FACULTAD DE INGENIERA DE SISTEMAS

ESCUELA PROFESIONAL DE INGENIERA DE SISTEMAS

TEMA

CUMPLIMIENTO CON LAS LEYES.

PRIVACIDAD Y ANONIMATO.
SERVICIO DE INVESTIGACION Y
RESPONSABILIDAD.

Presentado por: QUISPE MAMANI ANGEL

CESPEDES CCALLO RAY

Docente: DR. JAIR EMERSON FERREYROS YUCRA

Semestre: IX

Juliaca Per
2017
DEDICATORIA

Dedico este trabajo en primera

instancia a DIOS y mi familia de
las cuales el apoyo y confianza
ha sido parte fundamental
para el desarrollo de nuestro
proceso de formacin acadmica

A la Universidad Nstor Cceres

Velzquez la cual ha permitido el
crecimiento profesional se fortalezca
y genere mejores oportunidades en
diferentes ambientes laborales.

2
AGRADECIMIENTO

A Dios, a mis padres quienes siempre han confiado en m y me han dado

su apoyo incondicional, mi familia y a todas las personas que me
ayudaron para culminar mi carrera. A cada uno de mis profesores, gracias
por sus enseanzas para mi formacin profesional, personal.

3
 RESUMEN
La seguridad informtica es el rea de la computacin que se enfoca en la
proteccin y la privatizacin de sus sistemas y en esta se pueden encontrar
dos tipos: La seguridad lgica que se enfoca en la proteccin de los
contenidos y su informacin y la seguridad fsica aplicada a los equipos
como tal, ya que el ataque no es estrictamente al software del computador
como tal sino tambin al hardware.

Las amenazas pueden presentarse tanto desde manera externa como

manera interna, y la forma de ataques que comnmente se utiliza es el
ataque mediante virus que son archivos que pueden alterar informacin u
datos de otro archivo sin consentimiento del usuario, la manera externa es
la que se realiza desde afuera y no posee tanta seguridad, por lo tanto es
fcil de combatir, y por ende ms difcil por parte del perpetrador llegar a
concretar su ataque, en cambio de la interna que es mucho ms peligrosa
ya que no necesita estar conectado en red el computador para recibir el
ataque.

La COMPUTACION FORENSE es una ciencia o tcnica aplicada al rea

de la informtica que est relacionada a computadores o redes de trabajo
mediante el cual podemos identificar diferentes delitos que ocurren en
nuestra organizacin y como en la sociedad.

4
 ABSTRACT

Computer security is the area of computing that focuses on the protection

and privatization of their systems and in this can be found two types: Logical
security that focuses on the protection of content and its information and
applied physical security To the equipment as such, since the attack is not
strictly to the software of the computer as such but also to the hardware.

Threats can occur both externally and internally, and the form of attacks
commonly used is attack by viruses that are files that can alter information
or data from another file without the user's consent, the external way is the
one that is Performs from the outside and does not have as much security,
therefore it is easy to combat, and therefore more difficult on the part of the
perpetrator to come to concretise its attack, instead of the internal one that
is much more dangerous since it does not need to be connected in network
The computer to receive the attack.

FORENSE COMPUTATION is a science or technique applied to the area of

computing that is related to computers or networks of work through which
we can identify different crimes that occur in our organization and as in
society.

5
 ndice
1.- Reglamento de medida de seguridad (RMS-LOPD) ....................................................... 8
2.- Niveles de seguridad definidos en el RMS segn el tipo de datos: ............................... 9
2.1. Medidas tcnicas y organizativas a adoptar segn nivel de seguridad definidas en
el RMS ........................................................................................................................... 10
3.- LSSI-CE.......................................................................................................................... 15
4.- Anonimato de las comunicaciones electrnicas. Cookies ........................................... 17
4.1. Tecnologas de anonimato de comunicaciones ..................................................... 18
4.2. Privacidad del usuario cookies ............................................................................... 23
5.- Servicio de investigacin: computer forensic .............................................................. 25
5.1. Elementos que buscan mediante computer forensic ............................................ 25
5.2. Incidentes tratados por computer forensic ........................................................... 27
6.- EVIDENCIAS EN computer forensic .............................................................................. 31
6.1. Fases de la investigacin en anlisis forense ......................................................... 31
6.2. Proceso de recogida de evidencias en computer forensic .................................... 32
6.3. Dificultades que aparecen en computer forensic .................................................. 33
6.4. Recogida de evidencias en una red corporativa .................................................... 33
7.- Principios legales y tcnicos en computer forensic ..................................................... 37
8.-Servicio De responsabilidad: auditora de seguridad ................................................... 37
8.1. Funciones de auditora de seguridad ..................................................................... 38
8.2. Informacin Registrada en cada evento ................................................................ 39
8.3. Recogida de informacin de auditora ................................................................... 40
8.4. Clasificacin de requisitos de auditora en TCSEC ................................................. 41
8.5. Almacenamiento de registro de auditora ............................................................. 42
8.6. Saturacin en el proceso de recogida de datos de auditora ................................ 43
8.7. Monitorizacin y reconocimiento de amenazas .................................................... 44
Bibliografa ........................................................................................................................ 45

6
 Lista de Tablas

Tabla 1: 8.1 usos y problemas que presenta la auditora de seguridad...... 38

Tabla 2: 8.3 tipos de auditora ................................................................. 40
Tabla 3: 8.4 objetos de la auditora .......................................................... 42

7
 CUMPLIMIENTO CON LAS LEYES.

PRIVACIDAD Y ANONIMATO.

SERVICIO DE INVESTIGACIN Y
RESPONSABILIDAD

1.- Reglamento de medida de seguridad (RMS-LOPD)

Para poder cumplir con la legislacin vigente sobre proteccin de datos de

carcter personal, se necesita implantar de forma obligatoria ciertas
medidas de seguridad (tabla 7.1) en los sistemas de informacin de todo
tipo de organizaciones, tanto pblicas como privadas.

El trmino RMS (reglamento de medidas de seguridad), hace referencia al

Real decreto 994/ 1999 de 11 de junio, publicado en l BOE 151, 25/ 06/
1999, complementa la Ley orgnica de proteccin de datos LOPD, ley 15
/1999 de 13 de diciembre, Qu fue publicada en el BOE 298 de 14 de
diciembre de 1999.

Como su nombre indica, el RMS, establece un conjunto de medidas

tcnicas y organizativas Para los datos de carcter personal soportados en
los sistemas de informacin de todo tipo de organizaciones.

Un sistema de informacin es un sistema de informacin automatizado, ya

que, en general, puede utilizar otros soportes ms tradicionales como los
documentos en papel

1.1. Ficheros automatizados y datos sensibles en papel

Es preciso indicar que el artculo 1 del RMS nicamente delimita su mbito

de aplicacin a Los ficheros automatizados. la vigente LOPD presenta la
ampliacin del mbito de aplicacin que alcanza a los datos de carcter
personal registrados en soporte fsico. que los hace susceptibles de
tratamiento y a toda modalidad de uso posterior de estos datos, es decir, la
LOPD incluye los datos en soporte papel, siempre que estn estructurados
8
en forma de ficheros. la disposicin transitoria tercera de la LOPD mantiene
la vigencia de las normas reglamentarias preexistentes, entre las que se
cita el RMS, siempre y cuando no se oponga a la LOPD. De esta forma, se
ampla el mbito de aplicacin del RMS. Del desde la entrada en vigor de
la LOPD, el RMS se aplica a Los ficheros en soporte no automatizado Que
se hubieran creado con posterioridad a la entrada en vigor de la Ley
Orgnica de 14 de enero de 2000. Los ficheros en soportes no
automatizados que existieran antes de dicha fecha, dispondrn. a estos
efectos, de adaptacin en primera de la LOPD (que finalizar en octubre
de 2007)

2.- Niveles de seguridad definidos en el RMS segn el tipo de datos:

Se han definido tres niveles de seguridad en el RMS Qu son los siguientes:

Nivel bsico. aplicable a todos los sistemas de informacin en general.

contiene los datos personales de personas fsicas identificadas o
identificables. por ejemplo, Los ficheros de contabilidad para el pago de
servicios, Los ficheros con datos de empleados profesores, alumnos y
ficheros de almacenamiento de direcciones IP.

Nivel medio. aplicable a los datos relativos a la comisin de infracciones

administrativas o penales, datos de hacienda, Datos de servicios
financieros, datos sobre solvencia patrimonial y crdito, o cualquier
conjunto suficiente de datos de carcter personal, que permite obtener una
evaluacin de la personalidad del individuo, es decir aquellos que permitan
constituir o conformar el perfil de una persona.

Nivel alto. aplicable a aquellos datos referidos a ideologa, religin,

creencia, origen racial, salud, vida sexual, datos genticos, Datos
biomtricos de la retina hotel Iris, as como los datos recabados para fines
policiales, sin consentimiento de las personas afectadas y a los datos
especialmente protegidos.

9
2.1. Medidas tcnicas y organizativas a adoptar segn nivel de
seguridad definidas en el RMS
Las medidas de seguridad de los niveles superiores incluyen tambin, alas
de los niveles inferiores, las medidas de seguridad especificadas en los tres
niveles constituyen el mnimo exigible Por la ley, sin perjuicio de las
disposiciones legales o reglamentarias especficas vigentes.

Por otra parte, las medidas de seguridad adoptar deben implantarse, tanto
a nivel de acceso local como a nivel de acceso remoto, como en caso de
que existan tele trabajadores en la organizacin, y a travs de una red de
comunicacin (intranet, internet o extranet). Asimismo, el responsable de
Los ficheros con datos de carcter personal deber autorizar la realizacin
de trabajos fuera de los locales donde se encuentra ubicado el sistema de
informacin afectado, cuando personal de la empresa Precise desplazarse
fsicamente con un porttil, una DPA o un dispositivo similar,
garantizndose as el nivel de seguridad correspondiente al tipo de fichero
utilizado en dicho trabajo.

Por ltimo, cualquier fichero temporal asociado a otro que contenga datos
de carcter personal, estar Bajo el mismo nivel de seguridad que aqul o
aquellos ficheros de los que procede, y deber ser eliminado al terminar su
objeto o utilidad.

Medidas de seguridad de nivel bsico: En este nivel se incluyen las

siguientes medidas:

1. Elaboracin de un documento de seguridad. El responsable del

fichero a proteger se encarga de elaborar e implantar la normativa
de seguridad por medio de un documento de seguridad de obligado
cumplimiento para el personal con acceso a los datos automatizados
de carcter personal y a los sistemas de informacin y que deber
contener como mnimo:

10
 A. determinacin del mbito de aplicacin del documento, con
especificacin detallada de los recursos protegidos.

B. Implantacin de medidas, normas, produce

procedimientos, reglas y estndares, encaminados a
garantizar el nivel de seguridad exigido en el RMS

2. Procedimientos.

A. Determinacin de las funciones y obligaciones del personal.

B. Estructura de Los ficheros (identificando la composicin y

disposicin interna de los registros y Campos) con datos de
carcter personal y descripcin de los sistemas de
informacin que lo tratan.

C. determinacin de los procedimientos de notificacin, de

gestin y de respuesta ante incidencias (anomalas que
afectan o pueden afectar a la seguridad de los datos).

D. creacin de una gua sobre los procedimientos de realizacin

de copias de respaldo y de recuperacin de datos. el
documento deber mantenerse en todo momento actualizado
y deber revisarse siempre que se produzcan cambios
relevantes en el sistema de informacin o en la organizacin
del mismo.

3. Gestin de soportes. En este nivel, se almacenan los soportes en

un lugar de acceso restringido y se conceden los permisos para que
se utilicen fuera de su lugar de almacenamiento. se hace un
inventario de estos soportes y de todo ello se incluye en un
documento de seguridad.

11
 4. Tratamiento de las copias de respaldo y recuperacin. El
responsable del fichero de datos de carcter personal se encarga de
verificar la definicin y la correcta aplicacin de los procedimientos
de realizacin de copias de respaldo y de recuperacin de datos

los procedimientos establecidos para estos fines deben garantizar

su reconstruccin en el estado en que se encontraban en el
momento de producirse la prdida o destruccin. debern realizarse
copias de respaldo al menos una vez a la semana, salvo que en
dicho periodo no se hubiera producido ninguna actualizacin de los
datos.

5. Identificacin y autenticacin. Se hace una realizacin

actualizada de usuarios autorizados para Acceder al fichero y si es
necesario se asignan y se gestionan las contraseas.

6. Control de acceso. Datos y recursos concediendo autorizacin slo

a los usuarios que necesiten utilizar sus datos para el desarrollo de
sus funciones.

7. Registro de incidencias. El procedimiento de notificacin y gestin

de incidencias est obligado a contener un registro en el que se haga
constar el tipo de suceso, El momento en que se ha producido, la
persona que realiza la notificacin, a quin se le comunica y los
efectos que se hubieran derivado de la misma.

Medidas de seguridad de nivel medio Adems de las medidas incluidas

en el nivel bsico, se incorporan las siguientes:

1. Documentos de seguridad. Qu contiene adems de las medidas

indicadas en el nivel bsico, la identificacin del responsable de
seguridad, los controles peridicos para garantizar el cumplimiento
del documento, as como las medidas a adoptar en caso de
reutilizacin o desecho de soportes.
12
2. Gestin de soportes. adems de lo indicado en el nivel bsico, se
cre un registro de entrada y de salida de los soportes, que permita,
directa o indirectamente, conocer el tipo de soporte, la fecha y la
hora, El emisor o destinatario, el nmero de soporte, el tipo de
informacin que contienen, la forma de envo Y el responsable de la
recepcin o de la entrega, que deber estar tambin debidamente
autorizado. Asimismo, se est se establecen las medidas necesarias
para impedir la recuperacin posterior de informacin de un soporte
que vaya a ser desechado o reutilizado y las medidas que impidan
la recuperacin indebida de la informacin almacenada en un
soporte que vaya a estar sometido a operaciones de mantenimiento.

3. Identificacin y autentificacin. adems de lo indicado en el nivel

bsico, Se establecer un mecanismo que permita la identificacin
de forma inequvoca y personalizada, de todo usuario, as como la
verificacin de que est autorizado para acceder a la informacin.
adems, se establece un lmite de intentos reiterados de acceso no
autorizado.

4. Control de acceso fsico, para permitir nicamente al personal

autorizado, el acceso a los locales donde se sitan los sistemas de
informacin.

5. Registro de incidencias. este registro deber consignar, adems

de las medidas indicadas en el nivel bsico, todas aquellas que
afecten a la recuperacin de los datos tras un incidente, los
procedimientos que se aplican, la persona que se encarga de la
restauracin, determinacin de los datos restaurados, o de los que
se han grabado manualmente. adems, se precisa la autorizacin
por escrito del responsable del fichero para su recuperacin.

13
 6. Auditora, En este nivel se recogen los datos necesarios para
identificar las deficiencias y proponer medidas correctas, quedando
a disposicin de la APD (agencia de proteccin de datos).

7. Creacin de la figura del responsable de seguridad, Qu se

encarga de nombrar a una o varias personas, que se van a ocupar
De coordinar y de controlar las medidas de proteccin del
documento. por supuesto esta figura No supone la delegacin de los
compromisos asignados al responsable del fichero.

8. pruebas con datos reales. slo se realizarn si se garantiza el nivel

de seguridad correspondiente al tipo de fichero tratado.

Medidas de seguridad de nivel alto. En este apartado se incluyen las

medidas de seguridad de los niveles bajo y medio, con un aumento en la
capacidad de las mismas y, adems, se contemplan las siguientes:

1. Distribucin de soportes. se realiza mediante el cifrado de los

datos o bien utilizando cualquier otro mecanismo como la
codificacin o la firma digital, que garantiza que la informacin no
sea visible ni pueda manipularse durante su transporte.

2. Registro de accesos. como mnimo se hace un registro por cada

acceso Qu incluye la identificacin del usuario, la fecha y la hora
de entrada, el fichero y que se ha accedido, el tipo de acceso, as
como si ha sido autorizado o denegado. los mecanismos que
permiten que se realiza el registro estarn bajo el control directo del
responsable de seguridad. Asimismo, el registro se conservar como
mnimo, 2 aos. por otro lado, el responsable de seguridad se
encarga de revisar peridicamente La informacin de control
Registrada y tiene que elaborar al menos una vez al mes, un informe
de las revisiones realizadas y de los problemas detectados.

14
 3. Telecomunicaciones. la transmisin de datos de carcter personal
a travs de redes se realizar de manera cifrada o bien utilizando
otro mecanismo que garantice que la informacin resulte ininteligible
y no pueda ser manipulada por terceros.

4. Copias de respaldo y recuperacin. adems de cumplir las

medidas de los niveles bsico y medio, tiene que conservarse una
copia de respaldo y un documento con los procedimientos de
recuperacin, el lugar diferente del que se encuentra en los equipos
que traten la informacin objeto de este nivel de seguridad

3.- LSSI-CE

La ley 34/ 2002 de 11 de julio de servicios de la sociedad de la informacin

y del comercio electrnico (LSSI-CE o, simplemente, LSSI) se aplica al
comercio electrnico y a otros servicios de internet cuando forman parte de
una actividad econmica. la normativa establece determinadas
obligaciones para las organizaciones que lleven a cabo comercio
electrnico, Cmo mostrar en su pgina web su denominacin social, el
NIF, el domicilio y la direccin de correo electrnico, los cdigos de
conducta a los que se encuentran adheridos y los precios de los productos
o servicios que ofertan, estas empresas comunican el nombre de su
dominio al registro mercantil o cualquier otro registro pblico en el que estn
inscritas.

las empresas que realicen contratos online tienen que especificar los
trmites que se deben realizar para la contratacin de servicios o productos
por esta va, Las condiciones generales a las que se ajusta el contrato y
realizar una confirmacin al final de la realizacin del mismo por medio
electrnicos, mediante el envo de un acuse de recibo del pedido efectuado.

para la publicidad por va electrnica, las obligaciones consisten en la

identificacin clara del anunciante y en que el carcter publicitario del
mensaje debe resultar inequvoco; si se realizan ofertas, concursos o
15
juegos promocionales, adems de lo anterior, se deber especificar la
identificacin de estas iniciativas como tales y expresar de forma clara las
condiciones de participacin. en el caso de realizar envos de correo
electrnico o mensajes SMS o MMS, Tambin se ha de obtener el
consentimiento del destinatario con carcter previo, identifica el mensaje
publicitario con la palabra publicidad y se establecern unos
procedimientos sencillos para facilitar la revocacin del consentimiento por
parte del usuario.

Para empresas operadoras de telecomunicaciones, Proveedores de

acceso a internet, prestadores de servicios de alojamiento de datos y
buscadores, las obligaciones son colaborar con los rganos pblicos para
la ejecucin de resoluciones que no puedan cumplirse sin su ayuda, Cmo
retener los datos de conexin y trfico relativos a las comunicaciones
electrnicas o retirar contenidos ilcitos que puedan derivar en
responsabilidad del prestador del servicio.

Los titulares de pginas personales estn obligados, en caso de incluir en

su web algn tipo de publicidad por la que perciban ingresos, ofrecer
informacin bsica de su nombre, residencia, direccin de correo
electrnico y NIF Y respetar las normas sobre publicidad incluidas en la ley
y que son mismas para las empresas que utilizan internet como medio
publicitario, por ejemplo, todo anunciante de identificarse claramente, el
carcter publicitario de la informacin debe resultar inequvoco, no se debe
enviar mensajes promocionales no solicitados para poder enviar
propaganda y anular el envo de los mensajes promocionales que se
hubieran autorizado en cualquier momento a solicitud del receptor.

Por otra parte, el cdigo penal tipifica las actividades ilegales dentro del
mbito de los servicios informticos y las sanciones penas de prisin y/o
Multas.

16
4.- Anonimato de las comunicaciones electrnicas. Cookies

El anonimato permite asegurar que un usuario pueda utilizar recursos y/o

servicios sin revelar su identidad, Lo que debilita los servicios de
responsabilidad(auditora) e investigacin (procesamiento forense). Existe
una controversia, que hay Expertos Qu opinan que el poder ocultar su
identidad y acciones es un derecho de las personas, pero tambin es cierto
que los delincuentes pueden aprovecharse de ello para realizar sus
fechoras. el anonimato de una comunicacin puede tener en cuenta dos
aspectos:

1. Que se quiere ocultar:

A. Anonimato del emisor, para Que el atacante no pueda

determinar quin ha enviado un mensaje concreto.

B. Anonimato del receptor, para que el atacante no pueda

determinar quin ha recibido un mensaje concreto.

C. No vinculacin entre emisores y receptores, de forma que el

atacante puede determinar quines son, pero no podr saber
las asociaciones existentes entre ellos, por lo que el atacante
no sabe quin se comunica con quin.

2. De quien se quiere ocultar:

A. Del interlocutor de la comunicacin, por medio del anonimato

del emisor.

B. De los atacantes externos, como las escuchas clandestinas

locales, que monitorizan una intranet con sniffers, o las
escuchas clandestinas globales, que observan el trfico de
toda la red.

17
 C. De los atacantes internos que se confabulan, como es el caso
de utilizar elementos del sistema (routers, puntos de acceso
Wi-Fi, switches) con su seguridad comprometida.

4.1. Tecnologas de anonimato de comunicaciones

Las tecnologas de anonimato pretenden ocultar todos los detalles que
puedan obtenerse sobre las identidades y acciones realizadas a travs de
la red. una de las tcnicas consiste en utilizar mecanismos de cifrado para
los mensajes que se envan por la red. Algunas tecnologas de anonimato
para las comunicaciones electrnicas son:

- Anonymizimer. el Anonymizimer Est diseado para dar proteccin

especial al trfico http. acta como un Proxy para atender las
peticiones de los navegadores. reescribe los enlaces de las pginas
web. los principales inconvenientes consisten en que existe un nico
punto de fallo a la hora de dar servicio y que la confianza en el buen
funcionamiento slo depende de la fiabilidad de su funcionamiento.
Para ms informacin Se puede consultar la direccin web
www.Anonymizimer.com.

- Tecnologa Hmix de anonimato para las comunicaciones. las

tecnologas mix, creada por D. L. Chaum. persigue dos objetivos
principales: el anonimato del emisor para el interlocutor de la
comunicacin y la no vinculacin a las escuchas clandestinas
globales. el emisor cifra el mensaje A transferir con la clave
compartida con el mix y un valor aleatorio y un valor; el mix entregar
el mensaje original al destinatario. trabaja en lotes con los
mensajes, descarta repeticiones, cambia el orden de los mensajes
que ha recibido y cambia tambin la codificacin para defenderse
contra posibles ataques, se pueden encadenar conjuntos de mix, de
forma que, si uno de ellos se comporta correctamente, se evitan
escuchas clandestinas globales.

18
- tecnologia onion routing(OR) de anonimato para las
Comunicaciones. desarrollada por D. Goldschlag, M. Reed y P.
Syverson, est basada en una red mix en tiempo real mejorada. es
una infraestructura de propsito general, diseada para conseguir
comunicaciones annimas sobre una red pblica, por ejemplo,
internet, soporta diversos tipos de aplicaciones como http, ftp, smtp,
RLOGIN o TELNET, a travs del empleo de proxies especficos De
aplicacin, opera sobre una red lgica de routers onion, formada por
mix Chaum en tiempo real. los mensajes se envan prcticamente
en tiempo real, lo que puede debilitar la proteccin.

los routers onion se encuentran bajo el control de diferentes

dominios administrativos, lo que les hace menos sensibles a la
confabulacin. las conexiones annimas a travs de los routers
onion se construyen de forma dinmica para transportar datos del
nivel de aplicacin.

los onion es una estructura de datos multicapa, que encapsula la

ruta de la conexin annima dentro de la red OR, cada capa
contiene funciones criptogrficas AES/3DES-OFB
Hacia delante y hacia atrs, la direccin y el nmero de Puerto del
siguiente router onion, el tiempo de expiracin y el material de
semilla para la generacin de las claves hacia delante y hacia atrs.
cada capa se cifra con la clave pblica del router onion Qu contiene
los datos de esa capa.
para la direccin hacia adelante, el Proxy onion aade todas las
capas cifrado definidas por la conexin annima, cada router onion
de la ruta elimina una capa de cifrado; la aplicacin que responde
recibe los datos en texto en claro.

- Tecnologa crowd de anonimato para las comunicaciones. La

tecnologa crowd funciona con un conjunto de usuarios creados de
forma dinmica. cada usuario ejecuta un proceso denominado jondo,
Qu es la representacin de cada usuario en el sistema

19
 crowd, localizado en su computador. cuando el jondo arranca,
contacta con un servidor denominado Blender, para solicitar la
entrada al crowd. el Blender informa al crowd de todos los jondos
que estn en funcionamiento y enva la informacin necesaria para
unirse al crowd, Cmo pueden ser las claves criptogrficas. el
usuario configuracin navegador para utilizar su jondo como Proxy
web, cuando el jondo recibe la primera peticin del navegador se
inicia el establecimiento de un camino aleatorio de jondos en el
crowd, siguiendo estos pasos, en primer lugar el jondo elige de
forma aleatoria a otro jondo del crowd qu puede ser el mismo y
reenva la peticin despus de ocultarlo, cuando este jondo recibe la
peticion lo reenvia A otro jondo seleccionado aleatoriamente con una
probabilidad pf y presenta la peticin al servidor destino con una
probabilidad igual a (1 - pf) las siguientes peticiones seguirn la
misma ruta las respuestas del servidor atraviesan el mismo camino
en direccin opuesta. la comunicacin entre jondos est cifrada.
-
Crowd opera de forma que cualquier nodo tenga la misma
probabilidad que otro de ser el iniciador del mensaje, cada nodo que
se une a la red arranca un jondo Qu es un pequeo proceso que
reenviara y recibir peticiones de otros usuarios. cuando el jondo se
ejecuta todos los nodos de la red son informados de la entrada del
nuevo nodo y empezarn a seleccionarlo como un reenviador. para
enviar un mensaje un nodo elige de entre todos los nodos de la red
de forma aleatoria y con probabilidad uniforme, a uno de ellos y
reenva el mensaje. cada nodo remisor registra al predecesor y de
esta forma se construye un tnel qu se utiliza para la comunicacin
annima entre el emisor y el receptor.
las limitaciones de la tecnologa crowd son las exposiciones de los
contenidos de la peticin a los jondos intermedios ya que el servicio
puede ser circunvalada por Applets Java Y controles ActiveX Y por
ltimo no existe defensa contra ataques DoS organizados por
miembros Crowd maliciosos.

20
- Tecnologa tor de anonimato para las comunicaciones. La
tecnologa Tor es una implementacin de segunda generacin de la
tcnica onion routing (OR) se trata de un sistema de anonimato que
permite a sus usuarios comunicarse de forma annima por internet.
Tor protege a sus usuarios contra ataques de anlisis de trfico
operando en una red solapada de onion routers qu posibilita el
anonimato de las conexiones salientes y el anonimato de servicios
ocultos.

los usuarios de la red tor ejecuta un Proxy onion en su mquina, este

software conecta con tor de forma peridica y negocio un circuito
virtual a travs de la red tor. emplea la criptografa en capas, que
asegura el secreto de reenvo perfecto entre routers. al mismo
tiempo El software Proxy onion presenta una interfaz sock a sus
clientes, a sus clientes las aplicaciones que siguen socks se
muestran para que tor mltiplexe el trfico a traves de un circuito
virtual, una vez dentro de la red tor, el trfico se envia de router a
router hasta alcanzar un nodo de salida, en el que se indica que los
datos en texto en claro estan disponibles y que se reenvian a su
destino original. si se observa desde el punto de vista del
destinatario, parece que tor se ha originado en el nodo de salida de
la red.

Debido a que tor es capaz de hacer annimo el trfico TCP arbitrario,

es proclive abusos. utilizando una combinacin de direcciones y
puertos es posible combatir la mayor parte de los abusos de la red
tor cmo los P2P (para transferencias ilegales de cantidades
masivas de datos) o el correo electrnico (mensajes spam, que se
remedian rechazando las conexiones salientes al puerto 25 de los
nodos tor) una ventaja de los servicios ocultos tor que pueden estar
hospedados detrs de cortafuegos con funcionalidad NAT ocultando
las direcciones IP internas observables del exterior.

21
- tecnologa Tarzn de anonimato para las comunicaciones Se
basa en una red solapada ip de anonimato PERR-TO-PERR
(P2P) transparente a las aplicaciones. realice el anonimato con
cifrado en capas y un encaminamiento multisaltos similar al mix de
Chaum. Tarzn proporciona anonimato a clientes y servidores,
utiliza un traductor de direcciones de red o NAT como puente entre
los computadores Tarzn y las mquinas de computacin de internet
que ignoran su existencia. Tarzn permite el anonimato contra
escuchas clandestinas globales.

todos los nodos participantes Ejecutan un software que descubre la

ubicacin de otros nodos participantes intercepta paquetes
generados por las futuras aplicaciones locales, gestiona tneles a
travs de cadenas de otros nodos para convertir en annimos estos
paquetes, re enva paquetes para implementar otros tneles de
nodos y pera un NAT para reenviar los paquetes de otros
participantes en internet. en su funcionamiento Tarzn utiliza tres
fases:

1. un nodo que ejecuta una aplicacin que desea

anonimato, Seleccione un conjunto de nodos para
formar un camino a travs de la red solapada.

2. desde el origen, este nodo de encaminamiento

establece un tnel mediante la utilizacin de estos
nodos, Qu incluye la distribucin de claves de sesin.

3. se encaminan los paquetes de datos a travs de este

tnel. el punto final de salida es un NAT qu reenva
los paquetes annimos a los servidores, que no
conocen la existencia de Tarzn y recibe sus paquetes
de respuesta y los reencamina a travs de este
tnel, Tarzn restringe la seleccin de la ruta a los

22
 pares de nodos Qu utilizan el trfico encubierto para
mantener los niveles de trfico independientes de las
velocidades de datos. el iniciador del tnel oculta las
cabeceras IP y TCP. un tnel Tarzn pasa dos tipos
de mensajes entre nodos: los paquetes de datos a
retransmitir a travs de los tneles existentes y los
paquetes de control que contienen comandos y
respuestas que establecen y mantienen estos circuitos
virtuales. Tarzn en capsula ambos tipos de paquetes
en datagramas UDP. cada Enlace del tnel se
identifica de forma nica mediante una etiqueta de
flujo. el cifrado simtrico oculta los datos y un MAC
(cdigo de autentificacin de mensajes) proteger su
integridad en cada transmisin.

4.2. Privacidad del usuario cookies

La privacidad es el derecho de los individuos a poder determinar por s

mismos cundo, cmo y qu parte de la informacin sobre ellos se puede
comunicar a otros, es decir la privacidad de la informacin es el derecho de
los individuos y empresas a restringir la recogida y utilizacin de la
informacin que puede existir sobre ellos. actualmente es difcil mantener
la privacidad debido a que los datos se almacenan online. se monitoriza a
los empleados para observar el uso que hacen de sus computadores
mediante programas utilizados por los administradores.

La privacidad se va degradando por muy diversas causas, entre las que

destaca el empleo de la tecnologa, con el uso de RFID en pasaportes o
billetes de 500 , identificacin de animales domsticos mediante chip, con
los que se conoce en todo momento la localizacin fsica de la mascota, el
chip contiene los datos de su dueo, para poder localizarlo en caso de
prdida o de abandono.

Asimismo, existen muchas dificultades A la hora de aplicar la legislacin

sobre privacidad ya que este concepto difiere entre culturas y es frecuente

23
que no interese su aplicacin desde el punto de vista econmico y porque
las tecnologas PET (privacy enhancing technologies) son complejas y
difciles de gestionar por el usuario.

La privacidad es esencial en toda democracia, pero existen muchas dudas

en su aplicacin acerca de lo que pasa cuando est en peligro la seguridad
nacional. los principios de privacidad acordados de forma internacional
como la directiva de privacidad de la UE 1995; 2002/ 58/EC especifican
por ejemplo Estos puntos:

- la informacin personal no se recoge, sino que se recopila de forma

encubierta o secreta.

- se informa al usuario para dar su consentimiento antes de recoger

informacin privada.

- la informacin privada se utiliza y se retiene slo de acuerdo al

propsito acordado.

- los individuos pueden obtener acceso a sus propios datos privados

para corregirlos o poner comentarios.

un consejo para mejorar la privacidad de los usuarios es que estos

minimicen, siempre que puedan la cesin de sus datos privados; Asimismo
la gestin de identidades se puede hacer utilizando un seudnimo o nick,
aunque tambin se puede optar por utilizar la tecnologa de conocimiento
nulo para no tener que revelar la clave secreta al verificarlo de identidad.

Una cookie es un pequeo fichero, se puede configurar el navegador web

para que pueda aceptar a rechazar las cokiees, pero existen herramientas
de seguridad ms eficaces para impedirlas, como los cortafuegos y los
IDS/IPS personales

Las cokiees operan en tres fases: en primer lugar, cuando el usuario teclea
la direccin web o la URL el programa navegador busca en el disco duro la
cokiee asociada con dicho sitio web. Posteriormente, si el navegador web

24
encuentra una cokiee, enva la informacin de esta en forma de fichero al
sitio web.

5.- Servicio de investigacin: computer forensic

El trmino computer forensic, proceso forense informtica forense hace

referencia a una ciencia tcnica o disciplina relacionada encargada de la
investigacin de los delitos y abusos relacionados que tienen que ver con
los computadores y con las redes de una manera repetible y competente.
Tambin se define como el proceso mediante el cual se identifican reserva
analiza y presenta las evidencias digitales de manera que sean aceptables
legalmente una vista judicial o administrativa.
La tecnologa computer forensic va creciendo cada da en importancia, ya
que el volumen del comercio electrnico aumenta y los accesos a las redes
de las empresas y la informacin corporativa necesita estar protegida de
forma ms fiable e, incluso necesita de un mayor grado de control el robo
de informacin en las empresas y de la propiedad intelectual es una de las
mayores reas de delito corporativo y la excusa de pero si a todos les pasa
es inaceptable, por lo que hay que poner especial cuidado.

5.1. Elementos que buscan mediante computer forensic

Prcticamente se busca todo, desde el carcter del usuario investigado a

sus intereses, sus actividades, su salud financiera, la determina
determinacin de su responsabilidad en actos no autorizados y/o delictivos
cometidos desde su equipo, etc. todo ello se recupera desde las, los
sistemas de correo electrnico, los navegadores web o el espacio libre de
disco duro Que permite leer documentos que han sido borrados no a bajo
nivel slo con un Del.
la vida del posible infractor, su inteligencia o sus interacciones quedan
registradas en el computador que utiliza de forma tan personal como una
huella dactilar si se sabe dnde mirar y dnde Buscar no existe lmite para
contabilizar todo aquello que pueda permanecer encubierto.

25
frecuentemente se pueden extraer de los sistemas de computacin
transacciones de negocios privadas comunicaciones con Cmplices
indicadores de fraude etctera a menudo todos los intentos de los
delincuentes y de los atacantes para ocultar o borrar sus pistas no tienen
xito y un pequeo detalle obtenido por un forense puede ser clave para
sacar a la luz y probar un delito.

El abuso de internet por parte de empleados durante el tiempo utilizado

para realizar su trabajo es un problema comn pero que va a menos ya que
la monitorizacin de red disuadir a las personas que conscientes de las
consecuencias.

La mayora de los delitos se producen por parte de algunos empleados que

divulgan informacin crtica corporativa a terceras partes o bien el fraude y
desvo de ventas a compaas rivales para obtener importantes beneficios
adems las causas de hostigamiento persecucin o acoso anonimato estn
aumentando a travs del correo electrnico y de la web los ataques por
troyanos ciberataques denegacin de servicios(DoS) e instrucciones
Asimismo porcentualmente importantes.

El espionaje Industrial es un problema la utilizacin de registradoresDe

claves est aumentando. el atacante puede instalar fcilmente un pequeo
dispositivo Hardware o una u utilidad todo har en su PC cmo es sniiffer
ethereal o ethercap. estas herramientas simples pueden ayudar a un a un
delincuente o a un competidor a robar rpidamente las contraseas y los
identificadores de usuario. sin procedimientos de seguridad adecuados, No
se podra detectar este tipo de abusos hasta que sea demasiado tarde.

El espionaje Industrial es abundante y se trata de una preocupacin global.

an pocas empresas parecen preocupadas en relacin a las restricciones
de acceso a las numerosas mquinas de computacin que hay en cada
oficina. cada computador en cada puesto de trabajo es una puerta abierta
a la red de la empresa y a todos sus datos e informacin esencial. como

26
sus nminas proyectos, finanzas, patentes, detalles de cliente, etc. Los
profesionales roban los datos de valor e informacin vendible, hacindose
pasar por empleados, personal de mantenimiento o clientes.

A veces, las tcnicas de computer forensic pueden demostrar incendios

que han sido provocados o descubrir la apropiacin de ancho de banda de
red, dnde el trfico de negocios es un activo esencial y valioso, qu
Simplemente no podra gestionarse a pesar de contar con inmensas
capacidades de ancho de banda contratado y conexiones de alta velocidad.
a menudo, el problema reside en el abuso de las opciones de red por parte
del personal interno, qu descarga ficheros de video masivo (a veces
pelculas de alta resolucin y gran duracin), Ficheros de msica mp3 o
simplemente escuchando la radio por internet.

Los celos y envidia son otros poner muchas organizaciones el Sabotaje es

un problema que crece con el personal que, sistemtica intencionadamente
estropea y rompe sistemas informticos.

5.2. Incidentes tratados por computer forensic

Alguna de las cuestiones que se aborda en el computer forensic contra

fraudes, delitos informticos, ect, son las encaminadas a proporcionar
identidad y propiedad. se puede detectar la identidad de aquellos
individuos que han accedido a la mquina de computacin, para ello, se
puede mirar en los perfiles de usuario, direcciones home y cache del
navegador y del correo electrnico. se puede analizar la hora y la fecha en
Los ficheros para demostrar cuando el usuario estaba operando en la
mquina de computacin, o comprobar el diario, de registro de logs
externos o registro de ISP.

Tambin se estudia la duplica, duplicacin de, de los datos originales

recabados, teniendo en cuenta aquello que se intenta preservar, bien sean
discos duros, datos vivos o medios de almacenamiento de datos
removibles. hay que analizar si la conservacin de los datos es o no

27
factible, Ya que puede que haya alguno de ellos que no sea necesario
proteger. es interesante proteger los datos RAID, ya que las mquinas
servidoras propietarias suelen crear pesadillas forenses. el acceso fsico a
los datos alojados en servidores seguros, cmo los Apache- Linux con
SSL) y la utilizacin de programas de imagen comprobados. permiten
verificar los parmetros fsicos del medio de almacenamiento.

Otros incidentes que se abordan son los relacionados con la integridad de

los datos para saber si son fiables. se sabe que todos los sectores o
escritores de fichero de datos se autentican con el calificador de errores,
como CRC integrados en los controladores del disco duro, aunque las
verificaciones adicionales se realizan durante el proceso de creacin o
restauracin de la imagen del disco duro. hay que tener en cuenta, adems,
la persistencia de la evidencia, al registrarse en el transporte fsico y
electrnico de datos. se puede estudiar, adems, la forma en que los
mtodos utilizados pueden reproducir los datos ms adelante, tomando
notas en tiempo real para identificar todas las etapas del proceso forense
como, por ejemplo, versiones del software y del entorno a examen. por
ltimo, se garantiza la seguridad, almacenando los datos va por la
proteccin por contrasea.

Otro tema que trata computer forense es el relacionado con la hora y la

fecha de la informacin. puede hacerse al comprobar la CMOS, y a qu es
importancia capital registrar los datos de reloj del dispositivo, En caso que
las fechas o las horas pueden ser cuestionadas. tambin se puede registrar
la informacin de la zona horaria se puede cambiar el visualizador de
marcas de hora o fecha. Asimismo, se analizan las anomalas, sabiendo
que pueden existir anomalas en la creacin de horas fechas, dependientes
del sistema operativo. por ltimo, aunque no resulte muy fiable, las horas o
fechas pueden proporcionar una prueba fundamental, ya que el contexto
de la hora y la fecha es crucial para la credibilidad de todo el proceso
forense, analizando si corresponde con los eventos conocidos.

28
Es importante el entendimiento de la tecnologa. para ello, se proporciona
un adiestramiento, para el examinador o forense realice su trabajo con
seguridad y credibilidad.

5.3. Investigacin de ataques que han tenido xito

Examinemos el caso de incidentes de ataque a mquinas de computacin.

un ataque tpico implica la conexin con una cuenta robada ISP cualquiera,
qu se utiliza para lanzar el ataque. para confundir al registro de auditora.
se conecta con uno o ms sistemas intermedios. se realizan diversas
entradas y salidas va telnet o ssh en esas mquinas o se utiliza netcat para
establecer proxies. a partir de aqu, se ejecuta Scripts de ataque
automatizados, o su propio cdigo en una de estas mquinas intermedias
para acceder a la mquina objetivo final. una vez que el atacante ha tenido
xito, se toma posesin de la mquina objetivo y se puede sobrescribir
troyanos binarios del sistema y/o Aadir un nuevo usuario con privilegios
de administrador que le permita acceso ms fcil a la mquina la prxima
vez. es frecuente que los atacantes intenten borrar huellas de su camino.
para ello, colocan troyanos que se activen durante el apagado del sistema.
el trabajo del investigador forense se complica cuando el ciberataque utiliza
la criptografa para proteger su actividad y sus ficheros, por lo que el forense
debe aplicar las tcnicas de criptoanalisis.

El forense informtico se enfrenta con una tarea importante cuando llega a

la fase de reconstruccin de un ataque, ya que no slo tiene que pensar en
los mtodos para recuperar la mayor parte posible de la informacin o de
las pruebas incriminatorias, sino que tambin tiene que tener en cuenta lo
que el atacante habra hecho para cubrirse las espaldas.

El investigador se fija en las firmas otras del ataque identificar el uso de

rootkitPara comprometer al sistema. en caso de un atacante el forense
informtico necesita establecer la direccin IP origen de la mquina
atacante para capturar al ejecutor. en la prctica el atacante ha tratado de
esconder su registro, incluyendo mltiples mquinas intermedias en el

29
ataque. para analizar esto, el forense tendr que analizar los componentes
de red a los que est conectada la mquina de computacin que se ha visto
comprometida, los modos de acceso al sistema, ect. para ello, comprueba
los registros de los cortafuegos y establece la direccin IP desde la que se
gener la peticin original. esta podra ser una mquina intermediaria y no
del atacante, pero ayuda a reducir el crculo en torno al atacante.

Desde el punto de vista del forense, los lugares de informacin valiosa que
permite hacerse una idea de lata Qu son los ficheros del registro del
sistema, que constituyen el lugar ms apropiado para la bsqueda, ya que
cada sistema operativo tiene su propia forma de registrar la mayor parte de
la informacin del usuario. para ello, puede buscar los registros de sesiones
telnet o analizar los registros En bsqueda de actividad de usuario
sospechosa, Como abrir una sesin en la cuenta de root del administrador
del sistema a las 4 de la madrugada. tambin puede buscar ejecutables y
usuarios no reconocibles O binarios del sistema convertidos en troyanos.

En unix se puede utilizar Strings para leer todas las cadenas imprimibles
encontradas en un fichero. por ltimo, puede utilizar los registros forenses
de los modernos IDS (Sistemas de deteccin y respuesta frente a
instrusiones)

Una investigacin forense bien hecha tiene todos los detalles del caso
adecuadamente de comentados y debe mantener la cadena de custodia de
la informacin de pruebas. la documentacin debe empezar desde la
confiscacin del sistema informtico y llegar hasta la actividad judicial. es
muy til recordar todos los detalles del caso, dada la duracin de sta. las
cuestiones legales asociadas con la informtica forense estado de
evolucin ando. las leyes de investigacin en delitos informticos deban
ser internacionales, como los de la internet y no deberan estar limitadas
por las fronteras geogrficas. los investigadores forenses informticos
deben mantener atento a los desarrollos en el rea.

30
6.- EVIDENCIAS EN computer forensic

El forense debe recabar todo tipo de evidencias para poder demostrar

delitos o mejorar la seguridad de una organizacin. las 6 caractersticas
principales que debe tener una evidencia son la autenticidad, con la
garanta de que no se haya alterado al original, La pertinencia para
relacionar el delito, la vctima Y el responsable, la trazabilidad, para poder
seguir la pista de auditora desde la evidencia presentada la original La
complicidad con la presentacin de un respectivo total del delito, que
idealmente debe incluir una prueba exculpatoria. la fiabilidad para que no
se pueda dudar sobre la autenticidad y la trazabilidad de la recogida y
cadena de la custodia de la evidencia y la que credibilidad, para que el
Jurado puede entender la evidencia.

6.1. Fases de la investigacin en anlisis forense

En el siguiente apartado, nos centramos en el escenario pos-incidente,

donde se al llamado a los investigadores forenses, para recoger evidencias
para su utilizacin en procedimientos legales. normalmente, la
investigacin forense consta de dos fases o etapas.

1. fase exploratoria. aqu se edifica la naturaleza del problema de

cerca y se define la opinin de los revelado a partir de la escena del
incidente. por ejemplo, un caso de un ciberataque, en el que se
necesita identificar la fuente de trasgresin dentro de una
organizacin con cientos de computadores y miles de puntos de
entrada, lo que puede ser una tarea compleja. una vez determinada
la opinin del investigador tiene lugar al final de la induccin y
deduccin lgica y da comienzo la siguiente.

2. fase de evidencias. se centra en la acumulacin de pruebas

admisibles en los tribunales que prueben deductivamente las
conclusiones de la investigacin forense, realizadas por el camino
de la induccin lgica. la fase exploratoria de las investigaciones

31
 pone a prueba la habilidad del investigador para detectar patrones,
en lo que puede aparecer como un escenario catico. cada
escenario consta de patrones de recurrencia que Define una
secuencia normal de eventos al igual que los usuarios siguen sus
patrones normalmente de utilizacin de la red o la creacin de
backups, que tienen lugar de acuerdo a su planificacin
predeterminada cuando se identifican estos patrones el investigador
forense ya puede visualizar cualquier trastorno o los eventos
anmalos que pueden haber ocurrido. la solucin de muchos
incidentes est en hacer un marcaje de estas ocurrencias para un
escrutinio posterior cuidadoso.

6.2. Proceso de recogida de evidencias en computer forensic

Para recoger evidencias se precisa un entrenamiento en gestin de

incidencias. se deben seguir los procedimientos correctos para evitar que
las pruebas se puedan ver comprometidas y se haga inadmisibles. es muy
fcil destruir lo que existe. simplemente, al encender un pc, se cambian al
menos 70 parmetros. es vital la documentacin de los pasos que se
siguen en la investigacin forense. se construye un caso sobre la actividad
sospechosa, analizando el hecho de trabajar a menudo los fines de
semana, la investigacin de antiguos empleados que nunca se despidieron
de la empresa o la existencia de un patrn de personas que trabajan
durante muchas horas y a menudo de madrugada.

Lo ideal es hacer copias, a bajo nivel, de todos los discos Duros de los
sistemas computacin sospechosos para su examen, utilizando software
forense; Pero esto no siempre es posible y se necesita un procedimiento
estricto para identificar y hacer seguras las evidencias potenciales. las
claves para la investigacin forense son asegurar que la confidencialidad
del cliente se respete y los negocios no se interrumpan. la discrecin es
absolutamente esencial y se debe ser consciente de las muchas leyes que
protegen los derechos y libertades del individuo a investigar. las empresas
deben evitar una casa de brujas de hipotticos atacantes o delincuentes ya

32
que a menudo esto conduce a la paranoia Y se acusa a la persona
equivocada poniendo en Guardia al verdadero culpable.

6.3. Dificultades que aparecen en computer forensic

La evidencia no se debe daar, destruir ni comprometer de ninguna forma

que no se cambie ninguna de las marcas de fecha y hora de Los ficheros,
ni de los contenidos de los propios datos. se debe mantener un registro de
auditora completo y exhaustivo de los pasos de la investigacin y conocer
las operaciones que ha realizado el computador al encenderse y apagarse.

Entre los hechos de los que hay que desconfiar tenemos los cambios de
las marcas de fecha y hora Cuando se arranca la mquina, cuando se
sobreescribe la informacin en el espacio libre del disco duro durante el
arranque, cuando se esparce virus informticos que corrompen ficheros y
dan lugar a reclamaciones por daos o cuando se apagan los sistemas en
computacin basados en un servidor y que no pueden ser restaurados
despus de apagarse.

6.4. Recogida de evidencias en una red corporativa

Tradicionalmente el login cido la Fuente primaria para documentar los

eventos que su orden en los sistemas operativos. el registro de eventos
basado en un modelo de computacin centralizado est anualmente
obsoleto. hoy en da las fuentes de evidencias en las que los investigadores
forenses tienen acceso en un sistema de computacin son entre otros. los
registros del sistema, los registros de auditora, los registros de
aplicaciones, los registros de gestin de redes, la captura del trfico de red
o los datos que trata del Estado del sistema de ficheros.

Es habitual que los registros estn relacionados con la indicacin primaria

de la actividad sucedida. con la evolucin de las PCs autnomos a los
sistemas de red los registros del sistema se complementan con los registros
de red o con la captura de trfico.

33
En un entorno de intranet, donde los recursos se encuentran distribuidos,
los eventos diferentes mquinas estn muy relacionadas. en estos
escenarios, el registro centralizado conduce a cadenas cortas de pruebas
muy localizadas, Qu son difciles De relacionar con otras cadenas de otras
computadoras, dentro de la misma intranet.

Este problema se soluciona, en parte Gracias al registro de trfico de red

en las pruebas existentes en los sistemas operativos relacionados, Debido
a la existencia de la conectividad de red. en el caso de la utilizacin
maliciosa de comandos remotos, si se registra el trfico de red, puede
trazarse desde la direccin origen; de este modo se detecta el computador
desde que se origin el ataque.

En general, no existe suficiente informacin en los registros de eventos

para identificar la aplicacin que ha iniciado el trfico de red en primer lugar,
y es muy difcil establecer la intencin en este entorno. si se puede enlazar
una cuenta de usuario al uso de privilegios que conducen a la generacin
de trfico de red, malicio el usuario puede afirmar que no lo hizo. en este
caso puede ser necesario proporcionar una fuente de evidencias que no
pueda repudiarse fcilmente y que dentifica la identidad del usuario, para
lo que se necesitan los registros de control de acceso fsico o imgenes de
TV en Crculo cerrado.

Los estndares industriales y los consejos de expertos en el rea de la

gestin de incidencias, tradicionalmente han limitado el mbito de la
esencia del delito en el sistema de computacin. si el ataque se produce
dentro de la organizacin incluye el entorno formado por todos los equipos
para preservar la carne de evidencias, que finaliza en el dispositivo del
usuario infractor.

Modelo de encadenamiento de evidencias para computer forensic. El

modelo de encadenamiento de evidencias(FIGURA) muestra los conjuntos
discretos de acciones realizadas por un trabajador que intente causar

34
daos en un entorno de internet. cada grupo de acciones es independiente
de otros y se basa en el nivel de autoridad requerido para ejecutarlas cada
grupo de acciones tiene una fuente diferente de evidencias, qu debe ser
documentadas para propsitos frases. sin embargo, cada una de las
fuentes de evidencias debe basarse a los registros que le siguen para
formar una cadena completa de evidencias

Modelo de encadenamiento. Algunos expertos opinan que un backup de

bajo nivel permite preservar la esencia del delito para hacer un anlisis
adicional de causas. a menudo antes de realizar un anlisis de incidencias
prolongado, se realiza una recopilacin de informacin. despus de la
recogida, los sistemas estn sometidos a un mantenimiento, tras varios
intentos para que los sistemas vuelvan a estar en online.

El modelo de encaminamiento permite a los administradores encadenar

evidencias en su fase de recogida, en contraposicin a las evidencias
individuales, Qu puede no resultar de utilidad en el anlisis de la
investigacin forense. el modelo define un nmero mnimo de reas en las
que se deben recoger evidencias y adems, acenta la importancia de
enlazar las respetando la importancia de factores cruciales como la
precisin de la hora de cada enlace.

En el caso de una instruccin en las hojas donde se sitan los sistemas,

las imgenes de TV deben ser lo suficientemente claras para edificar a los
culpables para emprender acciones legales. en esta zona se pueden
instalar sistemas de radicacin adicionales, para reforzar los
procedimientos de audicin de usuario y los registros, ya que la limitacin
principal del modelo de caminamiento Es la falta de soporte del sistema de
registro de eventos del sistema operativo, de las aplicaciones de red o de
la red completa. por ello, Puede que sea necesario que los administradores
implementen su propio registro y lo monitoricen.

35
Preservacin de datos y evidencias. Uno de los retos ms importantes
en una investigacin es la preservacin de la escena del delito mientras el
olvido puede ser relativamente sencillo, en el anlisis forense de delitos
informticos puede ser muy complejo.

La pregunta ms obvia que se suscita es porque est complicado preservar

los datos, ya que los datos digitales que se guarden en un computador son
de naturaleza muy voltil, todo el proceso de datos se efecta en la CPU,
qu tiene una memoria muy limitada y trabaja en un entorno multitarea en
tiempo compartido; por tanto, las evidencias se desvanecen con el tiempo,
bien debido a la continuidad del sistema o la actividad del usuario. debido
a que esta informacin est guardada en reas como la memoria cach del
sistema. se sobrescribe la informacin y se pierde para el investigador
forense informtico.

Es muy frecuente que el forense informtico se encuentre con casos donde

parte de la informacin confidencial de la organizacin se ha robado o
borrado. si se ha borrado fichero no significa que la informacin se haya
borrado de su localizacin fsica, sino que el sistema operativo ha perdido
la referencia a ese fragmento de datos. la informacin almacenada en estas
localizaciones es un soporte magntico existe An se puede recuperar en
las herramientas informticas forenses adecuadas. sin embargo, si se ha
escrito varias veces sobre el dispositivo de almacenamiento fsico, es
posible que este dato se sobrescribe, por lo que es muy urgente que se
informe de la brecha Tan pronto como se descubra. la, hasta que los
investigadores forenses informticos lleven a la escena del delito. si los
administradores de sistemas realizado una actividad inicial para identificar
La Brecha, este debe ser registrada y documentada para que el
investigador forense pueda proceder.

Anlisis de evidencias. Mejora de la poltica de seguridad. Las

evidencias permiten, tras un exhaustivo anlisis, determinar no slo a los
culpables sino detectar deficiencias con vistas a mejorar la poltica de
seguridad de una organizacin.

36
Consideremos un escenario de un sitio web de una institucin que contiene
informacin crtica como datos mdicos a financieros que ha sido atacada.
el atacante tiene el control absoluto de sistema, puede cambiar los registros
de informacin de una persona, robar la informacin relativa a la tarjeta de
crdito, cambiar informacin de la cuenta, etc., pero incluso pequeos
cambios en los datos, pueden causar un caos y tanto a la compaa como
los clientes pueden ser daados.

7.- Principios legales y tcnicos en computer forensic

Los principales tcnicos fundamentan los procesos de investigacin en

seguridad cubriendo un creciente nmero de nuevas tecnologas y
procedimientos de computacin y comunicaciones a travs de red.

1. Establecer los derechos de acceso sobre a informacin privada.

2. El experto es responsable legalmente del examen de los resultados
y de las pruebas, ya que estn es su posesin.
3. La situacin en la que se le prohiba legalmente al experto conducir
una investigacin est definida.

8.-Servicio De responsabilidad: auditora de seguridad

La auditora de seguridad consiste bsicamente en seguir la pista de todas

las acciones relacionadas con la seguridad que se pueden llevar a cabo en
un sistema de informacin, De modo que se pueda castigar a los culpables
de realizar acciones no realizadas y mejorar la poltica de seguridad en su
casa. la auditora facilita el conocimiento de las personas o entidades que
estn realizando operaciones de una determinada red o sistema de
computacin y las acciones que estn realizando. para ello, Es necesario
que se identifique a todos los sujetos (usuarios, procesos o agentes) y debe
utilizarse la informacin de identidad para decidir si pueden acceder de
forma legtima a la informacin y a los recursos contenidos en el sistema.

El trmino historia de seguridad es un concepto muy amplio que abarca

mltiplos, como, por ejemplo, el anlisis de vulnerabilidades con
37
herramientas como Nmap. permite realizar diferentes tareas de
exploracin de puertos tcp/ udp, identificacin del sistema operativo, etc. la
auditora de seguridad est estrechamente relacionada con la gestin de la
seguridad donde se establecen mtricas de seguridad y se interacta con
cuadros de mando, como ya se estudi en captulos anteriores.

8.1. Funciones de auditora de seguridad

Cmo sabemos, la auditora de seguridad captura registro examina revisa

y reconstruye la estadidad relacionadas con la seguridad. una actividad
relacionada con la ciudad es aquella relacionada con un asesor de un
sujeto u objeto. entrevista teora las actividades se denomina eventos y la
propia editorial se denomina es la perspectiva clsica con registro de
eventos. la tabla 8.1 nos muestra las utilidades y los problemas de la
auditora de seguridad.

Tabla 1: 8.1 usos y problemas que presenta la auditora de seguridad.

Usos Describe el estado de seguridad. Determina si el

sistema entra en un estado no autorizado.
evala la efectividad de los mecanismos de
proteccin. Determina qu mecanismos son
apropiados y operan correctamente. Disuade de
ataques debido a la presencia de un registro de
responsabilidades.

problemas Qu informacin se registra? Se buscan

violaciones de una poltica, de modo que se registra
al menos lo que demostrara tales violaciones.
Qu informacin Se audita? no se necesita auditar.
Se se debe auditar slo aquello en lo que se implica
la poltica

38
Un intento de penetracin produce indicaciones sospechosas en el registro
de los, en Las ondas monitoras del Hardware y en la estacin de gestin
de seguridad. el personal de seguridad que controla esta estacin y ciertos
mecanismos automatizados. pueden tomar acciones inmediatas para
impedir el intento de penetracin del intruso. las evidencias acumuladas por
el registro de la estacin gestora y las sondas monitoras permiten la
investigacin forense despus del hecho y posibilitan establecer
responsabilidades de forma documentada por medio de los registros de
auditora con pruebas.

Segn l TCSEC el libro naranja sobre niveles de seguridad en Estados

Unidos la auditora es obligatoria a partir del nivel de seguridad c.

Los registros de auditora producidos muestran el identificador del usuario

que ha iniciado la accin. esto significa que se conoce Si un usuario intenta
abrir seccin (tenga xito o no), S trata de acceder a un fichero y/o
direccin al que no est autorizado, si intenta subir privilegios de
administrador de red, etctera. la auditora permite realizar dos funciones
de seguridad fundamentales a la vigilancia y la reconstruccin de hechos.

La vigilancia es una monitorizacin (local y remota) de la actividad de un

usuario. este tipo de auditora puede impedir, a veces que ocurran
trasgresiones de seguridad, no slo por el hecho de hacer pensar a los
posibles intrusos que se le est observando.
la reconstruccin es la capacidad de crear, en el caso de una trasgresin
de seguridad, un registro de todo lo que ha sucedido y quines son los
responsables.

8.2. Informacin Registrada en cada evento

Cada vez que sucede un evento auditable, se registra como mnimo la

siguiente informacin en el registro de auditora: la fecha y la hora en lo
que ha ocurrido, el identificador nico del sujeto o usuario que lo ha
iniciado, el tipo de evento, si ha sido un xito o fallado, el origen de la

39
peticin( Cmo era identificador de terminal); el, como un fichero para
borrar, la descripcin de las modificaciones a las bases de datos de
seguridad y los niveles de seguridad del sujeto y del objeto, segn
distintas mtricas.

8.3. Recogida de informacin de auditora

Con la informacin recogida en una auditora, se puede hacer frente a las

trasgresiones deliberadas. ante trasgresiones no intencionadas, se pueda
usar para impartir cursos de informacin adicional en las reas
relacionadas con la seguridad. se pueden tomar acciones inmediatas, como
la inhabilitacin de puertos de comunicacin numerables, la desactivacin
de las rutas inseguras, cerrar determinadas puertas de un edificio donde se
sospecha la instruccin (seguridad fsica), colocar un fichero infectado en
un rea de cuarentena. la auditora interacta con otros mecanismos de
seguridad como la identificacin y la autenticacin. una vez que Larreta y
autenticado la identidad de un sujeto usuario el identificador del usuario se
convierte en una marca no modificable, que se asocia a cada proceso
creado por dicho sujeto o usuario o cada programa que se ejecute.

Tabla 2: 8.3 tipos de auditora

Auditora Registro de informacin sobre el estado y determinacin

basada sobre el cielo estado est permitido. Se puede obtener una
en estado instantnea del Estado del sistema, qu necesita ser
consistente. los sistemas distribuidos necesitan ser
inactivos.

Auditora Examen de las acciones que posibilitan la transicin del

basada sistema de un estado a otro registro de la informacin sobre
en las acciones y examen el estado actual y la transicin
transicin propuesta para determinar si el nuevo estado debera o no
permitirse Puede que analizar slo la transicin no sea

40
 suficiente y se puede necesitar el estado de m. se tiende a
utilizar esto cuando las transiciones especficas requieren
siempre anlisis, por ejemplo, cambio de privilegios.

El mecanismo de control de acceso tcp intercepta

conexiones tcp y comprueba una lista las conexiones a
bloquear obtiene la direccin IP del origen de la conexin,
registra la direccin IP, Puerto resultado permitido
bloqueado en un fichero log. se basa en transicin slo
analiza el estado actual no todos.

8.4. Clasificacin de requisitos de auditora en TCSEC

Los requisitos de auditora se pueden estudiar o clasificar de forma

creciente, segn el nivel de seguridad TCSEC en los siguientes:

El de seguridad C2. el sistema se encarga de auditar los eventos

relacionados con la seguridad y debe proteger los datos recogidos.
nivel de seguridad B1. el sistema realiza auditoras en todos los
cambios producidos en los niveles de seguridad. el sistema hace
auditoras por cada nivel de seguridad.
nivel de seguridad B2. el sistema ahorita los eventos que puedan
ser utilizados para explotar canales de almacenamiento secretos.
nivel de seguridad B2/A. el sistema monitoriza la acumulacin de
eventos que pueden indicar una inminente trasgresion de la poltica
de seguridad. el mecanismo notifica de alguna forma al
administrador de red cuando se superan ciertos umbrales
predefinidos de superarse da la sesin de la red del usuario
trasgresor.
en general, la informacin que se desea recoger para la auditora
incluye el nombre del usuario y el nombre de la mquina de,
computacin, los derechos de acceso anteriores y posteriores para
la modificacin de los derechos de acceso y la marca de tiempo.

41
 naturalmente existe mucha ms informacin que se puede recoger
dependiendo del sistema que se disponga y el espacio que de
memoria disponible para el Almacenamiento de esta informacin.

Tabla 3: 8.4 objetos de la auditora

Detectar cualquier conocimientos sobre el sistema entrado no en un

violacin de una poltica estado no permitido. el enfoque se centra en la
conocida poltica y las acciones diseadas para violar la
poltica las acciones especficas pueden ser no
conocidas.

Detectar las acciones se enfoca en acciones especficas que han sido

conocidas Qu son parte determinadas para indicar ataques.
de un intento de hacer
brecha en la seguridad

8.5. Almacenamiento de registro de auditora

Existen, bsicamente 3 formas de almacenar registros de auditora:

1. En un fichero de lectura o escritura en un computador.
2. en un dispositivo de una escritura nica y muchas lecturas con un
CD-ROM
3. en un dispositivo de una sola escritura como, una memoria de una
sola escritura, una impresora en lnea.
Cada mtodo presenta sus ventajas e inconvenientes. registrar en un
sistema de ficheros es de los tres el mtodo ms fcil de configurar. permite
el acceso instantneo a los registros para su anlisis y se puede ser
importante si existe un ataque en proceso. Pero tambin es el mtodo
menos fiable. si la mquina de computacin de registro se ve
comprometida, el sistema de ficheros es normalmente el primer sitio donde
acudir y una persona instruida puede, de forma sencilla, cubrir el rostro de
la instruccin. la recogida de datos de auditora sobre un dispositivo de una
sola escritura requiere un poco ms de esfuerzo a la hora de configurar ese

42
nico fichero, pero tiene una ventaja significativa que es la de incrementar
de forma importante la seguridad, ya que un susto no puede alterar los
datos que indican que se ha producido una intrusin. el inconveniente de
este mtodo es que necesita mantener una provisin de los medios de
almacenamiento que conlleva un alto. Asimismo, puede que los datos no
se encuentran disponibles de forma instantnea.

8.6. Saturacin en el proceso de recogida de datos de auditora

Las recogidas de los datos de auditora pueden producir una acumulacin

rpida de informacin; por tanto, se debe considerar anticipadamente la
disponibilidad de un lugar almacenamiento para dicha informacin. Existen
diversas formas de reducir el espacio de informacin requerida. uno de
ellas es reducir las dimensiones de los datos, utilizando diversos mtodos
de comprensin. tambin se puede minimizar el espacio necesario,
guardando los datos durante un periodo de tiempo menor y conserva No
nicamente resmenes de estos datos en archivos de larga duracin.

El mayor inconveniente de este mtodo aparece en la respuesta de los

incidentes. a menudo un incidente se ha estado produciendo durante un
periodo de tiempo antes de que se vaya ha detectado un problema y
comienza a investigar si en esta situacin es muy til disponer de registros
de auditora detallados. si estos slo son resmenes, Puede que no existan
suficientes detalles y evidencias para poder abordar completamente el
incidente de seguridad, intensos ojos o fortuito.

Los datos de auditora deben conservarse cuidadosamente Y de forma

segura en las organizaciones y en los centros de respaldo en caso de
contingencias. si un intruso obtiene acceso a los registros de auditora, la
organizacin estrella en alto riesgo. los datos de editorial tambin pueden
ser clave para la investigacin, detencin y juicio del causante de un
incidente. por tanto, esta razn, es conveniente disponer de asesoramiento
legal para tratar los datos de auditora. Esto se debe hacer antes de que
ocurra un incidente.

43
Si el plan de manipulacin de datos de auditora no estuviera definido
adecuadamente antes de un incidente, es posible que no existan recursos
para hacer frente a las consecuencias del evento y se pueden crear
responsabilidades resultantes de un tratamiento inadecuado de los datos.
por el hecho de recoger y guardar datos de auditora es necesario
prepararse para consecuencias que resultan, tanto de su existencia como
de Su contenido .

8.7. Monitorizacin y reconocimiento de amenazas

Toda organizacin debe poseer la capacidad de registrar todo intento de

amenaza en formato mquina, de filtrar por recuperar de ello la informacin
de forma selectiva puesto que es difcil discriminar entre lo que es y no una
amenaza, todas las transacciones relacionadas con los controles de
seguridad deben quedar registradas. cuando las transacciones
relacionadas con la seguridad se registran automticamente, el registro
debe estar protegido contra la posible intervencin notarizada de
operadores o usuarios. esto se realiza elaborando un registro sobre una
unidad de almacenamiento que no permita escribir ms de una vez sobre
ella por relegado esta y otras funciones de seguridad a un computador
separado que estar bajo control directo de responsable de seguridad.

todos los dispositivos de una organizacin deben reconocer la ocurrencia

de diferentes condiciones anmalas que pueden comprometer la
seguridad. Cuando esto ocurre, es importante que la red tenga la capacidad
para registrar la identificacin del PC o terminal implicado, el tipo de
trasgresin, la identidad del usuario que ha causado la trasgresion, la fecha
y la hora de la ocurrencia, el fichero objetivo del intento, etctera. en
algunos casos, el responsable de la seguridad concede o deniega las
posibles peticiones para entrar a la red o a cualquiera de los sistemas. en
otras redes, la estacin de gestin de la seguridad slo recibe una
indicacin de las trasgresiones obtenidas de explorar los diversos registros
de red.

44
 Bibliografa

Mamani, J. C. (2007). Fundamentos de la seguridad informtica. 3-7.

Mazzinghi, J. H. (18 de febrero de 2011). Gestion del riesgo en la
seguridad informatica. pgs. 8-11.
Mezas, J. (s.f.). NeuroMarketing y TEcnologia. Obtenido de
http://neuromarketingytecnologia.com/tipos-de-ataque-y-
amenazasinformaticas/
Orea, S. V. (23 de agosto de 2010). SEguridad Informatica. pgs. 3-9 24-
27.
Pinto, M. G. (2006). Diseo de un plan estragtegico de seguridad de
informacion en una empresa del sector comercial. 3-6.
Robayo, J. H. (2015). Aseguramiento de los sistemas computacionales de
las empresas. BOGOTA - ZIPAQUIRA.
Romero, L. A. (2003). Seguridad informatica. pgs. 25-33.
Sanchez, L. H. (2014). Implementacion de la seguridad en un centro de
computo. Mexico.

45