Está en la página 1de 144

Criminalística Aplicada en

Delitos Cometidos a
Través de las TIC’s Acorde a la
Legislación Mexicana
Profesor: M.T.I. Oscar Manuel Lira Arteaga
2
3/65
De acuerdo al artículo 21 la Constitución Política
de los Estados Unidos Mexicanos el cual
menciona que:

“La investigación de los delitos corresponde al


Ministerio Público y a las policías, las
cuales actuarán bajo la conducción y mando de
aquél en el ejercicio de esta función….”.

4/65
Aclarado lo anterior, de acuerdo a al Artículo 22 de la Ley
Orgánica de Procuraduría General del la República el cual
menciona: “Son auxiliares del Ministerio Público de la
Federación:”

I. Directos:

a) Los oficiales ministeriales


b) La policía federal ministerial;
c) La policía federal, en los términos de lo dispouesto por
el artículo 21….
d) Los Servicios Periciales.

5/65
Los Peritos

De acuerdo al Artículo 25 de la Ley Orgánica de la Procuraduría


General de la República:

“Los peritos actuarán bajo la autoridad y mando inmediato del


Ministerio Público de la Federación, sin perjuicio de la autonomía
técnica e independencia de criterio que les corresponde en el estudio
de los asuntos que se sometan a su Dictamen.”

Con base en el Artículo 220 del Código Federal de Procedimientos


Penales:

“Siempre que para el examen de personas, hechos u objetos, se


requieran conocimientos especiales se procederá con intervención
de Peritos.”

6/65
Código Nacional de Procedimientos Penales

1. Investigación inicial. (de la denuncia hasta la presentación del


imputado al Juez)
1.-Investigación 2. Investigación complementaria. (desde la formulación de la
imputación hasta el cierre de la investigación)

Etapas del
procedimiento 2.- Intermedia o preparación del juicio (desde la formulación de la acusación,
Penal hasta el auto de apertura de juicio)

3.- La de Juicio. (desde la recepción de auto de apertura de juicio, hasta la


emisión de la sentencia por parte del tribunal)

7/65
Código Nacional de
Procedimientos Penales

Artículo 127. Competencia del Ministerio Público

Compete al Ministerio Público conducir la investigación, coordinar a las Policías y a los servicios
periciales durante la investigación, resolver sobre el ejercicio de la acción penal en la forma
establecida por la ley y, en su caso, ordenar las diligencias pertinentes y útiles para demostrar, o
no, la existencia del delito y la responsabilidad de quien lo cometió o participó en su comisión.

Artículo 132. Obligaciones del Policía

El Policía actuará bajo la conducción y mando del Ministerio Público en la investigación de los
delitos en estricto apego a los principios de legalidad, objetividad, eficiencia, profesionalismo,
honradez y respeto a los derechos humanos reconocidos en la Constitución.

Para los efectos del presente Código, el Policía tendrá las siguientes obligaciones:

I. Recibir las denuncias sobre hechos que puedan ser constitutivos de delito e informar al
Ministerio Público por cualquier medio y de forma inmediata de las diligencias practicadas;

II. Recibir denuncias anónimas e inmediatamente hacerlo del conocimiento del Ministerio Público
a efecto de que éste coordine la investigación;

III. Realizar detenciones en los casos que autoriza la Constitución, haciendo saber a la persona
detenida
8/65 los derechos que ésta le otorga;
Código Nacional de
Procedimientos Penales

IV. Impedir que se consumen los delitos o que los hechos produzcan consecuencias ulteriores.
Especialmente estará obligada a realizar todos los actos necesarios para evitar una agresión real,
actual o inminente y sin derecho en protección de bienes jurídicos de los gobernados a quienes tiene
la obligación de proteger;
V. Actuar bajo el mando del Ministerio Público en el aseguramiento de bienes relacionados con la
investigación de los delitos;
VI. Informar sin dilación por cualquier medio al Ministerio Público sobre la detención de cualquier
persona, e inscribir inmediatamente las detenciones en el registro que al efecto establezcan las
disposiciones aplicables;
VII. Practicar las inspecciones y otros actos de investigación, así como reportar sus resultados al
Ministerio Público. En aquellos que se requiera autorización judicial, deberá solicitarla a través del
Ministerio Público;
VIII. Preservar el lugar de los hechos o del hallazgo y en general, realizar todos los actos necesarios
para garantizar la integridad de los indicios. En su caso deberá dar aviso a la Policía con
capacidades para procesar la escena del hecho y al Ministerio Público conforme a las disposiciones
previstas en este Código y en la legislación aplicable;
IX. Recolectar y resguardar objetos relacionados con la investigación de los delitos, en los términos
de la fracción anterior;
X. Entrevistar a las personas que pudieran aportar algún dato o elemento para la investigación;
XI. Requerir a las autoridades competentes y solicitar a las personas físicas o morales, informes y
documentos para fines de la investigación. En caso de negativa, informará al Ministerio Público para
que determine lo conducente;
9/65
Código Nacional de
Procedimientos Penales

XII. Proporcionar atención a víctimas u ofendidos o testigos del delito. Para tal efecto,
deberá:
a) Prestar protección y auxilio inmediato, de conformidad con las disposiciones
aplicables;
b) Informar a la víctima u ofendido sobre los derechos que en su favor se establecen;
c) Procurar que reciban atención médica y psicológica cuando sea necesaria, y
d) Adoptar las medidas que se consideren necesarias, en el ámbito de su competencia,
tendientes a evitar que se ponga en peligro su integridad física y psicológica;

XIII. Dar cumplimiento a los mandamientos ministeriales y jurisdiccionales que les


sean instruidos;

XIV. Emitir el informe policial y demás documentos, de conformidad con las


disposiciones aplicables.

Para tal efecto se podrá apoyar en los conocimientos que resulten necesarios, sin que
ello tenga el carácter de informes periciales, y

XV. Las demás que le confieran este Código y otras disposiciones aplicables.
10/65
Código Nacional de
Procedimientos Penales

Artículo 197. Conservación de los registros de investigación y medios de prueba


En los procesos suspendidos de conformidad con las disposiciones establecidas en el
presente Capítulo, el Ministerio Público tomará las medidas necesarias para evitar la
pérdida, destrucción o ineficacia de los registros y medios de prueba conocidos y los
que soliciten los sujetos que intervienen en el proceso.

Artículo 218. Reserva de los actos de investigación


En la investigación inicial, los registros de ésta, así como todos los documentos,
independientemente de su contenido o naturaleza, los objetos, los registros de voz e
imágenes o cosas que le estén relacionados, son estrictamente reservados. El
imputado y su Defensor podrán tener acceso a ellos cuando se encuentre detenido, o
sea citado para comparecer como imputado, y se pretenda recibir su entrevista. A
partir de este momento ya no podrán mantenerse en reserva los registros para no
afectar el derecho de defensa del imputado.

11/65
Código Nacional de
Procedimientos Penales

Artículo 222. Deber de denunciar


Toda persona a quien le conste que se ha cometido un hecho probablemente constitutivo de
un delito está obligada a denunciarlo ante el Ministerio Público y en caso de urgencia ante
cualquier agente de la Policía.

Quien en ejercicio de funciones públicas tenga conocimiento de la probable existencia de un


hecho que la ley señale como delito, está obligado a denunciarlo inmediatamente al
Ministerio Público, proporcionándole todos los datos que tuviere, poniendo a su disposición
a los imputados, si hubieren sido detenidos en flagrancia. Quien tenga el deber jurídico de
denunciar y no lo haga, será acreedor a las sanciones correspondientes.

Artículo 224. Trámite de la denuncia


Cuando la denuncia sea presentada directamente ante el Ministerio Público, éste iniciará la
investigación conforme a las reglas previstas en este Código.

Cuando la denuncia sea presentada ante la Policía, ésta informará de dicha circunstancia al
Ministerio Público en forma inmediata y por cualquier medio, sin perjuicio de realizar las
diligencias urgentes que se requieran dando cuenta de ello en forma posterior al Ministerio
Público
12/65
Código Nacional de
Procedimientos Penales

Artículo 227. Cadena de custodia


La cadena de custodia es el sistema de control y registro que se aplica al indicio,
evidencia, objeto, instrumento o producto del hecho delictivo, desde su
localización, descubrimiento o aportación, en el lugar de los hechos o del hallazgo,
hasta que la autoridad competente ordene su conclusión.

Con el fin de corroborar los elementos materiales probatorios y la evidencia física, la


cadena de custodia se aplicará teniendo en cuenta los siguientes factores: identidad,
estado original, condiciones de recolección, preservación, empaque y traslado;
lugares y fechas de permanencia y los cambios que en cada custodia se hayan
realizado; igualmente se registrará el nombre y la identificación de todas las
personas que hayan estado en contacto con esos elementos.

Artículo 228. Responsables de cadena de custodia


La aplicación de la cadena de custodia es responsabilidad de quienes en
cumplimiento de las
funciones propias de su encargo o actividad, en los términos de ley, tengan contacto
con los indicios, vestigios, evidencias, objetos, instrumentos o productos del hecho
delictivo.
13/65
Código Nacional de
Procedimientos Penales

Artículo 228. Responsables de cadena de custodia

Cuando durante el procedimiento de cadena de custodia los


indicios, huellas o vestigios del hecho delictivo, así como los
instrumentos, objetos o productos del delito se alteren, no
perderán su valor probatorio, a menos que la autoridad
competente verifique que han sido modificados de tal forma que
hayan perdido su eficacia para acreditar el hecho o circunstancia
de que se trate. Los indicios, huellas o vestigios del hecho
delictivo, así como los instrumentos, objetos o productos del
delito deberán concatenarse con otros medios probatorios para
tal fin. Lo anterior, con independencia de la responsabilidad en
que pudieran incurrir los servidores públicos por la
inobservancia de este procedimiento.
14/65
Código Nacional de
Procedimientos Penales

Artículo 251. Actuaciones en la investigación que no requieren autorización previa


del Juez de control

No requieren autorización del Juez de control los siguientes actos de investigación:

I. La inspección del lugar del hecho o del hallazgo;


II. La inspección de lugar distinto al de los hechos o del hallazgo;
III. La inspección de personas;
IV. La revisión corporal;
V. La inspección de vehículos;
VI. El levantamiento e identificación de cadáver;
VII. La aportación de comunicaciones entre particulares;
VIII.El reconocimiento de personas;
IX. La entrega vigilada y las operaciones encubiertas, en el marco de una
investigación y en los términos que establezcan los protocolos emitidos para tal
efecto por el Procurador;
X. La entrevista a testigos, y
XI. Las demás en las que expresamente no se prevea control judicial.

15/65
Código Nacional de
Procedimientos Penales

Artículo 251. Actuaciones en la investigación que no requieren autorización previa


del Juez de control

Artículo 252. Actos de investigación que requieren autorización previa del Juez de
control

I. La exhumación de cadáveres;

II. Las órdenes de cateo;

III. La intervención de comunicaciones privadas y correspondencia;

IV. La toma de muestras de fluido corporal, vello o cabello, extracciones de sangre u


otros análogos, cuando la persona requerida, excepto la víctima u ofendido, se
niegue a proporcionar la misma;

V. El reconocimiento o examen físico de una persona cuando aquélla se niegue a ser


examinada, y
VI. Las demás que señalen las leyes aplicables.
16/65
Código Nacional de
Procedimientos Penales

Artículo 259. Generalidades

Cualquier hecho puede ser probado por cualquier medio, siempre y


cuando sea lícito.

Las pruebas serán valoradas por el Órgano jurisdiccional de manera libre


y lógica.

Los antecedentes de la investigación recabados con anterioridad al juicio


carecen de valor probatorio para fundar la sentencia definitiva, salvo las
excepciones expresas previstas por este Código y en la legislación
aplicable.

Para efectos del dictado de la sentencia definitiva, sólo serán valoradas


aquellas pruebas que hayan sido desahogadas en la audiencia de juicio,
salvo las excepciones previstas en este Código.

17/65
Código Nacional de
Procedimientos Penales

Artículo 261. Datos de prueba, medios de prueba y pruebas


El dato de prueba es la referencia al contenido de un determinado medio de
convicción aún no desahogado ante el Órgano jurisdiccional, que se advierta idóneo
y pertinente para establecer razonablemente la existencia de un hecho delictivo y la
probable participación del imputado.

Los medios o elementos de prueba son toda fuente de información que permite
reconstruir los hechos, respetando las formalidades procedimentales previstas para
cada uno de ellos.

Se denomina prueba a todo conocimiento cierto o probable sobre un hecho, que


ingresando al proceso como medio de prueba en una audiencia y desahogada bajo
los principios de inmediación y contradicción, sirve al Tribunal de enjuiciamiento
como elemento de juicio para llegar a una conclusión cierta sobre los hechos materia
de la acusación.

Artículo 263. Licitud probatoria


Los datos y las pruebas deberán ser obtenidos, producidos y reproducidos
lícitamente y deberán ser admitidos y desahogados en el proceso en los términos que
establece
18/65 este Código.
Código Nacional de
Procedimientos Penales

Artículo 264. Nulidad de la prueba

Se considera prueba ilícita cualquier dato o prueba obtenidos con violación


de los derechos
fundamentales, lo que será motivo de exclusión o nulidad.

Las partes harán valer la nulidad del medio de prueba en cualquier etapa del
proceso y el juez o Tribunal deberá pronunciarse al respecto.

Artículo 265. Valoración de los datos y prueba

El Órgano jurisdiccional asignará libremente el valor correspondiente a cada


uno de los datos y pruebas, de manera libre y lógica, debiendo justificar
adecuadamente el valor otorgado a las pruebas y explicará y justificará su
valoración con base en la apreciación conjunta, integral y armónica de todos
los elementos probatorios.

19/65
Código Nacional de
Procedimientos Penales

Artículo 272. Peritajes


Durante la investigación, el Ministerio Público o la Policía con conocimiento
de éste, podrá disponer la práctica de los peritajes que sean necesarios para
la investigación del hecho. El dictamen escrito no exime al perito del deber
de concurrir a declarar en la audiencia de juicio.

Artículo 273. Acceso a los indicios


Los peritos que elaboren los dictámenes tendrán en todo momento acceso a
los indicios sobre los que versarán los mismos, o a los que se hará referencia
en el interrogatorio.

Artículo 276. Aportación de comunicaciones entre particulares


Las comunicaciones entre particulares podrán ser aportadas
voluntariamente a la investigación o al proceso penal, cuando hayan sido
obtenidas directamente por alguno de los participantes en la misma.

20/65
Código Nacional de
Procedimientos Penales

Artículo 276. Aportación de comunicaciones entre particulares



Las comunicaciones aportadas por los particulares deberán estar estrechamente
vinculadas con el delito que se investiga, por lo que en ningún caso el juez admitirá
comunicaciones que violen el deber de confidencialidad respecto de los sujetos a que
se refiere este Código, ni la autoridad prestará el apoyo a que se refiere el párrafo
anterior cuando se viole dicho deber.

No se viola el deber de confidencialidad cuando se cuente con el consentimiento


expreso de la persona con quien se guarda dicho deber.

Artículo 289. Descubrimiento de un delito diverso

Si al practicarse un cateo resultare el descubrimiento de un delito distinto del que lo


haya motivado, se formará un inventario de aquello que se recoja relacionado con el
nuevo delito, observándose en este caso lo relativo a la cadena de custodia y se hará
constar esta circunstancia en el registro para dar inicio a una nueva investigación.

21/65
Código Nacional de
Procedimientos Penales

Artículo 291. Intervención de las comunicaciones privadas

Cuando en la investigación el Ministerio Público considere necesaria la


intervención de comunicaciones privadas el Titular de la Procuraduría
General de la República o los servidores públicos facultados en términos de
su ley orgánica, así como los Procuradores de las Entidades federativas,
podrán solicitar al Juez federal de control competente, por cualquier medio,
la autorización para practicar la intervención, expresando el objeto y
necesidad de la misma.

La intervención de comunicaciones privadas, abarca todo un sistema de


comunicación, o programas que sean fruto de la evolución tecnológica, que
permitan el intercambio de datos, informaciones, audio, video, mensajes, así
como archivos electrónicos, que graben, conserven el contenido de las
conversaciones o registren datos que identifiquen la comunicación, las cuales
se pueden presentar en tiempo real o con posterioridad al momento en que
se produce el proceso comunicativo.
22/65
Código Nacional de
Procedimientos Penales

Artículo 291. Intervención de las comunicaciones privadas


La solicitud deberá ser resuelta por la autoridad judicial de manera


inmediata, por cualquier medio que garantice su autenticidad, o en
audiencia privada con la sola comparecencia del Ministerio Público,
en un plazo que no exceda de las seis horas siguientes a que la haya
recibido.

Si la resolución se registra por medios diversos al escrito, los puntos


resolutivos de la autorización deberán transcribirse y entregarse al
Ministerio Público.

Los servidores públicos autorizados para la ejecución de la medida


serán responsables de que se realice en los términos de la resolución
judicial.
23/65
Código Nacional de
Procedimientos Penales

Artículo 292. Requisitos de la solicitud


La solicitud de intervención deberá estar fundada y motivada, precisar la persona o
personas que serán sujetas a la medida; la identificación del lugar o lugares donde
se realizará, si fuere posible; el tipo de comunicación a ser intervenida; su duración;
el proceso que se llevará a cabo y las líneas, números o aparatos que serán
intervenidos, y en su caso, la denominación de la empresa concesionada del servicio
de telecomunicaciones a través del cual se realiza la comunicación objeto de la
intervención.

El plazo de la intervención, incluyendo sus prórrogas, no podrá exceder de seis


meses. Después de dicho plazo, sólo podrán autorizarse nuevas intervenciones
cuando el Ministerio Público acredite nuevos elementos que así lo justifiquen.

Artículo 294. Objeto de la intervención


Podrán ser objeto de intervención las comunicaciones privadas que se realicen de
forma oral, escrita, por signos, señales o mediante el empleo de aparatos
eléctricos, electrónicos, mecánicos, alámbricos o inalámbricos, sistemas o equipos
informáticos, así como por cualquier otro medio o forma que permita la
comunicación entre uno o varios emisores y uno o varios receptores…
24/65
Código Nacional de
Procedimientos Penales

Artículo 301. Colaboración con la autoridad

Los concesionarios, permisionarios y demás titulares de los


medios o sistemas susceptibles de intervención, deberán
colaborar eficientemente con la autoridad competente para el
desahogo de dichos actos de investigación, de conformidad con
las disposiciones aplicables.
Asimismo, deberán contar con la capacidad técnica
indispensable que atienda las exigencias requeridas por la
autoridad judicial para operar una orden de intervención de
comunicaciones privadas.

El incumplimiento a este mandato será sancionado conforme a


las disposiciones penales aplicables.
25/65
Código Nacional de
Procedimientos Penales

Artículo 303. Localización geográfica en tiempo real

Cuando exista denuncia o querella, y bajo su más estricta


responsabilidad, el Procurador, o el servidor público en quien se
delegue la facultad, solicitará a los concesionarios o permisionarios o
comercializadoras del servicio de telecomunicaciones o comunicación
vía satélite, la localización geográfica en tiempo real de los equipos
de comunicación móvil asociados a una línea que se encuentren
relacionados con los hechos que se investigan en términos de las
disposiciones aplicables.

Asimismo se les podrá requerir la conservación inmediata de datos


contenidos en redes, sistemas o equipos de informática, hasta por un
tiempo máximo de noventa días en los casos de delitos relacionados
o cometidos con medios informáticos.
26/65
Código Nacional de
Procedimientos Penales

Artículo 359. Valoración de la prueba

El Tribunal de enjuiciamiento deberá hacer referencia en la motivación que


realice, de todas las pruebas desahogadas, incluso de aquellas que se hayan
desestimado, indicando las razones que se tuvieron para hacerlo. La motivación
permitirá la expresión del razonamiento utilizado para alcanzar las conclusiones
contenidas en la resolución jurisdiccional. Sólo se podrá condenar al acusado si
se llega a la convicción de su culpabilidad más allá de toda duda razonable. En
caso de duda razonable, el Tribunal de enjuiciamiento absolverá al imputado.

Prueba pericial

Artículo 368. Prueba pericial

Podrá ofrecerse la prueba pericial cuando, para el examen de personas, hechos,


objetos o circunstancias relevantes para el proceso, fuere necesario o conveniente
poseer conocimientos especiales en alguna ciencia, arte, técnica u oficio.

27/65
Código Nacional de
Procedimientos Penales

Artículo 369. Título oficial

Los peritos deberán poseer título oficial en la materia relativa al punto sobre
el cual dictaminarán y no tener impedimentos para el ejercicio profesional,
siempre que la ciencia, el arte, la técnica o el oficio sobre la que verse la pericia
en cuestión esté reglamentada; en caso contrario, deberá designarse a una
persona de idoneidad manifiesta y que preferentemente pertenezca a un
gremio o agrupación relativa a la actividad sobre la que verse la pericia.

Artículo 381. Reproducción en medios tecnológicos

En caso de que los datos de prueba o la prueba se encuentren contenidos en


medios digitales, electrónicos, ópticos o de cualquier otra tecnología y el
Órgano jurisdiccional no cuente con los medios necesarios para su
reproducción, la parte que los ofrezca los deberá proporcionar o facilitar.
Cuando la parte oferente, previo apercibimiento no provea del medio idóneo
para su reproducción, no se podrá llevar a cabo el desahogo de la misma.

28/65
Deberes Éticos y Profesionales

Procederemos a presentar los fundamentos del proceder pericial


contenidos en diez puntos sugeridos por el Dr. Rafael Moreno González
en su libro “Compendio de Criminalística” [13] y que se conoce como el
decálogo del Perito, los puntos son:

I. Ser consciente de las limitaciones de su capacidad científica. Este


punto se refiere a la consciencia por parte del investigador en cuanto
a sus alcances y limitantes en relación a la solución del
planteamiento del problema de un hecho probablemente delictivo.
Siempre será preferible aceptar la falta de un determinado
conocimiento y procurar solventar mediante la investigación o
acercamiento con colegas en la materia, que emitir una opinión
técnica (Dictamen) equivocada o sin sustento procedimental.

29/65
Deberes Éticos y Profesionales
I. .

II. Ser metódico, claro y preciso en la emisión de Dictámenes. Más allá de los
tecnicismos propios de cada especialidad pericial, la emisión de las
conclusiones deberán ser claras, concisas y contundentes con la finalidad de
que los responsables de interpretar las mismas, comprendan sin lugar a
dudas lo que se quiere expresar por parte del investigador.

III. Mantener actualizados los conocimientos técnicos y científicos. El Perito


tiene el compromiso de mantener actualizados los conocimientos y técnicas
de investigación relativos a su especialidad.

IV. Colaborar eficazmente con las autoridades en el esclarecimiento de la


verdad. Como auxiliares de la autoridad ministerial, los Peritos tienen la
obligación de mantener comunicación con la autoridad solicitante libre de
todo prejuicio, con la finalidad de emitir opiniones técnicas que ayuden al
esclarecimiento de la verdad histórica de los hechos.

30/65
Deberes Éticos y Profesionales
I. .
II. .
III. .
IV. .

V. Dictaminar sobre cuestiones técnicas y científicas sin emitir


opiniones de carácter legal. El perito debe respetar las limitantes de
la especialidad y limitarse a emitir conclusiones que a su técnica
competan, dejando la tipificación de los delitos y opiniones legales a
la autoridad correspondiente de llevar las riendas de la investigación
(Agente del Ministerio Público).

VI. Actuar con imparcialidad, acuosidad, dedicación y prudencia. La


objetividad y la prudencia en la emisión de una opinión técnica
serán los cimientos de la solución de un planteamiento del problema
exitoso y ecuánime. De lo anterior dependerá en gran medida que
aquel que es culpable de cometer un delito sea castigado o en su caso
evitará que una persona inocente a consecuencia de los prejuicios
valla a la cárcel.

31/65
I. .

II. .
III. .
IV. .
V. .
VI. .

VII. Aplicar los métodos y las técnicas de la investigación científica de la verdad.


La contundencia de la opinión técnica dependerá de la aplicación del
método científico con la finalidad de evitar en la medida de lo posible, dar
lugar a dudas o confusión en la interpretación de las mismas por parte de la
autoridad solicitante.

VIII.Fundamentar sus conclusiones sobre la verificación de los hechos. Será


necesario emitir conclusiones que sean coherentes y no contradictorias a
través ya sea de la observación o experimentación.

IX. Escuchar y ponderar ecuánimemente, con espíritu abierto, las objeciones


metodológicas y técnicas que cuestionen sus Dictámenes. El Perito debe de
aceptar el hecho de no ser infalible y así mismo aceptar en caso de existir
error en sus métodos y conclusiones, la crítica constructiva de aquel o
aquellos que estén en condiciones de sustentar e indicar el error.

X. Excusarse de dictaminar sólo por razones técnicas, legales o éticas.

32/65
Cadena de Custodia
Rubros
Datos Generales del Formato de Cadena de Custodia.

33/65
Cadena de Custodia
Rubros
Datos Particulares del Indicio

34/65
Cadena de Custodia
Rubros

35/65
Grupo de Funcionamiento Científico En La Evidencia Digital (SWGDE)

El SWGD, fue establecido en febrero de 1998 como resultado del esfuerzo


de los Directores Federales del Laboratorio del Crimen de los Estados
Unidos de Norte América, cuyo fundamento se basa en la estandarización
de procedimientos en la recuperación, preservación y análisis de
evidencia digital propuestos por la Organización Internacional en la
Evidencia de la Computadora.

A continuación procederemos a citar algunas definiciones propias del


documento Examen Forense de Evidencia Digital. Guía para Agencias
Investigadoras (Forensic Examination of Digital Evidence. A Guide of
Law Enforcement) publicado por el Departamento de Justicia de los
Estados Unidos de Norte América y que marca los lineamientos a seguir
por parte de las entidades de procuración de justicia de los Estados
Unidos de Norte América, con la finalidad de establecer el marco de
referencia propio de los investigadores de este país.
36/65
Definiciones

I. Adquisición de la evidencia de Digital: Inicia cuando la información y/o


dispositivos relacionados, son colectados y almacenados para
propósitos de realizar un análisis forense. El término evidencia implica
que el colector de la evidencia es reconocido por la corte. El proceso de
recolección asume procedimientos legales acordes a la legislación de
una localidad. Un conjunto de datos o dispositivo físico solo se
considera evidencia, cuando es reconocido por el órgano judicial.

II. Objetos de los datos: Objetos o información con un valor potencial


probatorio que son asociados con dispositivos físicos. El grupo de datos
puede ser presentado en diferentes formatos, siempre y cuando no se
altere la información original.

III. Evidencia de Digital: Información del valor probatorio almacenada o


transmitida en forma digital.

37/65
Definiciones
I. Z

II. X
III. X

IV. Dispositivos físicos: Los dispositivos en los cuales los datos o la


información es almacenada y/o transferida.

V. Evidencia Digital Original: Dispositivos físicos y/o conjunto de


datos asociados en un determinado momento, al realizar la
adquisición de los mismos.

VI. Evidencia Digital Duplicada: Una reproducción digital exacta de


todos los datos contenidos en un dispositivo físico original.

VII. Copia: Una reproducción exacta de la información contenida en un


artículo físico original, independiente del artículo físico original.

38/65
Criterios de Aplicación a Análisis Forense

1. Para asegurarse de que la evidencia digital sea obtenida, preservada,


examinada, o transportada de forma segura y confiable, los
responsables de la aplicación de ley y las organizaciones forenses
deben establecer y mantener un sistema de calidad eficaz a través de
Procedimientos de Funcionamiento de Estándar (SOPs), los cuales se
conforman de protocolos documentados y aceptados en relación al
tratamiento de la evidencia así como del equipo y materiales propios
de la investigación.

2. Todas las agencias que obtienen y/o examinan evidencia digital,


deben mantener un documento apropiado del SOP. Todas las
políticas y de los procedimientos de una agencia referentes a
evidencia digital se deben detallar claramente en este documento
(SOP) y deberá ser publicado bajo la supervisión de la autoridad de
la de la agencia o unidad investigadora.
39/65
Criterios de Aplicación a Análisis Forense
1. .
2. X

3. La gerencia de la agencia debe revisar y en su caso actualizar los


SOP’s anualmente, con la finalidad de mantener procesos y
procedimientos de tratado de evidencia acordes a la evolución
tecnológica.

4. Los procedimientos realizados en el tratamiento de evidencia deben


de estar sustentados en base al método científico.

5. La agencia debe mantener archivos históricos de los procedimientos


técnicos apropiados a cada caso de estudio.

6. La agencia debe utilizar el hardware y el software que es apropiado y


eficaz para el análisis específico a realizar.

40/65
Criterios de Aplicación a Análisis Forense
1. .
2. X
3. .
4. .
5. .
6. .

7. Toda la actividad referente a la obtención tratamiento, manejo, análisis y


transporte de evidencia, debe ser registrada y estar disponible para la
revisión y el testimonio. El requisito de confiabilidad de la evidencia hace
necesaria la aplicación de lo que se conoce como cadena de custodia para
todos y cada uno de los artículos que conforman la evidencia. Las notas del
caso y las observaciones deben ser de naturaleza permanente. Deben estar
en la tinta, no lápiz, aunque el lápiz (color incluyendo) puede ser apropiado
para los diagramas o los trazos de la fabricación.

8. Cualquier corrección a las notas se debe hacer por una tacha firmada con
iniciales, sola; nada en la información manuscrita debe ser borrada. Las
notas se deben autentificar mediante las firmas manuscritas, las iniciales, las
firmas digitales, u otros sistemas de identificación.

41/65
Criterios de Aplicación a Análisis Forense
1. .
2. X
3. .
4. .
5. .
6. .
7. .

8. .

9. Cualquier acción que tenga el potencial de


alterar, de dañar, o de destruir cualquier
aspecto de la evidencia original se debe
realizar por las personas calificadas en una
manera forense sana.

42/65
Conforme a los criterios antes expuestos, la evidencia tiene valor
solamente si puede ser demostrada para ser exacta, confiable y
controlada. El éxito en la aplicación de un programa de análisis
forense de calidad consiste en:

a. Personal correctamente entrenado

b. Equipo de análisis y medición.

c. Software de análisis, recuperación y respaldo de


información.

d. Procedimientos apropiados para asegurar colectivamente


estas cualidades y garantizar su continua actualización.

43/65
Examen Forense de Evidencia Digital (Guía)

El manual plantea los pasos necesarios para realizar el análisis forense en


equipos de cómputo los cuales se mencionan a continuación:

I. Planteamiento del Problema (Assessment). En éste punto se realiza una


valoración con la cual se debe determinar qué es lo que se está buscando y
cuáles serán las acciones a seguir durante la investigación.
II. Adquisición de copia bit a bit (Acquisition). Obtención de una copia exacta
bit a bit del dispositivo de almacenamiento original con la finalidad de
preservar la integridad de la evidencia.
III. Análisis (Examination). Se refiere a la extracción, análisis e interpretación de
los datos contenidos en el dispositivo de almacenamiento analizado.
IV. Documentación y emisión de Dictamen (Documentinig and Reporting).
Documentación del análisis de los indicios y emisión de opinión técnica
(Dictamen Pericial)

44/65
Generación de Políticas y Procedimientos

El manual plantea como primera tarea la generación de políticas y


procedimientos debidamente documentados, supervisados y
asimilados por el área responsable de este tipo de investigaciones.

En el proceso de generación de procedimientos se identifican los


siguientes pasos:

a. Identificación y aislamiento del problema


b. Generación de posibles soluciones para el mismo ( lluvia de ideas)
c. Prueba de cada solución de manera controlada.
d. Evaluación de resultados.
e. Elección del procedimiento adecuado.

45/65
Planteamiento del Problema

El manual de Forensic Examination of Digital Evidence, recomienda que el


investigador tenga en cuenta los siguientes puntos:

i. Número de computadoras en el lugar del suceso.

ii. Identificación de estructura de red informática.

iii. Entrevista con los responsables de la administración de TIC’s.

iv. Identificación de capacidad de procesamiento y almacenamiento de


información.

v. Identificación de sitios alternos de almacenamiento de información o


respaldos.

vi. Identificación del software de propietario.


46/65
Planteamiento del Problema

Una vez controlados los puntos anteriores será necesario identificar el lugar
donde se originó el suceso para llevar a cabo su aislamiento tomando en cuenta
los siguientes puntos. En este punto lo recomendable es obtener los indicios y
llevar a cabo su identificación y analicen un ambiente controlado como el
Laboratorio.

I. El tiempo necesario para completar la recolección de indicios.

II. Logística y personal necesario para llevar a cabo la inspección.

III. Impacto económico durante la intervención.

IV. Identificación de dispositivos y medios masivos de almacenamiento que


serán sujetos a estudio.

V. Consideraciones legales (alcances y limitaciones).

47/65
Obtención de la Imagen (copia bit a bit)

En la unidad tres de la guía Forensic Examination of Digital Evidence se enuncian los


pasos que se deben seguir para llevar a cabo la obtención de una copia bit a bit de un
dispositivo de almacenamiento digital, una vez mas para mayor detalle de los mismos se
sugiere revisar el documento Electronic Crime Scene Investigation. A continuación
procederemos a enlistar algunas de las más importantes recomendaciones plantadas en
el documento:

I. Asegurar la evidencia digital de acuerdo a los Procedimientos de Funcionamiento


de Estándar (SOP’s), propios del Departamento o Agencia Investigadora.
II. Verificar el correcto funcionamiento del equipo propiedad del examinador.
III. Desensamblar el gabinete de la o las computadoras, con la finalidad de obtener
contacto visual y físico con ellas
IV. Identificar todos los dispositivos que serán duplicados.
V. Documentar dispositivos internos y configuración de hardware.
VI. Extraer dispositivos seleccionados.
VII. Obtener la información de configuración de los sistemas sospechosos. (registro de
información del BIOS.

48/65
Casos en donde no es posible extraer el disco duro:

1. Asegurarse que la unidad en donde será duplicada la información se


encuentra limpia desde el punto de vista forense.

2. Utiliza CD o disquete de 3.5 forense con la finalidad de no alterar el sistema


sujeto a estudio.

3. Analizar detenidamente la capacidad del dispositivo de almacenamiento y su


concordancia con particiones e información a manera de evitar olvidar analizar
alguna partición oculta.

4. Identificar y documentar el número de serie del dispositivo y todos los datos


que sirvan para su identificación.

5. Realizar la duplicación del sistema sospechoso al dispositivo del investigador.

6. Verificar la correcta adquisición entre el original y el duplicado.


49/65
Análisis y Manejo de Evidencia Digital

En el capítulo cuatro se formulan las bases para el análisis y tratamiento de la


posible evidencia la cual se basa en cuatro pasos.

1. Preparación (Preparation). Preparación de lo necesario para extraer de manera


separada los directorios de trabajo de donde se obtendrá información.
2. Análisis (Examination). Este análisis se divide en dos rubros: físico; en donde
se recupera todo el contenido del disco duro sin importar sistemas de archivos
o particiones y el lógico; en donde se toman en cuenta los puntos anteriores
incluyendo archivos borrados y el espacio de relleno de un sector conocido
como Slack file.
3. Análisis de los datos extraídos. Es el proceso de interpretación de los datos
recuperados. En este proceso deberá de analizar la información de los
metadatos de los archivos, así como de los logs de actividad del sistema.
4. Conclusiones. Documentación de todos los resultados obtenidos de los pasos
anteriores

50/65
Documentación y Emisión de Opinión Técnica (Dictamen)

I. Tomar notas mientras se consulta al responsable de la investigación.


II. Realizar una copia de las notas de la investigación.
III. Mantener una copia de la solicitud de intervención.
IV. Mantener la documentación relativa a la cadena de custodia.
V. Tomar las notas necesarias que permitan la duplicación de lo realizado.
VI. Incluir en las notas, fechas, tiempos y detalles de lo realizado.
VII. Documentar cualquier irregularidad relacionada con las ejecuciones de
las órdenes de cateo.
VIII.Incluir información como topologías de red, accesos, perfiles y
contraseñas.
IX. Documentar sistemas operativos y versiones de las aplicaciones de
relevancia.
X. Documentar la existencia de accesos externos a la información así como
de la existencia de respaldos fuera del lugar del suceso.

51/65
Principios de Manejo y Recolección de Evidencia.

A continuación con fundamento en el documento Examen Forense de Evidencia Digital.


Guía para Agencias Investigadoras (Forensic Examination of Digital Evidence. A Guide of
Law Enforcement) se mencionan los principales puntos a los cuales debe de obedecer la
recolección de la posible evidencia con la finalidad de ser presentada ante Juez.

i. Las acciones tomadas en la recolección de indicios, no deben alterar bajo ninguna


circunstancia la posible evidencia, salvo previa autorización por parte del Agente del
Ministerio Público de la Federación quién en cuyo caso, deberá de dar fe de todos y
cada uno de los procedimientos realizados por el personal pericial.
ii. Cuando sea necesario que una persona tenga acceso a indicios digitales originales,
éste debe ser un profesional forense acreditado por alguna institución.
iii. Toda la actividad relacionada con la recolección, acceso, almacenamiento y
transferencia de la posible evidencia digital, deberá ser documentada, preservada y
estar disponible para su futura revisión.
iv. Un individuo es responsable de todas las acciones con respecto al tratamiento de la
posible evidencia digital mientras ésta se encuentre bajo su resguardo.
v. Toda agencia responsable de recolectar posible evidencia digital, deberán cumplir
con los principios antes mencionados.

52/65
Definición

De acuerdo con el FBI, “la informática forense, es la ciencia de adquirir,


preservar, obtener y presentar datos que han sido procesados
electrónicamente y almacenados en un dispositivo ya sea
electromagnético, óptico o electrónico. El objetivo de esta materia se
divide en tres rubros que son:

a. La compensación de los daños causados por los probables


delincuentes.

b. La persecución y procesamiento judicial de los delincuentes.

c. La creación y aplicación de medidas preventivas a éste tipo de


delitos.”

53/65
El Dr. HB Wolfe, define el cómputo forense como “Una
metódica serie de técnicas y procedimientos para obtener
evidencia de equipo de cómputo y dispositivos de
almacenamiento digital que pueden ser presentados a una
corte de manera coherente y entendible.”

McKemmish define: “Es el proceso de identificar, preservar,


analizar y presentar evidencia digital de manera legalmente
aceptable.”

Farmer y Vennema definen:”Obtener y analizar datos de


manera integra para reconstruir datos o lo que ha sucedido
en un sistema en el pasado.”

54/65
Definición de Investigación Forense Aplicada a TIC’s

Rama de la Criminalística que se aplica en la búsqueda, tratamiento,


análisis y preservación de indicios relacionados a una investigación en
donde tanto equipo de cómputo y/o de telecomunicaciones ha sido
utilizado como fin o medio para realizar una acción presuntamente
delictiva.

Objetivo

Auxiliar a la autoridad solicitante en el descubrimiento de la verdad


histórica de los hechos relativos a un presunto acto delictuoso en donde
han sido utilizados como medio o fin: equipo y programas de cómputo,
dispositivos digitales de almacenamiento de datos, equipo electrónico
y/o, equipo o dispositivos de telecomunicaciones con la finalidad de
identificar a él o a los autores del hecho.
55/65
Clasificación de Delitos Cometidos en TIC’s

Como Instrumento o Medio.

En esta categoría se encuentran las conductas delictivas que se valen de las


TIC’s como medio o instrumento para realizar un ilícito, como por
ejemplo:

i. Falsificación de documentos utilizando como medio sistemas de


cómputo (tarjetas de crédito, cheques, etc.)
ii. Fraudes financieros a través de la red.
iii. Publicación de pornografía infantil a través de Internet y/o BBS.
iv. Espionaje a través de redes informáticas y/o telecomunicaciones.
v. Robo de personalidad.
vi. Alteración de sistemas de bases de datos a través de una red
informática.

56/65
Clasificación de Delitos Cometidos en TIC’s

Como Objetivo o Fin

En este caso, nos referimos a las conductas criminales que van


dirigidas de manera directa contra las TIC’s, accesorios o
programas como objetivo, como por ejemplo:

i. Ataques que provocan negación de servicios.


ii. Destrucción de programas de cómputo.
iii. Destrucción o robo de los dispositivos que componen un
sistema de cómputo o de telecomunicaciones.
iv. Sabotaje de centros de cómputo.
v. Robo de medios de almacenamiento de un sistema de
cómputo.
57/65
Informática

i. Identificación de acceso y/o uso no autorizado a equipos de cómputo.


ii. Robo, alteración o copia de información contenida en equipos de
cómputo.
iii. Falsificación de documentos mediante equipos de cómputo.
iv. Identificación de fraudes financieros a través de una red informática.
v. Ataques informáticos a servidores
vi. Robo de programas de cómputo.
vii. Identificación de correos electrónicos.
viii. Recuperación de información en dispositivos digitales de
almacenamiento.
ix. Ataques informáticos a redes de cómputo.
x. Rastreo de servidores
xi. Recuperación de información publicada en Internet.
xii. Análisis de licitaciones y/o contrato en sistemas y equipos de
cómputo.
xiii.
58/65Clonación bandas magnéticas y/o chips de tarjetas.
Telecomunicaciones

i. Identificación de dispositivos y/o equipos de


telecomunicaciones.

ii. Recuperación de información almacenada en dispositivos de


telecomunicaciones.

iii. Identificación de intervención de líneas telefónicas.

iv. Identificación de ataque o daño a una red de comunicación.

v. Identificación de robo de flujo electromagnético (TV cable).

vi. Identificación de uso indebido de frecuencias de


comunicación.
59/65
Electrónica

i. Identificación y funcionamiento de dispositivos


y/o equipo electrónico.

ii. Identificación de principio y funcionamiento de


circuitos electrónicos.

iii. Análisis de diagramas esquemáticos.

iv. Alteración de cajeros automáticos

60/65
Requerimientos de Laboratorio de TIC´s

Antes de iniciar el proyecto para el desarrollo de un Laboratorio Forense


en TIC’s, es necesario establecer algunos criterios importantes en
relacionados con los siguientes rubros:

I. El tipo de casos que podrán ser analizados en base a la


infraestructura física del laboratorio así como de software y
hardware con el que se cuenta.

II. El número promedio de casos que serán atendidos por año.

III. El número de Peritos y especialidades o perfiles necesarios para


atender los casos a investigar.

IV. El entrenamiento requerido para el equipo de Peritos.

61/65
I. .
II. .
III. .
IV. .

V. Software necesario para realizar las investigaciones.

VI. Número de licencias de software necesario.

VII. Hardware necesario para realizar las investigaciones.

VIII.Kits de herramientas de trabajo.

IX. Áreas de seguridad y acceso a la evidencia.

X. Equipo de medición y análisis (osciloscopios, microscopios,


medidores de frecuencias, entre otros)

XI. Medidas contra incendios y propagación de gases tóxicos.

62/65
Necesidades Físicas de una Laboratorio de TIC´s

a) Área de estaciones de trabajo. Idealmente cada estación deberá de contar con


dos computadoras, una conectada a la red y la otra completamente aislada. Así
mismo se deberá de contar con cajoneras con llave para resguardar
expedientes, manuales y documentación propia de la investigación de cada
Perito.

b) Área de Investigación en Informática. Esta área deberá de estar


completamente aislada de la Intranet o Internet, se deberán contemplar los
servidores , estaciones de trabajo y equipos de interconexión necesarios para
realizar las pruebas necesarias tanto de software como de hardware, se deberá
de contemplar la instalación de cableado estructurado, instalaciones eléctricas
con base en normas establecidas y equipo de control de temperatura con la
finalidad de mantener un ambiente controlado en todo momento que permita
dar credibilidad a las pruebas realizadas con el equipo. Se deberán de
contemplar por lo menos dos equipos de cómputo que servirán para realizar
anotaciones de los resultados obtenidos de las pruebas realizadas en esta área
así como una mesa de trabajo para por lo menos 4 Peritos.
63/65
Necesidades Físicas
a) .
b) .

c) Área de Investigación en Comunicaciones y Electrónica. Se deberán de


considerar los espacios necesarios para instalar por lo menos tres estaciones
de trabajo de por lo menos 2.0 mts. de área de trabajo cada una, con buena
iluminación. Se deberá de contar con la herramienta necesaria para el
desarmado y armado de equipo electrónico, cada espacio deberá de contar por
lo menos con un osciloscopio, un microscopio con luz e interfaz a la tarjeta de
video, una computadora, una fuente de alimentación de voltaje regulable de
por lo menos 2 amperes, un multímetro digital, kit de interfaces de discos
duros, PDA’s y celulares, tripié y cámara digital. Es importante que las
paredes de esta sección se encuentren forradas de material (malla de Faraday)
que permita el aislamiento de las señales de radios de los dispositivos de
telecomunicaciones con la finalidad de evitar entradas y salidas de llamadas
al momento de realizar el análisis de dichos aparatos o en su caso contar con
cajas aislantes propias para el manejo de éste tipo de dispositivos.

64/65
a) .
b) .
c) .

d) Área de resguardo de evidencia. Esta área deberá de contar con los espacios
suficientes para mantener los dispositivos sujetos a estudio, seguros y lejos
del alcance de personal no autorizado, se deberán de considerar lugares o
espacios para resguardar dispositivos de 20 cm3 (circuitos eléctricos,
memorias USB, Discos duros, entre otros), hasta 2.mts3. (cajeros automáticos,
servidores, entre otros). El acceso deberá ser restringido y bajo supervisión y/o
monitoreo las 24 horas de los 365 días del año, de ser posible con accesos
protegidos con dispositivos biométricos de seguridad.

e) Área de Juntas y Biblioteca. Este es un espacio muy importante en el


Laboratorio, ya que es en éste lugar donde se planearan estrategias de estudio
para resolver un determinado caso de estudio, se presentarán e
implementarán nuevas técnicas de estudio y se dedicará el tiempo necesario a
la consulta bibliográfica necesaria de libros y publicaciones. Esta área deberá
de ser amplia, cómoda, bien iluminada y con los medios suficientes para
realizar presentaciones multimedia.

65/65
a) .
b) .
c) .
d) .
e) .

f) Área de regaderas, lockers, sanitarios. Para el caso específico de las


agencias de gobierno en donde los tiempos para resolver un caso de
estudio son limitados (menores a 48 hrs.), no es extraño que el o los
responsables de realizar una investigación se vean en la necesidad de
no abandonar las instalaciones del laboratorio por períodos de tiempo
considerable. Por lo anterior se desprende la necesidad de contemplar
espacios necesarios para que el personal pueda mantenerse aseado.

g) Área de Alimentos. En relación al apartado anterior y dado que debe


de estar prohibido al acceso de alimentos y bebidas a las áreas de
trabajo e investigación dentro del laboratorio, es necesario contemplar
un espacio donde el personal pueda alimentarse de manera cómoda y
sin riesgo de dañar tanto a su persona (accidentes eléctricos), como la
o las posibles evidencias sujetas a estudio.

66/65
a) .
b) .
c) .
d) .
e) .
f) …
g) .

h) Área de almacenamiento de herramientas, interfaces y dispositivos


varios. La velocidad en el desarrollo tecnológico, obliga a tener una
bodega en donde se puedan albergar computadoras con diferente
tecnología, dispositivos de lectura de distintos medios (cintas,
cartucho, discos, entre otros), así como las interfaces necesarias para su
conexión. Este espacio adquiere importancia a al hecho del Perito de
enfrentarse al análisis de evidencia con diferencias tecnológicas de
más de 20 años. Siempre será preferible contar con un dispositivo o
interfaz y no necesitarlo, que necesitarlo y no contar con él.

67/65
Niveles de Seguridad y Acceso

i. Nivel 1 Se aplica a áreas restringidas al acceso de personal ajeno al


laboratorio, pero de libre tránsito dentro de ella, (área de regaderas,
lockers, comida, sanitarios, juntas y biblioteca).

ii. Nivel 2 Se aplica en áreas en donde se analizan documentales o se


realizan investigaciones en Internet. El personal solo debe acceder a
la estación de trabajo que tiene asignada, las medidas preventivas
contra ataques o espionaje del exterior deben de ser altas con la
finalidad de no comprometer la información del laboratorio. Así
mismo se debe de llevar el control de todas y cada una de las
transacciones emitidas desde el Laboratorio hacia al exterior y
viceversa (Proxies, Firewall, IDS’s, Zona Desmilitarizada, entre
otras).(área de estaciones de trabajo)

68/65
i. .
ii. .

iii. Nivel 3 Áreas restringidas cuyo uso solo será autorizado durante
periodos de tiempo determinados al personal autorizado por el
responsable del Laboratorio, dichas áreas deberán de encontrarse
totalmente aisladas del exterior (Internet, llamadas al exterior, entre
otras) y deberán de utilizarse solo para los fines que fueron
diseñadas. Se deberá de poder realizar el monitoreo de las mismas
por el responsable del área con la finalidad de evitar accidentes y
malos manejos de la evidencia. (áreas de investigación de
Informática, Electrónica y Telecomunicaciones)

iv. Nivel 4 Áreas altamente restringidas y aisladas al exterior,


supervisadas y monitoreadas por el responsable del área. El acceso
solo se permitirá por tiempo limitado al personal autorizado, con la
finalidad de evitar manipulación y/o daño de la evidencia. (Área de
resguardo y almacenamiento de evidencia).

69/65
Recomendaciones y Entidades Certificadoras

A continuación se presentan algunas organizaciones que proveen programas de


entrenamiento y certificación relacionados con la investigación forense en
TIC’s.

i. Asociación de Investigación de Delitos de Alta Tecnología. (High


Technology Crime Investigations Association, HTCIA)
ii. El Instituto de Seguridad en Sistemas de Administración, Auditoría y
Redes. (AysAdmin, audit., Network, Security Institute, SANS)
iii. Investigadores del Noroeste en Tecnología de Cómputo. (Computer
Technology Investigators Northwest, CTIN)
iv. Organización de Nuevas Tecnologías. (New Techology, Inc., NTI)
v. Asociación de Entrenamiento Nacional en Ciberdelitos. (Nacional Cyber
Crime Training Partnership. (NCTP)
vi. Centro Nacional de Delitos de Cuello Blanco. (Nacional White Collar
Crime Center, NW3C)

70/65
Sistema de Archivos

La forma en que un equipo informático, procesa, administra y guarda los datos en un


medio de almacenamiento (electromagnético, óptico, electrónico), adquiere un nivel de
relevancia crítica, si pensamos en relación a la integridad, confiablidad y
disponibilidad necesarios para cumplir con las expectativas en el procesamiento de
información, así como del volumen de datos y la variedad de dispositivos de los cuales
se debe de poder extraer.

➢ Sistemas de Archivos de Disco


❖ Sistemas de Archivos Utilizados por las Distintas Versiones de
Windows
Sistema de Archivos FAT
Sistema de Archivos NTFS
❖ Sistema de Archivos de UNIX
Sistema de Archivos de Linux
➢ Sistemas de Archivos de CD-ROM (ISO9660) [15]
➢ Sistemas de Archivos de Red
➢ Sistemas de Archivos de Propósito Especial.

71/65
Sistema de Archivos
Funciones de los sistemas de archivos

1. Identificar el nombre del archivo o carpeta


2. Identificar el inició del clúster donde se encuentra el archivo o carpeta
3. Identificar la fragmentación del archivo o carpeta
4. Identificar el estatus del arreglo o clúster a lo largo del volumen

File Alliocation Table (Identifica la fragmantación del archivo y el


estatus del clúster)
FAT
Entrada de Directorio (nombre y localización del clúster de inicio)

Creación de un archivo en el sistema de archivos FAT

1. Una Entrada de directorio de 32 bytes es creada con la finalidad de referenciar el


archivo
2. La FAT es actualizada para reflejar que clústers contienen los datos
3. Los datos son escritos en los clústers corrrespondientes

72/65
Sistema de Archivos

Funciones de los sistemas de archivos

Borrado de un archivo en el sistema de archivos FAT

1. El primer Byte en la entrada de directorio del archivo


eliminado se cambia por el número hexadecimal E5

2. La FAT se actualizará indicando que los clústers de datos


ocupados (Allocated) por el archivo se encuentran
disponibles (Unallocated)

73/65
Sistema de Archivos
Funciones de los sistemas de archivos

1. Identificar el nombre del archivo o carpeta


2. Identificar el inició del clúster donde se encuentra el archivo o carpeta
3. Identificar la fragmentación del archivo o carpeta
4. Identificar el estatus del arreglo o clúster a lo largo del volumen

Tabla de Archivos Maestra (Master File Table, $MTF): Nombre,


clúster de inicio, fregmentación y fechas entrada de 1024 bytes.
NTFS
Volumen bitmap ($Bitmap): Estatus de los clústers en el volumen
NTFS

Creación de un archivo en el sistema de archivos NTFS

1. Creación de $MTF
2. Asignación del bloque donde iniciará la escritura de los datos
3. Actualización de $Bitmap para identificar los clústers ocupados
4. Posibilidad de la creación de un archivo residente en $MTF

74/65
Sistema de Archivos

Funciones de los sistemas de archivos

Borrado de un archivo en el sistema de archivos NTFS

1. La $MFT es actualizada para indicar que se encuentra lista


para su reuso

1. $Bitmap es actualizada indicando los clusters disponibles


(Unallocated

75/65
76/65
Los Dispositivos Internos

Los dispositivos internos son aquellos que se encuentran dentro de


las computadoras y/o dispositivos de procesamiento digital, cuya
información puede ser consultada sin la necesidad de utilizar
interfaces externas. Por ejemplo; una computadora personal cuenta
con los siguientes dispositivos de memoria:

I. ROM (BIOS)

II. Unidad de Disco Duro

III. Memoria Ram

77/65
78/65
79/65
80/65
81/65
Dispositivos de Comunicación de Datos
I. Puente o bridge. Se encarga de conectar redes que se encuentren
próximas y se utiliza para segmentar una parte de la red y así reducir
los problemas causados por el exceso de tráfico.

II. Concentrador o Hub. Es un dispositivo de red central que conecta los


dispositivos de red en una topología en estrella. El término
concentrador hace referencia a un conmutador, el cual puede tener
múltiples entradas y salidas, todas ellas activas al mismo tiempo.

III. Switch. Dispositivo inteligente de interconexión de dispositivos de


red, con capacidad de administración y dependiendo el modelo
permite funciones de monitorización del tráfico de la red.

82/65
Dispositivos de Comunicación de Datos
I.

II.
.

III. .

IV. Ruteador. Dispositivo de interconexión de redes utilizando procesos de toma


de decisiones basado en los datos de una tabla de direcciones, con el objetivo
de buscar rutas de conectividad eficientes al momento de llevar a cabo la
comunicación o en su caso dichas rutas son programadas por el administrador.
Son utilizados para conectar intranets diferentes o para permitir la
comunicación a Internet según sea el caso. Cabe mencionar que estos
dispositivos tienen la capacidad de ser configurados para tomar medidas
preventivas de seguridad y auditoria de los datos que se transmiten a través
de ellos.

V. Pasarelas o Gateways. Dispositivo de interconexión de redes que hace posible


la comunicación de redes con diferentes tecnologías y protocolos.
Normalmente son utilizados para conectar redes a través de Internet.

83/65
Dispositivos de Comunicación de Datos
I.

II.
.

III. .

IV. .

V. .

VI. Cortafuegos o Firewall. Su función es la de proteger la red de dos


formas. La primera evita que intrusos externos accedan a los datos y
los recursos de red. La segunda impide que una fuente interior pueda
enviar datos o información al exterior. Cabe mencionar que un
ruteador se puede configurar con las funciones de cortafuegos, sin
embargo en la actualidad es posible encontrar software y hardware
que realizan ésta función.

VII. Sistema Detector de Intrusos o IDS. Solución destinada a la detección


de ataques informáticos o intrusiones no autorizadas, el cual puede
ser implementado tanto en software como en hardware.

84/65
85/65
Medios de comunicación

I. Dial Up. Conexión telefónica que permite su uso para la conexión a Internet y
comunicación de datos entre computadoras, así mismo permite la comunicación de
voz telefónica convencional.

II. Línea de Usuario Digital Asimétrica o ADSL. Conexión tecnológica que permite el
uso de la infraestructura telefónica convencional, proveer servicios de banda ancha.
Dicho servicio debe ser contratado por el usuario y se aplica a comunicaciones a
través de Internet.

III. Cable Coaxial. Consta de un hilo central de cobre rodeado por un aislante. El
aislante está rodeado por otro material conductor formado por una malla trenzada y
ésta a su vez está cubierta por un material aislante.

IV. Cable UTP. Utilizado para interconexión física entre equipos informáticos el cual se
muestra en la figura 4.45, está formado por pares de cables revestidos por una
cubierta aislante. Cada uno de los hilos que hay dentro se encuentra trenzado con
otro con la finalidad de reducir interferencias electromagnéticas. Actualmente la
categoría más utilizada es la 5 y permite velocidades de transmisión hasta de 100
Mbps.
86/65
Medios de comunicación
I. .
II. .
III. .

IV. Fibra Óptica. Los cables de transmisión de fibra óptica constan de uno o varios núcleos
de fibra plástica o de vidrio dentro de un material de revestimiento protector y
recubierto por una camisa de PVC. La transmisión de la señal por el interior de las fibras
se realiza utilizando infrarrojos o en algunos casos luz visible.

V. Vía Radio. Para realizar éste tipo de comunicación, una señal de radio se transmite en
una o varias direcciones, dependiendo del tipo de antena utilizada. Este tipo de
transmisión es más adecuada para transmisiones de visión directa que para
transmisiones a grandes distancias. Una señal de una sola frecuencia y de baja potencia
puede transmitir de 1 a 10 Mbps. Microondas. Los sistemas de microondas funcionan de
dos formas distintas. En los sistemas terrestres, la señal se transmite mediante dos
antenas direccionales en forma cóncava como las mostradas en la figura 4.47. La
transmisión se realiza en rangos de frecuencia de entre 4 a 6 GHz o de 21 a 23 GHz. En el
caso de sistemas satelitales, se transmite la señal desde una antena transmisora a un
satélite en el espacio y este a su vez la reenvía a una antena receptora. Estas
transmisiones se realizan en el rango de frecuencias entre 11 a 14 GHz.

87/65
Identificación de Indicios en Sistemas Windows.

Uno de los primeros puntos a tomar en cuenta son los archivos ocultos,
recordemos que no todo lo que se visualiza a primera vista en sistemas de
éste tipo es lo que realmente se almacena en las unidades de Disco Duro.

Por otro lado los atributos de los archivos, serán otro de los puntos
importantes a tomar en cuanta, ya que no es raro que el delincuente que
busque esconder o engañar al investigador principiante, cambie dichos
atributos haciéndolos parecer algo diferente a los que son en realidad. Los
puntos más comunes para buscar indicios son:

i. Verificación del Sistema Operativo Archivos


ii. Slack space (área de relleno de los sectores)
iii. Archivo Swap
iv. Clusters no registrados
v. Particiones no usadas
vi. Particiones escondidas

88/65
Identificación del Sistema Operativo
I. Versión del sistema.
II. Identificador de equipo
III. Nombre registrado para su uso. Número de Licencia.
IV. Tipo de procesador y velocidad.
V. Capacidad de la memoria principal (RAM)

Con la finalidad de identificar los atributos del equipo en caso de estar


conectado a una red informática:

I. Descripción del Equipo.


II. Nombre del Equipo.
III. Grupo de Trabajo.

Se deberá de proceder a verificar la hora del sistema sujeto a estudio


y documentar la variación del horario con respecto al investigador.

89/65
Obtención de los Indicios Volátiles

Con fundamento en el documento RFC 3227 la secuencia de análisis


para sistemas Windows con el objetivo de recuperar primero la
información de mayor riesgo de la de menor es la siguiente:

I. Registros caché
II. Tabla de ruteo, ARP cache, tabla de procesamientos, estadísticas
del kernel.
III. Memoria
IV. Archivos de sistema temporales
V. Disco(s)
VI. Accesos remotos y monitoreo de datos relevantes para el
sistema en cuestión.
VII. Configuración física, topología de red.
VIII. Medios de almacenamiento.

90/65
Obtención de los Indicios Volátiles (RFC 3227)
Privacidad

I. Respetar la intimidad, normas y directrices de su


empresa y su jurisdicción legal.

II. No inmiscuirse en la vida privada de personas sin un


justificación.

III. Asegúrese de que tiene el respaldo de su empresa así


como los procedimientos autorizados para reunir las
pruebas de un del incidente.

91/65
Previo a la recolección de datos volátiles.

Identificación y fijación de lo que se encuentra en el escritorio.

92/65
93/65
Obtención de fecha y hora del sistema.
date /t

time /t
94/65 date /t > e:\casoxxdate.txt
Obtención de datos de red.

Ipconfig /all

95/65
Estado de la red y los servicios que se están ejecutando en el sistema.

-a Con la visualización predeterminada, esto muestra el estado de todos los


sockets; normalmente no se muestran los sockets que usan los procesos
del servidor.
-n Esto muestra la dirección de IP de la red real del sistema y sólo los puertos
locales que tienen conexiones TCP establecidas.

netstat -an

96/65
Estado de la red y los servicios que se están ejecutando en el
sistema.

-a Con la visualización predeterminada, esto muestra el estado de todos los


sockets; normalmente no se muestran los sockets que usan los procesos
del servidor.
-n Esto muestra la dirección de IP de la red real del sistema y sólo los puertos
locales que tienen conexiones TCP establecidas.

97/65
Identificación de puertos abiertos a los procesos que se
están ejecutando en este momento.
i. Número de identificación del proceso (PID, Process Identification)
ii. Nombre del proceso
iii. Protocolo que se utiliza
iv. Puerto al que está enlazado el programa
v. Ruta de acceso absoluta al programa enlazado con ese puerto

fport

98/65
Recuperación los últimos usuarios que se conectaron a la
computadora víctima.

ntlast

99/65
Mostrar las direcciones MAC de los sistemas que
están en comunicación con la computadora.

arp -a

100/65
Obtener una lista de directorios de todos los archivos en el sistema
seleccionado como objetivo, tamaño de grabación y horas de modificación
(m), acceso (a) y creación (c), use el comando dir con los conmutadores
correspondientes.

dir /t:a/a/s/o:d c:\ proporciona una lista de directorios recursivos de todas las
horas de acceso en la unidad C:.

101/65
Obtención de una lista de directorios recursivos de todas las horas de
modificación en la unidad C:.

dir /t:w/a/s/o:d c:\ dir /t:w/a/s/o:d c:\ /t > e:\casoxx dir /t:w/a/s/o:d c:\.txt

102/65
Paso 17 Obtener una lista de directorios recursivos de
todas las horas de creación en la unidad C:.

dir /t:c/a/s/o:d c:\

103/65 dir /t:c/a/s/o:d c:\ /t > e:\casoxx dir /t:c/a/s/o:d c:\.txt


Generación de la función hash de los archivos obtenidos

104/65
Examen práctico 1

1. Identificar y fijar las características del Escritorio en su equipo


de cómputo.

2. Obtener los datos volátiles de su computadora y almacenarlos


como txt.

3. Verificar el contenido de los indicios volátiles en los documentos


creados

4. Obtener la función hash de los documentos creados.

5. Entrega Informe

105/65
Analizando Accesos a Internet.

Existen varios puntos que deberán de ser analizados con la


finalidad de localizar rastros de actividad a consecuencia de la
conexión del equipo sujeto a estudio con Internet. A
continuación en listamos los archivos y carpetas que deberán
contener indicios de dicha actividad:

a. Cookies
b. Históricos
c. URL’s
d. Archivos temporales
e. de Internet

106/65
Carpetas ocultas.

107/65
Historial Windows 8.1
Sistemas Operativos Basados en Linux/UNIX

Las características principales del sistema son:

I. Disposición de múltiples usuarios. Sistemas dedicados a ejecutar programas


grandes para ser usados por múltiples clientes.

II. Arquitectura monolítica. El núcleo maneja todo lo relativo al hardware y a las


llamadas de sistema.

III. Linux mantiene separados los elementos de GUI y sistema operativo. La interfaz X
Windows System, se ejecuta como una aplicación a nivel usuario. Si la GUI falla, la
parte central de Linux no se cae con ella.

IV. Concepto de montaje. Mediante la utilización de Netwoek File System (NFS), los
usuarios no tienen que conocer los nombres del servidor ni las trayectorias de los
directorios.

V. Los archivos de configuración, se guardan como una serie de archivos de texto.

109/65
I. bin: Contiene los archivos ejecutables básicos del sistema.

II. dev: Contiene los archivos que representan a dispositivos. Los


archivos que se encuentran en este directorio están
relacionados con periféricos de la máquina, por ejemplo:
/dev/fd0 es el archivo que representa la primera diskettera,
/dev/hda representa al primer disco rígido IDE, /dev/hda1
representa la primera partición del primer disco rígido IDE,
/dev/tty representa la consola actual que se está usando.

110/65
I. .
II. .

III. etc: Contiene los archivos de configuración del sistema y de


muchos de los programas instalados en el sistema. Además,
contiene los scripts de inicio que se ejecutan cuando arranca la
máquina. Generalmente los archivos que se encuentran en este
directorio pueden ser editados sólo por el administrador de la
máquina, es decir el superusuario, normalmente llamado "root".

IV. home: En este directorio se encuentran los directorios principales


de los usuarios.

V. lib: Contiene las librerías necesarias para ejecutar los comandos


que se encuentran en /bin y /sbin. Las librerías son rutinas que los
programas utilizan frecuentemente, y pueden ser compartidas por
varios programas al mismo tiempo. En otros sistemas UNIX, las
librerías pueden estar incluidas en los comandos, con lo cual este
directorio no es necesario.

111/65
I. .
II. .
III. .
IV. .

V. .

VI. sbin: Contiene los archivos ejecutables que son


necesarios para poder administrar el sistema.

VII.usr Contiene archivos que serán utilizados una


vez que el sistema ya está funcionando. No son
imprescindibles para el funcionamiento del
sistema.

112/65
Sistemas Operativos Basados en Linux/UNIX

El archivo /etc/passwr

En el archivo /etc/passwr, se almacena la concesión de acceso (login) al usuario, la


entrada cifrada de la contraseña, la UID, la GID predeterminada, el nombre (GECOS), el
directorio inicial y el shell de concesión de acceso. Cada línea en el archivo representa
información acerca del usuario. En Linux, cada archivo y cada programa debe de ser
propiedad de un usuario, cada usuario tiene un identificador único llamado la ID del
usuario (UID), cada usuario debe pertenecer por lo menos a un grupo, los usuarios
pueden pertenecer a varios grupos. Los grupos cuentan con un identificador llamado ID
de grupos (GID).

113/65
El Archivo /etc/shadow

Éste es el archivo de contraseñas cifradas. En él


se almacena la información de las contraseñas
cifradas para las cuentas de usuarios, así como la
información opcional relativa a la antigüedad de la
contraseña o expiración.

114/65
En caso de llevar a cabo la investigación en un equipo en funcionamiento, es
necesario al igual que mencionamos en el apartado anterior, identificar el
estado del sistema, esto es:

I. Horario del sistema


II. Tiempo que lleva el sistema funcionando y modificaciones
III. Usuarios conectados al sistema.
IV. Procesos en ejecución.
V. Archivos violentados y los permisos de los mismos

uname -a: permite visualizar el nombre y la versión de Linux.

115/65
date: Ejecutando el comando: date obtendremos la fecha y la hora actual.
También es el comando que se usa para cambiar la fecha de la máquina.

who: Nos permite ver los usuarios que están utilizando el sistema, incluyendo
la fecha en la que se conectaron al sistema. Además, una versión alternativa
(who am i) nos muestra únicamente nuestra conexión.

116/65
uptime: Podemos ver cuánto tiempo hace que se ha iniciado el sistema.
También obtendremos alguna información adicional, como la cantidad de
usuarios que están utilizando el sistema, o la carga promedio que tiene el
procesador.

ps: Hace una lista de todos los procesos en un sistema, su estado, tamaño,
nombre, propietario, tiempo de CPU, hora de reloj, entre otras.

117/65
top: Es una versión interactiva de ps la cual refresca la pantalla con una lista
de procesos cada dos o tres segundos.

pwd: Nos muestra la ruta de directorios en la que estamos situados en este


momento. Por ejemplo, /home/user.

118/65
ls: Enlista los archivos dentro de un determinado directorio, es equivalente
en DOS a 'dir'. Si ejecutamos ls sin ninguna opción, nos listará los archivos
del directorio actual. Si, en cambio, ejecutamos ls directorio, nos listará los
archivos de ese directorio.

file: En UNIX los archivos no se identifican por su extensión, como en DOS.


Se les puede poner una extensión, pero es de adorno. El comando file nos
permite tener una idea del contenido de un archivo. Al ejecutar file archivo,
inspecciona partes del archivo para darse cuenta qué clase de archivo es.
Puede decirnos que se trata de un archivo de texto, un directorio, una imagen,
entre otros.

119/65
du: El comando du, Disk Usage, nos muestra el espacio que ocupan todos los
directorios a partir del directorio actual. El número de la primera columna es
el espacio ocupado por el directorio y está expresado en kb.

120/65
find: Permite encontrar archivos, utilizando diversas técnicas. En principio, si
se le pasa como parámetro únicamente una determinada ruta, por ejemplo
find /home/user, el comando buscará todos los archivos y directorios que se
encuentren a partir de esa ruta. Utilizando algunos otros parámetros es
posible buscar los archivos por diversos criterios.

121/65
cat: Ejecutando cat archivo podremos ver el contenido de un archivo. Este comando
puede recibir una serie de archivos, y el resultado será que nos mostrará un archivo a
continuación del otro. Un caso especial se produce cuando ejecutamos cat sin ningún
nombre de archivo. En este caso, el comando esperará a que nosotros le demos una
entrada, y la irá reproduciendo línea por línea. Hasta que presionemos la combinación
Ctrl-d, que indica que la entrada ha terminado.

od: El comando od Octal Dump, nos permite ver byte a byte el contenido de un archivo.
La primera columna es la dirección de cada línea que vemos. Utilizando las distintas
opciones, podemos visualizarlo en varios formatos.

Comandos para el análisis de una red informática

netstat -s: permite obtener la información de protocolo.


tcpdump: Permite visualizar los encabezados de Ethernet en la red.
Ping: Permite verificar la conexión en red con otro equipo.
traceroute: Permite realizar un mapeo de los saltos necesarios para alcanzar una
determinada dirección.

122/65
Copia forense (bit a bit)

Antes de proceder a conectar el disco


sujeto a estudio al equipo de análisis,
éste se encuentre protegido con un
dispositivo anti-escritura con la
finalidad de garantizar así, la no
alteración de la posible evidencia.

Es importante señalar que una unidad


de almacenamiento digital puede ser
escrita o alterada incluso antes de ser
montada en el equipo analizador.

123/65
Una vez asegurado el Dispositivo sujeto a estudio, se
procederá a conectar éste al equipo analizador y se
realizara el montaje en el sistema. En caso de tratarse de
discos IDE, seguramente serán reconocidos por el
sistema y serán referidos como hdx, la x será variable por
una a o b en los casos en que el disco se monte como
unidad maestra o esclava en la unidad primaria del
controlador IDE o en su caso como c o d si es conectado
en la unidad secundaria del controlador.

Para ver un listado de la nomenclatura de los distintos


dispositivos periféricos el investigador podrá consultar
fdisk –l /dev/hdx

124/65
Linux incluye un número utilerías muy sencillas que permiten realizar la copia bit a bit,
así como el análisis básico del dispositivo sujeto a estudio, las cuales son:

dd: Utilizado para copiar desde un dispositivo a otro.

sfdisk y fdisk: Utilizado para conocer la estructura del disco.


grep: búsqueda de archivos por distintos criterios de consulta.

Loop device: Permite montar una imagen sin tener que reescribir la imagen a un disco.

md5sum y/o sha1sum: Crea y almacena la función hash MD5 o SHA del archivo o
archivos analizados, o de ser necesario, incluso del dispositivo de almacenamiento
completo.

File: Permite visualizar los archivos y carpetas almacenadas.

xxd: linea de comando de la herramienta hexdump.

Ghex y khexedit: Editor de las interfaces X Windows.

125/65
1. Documentar y fijar fotográficamente: Ésta recomendación se deberá de
aplicar en todos los procedimientos ya sea de desembalaje del dispositivo
y/o en su caso de extracción, en caso de encontrarse éste dentro de un
equipo de cómputo con la finalidad de dar sustento a lo estipulado en el
Artículo 181 del Código Federal de Procedimientos Penales (Cadena de
Custodia). En esta etapa se debe de tener especial cuidado de fijar todas
aquellas características individuales que ayuden a identificar el dispositivo
como son: números de serie, colores, marcas, capacidad de
almacenamiento entre otras. A manera de ejemplificar de manera concreta
y clara procederemos a realizar el montaje de el contenido de un Disco
Compacto, el cual tiene las siguientes características físicas:

DVD+R marca MEMOREX, con número de serie PAH654-JJI8012064, el cual se


muestra a continuación en las imágenes 4.90, 4.91, 4.92 y 4.93. Cabe hacer la
aclaración que en lo subsecuente nos referiremos al mencionado DVD como
“indicio 0”

126/65
Imagen 4.90 Toma frontal del DVD empaquetado Imagen 4.91 Toma posterior del DVD empaquetado

Imagen 4.92 Toma frontal del DVD Imagen 4.93 Toma posterior
del DVD

127/65
1. .

2. Aislamiento y ambiente controlado: El equipo analizador por ninguna circunstancia


deberá de estar conectado a una red informática. Recuerde que ninguna red es segura
y el proceso de análisis es confidencial.

3. Creación de la carpeta o directorio en donde se almacenarán todas las actividades


realizadas : Como medida de seguridad se sugiere se utilice el número identificador
de la solicitud en combinación con la fecha como por ejemplo: mkdir 12345190907,
como podemos observar a primera vista parece un número cualquiera que no da
ningún tipo de información en caso de que nuestro equipo sea violentado sin nuestro
consentimiento, sin embargo los últimos 6 números nos indican la fecha de recepción
de la solicitud y los primeros números nos indican el número de caso.

128/65
4. Creación de un punto de montaje: Linux permite al investigador crear un
punto de montaje provisional con la finalidad de llevar a cabo el análisis de la
posible evidencia. Lo anterior se realiza de la siguiente manera:

5. Creación de la copia bit a bit. Mediante la utilización del comando dd se


podrá crear la copia realizando el siguiente proceso:

129/65
6. Verificación de la integridad de la o las copias. Éste como hemos insistido con
anterioridad es el punto más importante antes de proceder a realizar el análisis del
contenido de la unidad de almacenamiento (CD, Dico Duro, USB, Disquette, entre otros).
El procedimiento es muy sencillo y es a través de la aplicación de el siguiente comando:

7. Cancelación de permisos de escritura. Para evitar cualquier riesgo se deberá de


procederá a cambiar los permisos de lectura y escritura mediante el siguiente
procedimiento:

130/65
8. Montaje de la imagen obtenida . Se realiza aplicando las siguientes instrucciones
desde el lugar donde se encuentra nuestra copia hacia el punto de montaje, en el
caso de nuestro ejemplo nuestro punto de montaje se llama investigación:

9. Listado de contenido. Mediante la utilización de ls, el investigador podrá


visualizar el contenido de la unidad sujeta a estudio. Utilizando la configuración
siguiente se podrán visualizar incluso los archivos ocultos:

ls –lat

131/65
10. Identificación de sistema de archivos. Procedemos a identificar el tipo de sistema de
archivos que serán analizados mediante la instrucción
file xxx

11. Almacenamiento de los archivos en la carpeta de registro. Para evitar la el exceso de


manipulación incluso de la copia será recomendable realizar el copiado a la carpeta
correspondiente a llevar el histórico de los procesos realizados mediante la siguiente
instrucción:
ls –laiRtu > /23465190907/archivosspechosos.list

12. Búsqueda avanzada. Mediante la utilización de la instrucción grep, el investigador se


encuentra en condiciones de llevar a cabo una búsqueda de algún archivo en específico
mediante (xxx se refiere al criterio de búsqueda

grep –i xxx archivosospechoso.list

13. Visualización de archivos con extensiones desconocidas o sospechosos. En éste


caso podemos hacer uso de la instrucción file changedfile. Los archivos pueden ser
visualizados utilizando:
strings, cat, more or less.

132/65
14. Búsqueda por características. El comando find permite encontrar archivos,
utilizando diversas técnicas. En principio, si se le pasa como parámetro
únicamente una determinada ruta, por ejemplo find /home/user, el comando
buscará todos los archivos y directorios que se encuentren a partir de esa ruta.
Utilizando algunos otros parámetros es posible buscar los archivos por diversos
criterios.

I. find . -name "hola.txt" encuentra todos los archivos llamados hola.txt que se
encuentren a partir del directorio actual. Las comillas no son obligatorias,
pero son recomendables si se quieren usar opciones más complejas.

II. find . -size 50k busca los archivos que ocupan 50 kilobytes a partir del
directorio actual. Si se utiliza find . -size 20c, buscará los archivos que ocupen
20 bytes. Y si se utiliza find . -size 5b, buscará los archivos que ocupen 5
bloques de 512 bytes cada uno.

III. find /home/user -empty busca todos los archivos que se encuentran vacíos, a
partir del directorio /home/user.

133/65
En el caso de tratarse de una unidad de disco duro la sometida a análisis
forense la cual será copiada a otra unidad de disco duro, se deberán de tomar
en cuenta las siguientes recomendaciones:

I. Utilizar un disco destino de por lo menos un 30% mayor capacidad de


almacenamiento que el disco origen.

II. Asegurarse de que todos los sectores de la unidad de disco duro destino
se encuentren en ceros. Lo anterior puede ser realizado mediante la
siguiente operación:

dcfldd if=/dev/zero of=/dev/hda bs=4096 conv=noerror,sync


I. .
II. .

III. El siguiente paso será particionar la unidad destino mediante la siguiente


instrucción:

fdisk/dev/had

134/65
En el caso de tratarse de una unidad de disco duro la sometida a análisis
forense la cual será copiada a otra unidad de disco duro, se deberán de tomar
en cuenta las siguientes recomendaciones:
I. ..

II. .
III. .

IV. Se procederá a dar formato con el sistema de archivos ext3 realizando lo


siguiente:
I.
II.
III.
IV.
.
.
.
.
mkfs –t ext3/dev/disco.imagen
V. Montaje de la unidad destino:
I.
II.
III.
IV.
.
.
.
.
mount/dev/hda /mnt/disco.imagen
V. .

VI. Creación de un subdirectorio para mantener la posible evidencia:


I.
II.
III.
IV.
.
.
.
.
medir/mnt/disco.imagen/caso_no/indicio_no
V. .
VI. .

VII. Documentar detalles de la investigación en un archivo de texto,


incluyendo los datos propios del investigador.

VIII. Documentar características físicas del disco destino como son. Número
de serie, capacidad de almacenamiento, marca, modelo, entre otras.

135/65
En el caso de tratarse de una unidad de disco duro la sometida a análisis
forense la cual será copiada a otra unidad de disco duro, se deberán de tomar
en cuenta las siguientes recomendaciones:
I. ..

II. .
III. .
IV. ..
V. .
VI. .
VII. .
VIII. ..

IX. Conectar ambos discos (disco origen y disco destino) al sistema


analizador.

X. Verificar la correcta colocación de los jumpers de las unidades según sea


el caso.

XI. Realizar la copia bit a bit del disco origen al disco destino aplicando dd de
la forma siguiente:

dd if=/dev/hdx of=disco.imagen conv=noerror,sync.

Lo anterior permitirá realizar la copia ignorando cualquier error del dispositivo


original y sincronizando su salida.

136/65
En el caso de tratarse de una unidad de disco duro la
sometida a análisis forense la cual será copiada a otra
unidad de disco duro, se deberán de tomar en cuenta las
siguientes recomendaciones:
I. ..

II. .
III. .
IV. ..
V. .
VI. .
VII. .
VIII. ..
IX. .
X. .
XI. .

XII. Verificar la integridad de ambos discos mediante la


utilización de md5sum.

XIII.Montar el disco destino y proceder a su análisis.

137/65
Linux cuenta con dos herramientas útiles para
hacer que la documentación sea accesible: man e
info. El lector puede hacer uso del comando man
en combinación con el comando del cual se
necesitan conocer los parámetros para obtener
los resultados deseados, por ejemplo:

man ls

138/65
Sistemas Operativos Basados en Mac OSx

Mac OS X es el actual sistema operativo de la familia de computadoras de Macintosh. Es


un sistema operativo basado en UNIX,

Entornos de desarrollo

I. Cocoa, la nueva interfaz de programación orientada a objetos de Mac OS X


(heredada de OPENSTEP). Como lenguaje de programación utiliza Objective-C,
aunque también es accesible desde otros lenguajes como Java.

II. Classic, la interfaz de programación nativa de Mac OS Classic. Esta interfaz ya no


está disponible en la nueva familia de Macintosh basados en procesadores Intel.

III. Carbon, una adaptación de la interfaz de programación Classic para poder


compilar las aplicaciones en binarios que se ejecutan en Mac OS X sin emulación,
con objeto de facilitar la transición de los programas originalmente creados para
Mac OS 9.

IV. Una interfaz BSD compatible con POSIX.

139/65
Como podemos ver, el sistema es Mac OS X, versión 10.4.9, con un procesador Core 2
Dua a 2.16 GHz y memoria DDR2 de 1GB. La captura de pantalla se realiza mediante la
herramienta de instantánea del propio sistema la cual se encuentra en:

Aplicaciones/Utilidades/Instantánea

Dentro de la carpeta de utilidades podremos encontrar también la información


relacionada con procesos, red y aplicaciones, así mismo encontraremos el icono de
consola, el cual nos permitirá realizar el análisis desde la línea de comandos

140/65
141/65
142/65
143/65
Muchas Gracias

144/65