) Inventario de software instalado en el equipo
c) Tipo de hardware del equipo
d) Accesorios y/o perifricos conectados al equipo
e) Si posee firewall
f) Si esta en el mbito del DMZ (Zona desmilitarizada)
g) Conexin a Internet.
h) Configuracin.
i) Parches y/o actualizaciones de software
j) Polticas de seguridad implementadas
k) Forma de almacenamiento de la informacin (cifrada o no)
l) Personas con permisos de acceso al equipo
m) El computador esta dentro del DMZ
n) Existe IDS
16
o) Cuantos equipos en red se encuentran conectados.

p) Listar usuarios conectados local y remotamente al sistema.
3.3.1 Preparacin para el anlisis: El entrono de trabajo
Es importante establecer estaciones de trabajo para realizar las distintas pruebas y

estudios al surgir un caso, dependiendo del ataque o crimen cometido. Para ello se
deber:
-
Clasificar el tipo de incidente
Seguir el proceso inter-departamental para el manejo de las evidencias
Identificar el tipo de dispositivo (computador, celular, memorias, PDAs,

etc.) y las herramientas necesarias para su anlisis.
16
IDS: las funciones que cumple el IDS son: Monitorea las actividades a nivel de usuario o procesos y
actividades de un sistema (HIDS), o las actividades de una red (NIDS), Cifrado de datos, hace un
diagnostico completo del ataque y en algunos casos puede dar recomendaciones de cmo controlar el
ataque.
49
En las estaciones se deber operar de la siguiente manera:

-
Montar imgenes de discos duros.
Instalar Sistemas Operativos para realizar el estudio de evidencias.
Realizar copias exactas del disco duro con la finalidad de realizar pruebas
y verificaciones conforme surjan las hiptesis del ataque.
En caso de no disponer de recursos se puede usar de software para crear

una plataforma de trabajo con varias mquinas virtuales.
17
Se puede crear un entorno de trabajo hipottico con las copias obtenidas

para realizar la emulacin de los ataques.
3.3.2 Reconstruccin de la secuencia temporal del ataque
Una vez establecida la estacin de trabajo, el primer paso es crear una lnea temporal
de sucesos o timeline, para ello se deber recopilar la siguiente informacin sobre los
ficheros:
-
Marcas de tiempo MACD (fecha y hora de modificacin, acceso, creacin

y borrado).
Ruta completa del fichero.
Tamao en bytes y tipo de fichero.
Usuarios y grupos a quien pertenece el fichero.
Permisos de acceso.
Identificar si fue borrado o no.
Esta informacin es la que ms tiempo lleva recopilar pero es el punto de partida

para el anlisis. Es importante preparar un script con la finalidad de automatizar el
proceso de creacin del timeline.
Luego de realizar lo antes mencionado se deber:
17 Mquinas virtuales: varios equipos lgicos independientes funcionando sobre un equipo fsico. El
software que se puede emplear para la creacin de plataforma es VMware.
Ordenar los archivos por sus fechas MAC, esto se debe realizar debido a
que los archivos tendrn la fecha de instalacin del sistema operativo, por
lo que un sistema que se instal hace meses y que fue comprometido
recientemente presentar en los ficheros nuevas fechas MAC muy
distintas a las de los ficheros ms antiguos.
Buscar
ficheros y directorios que han sido creados, modificados o
borrados recientemente.
-
Buscar instalaciones de programas posteriores a la del sistema operativo y

que adems se encuentren en rutas poco comunes.
Buscar en lugares donde no se suele mirar, por ejemplo en los directorios

temporales.
Buscar los archivos de sistema modificados tras la instalacin del sistema

operativo, averiguar archivos ocultos donde se encuentran y que tipo son.
Buscar archivos borrados, ya que pueden ser restos de logs y registros

borrados por sus atacantes.
En las imgenes realizadas a los discos duros se puede acceder al espacio

residual que hay detrs de cada archivo ya que los mismos suelen
almacenarse por bloques, de tal manera que se pueda leer zonas que el
sistema operativo no ve.
Recuperar archivos borrados, al momento de hacerlo, se deber intentar

recuperar su contenido y fecha de borrado.
Examinar y las horas de manera ms detallada de los ficheros logs y

registros que ya se revisaron con la finalidad de encontrar una correlacin
entre eventos.
Revisar el archivo de contraseas, buscar la creacin de usuarios y

cuentas extraas relacionar la hora de la creacin de estas cuentas en caso
de que existan con la hora en la que se inici el ataque al sistema.
3.3.3 Determinacin de cmo se realiz el ataque
Una vez que se disponga de la cadena de acontecimientos que se han producido, se

deber determinar cul fue la va de entrada al sistema, averiguando qu
51
vulnerabilidad o fallo de administracin caus el agujero de seguridad y que

herramientas utiliz el atacante para aprovecharse de tal brecha. Para ello se deber:
Combinar consultas a archivos logs, registro, claves cuentas de usuarios

etc.
Prestar atencin a los servicios y procesos abiertos, puertos abiertos

TCP/UDP
y conexiones que ya se tomaron como evidencia voltil
cuando el sistema estaba an vivo.

-
Examinar las circunstancias sospechosas encontradas al indicio del

ataque, y buscar con ellas si son o no vulnerabilidades a travs de Internet,
ejemplo: www.google .com, www.cert .com, www.securit yfocus.com.
Si ya esta claro cual fue la vulnerabilidad del sistema, se deber buscar en

Internet algn exploit
18
anterior a la fecha del ataque, que utilice esa
vulnerabilidad.
-
Reforzar cada una de las hiptesis mediante la frmula causa-efecto.
Utilizar la mquina conejillo de Indias con la finalidad de realizar las

pruebas y exploits encontrados.
Comprobar si la ejecucin del exploit sobre una mquina igual a la

atacada, genera los mismos eventos que se han encontrado entre las
evidencias.
3.3.4 Identificacin del autor o autores del incidente
Una vez que se determin como se infiltraron al sistema, ahora se tiene que saber
quin o quienes lo hicieron, para ello se deber consultar nuevamente algunas
evidencias voltiles que fueron recopiladas en la primera fase:
18 Exploit: es un programa informtico malicioso, o parte del programa, que trata de forzar alguna
deficiencia o vulnerabilidad de otro programa (llamadas bugs). Un "exploit" es usado normalmente
para explotar una vulnerabilidad en un sistema y acceder a l, lo que es llamado como "rootear" tener
privilegios de root (administrador). Se pueden encontrar exploits en www.paketstormsecurity.org
Revisar las conexiones que se encontraban abiertas, que puertos y que

direcciones IP las solicitaron, a ms de ello se deber buscar entre las
entradas a los logs de conexiones.
Indagar entre los archivos borrados que se han recuperado.
Para Identificar a los atacantes se debe realizar algunas averiguaciones como parte
del proceso de identificacin:
-
Averiguar la direccin IP del atacante, para ello
se deber revisar
detenidamente los registros de conexiones de red, los procesos y servicios

que se encontraban a la escucha. Esta informacin se podra encontrar en
fragmentos de las evidencias voltiles, la memoria virtual o archivos
temporales y borrados, como restos de e-mail, conexiones fallidas, etc.
Al adquirir la direccin IP sospechosa, se deber comprobar en el registro

RIPE NCC (www.ripe.net) a quien pertenece, es importante considerar
que no se puede sacar conclusiones prematuras, debido a que muchos
atacantes falsifican la direccin IP con tcnicas de spoofing
19
. Los
atacantes tambin pueden utilizar ordenadores zombis, stos son

comprometidos en primera instancia por el atacante y posteriormente son
utilizados como instrumentos del ataque final sin que sus propietarios
sepan que estn siendo cmplices de tal hecho. Por ello, para identificar a
su atacante tendr que verificar y validar la direccin IP obtenida.
-
Se puede emplear tcnicas hacker para identificar al atacante ya que el

equipo del mismo debe tener inevitablemente un puerto que se encuentre
esperando noticias o buscando vctimas. Nmap (captulo 5)
Averiguar el perfil del atacante, se puede encontrar con los siguientes

tipos:
19 Spoofing: uso de tcnicas de suplantacin de identidad generalmente con usos maliciosos o de

investigacin.
53
o Hackers:
personas
con
conocimientos
en
tcnicas
de
programacin, redes, Internet y sistemas operativos, sus

ataques son en sentido ideolgico y pacifista.
o ScriptKiddies: son personas nuevas
que han saltado a la
escena de la delincuencia informtica recientemente. Se trata

de jvenes que con unos conocimientos aceptables en Internet
y programacin emplean herramientas ya fabricadas por otros
para realizar ataques y ver que pasa.
o Profesionales: son personas con muchsimos conocimientos en

lenguajes de programacin, redes y su equipamiento (routers,
firewall, etc.), Internet y sistemas operativos tipo UNIX.
3.3.5 Evaluacin del impacto causado al sistema
El anlisis forense ofrece la posibilidad de investigar qu es lo que han hecho los

atacantes una vez que accedieron al sistema. Esto permitir evaluar el ataque
cometido a los equipos y realizar una estimacin del impacto causado. Generalmente
se pueden dar dos tipos de ataques:
1) Ataques pasivos: en los que no se altera la informacin ni la operacin
normal de los sistemas, limitndose el atacante solo a fisgonear.
2) Ataques activos: en los que se altera la informacin, y en ocasiones

seriamente, la capacidad de operacin del sistema.
Se deber tener en cuenta los efectos y el impacto que cause el ataque a sistemas,
servidores de Bases de Datos, servidores WEB, cortafuegos, router con la finalidad
de ser un aporte, presentando los daos encontrados,
al personal de seguridad
informtica de la institucin atacada o en ltimo de los casos a la compaa de

seguros de la misma.
3.4
Presentacin de Evidencia Digital
20
Esta es la fase final de la investigacin forense informtica ya que se presentan los

resultados y hallazgos del investigador. Tan pronto como el incidente haya sido
detectado es importante tomar nota sobre las actividades que se llevan a cabo, cada
paso dado debe ser documentado y fechado desde que se descubre el incidente hasta
finalizar
la presentacin, la misma debe ser entendible, creble, confiable y
convincente, es decir se deber especificar claramente los procedimientos y las

tcnicas utilizadas para recolectar, preservar y filtrar la evidencia de tal manera que
sea legalmente aceptable para ser presentadas a las entidades investigadoras y
judiciales.
3.4.1 Utilizacin de formularios de registro del incidente
La aplicacin de formularios ayudar a presentar una resolucin del incidente

mediante la presentacin de informes uno Tcnico y otro Ejecutivo. Estos
formularios deben ser llenados por departamentos o entidades afectadas o por el
equipo que gestiona el incidente, los formularios que se deben preparar son:
o Documento de custodia de la evidencia.
o Formulario de identificacin de equipos y componentes.
o Formulario de incidencias.
o Formulario de publicacin del incidente.
o Formulario de recogida de evidencias.
o Formulario de discos duros.
20
LPEZ DELGADO Miguel, Anlisis Forense Digital. Op. Cit. p 2

AMAYA, Ricardo Len, Informtica Forense: Generalidades, aspectos tcnicos y herramientas.
3.4.2 Informe Tcnico
Este informe consiste en una exposicin detallada del anlisis efectuado. Deber
describir en profundidad la metodologa, tcnicas y hallazgos del equipo forense.
Deber contener, al menos, los siguientes puntos:
Antecedentes del incidente.
Recoleccin de los datos.
Descripcin de la evidencia.
Entorno del anlisis.
Anlisis de la evidencia.
Descripcin de las herramientas.

Informacin del sistema analizado.
Caractersticas del SO.
Aplicaciones.
Servicios.
Vulnerabilidades.
Metodologa.
Descripcin de los hallazgos.
Huellas de la intrusin.
Herramientas usadas por el atacante.
Alcance que ha tenido el delito.
El origen del ataque
Cronologa del delito.
Conclusiones.
Recomendaciones especficas.
Referencias.
3.4.3 Informe Ejecutivo
Este informe es un resumen del anlisis efectuado a las evidencias digitales, el

mismo deber:
-
Ser redactado en un lenguaje comn que sea legible para cualquier

persona.
No ser escrito de manera tcnica.
Exponer los hechos ms destacables de lo ocurrido en el sistema

analizado.
Constar de pocas pginas, entre tres y cinco,
Deber ser de inters para exponer lo sucedido a personal no

especializado en sistemas informticos, como el departamento de
Recursos Humanos, Administracin, e incluso algunos directivos.
En el mismo se debe describir:

-
Motivos de la intrusin.
Desarrollo de la intrusin.
Resultados del anlisis.
Recomendaciones.
57
CAPTULO 4
METODOLOGAS Y ESTRATEGIAS EN BASE A LA INFORMTICA

FORENSE
Las metodologas que se usen en la Informtica Forense pueden ser diversas e

independientemente de las plataformas o sistema operacional donde se efecten las
actividades de los investigadores forenses en informtica se debe cumplir los
siguientes requisitos con la informacin o evidencia identificada.
Para las copias de la informacin se debe utilizar medios forenses
estriles
Mantener la integridad del medio original
Etiquetar, controlar y transmitir adecuadamente las copias de los datos,
impresiones y resultado de la investigacin.
De esta forma la evidencia no ser rebatida y tampoco descartada como medio

probatorio.
4.1
Anlisis de Soportes y Dispositivos Electrnicos
Los soportes de almacenamiento, como los discos, almacenamientos removibles

(disquetes, discos ZIP, CD-ROM, DVD, etc.).
Para su anlisis se requiere una
comprensin completa tanto de la estructura fsica y del funcionamiento de los

medios de almacenamiento como la forma y la estructura lgica de cmo se
almacenan los datos.
Los dispositivos electrnicos se refieren a cualquier dispositivo capaz de guardar

informacin que posea valor como evidencia. Dentro de stos se puede incluir a los
telfonos celulares, agendas y organizadores electrnicos, dispositivos de

comunicaciones de red como routers, hubs, etc. El anlisis de estos dispositivos es
ms complejo que recuperar los datos de los soportes, inclusive el
hardware
requerido es generalmente ms especializado.
Por tanto por el amplio alcance de la informtica forense, estn involucradas varias
ciencias y disciplinas como ingeniera electrnica, criptografa, ingeniera de
software, comunicaciones, derecho, son reas que en conjunto hacen posible el
anlisis de los soportes de almacenamiento y dispositivos electrnicos.
4.2
Anlisis de la comunicacin de datos
Para realizar el anlisis de la comunicacin de datos, es importante abarcar dos

aspectos:
1. Intrusin en una red de computadoras o el mal uso de la misma.
2. Interceptacin de datos.
El anlisis sobre estructuras de esta naturaleza, consiste en las funciones siguientes:
Deteccin de la intrusin o interceptacin.
Detectar la evidencia, capturarla y preservarla.
Reconstruir de la actividad especfica o del hecho en s.
Para la deteccin de la intrusin o interceptacin generalmente se utiliza software
especializado y en algunos casos hardware, para supervisar la comunicacin de los
datos y conexiones con el propsito de identificar y aislar un comportamiento ilegal.
Dicho comportamiento incluye el acceso no autorizado, modificacin del sistema en
forma remota y el monitoreo no autorizado de paquetes de datos.
Despus del descubrimiento de la intrusin o un comportamiento anormal, se debe

capturar la evidencia, para que se pueda conservar para el posterior anlisis.
La reconstruccin de la intrusin o un comportamiento anormal permite un examen

de todos los datos recogidos durante la captura de la evidencia.
4.3
Metodologas y Estrategias
Para realizar un anlisis forense se requiere de una metodologa cientfica probada, y

del uso de la tecnologa disponible para encontrar, recolectar, procesar e interpretar
datos, as como de una cuidadosa cautela y de buenos conocimientos.
Los componentes principales que debe cumplir una metodologa para un anlisis
forense es:
Marco Cientfico: Investigaciones y experiencias apoyadas estrictamente en el
mtodo cientfico. Ms all de la fluidez argumentativa propia de cada profesional
se debe aportar estructura lgicas necesarias para justificar las fundamentaciones de
manera estricta e irrebatible.
Marco Criminalstico: Interrelacionarse con los restantes especialistas del rea,

interactuar con los mismos, trabajar en forma mancomunada y en base a visiones
especficas llegar a conclusiones coherentes. Obtener los conocimientos necesarios
para detectar, documentar, preservar y de ser necesario secuestrar los elementos
probatorios propios de otras especialidades presentes en el lugar del hecho.
Marco Informtico general: las metodologas de Anlisis de Sistemas, que se

utiliza en herramientas de uso general se pueden adaptar a las actividades periciales
informticas. Las etapas de relevamiento de informacin y desarrollo de un modelo
coherente de anlisis, se evidencian como instrumentos adecuados para brindar
soporte metodolgico a la actividad del experto en informtica Forense.
Marco Informtico especfico: en relacin con las herramientas propias del anlisis
forense informtico, deben ser abordadas desde las caractersticas ms adecuadas que
vayan con la realidad de nuestra sociedad, ya sean ambientes de software libre o
software propietario.
Marco Legal: Implica la insercin legal del accionar pericial al concurrir al lugar del
hecho, los cumplimientos de los plazos legales, la condicin de testigo experto, los
artculos de las leyes vigentes en nuestro pas.
Al cumplir con los componentes metodolgicos nombrados el Informe Pericial ser:

Cientficamente fundamentado
Criminalsticamente interrelacionado
Modelado mediante tcnicas propias del Anlisis de Sistemas.
Investigado con las mejores herramientas disponibles.
Inserto en el marco legal correspondiente.
Metodologa Sistmica
La investigacin es una serie actividades tendientes a resolver un problema
especfico y acotado, la metodologa sistmica es una de las ms apropiadas y
actualizadas para enfrentar dicha tarea.
Los mtodos clsicos de induccin, deduccin y abduccin, todos ellos reunidos en

el mtodo cientfico, constituyen herramientas inevitables y bsicas en una
investigacin, pero la planificacin general es sistmica.
Los aspectos a considerar dentro de las metodologas de la Informtica forense son:
Asegurar que ninguna persona tenga acceso a la computadora y a sus

alrededores. Si es una empresa se debe identificar al personal informtico
interno y a los usuarios de aplicaciones especficas que deben someterse a
peritaje.
Si la computadora se encuentra encendida, fotografiar la pantalla.
Si la computadora se encuentra apagada, no encender ya que pueden activarse
sistemas que destruirn la informacin.
Deshabilitar la energa desde su fuente o cerrar el sistema usando los
comandos del Sistema Operativo, si son notebooks ser necesario quitarle la
batera. El perito informtico determinar la modalidad de apagado y
desconexin elctrica.
Desconectar o deshabilitar el mdem
Desconectar la fuente de la impresora
Insertar un diskette, cd o dvd cubierto con cinta de evidencia
Antes de empezar con el procesamiento de la evidencia se debe fotografiar
una toma completa del lugar donde se encuentran los equipos, a las
conexiones de todos los equipos y luego diagramarlas. En algunos casos si es
conveniente se puede realizar una filmacin.
Rotular todas la conexiones de los equipos para poder restaurar la
configuracin original
Fotografiar el rea despus de que el gabinete ha sido removido
Investigar el rea en busca de informacin relacionada o de contraseas.
Secuestrar
libros,
notas,
manuales,
software,
discos,
sistemas
de
almacenamiento y todo lo relacionado al sistema; y realizar un inventario de

lo secuestrado.
Para tocar el material informtico se lo debe hacer con guantes descartables

ya que el objeto de la investigacin puede ser el mouse, teclado, CDs, DVDs,
etc. y puede servir para el anlisis de huellas dactilares, ADN, etc.
Colocar los discos en sobres de material que no conduzca la esttica
Interrogar a todos los sospechosos
Transportar
la
evidencia,
no
colocar
elementos
cerca
de
fuentes
electromagnticas (radios policiales)

Trasladar la computadora a un lugar seguro
Realizar copias de seguridad de los canales de bits, discos rgidos, etc.
La evidencia es frgil y puede ser alterada o destruida fcilmente por lo tanto
la recuperacin forense se debe realizar en las copias y de esta manera se
podr preservar la evidencia; solamente si es que existieran circunstancias
extremas se podr tocar la evidencia original.
Autentificar
matemticamente
la
informacin
de
los
Sistemas
de
Almacenamiento
Antes de acceder a las pruebas se deben registrar, es decir realizar el hash del
soporte accedido.
Cuando las diligencias son realizadas en momentos que no son visibles para
comprobar algunas circunstancias
como antenas externas, conexiones con
otros edificios, etc., es recomendable operar en horas que preceden al

amanecer.
El perito informtico debe escuchar durante la operacin, a las personas que
hayan llegado en primer trmino, ya que podrn dar testimonio de cmo se
encontraron los cambios sufridos.
La base de la metodologa de trabajo de un informtico forense es el ver ms all
de lo visible.
La investigacin no debe limitarse solo en el lugar desde dnde se accede a la

informacin o donde se encuentra almacenada la misma; debe extenderse a todo
su contorno y lugares adyacentes.
Mtodo Espiral:
Una manera de hacer la inspeccin es mediante la forma que se denomina espiral,
desde afuera hacia adentro. Si el hecho est en el interior de un lugar entonces la
inspeccin se debe dar desde las paredes hasta llegar al sitio principal.
Mtodo Cuadrcula:
Cuando el sitio es muy grande se lo fracciona en cuadrculas, posteriormente se
revisa las cuadrculas con el mtodo espiral.
Las fracciones sern divididas en base a las distancias que se encuentran los
elementos, as como tambin las dimensiones del lugar; las cuales deben ser
calculadas con exactitud (no a simple vista o mediante pasos).
La Unidad de Anlisis Forense de la Polica Nacional, al emplear ste mtodo
debe dividir las inspecciones de los lugares anexos al personal de la Unidad, al
momento de encontrar algn indicio, no se debe tocar, comunicar del
descubrimiento y se sujetarn a la accin a tomar por decisin del Jefe de la
Unidad. No se debe subestimar una opinin y tampoco un dato por su aparente
obviedad.
En la investigacin de los hechos delictivos todo lo que se encuentra el lugar del
suceso sirve, nada debe descartarse como intil
4.3.1
Secuestros de Equipos
Para un anlisis forense debemos contar con resultados previsibles de mxima y

mnima, que nos aseguren contar con la prueba necesaria. Se debe proceder a
accionar una aproximacin, acceso, proteccin y secuestro de los equipos o
datos pretendidos.
El secuestro de equipos tiene carcter procesal y sirve para que el Juez asegure
las pruebas y se de veracidad en los resultados del juicio.
Para el secuestro de equipos se debe identificar cada uno de los dispositivos

computacionales, siempre es preferible secuestrar dispositivos informticos que
almacenan grandes volmenes (computadoras, notebooks, discos rgidos
externos) tambin puede secuestrarse DVD, CDs, discos Zip,etc. y entornos de
red.
Se debe rotular el hardware que se va a secuestrar:

Para computadoras, notebooks, palmtops, celulares, etc.:
o Nmero del Expediente Judicial
o Fecha y Hora
o Nmero de serie
o Fabricante modelo
Para DVDs, CDs, Diskettes, discos Zip, etc.:
o Almacenarlos en conjunto en un sobre antiesttico
o
N del Expediente Judicial
Tipo (DVDs, CDs, Diskettes, discos Zip, etc.)
o Cantidad.
Cuando se necesite secuestrar perifricos especficos conectados a los equipos
informticos se debe identificar con etiquetas con nmeros los cables para mostrar
dnde se deben conectar y tambin deben ser fotografiados los equipos con sus
respectivos cables de conexin etiquetados.
Para que una investigacin sea efectiva es esencial saber concretamente que se va
a incautar para proceder a embalar y transportar correctamente los medios
computacionales, la informacin de los equipos debe ser levantada de la manera
ms cautelosa, posterior a esto se da paso a la cadena de custodia, la cual tiene
como objetivo garantizar la integridad de los datos en los medios de

almacenamiento originales durante toda la investigacin y de esta manera asegurar
la admisibilidad de las pruebas. Durante el proceso de captura, se realizar la
copia exacta bit a bit, desde ese momento se trabajar nicamente sobre la imagen
forense.
Se debe considerar la custodia, ya que muchas veces existen individuos que operan
equipos que han sido secuestrados, destruyendo as la evidencia y si no son
correctamente vigilados sern fcilmente comprometidos.
4 .3.2
Discos Duros
Generalmente la escena del crimen es el disco duro, por lo que hay que evitar
cualquier situacin que pueda alterarlo y se pierdan pistas importantes de la
intrusin, es necesario tomar notas de lo que se hace con el disco duro y a qu hora,
Este anlisis no slo busca archivos incriminatorios, sino tambin otra informacin
valiosa como passwords, logins y rastros de actividad en Internet, etc.
En el momento que se trabaja con el medio original se tendr que estar acompaado
del delegado a constatar los efectos legales.
Las copias deben ser realizadas bit a bit (imgenes del disco). La investigacin se
har sobre la copia y no sobre el original. Es recomendable hacer tres copias del
disco duro original y hacer una verificacin criptogrfica, un checksum. Tambin
realizar dumps de memoria y almacenarlos al igual que los discos.
Figura 4.1 Copia de Disco Duro
Ya sobre la copia, es necesario utilizar tcnicas de bsqueda para identificar

actividades del intruso, como el uso de archivos especficos, palabras claves,
archivos creados, modificados o borrados, ltimos accesos, configuraciones (sistema
y de usuarios), revisar bitcoras, analizar ligas existentes de acceso directo a
aplicaciones, archivos o dispositivos, etc.
Se puede basar en los cookies y en los archivos temporales de Internet para intentar
determinar sus hbitos de navegacin.
Para poder deducir las aplicaciones instaladas o utilizadas se debe analizar los
archivos temporales que se generaron.
A travs del spool de impresin del sistema se puede determinar si el atacante

imprimi archivos. Los archivos generados (Windows) para impresin tienen la
extensin SPL o SHD. Al buscar estos archivos es posible obtener informacin
como el nombre del archivo impreso, el propietario, la impresora utilizada y los
datos impresos.
El buscar archivos borrados, buscar bitcoras y archivos sospechosos mediante

herramientas de software y tcnicas especiales podemos rescatar datos que nos
pueden guiar en la investigacin.
67
4.3.3
Sistemas Operativos
Existen diversas metodologas y una gran cantidad de herramientas que pueden ser
ejecutadas bajo la los diferentes sistemas operativos para poder realizar una
investigacin correcta, contando que se debe analizar la variedad de formatos de
archivos, los cuales pueden variar significativamente an dentro del contexto de un
sistema operativo.
Para consultar los archivos de registro del sistema y logs en busca de entradas y
avisos sobre fallas de instalacin, accesos no autorizados, conexiones errneas o
fallidas, etc., depende de la plataforma para la ubicacin de estos archivos.
Microsoft Windows: Proporciona un entorno donde se puede verificar si las

aplicaciones son seguras.
Los pasos a seguir son los siguientes:

-
Men: Herramientas administrativas
Visor de sucesos
El de servicios o
Directiva de seguridad social
Tambin en el registro de Windows se encuentra gran cantidad de informacin, se

puede utilizar la aplicacin del sistema regedit.exe o las siguientes herramientas:
-
Reg, que permite consultar al registro sin modificarlo
Regdmp, exporta el registro en formato de texto plano (.txt)
Debido a la gran cantidad de informacin que almacena y se mezcla, se debe ser

cuidadoso y es recomendable empezar por buscar en las claves del registro Run,
RunOnce, RunOnceEx, RunServices, RunServicesOnce, Winlogon, ya que bajo
68
estas claves se encuentran los programas, servicios y aplicaciones que se cargan al

inicio del sistema, y es donde se puede ver algo sospechoso.
4.3.3.1 File slack

Los archivos son creados en varios tamaos dependiendo de lo que contengan. Los
clsters son bloques de tamao fijo donde los sistemas DOS, Windows
95/98/ME/XP/VISTA y Windows NT almacenan los archivos, no es comn que el
tamao de los archivos coincida totalmente con el tamao de uno o varios clusters.
El tamao de los clsters vara por su longitud, esto depende del sistema operativo.
En Windows 95/98/ME/XP depende del tamao de la particin lgica involucrada.
Se denomina file-slack al espacio de almacenamiento de datos que se da desde el

final del archivo hasta el final del clster. Los clusters estn compuestos por bloques
de sectores y si no hay suficientes datos en el archivo para cubrir el ltimo sector del
archivo DOS/Windows diferencia hacia arriba los datos completando el espacio
restante con datos que se encuentran en ese momento en la memoria del sistema. Por
lo tanto un tamao ms grande en los clusters significan ms file slack y tambin
mayor prdida de espacio de almacenamiento y esta debilidad de la seguridad del
computador crea una ventaja para el investigador forense, porque el file slack es una
fuente significativa de pistas y evidencia ya que contiene octetos de datos
aleatoriamente seleccionados de la memoria del computador.
4.3.3.2 Archivo Swap

Los sistemas operativos Windows utilizan un archivo especial nombrado Swap de
Windows o Directorios de Pgina de Windows en el sistema operativo Windows NT.
El tamao de estos archivos se extiende desde 20MB a 200MB, el objetivo de estos
archivos es contener archivos sobrantes del tratamiento de los procesadores de texto,
los mensajes electrnicos, la actividad en Internet (cookies, etc), logs de entradas a
bases de datos, etc. Es un problema de seguridad ya que se da un almacenamiento

transparente, pero estos proporcionan a la investigacin forense grandes pistas.
4.3.3.3 Unallocated File Space

Para el borrado de archivos solamente si se ha utilizado alguna herramienta
especializada se podr dar efectivamente caso contrario cuando
los archivos son
borrados o suprimidos en DOS, Windows, el contenido de los archivos no son

borrados verdaderamente ya que estos permanecen en un rea llamada espacio de
almacenamiento no-asignado (Unallocated File Space). Por lo tanto aunque los datos
no sean visibles siguen existiendo y pueden ser revelados con herramientas forenses.
UNIX/Linux: Se dispone de una serie de archivos de registro (logs), generalmente

en el directorio /var/log, en la siguiente tabla se describe a los archivos ms
importantes:
Archivos de Registro
Descripcin
/var/log/messages
Contiene los mensajes generales del

sistema
/var/log/secure
Guarda los sistemas de autenticacin y

seguridad
/var/log/wmtp
Guarda el historial de inicio y cierres de

sesin pasadas
/var/run/utmp
Guarda una lista dinmica de quin ha

iniciado la sesin
/var/log/btmp
Guarda cualquier inicio de sesin fallido

o errneo
Tabla 4.1 Archivos de Registro en Unix/Linux
70
Bajo el directorio /var se encuentran los propios archivos de registro de los

programas y aplicaciones. Se encuentran en modo texto y se podr buscar indicios
del ataque mediante un editor o visor de texto.
A continuacin se presenta un fragmento de un archivo /var/log/messages en una

mquina acometida.
Figura 4.1 Fragmento de un Archivo de Registro
En la entrada cuarta y quinta del archivo se puede notar una modificacin ya que se
ve un salto en la secuencia de fechas, tiene dos entradas con fecha del 22 de enero
tras dos entradas con fecha del 23 de enero.
Aunque estos detalles no son determinantes, si pueden ser indicios que indiquen que
los sistemas estaban siendo causa de un trasteo.
Los archivos de claves, usuarios y grupos tambin pueden ayudar para la bsqueda
de evidencias, se pueden encontrar en / etc/ passwd, / etc/ shadow.
Adems de estos archivos de registro, tambin pueden contener indicios los archivos
de claves, usuarios y grupos, los cuales se pueden encontrar en el directorio:
/etc/passwd, /etc/shadow,/etc/group.
Al editar el archivo /root/ .bash_history se puede obtener los comandos ejecutados

por el usuario root.
4.3.4
Bases de Datos
Para iniciar el anlisis forense en una Bases de Datos, primero es necesarios conocer
el diccionario de datos de la misma, ya que este posee tablas con informacin
importante de la Base de Datos tal como:
Informacin del estado y creacin de la Base de Datos.
Informacin de usuarios creados y roles asignados.
Informacin de usuarios que acceden a la Base de Datos y a sus objetos

(tablas, ndices, procedimientos)
Es muy importante que el informtico forense posea conocimientos bsicos en la

ejecucin de consultas SQL, y los nombres ms importantes de los atributos de cada
tabla que forma parte del diccionario de datos.
El trabajo de la Informtica forense para encontrar algn tipo de evidencia en una

Base de Datos se tiene que dar tanto en la capa fsica como lgica. Debido a que en
la capa fsica se encuentran archivos de la BD que residen en disco y en la capa
lgica se encuentran las estructuras que mapean los datos hacia esos componentes
fsicos.
Los primeros archivos que se deben verificar y estudiar su estado despus del ataque
en la capa fsica de la Base de Datos son:
Los primeros archivos que se deben revisar son los control files, ya que estos
archivos contienen informacin de la ubicacin de los datafiles y redo log
En la Capa fsica se encuentran los datafiles, estos almacenan toda la

informacin almacenada en la BD, por ello despus de comprobar el estado
de los control files se deber analizar en la BD el estado de los datafiles, ya
que muchos objetos (tablas, ndices) pueden compartir varios datafiles, y la
evidencia puede encontrases entre esas tablas.
En caso de que el atacante realizo algn tipo de dao en la BD, se puede

acudir al uso de los archivos redo log (deshacer) los mismos almacenan
informacin que se utiliza para la recuperacin de la BD en caso de falla,
estos archivos almacenan la historia de cambio de la BD y son tiles cuando
se requiere corroborar si los cambios que la BD ya ha confirmado, se han
efectuado realmente en los datafiles.
Posterior a verificar los estados de los archivos en la capa fsica se procede ha la

capa lgica, en ella se encuentra el esquema de la Base de Datos, el cual consiste
de objetos como tablas, clusters, ndices, vistas, procedimientos, secuencias, entre
otros, con ello se puede comprobar:
Las tablas existentes, si se borro o modifico alguna tabla y que usuraos tienen
acceso a ellas, de tal manera que si un usuario que solo tiene acceso al
departamento financiero y este puede ingresar a informacin del
departamento de auditora, entonces ya existe una anomala.
4.3.5
Telfonos mviles y tarjetas
Cuando se obtiene como evidencia un telfono mvil, blackberry o PDA, es

importante evitar comunicaciones salientes o entrantes del dispositivo para evitar la
modificacin del estado en el que se encuentra y tambin evitar el trfico entrante
que pudiera sobrescribir registros histricos o mensajes existentes.
Existen dos opciones al momento de incautar un dispositivo de este tipo:
Mantenerlo encendido pero aislado de la red.
Apagar el dispositivo.
La primera opcin de mantenerlo encendido y con una bolsa aislante se consigue que
el dispositivo deje de estar conectado a la red. Pero estos dispositivos al no encontrar
portadora para comunicaciones, aumentan su potencia de emisin y la frecuencia
con la que intenta buscar red, por lo tanto la vida de la batera se acorta.
En cambio la segunda opcin tenemos un problema adicional ya que la mayora de
las veces estos dispositivos estn protegidos mediante contraseas o cdigos PIN. Y
nos tocara investigar contraseas o irrumpirlas.
Se puede optar por varias salidas, ya que existen casos que en que utilizar fuentes de
alimentacin porttil al ser almacenadas con el dispositivo en la bolsa aislante resulta
efectivo para reducir el consumo de la batera.
Para la pericia de la telefona mvil se tiene la informacin que contiene el mvil en

su memoria interna y en su SIM, y la que aporta la operadora de telefona mvil. Si
la tarjeta SIM est bloqueada mediante va judicial se puede solicitar el nmero
PUNK a la operadora, tambin se puede solicitar las llamadas entrantes, salientes,
mensajes cortos y buzn de voz, todo en dependencia del tiempo que cada operadora
lo almacene en sus bases de datos.
Una ayuda para sta rea seran los mapas de localizacin del mvil durante su uso
en relacin al posible hecho delictivo.
Se puede tener el caso de mviles en mal estado, los cuales deben someterse a un
proceso de reparacin y ensamblaje de componentes para ponerlo en funcionamiento
y mediante software especializado obtener los datos almacenados en la memoria
interna.
Para la investigacin forense es muy importante el anlisis del telfono mvil ya que
se ha convertido en un aparato tan usado como
las computadoras, ya que
actualmente muchos de estos celulares ya tienen las funciones principales de un

computador.
Los telfonos mviles, las agendas electrnicas, etc., guardan y procesan cantidades
significativas de datos.
El examinar estos dispositivos muchas veces conduce a
investigaciones relacionadas con la droga ya que generalmente los narcotraficantes

sospechosos se han acostumbrado a usar estos dispositivos para guardar los nombres
del contacto y nmeros de clientes.
Las agendas electrnicas permiten el
almacenamiento de cantidades grandes de datos que pueden protegerse por medio de

una contrasea.
Las tarjetas inteligentes, no slo tienen la capacidad para guardar cantidades

importantes de datos, sino tambin para procesar y asegurar datos en un solo chip,
esto agrega complicaciones al proceso del examen forense, pero as como la
tecnologa de la tarjeta inteligente es sofisticada, tambin lo son los procesos
forenses para analizar y extraer los datos.
4.3.6
Anlisis de sistemas vivos
Si se encuentra el equipo vivo y se puede mantenerlo un poco ms, se da inicio en

seguida a la recopilacin de evidencias (Gua de Informtica Forense para la Polica
Nacional).
Se debe establecer el siguiente orden de volatilidad y su recopilacin, de esta manera

se dar prioridad en un sistema vivo.
Registros y contenidos de la cach
Contenidos de la memoria
Estado de las conexiones de red, tablas de rutas
Estado de los procesos en ejecucin.
Contenido del sistema de archivos y de los discos duros.
Contenido de otros dispositivos de almacenamiento.

Es importante recuperar datos del sistema en tiempo real:
-Fecha y hora
-Procesos activos.
-Conexiones de red.
-Puertos TCP/UDP abiertos y aplicaciones asociadas a la escucha.
-Usuarios conectados remota y localmente.
La informacin voltil es de vital importancia por lo tanto no se debe almacenar en el

equipo comprometido para supuestamente recuperarla ms tarde para su anlisis, esta
se puede perder enseguida.
Al momento que se obtiene la informacin voltil se debe recopilar la informacin

contenida en los discos duros.
4.4 GUA INFORMTICA FORENSE APLICADA PARA LA POLICA

NACIONAL
La Informtica Forense es una cien cia relativamente n ueva y no existen estndares

aceptados, aunque algunos proyectos estn en desarrollo, como el C4PDF (Cdigo de
Prcticas para Digital Forensics), Manual de Cdigo Abierto para Computacin
Forense, las Guas de Estndares, Habilidades y Herramientas de la IOCE
(International Organization of Computer Evidence) y el tratamiento de la Evidencia
Digital detallado en el RFC 3227, que fue emitida por la Internet Society y la IETF.
Las metodologas usadas por parte de los Peritos Informticos Forenses dependen de
la estrategia del Profesional, de lo que est permitido hacer hasta los lmites que
impone la Ley de cada Pas y de los medios que tiene para realizar la investigacin
forense. Para seguir una correcta metodologa se recomienda seguir los lineamientos
de la IOCE y del RFC 3227.
Propuesta de una Gua de Buenas Prctica en Informtica Forense

Para la Polica Nacional del Ecuador
La gua que se detalla a continuacin est basada en metodologa cientfica y

orientada especficamente a la Polica Nacional del Ecuador segn los delitos
informticos y las leyes vigentes en la Constitucin de la Repblica del Ecuador.
El objetivo es seguir un orden adecuado para intervenir ante un delito y anlisis del
mismo en base al tipo de evidencia digital encontrada.
La gua tiene el siguiente contenido:
Preparacin para acudir al incidente

Inicio del Anlisis forense, definicin de escenario y tipo de evidencia
Proceso de identificacin y fuente de la informacin: escenarios, acciones.
Presentacin de las metodologas y tcnicas usadas al descubrir una
evidencia, formularios, informes.
Anexos (glosario, fotografas y diagramas)
La metodologa para dar inicio a la Investigacin Forense se basa en una
metodologa sistmica: Inspeccin Ocular Criminalstica.
Figura 4.2 Metodologa Pericial Informtica Forense
1. Requisitoria Pericial
La requisitoria pericial proviene del Fiscal del Ministerio Pblico, la Polica Judicial
designa un agente para el caso quien informa al Jefe de la Polica Judicial y
posteriormente se presenta al Agente Fiscal las pruebas reunidas para que el Juez
dictamine la detencin al individuo involucrado en el caso.
2. Entrevista aclaratoria
Para la obtencin de una prueba digital, el principal punto de accin es en el

momento de la inspeccin ocular en el incidente, sin embargo para alcanzar los
resultados pretendidos es necesario realizar una planificacin previa adecuada.
La entrevista permite obtener informacin que posibilita analizar los sistemas

informticos involucrados, componentes fsicos involucrados, normas de seguridad,
cronogramas de actividades, distribucin fsica del personal, organigrama de la
empresa, etc., que facilita la planificacin de las acciones necesarias para acceder al
lugar, recolectar la prueba, protegerla y trasladarla al lugar de anlisis.
[No se puede generar acciones que prevengan a los involucrados]
3. Inspeccin Ocular
Paso 1.
-
Documentar mediante acta, croquis y fotografas todo lo que se encuentra en

el lugar del hecho.
[Todo sirve, nada debe descartarse, aun cuando se crea que no tiene relacin con el
hecho ocurrido].
[Todo es importante: rastros, huellas, manchas, pisadas, colillas de cigarrillos,
impresiones dactilares, roturas, impactos, condiciones de los elementos evaluados,
por ejemplo equipos abiertos o cerrados, fajas de seguridad rotas, cables sueltos,
equipos de conexin o distribucin abiertos o cerrados, elementos prximos al rea
de trabajo, al parecer desconectados o sin relacin con los equipos, equipos de
captura de video, de comunicaciones, de impresin, de almacenamiento, de
alimentacin elctrica, etc.].
[No pasar, no tocar, no mover, no encender, no abrir, no pisar y no importunar a los
dems peritos, observar crticamente y documentar].
Paso 2.
-
Realizar un relevamiento previo. Registrar la hora exacta en que se recibe la

comunicacin solicitando la presencia de la Polica la hora en que se llega al
lugar del hecho quin o quines ya se encontraban en el mismo testigos que
se hallaren, personas que acompaan o dirigen las actividades, sistemas de
seguridad franqueados para llegar al lugar, sistemas de seguridad activos en
el momento de arribar.
[Nada debe dejarse librado al azar]

[No podemos basarnos en la memoria propia ni ajena]
[Todo debe contarse, medirse, anotarse, registrarse, fotografiarse, en los medios
disponibles (anotador de papel o electrnico),los papeles sueltos no sirven se
deterioran o se pierden]
[El trabajo debe efectuarse sin prisa, pero sin pausa]
[No se puede ignorar las actividades del resto de colegas profesionales de la
criminalstica]
SITUACIONES POSIBLES
Situacin 1: Se desarrolla de manera confidencial. Se han iniciado las actuaciones y
luego se ha decidido intervenir, detectar y secuestrar la prueba.
Proceder a tareas de Relevamiento Informtico.

Situacin 2: Se desarrolla en lugar que se desconoce y el perito no ha tenido tiempo
para realizar una planificacin adecuada.
Proceder a tareas sin Previa Planificacin

Situacin 3: Se desarrolla en el lugar y no se tiene autorizado a retirar elementos del
mismo, es decir debe trabajar en el lugar.
Proceder a tareas en el Propio Lugar

TAREAS DE RELEVAMIENTO INFORMTICO
I. Tomar contacto con las personas que intervienen (penales, civiles,
comerciales, laborales, administrativos, etc), extraer toda la informacin
disponible en los mismos.
II. Tomar contacto con todas las personas no involucradas como sospechosas en
la investigacin, que puedan aportar datos sobre el lugar, las plataformas
instaladas, los sistemas operativos en uso, los mecanismos de proteccin
instalados, la estructura de seguridad informtica del lugar (fsica y
lgica).
III.Tratar de acceder a un plano del lugar a ser inspeccionado (no slo de la
habitacin en cuestin, sino de todo el edificio involucrado).
o Planos de distribucin de red
o Planos de distribucin elctrica
[Se podr planificar por anticipado la ruta de acceso ms segura y
rpida al lugar a ser inspeccionado, realizando las acciones
necesarias para la proteccin de la prueba e impidiendo las acciones
maliciosas sobre la misma].
IV. Planificar el momento de acceder al lugar
[Recomendable horas de la madrugada (entre tres y cinco de la
maana), generalmente los recursos humanos, se encuentran menos
activos a estas horas].
V. Tomar
previsiones,
innecesarias.
evita
prdidas
y destrucciones
de
informacin
Es conveniente contar con un plan alternativo, si por un
acaso el principal falla

[Una puerta que no se abre, un acceso que ha sido eliminado o
modificado, la remodelacin de una oficina, sala de servidores,
conexin, etc.]
VI. Se debe contar con resultados previsibles de mxima y mnima, que
aseguren contar con la prueba necesaria.
[Si se detectan dificultades reales, para alcanzar el objetivo de
mnima, es necesario formular otro plan de aproximacin, acceso,
proteccin y secuestro de los datos pretendidos].
VII.
Si no se tiene acceso posible al lugar, se puede recurrir a las tcnicas de

ingeniera social.
VIII. Todas las medidas deben ser informadas y autorizadas por el juez o fiscal
interventor.
IX. Al acudir al lugar se debe hacer con los elementos necesarios para
realizar todas las tareas que conlleva la investigacin forense.
X. Utilizar el kit de herramientas forense [Cap. 5. puntos 5.2.1]
XI. Se debe equipar con los siguientes elementos:
o Linternas o proyectores y pilas o bateras suficientes (iluminacin
accesoria)
o Cmara digital con zoom, para poder realizar ampliaciones
macrofotogrficas de los elementos que se necesite documentar.
o Un grabador de bolsillo con micrfono disimulable (corbatero)
o Una brjula (permite orientar los croquis)
o Una cinta mtrica (entre 5 y 10 metros)
o Una plomada (permite medir distancias de un objeto elevado hasta el
piso por una sola persona)
o Un cuaderno cuadriculado, (para los croquis)
o Sobres de papel de diversos tamaos
o Sobres plsticos de distintos tamaos (con cierre incorporado)

o Rtulos autoadhesivos
o Una lupa de tamao cmodo para utilizar en espacios reducidos
o Un imn extensible (para retirar elementos metlicos del interior de
los equipos)
o Un espejo pequeo
o Marcadores al agua para destacar elementos o marcas
o Gasa y cinta adhesiva, para realizar pequeos envoltorios
o Varios pares de guantes de ciruga, trabajar siempre con ellos
TAREAS SIN PREVIA PLANIFICACIN

I. Aprovechar el viaje hacia el lugar para relevar toda la informacin posible
antes de efectuar el ingreso.
II. Realizar un relevamiento lo ms profundo en cuanto a tiempo se tenga
disponible.
III.Preguntar sobre la naturaleza de las acciones pretendidas y autorizadas por el
juez o fiscal interventor.
[El encuadre legal del perito informtico es imprescindible]
IV. Al acudir al lugar se debe hacer con los elementos necesarios para realizar las
tareas
V. El perito debe actuar en el lugar realizando copias de la informacin, no
puede retirar los elementos porque tienen que estar en cadena de custodia
y con autorizacin se pueden retirar.
TAREAS EN EL PROPIO LUGAR

I. Al ser un caso complicado se requiere de habilidad, capacidad profesional,
inteligencia prctica y aptitud investigativa
II. Son los casos ms raros
83
III.Se debe ser meticuloso, tomar todo el tiempo posible

IV. Analizar las pruebas a profundidad
V. El ambiente puede ser montado para engaar al perito.
VI. Obtener una copia de la prueba analizada
VII.
Opinar cuando se est completamente seguro
VIII. Estos casos, se dan generalmente en ambientes que contienen informacin

altamente sensible para un determinado organismos, institucin o
empresa.
[Registros de bases de datos de organismos gubernamentales, militares,
de fuerzas de seguridad, de estructuras religiosas o polticas, etc].
DETECCIN, IDENTIFICACIN, RECOLECCIN Y TRASLADO O

REMISIN DE PRUEBAS
PREPARACIN PARA LOS INCIDENTES
Incautacin de equipos
Al momento de presumir que puedan existir elementos donde es posible obtener
algn tipo de evidencia digital en un dispositivo electrnico, en la escena donde se
cometi el delito se deber solicitar la autorizacin judicial correspondiente para
incautar dichos elementos y para acceder al contenido almacenado y generados por
dichos aparatos. >> (Requisitorio Pericial)
Antes de acudir al allanamiento e incautacin de equipos informticos o electrnicos

se deber tomar en cuenta lo siguiente:
Dependiendo del caso y de las situaciones analizadas en la parte anterior,

entrar sin previo aviso, utilizando seguridad y evitando destruir o alterar los
equipos.
Materiales (cadena de custodia)

o Embalajes de papel
o Sobres de papel
o Sobres de Manila
o Cajas de cartn
o Bolsas especiales antiestticas para almacenar dispositivos de
almacenamiento informtico que sean electromagnticos
o Etiquetas
o Discos y diskettes vacos
o Cmara fotogrfica
Evitar el usos de bolsas plsticas
Los objetos debern ser tomados con guantes ya que se podra alterar la evidencia
digital o las huellas dactilares que se encuentren en los mismos.
Si el elemento o componente encontrado en la escena del crimen no est encendido,

djelo como esta de tal manera que se pueda evitar el inicio de cualquier tipo de
programa de autoproteccin. En caso de que este encendido no se debe apagar
inmediatamente, esto evitara la prdida de informacin voltil si existe un mouse, se
debe moverlo para evitar que la pantalla se cierre o bloquee, para ello se deber usar
guantes.
Dependiendo del caso, se deber realizar los allanamientos de forma

simultnea, ya que los datos pueden estar en ms de una lugar en caso de
sistemas de red o conexiones remotas.
Inicialmente (prepararse para acudir al incidente):
85
Asignar un profesional forense o perito informtico [Caractersticas Perito

Forense Cap.5 - 5.3.1] que encabece el mismo.
Llenar los formularios asignados en cada paso del desarrollo del proceso
forense.
Establecer los responsables o el equipo que manipularn las evidencias
dependiendo del caso, el o los mismos debern poseer los roles mencionados
[Cap.5 - 5.3.1 First Responde], a mas de llenar el [Formulario Registro del
Equipo Designado en la Cadena de Custodia Apndice A].
Asignar un acompaante durante el levantamiento de las evidencias, el mismo
actuando como testigo al tomar cualquier accin en la escena.
Determinar quien o quienes transportarn la evidencia [Formulario Evidencia
General Lado B- Apndice A].
El equipo asignado en la investigacin debe prepararse para interactuar con
las evidencias usando guantes descartables ya que cualquier objeto en la
escena del crimen puede contener huellas dactilares.
Al transportar la evidencia no se debe colocar los elementos cerca de fuentes
electromagnticas.
Cuando las diligencias son realizadas en momentos que no son visibles, para
comprobar algunas circunstancias como antenas externas, conexiones con
otros edificios, etc. Es recomendable operar en horas que preceden al
amanecer.
Identificar el o los tipo de delito informtico cometidos ante el caso que se
presente.
Iniciar con el proceso forense:
Fotografiar los equipos y su entorno.

Diagramar o dibujar el entorno donde se encuentren las evidencias, si el caso
lo amerita realizar una filmacin. [Apndice B ]
El perito informtico debe escuchar, durante la operacin a las personas
hayan llegado en primer trmino, debido a que las mismas podrn dar
testimonio de cmo se encontraron los cambios sufridos. [Formulario de
Control ante respuestas al Incidente Apndice A].
Interrogar a todos los sospechosos.
No alterar ni cambiar por ningn motivo la evidencia digital encontrada.
Mantener al elemento o componente encontrado en la escena del delito,
separado de cualquier tipo de imn o campo magntico.
Registrar el nmeros de componentes electrnicos o evidencia electrnica
encontrados en la escena (PDAs, celulares, computadores). [Formulario
Inventario de Software y Componentes Apndice A] [Formulario de
Registros de evidencias de la computadora Apndice A].
Definir en qu tipo de escenario se encuentra la evidencia en la escena del
crimen, el mismo que se encargarn los examinadores de evidencia digital o
informtica [Cap.5 - 5.3.1]. [Formulario de Evidencia General lado A
Apndice A]
Escenario 1 Sistemas de computacin abiertos (Computadoras=Disco
Duro, USB, Sistema Operativo).
Escenario 2 Sistemas de comunicacin (Computadoras en red).

[Formulario de Recoleccin de Datos del Incidente Apndice A]
Escenario 3 Dispositivos varios (celulares, PDAs, DVD, CDROM).

Si se eligiese dos tipos de escenarios diferentes, se deber emplear cada una
de las actividades y registro de formularios de forma separada.
Verificar el estado de la evidencia y nivel de la misma (a cargo de los
examinadores de evidencia digital):
o Sin daos (entonces se deber proteger a los equipos).

o Daos (evaluar con un porcentaje, para posterior anlisis).
Recolectar los componentes electrnicos encontrados y todas las piezas que
se necesiten (a cargo de los examinadores de evidencia digital).
o caractersticas (modelo, marca, tamao, color, completo).
o nmero de serie.
Clasificar la Evidencia y ver qu tipo de evidencia es (constante o voltil), a

cargo de los examinadores de evidencia digital.
1) Evidencia Fsica
Soportes de Almacenamiento
-
CPU,
Diskettes,
CD, DVD,
Cintas magnticas.
Discos Duros. [Formulario de Control de Anlisis de Disco Duros
Ubicado en Apndice A ]
Dispositivos Electrnicos
Telfonos celulares,
Agendas,
Organizadores electrnicos.
Dispositivos de comunicaciones de red

-
Routers,
Switchs,
Hubs.
2) Evidencia Lgica:
o Registros generados por computador: registros de eventos de

seguridad (logs).
o Registros no generados sino simplemente almacenados por o en
computadores generados por una persona, y almacenados en el
computador.
o Registros hbridos la unin de los dos anteriores.
Inventario del software instalado en el equipo (a cargo de los examinadores

de evidencia digital).
Copia de la pieza o evidencia a peritar encontrada en la escena del delito.
[Formulario del estado de la evidencia Apndice A]
Una vez realizada la primera parte de la gua se procede a definir las
acciones que se debern tomar dependiendo del tipo de escenario.
Acciones segn tipo de escenario
Estas acciones se deben ser manejadas por los denominados Investigadores de

Delitos Informticos su perfil se menciona en [Cap.5 - 5.3.1].
Escenario 1: Sistemas de computacin abiertos
Verificar el estado del sistema o equipo: apagado o encendido.

o Buscar evidencia voltil antes de apagar el equipo.
o Realizar copias bit-a-bit de discos duros y particiones (dd, safeback),
la metodologa planteada para el manejo de discos duros se deber
seguir en el [Cap. 4 - 4.3.2].
Definir el tipo de plataforma.

Identificar el tipo de informacin almacenada en un dispositivo y el formato
en que se guarda.
No modificar los archivos ni borrarlos.
Interpretar comandos en modo consola (cmd, bash).
Obtener fecha y hora del sistema (date, time).
Enumerar procesos activos, aplicaciones que los lanzaron (ps, pslist).
Conocer los procesos que se estn ejecutando actualmente en el equipo y cul
de ellos consume ms recursos con ubicaciones poco frecuentes en el sistema
de archivos.
Buscar ficheros ocultos o borrados (hfind, unrm, lazarus).
Ordenar los archivos por sus fechas, esto se debe realizar debido a que los
archivos tendrn la fecha de instalacin del sistema operativo.
Buscar ficheros y directorios (temporales) que han sido creados, modificados
o borrados recientemente.
Determinar la ruta completa del o los ficheros, tamao en bytes.
Visualizar registros y logs del sistema (reg, dumpel).
Visualizar la configuracin de seguridad del sistema (auditpol).
errneas o fallidas.
Utilizar herramientas que no modifiquen el tiempo de ejecucin de los
archivos.
Escenario 2: Sistemas comunicacin
Verificar el estado del sistema o equipo y atacante: si el sistema continua

conectado a la red se obtiene mayor informacin pero se corre el riesgo de
que el atacante siga en lnea y perjudique en el peor de los casos por completo
la evidencia digital. Por ello en caso de que lo requiera, desconectar el
mdem.
Definir el tipo de plataforma.
Definir cuantos equipos en red se encuentran conectados.
91
Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas, se debe

tomar en cuenta los puertos por encima del 1024 (fport, lsoft).
Listar usuarios conectados local y remotamente al sistema.
Listar los permisos de acceso de todos los usuarios de la red.
Obtener fecha y hora del sistema (date, time).
Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones que
los lanzaron (ps, pslist).
Conocer procesos que mantengan conexiones de red en puertors TCP o UDP
no habituales.
Enumerar las direcciones IP del sistema y mapear la asignacin de
direcciones fsicas MAC con dichas IP (ipconfig, arp, netstat, net).
Realizar un mapa lgico y fsico de la red, de tal manera que se pueda
identificar el lugar donde se encuentre cada equipo con su direccin IP.
Buscar ficheros ocultos o borrados (hfind, unrm, lazarus).
Generar funciones hash de ficheros (sah1sum, md5sum).
Visualizar registros y logs del sistema (reg, dumpel).
Visualizar la configuracin de seguridad del sistema (auditpol).
Leer, copiar y escribir a travs de la red (netcat, crypcat).
Analizar el trfico de red (tcpdump, windump).
Realizar copias bit-a-bit de discos duros y particiones (dd, safeback).

errneas o fallidas.
Dentro de este escenario es de suma importancia saber cual es la
funcionalidad del equipo atacado, ya que este puede ser un servidor y dentro
del mismo puede encontrarse una Base de Datos, para la cual se debern
seguir las metodologas planteadas en [Cap. 4 - 4.3.4] y de esta manera
obtener mayor evidencia y claridad durante el proceso forense.
Escenario 3 Dispositivos varios

Una vez dentro de este escenario se deber identificar la evidencia electrnica, ya
que esta puede ser, telfonos celulares, PDAs, USB, CD, DVD.
El responsable del Departamento de Estudio y Apoyo Tcnico del Departamento de
Delitos Informticos de la Polica Nacional, deber asignar un especialista en:
o Estructura fsica.
o Estructura lgica.
De cmo se almacenan y funcionan estos medios, ya que su anlisis es ms complejo
y requiere de software especializado.
Presentar la evidencia y resultados
En este punto los formularios empleados anteriormente son de suma importancia ya

que los mismos permitirn presentar las actividades realizadas en la cadena de
custodia y quienes fueron responsables de ello. Para este punto el trabajo de cada
miembro que forme parte del equipo en el proceso de anlisis forense informtico
ser recopilado con todos los puntos antes mencionados y se concluir con la
evidencia.
Se deber presentar los siguientes formularios:

Formulario de control ante respuestas a incidentes. (testigos en la escena)
Formulario de Registro General.
Formulario del Equipo Designado en la cadena de custodia.
Formulario de lista de control de anlisis de disco.
Formulario de recoleccin de incidentes (dispositivos de red)
Formulario de Inventario de software y componentes.
Formularios de registro de evidencia de la computadora.
Formulario de estado de la evidencias, al mismo se le suma la forma en la
que se copia cada pieza o evidencia encontrada en la escena del delito, como
se conserva la original y como se aseguran las piezas.
Formulario
de
Resultados
de
Evidencia,
se
deber
adjuntar
los
procedimientos, tcnicas utilizadas para recolectar, la evidencia digital

dependiendo del o los tipos de escenarios.
(Todos los formularios antes mencionados se encuentran en el Apndice A, parte

inferior de la gua)
A esto se suma los Informes Tcnico y Ejecutivo, presentados en [Cap.3 - 3.4.2

Informe Tcnico, 3.4.3 Informe Ejecutivo].
Para que una gua pueda ser llevada de la mejor manera se requiere de soporte a
todos los involucrados en el proceso.
CAPTULO 5
HERRAMIENTAS Y EQUIPOS PARA EL ANLISIS FORENSE
5.1
Anlisis sobre las herramientas y equipos para la aplicacin de la
Informtica Forense para la Polica Nacional
La Polica Nacional, actualmente se encuentra manejando en proceso de aceptacin

el Departamento de Delitos Informticos en la ciudad de Quito, hasta el momento las
herramientas y la gua o pasos que se beben tomar en el acontecimiento de un delito
informtico, no se encuentran adecuadamente definidos, nuestra labor es proponer
herramientas (software libre) y equipos ptimos que ayuden a la Polica a realizar
actividades vlidas y certeras con la finalidad de obtener evidencias contundentes y
ser presentadas en la corte.
La investigacin de cada una de las herramientas que se presentaran estn basadas en
la siguiente clasificacin
21
orientada a la informtica forense:
1) Herramientas para recoleccin de evidencias.

2) Herramientas para el Monitoreo y/o Control de Computadores.
3) Herramientas de Marcado de documentos.
4) Herramientas de Hardware.
1) Herramientas para recoleccin de evidencias: Existen una gran cantidad de

herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace
necesario debido a:
21
LPEZ scar, INFORMTICA FORENSE: GENERALIDADES, ASPECTOS TCNICOS Y

HERRAMIENTAS.
95
La gran cantidad de datos que pueden estar almacenados en un computador.
La variedad de formatos de archivos, los cuales pueden variar enormemente,

an
dentro del contexto de un mismo sistema operativo.
La necesidad de recopilar la informacin de una manera exacta, y que permita

verificar que la copia es exacta.
Limitaciones de tiempo para analizar toda la informacin.
Facilidad para borrar archivos de computadores.
Mecanismos de encripcin, o de contraseas.
2) Herramientas para el Monitoreo y/o Control de Computadores

Algunas veces se necesita informacin sobre el uso de los computadores, por lo tanto
existen herramientas que monitorean el uso de las mismas, para poder recolectar
informacin. Existen algunos programas simples como key loggers o recolectores de
pulsaciones del teclado, que guardan informacin sobre las teclas que son
presionadas, hasta otros que guardan imgenes de la pantalla que ve el usuario del
computador, o hasta casos donde la mquina es controlada remotamente.
3) Herramientas de Marcado de documentos

Un aspecto interesante es el de marcado de documentos; en los casos de robo de
informacin, es posible, mediante el uso de herramientas, marcar software para poder
detectarlo fcilmente.
La seguridad est centrada en la prevencin de ataques. Algunos sitios que manejan
informacin confidencial o sensitiva, tienen mecanismos para validar el ingreso,
pero, debido a que no existe nada como un sitio 100% seguro, se debe estar
preparado para cualquier tipo de incidentes.
4) Herramientas de Hardware
Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe

modificar la informacin se han diseado varias herramientas para ello.
5.2
Costos de equipos y software para la aplicacin de la Informtica
Forense
Las herramientas que se presentan sern evaluadas segn los siguientes factores:
Software libre.
Rendimiento y desempeo. Por medio de una evaluacin = alta, media, baja.
Costos.
Confiabilidad ante la recuperacin de evidencias.
Para la puesta en marcha en el manejo de evidencias digitales del Departamento de

Delitos Informticos de la Polica Nacional, el forense o los forenses informticos
asignados a esta rea, pueden apoyarse en determinadas herramientas que adems de
automatizar tareas, tambin le ayudaran a secuenciar sus pasos y a documentar cada
uno de ellos.
As, segn la realidad del Departamento y las leyes vigentes en el pas en base a la
gua que se ha planteado para la Polica Nacional, se presenta mediante un cuadro
comparativo y evaluado, las herramientas que poseen ms cualidades que otras y son
ms recomendables.
97
Informtica Forense
Herramienta
Costo
Caractersticas
Plataforma en las que

trabajan
Evaluacin
.- Esta coleccin de programas sirve para realizar una 'autopsia' sobre sistemas UNIX despus
de que han 'muerto' completamente.
.- El funcionamiento de este software se basa principalmente en la recogida de grandes
cantidades de datos para proceder a su anlisis posterior. Algunos de sus componentes son la
herramienta 'ladrn de tumbas' (que captura informacin), los programas para detectar
archivos 'muertos' o 'vivos', as como 'lzaro', que restaura archivos borrados, y otra
herramienta que restaura claves criptogrficas desde un proceso activo o desde algn
archivo.
.- Contiene varias herramientas importantes para el anlisis forense.
The Coroners
Toolkit
Libre
Aplicaciones importantes:
- grave-robber - Una utilidad para capturar informacin sobre i-nodes, para ser procesada por
el programa mactime del mismo toolkit.
- unrm y lazarus - Herramientas para la recuperacin de archivos borrados (logs, RAM,
swap, etc.). Estas aplicaciones identifican y recuperan la informacin oculta en los sectores
del
disco duro.
- mactime - El programa para visualizar los ficheros/directorios su timestamp
MAC (Modification, Access, y Change).
.-Se ejecutada cuando la evidencia encontrada, posee un Sistema Operativo (Linux)
Descargas: http://www.fish.com/tct/, o desde http://www.porcupine.org/forensics.
98
FreeBSD 2-4.*,
OpenBSD 2.*, BSD/OS
2-3.*, SunOS 4-5.* y
Linux 2.*.
SUN Solaris
RedHat Linux
Media
.- Es una interfaz grafica que trabaja en conjunto con la herramienta the sleuth kit utilizada
para el anlisis forense.
.- Analiza discos y sistema de archivos (NTFS, FAT, UFS1/2, Ext2/3).
.- Muestra el detalle de informacin sobre datos eliminados y estructuras del sistema
de ficheros.
.- Permite el acceso a estructuras de archivos y directorios de bajo nivel y eliminados
The Sleuth Kit y
Autopsy
Libre
Unix/Linux, Windows
Alto
Linux
Bajo
.- Genera la lnea temporal de actividad de los archivos (timestamp).

.-Permite buscar datos dentro de las imgenes por palabras clave,
.-Permite crear notas del investigador e incluso genera informes y muchas tareas.
.-Es una coleccin de herramientas.
.- Utiliza interfaz grafica que facilita notablemente el trabajo.
.-Se ejecutada cuando la evidencia encontrada, posee un Sistema Operativo
(Windows/Linux) Descargas: http://www.sleuthkit.org/autopsy/download.php
.- Recopila informacin de ficheros localizados en un sistema de ficheros
montado
(mounted).
Mac-robber
Libre
.- Los datos obtenidos pueden ser utilizados por la herramienta mactime, contenida en
el
Sleuth Kit, para elaborar una lnea temporal de actividad de los ficheros.
.- Est basado
anteriormente.
en
grave-robber
(contenido
en
TCT)
explicado
.- Requiere que el sistema de ficheros est montado por el sistema operativo, a diferencia de
otras herramientas como el Sleuth Kit que procesan el sistema de ficheros ellos mismos.
.- Modificar los tiempos de acceso a directorios que estn montados con permisos de
escritura.
Herramientas que forman parte:
-Pasco: Herramienta para analizar la actividad realizada con el navegador web Internet
Explorer de MS .
-Galleta: Examina el contenido del fichero de cookies de IE.
-Rifiuti: Examina el contenido del fichero INFO2 de la papelera de reciclaje de Windows.
Foundstone
Forensic Toolkit
Comercial
-Vision: Lista todas los puertos TCP y UDP en escucha (abiertos) y los mapea a las
aplicaciones o procesos que se encuentran detrs.
Windows
Alto
Linux
Bajo
-Forensic Toolkit: Es una suite de herramientas para el anlisis de las propiedades de ficheros
Examina los ficheros de un disco en busca de actividad no autorizada y los lista por su ltima
fecha de acceso, permitiendo realizar bsquedas en franjas horarias, bsqueda de archivos
eliminados, etc. (open source)
Descarga: www.foundstone.com
Foremost
GPL
(proyecto
abierto al
pblico)
.- Recupera ficheros basndose en sus cabeceras.

.- Puede trabajar sobre archivos de imgenes, como los generados con dd, Safeback,
Encase, etc. o directamente sobre un disco o particin.
.- Las cabeceras pueden especificarse a travs de su archivo de configuracin, por lo que
se puede especificar bsquedas para formatos especficos.
.-HELIX est basada en KNOPPIX.

.- Live CD.
.- Posee una variedad de herramientas para realizar un anlisis forense tanto a equipos como
imgenes de discos.
.- Para MS Windows posee un conjunto de herramientas de 90 Mb, permitiendo trabajar
con sistemas vivos, y recuperar informacin voltil.
.- En el entorno Linux, dispone de un Sistema Operativo completo, con un ncleo
modificado para conseguir una excelente deteccin de hardware.
.-No realiza el montaje de particiones swap, ninguna otra operacin sobre el disco duro
del equipo sobre el que se arranque.
Helix/FIRE
Libre
.- Es muy bueno para el anlisis de equipos muertos, sin que se modifiquen las
evidencias pues montar los discos que encuentre en el sistema en modo slo lectura.
.- Contiene ms y nuevas versiones de SleuthKit y Autopsy.
.- Su documentacin no es amplia.
.- Permite elegir entre usar los kernels (2.4.26 o 2.6.5).
.- Tiene una excelente deteccin de hardware.
.- HELIX est pensado especficamente para no realizar ningn tipo de alteracin sobre
los sistemas en los que se usa.
.- Tiene una configuracin autorun para Windows con herramientas para este
SO. Descarga: http://www.e-fense.com/helix/
Windows, Solaris, Linux
Alto y
recomendable
.- Es una distribucin de un nico cdrom, portable y bootable Live CD. Provee herramientas
adecuadas para una actuacin rpida en casos de anlisis forense.
.- Respuesta ante incidentes, recuperacin de datos, ataque de virus.
.- Contiene gran cantidad de herramientas de anlisis forense.
.- Es usable para anlisis en caliente de sistemas, con lo que nicamente montando el CD se
puede usar.
.- Herramientas compiladas estticamente sin necesidad de realizar un reboot de la mquina.
.- Posee una interfaz grafica que hace fcil su uso.
F.I.R.E (Forensic
and Incident
Response
Environment)
Libre
.- No realiza ninguna modificacin sobre los equipos en los que se ejecute, por lo que puede
ser utilizado con seguridad
.- Recupera datos de particiones daadas.
.- F.I.R.E posee las siguientes herramientas:
Nessus, nmap, whisker, hping2, hunt, fragrouter.
Ethereal, Snort, tcpdump, ettercap, dsniff, airsnort.
Chkrootkit, F-Port
TCT, Autopsy.
Testdisk, fdisk, gpart.
SSH (cliente y servidor), VNC (cliente y servidor)
Mozilla, ircII, mc, Perl, biew, fenris, pgp.
Todos estos programas sern comentados brevemente, en el glosario.
Descarga: http://fire.dmzs.com/?section=main o
http://biatchux.dmzs.com.
Windows, Solaris y
Freeware
Alto y
recomendable
.- Es una de las ms conocidas y apreciadas distribuciones GNU/Linux

.- Ocupa el puesto 32 en el famoso rnking de Insecure.org.
.- Se presenta como un LiveCD (no requiere de instalacin)
BackTrack
Libre
.- Posee 300 herramientas de todo tipo (sniffers, exploits, auditora wireless, anlisis
forense, etc) perfectamente organizadas.
GNU/Linux
Alto y
recomendable
Linux
Bajo
Windows
Bajo
.- La versin 2 (recin publicada) utiliza un kernel 2.6.20 con varios parches e incluye
soporte para tarjetas inalmbricas.
.- Los programas que trae este software ya vienen todos configurados y listos para
ser usados, por lo que no se debe emplear tiempo en buscarlos e instalarlos.
.- Simplificar el proceso de anlisis de ficheros de log en investigaciones forenses.
FLAG (Forensic
and Log Analysis
GUI)
Libre
proyecto
abierto al
publico
.- Est basado en web, por lo que puede instalarse en un servidor donde se centralice toda la
informacin de los anlisis, de forma que puede ser consultada por todo el equipo forense.
.- pyFlag es la implementacin (empleada actualmente) en Python. Es una
revisin/reescritura completa de FLAG, ms potente, verstil y robusta.
.- Es una aplicacin on-line segura y de fcil manejo.
.- Permite a los usuarios recuperar los archivos que hayan sido borrados de unidades de disco
E-ROL
Libre
duro, unidades ZIP y disquetes, en todos los sistemas operativos de la familia Microsoft
Windows.
.- Registra una media de ms de 350 entradas diarias a su pgina web.
.- Software de Recuperacin de Datos se encuentra disponible para ser utilizado en una vasta
gama de sistemas operativos y archivos de sistema.
.- Recuperar Archivos Programa de recuperacin de archivos anulados: es capaz de recuperar
del cesto de Windows datos anulados o perdidos a causa del formateo del disco duro, de una
infeccin de virus, de una repentina cada del sistema o por un desperfecto de software.
Stellar Phoenix
.- El software soporta los archivos de sistema FAT, NTFS

.- Rreparar y restablece archivos Zip y archivo en formato Microsoft Office (archivos de
Windows 95, Windows

98, Windows ME,
Windows NT, Windows
Media
2000, Windows 2003

Server e Windows XP.
Access, Excel, PowerPoint y Word) corrompidos o no accesibles.

.- Repara Archivos extrae las informaciones contenidas en el y crea un nuevo archivo sin
errores.
.- Recupera datos incluso los borrados.
.- Identifica y soporta varios sistemas archivos.
Ilook
Libre
.- Analiza funciones has.

.- Basado en Linux.
.- Recupera todos los datos incluido los de archivos borrados.
.- Asiste al investigador a buscar detalles especficos.
.- Recupera datos corruptos en disquetes, CD, dispositivos usb o el propio disco local.
Linux, Wink2k
WinXP / Server 2003
Media
.-Recuperar todo tipo de archivos, como por ejemplo documentos, imgenes, aplicaciones,
Bad copy
Comercial
$50
etc.
.-Utiliza un sistema inteligente de recuperacin de datos y disco, para el contenido de ficheros
Win95/98/NT/ME/2000/
XP
Medio
Windows
Medio
originales; puede leer el contenido de archivos corruptos y en la mayora de los casos

recuperarlos, en todo o en parte, en el directorio que se especifique.
.- Software lder en el mercado y de mayor uso en el campo de anlisis forense.
Comercial
Encase
Sector
privado
$ 2495
.- Los formatos de archivos con extensin .cda contenidos en CD para equipos de msica no
son bien reconocidos por EnCase.
.- Muy usada en EEUU por el FBI.
.- No es multiplataforma.
.- Encase posee una variedad de funciones que se requiere de otro documento para explicar
cada una de ellas.
http://guidancesoftware.com
Tabla comparativa 5.2 Herramientas para la Informtica Forense
Informtica Forense
5.2.1 Toolkit para el Departamento de Delitos Informticos de la Polica Nacional
Dejando aparte el software comercial, en el que se puede encontrar herramientas

especficas como EnCase de la empresa Guidance Software, considerado un estndar
en el anlisis forense de sistemas pero no indispensable, nos centramos en
herramientas de cdigo abierto (Open Source) muchos de estos
poseen una
coleccin de herramientas en un solo software (toolkit) que pueden ser descargadas

libremente desde las pginas de sus correspondientes autores o miembros del
proyecto y que cumplen similar funcionalidad a las herramientas que son
comerciales. A ms de ello Linux es un entorno ideal en el cual realizar tareas de
anlisis forense permite proveer de una gran variedad de herramientas que facilitan
todas las etapas que se deben llevar a cabo en la realizacin de un anlisis exhaustivo
de un sistema comprometido.
Mediante el cuadro anterior las herramientas que son claramente ms recomendables

y utilizadas; en el toolkit para el Departamento de Delitos Informticos en la Polica
Nacional son:
TCT es una herramienta de cdigo abierto, es decir no requiere la obtencin
de licencia tiene una evaluacin media.
Forensic Toolkit forma parte de la organizacion Foundstone, la misma esta
orientada a plataformas Windows.
The Sleuth Kit y Autopsy es una herramienta altamente recomendable
debido las funciones que posee, es gratuita y multiplataforma. Las
metodologas que se debe seguir al usar esta herramienta se adjunta en
[Anexo E].
Otra de las herramientas recomendables pero posee una limitante es
BackTrack, ya que solo funciona en Sistema Operativo Linux, pero tiene un
alto rendimiento.
106
La siguiente herramienta es E-ROL se le considera con una evaluacin baja

debido a que carece de las funciones que poseen las herramientas antes
mencionadas,
pero puede
ser de utilidad, al enfrentarse con entornos
Windows para tomar indicios del ataque.
Uno de los elementos ms importantes que un informtico forense debe emplear al

momento de recaudar evidencia digital, son los conocidos Live CDs o DVDs, que
son una coleccin de herramientas, que permiten realizar un examen forense de
imgenes sin tener que dedicar un equipo especfico para ello y sin necesidad de
cargar otro sistema operativo. Entre los ms recomendables ellos tenemos:
Helix posee una evaluacin alta, contiene un sin nmero de herramientas,
entre una de ellas el Autopsy, es multiplataforma, y open source.
F.I.R.E (Forensic and Incident Response Environment), este Live CD, es
altamente recomendable. Si Helix contiene ha Autopsy, F.I.R.E. contiene a
las herramientas TCT y Autopsy a ms de un sin nmero de herramientas,
tiles para la recoleccin de evidencias, es multiplataforma y gratuito.
Clasificacin
Herramientas para recoleccin de evidencias
TCT (Linux).
Forensic Toolkit (Windows).
The Sleuth Kit y Autopsy (Unix/Linux, Windows).
BackTrack ( Linux).
E-ROL (Windows).
Helix (Windows, Solaris, Linux).
F.I.R.E (Windows, Solaris y Freeware).
Herramientas para el Monitoreo y/o Control de Computadores.
Honeypot
Es un software o conjunto de computadores cuya intencin es atraer a crackers o
spammers, simulando ser sistemas vulnerables o dbiles a los ataques, permite
recoger informacin sobre los atacantes y sus tcnicas, los mismos pueden distraer a
los atacantes de las mquinas ms importantes del sistema, y advertir rpidamente al
administrador del sistema de un ataque, adems de permitir un examen en
profundidad del atacante, durante y despus del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no
existentes en la realidad y se les conoce como honeypots de baja interaccin y son
usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan
sobre sistemas operativos reales y son capaces de reunir mucha ms informacin; sus
fines suelen ser de investigacin y se los conoce como honeypots de alta interaccin.
Tambin se llama honeypot a un website o sala de chat, que se ha creado para
descubrir a otro tipo de usuarios con intenciones criminales.
KeyLogger
Es una herramienta que puede ser til cuando se quiere comprobar actividad
sospechosa; guarda los eventos generados por el teclado, es decir, cuando el usuario
teclea la tecla de 'enter', esto es guardado en un archivo o es enviado por e-mail.
Existen dos versiones: la registrada y la de demostracin. La principal diferencia es
que en la versin registrada se permite correr el programa en modo escondido. Esto
significa que el usuario de la mquina no notar que sus acciones estn siendo
registradas.
5.2.2 Entornos de Trabajo Forense sobre computacin virtual para la Polica Nacional
Una de las propuestas, que es sumamente interesante y factible para la Polica

Nacional es implementar una arquitectura conformada por servidores virtuales que
proveen servicios informticos al personal designado al laboratorio el Departamento
de Delitos Informticos de la Polica Nacional.
La labor pericial demanda el uso de distintos Sistemas Operativos (Windows, Linux,

Solaris, etc.) como plataforma de ejecucin de aplicaciones forenses. Para ello se
puede implementar
puestos de trabajo con mquinas virtuales, facilitando a los
investigadores la utilizacin de un mayor nmero de recursos de software en forma

simultnea.
La virtualizacin se refiere a una capa de abstraccin que separa el hardware del

sistema operativo, optimizando y flexibilizando de esta manera la utilizacin de los
recursos computacionales. Permite que mltiples mquinas virtuales con sistemas
operativos
heterogneos
puedan
funcionar
simultneamente en
la
misma
computadora. Cada mquina virtual tiene asignado un conjunto propio de recursos de

hardware sobre el que pueden funcionar diferentes aplicaciones. La virtualizacin
brinda la posibilidad de mejorar la infraestructura informtica en cuanto a
escalabilidad, seguridad y una variedad de modalidades en la administracin de
servidores.
Los beneficios de la virtualizacin pueden ser apreciados sobre tres aspectos de alto
impacto para la administracin de sistemas:
Particionamiento (permite que mltiples aplicaciones y sistemas operativos
puedan compartir el mismo hardware).
Aislamiento de componentes (si una mquina virtual falla esta situacin no

afecta al funcionamiento de las restantes).
Encapsulacin(permite que una mquina virtual pueda almacenarse en un
simple archivo facilitando el backup de la misma, la copia, o el traslado).\
Virtualizacion en el Departamento de Delitos Informticos

En los puestos de trabajo del laboratorio pericial informtico se analiza la evidencia
digital utilizando aplicaciones forenses tales como EnCase, Autopsy, etc. Las
herramientas mencionadas no son multiplataforma. EnCase operan bajo Windows y
Autopsy bajo Linux, impidiendo utilizarlas al mismo tiempo en un mismo equipo.
Mediante la aplicacin de virtualizacin se pueden crear mquinas virtuales con
diferentes sistemas operativos y de esta manera lograr que aplicaciones que no son
multiplataforma operen en paralelo.
Por ello se propone, como tema de aplicacin en el laboratorio pericial informtico,

que cada puesto de trabajo utilice el software de virtualizacin VMware Server
como plataforma de operaciones, funcionando sobre el sistema operativo anfitrin
Windows XP. Se cuenta con una mquina virtual con sistema operativo Linux, sobre
la que es posible ejecutar las aplicaciones Autopsy entre otras.
Las ventajas de la virtualizacin son evidentes, ya que con esta plataforma de

operaciones es posible efectuar una adquisicin remota de un disco rgido mediante
una herramienta destinada para ello y luego abrir la imagen forense para efectuar
alguna operacin en particular con el software respectivo, ejecutando sobre el
sistema operativo anfitrin, sin necesidad de cambiar el entorno habitual de trabajo.
No se cree conveniente poseer clonar el dispositivo de almacenamiento original y

luego instalar esta copia en un hardware de laboratorio o incluso sobre la
computadora original Este procedimiento no es muy recomendado, ya que
usualmente se presentan problemas de incompatibilidad con el hardware cuando se
utiliza una computadora de laboratorio.
Con la aparicin de herramientas de virtualizacin como VMware se puede recrear el

entorno de trabajo del sospechoso. Debido a que actualmente ha surgido en el
mercado de informtica forense la herramienta comercial VFC , mediante la cual es
posible crear una maquina virtual ejecutable y luego inicializarla con VMware, de
esta manera se podr
combinar con el software destinado a la recoleccin de la
evidencia digital.
En el mbito institucional del Ecuador es habitual contar con recursos financieros
mnimos para la adquisicin de tecnologa. Es por ello que se presenta la opcin de
trabajar con servidores virtuales aplicados a la informtica forense del Departamento
de Delitos Informticos de la Polica Nacional,
de tal manera que se aproveche
eficientemente el equipamiento informtico y se deje atrs al Sistema Operativo

como un punto de inflexin para el aprovechamiento de recursos informticos en las
actividades periciales.
Perfil y capacitacin para los miembros de la Polica Nacional en

Informtica Forense
5.3
5.3.1 Perfil de un Informtico Forense
EL investigador forense para actuar correctamente ante la escena de un crimen debe

realizar un proceso formal, donde su conocimiento cientfico y tcnico debe ser
suficiente para generar indicios hacia el descubrimiento de evidencias y resolver un

caso.
Para actuar adecuadamente y de la mejor manera ante un proceso de anlisis forense,

cada miembro que forme parte del equipo de investigacin en el Departamento de
Delitos Informticos de la Polica Nacional se le debe asignar un rol determinado,
con funciones especficas, a continuacin se presentan los roles para cada tipo de
investigador que forma parte de este equipo:
Tcnicos en escenas del crimen informticas o First Responde

Las caractersticas del mismo:
Son los primeros en llegar a la escena del crimen.
Recolectan la evidencia.
Formacin bsica en el en el manejo de evidencia y documentacin.
Reconstruyen el delito.
Examinadores de evidencia digital o Informtica
Procesan la toda la evidencia digital obtenidas por los Tcnicos en Escenas

del Crimen Informticos.
Debern ser especializados en sistemas e informtica.
Investigadores de Delitos Informticos
Realizan la Investigacin y la reconstruccin de los hechos de los Delitos

Informticos de forma general.
Debern poseer un entrenamiento general en cuestiones de informtica

forense.
Debern ser profesionales en:
Seguridad Informtica.
Abogado.
Policas.
Examinadores Forenses.
Perito Informtico
Peritos son las personas que por disposicin legal y encargo Judicial o del Ministerio
Pblico aportan con sus conocimientos los datos necesarios para que el Juez, Fiscal o
la Polica Judicial adquieran conocimiento para determinar las circunstancias en que
se cometi una infraccin.
Las condiciones que debe reunir una persona para ser perito son:
a) Profesional, especializado y calificado por el Ministerio Pblico en un
respectivo campo y determinada materia.
b) Mayores de edad (18 aos).
c) Honradez, calidad moral de proceder ntegro y honrado en el obrar.
d) Deber ser totalmente imparcial.
e) Conocimientos especficos en la materia para cumplir su cometido.
La pericia intenta obtener un dictamen fundado en especiales conocimientos
cientficos, tcnicos, til para el descubrimiento o valoracin de un elemento de
prueba.
5.3.2 Capacitacin, Cursos y Certificaciones

Los investigadores forenses en informtica cuentan con conocimiento tcnicos
informticos, los mismos deben prepararse para desenvolverse en procedimientos
legales y tcnicamente vlidos con la finalidad de establecer evidencia en situaciones
donde se vulneran o comprometen sistemas, utilizando mtodos y procedimiento
cientficamente probados y claros, permitiendo establecer posibles hiptesis sobre el

hecho y contar con la evidencia requerida que fundamente dichas hiptesis.
Para ello la Polica Nacional deber constantemente capacitar al personal de esta

rea, ya que inevitablemente la tendencia de crecimiento, avances y alcance que tiene
la tecnologa es continua y con ello el aumento de nuevas tcnicas para cometer
ataques y perjudicar sistemas informticos tambin se desarrollan a la par. A mas de
ello para un adecuado manejo de evidencias cada personal que forme parte del
Departamento de Delitos Informticos, deber cumplir funciones especficas
dependiendo de su rea, de tal manera que el proceso de anlisis forense que se
aplique a la evidencia digital sea llevada de la mejor manera y la evidencia sea
contundente y clara en el proceso judicial.
A continuacin presentamos los tipos de cursos y entrenamiento que debern

aplicarse para el equipo del Departamento de Delitos Informticos. Estas son dos de
las asociaciones que han desarrollado programas de certificacin forenses en
informtica, que permiten detallar las habilidades requeridas y las capacidades
deseables en los investigadores informticos:
IACIS - International Association of Computer Investigative Specialist

(http://www.cops.org).
HTCN - High Technology Crime Netwok (http://www.htcn.org).
IACIS
Ofrece la certificacin internacional denominada CFEC (Computer Forensic External
Certification), diseada para personas que no pertenezcan a instituciones judiciales o
de polica. Costo de esta certificacin es de US $1250 con una duracin de cinco
meses, y se requiere de una forma de aplicacin con mltiples datos del aspirante, la
misma es evaluada por el comit de IACIS.
Si el aspirante es aceptado, se inicia el proceso de evaluacin el cual consiste en el

anlisis de seis diskettes especialmente preparados y un disco duro con una
disposicin especial. Cada uno de los diskettes establece un problema tcnico y
forense para el aplicante el cual debe resolver correctamente, documentar sus
hallazgos y presentar un reporte donde detalle sus anlisis. Al final del proceso, se
efecta un examen sobre el proceso y las conclusiones del investigador en cada uno
de los ejercicios, donde el mismo deber demostrar su competencia y claridad para el
desarrollo de las actividades forenses.
La certificacin CFEC, exige que los nuevos investigadores forenses en informtica

certificados posean experiencia y destreza en:
Identificacin y recoleccin de evidencia en medios magnticos.
Comprensin y prctica en procedimientos de revisin y anlisis forenses.
Comprensin y prctica de los estndares de tica que rigen las ciencias

forenses en informtica.
Comprensin de los aspectos legales y de privacidad asociados con la

adquisicin y revisin de medios magnticos.
Comprensin y prctica de mantenimiento de la cadena de custodia de la

evidencia cuando se realiza una investigacin.
Comprensin de los diferentes sistemas de archivos asociados con sistemas

operacionales, particularmente FAT de Microsoft.
Conducir de manera detallada recuperacin de datos de todas las porciones de

un disco.
Comprensin de como tener acceso a los archivos temporales, de cach, de

correo electrnico, de web, etc.
Comprensin de los aspectos bsicos de Internet.
Comprensin de tcnicas de rompimiento de contraseas.
Comprensin general de los temas relacionados con investigaciones forenses.
Mencionada certificacin es avalada y reconocida en diferentes tribunales y cortes

del mundo, debido a la seriedad y rigurosidad de proceso de certificacin, las
personas que obtienen esta certificacin requieren actualizarse permanente en las
nuevos procedimientos y formas para mejorar las tcnicas de seguimiento y anlisis,
permitiendo a los profesionales certificados que se encuentren actualizados y
capacitados para afrontar nuevas formas de anlisis forense en informtica.
HTCN
Ofrece diversas certificaciones en informtica
forense, de manera particular
comentamos sobre el certificado CCCI (Certified Computer Crime Investigador),

que tiende la enseanza de un nivel de educacin bsico y avanzado.
El propsito de esta certificacin es el desarrollar un alto nivel de profesionalismo y
entrenamiento continuo en investigaciones de crmenes de alta tecnologa en la
industria y las organizaciones. Costo de la certificacin es de US $250.
Existen dos tipos de niveles de certificaciones CCCI: nivel bsico y avanzado
CCCI Nivel bsico: para este nivel se requiere lo siguiente:
Dos aos de experiencia en investigaciones en cualquier disciplina o poseer

un grado de estudio superior.
Seis meses de experiencia investigativa directamente relacionada con la

disciplina en que busca certificarse.
Haber completado satisfactoriamente un curso de 40 horas sobre delitos

informticos o computacin forense provista por una agencia, organizacin o
empresa.
Demostrar de manera satisfactoria conocimiento tcnico en la disciplina de la

certificacin que se desee obtener, a travs de un examen escrito.
CCCI Nivel avanzado: para este nivel se requiere lo siguiente:
Dos aos de experiencia en investigaciones en cualquier disciplina o poseer

un grado de estudio superior.
Dos aos de experiencia investigativa directamente relacionada con

investigaciones de delitos informticos.
Haber completado satisfactoriamente un curso de 80 horas sobre delitos

informticos o computacin forense provista por una agencia, organizacin o
empresa.
Demostrar de manera satisfactoria conocimiento tcnico en la disciplina de la

certificacin que se desee obtener, a travs de un examen escrito.
La Polica Nacional debe tomar muy en cuenta que la labor que posee la
investigacin forense en informtica requiere de mucho entrenamiento y formacin,
no solamente en las especificaciones tcnicas sino tambin en procedimientos y
habilidades que permitan al profesional que se certifique, enfrentar la difcil tarea de
reconstruir escenarios, establecer y reconocer evidencia digital, procesar y analizar
datos para formular hiptesis que orienten la investigacin de un delito informtico ,
con el fin de descubrir y sustentar las causas y autores del mismo. Por ello el
planteamiento de estas certificaciones importantes a nivel de Informtica Forense.
CONCLUSIONES
La Polica Nacional en la actualidad no dispone de herramientas

orientadas
especficamente
informtico,
poseen un
la
investigacin
de
un
delito
Sistema de Identificacin decadactilar
automatizado (AFIS) que es utilizado por el Departamento

Criminalstica
directamente
para
resolver
de
crmenes tradicionales,
pero tambin es usado como herramienta de apoyo en ciertas

investigaciones de delitos informticos.
La concientizacin de la importancia que tienen

informticos
los delitos
ha surgido de la propia experiencia de la Polica
Nacional, al tener casos en que las investigaciones deben
quedar a
medias porque no se cuenta con los medios necesarios para poder

cerrar el caso con la detencin del atacante.
En el Ecuador existe la Ley de Propiedad Intelectual que entr en vigencia en

1998 y la Ley
de Comercio Electrnico y Mensajes de Datos
en el
2002, que se referen a las infracciones informticas, aunque no es

tan especfca en la sancin de los delitos informticos por lo que
resulta dificultoso sancionar al infractor de un delito. A parte de que
la mayora de los ciudadanos ecuatorianos desconocen la ley que
existe en nuestro pas.
No existen estndares establecidos con respecto a la Informtica

Forense pero muchas organizaciones trabajan en esto. El RFC 3227
es una gua para tratar la Evidencia Digital y la IOCE (International
Organization of Computer Evidence) proponen lineamientos para la
creacin de una gua propia de cada institucin segn su realidad.
Los casos que se han presentado en la Polica Nacional, han

requerido de herramientas que recuperen la evidencia generalmente
de discos duros y de memorias flash, que han formado parte
dispositivos
en cadena de custodia y generalmente han necesitado
de herramientas de marcado de documentos, de monitoreo de

computadoras para identificar casos de robo de informacin y de
extorsin.
Los beneficios que ofrece la Informtica Forense a la Polica

Nacional
son irremediablemente grandes ya que la Polica tiene
como objetivo mantener el orden y la seguridad pblica y la fnalidad

del Departamento de Investigacin de Delitos Informticos es detectar
e investigar conductas ilcitas recolectando evidencias digitales
vlidas para que se pueda dar la sentencia correcta al actor de dicho
delito.
Existe personal de la Polica Nacional que ha venido trabajando en

lo que se refiere a los Delitos Informticos e Informtica Forense y se
est preparando y capacitando para poder responder al desafo de
este tipo de infracciones. Pero si existe la falta de preparacin en el
orden tcnico tanto del Ministerio Pblico como de la Polica Judicial
que no cuenta con la infraestructura necesaria como laboratorios
forenses especializados, herramientas de software y hardware y todo
el equipo necesario para el seguimiento de estos delitos.
RECOMENDACIONES
La Polica Nacional al tener un Proyecto de Implementacin de un

Departamento de Investigacin de delitos informticos con una
seccin de Anlisis Forense, es recomendable que se acople con
herramientas Open Source ya que despus de un anlisis comparativo
con respecto a las comerciales, tienen algunas ventajas en sus
caractersticas de rendimiento y la gran diferencia del costo, teniendo
en cuenta que tanto herramientas comerciales como libres tienen
que ser herramientas avaladas
por instituciones autorizadas, para
que de esta manera se pueda dar credibilidad a la evidencia y pueda

servir como prueba contundente.
Para la optimizacin de los recursos tecnolgicos y un mejor

aprovechamiento de las herramientas que se implementen en la
Polica Nacional es preferible utilizar puestos de trabajo con mquinas
virtuales que facilitarn a los investigadores la utilizacin de un mayor
nmero de recursos de software de forma simultnea.
Por parte de la Polica Nacional se ha dado ya el paso de plantear el

Proyecto para poder cubrir los delitos informticos, si por los diversos
recursos an no se da, se debe insistir hasta lograr los objetivos
propuestos. Se debe tambin dar a conocer a la ciudadana el servicio
que presta la Polica Nacional, de modo que la misma sea partcipe y
colabore con las denuncias de sta categora y de esta manera las
investigaciones
puedan
ser
desarrolladas
sin
inconvenientes
culminar con el fn propuesto.
Se recomienda usar la gua de buenas prcticas adjunta en el

Captulo 4, ya que est basada en los lineamientos de la IOCE y el
RFC 3227, partiendo de una metodologa probada como es la
inspeccin ocular, la gua
permite optimizar y agilizar los pasos
dependiendo del caso de la investigacin.
La Legislacin del Ecuador puede ser mejorada en cuanto a Delitos

informticos se refere, ya que se podra aclarar especifcaciones con
respecto a las sanciones de los involucrados en estos delitos.
Es importante instruir al Cuerpo Policial como a los Jueces y

Magistrados, que se contemple dentro de la Capacitacin Anual del
Personal varios seminarios sobre delitos informticos e informtica
forense.
Y a los encargados del Departamento en Proyecto exigir
especializaciones en sta rea.
El Gobierno tiene la obligacin de
brindar el apoyo para la formacin del personal.
Es necesario formar parte de Redes Internacionales de Informtica

Forense ya que la cooperacin de pases con experiencia ser de
mucha utilidad para el Ecuador, que est empezando en sta rea.
BIBLIOGRAFA
http://www.porcupine.org/forensics/forensic-discovery/
http://www.virusprot.com/computaci%F3n-anti-forense.htm
www.alfa-redi.org
http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm
http://publicaciones.derecho.org/redi
http://derecho.org/comunidad/carlospaladella
Anlisis Forense Digital, Lpez Delgado Miguel, Junio del 2007,

CRIPORED
Ing. Carlos Delgado Beltrn Anlisis Anti-Forense
Arturo Oswaldo Huilcapi Peafiel CETID
Digital Evidence and Computer Crime. CASEY, E. Academic Press, 2000.
Dr. Santiago Acurio Del Pino Introduccin a la Informtica Forense
Dr. Geovanny Bernal Abogado
INFORMTICA FORENSE:GENERALIDADES, ASPECTOS TCNICOS

Y HERRAMIENTAS Autores : scar Lpez, Haver Amaya, Ricardo Len.
http://www.forensics-intl.com/evidguid.html
Equipo
de
Investigacin
de
Incidentes
Delitos
WWW.EIIDI.COM
Informtica Forense Giovanni Zuccardi Juan David Gutirrez
Anlisis Forense Digital Miguel Lpez Delgado
Informticos.
Informtica Forense : Generalidades, aspectos tcnicos y herramientas scar

Lpez, Haver Amaya, Ricardo Len
IACIS - http://www.cops.org.
HTCN - http://www.htcn.org.
http://www.acfe.org - Assoc. Certified Fraud Examiners.
http://www.icsa.com - International Information Systems Security Assoc.
http://www.htcia.org - High Technology Crime Investigation Association.
Glosario de Trminos
Bits: Un bit es un dgito del sistema de numeracin binario. La Real Academia

Espaola (RAE) ha aceptado la palabra bit con el plural bits. En el sistema de
numeracin decimal se usan diez dgitos, en el binario se usan slo dos dgitos, el 0 y
el 1. Un bit o dgito binario puede representar uno de esos dos valores, 0 1.
dd: es una de las herramientas ms empleadas en entornos UNIX/Linux, permite

crear imgenes de discos bit a bit, adems de ofrecer otras opciones como obtencin
del hash MD5 de la copia.
Deggauser: sistema de borrado de alta energa, diseado para eliminar informacin

residente en discos duros o cintas magnticas.
DMZ: zona desmilitarizada o red perimetral es una red local (subred) que se ubica
entre la red interna de una organizacin y una red externa, generalmente Internet. El
objetivo de una DMZ es que las conexiones desde la red interna y la externa a la
DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a
la red externa.
Exploits: es el nombre con el que se identifica un programa informtico malicioso, o

parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro
programa.
Fdisk: es un programa de computadora disponible en varios sistemas operativos, el
cual permite dividir en forma lgica un disco duro, denominado este nuevo espacio
como particin. La descripcin de las particiones se guarda en la tabla de particiones

que se localiza en el sector 0 de cada disco.
F-Port: herramienta para identificar puertos abiertos y aplicaciones asociadas a los
mismos.
Freeware: es un tipo de software de distribucin sin costo y por tiempo ilimitado,
suele incluir una licencia de uso, que permite su redistribucin pero con algunas
restricciones, como no modificar la aplicacin en s, ni venderla. Tambin puede
desautorizarse el uso en una compaa con fines comerciales o en una entidad
gubernamental.
Guardian Dog: mtodo para borrar discos duros a travs de un potente imn en su
interior, no necesita electricidad y tiene suficiente potencia para superar la proteccin
de las cubiertas de acero contra campos magnticos. Destruye todos los datos del
disco, incluso los que se encuentran en reas que los ordenadores no pueden leer, y
puede borrar cualquier tipo de unidad magntica: cintas VHS, cintas DAT, discos
ZIP y similares, etc.
Kernel: es la parte fundamental de un sistema operativo.
El software es el
encargado de gestionar recursos, a travs de servicios de llamada al sistema. Como

hay muchos programas y el acceso al hardware es limitado, el ncleo tambin se
encarga de decidir qu programa podr hacer uso de un dispositivo de hardware y
durante cunto tiempo, lo que se conoce como multiplexado.
Knoppix: es una distribucin de GNU/Linux basado en Debian y que utiliza KDE.
Es un LiveCD, por lo tanto no requiere una instalacin en el disco duro. El sistema
puede iniciarse desde un CD de 700 MB hasta la versin actual de 4.0.1 en formato
DVD de ms de 3Gb.
Netcat: herramienta que permite enviar toda la informacin recopilada a un sistema

seguro, como por ejemplo un equipo conectado en la misma red o un porttil
conectado directamente al sistema afectado.
Nessus: es una herramienta que permite escanear vulnerabilidades en una red de

computadoras.
Nmap: es un potente localizador de vulnerabilidades que se presentan en una red de

computadoras.
Sniffers: es un programa que captura datos dentro de una red de cmputo, los
hackers la utilizan para obtener nombres de usuarios y contraseas, sta herramienta
permite auditar e identificar paquetes de datos en una red. A los administradores de
red ayuda a identificar los problemas de la red.
SSH: Secure Shell, es el nombre de un protocolo y del programa que lo implementa,
sirve para acceder a mquinas remotas a travs de una red. Mediante un intrprete de
comandos permite manejar por completo la computadora. Tambin permite copiar
datos en forma segura, gestionar claves RSA para no escribir calves al conectar a las
mquinas y pasar los datos de cualquier otra
aplicacin por un canal seguro
tunelizado.
VNC: Virtual Network Computing, es un programa de software libre
basado en una estructura cliente-servidor, el cual permite el control del
ordenador servidor remotamente a travs de un ordenador cliente.
Permite que el sistema operativo en cada computadora sea distinto, es
posible compartir la pantalla de una mquina de cualquier sistema
operativo conectado desde cualquier otro ordenador o dispositivo que
disponga de un cliente VNC portado.
Apndice A
A1. Esquema de Respuesta del proceso de Incidentes
A.2 Formularios
Informtica Forense
Esquema de Respuesta del proceso de Incidentes
127
Formulario de Control ante respuestas de Incidentes
Inicio
Lugar:
Fecha y Hora:
Caso:
Perito Informatico:
Datos del responsable del reporte del incidente

Cedula de Identidad:
Nombre y Apellido:
Pais:
Ciudad:
Provincia:
Direccion:
Telefono:
Fax:
Celular:
Correo Electronico:
Fecha y hora aproximada del incidente:
Descripcion del Incidente
Firma del Perito Responsible:
Lado A
128
Formulario de Registros General

Inicio
Fecha y Hora:
Lugar:
Caso:
Delito:
Perito:
Acompaante:
Tipo de Escenario:
Escenario 1
Numero de componentes
Escenario 2
Escenario 3
Nombre de la evidencia Estado de la Evidencia Cantidad
Fsica/Lgica Num. serie Caractersticas
Observaciones
1 de 2
Lado B
Encargados de Transportar la Evidencia
Nmero de Identificacin
Responsable quien manejar y tendr

acceso a la evidencia
Cargo
Firma del Perito:
2 de 2
Registro del Equipo Designados en la Cadena de Custodia
Inicio
Fecha:
Caso:
Perito Responsable:
Nmero de Identificacin Responsable quien maneja Seccion a la que pertenece

evidencia
Firma del Perito Responsable:
dentro del departamento
Cargo
Firma
Lado A
Formulario de Control de Anlisis de Discos
Almacenamiento secundario fijo y removible
Rutina
SI
NO
Observaciones
Actividades Preliminares
1
Efectuar imagen del disco o medio de

almacenamiento bit a bit
Generar la autenticacin matemtica de los

datos a travs del algoritmo de hash
Registrar la fecha y hora del sistema
Generar una lista de palabras claves a

buscar
5
6
Actividades en la Imagen del Disco

Trabajar sobre la imagen del disco, utilizar
el algoritmo hash
Analizar en el disco:
a. Tipo de Sistema Operativo
b. Versin del Sistema Operativo
c. Nmero de particiones
d. Tipo de particiones
e. Esquema de la tabla de particiones
f. Registrar nombre de archivos,
fecha y hora
I. Correlacionar con 3.
g. Evaluar el espacio descuidado o
desperdiciado
I. Incluido el MBR
II. Incluida la tabla de particiones
III. Incluida la particin de inicio
del sistema y los archivos del
comando
h. Evaluar el espacio no asignado
i.
j.
Evaluar el espacio de intercambio

Recuperar archivos eliminados
k. Buscar archivos ocultos con las

palabras claves en:
I. Espacio desperdiciado
II. Espacio no asignado
III. Espacio de intercambio
IV. MBR y tabla de particiones
l. Listar todas las aplicaciones
existentes en el sistema
I. Examinar programas
ejecutables sospechosos
1 de 2
Lado B
Formulario de Control de Anlisis de Discos
Rutina
SI
NO
Observaciones
m. Identificar extensiones de archivos

sospechosos
I. Examinar las extensiones de los
archivos y la coherencia con las
aplicaciones que los ejecutan
n. Examinar archivos en busca de datos
ocultos (esteganografa), ya sean de tipo
grficos, imgenes, texto, comprimidos,
o cualquier extensin.
o. Examinar los archivos protegidos con
claves (descifrando la clave previamente)
p. Examinar el contenido de los archivos
de cada usuario en el directorio raz y
si existen, en los subdirectorios
q. Evaluar el comportamiento del sistema
operativo:
I. Integridad de los comandos
II. Integridad de los mdulos
r. Evaluar el funcionamiento de los
programas de aplicaciones
s. Registrar los hallazgos
I. Capturar las pantallas
t. Generar la autenticacin a travs del
algoritmo de hash al finalizar el anlisis
I. Comparar resultados obtenidos de
2 y 6.
u.
Conservar copias del software utilizado
2 de 2
Formulario Inventario de Software Instalado y estado de componentes
Inicio
Fecha:
Caso:
Perito:
Tipo de Escenario:
Tipo de Escenario:
Escenario 1
Escenario 2
Escenario 3
Componente
Estado del componente

(Apagado/ Encendido)
Firma del Perito:
Software instalado
Observaciones
Lado A
Formulario de Registros de evidencia de la computadora
Inicio
Inf-Nro:
Fecha:
Lugar:
Caso:
Juzgado:
Perito:
Especificaciones de la computadora
Marca/Modelo
Modelo
Nro. De Serie
Placa Madre
(Marca/Moldeo)
Microprocesador
(Marca/Moldeo)
Memoria
RAM
1 de 2
Memoria
Cache
Lado B
Formulario de Registros de evidencia de la computadora

Tipo Disketera-CD-ROM-DVD-Disco
Cantidad Rgido- IDE-SCSI-USB-Zip-Jazz-PenDrive
(Marca/Moldeo)
Velocidad/Capacidad
Nro. Serie
Accesorios y Perifericos
Cantidad Tipo Placa de red, modem, cmara, tarjeta
de acceso, impresora, etc
(Marca/Moldeo)
Velocidad/Capacidad
Nro. Serie
Observaciones
Firma del Perito:

2 de 2
Formulario de Estado de Evidencias
Inicio
Fecha:
Hora:
Caso:
Perito:
Numero de evidencias
Nmero de
Identificacin
Responsable
maneja evidencia
Cdigo
Evidencia
Nombre
Evidencia
Copia de la
Evidencia (S/N)
Donde se mantiene
La original
Formulario de Resultados de Evidencias

Inicio
Fecha:
Caso:
Perito:
Tipo de Escenario:
Tipo de Escenario:
Escenario 1
Escenario 2
Escenario 3
Nmero de
Identificacin
Responsable
maneja evidencia
Cargo
Tipo
del delito
Nombre
Evidencia
Software
empleado
Resultado
(A/N)
Tiempo en
descubrirla
Apndice B
Dibujos Auxiliares para la Investigacin de Informtica Forense
Apndice 1: Dibujos Auxiliares y conceptos criminalsticos

Existen una serie de grficos diferentes, aunque estos no sean
directamente
aplicables al dibujo pericial, pero son de mucha utilidad en el momento de hacer una
representacin grfica y referirse a la misma.
1. Esquicio: se refiere a:
Representacin grfica de una zona pequea del terreno, sin escala, o a escala
aproximada, aclarara un texto y reemplaza una descripcin larga y
complicada.
Realizada ha mano alzada, las medidas se apreciarn a simple vista.
Todos los datos se anotan en el mismo grfico por ello no lleva referencias.
Registrar de manera simple y rpida la situacin de un lugar

Figura 1. Esquicio Panormico
2. Esbozo panormico: Puede reemplazar a la fotografa panormica, en

situaciones de carencia de elementos (cmara) o razones de visibilidad escasa
(neblina), etc. Se requiere de:
Representacin de perspectiva de la zona del terreno, tal como aparece ante el

ojo del perito. Dibujo a mano alzada y sin medidas estrictas.
Registrar la flecha que indica el norte o el punto cardinal hacia el que realiza
el esbozo, permitiendo orientar rpidamente el dibujo.
Se dibuja sin escala, se dibujar una regla horizontal y una vertical indicando
las distancias y alturas relativas (aproximadas).
Utilizar referencias y no escribir en el dibujo.
3. Croquis:
Se debe representar grficamente una zona pequea, a escala.
Para realizar el grafico se debe ser paciente, metdica, meticulosa y ordenada.
Relacionar elementos dispersos, creatividad e inteligencia, permitiendo

realizar una labor til, para la individualizacin posterior de los elementos
detectados.
4. Grfico: Es la representacin de los elementos relacionados con el hecho

investigado.
Contendr todos los elementos probatorios directos o indirectos que el perito

considere necesarios para investigar los hechos.
Se realiza con omisin de la edificacin y del mobiliario, salvo en las reas

que se detecten o se encuentre evidencia digital
5. Mapa, carta de situacin o plano del edificio o finca: brinda el soporte

necesario para ajustar a la escala previa. De ser posible, es conveniente contar con
aproximaciones de mayor a menor que faciliten la identificacin del lugar del hecho
al lector. Ya sea vista general del barrio (destacando la manzana), ampliacin de la
manzana (destacando la finca), plano de la edificacin (destacando la habitacin).
6 Fotografas durante la inspeccin ocular: Primero se fotografiar lo que se
considere conveniente documentar y luego se realizarn las dems pericias,
secuestros, etc.
Generalmente, los instrumentos utilizados para la consumacin de delitos son de uso
prohibido, y por lo tanto deben ser secuestrados y decomisados luego de haber
servido como elementos de prueba, sin embargo en el caso especfico de la pericia
informtico forense, dichos elementos probatorios, no slo son de uso legal, sino que
suelen ser imprescindibles para el funcionamiento normal de una empresa
determinada. Por eso se deber estar preparado para realizar copias en el lugar sin
interferir.
El nico que puede determinar el secuestro de un elemento y su traslado desde el
lugar inspeccionado es el juez de instruccin o el fiscal de la causa respectivamente
acorde a la jurisdiccin donde se realiza la inspeccin. Con el fin de que no puedan
ser sustituidos por otros, falsificndose de esa manera los medios de prueba, pero
recordemos que la prueba informtico forense almacenada en archivos es idntica al
original.
No basta, para que un acta sea invlida, de quien la redacte incurra en faltas de
ortografa o demuestre fallas culturales, ya que ello afecta a la comprensin de lo
sentado en dicho instrumento
Si un formulario no fue firmado por la persona en cuyo poder fueron hallados los
elementos informticos en la escena del crimen la diligencia
es nula, ya que su
concordancia con otras pruebas no acredite su realidad y veracidad.
Apndice C
Caso Prctico
Caso
Prctico
Delito: Falsificacin de documentos de un miembro de X institucin, el mismo emita

documentos falsos que comprometa a otras personas para que estas le den algo a cambio
(dinero).
Perito Asignado: Alexandra Reiban.
Registro del Equipo designado en la cadena de custodia.

Registro del Equipo Designados en la Cadena de Custodia
Inicio
Fecha:
Jueves 14 de Febrero del 2008
Caso:
Falsificacion de documentos
Alexandra Reiban
Perito Responsable:
Nmero de Identificacin Responsable quien maneja Seccion a la que pertenece

evidencia
dentro del departamento
0104564892
Damian Lopez
Analisis Forense
0104564422
Antonio Guzman
Analisis Forense
Cargo
Tecnico en escena
de crimen
Examinador de
evidenia informatica
Firma
Acompaante Designado: Dr. Telmo Segovia
Formulario General Lado B

Encargados de Transportar la Evidencia
Nmero de Identificacin
Responsable quien manejar y tendr

acceso a la evidencia
0104564892
Damian Lopez
Cargo
Tecnico en escena
de crimen
Firma del Perito:
Tipo de delito cometido soborno y falsificacin de documentos.
Fotografas de la Computadora personal y USB encontrados en la escena.
Formulario de control ante respuestas de incidentes.
Formulario de Control ante respuestas de Incidentes
Inicio
Lugar:
Fecha y Hora:
Cuenca
Jueves 14 de Febrero 2008
Caso:
Perito Informatico:
Alexandra Reiban
Datos del responsable del reporte del incidente

0104056271
Cedula de Identidad:
Maria Galarza
Nombre y Apellido:
Ecuador
Ciudad:
Cuenca
Pais:
Azuay
Provincia:
Calle el Comercio 3-22
Direccion:
2862959
Telefono:
-----------------
Fax:
098897695
Celular:
Correo Electronico:
mariagalarza@hotmail.com
14-Febreo-2008 (9:20 AM)
Fecha y hora aproximada del incidente:
Descripcion del Incidente

Falsificacin de documentos y soborno a cambio de dinero, certificados falsos elaborados en documentos de word
Firma del Perito Responsible:
Formulario de registro de software y componentes.

Formulario Inventario de Software Instalado y estado de componentes
Inicio
Fecha:
Caso:
Perito:
Jueves 14 de Febrero del 2008

Alexandra Reiban
Tipo de Escenario:
Tipo de Escenario:
Escenario 1
Escenario 2
Escenario 3
Componente
Estado del componente

(Apagado/ Encendido)
computadora
Apagado
USB
Desconectado
Software instalado
Windows XP
-----------
Observaciones
Computadora personal HP
Dispositivo sin Kingstone
Firma del Perito:
Escenario Sistema de computacin abierto: Computadora personal y USB, evidencia

fsica.
En vista a la informacin e indicios que se obtuvieron al incautar estas evidencias,
.- El equipo (computador) y el dispositivo USB incautado le pertenece a: Manuel
Flores, el presunto estafador.
- El dispositivo USB lleva su nombre (Manuel)
- El computador le pertenece a el, la institucin donde este individuo labora le

asign. El nombre de la computadora es (ints01M), nombre registrado y
asignado a este usuario por el Departamento de Informtica de la Institucin.
.- La primera evidencia a ser analizada ser el USB, el estado de este dispositivo es:
vaco no posee ningn tipo de informacin, este estado de vaci del dispositivo es
intrigante, por ello para
descartarlo se lo analizara primero. Para posteriormente
analizar la evidencia ms compleja, el disco duro conjuntamente con el Sistema

Operativo.
Estado de la Evidencia para proceder al anlisis.
Formulario de Estado de Evidencias
Inicio
Jueves 14 de Febrero 2008
Fecha:
12 PM
Hora:
Caso:
Alexandra Reiban
Perito:
Numero de evidencias
Nmero de
Identificacin
0104564422
0104564422
Responsable
maneja evidencia
Cdigo
Evidencia
Damian Lopez
CE01
Antonio Guzman
CE02
Nombre
Evidencia
Computadora de mesa
USB
Copia de la
Evidencia (S/N)
Donde se mantiene
La original
NO
Departamento de Delitos
NO
Departamento de Delitos
Plataforma Windows XP
En este caso y por el dispositivo que se va analizar, se empleara la

herramienta BadCopy, que permitir recuperar los datos o archivos
borrados mediante.
El componente que ser analizado ser el USB, debido a las condiciones
del dispositivo y a los descartes para continuar posteriormente con el
Disco Duro y Sistema Operativo.
Mediante el Asistente que ofrece BadCopy se deber tratar de obtener la

informacin. Se debe escoger la etiqueta del dispositivo, y seleccionar el
modo de recobrar la evidencia.
Figura. 1 Caso Prctico (Seleccin del dispositivo a ser analizado)

Los archivos que sern recuperados por esta herramienta, se listaran con nombres
tales como: File 1, File 2, aqu parte el trabajo del Analizador forense, el cual deber
buscar minuciosamente archivos o documentos sospechosos, segn las fechas en que
se realizaron modificaciones a los mismos.
Figura. 2 Caso Prctico (nombre de los archivos recuperados)
Los archivos pueden ser recuperados segn los formatos que se requieran, as como
documentos de Word, Excel, etc.
Figura. 3 Caso Prctico (Seleccin del tipo de formato a ser recuperado)

En vista del caso, se buscaran solamente documentos de Word, ya que las
falsificaciones se las realizaban por medio de este procesador de palabras.
Los archivos detectados sern almacenados, en una maquina del laboratorio de

Anlisis Forense, en caso de servir sern protegidas y almacenadas, caso contrario se
las descartaran.
Figura. 4 Caso Prctico (Lista de archivos recuperados)

Mediante una bsqueda minuciosa por parte del Analizador forense se detecto un
documento File 2, dentro del mismo se detecto informacin que pona a en evidencia
el delito cometido por parte del individuo propietario del USB:
Figura. 5 Caso Prctico (Lista de los archivos recuperados)
Figura. 6 Caso Prctico (Evidencia Digital)

Involucrando al propietario del dispositivo a encontrarse directamente incriminado.
En vista de ello un anlisis al Disco Duro no se requiere puesto que se encontr la
evidencia, que se suma a las declaraciones por parte de las personas que
incriminaban al este individuo, se partir entonces a proceso judicial quienes sern
los encargados de tomar la decisin final.
Los pasos que se tomaron para descubrir la evidencia fue mediante la guia propuesta
para la Polica Nacional.

Tesis Informatica Forense - Desbloqueado

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis Informatica Forense - Desbloqueado

Cargado por

Copyright:

Formatos disponibles

Informtica Forense

UNIVERSIDAD POLITCNICA SALESIANA

FACULTAD DE INGENIERAS CARRERA

Trabajo de Grado previo a la obtencin del

METODOLOGAS, ESTRATEGIAS Y HERRAMIENTAS DE LA

Mara Daniela lvarez Galarza

Vernica Alexandra Guamn Reibn

Ing. Vladimir Robles

Cuenca, Febrero 2008

Nosotras, Mara Daniela lvarez Galarza y Vernica Alexandra Guamn Reibn,

A travs de la presente declaracin cedemos nuestros derechos de propiedad

A Dios, por permitir que las cosas se den.

Informtica Forense... Pg. 3

Computacin Anti-Forense... Pg. 4

Delitos Informticos.. Pg. 7

Reglas de la Informtica Forense.. Pg.9

Aspectos Legales... Pg.13

Ley de Comercio Electrnico, Firmas Electrnicas y

Mensajes de Datos ... Pg.13

Proceso Interdepartamental. Pg.17

Herramientas Informticas orientadas a la investigacin de delitos

Anlisis de la Evidencia Digital... Pg.37

3.4 Presentacin de Evidencia Digital Pg.44

Anlisis de Soportes y Dispositivos Electrnicos.

Anlisis de la comunicacin de datos Pg.48

Metodologas y Estrategias Pg.49

4 .3.2 Discos Duros

4.3.3.1 File slack..

4.3.3.2 Archivo Swap.......

4.3.3.3 Unallocated File Space

Bases de Datos Pg.61

Telfonos mviles y tarjetas Pg.62

Anlisis de sistemas vivos.. Pg.64

Gua Informtica Forense Aplicada para la Polica Nacional . Pg.71

Anlisis sobre las herramientas y equipos para la aplicacin

Costos de equipos y software para la aplicacin de la Informtica

5.2.1 Toolkit para el Departamento de Delitos Informticos de

Perfil y capacitacin para los miembros de la Polica Nacional en

5.3.1 Perfil de un Informtico Forense......

5.3.2 Capacitacin cursos y certificaciones

Clasificacin de la Computacin Anti-Forense Pg. 5

Organigrama del Departamento de Investigacin

Sistema de Identificacin Decadactilar automatizado . Pg.21

Metodologa del Anlisis Forense Pg.23

Copia de Disco Duro ... Pg.56

Fragmento de un Archivo de Registro.....

Nivel de Seguridad de Mtodos Anti-Forenses.. Pg. 6

Sanciones para los delitos informticos en el Ecuador. Pg.15

Identificacin de la Evidencia (I)

Identificacin de la Evidencia (II)

Archivos de Registro en Unix/Linux .. Pg.59

CONCEPTOS GENERALES SOBRE LA INFORMATICA FORENSE

Actualmente un medio ms para cometer infracciones y eludir a las autoridades es la

Esto ha creado la necesidad de que la Polica Nacional deba

especializarse y capacitarse en nuevas reas en donde las tecnologas de la

En pases como Estados Unidos, Alemania, Inglaterra, Colombia, Argentina, etc., se

Sociedad de la Informacin, la informtica Forense est adquiriendo una gran

El inters de la Polica Nacional del Ecuador es establecer la Informtica forense

En un crimen muchas veces las computadoras porttiles, de escritorio, medios fsicos

mecanismos para recuperar, interpretar y usarlas

para que puedan servir

Es la ciencia forense que se encarga de la preservacin, identificacin, extraccin,

La ciencia forense es sistemtica y se basa en hechos premeditados para recabar