Está en la página 1de 27

Informática forense

(Introducción)
Ciencias forenses

Ciencias forenses
Principio de intercambio

“Todo contacto deja un rastro”


“Toda accion criminal de un individuo no
ocurre sin dejar una marca”
Informatica
forense Edmond Locard
¿Que es la informática forense?

● Analisis forense digital / Computacion forense / Pericia digital / Forense


computacional
● Usa conocimientos científicos para recolectar, analizar, documentar y
presentar evidencia digital
● Investiga dispositivos de almacenamiento.
● Investiga ciberataques (ransomware, phishing, DDoS, etc).
● Responde a las preguntas: ¿Que se hizo?, ¿Cuando se hizo? y ¿Quien lo
hizo?.
Objetivos del analisis forense

● Buscar evidencia legal en dispositivos de cómputo y preservar su


integridad.
● Preservar y recuperar evidencia siguiendo procedimientos técnicos.
● Atribuir una acción a su iniciador.
● Identificar fuga de datos dentro de organizaciones.
● Acceder a posibles daños causados por una posible fuga de datos.
● Entregar resultados en forma adecuada para presentarlos en una corte.
● Proporcionar una guía para testimonio experto
Cibercrimen

● Cualquier actividad ilegal cometida usando un tipo de dispositivo o red de


computadoras.
● Generalmente tiene fines de lucro.
● Como ataque tienen origen interno o externo.
● Un dispositivo puede ser usado como:
○ Arma/Herramienta
○ Objetivo
○ Facilitador
Ejemplos de cibercrímenes

● Distribución de malware(virus, troyanos, gusanos, spyware, etc.)


● Distribución de ransomware
● CryptoJacking
● Hacking
● Inyecciones SQL
● Pharming
● Phishing
● Robo de identidad
● CyberStalking
● Etc.
Categorías

Se pueden clasificar según el origen de la evidencia digital:

● Analisis forense computacional


● Analisis forense de dispositivos móviles
● Analisis forense de redes
● Analisis forense de bases de datos
● Analisis forense de datos
Usos del analisis forense

● Tareas de cumplimiento de la ley


● Juicios civiles
● Inteligencia y contrainteligencia
Tipos de investigacion

● Investigaciones públicas

○ Denuncia/Querella - Investigacion - Enjuiciamiento

● Investigaciones de carácter privado

○ Basado en políticas
Previsiones forenses

● Habilidad de recolectar, preservar, proteger y analizar evidencia digital de


una organización
● Permite:
○ Alta respuesta a incidentes
○ Cumplimiento de la normativa gubernamental
○ Fortalecimiento de la defensas sobre seguridad organizacional
○ Minimizar ataques internos
○ Incremento en la postura sobre seguridad de una organización
Prevision forense
Evidencia digital

● Creados por el usuario: ● Creados por la maquina/red:


○ Archivos de texto ○ Configuraciones
○ Audio y video ○ Logs
○ Imágenes ○ Datos del navegador
○ Grabaciones ○ Historial de aplicaciones
○ Calendario y libretas ○ Archivos de paginado e hibernacion
○ Archivos ocultos generados por la ○ Archivos temporales
interacción de un usuario. ○ Archivos de registro
○ Archivos del sistema
Evidencia digital - ubicaciones

● Computadoras de escritorio
● Computadoras portatiles
● Tablets
● Servidores y RAIDS
● Dispositivos de red (Switch, hub, modems, routers, etc)
● Dispositivos IoT
● Smartphones
● Consolas de videojuegos
● Impresoras
● Escaners
● ...
Retos al adquirir evidencias

● Equipos bloqueados con contraseña


● Técnicas de esteganografía para ocultar datos incriminatorios.
● Técnicas de encriptación de archivos
● Contraseñas fuertes para la protección de volúmenes y sistemas
● Renombrar archivos, cambiando extensiones
● Intentos de destrucción de evidencias
● Alteración de evidencias
● Leyes
● Daños físicos
¿Quien debe recolectar evidencias?

● Pensamiento analitico
● Formacion solida en IT
● Habilidades de hacking
● Habilidades de organizacionales y de comunicacion
● Conocimiento de leyes referentes a cibercrimenes
● Habilidades en el analisis forense digital
● Habilidades en la búsqueda y recoleccion de informacion de fuentes de
dominio publico
Cadena de custodia

Se debe declarar como la evidencia fue descubierta, adquirida, transportada


analizada, preservada y manejada

● ¿Que es la evidencia digital?


● ¿Donde fue encontrada?
● ¿Como fue adquirida la evidencia digital?
● ¿Como fue la evidencia transportada, preservada y manipulada?
● ¿Como fue la evidencia examinada? (herramientas y tecnicas usadas)
● ¿Cuando se tuvo acceso a la evidencia? (Por quien y por que motivos)
● ¿Como se uso la evidencia durante la investigacion?
Cadena de custodia
Fases de un analisis forense

Incautación/ Documentación/
Adquisición Analisis
Preservacion Presentación
Incautación/Preservacion

- Se confisca y transporta evidencias de forma segura al lab.


- Siempre enmarcados en leyes y procedimientos vigentes
- Personal capacitado debe verificar que el equipo no haya sido manipulado
(forensically sound)
Adquisición

- Se adquieren todas las copias posibles de evidencia digital


- Se toma en cosideracion diferentes escenarios
- Se usa hardware/software duplicador de unidades de almcenamiento, ej.
dd linux, MagnetRAM
Analisis

- Se hace una investigacion de evidencias adquiridas


- Se usan herramientas como EnCase, SleuthKit, Volatility, etc
- Se aplica el analisis de firmas (hash) para diferentes tareas de la fase
Presentación

Se produce un informe final, preferentemente con las siguientes


características:

- Compendio de palabras clave


- Descripcion de herramientas utilizadas
- Metodo de adquisicion de evidencias
- Descripcion de evidencias
- Explicacion de terminos tecnicos (HPA, archivos de volcado, etc)
- Conclusiones de la investigacion
Guías en proceso de analisis forense digital

● Guia para integrar tecnicas forenses en respuesta a incidentes - NIST


(https://csrc.nist.gov/publications/detail/sp/800-86/final)
● Examen forense de evidencia digital: una guía para el cumplimiento de la
ley - US DOJ (https://www.ncjrs.gov/pdffiles1/nij/199408.pdf)
● Investigacion electronica sobre la escena del crimen: una guia para los
primeros respondedores (https://www.ncjrs.gov/pdffiles1/nij/187736.pdf)
● RFC 3227 - Directrices para la recopilacion de evidencias y su
almacenamiento (https://www.incibe-cert.es/blog/rfc3227)
Certificaciones

● Computer Hacking Forensic Investigator (CHFI)


(https://www.eccouncil.org/programs/computer-hacking-forensic-investigator-chfi/)
● Certified Forensic Computer Examiner (CFCE) (https://www.iacis.com/certifications/cfce)
● GIAC Certified Forensic Examiner (GCFE) (https://www.giac.org/)
● AccessData Certified Examiner (ACE)
(https://accessdata.com/training/computer-forensics-certification/)
Relación con otras áreas

Seguridad informática

E-discovery

Derecho
Perfil criminal

Modelo Skram

- Skills
- Knowledge
- Resources
- Authority
- Motive
Gracias...

También podría gustarte