Documentos de Académico
Documentos de Profesional
Documentos de Cultura
“Informática Forense”
CURSO:
Criminalística
CICLO:
IV – B
DOCENTE:
Abog.
INTEGRANTES:
Huaraz – Perú
1 INFORMÁTICA FORENSE
INTRODUCCIÓN
de un caso a otro.
estudio hacia una reflexión profunda sobre los hechos y las evidencias que se identifican
en el lugar donde se llevaron a cabo las acciones catalogadas como criminales. En este
para descubrir en los medios informáticos, la evidencia digital que sustente y verifique
las afirmaciones que sobre los hechos delictivos se han materializado en el caso bajo
estudio.
justicia moderna, para enfrentar los desafíos y técnicas de los intrusos informáticos, así
proceso.
La informática forense está adquiriendo una gran importancia dentro del área de la
información electrónica, esto debido al aumento del valor de la información y/o al uso
negocios tradicionales.
Es por esto que cuando se realiza un crimen muchas veces la información queda
almacenada en forma digital, sin embargo, existe un gran problema debido a que los
2 INFORMÁTICA FORENSE
computadores guardan la información de forma tal que no puede ser recolectada o usada
como prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los
tradicionales, es de aquí que surge el estudio de la computación forense como una ciencia
con el cual se puede recolectar, analizar y validar todo tipo de pruebas digitales.
3 INFORMÁTICA FORENSE
ÍNDICE
INTRODUCCIÓN....................................................................................................................... 2
1. ALGUNOS ANTECEDENTES HISTÓRICOS ............................................................... 5
2. DEFENICIÓN ..................................................................................................................... 5
3. DEFINICIÓN DE INFORMÁTICA FORENSE.............................................................. 6
4. PRINCIPIOS FORENSES ................................................................................................. 7
5. IMPORTANCIA ................................................................................................................. 9
6. OBJETIVOS ........................................................................................................................ 9
7. USO DE LA INFORMÁTICA FORENSE ..................................................................... 10
8. CIENCIA FORENSE........................................................................................................ 11
9. EVIDENCIA DIGITAL .................................................................................................... 14
10. GESTIÓN DE LA EVIDENCIA DIGITAL ............................................................... 19
11. GUÍAS MEJORES PRÁCTICAS................................................................................ 19
12. EVALUACIÓN DE LA ESCENA DEL CRIMEN .................................................... 21
13. DETERMINACIÓN DEL ESCENARIO .................................................................... 22
14. DOCUMENTACIÓN DE LA ESCENA DEL CRIMEN ........................................... 25
15. PASOS PARA LA RECOLECCIÓN DE EVIDENCIA ............................................ 31
16. CADENA DE CUSTODIA ........................................................................................... 33
17. FACTORES QUE INTERVIENEN EN UNA ESCENA DEL CRIMEN ................ 33
18. ROLES EN LA INVESTIGACIÓN ............................................................................ 35
CONCLUSINES ........................................................................................................................ 43
BIBLIOGRAFÍA ....................................................................................................................... 45
ANEXOS .................................................................................................................................... 46
4 INFORMÁTICA FORENSE
1. ALGUNOS ANTECEDENTES HISTÓRICOS
caso, pero la mayoría de los expertos coincide en que la informática forense comenzó
a desarrollarse hace más de 30 años en los Estados Unidos, cuando la policía y los
consumidores.
A comienzo de los años 90, el FBI (Federal Bureau of Investigation observó que las
todo el mundo.
2. DEFENICIÓN
que tiene relación con el procesamiento de datos, utilizando las computadoras y/o los
5 INFORMÁTICA FORENSE
Forense: Es la aplicación de prácticas científicas dentro del proceso legal,
Investigación) Se dice de todo aquello que está relacionado con juzgados y tribunales,
Disciplina auxiliar de la justicia moderna para enfrentar los desafíos y técnicas de los
tecnológica que permiten identificar, preservar, analizar y presentar datos que sean
Por tal razón la Informática Forense es una disciplina auxiliar de la justicia, ya que
por medio de ella se puede determinar mediante técnicas científicas y analíticas todo
6 INFORMÁTICA FORENSE
4. PRINCIPIOS FORENSES
El documento titulado como Informática Forense, nos hace mención sobre algunos
paciente.
proceso, por lo tanto, cada uno de los pasos realizados, los instrumentos
acceso a ella, cómo se ha efectuado su custodia, entre otras son las preguntas
que deben estar claramente resueltas para poder dar cuenta de la adecuada
7 INFORMÁTICA FORENSE
En el documento titulado la Informática Forense: el rastro digital del crimen,
también nos hace referencia de algunos principios forenses los cuales fueron
deben alterar dicha prueba: en caso de que se tenga que actuar de tal forma
documentadas.
Cuando sea necesario que una persona tenga acceso a una prueba digital
original, dicha persona debe estar formada para ese propósito: la mejor
deben ser documentadas de tal forma que sea comprensible, de manera que
8 INFORMÁTICA FORENSE
Cada persona es responsable de todas las acciones tomadas con respecto a la
personal y no corporativa.
Con estos principios nos podemos dar cuenta que, lo primordial es evitar la
de la evidencia. La persona que realiza este tipo análisis debe estar totalmente
5. IMPORTANCIA
poder afrontar nuevas tareas probatorias, esta necesidad crea el nacimiento de los
6. OBJETIVOS
existentes dentro de un equipo informático, de tal manera que toda esa información
9 INFORMÁTICA FORENSE
Informativa Forense: Generalidades, Aspectos Técnicos y Herramientas13 nos hacen
Estos objetivos son logrados de varias formas entre ellas la principal, la recolección
informático, así como presentar la evidencia ante un tribunal, el cual también tiene
búsqueda de información, una vez que se tenga orden judicial. Como nos
utilidad en cada uno de ellos, por ser una ciencia que utiliza la aplicación de
10 INFORMÁTICA FORENSE
técnicas científicas en la infraestructura tecnológica para el proceso de
8. CIENCIA FORENSE
investigación del delito criminal, en otras palabras: cualquier principio o técnica que
durante una investigación criminal forma parte de la ciencia forense. Los principios
científicos que hay detrás del procesamiento de una evidencia son reconocidos y
• Generar una huella digital con un algoritmo hash MD5 o SHA1 de un texto para
la cadena de evidencias.
EVIDENCIA
11 INFORMÁTICA FORENSE
SOSPECHOSO VICTIMA
Este principio fundamental viene a decir que cualquiera o cualquier objeto que entra
lleva consigo), en otras palabras: “cada contacto deja un rastro”. En el mundo real
significa que si piso la escena del crimen con toda seguridad dejaré algo mío ahí,
pelo, sudor, huellas, etc. Pero también me llevaré algo conmigo cuando abandone la
escena del crimen, ya sea barro, olor, una fibra, etc. Con algunas de estas evidencias,
los forenses podrán demostrar que hay una posibilidad muy alta de que el criminal
ejemplo, un olor, la temperatura, o unas letras sobre la arena o nieve (un objeto
blando o cambiante).
etc.
• Evidencia condicional: causadas por una acción o un evento en la escena del crimen,
por ejemplo, la localización de una evidencia en relación con el cuerpo, una ventana
abierta o cerrada, una radio encendida o apagada, dirección del humo, etc.
12 INFORMÁTICA FORENSE
• Evidencia transferida: generalmente producidas por contacto entre personas, entre
estas últimas suelen mezclarse, por ejemplo, una huella de zapato sobre un charco de
sangre.
sospechoso.
• La víctima
• la evidencia física
• el sospechoso
Para la correcta resolución del caso, todos estos componentes deben estar
relacionados. Esto se conoce como el concepto de relación, que es lo que nos faltaba
13 INFORMÁTICA FORENSE
1. Transferencia directa: cuando es transferida desde su origen a otra persona u objeto
de forma directa.
Importante resaltar que cualquier cosa y todo puede ser una evidencia. Brevemente,
científicos) que pueden ser usados para analizar una evidencia digital y usar dicha
evidencia para reconstruir qué ocurrió durante la realización del crimen con el último
establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para
9. EVIDENCIA DIGITAL
Casey define la evidencia de digital como “cualquier dato que puede establecer que
14 INFORMÁTICA FORENSE
crimen y su víctima o un crimen y su autor”. “Cualquier información, que sujeta a
autorizadas de archivos, sin dejar rastro de que se realizó una copia. Esta situación
computador, fórmulas y software propietario. Debe tenerse en cuenta que los datos
digitales adquiridos de copias no se deben alterar de los originales del disco, porque
esto invalidaría la evidencia; por esto los investigadores deben revisar con frecuencia
que sus copias sean exactas a las del disco del sospechoso, para esto se utilizan varias
y alterar la evidencia digital, tratando de borrar cualquier rastro que pueda dar
muestras del daño. Sin embargo, este problema es mitigado con algunas
sacar una copia para ser examinada como si fuera la original. Esto se hace
alterada.
15 INFORMÁTICA FORENSE
• La evidencia de Digital es muy difícil de eliminar. Aun cuando un registro
posible recuperarlo.
Registros generados por computador: Estos registros son aquellos, que como dice su
registros generados por computador son inalterables por una persona. Estos registros
son llamados registros de eventos de seguridad (logs) y sirven como prueba tras
computadores: Estos registros son aquellos generados por una persona, y que son
Para lo anterior se debe demostrar sucesos que muestren que las afirmaciones
humanas contenidas en la evidencia son reales. Registros híbridos que incluyen tanto
registros generados por computador como almacenados en los mismos: Los registros
híbridos son aquellos que combinan afirmaciones humanas y logs. Para que estos
registros sirvan como prueba deben cumplir los dos requisitos anteriores. Criterios
16 INFORMÁTICA FORENSE
evidencia: la autenticidad, la confiabilidad, la completitud o suficiencia, y el apego y
Autenticidad: Una evidencia digital será autentica siempre y cuando se cumplan dos
contrario a los no digitales, en las que aplica que la autenticidad de las pruebas
privados presentados por las partes para ser incorporados a un expediente judicial
dice que los registros de eventos de seguridad son confiables si provienen de fuentes
que son “creíbles y verificable”. Para probar esto, se debe contar con una arquitectura
registro de las acciones de los usuarios del sistema y que a posea con un registro
pruebas: Para que una prueba esté considerada dentro del criterio de la suficiencia
debe estar completa. Para asegurar esto es necesario “contar con mecanismos que
Apogeo y respeto por las leyes y reglas del poder judicial: Este criterio se refiere a
disposiciones legales del ordenamiento del país. Es decir, debe respetar y cumplir las
Es importante tener presente los siguientes requisitos que se deben cumplir en cuanto
• Cuando sea necesario que una persona tenga acceso a evidencia digital
18 INFORMÁTICA FORENSE
• Las copias de los datos obtenidas, deben estar correctamente marcadas,
• Siempre que la evidencia digital este en poder de algún individuo, éste será
responsable de todas las acciones tomadas con respecto a ella, mientras esté
en su poder.
principios anteriores.
Existen gran cantidad de guías y buenas prácticas que nos muestran cómo llevar
acabo la ges10ión de la evidencia digital Las guías que se utilizan tienen como
objetivo identificar evidencia digital con el fin de que pueda ser usada dentro de una
algo acerca de la información. Presentan una serie de etapas para recuperar la mayor
continuación.
prácticas en computación forense. RFC 3227 El “RFC 3227: Guía Para Recolectar y
19 INFORMÁTICA FORENSE
ingenieros del Network Working Group. Es un documento que provee una guía de
alto nivel para recolectar y archivar datos relacionados con intrusiones. Muestra las
mejores prácticas para determinar la volatilidad de los datos, decidir que recolectar,
que se necesitan para todo el proceso forense de evidencia digital, desde examinar la
Su estructura es:
y espacio de trabajo).
20 INFORMÁTICA FORENSE
c) Principios generales que se aplican a la recuperación de la evidencia digital
f) Priorización de la evidencia.
señale el rol que tiene un sistema informático dentro del Inter criminis o camino del
manera diseñar los procedimientos adecuados para tratar cada tipo de evidencia, ya
21 INFORMÁTICA FORENSE
es el paso más importante ya que promueve un plan organizado de acción y evita la
salvo que se den circunstancias que impliquen peligro físico para el personal o daño
Si la escena física está determinada por los componentes: piso, pared y techo, en la
escena virtual tiene que ver con la propiedad del medio físico o canal por el cual se
internet)
A fin de establecer que los investigadores forenses tengan una idea de dónde buscar
la evidencia digital, éstos deben de identificar las fuentes más comunes de evidencia,
22 INFORMÁTICA FORENSE
cantidad de información dentro de sus discos duros, lo que los convierte en
Sistemas convergentes de computación; son los que están formados por los
digital.
ordenadores portátiles son capaces de realizar la mayor parte de las tareas que
23 INFORMÁTICA FORENSE
de su peso y tamaño reducidos, sumado también a que tienen la capacidad de
operar por un período determinado sin estar conectadas a una red eléctrica.
la red.
una red informática, el tipo más común de hardware de red en la actualidad son
24 INFORMÁTICA FORENSE
Palm: asistente personal electrónico que almacena datos y posiblemente tiene
la documentación debe tener un orden establecido con el fin de que los distintos
escala y/o referencial sin usar las medidas reales. En el croquis se deben
registro.
25 INFORMÁTICA FORENSE
Indicar la dirección del Norte.
localizados.
Fotografía: la fotografía registra y fija una visión total y detallada del lugar del
26 INFORMÁTICA FORENSE
video: el video al igual que la fotografía registra el lugar del hecho o escena del
Búsqueda:
Concluida la etapa de la documentación que nos impedían tocar la escena del crimen,
en esta fase podemos alterar la escena en busca de algún rastro, mover todo tipo de
objetos en busca de posibles indicios, huellas digitales, así como evidencia digital.
investigador.
27 INFORMÁTICA FORENSE
Método cuadriculado o de rejilla: es una variante del método de las franjas,
pero permite que cada sector sea revisado dos veces dando mayor certeza
en forma simultánea.
se le trazan líneas como los radios de una rueda, cada investigador recorre la
Fijación:
Ubicados los indicios en la escena del crimen, se les asigna un número respectivo
que será el que los distinga entre sí y que sirva para identificarlos durante toda la
Manipulación:
destrucción, siendo ésta la causa más frecuente que impide su posterior examen en el
levantamiento.
28 INFORMÁTICA FORENSE
Levantarla por separado, evitando que se mezclen.
naturaleza.
Es recomendable que el embalador sea la misma persona que buscó y fijó, a cada
indicio debe anotarle en un lugar que no altere la forma ni contenido del mismo, una
Recolección y Embalaje:
Antes de empezar esta etapa hay que disponer de todos los elementos necesarios, no
se debe utilizar material de la misma escena del delito. Las guías del FBI36
recomiendan contar con dispositivos confiables, pero pueden ser sustituidos por otros
lo siguiente:
el esquema tecnológico.
video.
digital, es localizar todo tipo de evidencia y asegurar que todos los registros
considerar como:
29 INFORMÁTICA FORENSE
o Establecer buenas prácticas y estándares para recolección de evidencia
digital.
de la evidencia digital.
recolectada.
Archivos temporales.
evidencia.
involucrados, los cuales deberán ser parte del reporte del levantamiento de
30 INFORMÁTICA FORENSE
15. PASOS PARA LA RECOLECCIÓN DE EVIDENCIA
Existen también algunas guías básicas, las cuales mencionan aspectos muy
importantes que pueden ayudar a cualquier investigador forense en el trabajo que esté
examen forense de la Evidencia Digital: Una Guía para Aplicación de la ley), nos
indica que existen tres principios generales para el manejo de la evidencia digital:
Las acciones tomadas para recoger la evidencia digital no deben afectar nunca
la integridad de la misma.
31 INFORMÁTICA FORENSE
cooperación y haga posible la interacción entre jurisdicciones en los casos en que se
Hardware
recolección de evidencia, debido a que puede ser usado como instrumento, como
objetivo del crimen, o como producto del crimen. Lo primero que se debe preguntar
necesiten.
Uno de los pasos a tener en cuenta en toda investigación, sea la que sea, consiste en
podamos procesar en un análisis, por supuesto que el único fin del análisis de la/s
32 INFORMÁTICA FORENSE
16. CADENA DE CUSTODIA
alguna. Por lo tanto, toda persona que participe en el proceso de cadena de custodia
que fueron reunidos en el lugar del hecho, igualmente que sean devueltos al
sobre la misma. Toda transferencia de custodia debe quedar consignada en las hojas
del registro de la cadena de custodia, indicando fecha, hora, nombre y firma de quien
Cuando en una escena del crimen se tiene que trabajar en condiciones adversas, como
oportunidad de revisar una escena del crimen en su estado original, siempre habrá
algún factor que haga que la escena del crimen presente algunas anomalías o
33 INFORMÁTICA FORENSE
expondrán algunas de las posibles situaciones en donde se ve afectada la evidencia
gran presión de agua al tratar de apagar este. Esto provoca que los técnicos
de que se quiera sacar una muestra de sangre de una gota precipitada sobre
dichos soportes.
duro.
embarazosa.
34 INFORMÁTICA FORENSE
alguna persona de forma inocente, causando con ello la destrucción y
alteración de evidencia.
sospechosas, las mismas que fueron creadas por un intruso, a fin de prevenir
almacenamiento.
evidencia, se debe comprender como dichas variables actúan sobre la escena misma
del delito, por lo tanto se debe encaminar la investigación desde su etapa más
temprana tomando en cuenta estos cambios, a fin de adecuar el mejor método para
adquirir, preservar y luego analizar las pistas obtenidas, y así reducir de manera
probatorios. Es, por tanto, dejar en claro cuáles son los roles y la participación que
tiene ciertas personas dentro de una escena del crimen de carácter informático o
35 INFORMÁTICA FORENSE
Técnicos en escenas del crimen: son los primeros en llegar a la escena del
crimen, son los encargados de recolectar las evidencias que ahí se encuentran,
convicción.
Escenas del Crimen, para este punto las personas requieren tener un alto grado
-Peritos Informáticos
Por otro lado, se hace indispensable para la valoración de las pruebas o elementos
especial al fiscal y al juez al momento de ilustrar sobre las materias, técnicas o artes
Peritos son las personas que por disposición legal aportan con sus conocimientos los
datos necesarios para que el juez o el fiscal adquieran un grado de conocimiento para
conocimiento del perito suple al del juez y el fiscal en cierta área del conocimiento
36 INFORMÁTICA FORENSE
del cual estos no son expertos, por tanto el perito entrega los elementos de convicción
resolución del caso propuesto, en fin aportan elementos que tanto el fiscal como el
hipótesis sobre el hecho y contar con la evidencia requerida que sustente dichas
concluyentes, la valoración jurídica del informe pericial queda a criterio del fiscal o
porque una persona no puede saberlo todo, sobre todo en un mundo tan globalizado
donde las ciencias se han multiplicado y diversificado, así como los actos delictivos.
Objetividad: el perito debe ser objetivo, debe observar los códigos de ética
profesional.
37 INFORMÁTICA FORENSE
Autenticidad y conservación: durante la investigación, se debe conservar la
procedimiento pericial.
Estos principios deben cumplirse en todos los procedimientos y por todos los peritos
involucrados.
- Informe Forense :
informe con los resultados obtenidos en cada una de las etapas de la investigación.
El informe que presentemos debe ser totalmente imparcial sin mostrar una sentencia
de conducta del acusado, esto puede llevar a que su trabajo sea descalificado.
38 INFORMÁTICA FORENSE
Expuesta esta situación debemos tener muy en cuenta cómo debemos presentar un
informe sobre la investigación de tal manera que sea, objetiva, precisa y que contenga
investigación.
adquisición de las pruebas es una información que debe formar parte del
informe pericial.
39 INFORMÁTICA FORENSE
-Principios teóricos generales, para la propuesta del protocolo de acción de la
de ejecución, siendo éste una serie de lineamientos que paso a paso nos explica el
acción respetando las diferentes fases; también facilita la discusión previa para tomar
una buena comunicación para desarrollar el trabajo más eficiente. Las características
que garanticen la eficacia del protocolo de acción son; una directriz completa seria y
legible para desarrollar de la mejor manera las fases que este conlleve.
La primera persona en llegar a la escena del crimen, tiene como objetivo asegurarla,
de personas y dejando un espacio prudente para que el personal de escena del crimen
40 INFORMÁTICA FORENSE
personal técnico deberá ponerse en contacto con la primera autoridad que se presentó
de escena del crimen tiene como objetivo, observar todo el lugar de los hechos a fin
no tomar decisiones rápidas, hay que ser muy metódico en lo que se observa.
de la mejor manera, ya que sirve como un registro para una evaluación posterior, de
fotografías, video y el croquis. Cada aspecto con sus propias técnicas para un mejor
resultado. Cada persona documentará la escena del crimen según el rol que se le
haya asignado.
5. Búsqueda
41 INFORMÁTICA FORENSE
que se pudiesen localizar en la escena del crimen, estableciendo un orden lógico en
6. Recolección
preservar los mismos evitando que se contaminen o se pierdan. Cada indicio debe
importante; el mismo debe ser marcado por la persona que lo recolecta y embalado
con las técnicas necesarias para evitar su destrucción y comenzar con la cadena de
custodia.
42 INFORMÁTICA FORENSE
CONCLUSINES
en muchos de estos casos puede ser la única evidencia disponible es por ello
seguridades informáticas.
La informática forense está adquiriendo una gran importancia dentro del área de
tradicionales.
43 INFORMÁTICA FORENSE
La ciencia forense proporciona técnicas que facilitan la investigación del delito
criminal, en otras palabras: cualquier principio o técnica que puede ser aplicada
la evidencia digital como cualquier dato que puede establecer que un crimen se ha
borrado del disco duro del computador, y éste ha sido formateado, es posible
recuperarlo.
44 INFORMÁTICA FORENSE
BIBLIOGRAFÍA
[BueAdm06].
CANO, J. (2005). Estado del Arte del Peritaje Informático en Latinoamérica. Colombia:
ALFA-REDI.
México: Alfaomega.
Evidence: http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
López,
45 INFORMÁTICA FORENSE
ANEXOS
46 INFORMÁTICA FORENSE