1
Fundamentos básicos informática forense
Reinaldo Enrique Ruiz Duarte reiruizduarte@gmail.com
 informáticos sin previa autorización o una validación
Resumen: —
keywords@ieee.org or visit
http://www.ieee.org/organizations/pubs/ani_prod/keywrd98.txt
I. INTRODUCCION
El Siguiente trabajo pretende entregar un escrito donde se hace
un resumen de los conceptos básicos de la informática forense,
recopilando conceptos importantes a tener en cuenta en este
curso así como evidenciar términos de ley que permitan
relacionar o respaldar las funciones utilizadas aquí por la ley
colombiana, por otro lado pretendemos mostrar las diferentes
estados y pasos a seguir para poder realizar un peritaje al
momento de un fallo y todas las pautas que se deben tener en
cuenta. Por otro lado
II. TRABAJO A REALIZAR
A. Fundamentos de la Informática forense
1. ¿Qué es la informática Forense?
Es la recolección de pruebas en formato digital, para ser
utilizados con fines judiciales, se puede utilizar para
litigios, robo sobre propiedad intelectual investigaciones
de mal utilización de fondos, homicidios recuperación
de información etc.
2. Definiciones Generales:
Esto hace referencia a conceptos necesarios para la
utilización de cómo son evidencia digital, es cualquier
información que luego de haber sido manipulada por
algún individuo sea extraído de un medio tecnológico
informático, además se habla del concepto de la
informática forense que se puede definir como la ciencia
de utilizada para procesar electrónicamente archivos en
medios computacionales
3. Delito informático:
Es un acto ilícito que se genere sobre un sistema
informático o en algunas de sus partes.
3.1. Clasificación de delito informático:
Fraudes cometidos mediante manipulación de
computadora, falsificaciones informáticas, Daños a
Datos computarizados
4. Tipos de delitos informáticos
Hacking: es la modalidad de entrar a equipos
legitima por el sistema.
Cracking: es delito lo que hace es cambiar los contenidos
de las aplicaciones buscando destruir el sistema, o
alterarlo para fines específicos.
Phreaking: es la modalidad de hurto donde lo que se
busca es utilizar los servicios telefónicos sin poder pagar
por ellos
Carding: Hurto o delito cuando se utilizan las tarjetas de
créditos o con los números asociados a estas.
5. Ley 1273 de 2009 protección de la información:
Esta es ley que cobija toda la información sobre los
delitos informáticos en Colombia, en ella se puede
encontrar las definiciones de cada uno que tipos de
delitos informáticos se pueden realizar así como las
sanciones que conllevan
B. Fases de la informática Forense
1. Descripción de las fases de la informática Forense:
Estos son los pasos seguidos por un perito para poder
realizar el análisis de las pruebas sobre el delito tiene
varias etapas, se dividen en:
1.1. Identificación: es la parte donde se debe revisar,
organizar y rotular todas las evidencias que van para
análisis forense esto incluyes discos duros, CD,
memorias externas, cintas o computadores dentro
de la empresa.
1.2. Validación y preservación de los datos adquiridos.
Cuando se tenga identificado todos los
componentes a realizar el auditaje se deben crear
copias exactas (imágenes) de la evidencia
encontrada
1.3. Análisis y descubrimiento de evidencia.
En esta parte del proceso se realizan pruebas en un
ambiente seguro, donde se comenzaran a organizar
las pruebas de la manipulación, ataque o simples
sospechas de manipulación no autorizada.
1.4. Informe:
Se presenta un informe donde se recoge todos los
hallazgos encontrados se utiliza lenguaje de fácil
entendimiento
2. Acciones en la escena del fraude informático
2.1. Identificando las vulnerabilidades informática
Es la parte donde se realizan ciertas pruebas con el
fin de encontrar las vulnerabilidades que están
afectando el sistema y/o las malas práctica que tienen

los usuarios, como pueden ser usuarios haciendo mal
uso de los sistemas o de sus políticas, códigos
maliciosos como virus, intrusiones o piratería
informático
2.2. Preservar la escena del fraude:
Luego de identificado el fraude es muy pertinente
realizar el cuidado de la escena del ataque es muy
importante de mantener los equipos que se les va
hacer el análisis forense, es muy importante
recordar y respetar los procedimientos para no
alterar la escena del fraude.
2.3. Claridad de la evidencia
Se debe garantizar que la información que se está
sacando del lugar del fraude o hurto es copia exacta
de los discos originales y que no hay una copia mal
intencionada o de carácter especial para una o varias
personas, para poder garantizar esto es necesario
que estas recolección de información tenga un
protocolo para tal fin teniendo en cuenta las
siguientes características:
Autenticidad que los contenidos no hayan sido
alterados
Precisión: la idea va ser que todas las pruebas
realizadas a la información den o ayuden a resolver
el incidente
Suficiencia: deben ser lo necesario para poder
encontrar y dar solución a la problemática sin
evaluar una situación externa
2.4. Formato de la evidencia en la escena.
Es la utilización de algún tipo de formato
reconocible para los sistemas de cómputos, donde
se pueden utilizar desde texto plano que es el más
común y recomendado para presentar la evidencias
o hallazgos encontrado después de realizar, el
diseño de estos varía de acuerdo al sistema
operativo que se esté usando
2.5. Cuidado de la evidencia en la escena
Este da las pautas para poder realizar el correcto
cuidado de la evidencia que se encuentra en la
escena además en este apartado se habla de las
recomendaciones a tener en cuenta se habla en ella
teniendo las siguientes observaciones por delante.
Esterilidad de los medios informáticos de trabajo:
aquí se debe tener las certificaciones necesarios y
para poder dar veracidad sobre los documentos y
hallazgo que se detecten.
Verificación de las copias informáticos:
Se debe verificar que luego de la esterilización estas
deban ser copias idénticas de las originales, esta
debe ser acompañadas por procedimientos
matemáticos que puedan dar niveles de exactitud
medias en %porcentajes de coincidencias.
Documentación de los procedimientos,
2
herramientas y resultados sobre los medios
informáticos analizados:
Los resultados deben ser documentados y
asegurados por su creador con el fin de evitar
dificultades por personas externa al momento de
validad dicha referenciación.
Mantenimiento de la cadena de custodia:
Toda la documentación generada en la
investigación debe ser realizada con una formalidad
con el fin de dejar por escrito cada evento cuando la
evidencia ya se encuentre en su poder
Informe y presentación de resultados de los análisis
de los medios informáticos:
Presentar los informes de una manera clara
ordenada y de texto entendible por personal no
técnico con el ánimo de que sea agradable la
presentación sin ser aburrida pero con el peso de un
buen informe, y sobre todo sostener los hallazgos
encontrados.
Administración de casos realizado
Como la información que se genera son pruebas o
evidencias sobre un delito a los investigadores
forenses siempre que se les requiera pueden ser
llamados a juicio, es importante tener bien
organizados y documentados los casos asi como con
controles y seguridad de primera todos los
documentos que sirvan de soporte para un caso
Auditoria de los procedimientos realizados en la
investigación:
Este ítem es importante porque con este logra
realizar una autoevaluación de todos los
procedimientos y se recomienda cumplir con el
ciclo de calidad PHVA Planear – Hacer, Verificar y
Actuar.
C. Análisis de las evidencias y herramientas computacionales
para informática forense.
1. Estrategia para la recolección de pruebas electrónicas
1.1. Llevar un orden de recopilación de información
Se recomienda realizar un listado de verificación que
ayude en el proceso de recolección y comprobando
que todo esté en el sistemas.
1.2. Determinar la relevancia de los datos:
Al momento de identificar la evidencia se debe tener
claro que partes de ella son útiles o no para el caso, es
muy importante realizar una revisión rápida y certera
y no agregar información que no sea útil para caso.
Determinar la volatilidad de la información:
Verificar el orden en que se van a recopilar la
información y identificar cuáles son los equipos que
son volátiles o de mayor urgencias para el apagado
Eliminar la interferencia exterior:
Los datos no deben ser alterados, porque si es to se
hace la información pierde credibilidad, es necesario y
de carácter importante no contaminar la información.
Recoger Evidencia:
Es útil utilizar todas las herramientas que ahí
 3

disponibles para estos casos, recordando que ahí unas

que son de licencias gratis asi como otras que son de
software privativo
2. Orientaciones para recolección de evidencias
En este momento se muestras los procedimientos básicos
que pueden ayudar a cualquier investigador forense
destacando las siguientes características:
Cantidad de información Recolectada:
El investigador debe tener claro cuánto de la información
que se está analizando es útil para la investigación, por eso
debe saber identificar hasta qué punto lo que absorbe de la
investigación lograra ser útil para el desarrollo del caso con
sus evidencias.
3. Volatilidad de la evidencia:
Es muy importante

REFERENCES
 4

MAPA MENTAL

INFORMATICA
FORENSE

Analisis de las evidencias y

Fundamentos de la herramientas
Informatica Forense computacionales para la
informatica forense

Acciones en la escena del

Introduccion a la IF Fases de la IF Recoleccion de evidencia Herramientas de software Desarrollo de un caso IF
fraude informatico

Identificacion las Aplicaciones para Reconocimiento de sistemas

Que es la informatica forense Descripcion de las fases de IF Estrategia para la recoleccion
vulnerabilidades informaticas investigacion forense operativos

orientaciones para Clasificacion de herramientas

Definiciones generales Fase de identificacion preservar la escena del fraude imagenes de discos duros
recoleccion para informatica forense

Fases de Validacion y Construccion de un kit de iniciar un caso de informatica

Que es un delito claridad de la evidencia volatilidad de la evidencia
preservacion herramientas forense

Utilizando rastreadores de
Tipos de delitos informaticos Fases de analisis formato de la evidencia Analisis de la evidencia donde buscar evidencia
paquetes

ley 1273 de 2009 proteccion Fase de documentacion y Recomendaciones sobre el

cuidados de la evidencia analizando informacion
de la informacion presentacion de las pruebas uso del software