Está en la página 1de 12

1

UNIDAD

Principios que debe


observar el peritaje
informático Informática forense

Autor: Ismael Alberto López Rodríguez


Índice
Introducción

Metodología

Desarrollo temático

Principios que debe observar el peritaje informático

Escenarios de uso de la informática forense

Problemas habituales en el análisis forense

Evidencia digital

Características de la evidencia digital

Clasificación de la evidencia digital

Manejo de la evidencia digital


Introducción Apreciados estudiantes, el desarrollo temático de la semana
uno, suministra los conceptos generales relacionados con las
ciencias forenses y las características que las hacen una cien-
cia auxiliar dentro de la investigación criminal. Así, identifica-
mos algunos elementos clave que proporcionan información
relevante para emprender una tarea de análisis en relación
con la ocurrencia de cualquier tipo de delito.

Pero se preguntarán ustedes, ¿qué tenemos que ver nosotros


como ingenieros e ingenieras de sistemas en la investigación
criminal, ese acaso no es el campo de acción de los abogados?

En efecto, apreciados estudiantes es el momento de delimitar


el contexto bajo el cual como ingenieros de sistemas pode-
mos participar como investigadores o auxiliares en el desa-
rrollo de una investigación forense. En este cuadernillo, abor-
daremos los tipos de investigación forense que un ingeniero
de sistemas puede desarrollar, las evidencias sobre las cuales
puede realizar el análisis y las etapas que debe surtir para con-
cluir con éxito su trabajo.

Profundicemos entonces en las características y elementos


que un investigador informático forense debe tener en cuen-
ta en el desarrollo de su investigación.

Fundación Universitaria del Área Andina 3


Metodología

Durante el recorrido por el curso, encontramos historias reales que sustentan la aplicación
de las ciencias digitales forenses como disciplina para ayudar en la obtención de evidencias
relacionadas con la investigación de algún delito, además en algunos de los recursos para el
aprendizaje, va a encontrar información relevante y pertinente que contribuye a ampliar sus
conocimientos sobre el tema.

Le recomiendo acceder y analizar en detalle cada uno de los recursos vinculados como parte
de la lectura porque a través de ellos y del desarrollo de las actividades y evaluaciones pro-
puestas usted podrá convertirse en un nuevo investigador digital forense.

En algunos apartes de esta lectura va a encontrar señaladas reflexiones que le recomiendo


desarrollar para socializarlas en los encuentros con el tutor.

Fundación Universitaria del Área Andina 4


Desarrollo temático

Principios que debe observar el sido objeto de manipulación o modifica-


ción.
peritaje informático
■■Documentación: todos los pasos que us-
Para asegurar la validez del procedimiento ted desarrolla durante el proceso deben
que usted como investigador forense desa- ser registrados y apoyados con los docu-
rrolla, debe observar algunos requisitos mí- mentos de cadena de custodia.
nimos que garanticen ante los destinatarios
del informe que se han cumplido unas nor- Escenarios de uso de la informática fo-
mas mínimas en relación con el desarrollo rense
de su labor, así estos principios deben ase-
gurar: Es claro que la ubicuidad de las tecnologías
de la información pone en todos los esce-
■■Objetividad: su trabajo no puede basarse narios de nuestra vida diaria dispositivos
en pre juicios o juicios subjetivos, debe tecnológicos, así los individuos que ven en
ajustarse a altos principios éticos. los sistemas informáticos una oportunidad
■■Autenticidad y conservación: usted como para desarrollar actividades ilegales cada
investigador debe garantizar que los me- día inventan nuevos métodos, en la actua-
dios usados como prueba no han sido lidad podemos definir algunos escenarios
objeto de alteración o manipulación, vo- como los más comunes para el uso de la in-
luntaria o accidental. formática forense:
■■Idoneidad: los medios que usted emplee ■■Ocurrencia de un delito informático co-
como prueba deben ser originales, y te- mún.
ner la importancia y pertinencia necesa-
ria para el caso que investiga.
■■Sospechas respecto a la perdida de infor-
mación al interior de la organización.
■■Legalidad: en el desarrollo del peritaje
■■Infecciones
provocadas por amenazas
se deben observar todas las normas con-
como malware.
templadas en la legislación vigente, ade-
más las apreciaciones y juicios emitidos ■■Existencia de ataques informáticos con-
deben ajustarse a estos parámetros. vencionales o por técnicas comunes, ma-
■■Inalterabilidad: con base en la cadena de lware, fuerza bruta, ataque por dicciona-
rio, denegación de servicios.
custodia usted debe garantizar que los
medios que se usan como prueba no han ■■Robos de información.

Fundación Universitaria del Área Andina 5


■■Uso de las tecnologías de la información no cuenta con la autorización requerida
para adelantar delitos como las amena- para verificar ciertos contenidos del dis-
zas y/o extorsiones. co, los dispositivos, o el tráfico de red ob-
■■Delitos informáticos de alto impacto
tenidos. ABSTENGASE DE ANALIZARLOS
O REVISARLOS puede estar cometiendo
como el ciberterrorismo, trata de perso-
un delito con serias consecuencias pe-
nas y la pedofilia entre otros.
nales. Los apartes relacionados con la
legislación existente para la protección
Problemas habituales en el análisis fo-
de datos personales y la investigación de
rense:
delitos informáticos serán revisados en
En el desarrollo del presente documento, se detalle en los cuadernillos de las sema-
ha hecho énfasis en la cadena de custodia y nas tres y cuatro.
la necesidad de su aplicación y cuidado es-
tricto durante toda la investigación, por su-
■■Se deben solicitar las autorizaciones ne-
cesarias por parte de las autoridades
puesto, esta es tan solo una de las situacio- judiciales para examinar muchas de las
nes complejas que usted como informático evidencias que pueda haber obtenido
forense deberá afrontar durante el desarro- durante la recolección, no olvide consul-
llo de una investigación, a continuación de- tar con un abogado.
tallaremos algunas situaciones comunes:
■■Durante el análisis de la evidencia es
■■Cuando se clona un disco duro u otro común que no se pueda determinar la
medio de almacenamiento es necesario identidad del individuo que pudo haber
usar las utilidades reconocidas como vá- alterado el sistema, o borrado un archivo
lidas y aprobadas por los entes judiciales por ejemplo, esta situación implica que
correspondientes, además procure que tengamos que entrar a demostrar que el
la copia de discos duros se realice sobre “sospechoso” fue quien ingreso al siste-
dispositivos nuevos y formateados a bajo ma, bien sea de forma directa al equipo o
nivel previamente. De ser posible se re- a través de una red.
comienda usar dispositivos diseñados de
forma específica para copia de discos y ■■Una dificultad consiste en establecer la
no una computadora común. conexión entre el incidente y las conse-
cuencias, así ha de ser muy cuidadoso en
■■La protección de datos personales es un la lectura e información relacionada con
tema complejo y delicado en cada uno los sistemas a analizar para identificar co-
de los países, por esta razón es necesario nexiones entre uno y otro eventos.
que cuando usted reciba el dispositivo
y registre los documentos de cadena de
■■En las secciones anteriores se recomendó
elaborar la línea de tiempo como un ele-
custodia sea muy específico en qué se va
mento básico del ciclo de investigación
a analizar y con qué fin.
para establecer el momento exacto en
■■No olvide que la inviolabilidad de las co- que se presentó el ataque o vulneración,
municaciones personales el derecho a la así usted debe tener en cuenta sincroni-
intimidad entre otros, son derechos fun- zar los relojes de los dispositivos que use
damentales de los ciudadanos en Colom- para la investigación a través de herra-
bia, así si al analizar la evidencia usted mientas como NTP.

Fundación Universitaria del Área Andina 6


Evidencia digital.

Imagen 1 Desarrollo de Estándares Internacionales


Fuente: Cloud security Alliance; mapping the forensic estándar ISO/IEC 27037 to cloud computing.

Apreciado investigador, estamos por fina- rácter judicial. Para usarla con este propósi-
lizar nuestro recorrido por toda la infor- to se debe cumplir de forma estricta un con-
mación que usted necesitará para resolver junto de técnicas y procedimientos para su
la pregunta que da origen al presente do- recolección, adquisición, almacenamiento y
cumento, a lo largo de él hemos definido análisis.
muchos conceptos que espero enriquezcan
su glosario y contribuyan a una mayor com- Casey (2004) establece que cualquier dato
prensión del tema, sin embargo es necesa- que pueda aportar información respecto a
rio detenernos a analizar un concepto adi- un hecho delictivo, o proporcione alguna
cional que debemos atender como parte de conexidad entre delito y víctima, o delito
nuestro trabajo y es la evidencia digital. y autor se considera evidencia digital, ade-
más extiende su definición y la considera
Fernández (2004) define la evidencia digital, un tipo de evidencia física construida a
como la información almacenada en dispo- partir de campos magnéticos y pulsos elec-
sitivos electrónicos, bien sea medios mag- trónicos que se pueden agrupar y analizar
néticos, ópticos, estado sólido, que puede usando técnicas y herramientas específi-
ser usada como prueba en procesos de ca- cas.

Fundación Universitaria del Área Andina 7


Caldana, Correa y Ponce (2014) la definen ■■Es posible trabajar con una copia idéntica
como la “Información creada, transmitida, del sistema y simular las condiciones de
procesada, registrada y/o mantenida elec- funcionamiento del momento del ataque
trónicamente, que respalda el contenido de o incidente sin alterar la evidencia.
un informe de auditoría y que puede tomar
diferentes formas, tales como texto, imagen,
■■La trazabilidad de las actividades efec-
tuadas a través de un sistema informático
audio, video, entre otros”. hace posible que el investigador obtenga
información valiosa.
Características de la evidencia digital
La evidencia digital contrario a la eviden-
■■Eliminar la evidencia digital es un proce-
so complicado y poco exitoso; gracias a
cia física, tiene características que exigen las herramientas de análisis forense exis-
que la labor del investigador en su reco- tentes en el mercado es posible recupe-
lección cumpla con unos parámetros muy rar la información contenida en un disco
exigentes, algunos de ellos se encuentran duro o en un medio de almacenamiento
registrados en la RFC 3227, en esta “request extraíble aun después de un formateo ló-
for comments” se definen los lineamientos gico o partición física, es decir todo deja
para la recolección y archivo de evidencia huellas.
digital.
■■El diseño de los sistemas de información
Algunas de sus características más relevan- y características propias de los sistemas
tes son: operativos entre otros hacen que de una
■■Su fragilidad; este tipo de evidencia pue- actividad que desarrolla el individuo en
el computador puedan quedar rastros en
de ser alterada, modificada o destruida
con un simple descuido del investigador diferentes archivos y ubicaciones.
o alguna persona en la escena, por ejem-
plo abrir un archivo del que se sospecha Clasificación de la evidencia digital
está relacionado con un ataque cambiará Existen varias categorías para clasificar la
su fecha de modificación, lo que podría evidencia, una de ellas depende del tipo de
hacerlo inservible para la investigación. sistema sobre el que se efectúa la recolec-
■■La posibilidad de realizar múltiples co- ción:
pias de la información sin que exista un ■■Evidencia volátil; hace referencia a la evi-
registro de quien los realizó, puede afec- dencia que en procedimientos estándar
tar el secreto o confidencialidad de los puede ser obtenida en sistemas en vivo,
datos sin que el investigador pueda es- las evidencias que se pueden obtener
tablecer el responsable de un robo de in- fueron descritas en la segunda parte de
formación. este documento.
■■La posibilidad de duplicación bit a bit de ■■Evidencia perdurable; se refiere a la evi-
la evidencia digital proporciona al inves- dencia recolectada en sistemas post-
tigador herramientas para hacer un aná- mortem, copias adquiridas de discos
lisis exhaustivo de un conjunto de datos duros, unidades ópticas, unidades extraí-
sin alterar la evidencia original. bles entre otras.

Fundación Universitaria del Área Andina 8


Según el medio en que se puede encontrar ■■Artefactos de usuario: se refieren a los ar-
la evidencia Stephenson (2014), la clasifica chivos creados en las cuentas de los usua-
en: rios que han iniciado sesión en el equipo,
■■Evidencia física; cuando la evidencia a re- dentro de ellos se incluyen los correos
electrónicos, imágenes, documentos,
colectar se encuentra en medios físicos
conversaciones de chat y cualquier otro
como discos duros, unidades extraíbles,
archivo que se genera cuando el usuario
teléfonos móviles, memoria RAM entre
inicia sesión en el equipo.
otros.
■■Evidencia de transmisión; es la evidencia Otros términos relacionados con la eviden-
digital que se encuentra o ha sido trans- cia digital son definidos por Stephenson
mitida a través de algún medio de red, (2003), para referirse al estado (material o
por ejemplo la captura de una trama en no) en que se puede hallar, así según esta
medios locales, un paquete de datos en clasificación podemos hablar de:
un router. ■■Evidencia digital lógica: Es aquella cuya
integridad y disponibilidad se encuentra
En el mismo sentido Stephenson (2003), cla-
intacta, y se puede acceder a ellos sin la
sifica la evidencia digital según el medio o
necesidad de herramientas adicionales,
artefactos en los cuales se pueda encontrar,
no necesita de reconstrucción, pero el
la clasificación propuesta según el origen
investigador debe observar especial cui-
es:
dado de abrir o ejecutar algún archivo
■■Artefactos del sistema de archivos: hace puesto que estas acciones pueden modi-
referencia a las evidencias obtenidas o ficar los metadatos y volver inservible un
relacionadas con los sistemas de archivos archivo para la investigación.
de un sistema de procesamiento de infor-
mación, tablas de asignación en sistemas
■■Evidencia digital de seguimiento o traza:
Se refiere a la información o datos rela-
FAT, tabla maestra en sistemas NTFS, sú-
cionados con la investigación a los cuales
per bloque en sistemas tipo Linux o Unix,
no se puede acceder de forma directa a
o árbol-B+ para sistemas tipo OS.
través del sistema y para obtenerlos se
■■Artefactos del sistema operativo: hacen emplean utilidades de recuperación de
referencia a los archivos volátiles creados archivos o particiones, por ejemplo infor-
por los distintos sistemas operativos, que mación proveniente de discos duros for-
por lo general se construyen después mateados, memorias borradas, correos
de su instalación y se modifican de for- electrónicos y conversaciones elimina-
ma permanente durante su ejecución, dos entre otros.
por ejemplo el registro de Windows, /etc
para sistemas Linux, .plist para sistemas Manejo de la evidencia digital
tipo OS. La rápida incursión de las tecnologías de
■■Artefactos de aplicación: se denomina la información y las comunicaciones en el
así a los sistemas de archivos y archivos ámbito de la investigación forense, ha sido
y objetos creados por aplicaciones o pro- objeto de regulación y estudio por parte de
gramas instalados en el sistema o medio. múltiples organismos internacionales, así

Fundación Universitaria del Área Andina 9


previo a la existencia de una norma de ca- en Inglés, se encuentra desarrollando un
rácter mundial, la investigación informática amplio conjunto de normas relacionadas
forense tomó como base los lineamientos con todo el ciclo de la informática forense,
expedidos por el F.B.I y el Instituto Nacional en la actualidad solo se encuentra desarro-
de Estándares y Tecnología. llada la norma referente al manejo de la evi-
dencia digital pero a futuro se espera contar
En el año 2012 la organización internacio- con el conjunto de normas técnicas están-
nal para la estandarización, expide la nor- dar para que la evidencia o investigación
ma ISO/IEC 27037:2012, a través de la cual que se inicia en un territorio pueda ser usa-
se formulan los lineamientos para las ac- do en otro sin problemas de carácter legal
tividades específicas relacionadas con la relacionados con la legislación existente en
manipulación de evidencia digital como la cada uno, la figura muestra la estructura del
identificación, recolección, adquisición, y marco normativo que propone la organiza-
preservación de evidencia digital potencial ción para el ciclo digital forense:
que pude ser valorada como evidencia en
un proceso. La organización internacional La Normativa ISO 27037 detalla los siguientes
para la estandarización (ISO) por sus siglas aspectos en relación con la evidencia digital:

Imagen 2 Evidencia Digital ISO 27037


Fuente: Autor

■■Identificación: es el inicio del proceso forense, en él se accede a la escena del delito y/o a
los equipos y sistemas que fueron víctimas de un ataque o fueron usados para él, la nor-
ma lo define como “el procedimiento de búsqueda, reconocimiento y documentación de
evidencia digital potencial” (ISO 27037, 2012).
■■Recolección y adquisición: la norma establece diferencias entre los dos términos así:
La recolección, “es el proceso a través del cual se recopilan elementos que contienen evi-
dencia digital potencial” (ISO 27037, 2012).
La adquisición, “es el proceso de creación de una copia de datos como parte de un con-
junto definido”.

Fundación Universitaria del Área Andina 10


Así, y apelando a las definiciones y reco- adecuada preservación puede contribuir
mendaciones contempladas en la norma a que la evidencia pase de potencial a
la recolección se aplica de forma más co- usable en un proceso judicial. Es decir en
mún en procesos que involucran autori- un proceso legal, solo cuando la eviden-
dades judiciales, en las cuales a partir de cia recolectada y adquirida es presentada
una orden se pueden incautar los equi- ante el juez junto a su relevancia en la in-
pos que el investigador considere nece- vestigación, cadena de custodia, proce-
sarios para la investigación, trasladarlos dimiento de identificación, adquisición
a un laboratorio e iniciar el proceso de y preservación puede pasar a convertirse
análisis. en prueba del proceso. Si el juez decide
En tanto la adquisición se emplea más en aceptarla.
investigaciones de carácter corporativo, Es necesario aclarar que la preservación
investigaciones internas por ejemplo en de la evidencia digital es tal vez uno de los
las que es fundamental garantizar la con- procesos más críticos dentro de la investi-
tinuidad del negocio, por tanto los equi- gación forense, la evidencia digital poten-
pos no pueden ser apagados o removidos cial, es muy frágil y puede ser destruida o
de su sitio y el investigador debe proceder alterada con mucha facilidad. El paso del
a “adquirir” copias de la información ne- tiempo entre el inicio de la investigación y
cesaria para la investigación. Es necesario su presentación ante un juez como prueba
tener en cuenta que independiente del puede tardar mucho tiempo, en Colombia
escenario, usted apreciado investigador por ejemplo es mayor a un año en el mejor
debe efectuar las copias de discos, me- de los casos. Así, las recomendaciones de la
dios, volcados de memoria RAM, a través norma respecto a su preservación destacan
de herramientas aceptadas en los proce- las siguientes condiciones:
sos de investigación, con un proceso bien
documentado, defendible en el que se 1. La evidencia debe ser recolectada si-
garantice la integridad de la información guiendo los más altos estándares rela-
y que las copias obtenidas no han sido cionados con la investigación forense,
modificadas a partir de su adquisición. debe efectuarse por personal experto
y autorizado, no debe manipularse di-
En todo caso el proceso de recolección, rectamente (use guantes especiales).
siempre será mucho más sencillo que el Durante la recolección tenga cuidado
de adquisición, sin embargo le recuerdo de etiquetar cada uno de los elementos
que en los detalles sencillos existe el ma- que coleccione, las etiquetas no deben
yor riesgo. No olvide la cadena de custo- cubrir información de identificación de
dia. los elementos y se recomienda que si-
■■Preservación; la norma ISO 27037, la de- gan las condiciones previstas por las
fine como el proceso de mantener y sal- autoridades y sujeto a la cadena de cus-
vaguardar la integridad y/o condición todia.
original de la evidencia digital potencial. 2. Los dispositivos móviles deben ser se-
Preservar la evidencia potencial digital es llados por el investigador en las partes
un proceso sumamente importante, una susceptibles de realizar conexiones, por

Fundación Universitaria del Área Andina 11


ejemplo en un Smartphone se debe se- cionados con esta investigación, por
llar su puerto de carga y las ranuras de ejemplo se almacenan o apilan tres
las tarjetas SIM y de memoria. Los stic- gabinetes de computador de distin-
kers de los sellos deben llevar la firma tas investigaciones uno tras otro y
del investigador. para acceder al tercero necesitas mo-
3. Los dispositivos que contienen informa- ver los otros dos que son de inves-
ción volátil que depende de una bate- tigaciones diferentes, durante este
ría deben ser guardados anotando esta movimiento o por estas condiciones
observación y se debe verificar con fre- puede por ejemplo causar un peque-
cuencia el estado de las baterías para ño rayón en uno de los gabinetes,
evitar que se pierda la información. marca que no estaba en el proceso
de recolección de la evidencia y por
4. De requerir transporte de los dispositi- un detalle tan pequeño como este,
vos, estos deben ser dispuestos en reci- que para nada afectó la integridad
pientes para tal fin que los protejan del de la información, los abogados de la
calor, las vibraciones y las interferencias contra parte y el juez pueden invali-
electro magnéticas y electro estáticas. dar esta evidencia.
5. El investigador debe acompañar la evi-
dencia durante el transporte asegurán- Reflexión: ¿Si dadas las condiciones ante-
dose que se cumpla con las normas lo- riores, usted como investigador fuera de-
cales previstas para este fin. clarado responsable de negligencia por
no cuidar la evidencia de forma rigurosa,
6. El lugar en que se almacene la evidencia que argumento usaría en su defensa?
digital potencial debe garantizar como
mínimo las siguientes condiciones, se-
gún las recomendaciones efectuadas
por Watson, D., & Jones, A. (2013):
• Iluminación, ventilación y nivel de
humedad adecuados para almacenar
este tipo de evidencias.
• Se debe generar un registro de con-
trol de visitantes y personas que
pueden acceder a la evidencia para
su análisis en el que se identifique la
persona, el cargo, las fechas y horas
exactas en que accede a la evidencia
la razón por la que la solicita y el tra-
bajo que realiza.
• El almacén en el que se mantiene la
evidencia debe garantizar que el ac-
ceso o movimiento de los dispositi-
vos solo se realice para efectos rela-

Fundación Universitaria del Área Andina 12