Tesis Informatica Forense Desbloqueado

Informática Forense
UNIVERSIDAD POLITÉCNICA SALESIANA
SEDE CUENCA
FACULTAD DE INGENIERÍAS CARRERA
DE INGENIERÍA DE SISTEMAS
Trabajo de Grado previo a la obtención del

Título de Ingeniero de Sistemas
“METODOLOGÍAS, ESTRATEGIAS Y HERRAMIENTAS DE LA

INFORMÁTICA FORENSE APLICABLES PARA LA DIRECCIÓN
NACIONAL DE COMUNICACIÓN Y CRIMINALÍSTICA DE LA
POLICÍA NACIONAL”
Autores: María Daniela Álvarez Galarza
Verónica Alexandra Guamán Reibán
Director: Ing. Vladimir Robles
Cuenca, Febrero 2008
1
DECLARACIÓN
Nosotras, María Daniela Álvarez Galarza y Verónica Alexandra Guamán Reibán,

declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que no
ha sido previamente presentado para ningún grado o calificación profesional; y, que
hemos consultado las referencias bibliográficas que incluyen en este documento.
A través de la presente declaración cedemos nuestros derechos de propiedad

intelectual correspondientes a este trabajo, a la Universidad Politécnica Salesiana,
según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad vigente.
Firma:
Daniela Álvarez G. Verónica Guamán R.

CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por María Daniela Álvarez Galarza
y Verónica Alexandra Guamán Reibán, bajo mi supervisión.
Firma:
Ing. Vladimir Robles
Director de Tesina
DEDICATORIA
A mi familia por el apoyo y amor permanente que me ofrecen cada instante, a mis
amigas, amigos y compañeros por el apoyo que de una u otra manera me han
brindado. Y de manera especial a una persona quien sin verlo más, ha cultivado en
mi vida y en la vida de mi familia el entender que cada día tenemos una nueva
oportunidad.
Daniela
DEDICATORIA
A lo largo de nuestra vida vamos haciendo cosas que quizás unas son más sencillas
que otras, pero cada una de ellas nos deja una enseñanza y fuera de ser una tarea que
cumplir son oportunidades para aprender y descubrir en los detalles lo que te ayuda
no sólo a la realización profesional sino a una realización personal.
A Dios, por permitir que las cosas se den.
A mis Padres, por su apoyo y enseñanzas
A los amigos y compañeros, por los momentos compartidos
Verónica
AGRADECIMIENTO
A los profesores por las enseñanzas compartidas, que nos han ayudado a
desenvolvernos en el desarrollo del trabajo de grado, que aunque a veces creíamos
que ciertas cosas no nos servirían, hoy podemos decir que todo cuanto se aprende en
una aula resulta muy acertado en el momento que nos toca actuar.
A la Policía Nacional del Ecuador y de manera especial al Teniente Pablo Inga por su
apertura, colaboración e interés prestado para que se desarrolle de la mejor manera el
trabajo.
Al Ing. Vladimir Robles, por ser un tutor con paciencia y por saber orientarnos.
Y sobre todo gracias a Dios por ser nuestra guía, a nuestros padres por su
preocupación y apoyo.
INDICE DE CONTENIDOS
CAPÍTULO 1
CONCEPTOS GENERALES SOBRE LA INFORMÁTICA FORENSE
1.1 Introducción…………………………………………………….. Pág. 2
1.2 Informática Forense.…………………………………………….. Pág. 3

1.2.1 Definición…...………………………………………......... Pág. 3
1.2.2 Objetivo de la Informática Forense………………………. Pág. 3
1.2 Computación Anti-Forense……………………………………... Pág. 4
1.4 Delitos Informáticos…………………………………………….. Pág. 7

1.5 Reglas de la Informática Forense……………………………….. Pág.9
1.6 Aspectos Legales………………………………………………... Pág.13
1.6.1 Ley de Comercio Electrónico, Firmas Electrónicas y
Mensajes de Datos …..…………………………………………. Pág.13
1.6.2 Ley de Propiedad Intelectual……………………………. Pág.14
CAPÍTULO 2
ANÁLISIS Y DIAGNÓSTICO DE LA INSTITUCIÓN
2.1 Antecedentes…………………………………………………….. Pág.16
2.2 Proceso Interdepartamental………………………………………. Pág.17
2.3 Herramientas Informáticas orientadas a la investigación de delitos

vigentes en la actualidad en la Policía Nacional…………............. Pág.19
CAPÍTULO 3
FASES DE LA INFORMÁTICA FORENSE
3.1 Identificación de Evidencia Digital…………………………….. Pág.25
3.1.1 Descubrimiento de las señales del ataque………… Pág.30
3.1.2 Recolección de evidencias……………………….. Pág.32
3.1.2.1 Cuidados en la Recolección de Evidencias………. Pág.33
3.1.2.2 Inicio de la Recolección……………………………Pág.34
3.2 Preservación de la Evidencia Digital……………………………... Pág.35
3.3 Análisis de la Evidencia Digital………………………………... Pág.37
3.3.1 Preparación para el análisis:

Entorno de trabajo………………………………… Pág.38
3.3.2 Reconstrucción de la secuencia temporal
del ataque…………………………………………..Pág.39
3.3.3 Determinación de cómo se realizó el
ataque………………………………….……………Pág.40
3.3.4 Identificación del autor o autores

del incidente……………………. …………….….. Pág.41
3.3.5 Evaluación del impacto causado

al sistema………………………………………..…. Pág.43
3.4 Presentación de Evidencia Digital……………………………… Pág.44
3.4.1 Utilización de formularios de registro

del incidente……………………………………………….Pág.44
3.4.2 Informe técnico…………………………………………….Pág.45
3.4.3 Informe Ejecutivo………………………………………….Pág.46

CAPÍTULO 4
METODOLOGÍAS Y ESTRATEGIAS EN BASE A LA INFORMÁTICA

FORENSE
4.1 Análisis de Soportes y Dispositivos Electrónicos………………. Pág.47
4.2 Análisis de la comunicación de datos…………………………… Pág.48
4.3 Metodologías y Estrategias……………………………………… Pág.49
4.3.1 Secuestros de Equipos……………………………… Pág.53
4 .3.2 Discos Duros………………………………………… Pág.55
4.3.3 Sistemas Operativos………………………………… Pág.57
4.3.3.1 File slack…………………………………….. Pág.58
4.3.3.2 Archivo Swap……………………………....... Pág.58
4.3.3.3 Unallocated File Space……………………… Pág.59
4.3.4 Bases de Datos…………………………………… Pág.61
4.3.5 Teléfonos móviles y tarjetas……………………… Pág.62
4.3.6 Análisis de sistemas vivos..……………………… Pág.64
4.4 Guía Informática Forense Aplicada para la Policía Nacional .…… Pág.71
CAPÍTULO 5
HERRAMIENTAS Y EQUIPOS PARA EL ANÁLISIS FORENSE
5.1 Análisis sobre las herramientas y equipos para la aplicación
de la Informática Forense para la Policía Nacional ……………. Pág.84
5.2 Costos de equipos y software para la aplicación de la Informática

Forense ………………………………………………………. Pág.86
5.2.1 Toolkit para el Departamento de Delitos Informáticos de
la Policía Nacional ..…………………………………. Pág.95
5.2.2 Entornos de trabajo sobre computación virtual para la
Policía Nacional ……………………………………… Pág.98
5.3 Perfil y capacitación para los miembros de la Policía Nacional en
el área de Informática Forense ………………………………. Pág.100
5.3.1 Perfil de un Informático Forense…………………...... Pág.100
5.3.2 Capacitación cursos y certificaciones……………… Pág.102
Conclusiones ………………………………………………………. Pág.107
Recomendaciones …………………………………………………… Pág.108
Bibliografía …………………………………………………………… Pág.110
Glosario
Apéndices
Apéndice A …………………………………………………………… Pág.112
Apéndice A1 ………………………………………………………… Pág.113
Apéndice A2 ………………………………………………………… Pág.114
Apéndice B……………………………………………………………. Pág.125
Apéndice ……………………………………………………………… Pág.130
FIGURAS:
Figura 1.1 Clasificación de la Computación Anti-Forense ………… Pág. 5
Figura 2.1 Organigrama del Departamento de Investigación
de Delitos Informáticos (Propuesta) ………………….. Pág.18
Figura 2.2 Sistema de Identificación Decadactilar automatizado …. Pág.21

Figura 3.1 Metodología del Análisis Forense ……………………… Pág.23
Figura 4.1 Copia de Disco Duro …………..………………………. Pág.56
Figura 4.1 Fragmento de un Archivo de Registro...……………….. Pág.60
TABLAS
Tabla 1.1 Nivel de Seguridad de Métodos Anti-Forenses………….. Pág. 6
Tabla 1.2 Sanciones para los delitos informáticos en el Ecuador…. Pág.15
Tabla 3.1 Identificación de la Evidencia (I) …………………… Pág.29
Tabla 3.2 Identificación de la Evidencia (II) …………………… Pág.30
Tabla 4.1 Archivos de Registro en Unix/Linux ………………….. Pág.59

Metodologías,
Estrategias y
Herramientas
de la
Informática
Forense
aplicables para
la Dirección Nacional de Comunicación y
Criminalística de la Policía Nacional.
CAPITULO I
CONCEPTOS GENERALES SOBRE LA INFORMATICA FORENSE
1.1 Introducción
Actualmente un medio más para cometer infracciones y eludir a las autoridades es la

tecnología. Esto ha creado la necesidad de que la Policía Nacional deba
especializarse y capacitarse en nuevas áreas en donde las tecnologías de la
información y de la comunicación respondan a favor de la Justicia.
En países como Estados Unidos, Alemania, Inglaterra, Colombia, Argentina, etc., se

está utilizando la Informática Forense con el fin de obtener pruebas y lograr
descubrir a los autores de dichas infracciones. Debido a la globalización de la
Sociedad de la Información, la informática Forense está adquiriendo una gran
importancia.
El interés de la Policía Nacional del Ecuador es establecer la Informática forense

para encontrar evidencias de los delitos informáticos, crímenes tradicionales y de
esta forma podrían ser utilizadas en cualquier proceso judicial como prueba del
ilícito. Se considera formalizar las técnicas y los procedimientos para darle valor
probatorio a esas evidencias digitales.
En un crimen muchas veces las computadoras portátiles, de escritorio, medios físicos

de almacenamiento como CD’s, DVD’s, memorias, teléfonos celulares, dispositivos
de almacenamiento masivo, etc., son evidencias por lo tanto se requiere de
mecanismos para recuperar, interpretar y usarlas para que puedan servir como
pruebas.
La finalidad de este documento es analizar metodologías, técnicas y proponer

herramientas a la Policía Nacional para que orienten y ayuden a manejar una escena
del delito en donde se vean involucrados sistemas de información o redes y la
1
posterior recuperación de las evidencias digitales.
1.2 Informática Forense
1.2.1 Definición
Es la ciencia forense que se encarga de la preservación, identificación, extracción,

interpretación y presentación de la información o datos que han sido procesados
electrónicamente y guardados en una computadora o sistema informático, que servirá
como evidencia digital.
La ciencia forense es sistemática y se basa en hechos premeditados para recabar

pruebas que luego serán analizadas.
1.2.2 Objetivo de la Informática Forense
Recobrar los registros y mensajes de datos existentes dentro de un equipo

informático, y si es necesario reconstruir los mismos con la finalidad de obtener
información digital que pueda servir como prueba en un proceso judicial.
1
LÓPEZ DELGADO Miguel, Análisis Forense Digital, Junio del 2007, CRIPORED Op. Cit
1.3 Computación Anti Forense
“Nadie puede diseñar un sistema, que alguien más no pueda comprometer o

vulnerar”. Esta frase nos advierte que las mejoras y acciones que se adelanten en las
herramientas forenses siempre estarán expuestas a nuevos desafíos y pruebas por la
llamada informática Anti-Forense. La cual nos permitirá nuevos desarrollos y
estrategias para enfrentar la inseguridad de la información y los exigentes requisitos
legales, alrededor de la evidencia digital, que se demandan al participar en un
proceso judicial.
La computación anti forense es un conjunto de métodos de levantamiento de

evidencias con el objetivo de debilitar los resultados de la computación forense,
utilizando ciertas herramientas con las cuales se obtiene información confiable para
crear insolvencias en la evidencia y el proceso forense.
Afectan los Datos (destrucción, ocultamiento, manipulación, fabricación),

2
herramientas (debilidades, fallas en los resultados), análisis (inconsistencias).
Características
 Interrumpe el proceso de recolección de evidencias

 Incrementa los tiempos necesarios de dedicación a un caso
 Genera dudas sobre un proceso forense o testimonio
 Afecta la ejecución y utilización de las herramientas forenses
 Evita la detección de alguna clase de evento ocurrido
La informática forense posee aspectos positivos y negativos tales como:
2
DELGADO BELTRÁN Carlos “Análisis Anti-Forense ”, Enero 2008 . Idem 3
15
Positivos
 Replantean y validan: procesos forenses, herramientas forenses y habilidades.
Negativos
 Pueden exonerar a un culpable.

 Pueden inculpar a un inocente.
 Afectar al proceso forense.
Clasificación
Clasificación
Destruir Ocultar Eliminar la Fuente Falsificar
Figura 1.1 Clasificación de la Computación Anti-Forense
A continuación se detalla las características y algoritmos que se emplean en la

clasificación de la computación anti-forense:
 Prevenir que la evidencia sea encontrada, y en caso de ello, reducir su

utilidad.
 Desmantelar o inutilizar la evidencia dentro de un proceso forense.
 No busca hacer la evidencia inaccesible, busca que esta sea irrecuperable.
 Nivel físico y lógico.
Física: a través de campos magnéticos (Deggauser), Guardian Dog (dispositivo

magnético).
Lógica: cambio de la composición de los datos, sobrescribir datos (Metada, Data), a

más de eliminar las referencias de los datos.
Wipe (Liberar): sobrescribir los datos mediante la utilización de algoritmos, a
continuación se listan los métodos utilizados para esto algoritmos y su nivel de
seguridad:
Método Nivel de Seguridad
Borrado rápido Bajo
RCMP TSSIT OPS-II Medio
DoD Simple Medio
DoD 5220-22 M Medio
Gutman Alto
PRNG Stream Medio-Alto
Tabla 1.1 Nivel de Seguridad de Métodos Anti-Forenses
El nivel de complejidad al usar estas herramientas es sencillo, y la recuperación de

estos datos es casi imposible, una de las posibles soluciones ante este tipo de ciencia
Anti – Forense es Análisis Magnético.
Métodos anti-forenses
Encriptación, es uno de los métodos más usados para debilitar la computación

forense.
Se puede dividir en tres tipos la encriptación:
Simétrica: se realiza por medio de una contraseña que se introduce al momento de

encriptar el archivo negando de esta manera el acceso. Su desventaja es que si existe
alguna necesidad debemos enviar la información encriptada a otra persona, le
deberíamos enviar la clave de la encriptación.
Asimétrica: se utiliza una combinación de llaves públicas y privadas y de un

Presshared Key utilizado para comenzar el proceso de encriptación.
17
Estenografía: Luego de la encripción de datos, los mismos se almacenan bajo la
apariencia de otros archivos. Estos archivos contienen los datos ocultos y se los
denominan archivos portadores.
Borrado Seguro: Comúnmente usada para eliminar datos almacenados en

dispositivos magnéticos. Se realizan mediante aplicaciones como: Wiper, Erase,
PGP, WinHex, etc.
Esconder mensajes: el arte de esconder mensajes, es de tal forma que las personas
no pueden percibir que eso sucede, por ejemplo la técnica más usada es en imágenes
y archivos de audio, mediante la adición de bits insignificativos, esta técnica es
posible debido a la incapacidad que tienen los seres humanos de percibir variaciones
de sonido y calidad de imagen.
Es importante tener en consideración, que las técnicas Anti-Forenses pueden ser de

mucha utilidad para mejorar el proceso forense, debido a que permiten enfrentar y
descubrir las vulnerabilidades a las que la informática forense está expuesta, y
controlar la destrucción de las evidencias y así evitar la culpabilidad de un criminal o
en el peor de los casos incriminar a un inocente.
1.4 Delitos Informáticos
Los delitos informáticos, son aquellos actos delictivos que en su realización hacen
uso de las tecnologías electrónicas ya sea como método, medio o fin y los delitos en
que se daña estos equipos, redes informáticas, o la información contenida en ellos,
3
vulnerando bienes jurídicos protegidos.
3
HUILCAPI PEÑAFIEL Arturo Oswaldo, CETID Opc.Cit
18
Los tipos de Delitos son:
Manipulación de computadoras:
 Manipulación de datos de entrada

 Manipulación de programas
 Manipulación de los datos de salida
 Daños o modificaciones de programas o datos computarizados
Falsificaciones informáticas:
 Cuando se alteran datos de los documentos almacenados en forma

computarizada.
 Cuando se usan las computadoras para efectuar falsificaciones de
documentos de uso comercial.
Fraudes en Internet:
 Carding: uso de tarjetas de crédito ajenas o fraudulentas

 Ventas de productos que nunca llegan a entregarse
 Estafas, subastas ficticias
 Phising: redirección mediante correo electrónico a falsas páginas
simuladas trucadas.
Seguridad Lógica:
 Sabotaje informático mediante: virus, gusanos, ataques de denegación de

servicio, sustracción de datos, hacking, descubrimiento y revelación de
secretos, suplantación de personalidades, sustracción de cuentas de correo
electrónico.
 Delitos de injurias, calumnias y amenazas a través del e-mail, news, foros,
chats o SMS.
Propiedad Intelectual:
 Piratería de programas de ordenador, de música y de productos

cinematográficos
 Robos de código.
Accesos no autorizados:
 Acceso no autorizado a servicios y sistemas informáticos.

 Piratas informáticos o hackers.
 Reproducción no autorizada de programas informáticos de protección
legal.
Otros delitos:
 A través de Internet se pueden comprar drogas ilícitas, armas, productos

farmacéuticos no regulados, documentos falsos.
 Pornografía infantil (producción, distribución y posesión)
1.5 Reglas de la Informática Forense
A continuación se presentan reglas generales para aplicar a cualquier proceso en la

informática forense, su cumplimiento es fundamental para asegurar la aceptación,
recepción de cualquier evidencia en un juzgado. Dado que la metodología que se
emplee será determinada por el especialista forense, el proceso escogido debe
4
aplicarse de forma que no se vulneren las reglas básicas de la informática forense.
Esencialmente, las reglas de la informática forense son:
4
CASEY, E. Digital Evidence and Computer Crime. Academic Press, 2000. Op.Cit.
Regla 1: Minimizar el Manejo del Original
La aplicación del proceso de la informática forense durante el examen de los datos

originales se deberá reducir al mínimo posible. Esto se puede considerarse como la
regla más importante en la informática forense. Cualquier análisis debe dirigirse de
manera tal que minimice la probabilidad de alteración, esto se logra copiando el
original y examinando luego los datos duplicados.
La duplicación de evidencia tiene varias ventajas:
 Asegurar que el original no será alterado en caso de un uso incorrecto o

inapropiado del proceso que se aplique.
 Permitir al examinador aplicar diferentes técnicas en casos dónde el mejor
resultado no está claro. Si durante tales ensayos los datos se alteran o se
destruyen, simplemente se recurre a otra copia.
 Permite a varios especialistas de informática forense trabajar en los mismos
datos, o en partes de los datos, al mismo tiempo.
 Asegurar que el original se ha preservado en el mejor estado posible para la
presentación en un juzgado.
Aunque hay ventajas al duplicar la evidencia, hay también desventajas.
 La duplicación de evidencia debe realizarse de la mejor manera y con

herramientas, que aseguren que el duplicado es una copia perfecta del
original. El fracaso para autenticar el duplicado apropiadamente, producirá
un cuestionamiento sobre su integridad, lo que lleva inevitablemente a
preguntar por la exactitud y fiabilidad del proceso del examen y los
resultados logrados.
 Duplicando el original, se está agregando un paso adicional en el proceso

forense, a mas de que la recreación de este ambiente se torna una tanto difícil,
esto implica que se requieren más recursos y tiempo extra para facilitar el
proceso de duplicación, y la metodología empleada debe extenderse para
incluir el proceso de la duplicación.
Regla 2: Documentar los cambios
Cuando ocurren cambios ya sea en la evidencia original o duplicados durante un

examen forense, la naturaleza, magnitud y razón para ellos debe documentarse
apropiadamente, esto se aplica tanto a nivel físico como lógico. Adicionalmente, el
perito debe ser capaz de identificar correctamente la magnitud de cualquier cambio y
dar una explicación detallada de por qué era necesario el mismo, este proceso
depende directamente de las habilidades y conocimiento del investigador forense.
Durante el examen forense este punto puede parecer insignificante, pero se vuelve un
problema crítico cuando el examinador está presentando sus resultados en un juicio.
Aunque la evidencia puede ser legítima, las preguntas acerca de las habilidades del
examinador y conocimiento pueden afectar su credibilidad, así como la confiabilidad
del proceso empleado. Con una duda razonable, los resultados del proceso forense,
en el peor de los casos, se consideraran inaceptables. Aunque la necesidad de alterar
los datos ocurre pocas veces, hay casos dónde al examinador se le exige el cambio
para facilitar el proceso del examen forense.
Regla 3: Cumplir con las Reglas de Evidencia
Para la aplicación o el desarrollo de herramientas y técnicas forenses se deben tener

en cuenta las normas pertinentes de evidencia.
 Asegurar que el uso de herramientas y técnicas no disminuye la admisibilidad

del producto final.
22
 Presentar la información de una manera que sea tan representativa del
original como sea posible. Es decir, el método de presentación no debe alterar
el significado de la evidencia.
Regla 4: No exceda su conocimiento
El especialista en informática forense no debe emprender un examen más allá de su

nivel de conocimiento y habilidad. Es esencial que el perito sea consciente del límite
de su conocimiento y habilidad. Llegado este punto, dispone de las siguientes
opciones:
 Detener cualquier examen y buscar la ayuda de personal más experimentado.

 Realizar la investigación necesaria para mejorar su propio conocimiento, para
que le permita continuar el examen y se alcance a obtener lo que se busca.
Es indispensable que el examinador forense puede describir correctamente los

procesos empleados durante un examen y explicar de la mejor manera la
metodología seguida para ese proceso. El fracaso para explicar competentemente y
con precisión, la aplicación de un proceso puede producir cuestionamientos sobre el
conocimiento y credibilidad del examinador.
Los análisis complejos deben ser emprendidos por personal calificado y

experimentado que posea un apropiado nivel de entrenamiento. Adicionalmente,
dado que la tecnología está avanzando continuamente, es importante que el
examinador reciba entrenamiento continuo.
1.6 Aspectos Legales
1.6.1 Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos

(Ley N°2002-67)
En abril del 2002 se aprobó el texto definitivo de la Ley de Comercio Electrónico,

Mensajes de Datos y Firmas Electrónicas, y en consecuencia las reformas al Código
Penal que hacen referencia a los delitos informáticos.
De acuerdo a la Constitución Política de la República del Ecuador, en su Título X,

Capítulo 3ro., al hablar del Ministerio Público, en su Art. 219 inciso primero señala
que el Ministerio Público prevendrá en el conocimiento de las causas, dirigirá y
promoverá la investigación pre-procesal y procesal penal. Esto es en concordancia
con el Art. 33 del Código de Procesamiento Penal que señala que: “el ejercicio de la
acción pública corresponde exclusivamente al fiscal”. Es por tanto el Fiscal quien
deberá llevar la voz en la investigación de esta clase de infracciones de tipo
informático para lo cual contara como señala el Art. 208 del Código de
Procedimiento Penal con su órgano auxiliar la Policía Judicial quien realizará la
investigación de los delitos de acción pública y de instancia particular bajo la
dirección y control Ministerio Público, en tal virtud cualquier resultado de dichas
investigaciones se incorporan en su tiempo ya sea a la Instrucción Fiscal o a la
Indagación Previa, esto como parte de los elementos de convicción que ayudarán
posteriormente al representante del Ministerio Público a emitir su dictamen
5
correspondiente.
La Ley de Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas regula

los mensajes de datos, la firma electrónica, los servicios de certificación, la
contratación electrónica y telemática, la prestación de servicios electrónicos, a través
de redes de información, incluido el comercio electrónico y la protección a los
usuarios de estos sistemas. También contempla un Capítulo con cinco artículos con
referencia al medio de prueba, que los mensajes de datos, firmas electrónicas,
documentos electrónicos y los certificados electrónicos nacionales o extranjeros,
5
Dr. ACURIO DEL PINO Santiago, Introducción a la Informática Forense
Dr. BERNAL Geovanny , Informática Jurídica, Enero 2008.
24
emitidos de conformidad con esta Ley, cualquiera sea su procedencia o generación,
serán considerados medios de prueba, con una valoración bajo los principios
determinados en la Ley y tomando en cuenta la seguridad y fiabilidad de los medios
con los cuales se la envió, recibió, verificó, almacenó o comprobó si fuese el caso,
sin perjuicio de que dicha valoración se efectúe con el empleo de otros métodos que
aconsejen la técnica y la tecnología. La valoración de la prueba se someterá al libre
criterio judicial, según las circunstancias en que hayan sido producidos. El juez o
árbitro competente que conozca el caso deberá designar los peritos que considere
necesarios para el análisis y estudio técnico y tecnológico de las pruebas presentadas.
Las Reformas al Código Penal de las Infracciones Informáticas incluyen los ataques
que se producen contra el derecho a la intimidad, a la obtención y utilización no
autorizada de información, sabotajes informáticos, falsificación electrónica, daños
informáticos, apropiación ilícita.
1.6.2 Ley de Propiedad Intelectual (May-98)
La Ley de Propiedad intelectual vigente en el Ecuador desde Mayo de 1998 se refiere

a las normas que garantiza el derecho de autor, inventor de la obra, invento o
descubrimiento correspondiente. Contempla los programas de ordenador (software).
Cuando se trata de software la protección es sobre los derechos de autor no como
invento o descubrimiento. Al ser producto de ingenio humano es considerado como
una obra literaria. El reconocimiento es independiente del objeto en el cual este
incorporada la obra, los derechos de autor se garantiza a pesar de no estar
incorporado en un ordenador e independientemente de su forma de expresión, es
decir sea legible para el hombre o para la máquina. Pueden ser diagramas de flujo,
planos, manuales de uso, programas operativos, aplicativos y todos los elementos
que conforman la estructura, secuencia y organización de un programa.
Los artículos 324 – 325 de la Ley de Propiedad Intelectual ha establecido las

sanciones a aplicarse en caso de violaciones contra estos derechos como la
publicación, difusión, reproducción, deformación, modificación, traducción,
mutilación, arreglo, adaptación, etc., no autorizados por el autor.
LEY DELITO QUE SANCIONA ARTÍCULO

Daños informáticos y 415.1-415.2
Ley de Comercio sabotaje informático Cod. Penal
Electrónico, Firmas Falsificación informática 353.1
Electrónicas y Cod. Penal
Mensajes de Datos Apropiación ilícita 553.1
Cod. Penal
Estafas y otras 563
ECUADOR defraudaciones Cod. Penal
Infracción CopyRight de base 415.1
de datos Cod. Penal
Accesos no autorizados 202.1-202.2
Cod. Penal
Pornografía Infantil 528.7
Cod. Penal
Ley de Propiedad Propiedad Intelectual 28 al 32
Intelectual
Tabla.1.2 Sanciones para los delitos informáticos en el Ecuador
Para luchar contra la Delincuencia Informática no sólo es necesario contar con leyes
e instrumentos eficaces sino también con la infraestructura tanto técnica como con el
recurso humano calificado para hacerle frente a este tipo de delitos cada vez más
crecientes. En cumplimiento con el mandato constitucional el Ministerio Público
tiene la obligación Jurídica de poseer un cuerpo especializado para combatir esta tipo
de criminalidad a fin de precautelar los derechos de las víctimas y llevar a los
responsables a juicio. Es preciso desarrollarse en las investigaciones tanto policiales
como del Ministerio Público especializadas en abordar cuestiones de la delincuencia
informática e informática forense.
Actualmente en la Policía Nacional está en proceso de aprobación la implementación

de una Unidad Especializada en Investigación de Delitos Informáticos con secciones
6
de Investigaciones e Inteligencia y de Análisis Forense.
6
Ing. ARIAS MIÑO Gonzalo Mayor de Policía. Op.Cit
CAPÍTULO 2
ANÁLISIS Y DIAGNÓSTICO DE LA INSTITUCIÓN
2.1 Antecedentes
Los pasos que hoy en día se dan en el campo de la tecnología son vertiginosas,
computadoras, celulares, Internet, automatización de tareas mediante la
implementación de programas, telecomunicaciones, etc., han llegado a ser parte de la
vida del ser humano, no solo en el ámbito laboral sino también personal debido a la
información sobre la identidad de cada persona, almacenada en las diversas Bases de
Datos, de igual manera las transacciones de compra, venta, pagos, depósitos, etc., se
lo realiza a través de Internet. Todo este flujo de información es trasmitida a través la
red de redes (Internet).
Lo que engloba esta era tecnológica trae interrogantes como, ¿Qué tan protegida está
la información?, de ¿Cómo se puede reaccionar a ataques contra la integridad del
individuo o de las empresas?, ¿De que si las leyes y medios existentes en nuestro
país pueden descubrir cómo, quién cometió el delito y que sentencia recibirá?.
En el Ecuador se han manifestado casos de delitos informáticos que no son

divulgados o denunciados por los individuos o empresas afectadas por evitar un caos,
por resguardar su imagen o, muchas veces por desconocimiento de la ley que
incrimina ciertos delitos informáticos.
La Policía Nacional tiene como funcionalidad resguardar y proteger a la ciudadanía,

por ello se considera que el crecimiento de la institución debe ser permanente y en
constante actualización, ya que cada vez más la tecnología informática se ha
convertido en un instrumento para cometer crímenes. La Policía es consciente de
que los delitos tanto tradicionales como informáticos que se suscitan en nuestro país,
demandan grandes desafíos en sus investigaciones ya que se han obtenido evidencias
como computadoras, teléfonos celulares, dispositivos de almacenamiento, programas
o cualquier tipo de hardware que requieren de conocimiento, técnicas y herramientas
de Informática Forense para que se pueda realizar una reconstrucción, análisis y
reconocimiento del delito de una manera adecuada y llegar así hasta el atacante. En
la misma institución se han dado casos de extorsión mediante la tecnología, en donde
no se ha podido aplicar una metodología de investigación de análisis forense para
poder obtener evidencias contundentes y de esta manera detectar a tiempo al
individuo y que sea enjuiciado.
La Policía Nacional al considerar que estos comportamientos delictivos afectan

directamente a la sociedad ecuatoriana en su conjunto, ha iniciado un Proyecto en el
que se desarrollan las reglas y normativas para la implementación de un
Departamento Especializado en la investigación de delitos informáticos.
2.2 Proceso Interdepartamental
La Policía Nacional para cumplir sus funciones se encuentra dividida en las

siguientes áreas:
 Policía Judicial
 Tránsito
 Migración
 Criminalística
o Investigaciones
 Antinarcóticos
 Departamento Nacional de Comunicaciones.
Cada área posee determinadas funciones cumplen con el objetivo de proteger y velar
por el bienestar de la ciudadanía.
28
Las investigaciones que se realizan sobre los crímenes o delitos (dependiendo del
tipo) requieren de la presencia e interacción de todos los departamentos de la Policía
Nacional.
Los delitos informáticos son denunciados directamente en la Dirección Nacional de

la Policía Judicial pero actualmente no son tratados en un departamento específico
para el correcto análisis y comprobación de los mismos, el personal policial que
actúa son los pertenecientes al Departamento Nacional de Comunicaciones si se trata
de delitos informáticos propiamente dichos, pero si se trata de delitos tradicionales y
que como medio se utilizó un dispositivo digital o electrónico actúa el Departamento
de Criminalística y dependiendo del caso el Departamento de Antinarcóticos.
La Policía Nacional ha visto la necesidad de mejorar el resguardo de la ciudadanía

con los atentados de este tipo de delitos. Por tal razón, la Policía ha realizado un
Proyecto en el que se proponen incrementar un departamento especializado en delitos
informáticos. Se plantea iniciar en la ciudad de Quito con la siguiente estructura del
departamento:
Figura 2.2 Organigrama del Departamento de Investigación de Delitos Informáticos (Propuesta)
Como objetivos del Departamento planteados en el Proyecto son los siguientes:
 Investigar delitos relacionados con el uso ilícito de recursos tecnológicos y de

esta manera brindar al Ministerio Público y a las unidades de la Policía
Nacional el soporte técnico en manejo de los indicios.
 Desarrollar conocimientos especializados de técnicas de investigación de
delitos cibernéticos.
 Mantener la cooperación de agencias de investigación, encargados de
mantenimiento de orden y seguridad pública en otros países.
 Aprobar los medios probatorios a la fiscalía.
 Utilizar herramientas y recursos tecnológicos para un adecuado análisis.
 Asistir al Ministerio Público para una correcta ejecución de las leyes contra el
cibercrimen.
 Detectar e investigar conductas ilícitas:
o Acceso ilegal a sistemas informáticos
o Interceptación ilegal de las telecomunicaciones
o Daños en sistemas informáticos
o Fraude electrónico
o Fraude en las Telecomunicaciones
o Pornografía infantil en sitios y servidores Web ubicados en nuestro
país.
Para que el Departamento en proyecto pueda responder a las expectativas ansiadas

se requiere de una exhaustiva investigación de la Informática Forense, para poder
escoger una metodología adecuada, con herramientas seleccionadas apropiadamente
y con una guía de buenas prácticas enfocada a la realidad de nuestro país.
2.3 Herramientas Informáticas orientadas a la investigación de delitos vigentes

en la actualidad
La Policía Nacional tiene un Sistema de Informática Integrado, que fue adquirido a la

empresa TransTools, el proyecto comprende el desarrollo de subsistemas a la medida
de las necesidades de la Policía Nacional.
El sistema informático está dividido en dos áreas:
Área de Gestión Externa, compuesta por los siguientes subsistemas:

 Tránsito
 Migración
 Investigaciones
 Antinarcóticos
Incluye la instalación e integración del Sistema de Identificación decadactilar

automatizado (AFIS) de la Empresa PRINTRAK MOTOROLA. Esta herramienta
en parte está enfocada a la informática forense.
Área de Gestión Interna, compuesta por los siguientes subsistemas:
 Recursos Humanos
 Salud
 Educación
 Inspectoría
 Inteligencia
 Operaciones
 Gerencial
 Documental
El objetivo de este desarrollo es lograr que la Policía cuente con una base de datos
integral y única basada en la información del personal policial, vehículos, objetos,
casos e incidentes.
El proyecto ha sido administrado con cinco componentes:
1. Acondicionamiento técnico operacional

2. Hardware y software de base
3. Software aplicativo
4. Conectividad
5. Capacitación.
El Sistema Informático no es un sistema sofisticado de inteligencia, el sistema
cumple los siguientes objetivos:
 Renovar la estructura organizacional de la Institución Policial para que esté

conforme con el cambio tecnológico y cultural.
 Formar un grupo de profesionales policiales en el área de informática para
responsabilizarse de la operación y mantenimiento futuro del Sistema
Informático Integrado.
 Consolidar una base de datos única a nivel nacional, a la que puedan acceder
los distintos funcionarios de la Policía Nacional, dependiendo de su rango y
los niveles de seguridad establecidos en el sistema.
Sistema AFIS
Figura 2.1 Sistema de Identificación Decadactilar automatizado
El Sistema de Identificación decadactilar automatizado (AFIS) actualmente está en

funcionamiento en el Departamento de Criminalística de las ciudades de Quito y
Guayaquil como apoyo en las investigaciones de crímenes tradicionales y que podría
ser útil también para investigaciones de delitos informáticos.
El sistema AFIS es un sistema de identificación policial basado en identificación

biométrica mediante huellas dactilares. El sistema automatiza las tareas de búsqueda
y almacenamiento de huellas dactilares, únicamente en los archivos policiales y en la
información de los registros de los detenidos.
El dimensionamiento del sistema es para un almacenamiento en línea de un máximo

de 200.000 tarjetas decadactilares de detenidos y 600.000 huellas latentes.
El sistema no mantiene la base de datos de todos los ciudadanos ecuatorianos porque

el Registro Civil está encargado de esta responsabilidad.
Convenios con Instituciones del Estado para mantener el Sistema Informático
Registro Civil: Convenio para validar y cotejar la información, para que los
documentos que emite la Policía Nacional, como licencias, matrículas, datos de
filiación, certificaciones de censos, requisitos de admisión a las filas policiales,
certificados de antecedentes personales, etc., sean verdaderas y confiables.
Servicio de Rentas Internas: Con las entidades bancarias no existe relación ya que
toda la información del pago de especies se realiza a través del sistema bancario, los
cuales directamente transfieren al Servicio de Rentas Internas y este a su vez
7
transfiere a la Policía Nacional.
La falta de Herramientas orientadas a la Informática Forense ha sido un problema

para la Policía Nacional ya que no ha podido cumplir a cabalidad las investigaciones
requeridas para obtener evidencias y así sustentar las pruebas para la sentencia de un
delito informático.
7
Agencia de Noticias de la Policía del Ecuador - www.policiales.coberturadigital.com
CAPÍTULO 3
FASES DE LA INFORMÁTICA FORENSE
La Policía Nacional, ante el manejo de evidencias sobre un crimen o delito

informático cometido, deberá actuar como cualquier proceso criminal, el primer paso
es asegurara la escena del delito restringiendo el acceso a la misma para no modificar
la evidencia. Los peritos que manejen el caso deberán poseer conocimientos sobre
las metodologías del análisis forense informático que se deben aplicar según el caso.
Presentación de
Analizar las evidencia
evidencias
Preservar las - Dar un informa
evidencias - Propósito: dar claro, conciso,
respuestas a las estructurada y sin
- Fase crítica preguntas. ambigüedad de las
- Preservar de forma ¿Quién, que cuando evidencias.
que no exista duda y como? - No se debe usar un
Identificar de la evidencia - Analizar lenguaje muy técnico
evidencia -Creación de requerimientos del - Deberá contener
imágenes a nivel de cliente. Búsqueda de las evidencias
bit las evidencias encontradas de
- Según prioridad - Generar checksum acorde al caso. acuerdo al caso
-Conservación inicial de original y copias
8
Figura 3.1 Metodología del Análisis Forense
Para llevar a cabo una investigación forense es adecuado conocer ciertos aspectos
tales como:
 Conocer las condiciones bajo las cuales, la evidencia será considerada como :
o Admisible
o Autentica
8
Equipo de Investigación de Incidentes y Delitos Informáticos. WWW.EIIDI.COM
o Completa
o Confiable
o Creíble
 Conocer el procedimiento para llevar a cabo una investigación, cuando debe

llevarse a cabo las cuestiones legales a tener en cuenta, dependiendo del país
donde se lleve a cabo.
Existen modos de Análisis para la Informatica Forense, estos son:
• Análisis post-mortem: se realiza con un equipo dedicado específicamente para fines

forenses para examinar discos duros, datos o cualquier tipo de información recabada
de un sistema que ha sufrido un incidente. En este caso, las herramientas de las que
se puede disponer son aquellas que existan en el laboratorio destinado al análisis de
discos duros, archivos de logs de firewalls, etc.
• Análisis en caliente: se lleva a cabo cuando un sistema presume que ha sufrido un

incidente o está sufriendo un incidente de seguridad. En este caso, se debe emplear
un CD con las herramientas de Respuesta ante Incidentes y Análisis Forense
compiladas de forma que no realicen modificaciones en el sistema. Una vez hecho
este análisis en caliente, y confirmado el incidente, se realiza el análisispost-mortem.
Cadena de custodia: el es conjunto de pasos o procedimientos seguidos para

preservar la prueba digital que permita convertirla y usarla como evidencia digital en
un proceso judicial. No existe un estándar reconocido públicamente.
La cadena de custodia debe:
– Reducir al máximo la cantidad de agentes implicados en el manejo o

tratamiento de evidencias.
– Mantener la identidad de las personas implicadas desde la obtención hasta

la presentación de las evidencias.
– Asegurar la firmeza de las evidencias.
– Registros de tiempos, firmados por los agentes, en los intercambios entre

estos de las evidencias. Cada uno de ellos se hará responsable de las
evidencias en cada momento.
– Asegurar la firmeza de las evidencias cuando las evidencias están
almacenadas asegurando su protección.
La secuencia de la cadena de la evidencia debe seguir el siguiente orden:
– Recolección e identificación de evidencia.
– Análisis.
– Almacenamiento.
– Preservación.
– Transporte.
– Presentación en el juzgado.
– Retorno a su dueño.
La cadena de la evidencia muestra:
– Quién obtuvo la evidencia.
– Dónde y cuándo la evidencia fue obtenida.
– Quién protegió la evidencia.
– Quién ha tenido acceso a la evidencia.
3.1 Identificación de la Evidencia Digital
En esta fase se debe localizar los dispositivos donde podemos encontrar evidencias,
ya que muchas veces la información que directa o indirectamente se relaciona con
esta conducta criminal queda almacenada de forma digital dentro de estos Sistemas
Informáticos.
La Evidencia Digital Es el conjunto de datos en formato binario, comprende los

ficheros, su contenido o referencias a éstos (meta-datos= datos acerca de datos) que
se encuentren en los soportes físicos o lógicos del sistema atacado, los mismos
pueden ser recolectados y analizados con herramientas y técnicas especiales.
Tipo de Evidencia Digital
 Constante: evidencia almacenada en un medio informático y que se mantiene

preservada después de que la computadora sea apagada.
 Volátil: evidencia que se encuentra almacenada temporalmente, en la

memoria RAM, o en el caché, y al interrumpir la alimentación eléctrica la
evidencia se pierde. Este tipo de evidencia deber ser recuperada casi de
inmediato, guardarlas a ficheros de ésta forma se convertirá en evidencias no
volátiles.
Es importante considerar la diferencia que hay entre la evidencia digital y evidencia

electrónica ya que estas pueden ser usadas como sinónimos, sin embargo la primera
9
se refiere a los aparatos electrónicos como celulares y PDAS y la segunda a la
información digital que estos contengan.
10
Clasificación de la Evidencia Digital
1) Evidencia
Física
- Soportes de Almacenamiento
 CPU
 Diskettes
 CD-ROMs, DVD
 Cintas magnéticas, etc.
- Dispositivos electrónicos
 Teléfonos celulares
9 PDAS: es un computador de mano originalmente diseñado como agenda electrónica (calendario,

lista de contactos, bloc de notas y recordatorios) con un sistema de reconocimiento de escritura. Hoy
día se puede usar como una computadora doméstica (ver películas, crear documentos, juegos, correo
electrónico, navegar por Internet, reproducir archivos de audio, etc.).
10
ZUCCARDI Giovanni – GUTIÉRREZ Juan David., Informática Forense.
 Agendas
 Organizadores electrónicos
11
- Dispositivos de comunicaciones de red
 Routers
 Switch’s
 Hub’s
2) Evidencia Lógica: cualquier dato almacenado o generado en un medio

magnético, este tipo de evidencia puede ser clasificada en tres categorías:
 Registros generados por computador: Estos registros son generados como

efecto de la programación de un computador, y son inalterables por una
persona, los mismos son llamados registros de eventos de seguridad (logs).
 Registros no generados sino simplemente almacenados por o en

computadores: Estos registros son generados por una persona, son
almacenados en el computador, por ejemplo, un documento realizado con un
procesador de palabras.
 Registros híbridos: estos registros incluyen tanto registros generados por

computador como almacenados en los mismos.
Los registros híbridos son aquellos que combinan afirmaciones humanas y
logs.
 Registros de cada servidor: son aquellos registros del sistema y de cada

programa en ejecución, como pueden ser los de un servidor Web Apache.
 Registros de tráfico de red
11
Switch: dispositivo electrónico de interconexión de redes de ordenadores que opera en la capa 2
(nivel de enlace de datos) del modelo OSI.
Hub: o concentrador es un equipo de redes que permite conectar entre sí otros equipos y retransmite
los paquetes que recibe desde cualquiera de ellos a todos.
Router: enrutador o encaminador, dispositivo de hardware para interconexión de redes de las

computadoras que opera en la capa tres (nivel de red)
38
 Registros de aplicación: son aquellos registros a los que cada aplicación
almacena sobre el acceso de los usuarios, errores ocurridos e información
sobre las actividades de cada usuario en la aplicación.
Fuentes de la Evidencia Digital
Las fuentes de evidencia digital pueden ser:
1) Sistemas de computación abiertos: están compuestos por computadoras

personales y servidores con sus periféricos (teclado, Mouse, monitor), son
una fuente de evidencia digital muy importante ya que almacenan gran
cantidad de información en sus discos duros.
2) Sistemas de Comunicación: están compuestos por redes de

telecomunicaciones, Internet y comunicación inalámbrica.
3) Sistemas Convergentes de Computación: formados por teléfonos

celulares, llamadas inteligentes, asistentes personales digitales PDAs,
tarjetas inteligentes y cualquier dispositivo electrónico que posea
tendencia digital.
12
Identificación de la Evidencia
Para la identificación de la evidencia dentro del proceso forense se debe:
 Anticipar qué procedimientos serán empleados en la práctica forense al

momento de recopilar la evidencia.
 Identificar el tipo de información almacenada en un dispositivo y el formato
en que se guarda, con la finalidad de usar la tecnología apropiada para extraer
la información que se mantienen en el mismo.
 Los investigadores forenses deben estar en capacidad de reconocer qué
formato tiene determinada información, cómo extraerla y qué medio
requieren para almacenar y preservar la misma.
Con la finalidad de determinar donde debe ser ubicada y como debe ser usada la
evidencia, se definen categorías para distinguir entre un sistema informático
o
12
Dr. ACURIO DEL PINO, Introducción a la Informática Forense Santiago. Op. Cit.p 13
hardware (evidencia electrónica) y la información contenida en este (evidencia
digital).
El hardware se refiere a todos los componentes físicos de un sistema informático, la

información se refiere a datos, programas almacenados, mensajes de datos
trasmitidos usando el sistema informático.
SISTEMA INFORMÁTICO
Hardware Evidencia Electrónica
(elementos físicos)
El hardware es mercancía - El hardware es una mercancía ilegal cuando su posesión no está

ilegal o fruto del delito. autorizada por la ley.
- El hardware es fruto del delito cuando es obtenido mediante robo,

fraude u otra clase de infracción
El hardware es un instrumento - Es un instrumento cuando del hardware cumple un papel

importante en al cometer del delito, es decir si se lo usa como una
13
arma o herramienta tal como una pistola, ejemplo snifers
El hardware es evidencia - Es un elemento físico que se constituye como prueba de la

comisión de un delito.
Tabla 3.1 Identificación de la Evidencia (I)
SISTEMA INFORMÁTICO
Información Evidencia Electrónica
La información es - La información es mercancía ilegal cuando su posesión no está autorizada

mercancía ilegal o por la ley. Ejemplo: pornografía infantil
fruto del delito.
- La información es fruto del delito cuando sea el resultado de la comisión de
una infracción. Ejemplo: copias piratas de programas, secretos industriales
hurtados.
La información es un - La información es un instrumento o herramienta, cuando es usada como

instrumento medio para cometer una infracción penal. Ejemplo: programas usados para
romper seguridad de un sistema informático, rompiendo contraseñas o
13 Snifers: es un programa para monitorizar y analizar el tráfico en una red de computadoras,

detectando los cuellos de botella y problemas que existan. También puede ser utilizado para
"captar", lícitamente o no, los datos que son transmitidos en la red.
brindan acceso no autorizado.
La información es - Esta categoría es de suma importancia, debido a que muchas de nuestras

evidencia acciones diarias dejan un rastro digital, se puede obtener mucha información
14
como evidencia. Ejemplo: información de los ISP’s , bancos ya que estos
pueden revelar actividades particulares de los sospechosos.
Tabla 3.2 Identificación de la Evidencia (II)
3.1.1 Descubrimiento de las señales del ataque
Para descubrir algún tipo de anomalía, incidente o ataque se deberá tomar en

consideración las siguientes tareas:
- Interpretar comandos en modo consola (cmd, bash)

- Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas
(fport, lsoft)
- Listar usuarios conectados local y remotamente al sistema
- Obtener fecha y hora del sistema (date, time)
- Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones
que los lanzaron (ps, pslist).
- Enumerar las direcciones IP del sistema y mapear la asignación de
direcciones físicas MAC con dichas IP (programas: ipconfig, arp, netstat,
net)
o MACMAC Times:
• Cada entrada del Sistema de Ficheros mantiene tres fechas y
horas
14 ISP’s: proveedores de servicio de Internet.
41
de todas las entradas que se encuentran en este (ficheros,
directorios, links, etc.).
• Importantes para el análisis de máquinas comprometidas.
• Los MAC Times son:
– Modificación (Modification): Cambios en el fichero o

directorio
a nivel de su contenido.
– Acceso (Access): Acciones de lectura, escritura (puede no

implica cambio), etc.
– Cambio (Change): Cambio a nivel de características del

fichero (permisos, usuarios, propietarios, etc.)
- Buscar ficheros ocultos o borrados (programas: hfind, unrm, lazarus)

- Visualizar registros y logs del sistema (programas: reg, dumpel)
- Visualizar la configuración de seguridad del sistema (auditpol)
- Generar funciones hash de ficheros (programas: sah1sum, md5sum)
- Leer, copiar y escribir a través de la red (programas: netcat, crypcat)
- Realizar copias bit-a-bit de discos duros y particiones (programas: dd,
safeback)
- Analizar el tráfico de red (programas: tcpdump, windump)
Opciones de Búsqueda
- Realizar una verificación de integridad de los ficheros del sistema,

utilidades como Tripwire o AIDE (Advance Intrusion Detection
Enviroment) ayudarán a ello.
- Conocer los procesos que se están ejecutando actualmente en el equipo y
ver cual de ellos consume más recursos, con ubicaciones poco frecuentes
en el sistema de archivos y los que mantengan conexiones de red en
puertos TCP o UDP no habituales.
- Listar todos los puertos TCP y UDP abierto, se deberá tomar muy en
cuenta aquellos procesos que emplean puertos altos por encima del 1024.
- Editar los archivos de registro del sistema y logs en busca de entradas y
avisos sobre fallos de instalación, accesos no autorizados, conexiones
erróneas o fallidas.
Al momento de descubrir una evidencia, se deberá:
- Conservar la evidencia, y por ningún motivo modificarla.
- Utilizar herramientas que no modifiquen el tiempo de ejecución de los

archivos.
- No modificar los archivos ni borrarlos.
3.1.2 Recolección de Evidencias
La recopilación de evidencias permite determinar el método de entrada al sistema, la

actividad de los intrusos, su identidad y origen, para todo ello se debe poseer mucha
precaución para evitar alterar las evidencias durante el proceso de recolección.
La recolección de evidencia, varía de país en país, y por lo tanto, un análisis exacto y

completo está fuera de los límites. Sin embargo, se presentan guías básicas que
pueden ayudar a cualquier investigador forense:
La IOCE (Organización Internacional de Evidencias en Computadora) define cinco
puntos principales para el manejo y recolección de evidencia digital:
1. Al recolectar evidencia digital, las acciones tomadas no deben cambiar por

ningún motivo esta evidencia.
2. La persona que tenga acceso a evidencia digital original, deberá ser un
profesional forense.
3. Toda la actividad referente a la recolección, el acceso, almacenamiento o a la
transferencia de la evidencia digital, debe ser documentada completamente,
preservada y disponible para la revisión.
4. Un individuo es responsable de todas las acciones tomadas con respecto a la
evidencia digital mientras que ésta esté en su posesión.
5. Cualquier agencia que sea responsable de recolectar, tener acceso, almacenar
o transferir evidencia digital es responsable de cumplir con estos principios.
3.1.2.1 Cuidados en la Recolección de evidencias
La recolección de evidencia informática es un aspecto frágil del la computación

forense, especialmente porque requiere de prácticas y cuidados adicionales que no se
tienen en la recolección de evidencia convencional. Es por esto que:
 Se debe proteger los equipos del daño.

 Se debe proteger la información contenida dentro de los sistemas de
almacenamiento de información (muchas veces, estos pueden ser alterados
fácilmente por causas ambientales, o por un simple campo magnético).
 Algunas veces, será imposible reconstruir la evidencia (o el equipo que la
contiene), si no se tiene cuidado de recolectar todas las piezas que se
necesiten.
El hardware es uno de los elementos que se deben tener en cuenta a la hora de la
recolección de evidencias, es por eso que se deben tener consideraciones especiales.
Lo primero que se debe preguntar el investigador es qué partes se deben buscar o
investigar.
3.1.2.2 Inicio de la Recolección
Para iniciar la recolección de evidencias se debe:
 Apagar el equipo atacado

 Anotar la fecha, hora de inicio y fin de cada uno de los pasos que se realicen
 Anotar las características y números de serie de cada equipo, de sus
componentes, de su S.O. (Sistema Operativo), etc.
 Fotografiar los equipos el entorno.
 Es recomendable que exista un acompañante durante el proceso de
recopilación de evidencias, ésta actuaría como testigo al tomar cualquier
acción en la escena, si es un Notario es mucho mejor.
Una vez que ya se realizaron las tareas anteriores se deberá definir el estado del
sistema y del atacante:
- Elegir el tipo de análisis que se efectuará en el equipo:

o Análisis con el equipo apagado= En frío: es válido si se lo realiza
bien, pero no se posee toda la información del ataque.
o Análisis en caliente=mientras el ataque se esta realizando: brinda
más información (procesos, conexiones de red, etc.), pero si se lo
realiza de forma inadecuada, puede perjudicar el posterior análisis
en frío, esto puede conllevar a problemas legales, disminuyendo la
contundencia de la evidencia.
- Mantenerse precavidos ante el estado del atacante, ya que este puede
seguir conectado y provocar borrado, moficado de la información
mediante una puerta de entrada.
- Asechar al atacante evitando que evada la vigilancia en caso de que este
se mantenga conectado.
Otro de los tantos problemas que posee un investigador forense, es buscar evidencia
volátil, es decir evidencia que se encuentre alojada temporalmente en la memoria
RAM o en el CACHE, son evidencias que se pierden cuando se apaga el
computador, por ello, este tipo de información debe ser recuperada de forma
inmediata.
3.2 Preservación de la evidencia
La preservación se enfoca en resguardar los objetos que tengan valor como
evidencia, de manera que estos permanezcan de forma completa, clara y verificable,
es importante que cualquier examen que se lleve a cabo no genere cambios, en caso
de suscitarse un cambio de manera inevitable, es esencial que se presente la razón
por la que se dio tal acontecimiento, explicando el suceso detalladamente, posterior a
ello debe ser registrado y justificado.
En esta fase se utiliza técnicas criptográficas como códigos de seguridad (función

15
hash, checksums).
15 Criptografía: es el arte o ciencia de cifrar y descifrar información utilizando técnicas que hagan
posible el intercambio de mensajes de manera segura que sólo puedan ser leídos por las personas a
quienes van dirigidos.
La fase de preservación interviene a lo largo de todo el proceso de investigación
forense, la misma interactúa con las demás fases.
Las tareas que se deben seguir para preservar la evidencia digital son:
- Realizar dos copias de las evidencias obtenidas.
- Generar una suma de comprobación de la integridad de cada copia
empleando función hash (MD5 o SHA1).
- Incluir las firmas obtenidas en la etiqueta de cada copia de la evidencia en
el CD o DVD, incluir fecha, hora de la creación de la copia y el nombre
de la misma.
- Proteger los dispositivos de factores externos como: cambios bruscos,

temperatura o campos electromagnéticos, ya que pueden alterar la
evidencia.
Si se extraen discos duros se deberá seguir el mismo procedimiento. Y en caso de

que se requiera que los discos sean analizados por otras empresas especializadas, se
debe solicitar que lo aseguren.
Función hash: es una herramienta fundamental en la cripotografía, son usadas principalmente para
resolver el problema de la integridad de los mensajes, así como la autenticidad de mensajes y de su
origen, es también ampliamente usada para la firma digital, ya que los documentos a firmar son en
general demasiado grandes, la función hash les asocia una cadena de longitud 160 bits que los hace
más manejables para el propósito de firma digital.
Otro aspecto que se debe tomar en cuenta es la cadena de custodia, donde se
establecen las responsabilidades y controles de cada una de las personas que
manipulen la evidencia, se deberá registrar los datos personales de todos los
implicados en el proceso de manipulación de las copias:
 Dónde, cuándo y quién manejo o examinó la evidencia, incluyendo su

nombre, su cargo, número de identificación, fechas y horas, etc.
 Quién estuvo custodiando la evidencia, durante cuanto tiempo y dónde se
almacenó.
 Cuando se cambie la custodia de la evidencia también deberá documentarse
cuándo y cómo se produjo la transferencia y quién la transportó.
3.3 Análisis de la Evidencia Digital
AFD (Análisis Forense Digital), es un conjunto de principios y técnicas que

comprende el proceso de adquisición, conservación, documentación, análisis y
presentación de evidencias digitales y que llegado el caso puedan ser aceptadas
legalmente en un proceso judicial.
Este análisis se dará por concluido cuando se conozca cómo se produjo el ataque,
quién o quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el
objetivo del ataque, qué daños causaron, etc.
Antes de realizar un análisis se debe tener en cuenta la siguiente información:
a) Sistema operativo afectado.
b) Inventario de software instalado en el equipo
c) Tipo de hardware del equipo
d) Accesorios y/o periféricos conectados al equipo

e) Si posee firewall
f) Si esta en el ámbito del DMZ (Zona desmilitarizada)
g) Conexión a Internet.
h) Configuración.
i) Parches y/o actualizaciones de software
j) Políticas de seguridad implementadas
k) Forma de almacenamiento de la información (cifrada o no)
l) Personas con permisos de acceso al equipo
m) El computador esta dentro del DMZ

16
n) Existe IDS
o) Cuantos equipos en red se encuentran conectados.
p) Listar usuarios conectados local y remotamente al sistema.
3.3.1 Preparación para el análisis: El entrono de trabajo
Es importante establecer estaciones de trabajo para realizar las distintas pruebas y

estudios al surgir un caso, dependiendo del ataque o crimen cometido. Para ello se
deberá:
- Clasificar el tipo de incidente

- Seguir el proceso inter-departamental para el manejo de las evidencias
- Identificar el tipo de dispositivo (computador, celular, memorias, PDA’s,
etc.) y las herramientas necesarias para su análisis.
16
IDS: las funciones que cumple el IDS son: Monitorea las actividades a nivel de usuario o procesos y
actividades de un sistema (HIDS), o las actividades de una red (NIDS), Cifrado de datos, hace un
diagnostico completo del ataque y en algunos casos puede dar recomendaciones de cómo controlar el
ataque.
49
En las estaciones se deberá operar de la siguiente manera:
- Montar imágenes de discos duros.

- Instalar Sistemas Operativos para realizar el estudio de evidencias.
- Realizar copias exactas del disco duro con la finalidad de realizar pruebas
y verificaciones conforme surjan las hipótesis del ataque.
- En caso de no disponer de recursos se puede usar de software para crear
17
una plataforma de trabajo con varias máquinas virtuales.
- Se puede crear un entorno de trabajo hipotético con las copias obtenidas
para realizar la emulación de los ataques.
3.3.2 Reconstrucción de la secuencia temporal del ataque
Una vez establecida la estación de trabajo, el primer paso es crear una línea temporal
de sucesos o timeline, para ello se deberá recopilar la siguiente información sobre los
ficheros:
- Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación

y borrado).
- Ruta completa del fichero.
- Tamaño en bytes y tipo de fichero.
- Usuarios y grupos a quien pertenece el fichero.
- Permisos de acceso.
- Identificar si fue borrado o no.
Esta información es la que más tiempo lleva recopilar pero es el punto de partida
para el análisis. Es importante preparar un script con la finalidad de automatizar el
proceso de creación del timeline.
Luego de realizar lo antes mencionado se deberá:
17 Máquinas virtuales: varios equipos lógicos independientes funcionando sobre un equipo físico. El
software que se puede emplear para la creación de plataforma es VMware.
- Ordenar los archivos por sus fechas MAC, esto se debe realizar debido a
que los archivos tendrán la fecha de instalación del sistema operativo, por
lo que un sistema que se instaló hace meses y que fue comprometido
recientemente presentará en los ficheros nuevas fechas MAC muy
distintas a las de los ficheros más antiguos.
- Buscar ficheros y directorios que han sido creados, modificados o
borrados recientemente.
- Buscar instalaciones de programas posteriores a la del sistema operativo y
que además se encuentren en rutas poco comunes.
- Buscar en lugares donde no se suele mirar, por ejemplo en los directorios
temporales.
- Buscar los archivos de sistema modificados tras la instalación del sistema
operativo, averiguar archivos ocultos donde se encuentran y que tipo son.
- Buscar archivos borrados, ya que pueden ser restos de logs y registros
borrados por sus atacantes.
- En las imágenes realizadas a los discos duros se puede acceder al espacio
residual que hay detrás de cada archivo ya que los mismos suelen
almacenarse por bloques, de tal manera que se pueda leer zonas que el
sistema operativo no ve.
- Recuperar archivos borrados, al momento de hacerlo, se deberá intentar
recuperar su contenido y fecha de borrado.
- Examinar y las horas de manera más detallada de los ficheros logs y
registros que ya se revisaron con la finalidad de encontrar una correlación
entre eventos.
- Revisar el archivo de contraseñas, buscar la creación de usuarios y
cuentas extrañas relacionar la hora de la creación de estas cuentas en caso
de que existan con la hora en la que se inició el ataque al sistema.
3.3.3 Determinación de cómo se realizó el ataque
Una vez que se disponga de la cadena de acontecimientos que se han producido, se

deberá determinar cuál fue la vía de entrada al sistema, averiguando qué
51
vulnerabilidad o fallo de administración causó el agujero de seguridad y que
herramientas utilizó el atacante para aprovecharse de tal brecha. Para ello se deberá:
- Combinar consultas a archivos logs, registro, claves cuentas de usuarios

etc.
- Prestar atención a los servicios y procesos abiertos, puertos abiertos
TCP/UDP y conexiones que ya se tomaron como evidencia volátil
cuando el sistema estaba aún vivo.
- Examinar las circunstancias sospechosas encontradas al indicio del
ataque, y buscar con ellas si son o no vulnerabilidades a través de Internet,
ejemplo: www.google .com, www.cert .com, www.securit yfocus.com.
- Si ya esta claro cual fue la vulnerabilidad del sistema, se deberá buscar en
18
Internet algún exploit anterior a la fecha del ataque, que utilice esa
vulnerabilidad.
- Reforzar cada una de las hipótesis mediante la fórmula causa-efecto.
- Utilizar la máquina “conejillo de Indias” con la finalidad de realizar las
pruebas y exploits encontrados.
- Comprobar si la ejecución del exploit sobre una máquina igual a la
atacada, genera los mismos eventos que se han encontrado entre las
evidencias.
3.3.4 Identificación del autor o autores del incidente
Una vez que se determinó como se infiltraron al sistema, ahora se tiene que saber
quién o quienes lo hicieron, para ello se deberá consultar nuevamente algunas
evidencias volátiles que fueron recopiladas en la primera fase:
18 Exploit: es un programa informático malicioso, o parte del programa, que trata de forzar alguna
deficiencia o vulnerabilidad de otro programa (llamadas bugs). Un "exploit" es usado normalmente
para explotar una vulnerabilidad en un sistema y acceder a él, lo que es llamado como "rootear" tener
privilegios de root (administrador). Se pueden encontrar exploits en www.paketstormsecurity.org
- Revisar las conexiones que se encontraban abiertas, que puertos y que
direcciones IP las solicitaron, a más de ello se deberá buscar entre las
entradas a los logs de conexiones.
- Indagar entre los archivos borrados que se han recuperado.
Para Identificar a los atacantes se debe realizar algunas averiguaciones como parte
del proceso de identificación:
- Averiguar la dirección IP del atacante, para ello se deberá revisar

detenidamente los registros de conexiones de red, los procesos y servicios
que se encontraban a la escucha. Esta información se podría encontrar en
fragmentos de las evidencias volátiles, la memoria virtual o archivos
temporales y borrados, como restos de e-mail, conexiones fallidas, etc.
- Al adquirir la dirección IP sospechosa, se deberá comprobar en el registro

RIPE NCC (www.ripe.net) a quien pertenece, es importante considerar
que no se puede sacar conclusiones prematuras, debido a que muchos
19
atacantes falsifican la dirección IP con técnicas de spoofing . Los
atacantes también pueden utilizar ordenadores zombis, éstos son
comprometidos en primera instancia por el atacante y posteriormente son
utilizados como instrumentos del ataque final sin que sus propietarios
sepan que están siendo cómplices de tal hecho. Por ello, para identificar a
su atacante tendrá que verificar y validar la dirección IP obtenida.
- Se puede emplear técnicas hacker para identificar al atacante ya que el
equipo del mismo debe tener inevitablemente un puerto que se encuentre
esperando noticias o buscando víctimas. Nmap (capítulo 5)
- Averiguar el perfil del atacante, se puede encontrar con los siguientes
tipos:
19 Spoofing: uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de

investigación.
53
o Hackers: personas con conocimientos en técnicas de
programación, redes, Internet y sistemas operativos, sus
ataques son en sentido ideológico y pacifista.
o ScriptKiddies: son personas nuevas que han saltado a la

escena de la delincuencia informática recientemente. Se trata
de jóvenes que con unos conocimientos aceptables en Internet
y programación emplean herramientas ya fabricadas por otros
para realizar ataques y “ver que pasa”.
o Profesionales: son personas con muchísimos conocimientos en

lenguajes de programación, redes y su equipamiento (routers,
firewall, etc.), Internet y sistemas operativos tipo UNIX.
3.3.5 Evaluación del impacto causado al sistema
El análisis forense ofrece la posibilidad de investigar qué es lo que han hecho los
atacantes una vez que accedieron al sistema. Esto permitirá evaluar el ataque
cometido a los equipos y realizar una estimación del impacto causado. Generalmente
se pueden dar dos tipos de ataques:
1) Ataques pasivos: en los que no se altera la información ni la operación

normal de los sistemas, limitándose el atacante solo a fisgonear.
2) Ataques activos: en los que se altera la información, y en ocasiones

seriamente, la capacidad de operación del sistema.
Se deberá tener en cuenta los efectos y el impacto que cause el ataque a sistemas,
servidores de Bases de Datos, servidores WEB, cortafuegos, router con la finalidad
de ser un aporte, presentando los daños encontrados, al personal de seguridad
informática de la institución atacada o en último de los casos a la compañía de
seguros de la misma.
20
3.4 Presentación de Evidencia Digital
Esta es la fase final de la investigación forense informática ya que se presentan los

resultados y hallazgos del investigador. Tan pronto como el incidente haya sido
detectado es importante tomar nota sobre las actividades que se llevan a cabo, cada
paso dado debe ser documentado y fechado desde que se descubre el incidente hasta
finalizar la presentación, la misma debe ser entendible, creíble, confiable y
convincente, es decir se deberá especificar claramente los procedimientos y las
técnicas utilizadas para recolectar, preservar y filtrar la evidencia de tal manera que
sea legalmente aceptable para ser presentadas a las entidades investigadoras y
judiciales.
3.4.1 Utilización de formularios de registro del incidente
La aplicación de formularios ayudará a presentar una resolución del incidente

mediante la presentación de informes uno Técnico y otro Ejecutivo. Estos
formularios deben ser llenados por departamentos o entidades afectadas o por el
equipo que gestiona el incidente, los formularios que se deben preparar son:
o Documento de custodia de la evidencia.

o Formulario de identificación de equipos y componentes.
o Formulario de incidencias.
o Formulario de publicación del incidente.
o Formulario de recogida de evidencias.
o Formulario de discos duros.
20
LÓPEZ DELGADO Miguel, Análisis Forense Digital. Op. Cit. p 2
AMAYA, Ricardo León, Informática Forense: Generalidades, aspectos técnicos y herramientas.
3.4.2 Informe Técnico
Este informe consiste en una exposición detallada del análisis efectuado. Deberá
describir en profundidad la metodología, técnicas y hallazgos del equipo forense.
Deberá contener, al menos, los siguientes puntos:
- Antecedentes del incidente.

- Recolección de los datos.
- Descripción de la evidencia.
- Entorno del análisis.
 Descripción de las herramientas.
- Análisis de la evidencia.
 Información del sistema analizado.
 Características del SO.
 Aplicaciones.
 Servicios.
 Vulnerabilidades.
 Metodología.
- Descripción de los hallazgos.
 Huellas de la intrusión.
 Herramientas usadas por el atacante.
 Alcance que ha tenido el delito.
 El origen del ataque
- Cronología del delito.

- Conclusiones.
- Recomendaciones específicas.
- Referencias.
3.4.3 Informe Ejecutivo
Este informe es un resumen del análisis efectuado a las evidencias digitales, el

mismo deberá:
- Ser redactado en un lenguaje común que sea legible para cualquier

persona.
- No ser escrito de manera técnica.
- Exponer los hechos más destacables de lo ocurrido en el sistema
analizado.
- Constará de pocas páginas, entre tres y cinco,
- Deberá ser de interés para exponer lo sucedido a personal no
especializado en sistemas informáticos, como el departamento de
Recursos Humanos, Administración, e incluso algunos directivos.
En el mismo se debe describir:
- Motivos de la intrusión.
- Desarrollo de la intrusión.
- Resultados del análisis.
- Recomendaciones.
57
CAPÍTULO 4
METODOLOGÍAS Y ESTRATEGIAS EN BASE A LA INFORMÁTICA

FORENSE
Las metodologías que se usen en la Informática Forense pueden ser diversas e

independientemente de las plataformas o sistema operacional donde se efectúen las
actividades de los investigadores forenses en informática se debe cumplir los
siguientes requisitos con la información o evidencia identificada.
Para las copias de la información se debe utilizar medios forenses
estériles
Mantener la integridad del medio original
Etiquetar, controlar y transmitir adecuadamente las copias de los datos,
impresiones y resultado de la investigación.
De esta forma la evidencia no será rebatida y tampoco descartada como medio

probatorio.
4.1 Análisis de Soportes y Dispositivos Electrónicos
Los soportes de almacenamiento, como los discos, almacenamientos removibles

(disquetes, discos ZIP, CD-ROM, DVD, etc.). Para su análisis se requiere una
comprensión completa tanto de la estructura física y del funcionamiento de los
medios de almacenamiento como la forma y la estructura lógica de cómo se
almacenan los datos.
Los dispositivos electrónicos se refieren a cualquier dispositivo capaz de guardar
información que posea valor como evidencia. Dentro de éstos se puede incluir a los
teléfonos celulares, agendas y organizadores electrónicos, dispositivos de
comunicaciones de red como routers, hubs, etc. El análisis de estos dispositivos es
más complejo que recuperar los datos de los soportes, inclusive el hardware
requerido es generalmente más especializado.
Por tanto por el amplio alcance de la informática forense, están involucradas varias
ciencias y disciplinas como ingeniería electrónica, criptografía, ingeniería de
software, comunicaciones, derecho, son áreas que en conjunto hacen posible el
análisis de los soportes de almacenamiento y dispositivos electrónicos.
4.2 Análisis de la comunicación de datos
Para realizar el análisis de la comunicación de datos, es importante abarcar dos

aspectos:
1. Intrusión en una red de computadoras o el mal uso de la misma.

2. Interceptación de datos.
El análisis sobre estructuras de esta naturaleza, consiste en las funciones siguientes:
Detección de la intrusión o interceptación.
Detectar la evidencia, capturarla y preservarla.
Reconstruir de la actividad específica o del hecho en sí.
Para la detección de la intrusión o interceptación generalmente se utiliza software

especializado y en algunos casos hardware, para supervisar la comunicación de los
datos y conexiones con el propósito de identificar y aislar un comportamiento ilegal.
Dicho comportamiento incluye el acceso no autorizado, modificación del sistema en
forma remota y el monitoreo no autorizado de paquetes de datos.
Después del descubrimiento de la intrusión o un comportamiento anormal, se debe
capturar la evidencia, para que se pueda conservar para el posterior análisis.
La reconstrucción de la intrusión o un comportamiento anormal permite un examen

de todos los datos recogidos durante la captura de la evidencia.
4.3 Metodologías y Estrategias
Para realizar un análisis forense se requiere de una metodología científica probada, y

del uso de la tecnología disponible para encontrar, recolectar, procesar e interpretar
datos, así como de una cuidadosa cautela y de buenos conocimientos.
Los componentes principales que debe cumplir una metodología para un análisis
forense es:
Marco Científico: Investigaciones y experiencias apoyadas estrictamente en el

método científico. Más allá de la fluidez argumentativa propia de cada profesional
se debe aportar estructura lógicas necesarias para justificar las fundamentaciones de
manera estricta e irrebatible.
Marco Criminalístico: Interrelacionarse con los restantes especialistas del área,

interactuar con los mismos, trabajar en forma mancomunada y en base a visiones
específicas llegar a conclusiones coherentes. Obtener los conocimientos necesarios
para detectar, documentar, preservar y de ser necesario secuestrar los elementos
probatorios propios de otras especialidades presentes en el lugar del hecho.
Marco Informático general: las metodologías de Análisis de Sistemas, que se
utiliza en herramientas de uso general se pueden adaptar a las actividades periciales
informáticas. Las etapas de relevamiento de información y desarrollo de un modelo
coherente de análisis, se evidencian como instrumentos adecuados para brindar
soporte metodológico a la actividad del experto en informática Forense.
Marco Informático específico: en relación con las herramientas propias del análisis
forense informático, deben ser abordadas desde las características más adecuadas que
vayan con la realidad de nuestra sociedad, ya sean ambientes de software libre o
software propietario.
Marco Legal: Implica la inserción legal del accionar pericial al concurrir al lugar del
hecho, los cumplimientos de los plazos legales, la condición de testigo experto, los
artículos de las leyes vigentes en nuestro país.
Al cumplir con los componentes metodológicos nombrados el Informe Pericial será:
 Científicamente fundamentado
 Criminalísticamente interrelacionado
 Modelado mediante técnicas propias del Análisis de Sistemas.
 Investigado con las mejores herramientas disponibles.
 Inserto en el marco legal correspondiente.
Metodología Sistémica
La investigación es una serie actividades tendientes a resolver un problema

específico y acotado, la metodología sistémica es una de las más apropiadas y
actualizadas para enfrentar dicha tarea.
Los métodos clásicos de inducción, deducción y abducción, todos ellos reunidos en
el método científico, constituyen herramientas inevitables y básicas en una
investigación, pero la planificación general es sistémica.
Los aspectos a considerar dentro de las metodologías de la Informática forense son:
 Asegurar que ninguna persona tenga acceso a la computadora y a sus

alrededores. Si es una empresa se debe identificar al personal informático
interno y a los usuarios de aplicaciones específicas que deben someterse a
peritaje.
 Si la computadora se encuentra encendida, fotografiar la pantalla.
 Si la computadora se encuentra apagada, no encender ya que pueden activarse
sistemas que destruirán la información.
 Deshabilitar la energía desde su fuente o cerrar el sistema usando los
comandos del Sistema Operativo, si son notebooks será necesario quitarle la
batería. El perito informático determinará la modalidad de apagado y
desconexión eléctrica.
 Desconectar o deshabilitar el módem
 Desconectar la fuente de la impresora
 Insertar un diskette, cd o dvd cubierto con cinta de evidencia
 Antes de empezar con el procesamiento de la evidencia se debe fotografiar
una toma completa del lugar donde se encuentran los equipos, a las
conexiones de todos los equipos y luego diagramarlas. En algunos casos si es
conveniente se puede realizar una filmación.
 Rotular todas la conexiones de los equipos para poder restaurar la
configuración original
 Fotografiar el área después de que el gabinete ha sido removido
 Investigar el área en busca de información relacionada o de contraseñas.
 Secuestrar libros, notas, manuales, software, discos, sistemas de
almacenamiento y todo lo relacionado al sistema; y realizar un inventario de
lo secuestrado.
 Para tocar el material informático se lo debe hacer con guantes descartables
ya que el objeto de la investigación puede ser el mouse, teclado, CDs, DVDs,
etc. y puede servir para el análisis de huellas dactilares, ADN, etc.
 Colocar los discos en sobres de material que no conduzca la estática
 Interrogar a todos los sospechosos
 Transportar la evidencia, no colocar elementos cerca de fuentes
electromagnéticas (radios policiales)
 Trasladar la computadora a un lugar seguro
 Realizar copias de seguridad de los canales de bits, discos rígidos, etc.
 La evidencia es frágil y puede ser alterada o destruida fácilmente por lo tanto
la recuperación forense se debe realizar en las copias y de esta manera se
podrá preservar la evidencia; solamente si es que existieran circunstancias
extremas se podrá tocar la evidencia original.
 Autentificar matemáticamente la información de los Sistemas de
Almacenamiento
 Antes de acceder a las pruebas se deben registrar, es decir realizar el hash del
soporte accedido.
 Cuando las diligencias son realizadas en momentos que no son visibles para
comprobar algunas circunstancias como antenas externas, conexiones con
otros edificios, etc., es recomendable operar en horas que preceden al
amanecer.
 El perito informático debe escuchar durante la operación, a las personas que
hayan llegado en primer término, ya que podrán dar testimonio de cómo se
encontraron los cambios sufridos.
La base de la metodología de trabajo de un informático forense es el ver más allá

de lo visible.
La investigación no debe limitarse solo en el lugar desde dónde se accede a la

información o donde se encuentra almacenada la misma; debe extenderse a todo
su contorno y lugares adyacentes.
Método Espiral:
Una manera de hacer la inspección es mediante la forma que se denomina espiral,

desde afuera hacia adentro. Si el hecho está en el interior de un lugar entonces la
inspección se debe dar desde las paredes hasta llegar al sitio principal.
Método Cuadrícula:
Cuando el sitio es muy grande se lo fracciona en cuadrículas, posteriormente se

revisa las cuadrículas con el método espiral.
Las fracciones serán divididas en base a las distancias que se encuentran los
elementos, así como también las dimensiones del lugar; las cuales deben ser
calculadas con exactitud (no a simple vista o mediante pasos).
La Unidad de Análisis Forense de la Policía Nacional, al emplear éste método

debe dividir las inspecciones de los lugares anexos al personal de la Unidad, al
momento de encontrar algún indicio, no se debe tocar, comunicar del
descubrimiento y se sujetarán a la acción a tomar por decisión del Jefe de la
Unidad. No se debe subestimar una opinión y tampoco un dato por su aparente
obviedad.
En la investigación de los hechos delictivos todo lo que se encuentra el lugar del

suceso sirve, nada debe descartarse como inútil
4.3.1 Secuestros de Equipos
Para un análisis forense debemos contar con resultados previsibles de máxima y

mínima, que nos aseguren contar con la prueba necesaria. Se debe proceder a
accionar una aproximación, acceso, protección y secuestro de los equipos o
datos pretendidos.
El secuestro de equipos tiene carácter procesal y sirve para que el Juez asegure
las pruebas y se de veracidad en los resultados del juicio.
Para el secuestro de equipos se debe identificar cada uno de los dispositivos
computacionales, siempre es preferible secuestrar dispositivos informáticos que
almacenan grandes volúmenes (computadoras, notebooks, discos rígidos
externos) también puede secuestrarse DVD, CDs, discos Zip,etc. y entornos de
red.
Se debe rotular el hardware que se va a secuestrar:
 Para computadoras, notebooks, palmtops, celulares, etc.:
o Número del Expediente Judicial

o Fecha y Hora
o Número de serie
o Fabricante modelo
 Para DVDs, CDs, Diskettes, discos Zip, etc.:
o Almacenarlos en conjunto en un sobre antiestático

o N° del Expediente Judicial
o Tipo (DVDs, CDs, Diskettes, discos Zip, etc.)
o Cantidad.
Cuando se necesite secuestrar periféricos específicos conectados a los equipos

informáticos se debe identificar con etiquetas con números los cables para mostrar
dónde se deben conectar y también deben ser fotografiados los equipos con sus
respectivos cables de conexión etiquetados.
Para que una investigación sea efectiva es esencial saber concretamente que se va
a incautar para proceder a embalar y transportar correctamente los medios
computacionales, la información de los equipos debe ser levantada de la manera
más cautelosa, posterior a esto se da paso a la cadena de custodia, la cual tiene
como objetivo garantizar la integridad de los datos en los medios de
almacenamiento originales durante toda la investigación y de esta manera asegurar
la admisibilidad de las pruebas. Durante el proceso de captura, se realizará la
copia exacta bit a bit, desde ese momento se trabajará únicamente sobre la imagen
forense.
Se debe considerar la custodia, ya que muchas veces existen individuos que operan
equipos que han sido secuestrados, destruyendo así la evidencia y si no son
correctamente vigilados serán fácilmente comprometidos.
4 .3.2 Discos Duros
Generalmente la escena del crimen es el disco duro, por lo que hay que evitar
cualquier situación que pueda alterarlo y se pierdan pistas importantes de la
intrusión, es necesario tomar notas de lo que se hace con el disco duro y a qué hora,
Este análisis no sólo busca archivos incriminatorios, sino también otra información
valiosa como passwords, logins y rastros de actividad en Internet, etc.
En el momento que se trabaja con el medio original se tendrá que estar acompañado
del delegado a constatar los efectos legales.
Las copias deben ser realizadas bit a bit (imágenes del disco). La investigación se
hará sobre la copia y no sobre el original. Es recomendable hacer tres copias del
disco duro original y hacer una verificación criptográfica, un checksum. También
realizar dumps de memoria y almacenarlos al igual que los discos.
Figura 4.1 Copia de Disco Duro
Ya sobre la copia, es necesario utilizar técnicas de búsqueda para identificar

actividades del intruso, como el uso de archivos específicos, palabras claves,
archivos creados, modificados o borrados, últimos accesos, configuraciones (sistema
y de usuarios), revisar bitácoras, analizar ligas existentes de acceso directo a
aplicaciones, archivos o dispositivos, etc.
Se puede basar en los cookies y en los archivos temporales de Internet para intentar
determinar sus hábitos de navegación.
Para poder deducir las aplicaciones instaladas o utilizadas se debe analizar los
archivos temporales que se generaron.
A través del spool de impresión del sistema se puede determinar si el atacante

imprimió archivos. Los archivos generados (Windows) para impresión tienen la
extensión SPL o SHD. Al buscar estos archivos es posible obtener información
como el nombre del archivo impreso, el propietario, la impresora utilizada y los
datos impresos.
El buscar archivos borrados, buscar bitácoras y archivos sospechosos mediante

herramientas de software y técnicas especiales podemos rescatar datos que nos
pueden guiar en la investigación.
67
4.3.3 Sistemas Operativos
Existen diversas metodologías y una gran cantidad de herramientas que pueden ser
ejecutadas bajo la los diferentes sistemas operativos para poder realizar una
investigación correcta, contando que se debe analizar la variedad de formatos de
archivos, los cuales pueden variar significativamente aún dentro del contexto de un
sistema operativo.
Para consultar los archivos de registro del sistema y logs en busca de entradas y
avisos sobre fallas de instalación, accesos no autorizados, conexiones erróneas o
fallidas, etc., depende de la plataforma para la ubicación de estos archivos.
Microsoft Windows: Proporciona un entorno donde se puede verificar si las

aplicaciones son seguras.
Los pasos a seguir son los siguientes:
- Menú: Herramientas administrativas

- Visor de sucesos
- El de servicios o
- Directiva de seguridad social
También en el registro de Windows se encuentra gran cantidad de información, se

puede utilizar la aplicación del sistema regedit.exe o las siguientes herramientas:
- Reg, que permite consultar al registro sin modificarlo

- Regdmp, exporta el registro en formato de texto plano (.txt)
Debido a la gran cantidad de información que almacena y se mezcla, se debe ser

cuidadoso y es recomendable empezar por buscar en las claves del registro Run,
RunOnce, RunOnceEx, RunServices, RunServicesOnce, Winlogon, ya que bajo
68
estas claves se encuentran los programas, servicios y aplicaciones que se cargan al
inicio del sistema, y es donde se puede ver algo sospechoso.
4.3.3.1 File slack
Los archivos son creados en varios tamaños dependiendo de lo que contengan. Los
clústers son bloques de tamaño fijo donde los sistemas DOS, Windows
95/98/ME/XP/VISTA y Windows NT almacenan los archivos, no es común que el
tamaño de los archivos coincida totalmente con el tamaño de uno o varios clusters.
El tamaño de los clústers varía por su longitud, esto depende del sistema operativo.
En Windows 95/98/ME/XP depende del tamaño de la partición lógica involucrada.
Se denomina file-slack al espacio de almacenamiento de datos que se da desde el

final del archivo hasta el final del clúster. Los clusters están compuestos por bloques
de sectores y si no hay suficientes datos en el archivo para cubrir el último sector del
archivo DOS/Windows diferencia hacia arriba los datos completando el espacio
restante con datos que se encuentran en ese momento en la memoria del sistema. Por
lo tanto un tamaño más grande en los clusters significan más file slack y también
mayor pérdida de espacio de almacenamiento y esta debilidad de la seguridad del
computador crea una ventaja para el investigador forense, porque el file slack es una
fuente significativa de pistas y evidencia ya que contiene octetos de datos
aleatoriamente seleccionados de la memoria del computador.
4.3.3.2 Archivo Swap
Los sistemas operativos Windows utilizan un archivo especial nombrado Swap de

Windows o Directorios de Página de Windows en el sistema operativo Windows NT.
El tamaño de estos archivos se extiende desde 20MB a 200MB, el objetivo de estos
archivos es contener archivos sobrantes del tratamiento de los procesadores de texto,
los mensajes electrónicos, la actividad en Internet (cookies, etc), logs de entradas a
bases de datos, etc. Es un problema de seguridad ya que se da un almacenamiento
transparente, pero estos proporcionan a la investigación forense grandes pistas.
4.3.3.3 Unallocated File Space
Para el borrado de archivos solamente si se ha utilizado alguna herramienta

especializada se podrá dar efectivamente caso contrario cuando los archivos son
borrados o suprimidos en DOS, Windows, el contenido de los archivos no son
borrados verdaderamente ya que estos permanecen en un área llamada espacio de
almacenamiento no-asignado (Unallocated File Space). Por lo tanto aunque los datos
no sean visibles siguen existiendo y pueden ser revelados con herramientas forenses.
UNIX/Linux: Se dispone de una serie de archivos de registro (logs), generalmente

en el directorio /var/log, en la siguiente tabla se describe a los archivos más
importantes:
Archivos de Registro Descripción
/var/log/messages Contiene los mensajes generales del

sistema
/var/log/secure Guarda los sistemas de autenticación y

seguridad
/var/log/wmtp Guarda el historial de inicio y cierres de

sesión pasadas
/var/run/utmp Guarda una lista dinámica de quién ha

iniciado la sesión
/var/log/btmp Guarda cualquier inicio de sesión fallido

o erróneo
Tabla 4.1 Archivos de Registro en Unix/Linux
70
Bajo el directorio /var se encuentran los propios archivos de registro de los
programas y aplicaciones. Se encuentran en modo texto y se podrá buscar indicios
del ataque mediante un editor o visor de texto.
A continuación se presenta un fragmento de un archivo /var/log/messages en una

máquina acometida.
Figura 4.1 Fragmento de un Archivo de Registro
En la entrada cuarta y quinta del archivo se puede notar una modificación ya que se
ve un salto en la secuencia de fechas, tiene dos entradas con fecha del 22 de enero
tras dos entradas con fecha del 23 de enero.
Aunque estos detalles no son determinantes, si pueden ser indicios que indiquen que
los sistemas estaban siendo causa de un trasteo.
Los archivos de claves, usuarios y grupos también pueden ayudar para la búsqueda
de evidencias, se pueden encontrar en / etc/ passwd, / etc/ shadow.
Además de estos archivos de registro, también pueden contener indicios los archivos
de claves, usuarios y grupos, los cuales se pueden encontrar en el directorio:
/etc/passwd, /etc/shadow,/etc/group.
Al editar el archivo /root/ .bash_history se puede obtener los comandos ejecutados
por el usuario root.
4.3.4 Bases de Datos
Para iniciar el análisis forense en una Bases de Datos, primero es necesarios conocer
el diccionario de datos de la misma, ya que este posee tablas con información
importante de la Base de Datos tal como:
 Información del estado y creación de la Base de Datos.

 Información de usuarios creados y roles asignados.
 Información de usuarios que acceden a la Base de Datos y a sus objetos
(tablas, índices, procedimientos)
Es muy importante que el informático forense posea conocimientos básicos en la

ejecución de consultas SQL, y los nombres más importantes de los atributos de cada
tabla que forma parte del diccionario de datos.
El trabajo de la Informática forense para encontrar algún tipo de evidencia en una

Base de Datos se tiene que dar tanto en la capa física como lógica. Debido a que en
la capa física se encuentran archivos de la BD que residen en disco y en la capa
lógica se encuentran las estructuras que mapean los datos hacia esos componentes
físicos.
Los primeros archivos que se deben verificar y estudiar su estado después del ataque
en la capa física de la Base de Datos son:
 Los primeros archivos que se deben revisar son los control files, ya que estos
archivos contienen información de la ubicación de los datafiles y redo log
 En la Capa física se encuentran los datafiles, estos almacenan toda la
información almacenada en la BD, por ello después de comprobar el estado
de los control files se deberá analizar en la BD el estado de los datafiles, ya
que muchos objetos (tablas, índices) pueden compartir varios datafiles, y la
evidencia puede encontrases entre esas tablas.
 En caso de que el atacante realizo algún tipo de daño en la BD, se puede

acudir al uso de los archivos redo log (deshacer) los mismos almacenan
información que se utiliza para la recuperación de la BD en caso de falla,
estos archivos almacenan la historia de cambio de la BD y son útiles cuando
se requiere corroborar si los cambios que la BD ya ha confirmado, se han
efectuado realmente en los datafiles.
Posterior a verificar los estados de los archivos en la capa física se procede ha la

capa lógica, en ella se encuentra el esquema de la Base de Datos, el cual consiste
de objetos como tablas, clusters, índices, vistas, procedimientos, secuencias, entre
otros, con ello se puede comprobar:
 Las tablas existentes, si se borro o modifico alguna tabla y que usuraos tienen
acceso a ellas, de tal manera que si un usuario que solo tiene acceso al
departamento financiero y este puede ingresar a información del
departamento de auditoría, entonces ya existe una anomalía.
4.3.5 Teléfonos móviles y tarjetas
Cuando se obtiene como evidencia un teléfono móvil, blackberry o PDA, es

importante evitar comunicaciones salientes o entrantes del dispositivo para evitar la
modificación del estado en el que se encuentra y también evitar el tráfico entrante
que pudiera sobrescribir registros históricos o mensajes existentes.
Existen dos opciones al momento de incautar un dispositivo de este tipo:
 Mantenerlo encendido pero aislado de la red.

 Apagar el dispositivo.
La primera opción de mantenerlo encendido y con una bolsa aislante se consigue que
el dispositivo deje de estar conectado a la red. Pero estos dispositivos al no encontrar
portadora para comunicaciones, aumentan su potencia de emisión y la frecuencia
con la que intenta buscar red, por lo tanto la vida de la batería se acorta.
En cambio la segunda opción tenemos un problema adicional ya que la mayoría de

las veces estos dispositivos están protegidos mediante contraseñas o códigos PIN. Y
nos tocaría investigar contraseñas o irrumpirlas.
Se puede optar por varias salidas, ya que existen casos que en que utilizar fuentes de
alimentación portátil al ser almacenadas con el dispositivo en la bolsa aislante resulta
efectivo para reducir el consumo de la batería.
Para la pericia de la telefonía móvil se tiene la información que contiene el móvil en

su memoria interna y en su SIM, y la que aporta la operadora de telefonía móvil. Si
la tarjeta SIM está bloqueada mediante vía judicial se puede solicitar el número
PUNK a la operadora, también se puede solicitar las llamadas entrantes, salientes,
mensajes cortos y buzón de voz, todo en dependencia del tiempo que cada operadora
lo almacene en sus bases de datos.
Una ayuda para ésta área serían los mapas de localización del móvil durante su uso
en relación al posible hecho delictivo.
Se puede tener el caso de móviles en mal estado, los cuales deben someterse a un
proceso de reparación y ensamblaje de componentes para ponerlo en funcionamiento
y mediante software especializado obtener los datos almacenados en la memoria
interna.
Para la investigación forense es muy importante el análisis del teléfono móvil ya que
se ha convertido en un aparato tan usado como las computadoras, ya que
actualmente muchos de estos celulares ya tienen las funciones principales de un
computador.
Los teléfonos móviles, las agendas electrónicas, etc., guardan y procesan cantidades
significativas de datos. El examinar estos dispositivos muchas veces conduce a
investigaciones relacionadas con la droga ya que generalmente los narcotraficantes
sospechosos se han acostumbrado a usar estos dispositivos para guardar los nombres
del contacto y números de clientes. Las agendas electrónicas permiten el
almacenamiento de cantidades grandes de datos que pueden protegerse por medio de
una contraseña.
Las tarjetas inteligentes, no sólo tienen la capacidad para guardar cantidades

importantes de datos, sino también para procesar y asegurar datos en un solo chip,
esto agrega complicaciones al proceso del examen forense, pero así como la
tecnología de la tarjeta inteligente es sofisticada, también lo son los procesos
forenses para analizar y extraer los datos.
4.3.6 Análisis de sistemas vivos
Si se encuentra el equipo vivo y se puede mantenerlo un poco más, se da inicio en

seguida a la recopilación de evidencias (Guía de Informática Forense para la Policía
Nacional).
Se debe establecer el siguiente orden de volatilidad y su recopilación, de esta manera
se dará prioridad en un sistema vivo.
 Registros y contenidos de la caché

 Contenidos de la memoria
 Estado de las conexiones de red, tablas de rutas
 Estado de los procesos en ejecución.
 Contenido del sistema de archivos y de los discos duros.
 Contenido de otros dispositivos de almacenamiento.
Es importante recuperar datos del sistema en tiempo real:
-Fecha y hora
-Procesos activos.
-Conexiones de red.
-Puertos TCP/UDP abiertos y aplicaciones asociadas “a la escucha”.
-Usuarios conectados remota y localmente.
La información volátil es de vital importancia por lo tanto no se debe almacenar en el

equipo comprometido para supuestamente recuperarla más tarde para su análisis, esta
se puede perder enseguida.
Al momento que se obtiene la información volátil se debe recopilar la información

contenida en los discos duros.
4.4 GUÍA INFORMÁTICA FORENSE APLICADA PARA LA POLICÍA
NACIONAL
La Informática Forense es una cien cia relativamente n ueva y no existen estándares

aceptados, aunque algunos proyectos están en desarrollo, como el C4PDF (Código de
Prácticas para Digital Forensics), Manual de Código Abierto para Computación
Forense, las Guías de Estándares, Habilidades y Herramientas de la IOCE
(International Organization of Computer Evidence) y el tratamiento de la Evidencia
Digital detallado en el RFC 3227, que fue emitida por la Internet Society y la IETF.
Las metodologías usadas por parte de los Peritos Informáticos Forenses dependen de
la estrategia del Profesional, de lo que está permitido hacer hasta los límites que
impone la Ley de cada País y de los medios que tiene para realizar la investigación
forense. Para seguir una correcta metodología se recomienda seguir los lineamientos
de la IOCE y del RFC 3227.
Propuesta de una Guía de Buenas Práctica en Informática Forense

Para la Policía Nacional del Ecuador
La guía que se detalla a continuación está basada en metodología científica y

orientada específicamente a la Policía Nacional del Ecuador según los delitos
informáticos y las leyes vigentes en la Constitución de la República del Ecuador.
El objetivo es seguir un orden adecuado para intervenir ante un delito y análisis del
mismo en base al tipo de evidencia digital encontrada.
La guía tiene el siguiente contenido:

 Preparación para acudir al incidente
 Inicio del Análisis forense, definición de escenario y tipo de evidencia
 Proceso de identificación y fuente de la información: escenarios, acciones.
 Presentación de las metodologías y técnicas usadas al descubrir una
evidencia, formularios, informes.
 Anexos (glosario, fotografías y diagramas)
La metodología para dar inicio a la Investigación Forense se basa en una

metodología sistémica: “Inspección Ocular Criminalística”.
Figura 4.2 Metodología Pericial Informática Forense
1. Requisitoria Pericial
La requisitoria pericial proviene del Fiscal del Ministerio Público, la Policía Judicial
designa un agente para el caso quien informa al Jefe de la Policía Judicial y
posteriormente se presenta al Agente Fiscal las pruebas reunidas para que el Juez
dictamine la detención al individuo involucrado en el caso.
2. Entrevista aclaratoria
Para la obtención de una prueba digital, el principal punto de acción es en el
momento de la inspección ocular en el incidente, sin embargo para alcanzar los
resultados pretendidos es necesario realizar una planificación previa adecuada.
La entrevista permite obtener información que posibilita analizar los sistemas

informáticos involucrados, componentes físicos involucrados, normas de seguridad,
cronogramas de actividades, distribución física del personal, organigrama de la
empresa, etc., que facilita la planificación de las acciones necesarias para acceder al
lugar, recolectar la prueba, protegerla y trasladarla al lugar de análisis.
[No se puede generar acciones que prevengan a los involucrados]
3. Inspección Ocular
Paso 1.
- Documentar mediante acta, croquis y fotografías todo lo que se encuentra en

el lugar del hecho.
[Todo sirve, nada debe descartarse, aun cuando se crea que no tiene relación con el
hecho ocurrido].
[Todo es importante: rastros, huellas, manchas, pisadas, colillas de cigarrillos,

impresiones dactilares, roturas, impactos, condiciones de los elementos evaluados,
por ejemplo equipos abiertos o cerrados, fajas de seguridad rotas, cables sueltos,
equipos de conexión o distribución abiertos o cerrados, elementos próximos al área
de trabajo, al parecer desconectados o sin relación con los equipos, equipos de
captura de video, de comunicaciones, de impresión, de almacenamiento, de
alimentación eléctrica, etc.].
[No pasar, no tocar, no mover, no encender, no abrir, no pisar y no importunar a los

demás peritos, observar críticamente y documentar].
Paso 2.
- Realizar un relevamiento previo. Registrar la hora exacta en que se recibe la

comunicación solicitando la presencia de la Policía la hora en que se llega al
lugar del hecho quién o quiénes ya se encontraban en el mismo testigos que
se hallaren, personas que acompañan o dirigen las actividades, sistemas de
seguridad franqueados para llegar al lugar, sistemas de seguridad activos en
el momento de arribar.
[Nada debe dejarse librado al azar]
[No podemos basarnos en la memoria propia ni ajena]
[Todo debe contarse, medirse, anotarse, registrarse, fotografiarse, en los medios

disponibles (anotador de papel o electrónico),los papeles sueltos no sirven se
deterioran o se pierden]
[El trabajo debe efectuarse sin prisa, pero sin pausa]
[No se puede ignorar las actividades del resto de colegas profesionales de la

criminalística]
SITUACIONES POSIBLES
Situación 1: Se desarrolla de manera confidencial. Se han iniciado las actuaciones y

luego se ha decidido intervenir, detectar y secuestrar la prueba.
Proceder a tareas de Relevamiento Informático.
Situación 2: Se desarrolla en lugar que se desconoce y el perito no ha tenido tiempo

para realizar una planificación adecuada.
Proceder a tareas sin Previa Planificación
Situación 3: Se desarrolla en el lugar y no se tiene autorizado a retirar elementos del

mismo, es decir debe trabajar en el lugar.
Proceder a tareas en el Propio Lugar
TAREAS DE RELEVAMIENTO INFORMÁTICO
I. Tomar contacto con las personas que intervienen (penales, civiles,

comerciales, laborales, administrativos, etc), extraer toda la información
disponible en los mismos.
II. Tomar contacto con todas las personas no involucradas como sospechosas en
la investigación, que puedan aportar datos sobre el lugar, las plataformas
instaladas, los sistemas operativos en uso, los mecanismos de protección
instalados, la estructura de seguridad informática del lugar (física y
lógica).
III.Tratar de acceder a un plano del lugar a ser inspeccionado (no sólo de la
habitación en cuestión, sino de todo el edificio involucrado).
o Planos de distribución de red
o Planos de distribución eléctrica
[Se podrá planificar por anticipado la ruta de acceso más segura y

rápida al lugar a ser inspeccionado, realizando las acciones
necesarias para la protección de la prueba e impidiendo las acciones
maliciosas sobre la misma].
IV. Planificar el momento de acceder al lugar
[Recomendable horas de la madrugada (entre tres y cinco de la

mañana), generalmente los recursos humanos, se encuentran menos
activos a estas horas].
V. Tomar previsiones, evita pérdidas y destrucciones de información
innecesarias. Es conveniente contar con un plan alternativo, si por un
acaso el principal falla
[Una puerta que no se abre, un acceso que ha sido eliminado o

modificado, la remodelación de una oficina, sala de servidores,
conexión, etc.]
VI. Se debe contar con resultados previsibles de máxima y mínima, que

aseguren contar con la prueba necesaria.
[Si se detectan dificultades reales, para alcanzar el objetivo de

mínima, es necesario formular otro plan de aproximación, acceso,
protección y secuestro de los datos pretendidos].
VII. Si no se tiene acceso posible al lugar, se puede recurrir a las técnicas de

ingeniería social.
VIII. Todas las medidas deben ser informadas y autorizadas por el juez o fiscal
interventor.
IX. Al acudir al lugar se debe hacer con los elementos necesarios para
realizar todas las tareas que conlleva la investigación forense.
X. Utilizar el kit de herramientas forense [Cap. 5. puntos 5.2.1]
XI. Se debe equipar con los siguientes elementos:
o Linternas o proyectores y pilas o baterías suficientes (iluminación
accesoria)
o Cámara digital con zoom, para poder realizar ampliaciones
macrofotográficas de los elementos que se necesite documentar.
o Un grabador de bolsillo con micrófono disimulable (corbatero)
o Una brújula (permite orientar los croquis)
o Una cinta métrica (entre 5 y 10 metros)
o Una plomada (permite medir distancias de un objeto elevado hasta el
piso por una sola persona)
o Un cuaderno cuadriculado, (para los croquis)
o Sobres de papel de diversos tamaños
o Sobres plásticos de distintos tamaños (con cierre incorporado)
o Rótulos autoadhesivos
o Una lupa de tamaño cómodo para utilizar en espacios reducidos
o Un imán extensible (para retirar elementos metálicos del interior de
los equipos)
o Un espejo pequeño
o Marcadores al agua para destacar elementos o marcas
o Gasa y cinta adhesiva, para realizar pequeños envoltorios
o Varios pares de guantes de cirugía, trabajar siempre con ellos
TAREAS SIN PREVIA PLANIFICACIÓN
I. Aprovechar el viaje hacia el lugar para relevar toda la información posible

antes de efectuar el ingreso.
II. Realizar un relevamiento lo más profundo en cuanto a tiempo se tenga
disponible.
III.Preguntar sobre la naturaleza de las acciones pretendidas y autorizadas por el
juez o fiscal interventor.
[El encuadre legal del perito informático es imprescindible]
IV. Al acudir al lugar se debe hacer con los elementos necesarios para realizar las
tareas
V. El perito debe actuar en el lugar realizando copias de la información, no
puede retirar los elementos porque tienen que estar en cadena de custodia
y con autorización se pueden retirar.
TAREAS EN EL PROPIO LUGAR
I. Al ser un caso complicado se requiere de habilidad, capacidad profesional,

inteligencia práctica y aptitud investigativa
II. Son los casos más raros
83
III.Se debe ser meticuloso, tomar todo el tiempo posible
IV. Analizar las pruebas a profundidad
V. El ambiente puede ser montado para engañar al perito.
VI. Obtener una copia de la prueba analizada
VII. Opinar cuando se esté completamente seguro
VIII. Estos casos, se dan generalmente en ambientes que contienen información
altamente sensible para un determinado organismos, institución o
empresa.
[Registros de bases de datos de organismos gubernamentales, militares,

de fuerzas de seguridad, de estructuras religiosas o políticas, etc].
DETECCIÓN, IDENTIFICACIÓN, RECOLECCIÓN Y TRASLADO O

REMISIÓN DE PRUEBAS
PREPARACIÓN PARA LOS INCIDENTES
Incautación de equipos
Al momento de presumir que puedan existir elementos donde es posible obtener

algún tipo de evidencia digital en un dispositivo electrónico, en la escena donde se
cometió el delito se deberá solicitar la autorización judicial correspondiente para
incautar dichos elementos y para acceder al contenido almacenado y generados por
dichos aparatos. >> (Requisitorio Pericial)
Antes de acudir al allanamiento e incautación de equipos informáticos o electrónicos

se deberá tomar en cuenta lo siguiente:
Dependiendo del caso y de las situaciones analizadas en la parte anterior,
entrar sin previo aviso, utilizando seguridad y evitando destruir o alterar los
equipos.
Materiales (cadena de custodia)
o Embalajes de papel
o Sobres de papel
o Sobres de Manila
o Cajas de cartón
o Bolsas especiales antiestáticas para almacenar dispositivos de
almacenamiento informático que sean electromagnéticos
o Etiquetas
o Discos y diskettes vacíos
o Cámara fotográfica
Evitar el usos de bolsas plásticas
Los objetos deberán ser tomados con guantes ya que se podría alterar la evidencia
digital o las huellas dactilares que se encuentren en los mismos.
Si el elemento o componente encontrado en la escena del crimen no está encendido,

déjelo como esta de tal manera que se pueda evitar el inicio de cualquier tipo de
programa de autoprotección. En caso de que este encendido no se debe apagar
inmediatamente, esto evitara la pérdida de información volátil si existe un mouse, se
debe moverlo para evitar que la pantalla se cierre o bloquee, para ello se deberá usar
guantes.
Dependiendo del caso, se deberá realizar los allanamientos de forma
simultánea, ya que los datos pueden estar en más de una lugar en caso de
sistemas de red o conexiones remotas.
Inicialmente (prepararse para acudir al incidente):
85
Asignar un profesional forense o perito informático [Características Perito
Forense Cap.5 - 5.3.1] que encabece el mismo.
Llenar los formularios asignados en cada paso del desarrollo del proceso
forense.
Establecer los responsables o el equipo que manipularán las evidencias
dependiendo del caso, el o los mismos deberán poseer los roles mencionados
[Cap.5 - 5.3.1 First Responde], a mas de llenar el [Formulario Registro del
Equipo Designado en la Cadena de Custodia – Apéndice A].
Asignar un acompañante durante el levantamiento de las evidencias, el mismo
actuando como testigo al tomar cualquier acción en la escena.
Determinar quien o quienes transportarán la evidencia [Formulario Evidencia
General Lado B- Apéndice A].
El equipo asignado en la investigación debe prepararse para interactuar con
las evidencias usando guantes descartables ya que cualquier objeto en la

escena del crimen puede contener huellas dactilares.
Al transportar la evidencia no se debe colocar los elementos cerca de fuentes
electromagnéticas.
Cuando las diligencias son realizadas en momentos que no son visibles, para
comprobar algunas circunstancias como antenas externas, conexiones con

otros edificios, etc. Es recomendable operar en horas que preceden al
amanecer.
Identificar el o los tipo de delito informático cometidos ante el caso que se
presente.
Iniciar con el proceso forense:
Fotografiar los equipos y su entorno.
Diagramar o dibujar el entorno donde se encuentren las evidencias, si el caso
lo amerita realizar una filmación. [Apéndice B ]
El perito informático debe escuchar, durante la operación a las personas
hayan llegado en primer término, debido a que las mismas podrán dar
testimonio de cómo se encontraron los cambios sufridos. [Formulario de
Control ante respuestas al Incidente – Apéndice A].
Interrogar a todos los sospechosos.
No alterar ni cambiar por ningún motivo la evidencia digital encontrada.
Mantener al elemento o componente encontrado en la escena del delito,
separado de cualquier tipo de imán o campo magnético.
Registrar el números de componentes electrónicos o evidencia electrónica
encontrados en la escena (PDA’s, celulares, computadores). [Formulario

Inventario de Software y Componentes – Apéndice A] [Formulario de
Registros de evidencias de la computadora – Apéndice A].
Definir en qué tipo de escenario se encuentra la evidencia en la escena del

crimen, el mismo que se encargarán los examinadores de evidencia digital o
informática [Cap.5 - 5.3.1]. [Formulario de Evidencia General lado A –
Apéndice A]
Escenario 1 Sistemas de computación abiertos (Computadoras=Disco
Duro, USB, Sistema Operativo).

Escenario 2 Sistemas de comunicación (Computadoras en red).
[Formulario de Recolección de Datos del Incidente – Apéndice A]

Escenario 3 Dispositivos varios (celulares, PDA’s, DVD, CDROM).
Si se eligiese dos tipos de escenarios diferentes, se deberá emplear cada una
de las actividades y registro de formularios de forma separada.
Verificar el estado de la evidencia y nivel de la misma (a cargo de los
examinadores de evidencia digital):
o Sin daños (entonces se deberá proteger a los equipos).

o Daños (evaluar con un porcentaje, para posterior análisis).
Recolectar los componentes electrónicos encontrados y todas las piezas que
se necesiten (a cargo de los examinadores de evidencia digital).

o características (modelo, marca, tamaño, color, completo).
o número de serie.
Clasificar la Evidencia y ver qué tipo de evidencia es (constante o volátil), a
cargo de los examinadores de evidencia digital.
1) Evidencia Física
Soportes de Almacenamiento
- CPU,
- Diskettes,
- CD, DVD,
- Cintas magnéticas.
- Discos Duros. [Formulario de Control de Análisis de Disco Duros
Ubicado en – Apéndice A ]
Dispositivos Electrónicos
 Teléfonos celulares,
 Agendas,
 Organizadores electrónicos.
Dispositivos de comunicaciones de red
- Router’s,
- Switch’s,
- Hub’s.
2) Evidencia Lógica:
o Registros generados por computador: registros de eventos de

seguridad (logs).
o Registros no generados sino simplemente almacenados por o en
computadores generados por una persona, y almacenados en el
computador.
o Registros híbridos la unión de los dos anteriores.
Inventario del software instalado en el equipo (a cargo de los examinadores
de evidencia digital).
Copia de la pieza o evidencia a peritar encontrada en la escena del delito.
[Formulario del estado de la evidencia – Apéndice A]
Una vez realizada la primera parte de la guía se procede a definir las
acciones que se deberán tomar dependiendo del tipo de escenario.
Acciones según tipo de escenario

Estas acciones se deben ser manejadas por los denominados Investigadores de
Delitos Informáticos su perfil se menciona en [Cap.5 - 5.3.1].
Escenario 1: Sistemas de computación abiertos
Verificar el estado del sistema o equipo: apagado o encendido.
o Buscar evidencia volátil antes de apagar el equipo.

o Realizar copias bit-a-bit de discos duros y particiones (dd, safeback),
la metodología planteada para el manejo de discos duros se deberá
seguir en el [Cap. 4 - 4.3.2].
Definir el tipo de plataforma.
Identificar el tipo de información almacenada en un dispositivo y el formato
en que se guarda.
No modificar los archivos ni borrarlos.
Interpretar comandos en modo consola (cmd, bash).
Obtener fecha y hora del sistema (date, time).
Enumerar procesos activos, aplicaciones que los lanzaron (ps, pslist).
Conocer los procesos que se están ejecutando actualmente en el equipo y cuál
de ellos consume más recursos con ubicaciones poco frecuentes en el sistema

de archivos.
Buscar ficheros ocultos o borrados (hfind, unrm, lazarus).

Ordenar los archivos por sus fechas, esto se debe realizar debido a que los
archivos tendrán la fecha de instalación del sistema operativo.
Buscar ficheros y directorios (temporales) que han sido creados, modificados
o borrados recientemente.
Determinar la ruta completa del o los ficheros, tamaño en bytes.
Visualizar registros y logs del sistema (reg, dumpel).
Visualizar la configuración de seguridad del sistema (auditpol).
Editar los archivos de registro del sistema y logs en busca de entradas y

Utilizar herramientas que no modifiquen el tiempo de ejecución de los
archivos.
Escenario 2: Sistemas comunicación
Verificar el estado del sistema o equipo y atacante: si el sistema continua
conectado a la red se obtiene mayor información pero se corre el riesgo de

que el atacante siga en línea y perjudique en el peor de los casos por completo
la evidencia digital. Por ello en caso de que lo requiera, desconectar el
módem.
Definir el tipo de plataforma.
Definir cuantos equipos en red se encuentran conectados.
91
Enumerar puertos TCP y UDP abiertos y sus aplicaciones asociadas, se debe
tomar en cuenta los puertos por encima del 1024 (fport, lsoft).
Listar usuarios conectados local y remotamente al sistema.
Listar los permisos de acceso de todos los usuarios de la red.
Obtener fecha y hora del sistema (date, time).
Enumerar procesos activos, recursos que utilizan, usuarios o aplicaciones que
los lanzaron (ps, pslist).
Conocer procesos que mantengan conexiones de red en puertors TCP o UDP
no habituales.
Enumerar las direcciones IP del sistema y mapear la asignación de
direcciones físicas MAC con dichas IP (ipconfig, arp, netstat, net).
Realizar un mapa lógico y físico de la red, de tal manera que se pueda
identificar el lugar donde se encuentre cada equipo con su dirección IP.
Buscar ficheros ocultos o borrados (hfind, unrm, lazarus).
Generar funciones hash de ficheros (sah1sum, md5sum).
Visualizar registros y logs del sistema (reg, dumpel).
Visualizar la configuración de seguridad del sistema (auditpol).
Leer, copiar y escribir a través de la red (netcat, crypcat).

Analizar el tráfico de red (tcpdump, windump).
Realizar copias bit-a-bit de discos duros y particiones (dd, safeback).
Editar los archivos de registro del sistema y logs en busca de entradas y

Dentro de este escenario es de suma importancia saber cual es la
funcionalidad del equipo atacado, ya que este puede ser un servidor y dentro
del mismo puede encontrarse una Base de Datos, para la cual se deberán
seguir las metodologías planteadas en [Cap. 4 - 4.3.4] y de esta manera
obtener mayor evidencia y claridad durante el proceso forense.
Escenario 3 Dispositivos varios
Una vez dentro de este escenario se deberá identificar la evidencia electrónica, ya

que esta puede ser, teléfonos celulares, PDA’s, USB, CD, DVD.
El responsable del Departamento de Estudio y Apoyo Técnico del Departamento de

Delitos Informáticos de la Policía Nacional, deberá asignar un especialista en:
o Estructura física.
o Estructura lógica.
De cómo se almacenan y funcionan estos medios, ya que su análisis es más complejo

y requiere de software especializado.
Presentar la evidencia y resultados
En este punto los formularios empleados anteriormente son de suma importancia ya

que los mismos permitirán presentar las actividades realizadas en la cadena de
custodia y quienes fueron responsables de ello. Para este punto el trabajo de cada
miembro que forme parte del equipo en el proceso de análisis forense informático
será recopilado con todos los puntos antes mencionados y se concluirá con la
evidencia.
Se deberá presentar los siguientes formularios:
Formulario de control ante respuestas a incidentes. (testigos en la escena)

Formulario de Registro General.
Formulario del Equipo Designado en la cadena de custodia.
Formulario de lista de control de análisis de disco.
Formulario de recolección de incidentes (dispositivos de red)
Formulario de Inventario de software y componentes.
Formularios de registro de evidencia de la computadora.
Formulario de estado de la evidencias, al mismo se le suma la forma en la
que se copia cada pieza o evidencia encontrada en la escena del delito, como
se conserva la original y como se aseguran las piezas.
Formulario de Resultados de Evidencia, se deberá adjuntar los
procedimientos, técnicas utilizadas para recolectar, la evidencia digital
dependiendo del o los tipos de escenarios.
(Todos los formularios antes mencionados se encuentran en el Apéndice A, parte

inferior de la guía)
A esto se suma los Informes Técnico y Ejecutivo, presentados en [Cap.3 - 3.4.2

Informe Técnico, 3.4.3 Informe Ejecutivo].
Para que una guía pueda ser llevada de la mejor manera se requiere de soporte a
todos los involucrados en el proceso.
CAPÍTULO 5
HERRAMIENTAS Y EQUIPOS PARA EL ANÁLISIS FORENSE
5.1 Análisis sobre las herramientas y equipos para la aplicación de la

Informática Forense para la Policía Nacional
La Policía Nacional, actualmente se encuentra manejando en proceso de aceptación

el Departamento de Delitos Informáticos en la ciudad de Quito, hasta el momento las
herramientas y la guía o pasos que se beben tomar en el acontecimiento de un delito
informático, no se encuentran adecuadamente definidos, nuestra labor es proponer
herramientas (software libre) y equipos óptimos que ayuden a la Policía a realizar
actividades válidas y certeras con la finalidad de obtener evidencias contundentes y
ser presentadas en la corte.
La investigación de cada una de las herramientas que se presentaran están basadas en

21
la siguiente clasificación orientada a la informática forense:
1) Herramientas para recolección de evidencias.
2) Herramientas para el Monitoreo y/o Control de Computadores.
3) Herramientas de Marcado de documentos.
4) Herramientas de Hardware.
1) Herramientas para recolección de evidencias: Existen una gran cantidad de

herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace
necesario debido a:
21
LÓPEZ Óscar, INFORMÁTICA FORENSE: GENERALIDADES, ASPECTOS TÉCNICOS Y
HERRAMIENTAS.
95
 La gran cantidad de datos que pueden estar almacenados en un computador.
 La variedad de formatos de archivos, los cuales pueden variar enormemente,
aún
 dentro del contexto de un mismo sistema operativo.
 La necesidad de recopilar la información de una manera exacta, y que permita
verificar que la copia es exacta.
 Limitaciones de tiempo para analizar toda la información.
 Facilidad para borrar archivos de computadores.
 Mecanismos de encripción, o de contraseñas.
2) Herramientas para el Monitoreo y/o Control de Computadores
Algunas veces se necesita información sobre el uso de los computadores, por lo tanto
existen herramientas que monitorean el uso de las mismas, para poder recolectar
información. Existen algunos programas simples como key loggers o recolectores de
pulsaciones del teclado, que guardan información sobre las teclas que son
presionadas, hasta otros que guardan imágenes de la pantalla que ve el usuario del
computador, o hasta casos donde la máquina es controlada remotamente.
3) Herramientas de Marcado de documentos
Un aspecto interesante es el de marcado de documentos; en los casos de robo de

información, es posible, mediante el uso de herramientas, marcar software para poder
detectarlo fácilmente.
La seguridad está centrada en la prevención de ataques. Algunos sitios que manejan

información confidencial o sensitiva, tienen mecanismos para validar el ingreso,
pero, debido a que no existe nada como un sitio 100% seguro, se debe estar
preparado para cualquier tipo de incidentes.
4) Herramientas de Hardware
Debido a que el proceso de recolección de evidencia debe ser preciso y no debe
modificar la información se han diseñado varias herramientas para ello.
5.2 Costos de equipos y software para la aplicación de la Informática

Forense
Las herramientas que se presentan serán evaluadas según los siguientes factores:
 Software libre.
 Rendimiento y desempeño. Por medio de una evaluación = alta, media, baja.
 Costos.
 Confiabilidad ante la recuperación de evidencias.
Para la puesta en marcha en el manejo de evidencias digitales del Departamento de

Delitos Informáticos de la Policía Nacional, el forense o los forenses informáticos
asignados a esta área, pueden apoyarse en determinadas herramientas que además de
automatizar tareas, también le ayudaran a secuenciar sus pasos y a documentar cada
uno de ellos.
Así, según la realidad del Departamento y las leyes vigentes en el país en base a la
guía que se ha planteado para la Policía Nacional, se presenta mediante un cuadro
comparativo y evaluado, las herramientas que poseen más cualidades que otras y son
más recomendables.
97
Herramienta Costo Características Plataforma en las que Evaluación

trabajan
.- Esta colección de programas sirve para realizar una 'autopsia' sobre sistemas UNIX después
de que han 'muerto' completamente.
.- El funcionamiento de este software se basa principalmente en la recogida de grandes

cantidades de datos para proceder a su análisis posterior. Algunos de sus componentes son la
herramienta 'ladrón de tumbas' (que captura información), los programas para detectar
archivos 'muertos' o 'vivos', así como 'lázaro', que restaura archivos borrados, y otra
herramienta que restaura claves criptográficas desde un proceso activo o desde algún
archivo.
.- Contiene varias herramientas importantes para el análisis forense.

FreeBSD 2-4.*,
The Coroner’s Libre OpenBSD 2.*, BSD/OS Media
Aplicaciones importantes:
Toolkit 2-3.*, SunOS 4-5.* y
- grave-robber - Una utilidad para capturar información sobre i-nodes, para ser procesada por Linux 2.*.
el programa mactime del mismo toolkit.
SUN Solaris
- unrm y lazarus - Herramientas para la recuperación de archivos borrados (logs, RAM,
swap, etc.). Estas aplicaciones identifican y recuperan la información oculta en los sectores RedHat Linux
del
disco duro.
- mactime - El programa para visualizar los ficheros/directorios su timestamp

MAC (Modification, Access, y Change).
.-Se ejecutada cuando la evidencia encontrada, posee un Sistema Operativo (Linux)
Descargas: http://www.fish.com/tct/, o desde http://www.porcupine.org/forensics.
98
.- Es una interfaz grafica que trabaja en conjunto con la herramienta the sleuth kit utilizada
para el análisis forense.
.- Analiza discos y sistema de archivos (NTFS, FAT, UFS1/2, Ext2/3).
.- Muestra el detalle de información sobre datos eliminados y estructuras del sistema

de ficheros.
.- Permite el acceso a estructuras de archivos y directorios de bajo nivel y eliminados Unix/Linux, Windows Alto
The Sleuth Kit y Libre .- Genera la línea temporal de actividad de los archivos (timestamp).
Autopsy .-Permite buscar datos dentro de las imágenes por palabras clave,
.-Permite crear notas del investigador e incluso genera informes y muchas tareas.
.-Es una colección de herramientas.
.- Utiliza interfaz grafica que facilita notablemente el trabajo.
.-Se ejecutada cuando la evidencia encontrada, posee un Sistema Operativo
(Windows/Linux) Descargas: http://www.sleuthkit.org/autopsy/download.php
.- Recopila información de ficheros localizados en un sistema de ficheros

montado
(mounted).
Mac-robber Libre .- Los datos obtenidos pueden ser utilizados por la herramienta mactime, contenida en Linux Bajo
el
Sleuth Kit, para elaborar una línea temporal de actividad de los ficheros.
.- Está basado en grave-robber (contenido en TCT) explicado

anteriormente.
.- Requiere que el sistema de ficheros esté montado por el sistema operativo, a diferencia de
otras herramientas como el Sleuth Kit que procesan el sistema de ficheros ellos mismos.
.- Modificará los tiempos de acceso a directorios que están montados con permisos de
escritura.
Herramientas que forman parte:
-Pasco: Herramienta para analizar la actividad realizada con el navegador web Internet
Explorer de MS .
-Galleta: Examina el contenido del fichero de cookies de IE.
-Rifiuti: Examina el contenido del fichero INFO2 de la papelera de reciclaje de Windows.
-Vision: Lista todas los puertos TCP y UDP en escucha (abiertos) y los mapea a las
Foundstone Comercial aplicaciones o procesos que se encuentran detrás. Windows Alto
Forensic Toolkit
-Forensic Toolkit: Es una suite de herramientas para el análisis de las propiedades de ficheros
Examina los ficheros de un disco en busca de actividad no autorizada y los lista por su última
fecha de acceso, permitiendo realizar búsquedas en franjas horarias, búsqueda de archivos
eliminados, etc. (open source)
Descarga: www.foundstone.com
GPL .- Recupera ficheros basándose en sus cabeceras.

(proyecto
Foremost abierto al .- Puede trabajar sobre archivos de imágenes, como los generados con dd, Safeback,
público) Encase, etc. o directamente sobre un disco o partición.
Linux Bajo
.- Las cabeceras pueden especificarse a través de su archivo de configuración, por lo que
se puede especificar búsquedas para formatos específicos.
.-HELIX está basada en KNOPPIX.
.- Live CD.
.- Posee una variedad de herramientas para realizar un análisis forense tanto a equipos como
imágenes de discos.
.- Para MS Windows posee un conjunto de herramientas de 90 Mb, permitiendo trabajar

con sistemas vivos, y recuperar información volátil.
.- En el entorno Linux, dispone de un Sistema Operativo completo, con un núcleo

modificado para conseguir una excelente detección de hardware.
.-No realiza el montaje de particiones swap, ninguna otra operación sobre el disco duro
del equipo sobre el que se arranque.
Helix/FIRE Libre Windows, Solaris, Linux Alto y
.- Es muy bueno para el análisis de equipos muertos, sin que se modifiquen las
recomendable
evidencias pues montará los discos que encuentre en el sistema en modo sólo lectura.
.- Contiene más y nuevas versiones de SleuthKit y Autopsy.
.- Su documentación no es amplia.
.- Permite elegir entre usar los kernels (2.4.26 o 2.6.5).
.- Tiene una excelente detección de hardware.
.- HELIX está pensado específicamente para no realizar ningún tipo de alteración sobre
los sistemas en los que se usa.
.- Tiene una configuración autorun para Windows con herramientas para este
SO. Descarga: http://www.e-fense.com/helix/
.- Es una distribución de un único cdrom, portable y bootable Live CD. Provee herramientas
adecuadas para una actuación rápida en casos de análisis forense.
.- Respuesta ante incidentes, recuperación de datos, ataque de virus.
.- Contiene gran cantidad de herramientas de análisis forense.
.- Es usable para análisis en caliente de sistemas, con lo que únicamente montando el CD se

puede usar.
.- Herramientas compiladas estáticamente sin necesidad de realizar un reboot de la máquina.
.- Posee una interfaz grafica que hace fácil su uso.
F.I.R.E (Forensic .- No realiza ninguna modificación sobre los equipos en los que se ejecute, por lo que puede Windows, Solaris y Alto y
and Incident ser utilizado con seguridad Freeware recomendable
Response Libre
Environment) .- Recupera datos de particiones dañadas.
.- F.I.R.E posee las siguientes herramientas:
 Nessus, nmap, whisker, hping2, hunt, fragrouter.
 Ethereal, Snort, tcpdump, ettercap, dsniff, airsnort.
 Chkrootkit, F-Port
 TCT, Autopsy.
 Testdisk, fdisk, gpart.
 SSH (cliente y servidor), VNC (cliente y servidor)
 Mozilla, ircII, mc, Perl, biew, fenris, pgp.
Todos estos programas serán comentados brevemente, en el glosario.
Descarga: http://fire.dmzs.com/?section=main o
http://biatchux.dmzs.com.
.- Es una de las más conocidas y apreciadas distribuciones GNU/Linux
.- Ocupa el puesto 32 en el famoso ránking de Insecure.org.
.- Se presenta como un LiveCD (no requiere de instalación)
BackTrack Libre .- Posee 300 herramientas de todo tipo (sniffers, exploits, auditoría wireless, análisis GNU/Linux Alto y
forense, etc) perfectamente organizadas. recomendable
.- La versión 2 (recién publicada) utiliza un kernel 2.6.20 con varios parches e incluye
soporte para tarjetas inalámbricas.
.- Los programas que trae este software ya vienen todos configurados y listos para
ser usados, por lo que no se debe emplear tiempo en buscarlos e instalarlos.
.- Simplificar el proceso de análisis de ficheros de log en investigaciones forenses.
FLAG (Forensic Libre .- Está basado en web, por lo que puede instalarse en un servidor donde se centralice toda la
and Log Analysis proyecto información de los análisis, de forma que puede ser consultada por todo el equipo forense.
GUI) abierto al Linux Bajo
publico .- pyFlag es la implementación (empleada actualmente) en Python. Es una
revisión/reescritura completa de FLAG, más potente, versátil y robusta.
.- Es una aplicación on-line segura y de fácil manejo.
.- Permite a los usuarios recuperar los archivos que hayan sido borrados de unidades de disco
E-ROL Libre duro, unidades ZIP y disquetes, en todos los sistemas operativos de la familia Microsoft Windows Bajo
Windows.
.- Registra una media de más de 350 entradas diarias a su página web.

.- Software de Recuperación de Datos se encuentra disponible para ser utilizado en una vasta
gama de sistemas operativos y archivos de sistema.
.- Recuperar Archivos Programa de recuperación de archivos anulados: es capaz de recuperar

Windows 95, Windows
del cesto de Windows datos anulados o perdidos a causa del formateo del disco duro, de una
98, Windows ME,
infección de virus, de una repentina caída del sistema o por un desperfecto de software.
Stellar Phoenix Windows NT, Windows Media
.- El software soporta los archivos de sistema FAT, NTFS
2000, Windows 2003
.- Rreparar y restablece archivos Zip y archivo en formato Microsoft Office (archivos de Server e Windows XP.
Access, Excel, PowerPoint y Word) corrompidos o no accesibles.
.- Repara Archivos extrae las informaciones contenidas en el y crea un nuevo archivo sin
errores.
.- Recupera datos incluso los borrados.
.- Identifica y soporta varios sistemas archivos. Linux, Wink2k
Ilook Libre .- Analiza funciones has. WinXP / Server 2003 Media
.- Basado en Linux.
.- Recupera todos los datos incluido los de archivos borrados.
.- Asiste al investigador a buscar detalles específicos.
.- Recupera datos corruptos en disquetes, CD, dispositivos usb o el propio disco local.
.-Recuperar todo tipo de archivos, como por ejemplo documentos, imágenes, aplicaciones,
etc.
Bad copy Comercial Win95/98/NT/ME/2000/ Medio
XP
.-Utiliza un sistema inteligente de recuperación de datos y disco, para el contenido de ficheros
$50
originales; puede leer el contenido de archivos corruptos y en la mayoría de los casos
recuperarlos, en todo o en parte, en el directorio que se especifique.
.- Software líder en el mercado y de mayor uso en el campo de análisis forense.
Comercial .- Los formatos de archivos con extensión .cda contenidos en CD para equipos de música no
son bien reconocidos por EnCase.
Encase Sector Windows Medio
privado .- Muy usada en EEUU por el FBI.
$ 2495 .- No es multiplataforma.
.- Encase posee una variedad de funciones que se requiere de otro documento para explicar
cada una de ellas.
http://guidancesoftware.com
Tabla comparativa 5.2 Herramientas para la Informática Forense

5.2.1 Toolkit para el Departamento de Delitos Informáticos de la Policía Nacional
Dejando aparte el software comercial, en el que se puede encontrar herramientas

específicas como EnCase de la empresa Guidance Software, considerado un estándar
en el análisis forense de sistemas pero no indispensable, nos centramos en
herramientas de código abierto (Open Source) muchos de estos poseen una
colección de herramientas en un solo software (toolkit) que pueden ser descargadas
libremente desde las páginas de sus correspondientes autores o miembros del
proyecto y que cumplen similar funcionalidad a las herramientas que son
comerciales. A más de ello Linux es un entorno ideal en el cual realizar tareas de
análisis forense permite proveer de una gran variedad de herramientas que facilitan
todas las etapas que se deben llevar a cabo en la realización de un análisis exhaustivo
de un sistema comprometido.
Mediante el cuadro anterior las herramientas que son claramente más recomendables
y utilizadas; en el toolkit para el Departamento de Delitos Informáticos en la Policía
Nacional son:
 TCT es una herramienta de código abierto, es decir no requiere la obtención

de licencia tiene una evaluación media.
 Forensic Toolkit forma parte de la organizacion Foundstone, la misma esta
orientada a plataformas Windows.
 The Sleuth Kit y Autopsy es una herramienta altamente recomendable
debido las funciones que posee, es gratuita y multiplataforma. Las
metodologías que se debe seguir al usar esta herramienta se adjunta en
[Anexo E].
 Otra de las herramientas recomendables pero posee una limitante es
BackTrack, ya que solo funciona en Sistema Operativo Linux, pero tiene un
alto rendimiento.
106
 La siguiente herramienta es E-ROL se le considera con una evaluación baja
debido a que carece de las funciones que poseen las herramientas antes
mencionadas, pero puede ser de utilidad, al enfrentarse con entornos
Windows para tomar indicios del ataque.
Uno de los elementos más importantes que un informático forense debe emplear al
momento de recaudar evidencia digital, son los conocidos Live CD’s o DVD’s, que
son una colección de herramientas, que permiten realizar un examen forense de
imágenes sin tener que dedicar un equipo específico para ello y sin necesidad de
cargar otro sistema operativo. Entre los más recomendables ellos tenemos:
 Helix posee una evaluación alta, contiene un sin número de herramientas,

entre una de ellas el Autopsy, es multiplataforma, y open source.
 F.I.R.E (Forensic and Incident Response Environment), este Live CD, es
altamente recomendable. Si Helix contiene ha Autopsy, F.I.R.E. contiene a
las herramientas TCT y Autopsy a más de un sin número de herramientas,
útiles para la recolección de evidencias, es multiplataforma y gratuito.
Clasificación
Herramientas para recolección de evidencias
 TCT (Linux).
 Forensic Toolkit (Windows).
 The Sleuth Kit y Autopsy (Unix/Linux, Windows).
 BackTrack ( Linux).
 E-ROL (Windows).
 Helix (Windows, Solaris, Linux).
 F.I.R.E (Windows, Solaris y Freeware).
Herramientas para el Monitoreo y/o Control de Computadores.
Honeypot
Es un software o conjunto de computadores cuya intención es atraer a crackers o

spammers, simulando ser sistemas vulnerables o débiles a los ataques, permite
recoger información sobre los atacantes y sus técnicas, los mismos pueden distraer a
los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al
administrador del sistema de un ataque, además de permitir un examen en
profundidad del atacante, durante y después del ataque al honeypot.
Algunos honeypots son programas que se limitan a simular sistemas operativos no
existentes en la realidad y se les conoce como honeypots de baja interacción y son
usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan
sobre sistemas operativos reales y son capaces de reunir mucha más información; sus
fines suelen ser de investigación y se los conoce como honeypots de alta interacción.
También se llama honeypot a un website o sala de chat, que se ha creado para
descubrir a otro tipo de usuarios con intenciones criminales.
KeyLogger
Es una herramienta que puede ser útil cuando se quiere comprobar actividad
sospechosa; guarda los eventos generados por el teclado, es decir, cuando el usuario
teclea la tecla de 'enter', esto es guardado en un archivo o es enviado por e-mail.
Existen dos versiones: la registrada y la de demostración. La principal diferencia es
que en la versión registrada se permite correr el programa en modo escondido. Esto
significa que el usuario de la máquina no notará que sus acciones están siendo
registradas.
5.2.2 Entornos de Trabajo Forense sobre computación virtual para la Policía Nacional
Una de las propuestas, que es sumamente interesante y factible para la Policía

Nacional es implementar una arquitectura conformada por servidores virtuales que
proveen servicios informáticos al personal designado al laboratorio el Departamento
de Delitos Informáticos de la Policía Nacional.
La labor pericial demanda el uso de distintos Sistemas Operativos (Windows, Linux,

Solaris, etc.) como plataforma de ejecución de aplicaciones forenses. Para ello se
puede implementar puestos de trabajo con máquinas virtuales, facilitando a los
investigadores la utilización de un mayor número de recursos de software en forma
simultánea.
La virtualización se refiere a una capa de abstracción que separa el hardware del

sistema operativo, optimizando y flexibilizando de esta manera la utilización de los
recursos computacionales. Permite que múltiples máquinas virtuales con sistemas
operativos heterogéneos puedan funcionar simultáneamente en la misma
computadora. Cada máquina virtual tiene asignado un conjunto propio de recursos de
hardware sobre el que pueden funcionar diferentes aplicaciones. La virtualización
brinda la posibilidad de mejorar la infraestructura informática en cuanto a
escalabilidad, seguridad y una variedad de modalidades en la administración de
servidores.
Los beneficios de la virtualización pueden ser apreciados sobre tres aspectos de alto
impacto para la administración de sistemas:
 Particionamiento (permite que múltiples aplicaciones y sistemas operativos

puedan compartir el mismo hardware).
 Aislamiento de componentes (si una máquina virtual falla esta situación no
afecta al funcionamiento de las restantes).
 Encapsulación(permite que una máquina virtual pueda almacenarse en un
simple archivo facilitando el backup de la misma, la copia, o el traslado).\
Virtualizacion en el Departamento de Delitos Informáticos
En los puestos de trabajo del laboratorio pericial informático se analiza la evidencia

digital utilizando aplicaciones forenses tales como EnCase, Autopsy, etc. Las
herramientas mencionadas no son multiplataforma. EnCase operan bajo Windows y
Autopsy bajo Linux, impidiendo utilizarlas al mismo tiempo en un mismo equipo.
Mediante la aplicación de virtualización se pueden crear máquinas virtuales con
diferentes sistemas operativos y de esta manera lograr que aplicaciones que no son
multiplataforma operen en paralelo.
Por ello se propone, como tema de aplicación en el laboratorio pericial informático,

que cada puesto de trabajo utilice el software de virtualización VMware Server
como plataforma de operaciones, funcionando sobre el sistema operativo anfitrión
Windows XP. Se cuenta con una máquina virtual con sistema operativo Linux, sobre
la que es posible ejecutar las aplicaciones Autopsy entre otras.
Las ventajas de la virtualización son evidentes, ya que con esta plataforma de

operaciones es posible efectuar una adquisición remota de un disco rígido mediante
una herramienta destinada para ello y luego abrir la imagen forense para efectuar
alguna operación en particular con el software respectivo, ejecutando sobre el
sistema operativo anfitrión, sin necesidad de cambiar el entorno habitual de trabajo.
No se cree conveniente poseer clonar el dispositivo de almacenamiento original y
luego instalar esta copia en un hardware de laboratorio o incluso sobre la
computadora original Este procedimiento no es muy recomendado, ya que
usualmente se presentan problemas de incompatibilidad con el hardware cuando se
utiliza una computadora de laboratorio.
Con la aparición de herramientas de virtualización como VMware se puede recrear el

entorno de trabajo del sospechoso. Debido a que actualmente ha surgido en el
mercado de informática forense la herramienta comercial VFC , mediante la cual es
posible crear una maquina virtual ejecutable y luego inicializarla con VMware, de
esta manera se podrá combinar con el software destinado a la recolección de la
evidencia digital.
En el ámbito institucional del Ecuador es habitual contar con recursos financieros

mínimos para la adquisición de tecnología. Es por ello que se presenta la opción de
trabajar con servidores virtuales aplicados a la informática forense del Departamento
de Delitos Informáticos de la Policía Nacional, de tal manera que se aproveche
eficientemente el equipamiento informático y se deje atrás al Sistema Operativo
como un punto de inflexión para el aprovechamiento de recursos informáticos en las
actividades periciales.
5.3 Perfil y capacitación para los miembros de la Policía Nacional en

5.3.1 Perfil de un Informático Forense
EL investigador forense para actuar correctamente ante la escena de un crimen debe

realizar un proceso formal, donde su conocimiento científico y técnico debe ser
suficiente para generar indicios hacia el descubrimiento de evidencias y resolver un
caso.
Para actuar adecuadamente y de la mejor manera ante un proceso de análisis forense,

cada miembro que forme parte del equipo de investigación en el Departamento de
Delitos Informáticos de la Policía Nacional se le debe asignar un rol determinado,
con funciones específicas, a continuación se presentan los roles para cada tipo de
investigador que forma parte de este equipo:
Técnicos en escenas del crimen informáticas o First Responde
Las características del mismo:
 Son los primeros en llegar a la escena del crimen.

 Recolectan la evidencia.
 Formación básica en el en el manejo de evidencia y documentación.
 Reconstruyen el delito.
Examinadores de evidencia digital o Informática
 Procesan la toda la evidencia digital obtenidas por los Técnicos en Escenas

del Crimen Informáticos.
 Deberán ser especializados en sistemas e informática.
Investigadores de Delitos Informáticos
 Realizan la Investigación y la reconstrucción de los hechos de los Delitos
Informáticos de forma general.
 Deberán poseer un entrenamiento general en cuestiones de informática
forense.
 Deberán ser profesionales en:
 Seguridad Informática.
 Abogado.
 Policías.
 Examinadores Forenses.
Perito Informático
Peritos son las personas que por disposición legal y encargo Judicial o del Ministerio
Público aportan con sus conocimientos los datos necesarios para que el Juez, Fiscal o
la Policía Judicial adquieran conocimiento para determinar las circunstancias en que
se cometió una infracción.
Las condiciones que debe reunir una persona para ser perito son:
a) Profesional, especializado y calificado por el Ministerio Público en un

respectivo campo y determinada materia.
b) Mayores de edad (18 años).
c) Honradez, calidad moral de proceder íntegro y honrado en el obrar.
d) Deberá ser totalmente imparcial.
e) Conocimientos específicos en la materia para cumplir su cometido.
La pericia intenta obtener un dictamen fundado en especiales conocimientos

científicos, técnicos, útil para el descubrimiento o valoración de un elemento de
prueba.
5.3.2 Capacitación, Cursos y Certificaciones
Los investigadores forenses en informática cuentan con conocimiento técnicos

informáticos, los mismos deben prepararse para desenvolverse en procedimientos
legales y técnicamente válidos con la finalidad de establecer evidencia en situaciones
donde se vulneran o comprometen sistemas, utilizando métodos y procedimiento
científicamente probados y claros, permitiendo establecer posibles hipótesis sobre el
hecho y contar con la evidencia requerida que fundamente dichas hipótesis.
Para ello la Policía Nacional deberá constantemente capacitar al personal de esta

área, ya que inevitablemente la tendencia de crecimiento, avances y alcance que tiene
la tecnología es continua y con ello el aumento de nuevas técnicas para cometer
ataques y perjudicar sistemas informáticos también se desarrollan a la par. A mas de
ello para un adecuado manejo de evidencias cada personal que forme parte del
Departamento de Delitos Informáticos, deberá cumplir funciones específicas
dependiendo de su área, de tal manera que el proceso de análisis forense que se
aplique a la evidencia digital sea llevada de la mejor manera y la evidencia sea
contundente y clara en el proceso judicial.
A continuación presentamos los tipos de cursos y entrenamiento que deberán

aplicarse para el equipo del Departamento de Delitos Informáticos. Estas son dos de
las asociaciones que han desarrollado programas de certificación forenses en
informática, que permiten detallar las habilidades requeridas y las capacidades
deseables en los investigadores informáticos:
 IACIS - International Association of Computer Investigative Specialist

(http://www.cops.org).
 HTCN - High Technology Crime Netwok (http://www.htcn.org).
IACIS
Ofrece la certificación internacional denominada CFEC (Computer Forensic External

Certification), diseñada para personas que no pertenezcan a instituciones judiciales o
de policía. Costo de esta certificación es de US $1250 con una duración de cinco
meses, y se requiere de una forma de aplicación con múltiples datos del aspirante, la
misma es evaluada por el comité de IACIS.
Si el aspirante es aceptado, se inicia el proceso de evaluación el cual consiste en el
análisis de seis diskettes especialmente preparados y un disco duro con una
disposición especial. Cada uno de los diskettes establece un problema técnico y
forense para el aplicante el cual debe resolver correctamente, documentar sus
hallazgos y presentar un reporte donde detalle sus análisis. Al final del proceso, se
efectúa un examen sobre el proceso y las conclusiones del investigador en cada uno
de los ejercicios, donde el mismo deberá demostrar su competencia y claridad para el
desarrollo de las actividades forenses.
La certificación CFEC, exige que los nuevos investigadores forenses en informática

certificados posean experiencia y destreza en:
 Identificación y recolección de evidencia en medios magnéticos.

 Comprensión y práctica en procedimientos de revisión y análisis forenses.
 Comprensión y práctica de los estándares de ética que rigen las ciencias
forenses en informática.
 Comprensión de los aspectos legales y de privacidad asociados con la
adquisición y revisión de medios magnéticos.
 Comprensión y práctica de mantenimiento de la cadena de custodia de la
evidencia cuando se realiza una investigación.
 Comprensión de los diferentes sistemas de archivos asociados con sistemas
operacionales, particularmente FAT de Microsoft.
 Conducir de manera detallada recuperación de datos de todas las porciones de
un disco.
 Comprensión de como tener acceso a los archivos temporales, de caché, de
correo electrónico, de web, etc.
 Comprensión de los aspectos básicos de Internet.
 Comprensión de técnicas de rompimiento de contraseñas.
 Comprensión general de los temas relacionados con investigaciones forenses.
Mencionada certificación es avalada y reconocida en diferentes tribunales y cortes
del mundo, debido a la seriedad y rigurosidad de proceso de certificación, las
personas que obtienen esta certificación requieren actualizarse permanente en las
nuevos procedimientos y formas para mejorar las técnicas de seguimiento y análisis,
permitiendo a los profesionales certificados que se encuentren actualizados y
capacitados para afrontar nuevas formas de análisis forense en informática.
HTCN
Ofrece diversas certificaciones en informática forense, de manera particular

comentamos sobre el certificado CCCI – (Certified Computer Crime Investigador),
que tiende la enseñanza de un nivel de educación básico y avanzado.
El propósito de esta certificación es el desarrollar un alto nivel de profesionalismo y

entrenamiento continuo en investigaciones de crímenes de alta tecnología en la
industria y las organizaciones. Costo de la certificación es de US $250.
Existen dos tipos de niveles de certificaciones CCCI: nivel básico y avanzado
CCCI Nivel básico: para este nivel se requiere lo siguiente:
 Dos años de experiencia en investigaciones en cualquier disciplina o poseer

un grado de estudio superior.
 Seis meses de experiencia investigativa directamente relacionada con la
disciplina en que busca certificarse.
 Haber completado satisfactoriamente un curso de 40 horas sobre delitos
informáticos o computación forense provista por una agencia, organización o
empresa.
 Demostrar de manera satisfactoria conocimiento técnico en la disciplina de la
certificación que se desee obtener, a través de un examen escrito.
CCCI Nivel avanzado: para este nivel se requiere lo siguiente:
 Dos años de experiencia en investigaciones en cualquier disciplina o poseer

un grado de estudio superior.
 Dos años de experiencia investigativa directamente relacionada con
investigaciones de delitos informáticos.
 Haber completado satisfactoriamente un curso de 80 horas sobre delitos
informáticos o computación forense provista por una agencia, organización o
empresa.
 Demostrar de manera satisfactoria conocimiento técnico en la disciplina de la
certificación que se desee obtener, a través de un examen escrito.
La Policía Nacional debe tomar muy en cuenta que la labor que posee la
investigación forense en informática requiere de mucho entrenamiento y formación,
no solamente en las especificaciones técnicas sino también en procedimientos y
habilidades que permitan al profesional que se certifique, enfrentar la difícil tarea de
reconstruir escenarios, establecer y reconocer evidencia digital, procesar y analizar
datos para formular hipótesis que orienten la investigación de un delito informático ,
con el fin de descubrir y sustentar las causas y autores del mismo. Por ello el
planteamiento de estas certificaciones importantes a nivel de Informática Forense.
CONCLUSIONES
 La Policía Nacional en la actualidad no dispone de herramientas

orientadas específicamente a la investigación de un delito
informático, poseen un Sistema de Identificación decadactilar
automatizado (AFIS) que es utilizado por el Departamento de
Criminalística directamente para resolver crímenes tradicionales,
pero también es usado como herramienta de apoyo en ciertas
investigaciones de delitos informáticos.
 La concientización de la importancia que tienen los delitos

informáticos ha surgido de la propia experiencia de la Policía
Nacional, al tener casos en que las investigaciones deben quedar a
medias porque no se cuenta con los medios necesarios para poder
cerrar el caso con la detención del atacante.
 En el Ecuador existe la Ley de Propiedad Intelectual que entró en vigencia en

1998 y la Ley de Comercio Electrónico y Mensajes de Datos en el
2002, que se referen a las infracciones informáticas, aunque no es
tan específca en la sanción de los delitos informáticos por lo que
resulta dificultoso sancionar al infractor de un delito. A parte de que
la mayoría de los ciudadanos ecuatorianos desconocen la ley que
existe en nuestro país.
 No existen estándares establecidos con respecto a la Informática

Forense pero muchas organizaciones trabajan en esto. El RFC 3227
es una guía para tratar la Evidencia Digital y la IOCE (International
Organization of Computer Evidence) proponen lineamientos para la
creación de una guía propia de cada institución según su realidad.
 Los casos que se han presentado en la Policía Nacional, han

requerido de herramientas que recuperen la evidencia generalmente
de discos duros y de memorias flash, que han formado parte
dispositivos en cadena de custodia y generalmente han necesitado
de herramientas de marcado de documentos, de monitoreo de
computadoras para identificar casos de robo de información y de
extorsión.
 Los beneficios que ofrece la Informática Forense a la Policía
Nacional son irremediablemente grandes ya que la Policía tiene
como objetivo mantener el orden y la seguridad pública y la fnalidad
del Departamento de Investigación de Delitos Informáticos es detectar
e investigar conductas ilícitas recolectando evidencias digitales
válidas para que se pueda dar la sentencia correcta al actor de dicho
delito.
 Existe personal de la Policía Nacional que ha venido trabajando en

lo que se refiere a los Delitos Informáticos e Informática Forense y se
está preparando y capacitando para poder responder al desafío de
este tipo de infracciones. Pero si existe la falta de preparación en el
orden técnico tanto del Ministerio Público como de la Policía Judicial
que no cuenta con la infraestructura necesaria como laboratorios
forenses especializados, herramientas de software y hardware y todo
el equipo necesario para el seguimiento de estos delitos.
RECOMENDACIONES
 La Policía Nacional al tener un Proyecto de Implementación de un

Departamento de Investigación de delitos informáticos con una
sección de Análisis Forense, es recomendable que se acople con
herramientas Open Source ya que después de un análisis comparativo
con respecto a las comerciales, tienen algunas ventajas en sus
características de rendimiento y la gran diferencia del costo, teniendo
en cuenta que tanto herramientas comerciales como libres tienen
que ser herramientas avaladas por instituciones autorizadas, para
que de esta manera se pueda dar credibilidad a la evidencia y pueda
servir como prueba contundente.
 Para la optimización de los recursos tecnológicos y un mejor

aprovechamiento de las herramientas que se implementen en la
Policía Nacional es preferible utilizar puestos de trabajo con máquinas
virtuales que facilitarán a los investigadores la utilización de un mayor
número de recursos de software de forma simultánea.
 Por parte de la Policía Nacional se ha dado ya el paso de plantear el
Proyecto para poder cubrir los delitos informáticos, si por los diversos
recursos aún no se da, se debe insistir hasta lograr los objetivos
propuestos. Se debe también dar a conocer a la ciudadanía el servicio
que presta la Policía Nacional, de modo que la misma sea partícipe y
colabore con las denuncias de ésta categoría y de esta manera las
investigaciones puedan ser desarrolladas sin inconvenientes y
culminar con el fn propuesto.
 Se recomienda usar la guía de buenas prácticas adjunta en el

Capítulo 4, ya que está basada en los lineamientos de la IOCE y el
RFC 3227, partiendo de una metodología probada como es la
inspección ocular, la guía permite optimizar y agilizar los pasos
dependiendo del caso de la investigación.
 La Legislación del Ecuador puede ser mejorada en cuanto a Delitos

informáticos se refere, ya que se podría aclarar especifcaciones con
respecto a las sanciones de los involucrados en estos delitos.
 Es importante instruir al Cuerpo Policial como a los Jueces y

Magistrados, que se contemple dentro de la Capacitación Anual del
Personal varios seminarios sobre delitos informáticos e informática
forense. Y a los encargados del Departamento en Proyecto exigir
especializaciones en ésta área. El Gobierno tiene la obligación de
brindar el apoyo para la formación del personal.
 Es necesario formar parte de Redes Internacionales de Informática

Forense ya que la cooperación de países con experiencia será de
mucha utilidad para el Ecuador, que está empezando en ésta área.
BIBLIOGRAFÍA
 http://www.porcupine.org/forensics/forensic-discovery/
 http://www.virusprot.com/computaci%F3n-anti-forense.htm
 www.alfa-redi.org
 http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm
 http://publicaciones.derecho.org/redi
 http://derecho.org/comunidad/carlospaladella
 Análisis Forense Digital, López Delgado Miguel, Junio del 2007,

CRIPORED
 Ing. Carlos Delgado Beltrán “Análisis Anti-Forense ”
 Arturo Oswaldo Huilcapi Peñafiel CETID
 Digital Evidence and Computer Crime. CASEY, E. Academic Press, 2000.
 Dr. Santiago Acurio Del Pino – Introducción a la Informática Forense

 Dr. Geovanny Bernal – Abogado
 INFORMÁTICA FORENSE:GENERALIDADES, ASPECTOS TÉCNICOS

Y HERRAMIENTAS Autores : Óscar López, Haver Amaya, Ricardo León.
 http://www.forensics-intl.com/evidguid.html
 Equipo de Investigación de Incidentes y Delitos Informáticos.

WWW.EIIDI.COM
 Informática Forense Giovanni Zuccardi – Juan David Gutiérrez
 Análisis Forense Digital Miguel López Delgado

 Informática Forense : Generalidades, aspectos técnicos y herramientas Óscar
López, Haver Amaya, Ricardo León
 IACIS - http://www.cops.org.
 HTCN - http://www.htcn.org.
 http://www.acfe.org - Assoc. Certified Fraud Examiners.
 http://www.icsa.com - International Information Systems Security Assoc.
 http://www.htcia.org - High Technology Crime Investigation Association.
Glosario de Términos
Bits: Un bit es un dígito del sistema de numeración binario. La Real Academia

Española (RAE) ha aceptado la palabra bit con el plural bits. En el sistema de
numeración decimal se usan diez dígitos, en el binario se usan sólo dos dígitos, el 0 y
el 1. Un bit o dígito binario puede representar uno de esos dos valores, 0 ó 1.
dd: es una de las herramientas más empleadas en entornos UNIX/Linux, permite

crear imágenes de discos bit a bit, además de ofrecer otras opciones como obtención
del hash MD5 de la copia.
Deggauser: sistema de borrado de alta energía, diseñado para eliminar información

residente en discos duros o cintas magnéticas.
DMZ: zona desmilitarizada o red perimetral es una red local (subred) que se ubica
entre la red interna de una organización y una red externa, generalmente Internet. El
objetivo de una DMZ es que las conexiones desde la red interna y la externa a la
DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a
la red externa.
Exploits: es el nombre con el que se identifica un programa informático malicioso, o

parte del programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro
programa.
Fdisk: es un programa de computadora disponible en varios sistemas operativos, el

cual permite dividir en forma lógica un disco duro, denominado este nuevo espacio
como partición. La descripción de las particiones se guarda en la tabla de particiones
que se localiza en el sector 0 de cada disco.
F-Port: herramienta para identificar puertos abiertos y aplicaciones asociadas a los

mismos.
Freeware: es un tipo de software de distribución sin costo y por tiempo ilimitado,

suele incluir una licencia de uso, que permite su redistribución pero con algunas
restricciones, como no modificar la aplicación en sí, ni venderla. También puede
desautorizarse el uso en una compañía con fines comerciales o en una entidad
gubernamental.
Guardian Dog: método para borrar discos duros a través de un potente imán en su
interior, no necesita electricidad y tiene suficiente potencia para superar la protección
de las cubiertas de acero contra campos magnéticos. Destruye todos los datos del
disco, incluso los que se encuentran en áreas que los ordenadores no pueden leer, y
puede borrar cualquier tipo de unidad magnética: cintas VHS, cintas DAT, discos
ZIP y similares, etc.
Kernel: es la parte fundamental de un sistema operativo. El software es el

encargado de gestionar recursos, a través de servicios de llamada al sistema. Como
hay muchos programas y el acceso al hardware es limitado, el núcleo también se
encarga de decidir qué programa podrá hacer uso de un dispositivo de hardware y
durante cuánto tiempo, lo que se conoce como multiplexado.
Knoppix: es una distribución de GNU/Linux basado en Debian y que utiliza KDE.

Es un LiveCD, por lo tanto no requiere una instalación en el disco duro. El sistema
puede iniciarse desde un CD de 700 MB hasta la versión actual de 4.0.1 en formato
DVD de más de 3Gb.
Netcat: herramienta que permite enviar toda la información recopilada a un sistema
seguro, como por ejemplo un equipo conectado en la misma red o un portátil
conectado directamente al sistema afectado.
Nessus: es una herramienta que permite escanear vulnerabilidades en una red de

computadoras.
Nmap: es un potente localizador de vulnerabilidades que se presentan en una red de

computadoras.
Sniffers: es un programa que captura datos dentro de una red de cómputo, los
hackers la utilizan para obtener nombres de usuarios y contraseñas, ésta herramienta
permite auditar e identificar paquetes de datos en una red. A los administradores de
red ayuda a identificar los problemas de la red.
SSH: Secure Shell, es el nombre de un protocolo y del programa que lo implementa,

sirve para acceder a máquinas remotas a través de una red. Mediante un intérprete de
comandos permite manejar por completo la computadora. También permite copiar
datos en forma segura, gestionar claves RSA para no escribir calves al conectar a las
máquinas y pasar los datos de cualquier otra aplicación por un canal seguro
tunelizado.
VNC: Virtual Network Computing, es un programa de software libre

basado en una estructura cliente-servidor, el cual permite el control del
ordenador servidor remotamente a través de un ordenador cliente.
Permite que el sistema operativo en cada computadora sea distinto, es
posible compartir la pantalla de una máquina de cualquier sistema
operativo conectado desde cualquier otro ordenador o dispositivo que
disponga de un cliente VNC portado.
Apéndice A
A1. Esquema de Respuesta del proceso de Incidentes
A.2 Formularios
Esquema de Respuesta del proceso de Incidentes
127
Formulario de Control ante respuestas de Incidentes
Inicio Lugar:
Fecha y Hora:
Caso:
Perito Informatico:
Datos del responsable del reporte del incidente

Cedula de Identidad:
Nombre y Apellido:
Pais: Ciudad:
Provincia:
Direccion:
Telefono:
Fax:
Celular:
Correo Electronico:
Fecha y hora aproximada del incidente:
Descripcion del Incidente
Firma del Perito Responsible:
Lado A
128
Formulario de Registros General
Inicio
Fecha y Hora: Lugar:
Caso:
Delito:
Perito:
Acompañante:
Tipo de Escenario:
Escenario 1
Numero de componentes
Escenario 2
Escenario 3
Nombre de la evidencia Estado de la Evidencia Cantidad Física/Lógica Num. serie Características
Observaciones
1 de 2
Lado B
Encargados de Transportar la Evidencia
Responsable quien manejará y tendrá

Número de Identificación acceso a la evidencia
Cargo
Firma del Perito:
2 de 2
Registro del Equipo Designados en la Cadena de Custodia
Inicio
Fecha:
Caso:
Perito Responsable:
Número de Identificación Responsable – quien maneja Seccion a la que pertenece Cargo Firma
evidencia dentro del departamento
Firma del Perito Responsable:

Lado A
Formulario de Control de Análisis de Discos
Almacenamiento secundario fijo y removible
Rutina SI NO Observaciones
Actividades Preliminares
1 Efectuar imagen del disco o medio de

almacenamiento bit a bit
2 Generar la autenticación matemática de los

datos a través del algoritmo de hash
3 Registrar la fecha y hora del sistema
Generar una lista de palabras claves a
4 buscar
Actividades en la Imagen del Disco
5 Trabajar sobre la imagen del disco, utilizar
el algoritmo hash
6 Analizar en el disco:
a. Tipo de Sistema Operativo
b. Versión del Sistema Operativo
c. Número de particiones
d. Tipo de particiones
e. Esquema de la tabla de particiones

f. Registrar nombre de archivos,
fecha y hora
I. Correlacionar con 3.
g. Evaluar el espacio descuidado o
desperdiciado
I. Incluido el MBR
II. Incluida la tabla de particiones
III. Incluida la partición de inicio
del sistema y los archivos del
comando
h. Evaluar el espacio no asignado
i. Evaluar el espacio de intercambio
j. Recuperar archivos eliminados
k. Buscar archivos ocultos con las
palabras claves en:
I. Espacio desperdiciado
II. Espacio no asignado
III. Espacio de intercambio
IV. MBR y tabla de particiones
l. Listar todas las aplicaciones
existentes en el sistema
I. Examinar programas
ejecutables sospechosos
1 de 2
Lado B
Formulario de Control de Análisis de Discos
Rutina Observaciones
SI NO
m. Identificar extensiones de archivos

sospechosos
I. Examinar las extensiones de los
archivos y la coherencia con las
aplicaciones que los ejecutan
n. Examinar archivos en busca de datos
ocultos (esteganografía), ya sean de tipo
gráficos, imágenes, texto, comprimidos,
o cualquier extensión.
o. Examinar los archivos protegidos con

claves (descifrando la clave previamente)
p. Examinar el contenido de los archivos
de cada usuario en el directorio raíz y
si existen, en los subdirectorios
q. Evaluar el comportamiento del sistema
operativo:
I. Integridad de los comandos
II. Integridad de los módulos
r. Evaluar el funcionamiento de los

programas de aplicaciones
s. Registrar los hallazgos

I. Capturar las pantallas
t. Generar la autenticación a través del
algoritmo de hash al finalizar el análisis
I. Comparar resultados obtenidos de
2 y 6.
u. Conservar copias del software utilizado
2 de 2
Formulario Inventario de Software Instalado y estado de componentes
Inicio
Fecha:
Caso:
Perito:
Tipo de Escenario:
Tipo de Escenario:
Escenario 1
Escenario 2
Escenario 3
Estado del componente Software instalado

Componente Observaciones
(Apagado/ Encendido)
Firma del Perito:

Lado A
Formulario de Registros de evidencia de la computadora
Inicio
Inf-Nro:
Fecha:
Lugar:
Caso:
Juzgado:
Perito:
Especificaciones de la computadora
Modelo Nro. De Serie Placa Madre Microprocesador Memoria Memoria

Marca/Modelo
(Marca/Moldeo) (Marca/Moldeo) RAM Cache
1 de 2
Lado B
Formulario de Registros de evidencia de la computadora
Tipo Disketera-CD-ROM-DVD-Disco (Marca/Moldeo)

Cantidad Rígido- IDE-SCSI-USB-Zip-Jazz-PenDrive Velocidad/Capacidad Nro. Serie
Accesorios y Perifericos
Cantidad Tipo Placa de red, modem, cámara, tarjeta (Marca/Moldeo) Velocidad/Capacidad Nro. Serie
de acceso, impresora, etc
Observaciones
Firma del Perito:

2 de 2
Formulario de Estado de Evidencias
Inicio
Fecha: Hora:
Caso:
Perito:
Numero de evidencias
Número de Responsable Código Nombre Copia de la Donde se mantiene

Identificación maneja evidencia Evidencia Evidencia Evidencia (S/N) La original

Formulario de Resultados de Evidencias
Inicio
Fecha:
Caso:
Perito:
Tipo de Escenario:
Tipo de Escenario:
Escenario 1
Escenario 2
Escenario 3
Número de Responsable Tipo Nombre Software Tiempo en

Cargo Resultado
Identificación maneja evidencia del delito Evidencia empleado (A/N) descubrirla

Apéndice B
Dibujos Auxiliares para la Investigación de Informática Forense

Apéndice 1: Dibujos Auxiliares y conceptos criminalísticos
Existen una serie de gráficos diferentes, aunque estos no sean directamente

aplicables al dibujo pericial, pero son de mucha utilidad en el momento de hacer una
representación gráfica y referirse a la misma.
1. Esquicio: se refiere a:
 Representación gráfica de una zona pequeña del terreno, sin escala, o a escala
aproximada, aclarara un texto y reemplaza una descripción larga y
complicada.
 Realizada ha mano alzada, las medidas se apreciarán a simple vista.
 Todos los datos se anotan en el mismo gráfico por ello no lleva referencias.
 Registrar de manera simple y rápida la situación de un lugar
Figura 1. Esquicio Panorámico

2. Esbozo panorámico: Puede reemplazar a la fotografía panorámica, en
situaciones de carencia de elementos (cámara) o razones de visibilidad escasa
(neblina), etc. Se requiere de:
 Representación de perspectiva de la zona del terreno, tal como aparece ante el

ojo del perito. Dibujo a mano alzada y sin medidas estrictas.
 Registrar la flecha que indica el norte o el punto cardinal hacia el que realiza
el esbozo, permitiendo orientar rápidamente el dibujo.
 Se dibuja sin escala, se dibujará una regla horizontal y una vertical indicando
las distancias y alturas relativas (aproximadas).
 Utilizar referencias y no escribir en el dibujo.
3. Croquis:
 Se debe representar gráficamente una zona pequeña, a escala.

 Para realizar el grafico se debe ser paciente, metódica, meticulosa y ordenada.
 Relacionar elementos dispersos, creatividad e inteligencia, permitiendo
realizar una labor útil, para la individualización posterior de los elementos
detectados.
4. Gráfico: Es la representación de los elementos relacionados con el hecho
investigado.
 Contendrá todos los elementos probatorios directos o indirectos que el perito

considere necesarios para investigar los hechos.
 Se realiza con omisión de la edificación y del mobiliario, salvo en las áreas
que se detecten o se encuentre evidencia digital
5. Mapa, carta de situación o plano del edificio o finca: brinda el soporte

necesario para ajustar a la escala previa. De ser posible, es conveniente contar con
aproximaciones de mayor a menor que faciliten la identificación del lugar del hecho
al lector. Ya sea vista general del barrio (destacando la manzana), ampliación de la
manzana (destacando la finca), plano de la edificación (destacando la habitación).
6 Fotografías durante la inspección ocular: Primero se fotografiará lo que se

considere conveniente documentar y luego se realizarán las demás pericias,
secuestros, etc.
Generalmente, los instrumentos utilizados para la consumación de delitos son de uso

prohibido, y por lo tanto deben ser secuestrados y decomisados luego de haber
servido como elementos de prueba, sin embargo en el caso específico de la pericia
informático forense, dichos elementos probatorios, no sólo son de uso legal, sino que
suelen ser imprescindibles para el funcionamiento normal de una empresa
determinada. Por eso se deberá estar preparado para realizar copias en el lugar sin
interferir.
El único que puede determinar el secuestro de un elemento y su traslado desde el

lugar inspeccionado es el juez de instrucción o el fiscal de la causa respectivamente
acorde a la jurisdicción donde se realiza la inspección. Con el fin de que no puedan
ser sustituidos por otros, falsificándose de esa manera los medios de prueba, pero
recordemos que la prueba informático forense almacenada en archivos es idéntica al
original.
No basta, para que un acta sea inválida, de quien la redacte incurra en faltas de
ortografía o demuestre fallas culturales, ya que ello afecta a la comprensión de lo
sentado en dicho instrumento
Si un formulario no fue firmado por la persona en cuyo poder fueron hallados los
elementos informáticos en la escena del crimen la diligencia es nula, ya que su
concordancia con otras pruebas no acredite su realidad y veracidad.
Apéndice C
Caso Práctico
Caso
Práctico
Delito: Falsificación de documentos de un miembro de X institución, el mismo emitía

documentos falsos que comprometía a otras personas para que estas le den algo a cambio
(dinero).
 Perito Asignado: Alexandra Reiban.

 Registro del Equipo designado en la cadena de custodia.
Registro del Equipo Designados en la Cadena de Custodia
Inicio
Fecha: Jueves 14 de Febrero del 2008
Caso: Falsificacion de documentos

Alexandra Reiban
Perito Responsable:
Número de Identificación Responsable – quien maneja Seccion a la que pertenece Cargo Firma
evidencia dentro del departamento
Tecnico en escena
0104564892 Damian Lopez Analisis Forense
de crimen
Examinador de
0104564422 Antonio Guzman Analisis Forense evidenia informatica

 Acompañante Designado: Dr. Telmo Segovia
 Formulario General Lado B
Encargados de Transportar la Evidencia
Responsable quien manejará y tendrá

Número de Identificación acceso a la evidencia Cargo
Tecnico en escena
0104564892 Damian Lopez de crimen
Firma del Perito:
 Tipo de delito cometido soborno y falsificación de documentos.

 Fotografías de la Computadora personal y USB encontrados en la escena.
 Formulario de control ante respuestas de incidentes.
Formulario de Control ante respuestas de Incidentes
Inicio Lugar:
Jueves 14 de Febrero 2008 Cuenca
Fecha y Hora:
Falsificacion de documentos
Caso:
Perito Informatico: Alexandra Reiban
Datos del responsable del reporte del incidente

0104056271
Cedula de Identidad:
Maria Galarza
Nombre y Apellido: Cuenca
Ecuador Ciudad:
Pais:
Azuay
Provincia:
Calle el Comercio 3-22
Direccion: 2862959
Telefono: -----------------
Fax: 098897695
Celular:
mariagalarza@hotmail.com
Correo Electronico:
14-Febreo-2008 (9:20 AM)
Fecha y hora aproximada del incidente:
Descripcion del Incidente

Falsificación de documentos y soborno a cambio de dinero, certificados falsos elaborados en documentos de word
Firma del Perito Responsible:

 Formulario de registro de software y componentes.
Formulario Inventario de Software Instalado y estado de componentes
Inicio
Fecha: Jueves 14 de Febrero del 2008
Caso: Falsificacion de documentos
Perito: Alexandra Reiban
Tipo de Escenario:
Tipo de Escenario:
Escenario 1 x
Escenario 2
Escenario 3
Numero de componentes 2
Estado del componente

Componente Software instalado Observaciones
(Apagado/ Encendido)
Computadora personal HP
computadora Apagado Windows XP
USB Desconectado ----------- Dispositivo sin Kingstone
Firma del Perito:
Escenario Sistema de computación abierto: Computadora personal y USB, evidencia

física.
En vista a la información e indicios que se obtuvieron al incautar estas evidencias,
.- El equipo (computador) y el dispositivo USB incautado le pertenece a: Manuel

Flores, el presunto estafador.
- El dispositivo USB lleva su nombre (Manuel)

- El computador le pertenece a el, la institución donde este individuo labora le
asignó. El nombre de la computadora es (ints01M), nombre registrado y
asignado a este usuario por el Departamento de Informática de la Institución.
.- La primera evidencia a ser analizada será el USB, el estado de este dispositivo es:
vacío no posee ningún tipo de información, este estado de vació del dispositivo es
intrigante, por ello para descartarlo se lo analizara primero. Para posteriormente
analizar la evidencia más compleja, el disco duro conjuntamente con el Sistema
Operativo.
 Estado de la Evidencia para proceder al análisis.
Formulario de Estado de Evidencias
Inicio
Jueves 14 de Febrero 2008 12 PM
Fecha: Hora:
Falsificacion de documentos
Caso:
Alexandra Reiban
Perito:
Numero de evidencias 2
Número de Responsable Código Nombre Copia de la Donde se mantiene

Identificación maneja evidencia Evidencia Evidencia Evidencia (S/N) La original
Damian Lopez CE01 Computadora de mesa
0104564422 NO Departamento de Delitos
Antonio Guzman CE02 USB NO Departamento de Delitos
0104564422

 Plataforma Windows XP
 En este caso y por el dispositivo que se va analizar, se empleara la
herramienta BadCopy, que permitirá recuperar los datos o archivos
borrados mediante.
El componente que será analizado será el USB, debido a las condiciones
del dispositivo y a los descartes para continuar posteriormente con el
Disco Duro y Sistema Operativo.
 Mediante el Asistente que ofrece BadCopy se deberá tratar de obtener la

información. Se debe escoger la etiqueta del dispositivo, y seleccionar el
modo de recobrar la evidencia.
Figura. 1 Caso Práctico (Selección del dispositivo a ser analizado)
Los archivos que serán recuperados por esta herramienta, se listaran con nombres
tales como: File 1, File 2, aquí parte el trabajo del Analizador forense, el cual deberá
buscar minuciosamente archivos o documentos sospechosos, según las fechas en que
se realizaron modificaciones a los mismos.
Figura. 2 Caso Práctico (nombre de los archivos recuperados)
Los archivos pueden ser recuperados según los formatos que se requieran, así como
documentos de Word, Excel, etc.
Figura. 3 Caso Práctico (Selección del tipo de formato a ser recuperado)
En vista del caso, se buscaran solamente documentos de Word, ya que las

falsificaciones se las realizaban por medio de este procesador de palabras.
Los archivos detectados serán almacenados, en una maquina del laboratorio de
Análisis Forense, en caso de servir serán protegidas y almacenadas, caso contrario se
las descartaran.
Figura. 4 Caso Práctico (Lista de archivos recuperados)
Mediante una búsqueda minuciosa por parte del Analizador forense se detecto un
documento File 2, dentro del mismo se detecto información que ponía a en evidencia
el delito cometido por parte del individuo propietario del USB:
Figura. 5 Caso Práctico (Lista de los archivos recuperados)

Figura. 6 Caso Práctico (Evidencia Digital)
Involucrando al propietario del dispositivo a encontrarse directamente incriminado.

En vista de ello un análisis al Disco Duro no se requiere puesto que se encontró la
evidencia, que se suma a las declaraciones por parte de las personas que
incriminaban al este individuo, se partirá entonces a proceso judicial quienes serán
los encargados de tomar la decisión final.
Los pasos que se tomaron para descubrir la evidencia fue mediante la guia propuesta
para la Policía Nacional.

Tesis Informatica Forense Desbloqueado

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis Informatica Forense Desbloqueado

Cargado por

Copyright:

Formatos disponibles

Informática Forense

UNIVERSIDAD POLITÉCNICA SALESIANA

FACULTAD DE INGENIERÍAS CARRERA

Trabajo de Grado previo a la obtención del

“METODOLOGÍAS, ESTRATEGIAS Y HERRAMIENTAS DE LA

Autores: María Daniela Álvarez Galarza

Verónica Alexandra Guamán Reibán

Director: Ing. Vladimir Robles

Cuenca, Febrero 2008

Nosotras, María Daniela Álvarez Galarza y Verónica Alexandra Guamán Reibán,

A través de la presente declaración cedemos nuestros derechos de propiedad

Daniela Álvarez G. Verónica Guamán R.

Ing. Vladimir Robles

A Dios, por permitir que las cosas se den.

A mis Padres, por su apoyo y enseñanzas

A los amigos y compañeros, por los momentos compartidos

CONCEPTOS GENERALES SOBRE LA INFORMÁTICA FORENSE

1.1 Introducción…………………………………………………….. Pág. 2

1.2 Informática Forense.…………………………………………….. Pág. 3

1.2 Computación Anti-Forense……………………………………... Pág. 4

1.4 Delitos Informáticos…………………………………………….. Pág. 7

1.6 Aspectos Legales………………………………………………... Pág.13

1.6.1 Ley de Comercio Electrónico, Firmas Electrónicas y

Mensajes de Datos …..…………………………………………. Pág.13

1.6.2 Ley de Propiedad Intelectual……………………………. Pág.14

ANÁLISIS Y DIAGNÓSTICO DE LA INSTITUCIÓN

2.1 Antecedentes…………………………………………………….. Pág.16

2.2 Proceso Interdepartamental………………………………………. Pág.17

2.3 Herramientas Informáticas orientadas a la investigación de delitos

FASES DE LA INFORMÁTICA FORENSE

3.1 Identificación de Evidencia Digital…………………………….. Pág.25

3.1.1 Descubrimiento de las señales del ataque………… Pág.30

3.1.2 Recolección de evidencias……………………….. Pág.32

3.1.2.1 Cuidados en la Recolección de Evidencias………. Pág.33

3.1.2.2 Inicio de la Recolección……………………………Pág.34

3.2 Preservación de la Evidencia Digital……………………………... Pág.35

3.3 Análisis de la Evidencia Digital………………………………... Pág.37

3.3.1 Preparación para el análisis:

3.3.4 Identificación del autor o autores

3.3.5 Evaluación del impacto causado

3.4.1 Utilización de formularios de registro

3.4.2 Informe técnico…………………………………………….Pág.45

3.4.3 Informe Ejecutivo………………………………………….Pág.46

METODOLOGÍAS Y ESTRATEGIAS EN BASE A LA INFORMÁTICA

4.1 Análisis de Soportes y Dispositivos Electrónicos………………. Pág.47

4.2 Análisis de la comunicación de datos…………………………… Pág.48

4.3 Metodologías y Estrategias……………………………………… Pág.49

4.3.1 Secuestros de Equipos……………………………… Pág.53

4 .3.2 Discos Duros………………………………………… Pág.55

4.3.3 Sistemas Operativos………………………………… Pág.57

4.3.3.1 File slack…………………………………….. Pág.58

4.3.3.2 Archivo Swap……………………………....... Pág.58

4.3.3.3 Unallocated File Space……………………… Pág.59

4.3.4 Bases de Datos…………………………………… Pág.61

4.3.5 Teléfonos móviles y tarjetas……………………… Pág.62

4.3.6 Análisis de sistemas vivos..……………………… Pág.64

HERRAMIENTAS Y EQUIPOS PARA EL ANÁLISIS FORENSE

5.1 Análisis sobre las herramientas y equipos para la aplicación

de la Informática Forense para la Policía Nacional ……………. Pág.84

5.2 Costos de equipos y software para la aplicación de la Informática

el área de Informática Forense ………………………………. Pág.100

5.3.1 Perfil de un Informático Forense…………………...... Pág.100

5.3.2 Capacitación cursos y certificaciones……………… Pág.102