CURSO BÁSICO DE PERITO JUDICIAL

INFORMÁTICO

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 2

Módulo IV: Forensia Digital:

Unidad 1: Forensia Digital

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 3

Presentación:
En este cuarto módulo del curso se explicará el significado de Forensia Informática,
observaremos sus características principales y se detallará la metodología recomendada
para llevarla adelante de manera eficaz.

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 4

Objetivos:
Que los participantes:
Conozcan el significado de Forensia Digital y la metodología sugerida para llevarla
adelante de manera eficaz durante una pericia/investigación.

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 5

Bloques temáticos:
1. Forensia Digital: Conceptos básicos
2. Metodología

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 6

Consignas para el aprendizaje colaborativo

En esta Unidad los participantes se encontrarán con diferentes tipos de actividades que,
en el marco de los fundamentos del MEC*, los referenciarán a tres comunidades de
aprendizaje, que pondremos en funcionamiento en esta instancia de formación, a los
efectos de aprovecharlas pedagógicamente:

 Los foros proactivos asociados a cada una de las unidades.

 La Web 2.0.
 Los contextos de desempeño de los participantes.

Es importante que todos los participantes realicen algunas de las actividades sugeridas y
compartan en los foros los resultados obtenidos.

Además, también se propondrán reflexiones, notas especiales y vinculaciones a

bibliografía y sitios web.

El carácter constructivista y colaborativo del MEC nos exige que todas las actividades
realizadas por los participantes sean compartidas en los foros.

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 7

Tomen nota:
Las actividades son opcionales y pueden realizarse en forma individual, pero siempre es
deseable que se las realice en equipo, con la finalidad de estimular y favorecer el trabajo
colaborativo y el aprendizaje entre pares. Tenga en cuenta que, si bien las actividades
son opcionales, su realización es de vital importancia para el logro de los objetivos de
aprendizaje de esta instancia de formación. Si su tiempo no le permite realizar todas las
actividades, por lo menos realice alguna, es fundamental que lo haga. Si cada uno de los
participantes realiza alguna, el foro, que es una instancia clave en este tipo de cursos,
tendrá una actividad muy enriquecedora.

Asimismo, también tengan en cuenta cuando trabajen en la Web, que en ella hay de todo,
cosas excelentes, muy buenas, buenas, regulares, malas y muy malas. Por eso, es
necesario aplicar filtros críticos para que las investigaciones y búsquedas se encaminen a
la excelencia. Si tienen dudas con alguno de los datos recolectados, no dejen de consultar
al profesor-tutor. También aprovechen en el foro proactivo las opiniones de sus
compañeros de curso y colegas.

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 8

1. Forensia Digital: Conceptos básicos

En primer lugar, debemos entender a que nos referimos al hablar de Forensia Digital:

 Conjunto multidisciplinario de teorías, técnicas y métodos de análisis que brindan

soporte conceptual y procedimental a la investigación de la prueba informática.

 Incluye la identificación, preservación, adquisición, procesamiento, análisis,

documentación y presentación de la evidencia.

 Aplicable tanto en casos judicializados como en investigaciones particulares

solicitadas por empresas u organismos privados.

Asimismo, existen a nivel nacional e internacional, buenas prácticas a tener en cuenta a la

hora de llevar adelante tareas que impliquen Forensia Digital. Algunas de ellas son las
siguientes:

 ISO/IEC 27.037/2012

 Modelo EDRM

 Resolución 756/16 de la Procuración General de la Nación

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 9

2. Metodología
La unidad se centrará en el Modelo EDRM, mencionado anteriormente, que plantea
básicamente una metodología recomendada para llevar adelante las tareas relacionadas
con la Forensia Informáticas. Resumidamente y de manera gráfica, el modelo (que puede
encontrarse de manera gratuita en el sitio www.edrm.net) es el siguiente:

A continuación, se detallan las fases del siguiente modelo, mencionando las herramientas,
técnicas y elementos a tener en cuenta para llevar adelante cada una de ellas.

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 10

2.1. Identificación
Implica el desarrollo y la ejecución de estrategias para la identificación y validación de
potenciales fuentes de información almacenada electrónicamente relevantes para el caso.
Incluye tanto personas como sistemas.

Requerimientos previos:

Previo a la recolección, podría necesitarse de la siguiente información:

• ¿Quiénes son los dueños de la evidencia?

• ¿Dónde está ubicada la evidencia?

• ¿Cuál es la naturaleza de la evidencia?

o Desktops

o Laptops

o User Share files / Sharepoint

o Discos magnéticos

o Pendrives

o Celulares

 ¿Qué tipo de servidor de mail está involucrado?

 ¿Cómo son archivados los mails?

 ¿Posee alojamiento externo de los mails?

 ¿Posee DHCP o IP estática?

 Solicitar passwords de posibles volúmenes/discos cifrados:

o Administrador de tecnología/IT de los dispositivos, si existiese.

o Dueño/Usuario habitual del dispositivo

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 11

2.2. Preservación
Etapa en la que se activa la preservación de los dispositivos, y en consecuencia los datos
contenidos en ellos, potencialmente relevantes identificados en la fase anterior. Se los
debe aislar inmediatamente, protegiéndolos de forma que sean luego legalmente
defendibles, razonables, amplios, pero a medida, auditables y repetibles.

Manejo de la evidencia:

Cadena de Custodia

Es necesario y mandatorio realizar el seguimiento de la evidencia () mediante la Cadena

de Custodia (cada uno de los dispositivos identificados y posiblemente relevantes para la
pericia debería tener su propia cadena de custodia), documento en el que se reflejen los
datos identificatorios de la evidencia, como así también las personas o instituciones que la
posean en cada etapa de la pericia. Además, se deberán utilizar materiales de resguardo
para los dispositivos o medios de almacenamiento.

También es fundamental una adecuada identificación de los mismos.

Ejemplo de cadena de custodia:

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 12

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 13

2.3. Recolección
Etapa en la que se realiza la recolección de la información potencialmente relevante. La
misma debe ser recogida teniendo en cuenta los preceptos de la fase de preservación.

Previo a comenzar con las tareas de recolección, el perito deberá realizar las siguientes
tareas:

Validación de las herramientas a utilizar:

• Validar que las herramientas utilizadas, tanto Hardware como Software, realizan
efectivamente lo que el fabricante dice que hacen.

• Obtener y almacenar el hash de los ejecutables de las herramientas.

• Verificar que se posea una licencia válida en caso de que la herramienta no sea de
código abierto.

Preparación de la estación de trabajo forense:

Se deben tener en cuenta las siguientes configuraciones al momento de la

preparación de la estación de trabajo:

• Deshabilitar las actualizaciones automáticas de Windows

• Ajustar las configuraciones de energía

• Verificar la zona horaria

Preparación de los dispositivos de almacenamiento:

Cada dispositivo de almacenamiento que vaya a alojar una imagen forense de un

dispositivo debe ser “Wipeado” para asegurar la integridad de la información y evitar la
contaminación cruzada. Una de las herramientas que pueden ser utilizadas para realizar
la limpieza del disco es el BCWipe, por ejemplo.

Realización de la recolección:

Al momento de la etapa de la recolección, en el caso de que el perito se encuentre con

una laptop/desktop que esté encendida, y sea un elemento potencialmente relevante para
la investigación, deberá decidir entre realizar una recolección en vivo (o live collection)
con el dispositivo encendido o una recolección del dispositivo apagado (o dead collection).

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 14

El perito deberá decidir en el momento, cuál de las dos modalidades elegir, teniendo en
cuenta la naturaleza de la investigación y el tipo de información que resulte más relevante
para ésta. Cada una de éstas modalidades tiene sus ventajas y desventajas, a saber:

• Dead Collection

Obtención de evidencia de un dispositivo que se encuentra apagado.

Ventajas:

- Permite efectuar una imagen física del medio (más completa, incluye toda la información
de los medios de almacenamiento que posea)

Desventajas:

- No es posible efectuar el análisis de un dispositivo que se encuentra encriptado, y para

el cual no se conoce la password;

- No se pueden recolectar datos volátiles (ej: RAM);

- Es necesario apagar la máquina, lo cual no siempre es posible (ej: en el caso de un

servidor crítico).

• Live Collection

Obtención de evidencia de un dispositivo que se encuentra encendido.

Ventajas:

- Permite obtener datos volátiles (memoria RAM);

- Permite efectuar la adquisición de información de equipos que no pueden ser apagados

(ej: servidores críticos).

Desventajas:

- Más lenta que una Dead Collection;

- Es necesario encontrarse en el sitio para efectuar la recolección.

En el caso de optar por una Dead Collection, se deberá documentar lo siguiente:

• ¿Qué se encontraba ejecutándose en la pantalla?

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 15

• ¿Había archivos abiertos?

• Determinar el sistema operativo si es posible

• Determinar el método de apagado (es un servidor?, apagado normal?

desenchufar?)

• ¿Quién apagó que sistema?

• Si es posible fotografiar la pantalla con la que se encontró el perito al llegar

Asimismo, para la conservación de la información alojada en los dispositivos y evitar

posibles modificaciones, es importante bloquear la escritura de los mismos mediante
herramientas de software o hardware.

Verificación de la imagen:

Al momento de la generación de la imagen forense, se deberá generar un hash (ej: md5)

para la misma, de modo de poder verificarla y asegurar su integridad a futuro.

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 16

2.4. Procesamiento
Acciones necesarias a realizar sobre la información recolectada en la etapa anterior para
permitir la visualización de los metadatos, el filtrado, indexación, la normalización del
formato y la reducción de la cantidad de archivos para la posterior revisión de los mismos.

Principales objetivos del procesamiento:

• Reducción de información relevante a cantidades razonables.

• La categorización por tipos de archivo, permite un método de descarte/selección

efectivo y rápido.

• La indexación permite la búsqueda de cadenas de texto y expresiones regulares

determinadas en tiempos muy reducidos.

• Normalización de la información proveniente de distintas fuentes.

• Imágenes  OCR  Identificación de texto

• Skin detection, para la detección de imágenes que podrían contener piel humana
(herramienta utilizada principalmente para casos de pornografía infantil)

• Eliminación de archivos duplicados

• Recuperación de información borrada de los dispositivos

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 17

2.5. Revisión/Análisis
Etapas desarrolladas para obtener una adecuada comprensión del contenido de la
información recolectada, a través de la organización de los mismos en sub-conjuntos
lógicos de una manera eficiente. Identificar y desarrollar los hechos, aprovechando la
tecnología y los diversos métodos, facilitado la colaboración y la comunicación.

Principales objetivos de la revisión/análisis:

• La revisión de documentos es un componente crítico dentro de un litigio ya que es

fundamental para la identificación de documentos sensibles para el caso.

• Los investigadores pueden valerse de dichos documentos para solicitar nuevas

fuentes de información.

• El equipo legal puede obtener una mayor comprensión de los hechos acaecidos, y
comenzar a desarrollar estrategias legales.

• Reducción del volumen de información relevante.

• Utilización de nuevas tecnologías para agilizar la revisión/análisis:

• Búsqueda basada en conceptos.

• Reconocimiento de patrones lingüísticos.

• Búsqueda basada en entrenamiento de documentos relevantes e irrelevantes.

• Utilización de palabras claves para buscar archivos de interés.

Herramientas de análisis forense:

• Análisis de copia recolectada: Autopsy, Encase, FTK, Nuix, Caine, Deft, Huemul

• Adquisición y análisis de la memoria RAM: FTK Imager, RedLine, DumpIt,

Memorize

• Obtención de hash: FTK Imager, Hashcalc

• Análisis Hexadecimal: Winhex, FTK Imager, Zeroview

• Data Carving: Foremost, Scalpel, IEF (Internet Evidence Finder)

• Recuperación de archivos borrados: NTFS Recovery, Recuva, RecoverRS

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 18

• Análisis de tráfico de red: Wireshark, NetworkMiner, Snort

• Cifrado: Truecrypt, Bitlocker, Zeroview

• Telefonía celular: iPhoneBrowser, iPhoneAnalizer, Blackberry Desktop Manager,

Phoneminer, android-locdumper, androguard, viaforensic, Cellebrite, XRY,
Mobilyze, Oxygen.

• Análisis de registros del sistema: Registry manager

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 19

2.6. Producción
Etapa destinada a preparar y producir de manera eficiente y en un formato útil los
resultados de la investigación, a fin de reducir tiempos, costos y errores, cumpliendo
de esa manera en tiempo y forma con los plazos comprometidos.

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 20

2.7. Presentación
Etapa en la que se muestran los resultados de la investigación, utilizando
presentaciones con muestras relevantes y contundentes extraídas de la información
recolectada inicialmente en las primeras etapas, con el fin de eventualmente obtener
más información y/o validar los hechos.

Objetivos y características principales:

• Desafío de presentar los resultados de la investigación de manera comprensible

para públicos no técnicos.

• Ofrecer un resumen completo y comprensible de la totalidad de la investigación.

• Lograr una reducción considerable pero justificada del volumen inicial de

información.

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 21

¿Qué pasos seguiría si, como perito en una causa relacionada con pornografía infantil, se
encuentra en una escena con discos externos y una computadora encendida?

Compartan sus respuestas en el Foro.

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 22

Bibliografía
 ISO/IEC 27.037/2012

 Modelo EDRM

 Resolución 756/16 de la Procuración General de la Nación

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
 p. 23

Lo que vimos:
En la unidad desarrollada hemos conocido el concepto de forensia digital y la metodología
recomendada para llevarla a cabo.

Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning