Conferencia de Informática Forense para Operadores de Justicia

1
Perito Forense Digital | Nivel 01 de 04
Conferencia de
Informática Forense para
operadores de Justicia
INFO Y MAS Guatemala, Centroamérica – 2014

Instructor: José R. Leonett
www.infogtm.com │www.redlifguatemala.org
Telf. (502) 5866-6403
INFO Y MAS | REDLIF Guatemala www.infogtm.com

2
.:: Introducción
Muchas gracias les damos por participar en esta Conferencia de Informática
Forense dirigida al sector Justicia en Guatemala, en donde estaremos orientados
a trabajar y aclarar dudas sobre el fascinante mundo del peritaje informático.
En este seminario usted aprenderá:
 Los conceptos básicos que se utilizan a la hora de un peritaje forense
 Comprender y aplicar la metodología inicar en el procedimiento de la

sustracción de información y el valor que esta representa
 El manejo de la evidencia, su protección y todos los factores los que esta

está expuesta
Con estos puntos de partida, pretendemos formar profesionales del peritaje

forense que entiendan, comprendan y generen soluciones a las nuevas
necesidades que el mundo y nuestro país están sufriendo en el área de
cibercrimen.
Muchas gracias por estar presente en esta Conferencia nivel 01 y,

recuerde que INFO Y MAS está siempre generando soluciones a la medida de sus
necesidades.
Atentamente,
Jose R. Leonett
Instructor REDLIF Guatemala

3
Aclaremos unos términos antes de comenzar
¿Que es el cibercrimen?
El alcance de este término es aún incierto, curiosamente el término aparece en el
portal www.wikipedia.org, computers or networks are a tool, a así: “La
delincuencia cibernética es un término ampliamente utilizado
para describir la actividad a la cual es meta, o un lugar de
actividad delictiva. Estas categorías no son excluyentes y
muchas actividades pueden ser caracterizadas como la caída de
una o más categorías”.
Los principales actores hacia una legislación internacional han sido hasta ahora el
Consejo de Europa (COE) y el G-8, Estados Unidos se ha mantenido activo tanto
en el desarrollo como en la promoción de estos esfuerzos de legislación
global.
En el año 2001 se adopta la Convención sobre Cibercrimen del Consejo Europeo,

que requiere la cooperación entre países para la investigación de los
cibercrímenes, aún si el "crimen" a investigar no fuera considerado tal en el país al
que se le requiere información.
El cibercrimen se fortalece por el desconocimiento de los riesgos e implicaciones

de las tecnologías de información en los negocios, en el gobierno, en la educación
en la salud y en general en la sociedad de la información.
El cibercrimen crece aparentemente en forma inocente porque libremente en

Internet se encuentran herramientas para explotar vulnerabilidades de los activos
de información como www.metaesploit.org y es entonces cuando las nuevas
generaciones de terroristas ven en estos portales inocentes una oportunidad de
hacerse sentir y por ello están creciendo en nuestro actual mundo digital.

4
El cibercriminal - Su perfil
Pero ¿Cómo seguirle la pista a un cibercriminal para después imitar sus pasos a la
inversa? "Es la misma lógica, similar a lo que se hizo con los hackers para
atacarlos. Muchos de ellos, para disminuir sus sentencias en la cárcel o multas,
empezaron a trabajar para el FBI y empresas de tecnología", dice.
Con el spam, explica, aplicar esta lógica es aún más complejo, porque el
responsable puede ser desde un publicista casero que da por hecho que no hace
mal a nadie, hasta un adolescente que repite mil veces una cadena de chistes.
"Por eso insisto en que hay que conocer el perfil del responsable para detectar al
que sí pretende cometer fraudes, haciéndose pasar por un rey marroquí en
quiebra (y pedir dinero prestado a los incautos) por ejemplo, del individuo que
vende mercancía defectuosa o que fomenta la pornografía infantil, de quien sólo
cree que es divertido saturar una bandeja de entrada con correos", indica.
El primer paso para conocer al cibercriminal es que tanto jueces como abogados,
periodistas, conductores de noticias y demás involucrados, le den seguimiento a
los crímenes y tengan una cultura digital. No es exclusivo de México, según indica
Wall, que quienes pretendan hablar del asunto no tengan ni idea de cómo usar
internet.
El segundo es crear cultura en el usuario de PC, que sea consciente que mandar
masivamente algo inútil (o reenviarlo, contestarlo o no eliminarlo) daña
económicamente a todos.
Por último, y quizá lo más difícil: que técnicamente, las pistas detectadas del
ciberdelincuente sean para crear alianzas entre gobiernos, proveedores de
tecnología y de internet.

5
Delitos informáticos
Delito informático, crimen cibernético o crimen electrónico, se refiere a actividades
ilícitas realizadas por medio de ordenadores o del Internet o que tienen como
objetivo la destrucción y el daño de ordenadores, medios electrónicos y redes de
Internet. Sin embargo, las categorías que definen un delito informático son aún
mayores y complejas y pueden incluir delitos tradicionales como el fraude, el robo,
chantaje, falsificación y la malversación de caudales públicos en los cuales
ordenadores y redes han sido utilizados. Con el desarrollo de la programación y de
Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados.
Existe una amplia gama de actividades delictivas que se realizan por medios
informáticos: ingreso ilegal a sistemas, intercepción ilegal de redes, interferencias,
daños en la información (borrado, deterioro, alteración o supresión de data), mal
uso de artefactos, chantajes, fraude electrónico, ataques a sistemas, robo de
bancos, ataques realizados por hackers, violación de los derechos de autor,
pornografía infantil, pedofilia en Internet, violación de información confidencial y
muchos otros.
El delito informático incluye una amplia variedad de categorías de crímenes.

Generalmente este puede ser dividido en dos grupos:
1.- Crímenes que tienen como objetivo redes de computadoras, por ejemplo,
con la instalación de códigos, gusanos y archivos maliciosos (Spam), ataque
masivos a servidores de Internet y generación de virus.
2.- Crímenes realizados por medio de ordenadores y del Internet, por ejemplo,
espionaje por medio del Internet, fraudes y robos, pornografía infantil, pedofilia
Internet, etc.
Un ejemplo común es cuando una persona comienza a robar información de

websites o causa daños a redes de computadoras o servidores. Estas actividades

6
pueden ser absolutamente virtuales, porque la información se encuentra en forma

digital y el daño aunque real no tiene consecuencias físicas distintas a los daños
causados sobre los ordenadores o servidores. En algunos sistemas judiciales la
propiedad intangible no puede ser robada y el daño debe ser visible. Un ordenador
puede ser fuente de evidencia y, aunque el ordenador no haya sido directamente
utilizado para cometer el crimen, es un excelente artefacto que guarda los
registros, especialmente en su posibilidad de codificar la data. Esto ha hecho que
la data codificada de un ordenador o servidor tenga el valor absoluto de evidencia
ante cualquier corte del mundo
El desarrollo de la informática forense necesitará el apoyo por parte delos

gobiernos de cada país, desarrollando leyes que respalden las acciones tomadas
por los investigadores cuando utilicen evidencias electrónicas en procesos
jurídicos. También deberán de crear regulaciones para reconocer y penalizarlos
delitos informáticos más comunes, por ejemplo:
 Protección al menor: producción, distribución y posesión de pornografía

infantil.
 Fraude en las comunicaciones: locutorios telefónicos clandestinos.
 Dialers: modificación oculta del número de teléfono de destino
 Fraudes en Internet: estafas, subastas ficticias y ventas fraudulentas.
 Carding: uso de tarjetas de crédito ajenas o fraudulentas.
 Phising: redirección mediante correo electrónico a falsas páginas simuladas
trucadas.
 Seguridad lógica: virus, ataques de denegación de servicio, sustracción de
datos, hacking, descubrimiento y revelación de secretos, suplantación de
personalizadas, sustracción de cuentas de correo electrónico.
 Delitos de injurias, calumnias y amenazas a través del e-mail, news, foros,
chats o SMS.
 Propiedad intelectual: piratería de programas de ordenador, de mú-sica y de
productos cinematográficos.

7
 Robos de código: como en el caso de los juegos Dark Age of Camelot,y

Half-Life 2, o de los sistemas Cisco IOS y Enterasys Dragon IDS.
¿Qué debemos de conocer?

Tenemos que definir la recolección de evidencia digital desde tres puntos de
Vistas de la Informática Forense:
1. Cuando el peritaje es de índole Judicial

2. Cuando el peritaje es por violación de seguridad a redes y servidores
3. Cuando el peritaje es de índole corporativo
Podemos ver que el peritaje o experticia forense informática se diversifica según el

caso y según el proceder de la experticia, ahora bien , el procedimiento definido
por los métodos utilizado siempre van a ser los mismos.
Cuando se habla de network forensic o forensia en redes, estamos en un

escenario aún más complejo, pues es necesario comprender la manera como los
protocolos, configuraciones e infraestructuras de comunicaciones se conjugan
para dar como resultado un momento específico en el tiempo y un comportamiento
particular. Esta conjunción de palabras establece un profesional que entendiendo
las operaciones de las redes de computadores, es capaz, siguiendo los protocolos
y formación criminalística, de establecer los rastros, los movimientos y acciones
que un intruso ha desarrollado para concluir su acción. A diferencia de la definición
de computación forense, este contexto exige capacidad de correlación de evento,
muchas veces disyuntos y aleatorios, que en equipos particulares, es poco
frecuente.
La informática forense es un desafío interdisciplinario que requiere un estudio

detallado de la tecnología, los procesos y los individuos que permitan la
conformación de un cuerpo de conocimiento formal, científico y legal para el

8
ejercicio de una disciplina que apoye directamente la administración de la justicia y

el esclarecimiento de los hechos alrededor de los incidentes o fraudes en las
organizaciones. En este sentido, se tienen agendas de investigación a corto y
mediano plazo para que se avancen en temas de especial interés en la
conformación y fortalecimiento de las ciencias forenses aplicadas a los medio
informáticos.

9
¿Qué es la informática Forense?

En nuestra sociedad el valor de la información juega un papel muy importante ya
que puede ser el escenario para cometer múltiples delitos e infracciones y más
aun si es dentro de las empresas, esto influye enormemente en el desarrollo de
negocio de cualquier organización. De aquí partimos con la importancia de lo que
llamaremos informática forense.
La informática forense, o computación forense, se define como una disciplina de

las ciencias forenses que procura descubrir e interpretar la información de los
medios informáticos para establecer los hechos y formular las hipótesis
relacionadas con el caso.
Según el FBI, la informática (o computación) forense es la ciencia de adquirir,

preservar, obtener y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional. Desde 1984, el Laboratorio del FBI y
otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar
programas para examinar evidencia computacional.
El análisis forense resulta una pieza clave en los procesos de respuesta a

incidentes de seguridad, ya que da paso a respuestas como el “¿Qué?”,
“¿Quién?”, “¿Cuándo?”, “¿Cómo?”, e incluso en algunos casos el “¿Por qué?”, del
incidente
La informática forense se origino hace unos 20 años en Estados Unidos, cuando el

gobierno y el FBI notaron que los criminales empezaban a usar la tecnología. En
1984 el FBI inicio un programa llamado el Programa de Medios Magneticos que
dio origen al CART, un equipo de análisis computacional. En 1988 Michael
Anderson un agente del IRS armo un grupo de especialistas y se reunieron con 3
compañías involucradas en la recuperación de datos, compañías que después se
convertirían en Symantec.

10
En una de estas reuniones se crearon las clases de Especialistas de

Recuperación de Evidencia Computacional, en 1988 y 1989 en el centro de
entrenamiento federal FLETC, y también se creo la IACIS, Asociación
Internacional de Especialistas en la Investigación Computacional.
Entre 1993 y 1995 junto con el Departamento de Hacienda de Canadá se formo el

programa CIS para incluir a todas las agencias de la tesorería estadounidense en
el entrenamiento. Al mismo tiempo se formo la IOCE, Organización Internacional
en Evidencia Computacional, cuyo propósito es proveer un foro internacional para
el intercambio de la información relacionada con la investigación computacional y
la informática forense.
Para entonces la informática forense ya se había consolidado como un campo vital

en el área de la investigación, y que a medida que la tecnología avanzaba de
forma acelerada así tenían que hacerlo las organizaciones encargadas de la
informática forense.
Para el 2003 el CART trabajaba en 6,500 casos y estaba examinando 782

Terabytes de datos.
Actualmente las compañías de Software producen software forense más robusto y

los agentes de la ley y militares entrenan a mas personal para responder a los
crímenes que involucren tecnología.
Importancia y ventajas de la informática forense.

Las técnicas forenses son aquellas que surgen de la investigación metódica para
reconstruir una secuencia de eventos, el arte de recrear que ha pasado en un
dispositivo digital, La informática forense hace entonces su aparición como una
disciplina auxiliar de la justicia moderna, para enfrentar los desafíos y técnicas de

11
los intrusos informáticos, así como garantía de la verdad alrededor de la evidencia

digital que se pudiese aportar en un proceso legal.
Cuando una empresa contrata servicios de Informática forense puede perseguir

objetivos preventivos, anticipándose al posible problema u objetivos correctivos,
para una solución favorable una vez que el ataque a la información se ha
producido.
2.1 La informática forense tiene 3 objetivos:

1. Crear y aplicar políticas para prevenir posibles ataques, y de existir
antecedentes evitar casos similares.
2. Perseguir y procesar judicialmente a los criminales.
3. Compensar daños causados por los criminales o intrusos. La informática

forense busca encontrar y reconstruir el ataque que fue realizado con el fin de
obtener los datos que pudieron ser manipulados durante el mismo y lograr
identificar el origen del ataque. Con propósito de poder remediar el daño realizado
por el atacante y poder capturarlo para poder realizar un proceso judicial contra él.
Para ello es necesario el apoyo de los gobiernos para que existan regulaciones
contra los delitos informáticos y que al momento de identificarlos no queden
impunes.
Las investigaciones forenses informáticas sirven para, sin manipularlas, obtener

evidencias electrónicas o rastros dejados en equipos informáticos. Dichas
evidencias informáticas son los registros dejados en equipos informáticos, routers,
firewalls o servidores de correo tras su uso.

12
Además de personas ajenas a la empresa que puedan introducirse en los

sistemas informáticos, es importante recalcar que según estudios de seguridad
realizados, el 60% de los ex-empleados roba información confidencial con la que
trabajaban en la empresa. Lo más habitual suelen ser listados de contactos de
clientes o los correos electrónicos recibidos mientras aún trabajaban en la
compañía.
En cuanto a los principales métodos para extraer esta información, la mayor parte
(53%) prefiere una copia en CD o DVD, mientras que el 42% escoge una memoria
USB para perpetrar sus robos. Por otra parte, un 38% envía la información
confidencial por correo electrónico a una cuenta personal.
Además de esto, cabe destacar que el 24% de los ex-trabajadores mantenía

acceso a la red corporativa incluso después de haber dejado de trabajar en la
empresa.
Para investigar estos hechos, los peritos informáticos del equipo de Evidencias
Informáticas están altamente cualificados y utilizan herramientas especializadas. A
veces, para reconstruir las evidencias informáticas es necesario recurrir a la
recuperación de datos para rescatar aquella información que pueda servir como
prueba.
En cuanto al proceso de obtención y preservación de las evidencias

electrónicas:
1. Los peritos informáticos que acceden a la evidencia electrónica están

específicamente formadas para ello.
2. Las acciones llevadas a cabo para obtener la evidencia electrónica no la

modifican en ningún caso.

13
3. Toda la actividad referente a la obtención, acceso, almacenamiento o

transferencia de la evidencia electrónica es totalmente documentada, almacenada
y está disponible para revisión.
Las distintas metodologías forenses incluyen el recoger de manera segura datos

de diferentes medios digitales y evidencias digitales, sin alterar los datos de
origen. Cada fuente de información se cataloga preparándola para su posterior
análisis y se documenta cada prueba aportada. Las evidencias digitales recabadas
permiten elaborar un dictamen claro, conciso, fundamentado y con justificación de
las hipótesis que en él se barajan a partir de las pruebas recogidas. Todo el
procedimiento debe hacerse con mucho cuidado, teniendo en cuenta los
requerimientos legales para no vulnerar en ningún momento los derechos de
terceros que puedan verse afectados. Ello para que, llegado el caso, las
evidencias sean aceptadas por los tribuna-les y puedan constituir un elemento de
prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable
Además, el equipo de Evidencias Informáticas ofrece sus servicios profesionales

para asesorar sobre la implantación de políticas y mecanismos de seguridad en
las empresas para evitar que su información confidencial salga de las compañías.

14
¿Que es el Análisis forense?

El Análisis Forense se refiere a la recopilación de evidencias bajo notario que
puedan servir como prueba judicial. Es por ello que la mayor parte delas técnicas
se basan en la recuperación de información de discos duros, ahora que comienza
a decaer las técnicas denominadas Floppy Disk Forensics. La recuperación de
archivos borrados o no accesibles entra también dentro de este campo, también la
búsqueda de cadenas en los datos adquiridos.
Lo más normal en caso de querer recuperar datos de un disco es intentar montar

la partición con un arranque del sistema operativo Linux. Por otro lado, el análisis
forense también se refiere a determinar las causas del compromiso de seguridad
de un sistema, es decir, la alteración de sus da-tos o la caída o mal
funcionamiento del sistema. Tripwire y Osiris y son dos sistemas de control de
integridad de archivos
Fuente: http://www.elhacker.net/InfoForenseWindows.html#RFC

15
Principio de Locard
El Principio de Locard se suele expresar así:
"siempre que dos

objetos entran en
contacto transfieren
parte del material
que incorporan al
otro objeto"
“Cada contacto deja su rastro”

16
Informática Forense: donde la uso?

Existen varios usos de la informática forense, muchos de estos usos provienen de
la vida diaria, y no tienen que estar directamente relacionados con la informática
forense:
1. Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar

una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta
de drogas, evasión de impuestos o pornografía infantil.
2. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio,
pueden ser ayudados por la informática forense.
3. Investigación de Seguros: La evidencia encontrada en computadores, puede

ayudar a las compañías de seguros a disminuir los costos de los reclamos por
accidentes y compensaciones.
4. Temas corporativos: Puede ser recolectada información en casos que tratan

sobre acoso sexual, robo, mal uso o apropiación de información confidencial o
propietaria, o aún de espionaje industrial.
5. Mantenimiento de la ley: La informática forense puede ser usada en la

búsqueda inicial de órdenes judiciales, así como en la búsqueda de información
una vez se tiene la orden judicial para hacer la búsqueda exhaustiva.
- ¿Para qué sirve la informática forense? Para garantizar la efectividad de las

políticas de seguridad y la protección tanto de la información como de las
tecnologías que facilitan la gestión de esa información.
- ¿En qué consiste? Consiste en la investigación de los sistemas de información

con el fin de detectar evidencias de la vulneración de los sistemas.

17
- ¿Cuál es su finalidad? Cuando una empresa contrata servicios de Informática

forense puede perseguir objetivos preventivos, anticipándose al posible problema
u objetivos correctivos, para una solución favorable una vez que la vulneración y
las infracciones ya se han producido.
- ¿Qué metodologías utiliza la Informática forense? Las distintas metodologías

forenses incluyen la recogida segura de datos de diferentes medios digitales y
evidencias digitales, sin alterar los datos de origen. Cada fuente de información se
cataloga preparándola para su posterior análisis y se documenta cada prueba
aportada. Las evidencias digitales recabadas permiten elaborar un dictamen claro,
conciso, fundamentado y con justificación de las hipótesis que en él se barajan a
partir de las pruebas recogidas.
- ¿Cuál es la forma correcta de proceder? Y, ¿por qué? Todo el procedimiento

debe hacerse tenido en cuenta los requerimientos legales para no vulnerar en
ningún momento los derechos de terceros que puedan verse afectados. Ello para
que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan
constituir un elemento de prueba fundamental, si se plantea un litigio, para
alcanzar un resultado favorable.
Los investigadores de la computación forense usan gran cantidad de técnicas para

descubrir evidencia, incluyendo herramientas de software que automatizan y
aceleran el análisis computacional.

18
Principios periciales Informático

En el proceso penal la práctica de la prueba va encaminada a determinar la
culpabilidad del imputado y su condena, en el caso en que quede acreditada su
participación en los hechos constitutivos del delito enjuiciado, o bien su
absolución, cuando no quede acreditada dicha participación. Para ello es
necesario que el magistrado haga una valoración de la prueba practicada.
Esta metodología que se convierte en todo un arte de las conciencias jurídicas,

recobra un especial valor y significado, cuando en recientes análisis realizados en
nuestro país por personal carente de formación técnica y jurídica, parecen poner
en entredicho, que debe presidir en toda investigación pericial, especialmente,
cuando en nuestro estado de derecho, debemos defender uno de los valores
superiores de nuestro ordenamiento, como es la justicia con la que se debe obrar
en todo procedimiento del área que nos ocupa.
Ahora bien, a las dificultades que reviste la práctica de la prueba en el ámbito

penal, se agrava cuando la misma, se desarrolla en el área científico-tecnológica,
esto es, con ocasión de analizar un disco duro, la memoria de un teléfono de
última generación, etc. La dificultad estriba, porque nos adentramos en el
dificultoso mundo de la prueba indiciaria informática forense. Se trata de una
prueba pericial, basada en el empleo de una metodología criminalística, con
fundamentos y características propias, que implican el dominio, no solo de la
informática sino del respeto de las normas que deben presidir, para poder hablar
de transparencia e imparcialidad de un proceso.
Es particularmente novedosa y requiere una interacción multidisciplinaria, en la

que están implicados diversos agentes, tanto del ámbito científico-tecnológico
como del sector jurídico.
Una de esas figuras, es el perito informático forense, que debe estar capacitado
en la técnica pericial específica, en metodología criminalística y en legislación

19
actualizada, no solo antes de comenzar un peritaje en el sentido técnico, sino para

asesorar también en esa fase, a quienes soliciten sus servicios, de manera, que
puedan llegar a la convicción de la viabilidad de la prueba, lo que a priori indicará
la no contaminación de la prueba, dado que en caso contrario, según estemos del
lado del imputado o del demandante, así se desarrollará la fase siguiente, que
será la instrucción y a partir de ahí, un largo proceso, que culminará con éxito
cuando con el fallo del juez, se determine la autoría del procesado.
La prueba informática forense
Es la resultante del empleo de técnicas informáticas y criminalísticas, para

detectar, proteger, documentar, preservar, analizar y evaluar los indicios
probatorios que obran en un sistema de información (generalmente
computacional) que sean de utilidad a la investigación reconstructiva de los
hechos (delictivos o no) y para el esclarecimiento de los hechos que son objeto de
la causa que la ha generado.
En el siguiente esquema, presentamos el ciclo indiciario, que resume muy bien los
pasos básicos, pero complejos de nuestro análisis forense. Y es que “la
contaminación de la cadena de custodia[5]” a colación del aislamiento y la
contaminación de las pruebas que son objeto de estudio y que se precisa, no se
vulneren, depende el éxito del proceso penal con ocasión de la imputación de una
persona como presunto autor de un delito de fraudes a la Hacienda pública, por
citar un ejemplo.
Fuente: http://noticias.juridicas.com/articulos/65-Derecho-Procesal-Penal/200312-
26569151110313480.html

20
Principios que debe presidir la prueba indiciaria
a) Principio de entidad pericial.

b) Principio de protección y preservación.
c) Principio de identidad de copias.
d) Principio tecnológico interdisciplinario.
e) Principio de oportunidad.
f) Principio de compatibilización.
g) Principio de vinculación estricta.
De todos estos principios, nos vamos a centrar, por razones de espacio pero
fundamentalmente, por el objeto de este artículo, en dos principios, que tras su
breve desarrollo, nos permitirá introducirnos en el tema eje de esta exposición.

21
Por tanto, por una parte tenemos el Principio de protección y preservación, que
consiste en ser fieles a la cadena de custodia estricta y con certificación unívoca
comprobable, para poder destruir la presunción de inocencia del imputado (si es el
caso) o demostrar la inocencia (en caso contrario).
En segundo lugar, nos encontramos con el Principio de oportunidad, que debido a

su facilidad de destrucción normalmente, requiere de tareas complementarias que
aseguren su recolección (medidas preliminares, inspecciones o reconocimientos
judiciales, órdenes de allanamiento o de intercepción judiciales). ¿Para qué? Para
que el imputado no pueda alegar en la fase probatoria, cualquier reproche en la
selección y tratamiento del material probatorio, que le incrimine para un caso
concreto.
Básicamente, resumiríamos en el siguiente esquema gráfico:

22
Que son las evidencias digitales

La evidencia computacional es única, cuando se la compara con otras formas de
"evidencia documental". A diferencia de la documentación en papel, la evidencia
computacional es frágil y una copia de un documento almacenado en un archivo
es idéntica al original. Otro aspecto único de la evidencia computacional es el
potencial de realizar copias no autorizadas de archivos, sin dejar rastro de que se
realizó una copia. Esta situación crea problemas concernientes a la investigación
del robo de secretos comerciales, como listas de clientes, material de
investigación, archivos de diseño asistidos por computador, fórmulas y software
propietario.
Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben
alterar de los originales del disco, porque esto invalidaría la evidencia; por esto los
investigadores deben revisar con frecuencia que sus copias sean exactas a las del
disco del sospechoso, para esto se utilizan varias tecnologías, como por ejemplo
checksums o hash MD5.
La IOCE (International Organization On Computer Evidence) define los siguientes

cinco puntos como los principios para el manejo y recolección de evidencia
computacional:
1. Sobre recolectar evidencia digital, las acciones tomadas no deben cambiar

por ningún motivo esta evidencia.
2. Cuando es necesario que una persona tenga acceso a evidencia digital

original, esa persona debe ser un profesional forense.
3. Toda la actividad referente a la recolección, el acceso, almacenamiento o a

la transferencia de la evidencia digital, debe ser documentada completamente,
preservada y disponible para la revisión.

23
4. Un individuo es responsable de todas las acciones tomadas con respecto a

la evidencia digital mientras que ésta esté en su posesión.
5. Cualquier agencia que sea responsable de recolectar, tener acceso,

almacenar o transferir evidencia digital es responsable de cumplir con estos
principios.
Además definen que los principios desarrollados para la recuperación

estandarizada de evidencia computarizada se deben gobernar por los siguientes
atributos:
1. Consistencia con todos los sistemas legales.

2. Permitir el uso de un lenguaje común.
3. Durabilidad.
4. Capacidad de cruzar límites internacionales.
5. Capacidad de ofrecer confianza en la integridad de la evidencia.
6. Aplicabilidad a toda la evidencia forense.
Qué es la Evidencia Digital ?

La Evidencia Digital, es todo aquel elemento que pueda almacenar información de
forma física o lógica que pueda ayudar a esclarecer un caso. Pueden formar parte:
 Discos rígidos , HD
 Archivos temporales , *.temp
 Espacios no asignados en el disco
 Diskettes, Cd-rom,Dvd, Zip, etc.
 Pen drives
 Cámaras digitales
 Backups

24
Debemos tener en cuenta que : La Evidencia Digital es :

1. Volátil
2. Duplicable
3. Borrable
4. Reemplazable
Principios para la Recolección de Evidencias RFC 3227

1. Orden de volatilidad
2. Cosas a evitar
3. Consideraciones relativas a la privacidad de los datos
4. Consideraciones legales
5. Procedimiento de recolección
6. Transparencia
7. Pasos de la recolección
8. Cadena de custodia
9. Como archivar una evidencia
10. Herramientas necesarias y medios de almacenamiento de éstas
Admisibilidad de la Evidencia
La evidencia debe ser/ estar:
1. Relevante: relacionada con el crimen bajo investigación.
2. Permitida Legalmente: fue obtenida de manera legal.
3. Confiable: no ha sido alterada o modificada.
4. Identificada: ha sido claramente etiquetada.
5. Preservada: no ha sido dañada o destruida.
Tipos de Evidencia
1. Best evidence – evidencia primaria u original, no es copia.
2. Secondary – copia de evidencia primaria.
3. Direct evidence – prueba o invalída un acto específico a través del un
testimonio oral.

25
4. Conclusive evidence – indiscutible, sobrepasa todo otro tipo de evidencia.
Finalidad
Demostrar que la Evidencia presentada ante las Autoridades correspondientes, es
la misma que se obtuvo en el Lugar de los Hechos.
Ciclo de Vida de la Evidencia

1. Descubrimiento y Reconocimiento.
2. Protección.
3. Registración.
4. Recolección.
5. Recolección de todos los medios de almacenamientos relevantes.
6. Generación de una imágen del HD antes de desconectar la computadora.
7. Impresión de pantallas.
8. Evitar la destrucción de los equipos (degaussing).
9. Identificación (etiquetado).
10. Preservación.
11. Protección de los medios magnéticos contra borrado.
12. Almacenamiento en un ambiente adecuado.
13. Transportación.
14. Presentación ante la corte.
15. Devolución de la evidencia a su dueño.
Al finalizar el peritaje informático, el equipo de Evidencias Informáticas emitirá un

informe pericial que servirá como prueba en asuntos relacionados con:
 Uso irregular del correo electrónico

 Abuso de los sistemas informáticos
 Violación de la seguridad
 Piratería
 Borrado intencionado de archivos

26
 Comercio electrónico
 Manipulación inadecuada de equipos, sabotajes
 Cualquier otro tipo de delitos informáticos
El informe pericial del equipo de Evidencias Informáticas incluirá:

 Los datos completos del cliente.
 Los objetivos del peritaje informático.
 Declaración de profesionalidad, independencia y veracidad del perito
informático.
 Informe sobre el proceso de obtención de pruebas y acciones llevadas a
cabo durante el proceso.
 Conclusiones y resultados del peritaje informático.
Los expertos del equipo de Evidencias Informáticas están altamente cualificados y

utilizan herramientas especializadas para realizar el peritaje informático. En
ocasiones, será necesario recurrir a la recuperación de datos para reconstruir las
evidencias electrónicas y rescatar aquella información que pueda servir como
prueba.
Asimismo y en caso de que fuera necesario, el perito informático de Evidencias

Informáticas que hubiera elaborado el informe, testificaría en un juicio para aportar
las conclusiones de la investigación forense como experto cualificado. Este
servicio especial no está incluido en el peritaje informático, sino que se
presupuestaría aparte.
Además, el equipo de Evidencias Informáticas ofrece sus servicios profesionales

para asesorar sobre la implantación de políticas y mecanismos de seguridad en
las empresas.

27
Los Principios Forenses

Debido a que la informática forense es una disciplina de la ciencia forense
comparte muchos de los principios claves a la hora de examinar y manipular la
información, estos principios son:
• Evitar la contaminación: para poder obtener un análisis veraz y certero la

información debe estar lo mas estéril posible, al igual que en la medicina forense
no se debe comprometer la evidencia de la investigación.
Con la evidencia electrónica (imágenes de discos y memoria, ficheros de datos y

ejecutables, etc.) la práctica consiste en obtener “hashes” de la información en el
momento de su recolección, de forma que se pueda comprobar en cualquier
momento si la evidencia ha sido modificada.
Los algoritmos de “hashing” aceptados como estándar son el MD5 y el SHA-1. A

pesar de que se han descubierto vulnerabilidades en ambos, y que pueden tener
los años contados, sigue siendo buena idea tomar dos “hashes” (MD5 y SHA-1) de
cada pieza de evidencia ya que la posibilidad de obtener una colisión de ambos
sigue siendo infinitesimal.
• Actuar metódicamente: El investigador debe ser responsable de sus

procedimientos y desarrollo de la investigación, por lo tanto es importante que se
documente claramente los procesos, herramientas y análisis durante la
investigación. Así el investigador asegura la veracidad de la información y sirve
como base para la resolución de casos similares en un futuro.
• Tener control sobre la evidencia: Debe mantenerse en custodia toda la

evidencia relacionada con el caso y el investigador debe documentar cualquier
evento que haya ocurrido con la evidencia mientras estaba en su poder. Quien
entrego la evidencia, como se transporto, el acceso a la evidencia, etc. Estas son
solo algunas de las preguntas que debe poder responder el investigador.

28
¿Qué necesitamos de un computador?

Todo el universo electrónico que compone un equipo computacional o de
telefonía, representa una gran fuente de información valiosa que podemos
aprovechar cuando estos están ligados en un proceso de investigación. Desde la
sustracción de información a los discos duros, logs, residuos en las papeleras de
reciclaje, archivos temporales, contraseñas, información almacenada e inclusive,
trazas de navegación realizadas por la personas que utilizarán ese medio
electrónico
La información y datos que se busca después del incidente y se recoge en la

investigación debe ser manejada adecuadamente. Esta puede ser:
1.- Información volátil: Información de red. Comunicación entre el sistema y la red.

Procesos activos. Programas actualmente activos en el sistema. Usuarios
logueados. Usuarios y empleados que actualmente utilizan el sistema. Ficheros
abiertos. Librerías en uso, ficheros ocultos, troyanos cargados en el sistema.
2.- Información no volátil. Se incluye información, datos de configuración, ficheros

del sistema y datos del registro que son disponibles después del re-arranque. Esta
información se investiga y revisa a partir de una copia de backup. Los discos duros
fijos pueden ser con conexión SATA a velocidad de 5400 rpm y capacidad de 320
GB, los discos extraíbles pueden ser Seagate de capacidad 140 GB y velocidad
15K rpm con conexión SCSI.
Es un aspecto mi portante en toda investigación forense. Existen procedimientos y

políticas estrictas respecto del tratamiento de las evidencias. Todo esto para
asegurar que no se rompa la cadena de custodia, y por lo tanto se preserve la
integridad de las evidencias. El manejo de evidencias incluye items como:
. Estar capacitado para determinar que evidencia proviene de que trozo de HW.

29
. De donde se obtuvo tal pieza de HW.
. Proveer almacenamiento seguro de las evidencias, manteniendo un acceso

restringido a estas.
. Documentar cada proceso utilizado para extraer información.
. Asegurar que los procesos son reproducibles, y que producirán los mismos
resultados.
Las opciones de investigación ante un incidente son normalmente:

1) Investigación Interna: corresponde a conducir una investigación al interior de la
organización, utilizando al personal de IT interno puede ser la opción menos
costosa, sin embargo, dependiendo del tipo de incidente, puede ser la menos
efectiva.
2) Investigación Policial: puede no siempre poseer los recursos para manejar la

investigación, y es posible necesitar proveer de evidencias a los investigadores
antes de que puedan comenzar con su investigación. Varias organizaciones se
presentan opuestas a reportar sus incidentes ante la policía, ya que a veces el
costo de la investigación sobrepasa el consto de las consecuencias del incidente.
3) Investigación por parte de Especialistas Privados: en el caso de algunos

paises, un gran número de policías se retira y comienzan a trabajar de manera
particular, con la ventaja de que conocen sobre las reglas del manejo de
evidencias, y poseen experiencia que pueden poner a disposición de sus clientes
en el momento que estos la necesiten.
Fuente: http://avancesdeseguridadinformatica-forense.blogspot.com/2014/06/aspectos-legales-tener-en-
cuenta-en-un.html

30
Metodologías correctas en peritaje

Existen muchos métodos para la realización de una investigación forense, sin
embargo uno de los modelos que resulta más práctico y eficiente para este tipo de
investigación es aquel en el que se divide el proceso por fases, las cuales pueden
ser en orden o pueden realizarse en paralelo. Las fases son:
1. Identificar la Evidencia
Para identificar de forma correcta la evidencia se necesitan por lo menos
4 elementos:
• Personal Capacitado: El personal debe tener los conocimientos

adecuados sobre el manejo de la evidencia y su identificación.
• Conocimientos Técnicos: Se debe poseer cierto grado de conocimiento

para evitar la perdida de datos o para revisar por completo el ambiente,
por ejemplo saber si es necesario apagar el servidor para examinarlo o si
se necesita observar el sistema en vivo.
• Marcar la evidencia: Es vital marcar o etiquetar la evidencia para poder

utilizarla en un juicio, así como llevar un inventario de ella, de esta forma
evitamos atrasos en la investigación y posibles fallas en el análisis.
• Garantizar la inviolabilidad: Es importante garantizar que la evidencia

no sea manipulada por agentes externos, que sea abierta o manipulada,
para evitar daños a la evidencia.
2 Recolección de datos
Una parte muy importante del proceso de la informática forense es la
recolección de evidencia, un proceso que debe realizarse con sumo
cuidado ya que si se altera de cualquier forma la información es posible
que el caso se vea comprometido de forma definitiva. La adquisición de

31
la evidencia electrónica se debe hacer siempre de forma que el sistema

examinado se vea impactado o modificado en su estado lo mínimo
posible.
Aunque toda evidencia es importante, se considera que ciertos tipos de
evidencia pueden ser de menor relevancia y por tanto puede ser
modificada o alterada hasta cierto punto siempre y cuando esta
alteración sea conocida y predecible.
La información debe recolectarse desde el medio más volátil hasta el

menos volátil para poder obtener la información más frágil de forma mas
rápida antes de que algún cambio en el sistema la elimine. El orden a
seguir es:
Orden Localización
1 Contenido de la memoria
2 Conexiones de red establecidas
3 Procesos corriendo en el sistema
4 Puertos abiertos
5 Usuarios conectados al sistema
6 Contenidos de ficheros de paginación y swap
7 Contenidos de sistemas de ficheros
8 Configuración de hardware y periféricos
Si no apagamos el equipo podemos ver todos los procesos en ejecución,

los consumos de memoria, las conexiones de red, los puertos abiertos,
los servicios que corren en el sistema, etc.
Por otro lado si apagamos el equipo se perderá información volátil que

puede ser esencial par el curso de la investigación. Pero también puede
suceder que si no apagamos el sistema este puede comprometer a toda
la red .

32
Si no apagamos el sistema tendremos que controlar este aspecto de la

seguridad y aislarlo de la red completamente, lo cual llega a ser
prácticamente imposible en determinados escenarios.
3 Análisis de los Datos
El fin principal del análisis es saber que es lo que ha sucedido, quien lo
ha realizado, como lo ha hecho y cuando sucedió. El proceso varia según
el caso que se este investigando, por ejemplo en un caso donde se
investigue la intrusión a un sistema se deben analizar las conexiones al
sistema, los puertos, los procesos y después analizar el sistema de
ficheros.
El análisis de la información puede llegar a ser un proceso extenso

dependiendo de las condiciones en las que trabaje el investigador. Si por
ejemplo solo se tiene acceso temporal a la evidencia, por su volatilidad u
otros factores, se debe realizar el análisis lo más pronto posible dentro
del ambiente de la evidencia.
Una parte importante de este proceso es el sacar conclusiones, poder

dar una respuesta a las preguntas con las que comenzó la investigación
a través de la información que se obtuvo, y el investigador debe trabajar
con abogados, criminalistas y jueces para poder obtener los datos claves
para la investigación y para un posible juicio.
4 Presentar la Información
En esta fase se presentan, mediante un documento, los resultados que
se han obtenido de las fases anteriores. En su forma más básica un
documento de este tipo debe contener:
 Antecedentes: Solicitante, el tipo de trabajo, situación, redactor.

33
 Documentos recolectados y examinados: expedientes, contratos,

escrituras, etc.
 Inspecciones realizadas: Pruebas que se hicieron al material que
se analizo y el tipo de daño que se valoro.
 Metodología del informe: Criterios que se siguieron en la
investigación.
 Dictamen: Conclusiones que de modo resumido expondrán los
resultados de la investigación
 Anexos: Diferentes tipos de evidencia y documentos que fueron
obtenidos en la investigación como fotografías, resultados de
análisis, normas infringidas, etc.
Según el país donde se ejerza, este documento puede ser de mucha

ayuda para un caso, pero en países como Guatemala, Nicaragua, El
Salvador, y otros de Latinoamérica donde la evidencia digital posee poco
valor legislativo, se dificulta. Esto se debe a que a pesar de que las
formas de cometer crímenes y violar accesos han avanzado, las leyes no
han avanzado al mismo ritmo, las leyes que existen no se pueden aplicar
en su totalidad a estos crímenes y la evidencia digital muchas veces
queda relegada a un segundo plano.
Fuente: http://mypassionisforyou.blogspot.com/2009/09/informatica-forence_8613.html

34
Preservación y Duplicación de evidencias

La evidencia digital se puede definir como cualquier tipo de información que ha
sido extraída de un medio informático y que esta sujeta a una intervención
humana. En otras palabras es cualquier registro que se encuentre en un sistema
computacional y que puede ser utilizado como evidencia en un proceso legal.
Se le llama evidencia digital a cualquier registro generado o almacenado en un

sistema de cómputo que pueda ser utilizado como evidencia en un proceso legal
Veamos algunas definiciones:

“Cualquier información, que sujeta a una intervención humana u otra semejante
que ha sido extraída de un
medio informático”, HB:171 2003 Guidelines for the Managment of IT evidence.
“Una vez reconocida la evidencia digital debe ser preservada en su estado

original. Se debe tener en mente que la ley requiere que la evidencia sea autentica
y sin alteraciones”. Casey
“Es necesario que cambie la forma como las reglas formalistas del derecho de la
prueba deben ser interpretadas, o en el peor de los casos reformuladas, ya que
actualmente en Colombia es muy poco lo que se valora a las tecnologías
informáticas en disposiciones legales”. Daniel Torres Falkonert
La diferencia más notable con la evidencia forense normal, es que esta posee un
carácter mucho más volátil, es más fácil de alterar y de eliminar, al contrario de
una muestra de sangre o un casquillo de una bala.
Características de la evidencia digital

35
Es la materia prima de los investigadores, es volátil y anónima, es modificable, es

decir se puede duplicar, borrar o alterar pero son parte fundamental de la escena
del delito, si se compromete la evidencia se puede perder el caso administrativo o
legal de la investigación forense.
Es crítico recordar que la evidencia se puede duplicar y aun así esta copia es
original respecto de los entornos digitales.
Algunos ejemplos de evidencia son:

• El último acceso a un fichero o aplicación (unidad de tiempo)
• Un Log en un fichero
• Una cookie en un disco duro
• El uptime de un sistema (Time to live o tiempo encendido)
• Un fichero en disco
• Un proceso en ejecución
• Archivos temporales
• Restos de instalación
• Un disco duro, pen-drive, etc…
Recolección y manejo de evidencias

El propósito de este documento (RFC-3227) es proveer a los administradores de
sistemas unas pautas a seguir en el aspecto de recolección de evidencias, si se
diera el caso de un índice de seguridad. En esta RFC se trata los siguientes
casos:
Principios para la recolección de evidencias

o Capturar una imagen del sistema lo mas exacta posible
o Mantener notas detalladas
o Prepararse para testificar
o Minimizar los cambios en los datos que se van a recolectar

36
• Orden de volatilidad
• Cosas a evitar
o No cerrar el sistema hasta que se concluyan las pruebas
o No confiar en programas del sistema
o No usar programas que modifiquen la hora de acceso a los archivos
Consideraciones relativas a la privacidad de los datos
o Respetar las normas y directrices de la empresa
o No violar la privacidad de las personas
o Asegurarse que se posee el respaldo de la empresa establecida
Consideraciones legales sobre las pruebas

o Admisible
o Autentica
o Completa
o Fiable
o Comprensible
• Procedimiento de recolección
• Transparencia
• Pasos de la recolección
• Cadena de custodia
• Como archivar una evidencia
• Herramientas necesarias y medios de almacenamiento de éstas
El orden de volatilidad que recoge el RFC es el siguiente:

• Registros, Cache
• Tabla de ruta. ARP Cache, Tabla de Proceso, Núcleo de estadísticas,
memoria
• Sistema de Archivo temporales
• Disco
• Datos de monitoreo y Log’s remotos relativos al caso
• Configuración física, topología de red

37
• Medio de Archivos
Detectada o confirmada la existencia de la maniobra delictiva por los auditores,

comienza a forjarse la etapa de recolección de evidencia a instancias del letrado,
la que, si bien no acreditará el delito per se, formará parte de la denuncia que
eventualmente pueda formularse. La denuncia debe contener, en lo posible, todos
los requisitos que la Ley menciona. Ello hace a un total y eficaz esclarecimiento
del delito y, de concurrir todas las circunstancias exigidas por la norma (relación
del hecho, circunstancias de tiempo, modo y lugar de ejecución del delito,
indicación de partícipes, damnificados, testigos y demás elementos que puedan
conducir a su comprobación y calificación legal), todo estaría resuelto con sólo
verificar las pruebas aportadas y los testimonios a rendirse.
a) DOCUMENTACIÓN: es importante recolectar documentación de carácter

estrictamente informático (logs, impresiones de listados de archivos, carpetas,
directorios y subdirectorios, de programas fuentes, generar back ups en soporte
magnético, etc.), labrando actas notariales (ante Escribano Público) y, en la
medida de lo posible, frente a un mínimo de dos testigos, al igual que toda
documentación de otra índole que sirva para acreditar el accionar delictivo.
b) SECUESTRO: debe procederse a la incautación del hardware (terminales,

gateways, routers, etc.) que se' sospeche utilizados para la maniobra delictiva, con
los mismos recaudos que en el caso anterior, siempre y cuando se trate de
material de propiedad de la empresa. En caso de ser de propiedad del empleado,
al igual que tratándose de correspondencia o documentación personal, para su
interceptación y secuestro, es requisito indispensable la intervención de un
Magistrado competente.
c) PRESERVACIÓN DE LA DOCUMENTACIÓN: es importante que tanto los

documentos aludidos en a) como el material secuestrado (b), sean inventariados y
debidamente lacrados bajo los mismos recaudos de actuación testimonial y

38
notarial. Pero, fundamentalmente, la esencia de esta tarea consiste en el correcto

sellado o lacrado a fin de garantizar la intangibilidad e inalterabilidad del material,
en miras al eventual cotejo pericial que disponga el Juez de intervención, lo que
supone que, por ejemplo, todos los puertos y/o entradas del hardware deban ser
anulados con una cinta y lacre debidamente firmados (en forma cruzada por todos
los intervinientes)
d) FILMACION DEL PROCEDIMIENTO: frente a la especificidad de la tarea

mencionada y a los fines de evitar una incorrecta o insuficiente comprensión por
parte de los testigos de la naturaleza y el alcance del procedimiento, no debe
descartarse la posibilidad de documentar mediante una filmación todo lo actuado
en la oportunidad, debiéndoseles explicar a los mismos la técnica y la operatoria
de cada paso.
e) TESTIMONIOS: el personal que sospecha de la maniobra delictiva o del
accionar del presunto responsable, debe ser entrevistado, dejándose constancia
de las manifestaciones, en lo posible, como material fílmico o fonográfico o en
carácter de una exposición con la firma del declarante. Tales testigos,
naturalmente, deberán ser nuevamente ofrecidos en la oportunidad de realizarse
la pertinente denuncia penal.
Entendemos de entidad suficiente, de observarse todas estas posibilidades, el

material probatorio obtenido para formular una denuncia ante la Justicia frente a
una hipótesis como la planteada, con el objeto de la correcta comprobación y
esclarecimiento del delito y la determinación de su autor y eventuales partícipes.
Sin embargo, el cumplimiento de algunas de ellas, puede superponerse con la

labor del perito informático, pero, bajo los recaudos indicados, lo más probable
será que contribuya a atenuar la dificultad del peritaje, redundando en la eficiencia
de la labor pericial. Aquél es un auxiliar de la justicia y su misión consiste en
contribuir a formar la convicción del magistrado, el que no se encuentra ligado

39
obligatoriamente a las conclusiones del peritaje, constituyendo sólo un elemento

informativo sujeto a la apreciación del Juez.
A que se enfrenta un Investigador Forense?

1. La Alteración de la evidencia por falta de protección
2. Falta de logs por no estar configurados (o mal configurados)
3. La NO conservación de los equipos
4. Manipulación de los Medios Originales
5. Falta de recursos adecuados.
6. Etc.
“El Investigador debe asegurarse que sea posible repetir la pericia tantas veces
como el juzgado lo requiera obteniendo los mismos resultados”
El Investigador Forense debe plantearse preguntas como:

¿Quién realizó la intrusión?
¿Cual pudo ser su interes?
¿Cómo entró en el sistema el atacante?
¿Qué daños ha producido en el sistema o que información se llevó?
¿Dejo información que permita involucrarlo?
¿Tendrá alguna forma de volver acceder (backdoor)? Etc…
Fuente: http://www.delitosinformaticos.com/propiedadindustrial/auditoria.shtml

40
La Cadena de Seguridad o custodia

El propósito e la cadena de custodia es llevar un registro cronológico y secuencial
de los movimientos de la evidencia que deben estar siempre documentados, esto
hace fácil encontrar los responsables de la alteración. La cadena de custodia se
debe iniciar al llegar al sitio del incidente.
1 Datos críticos para llevar la cadena de custodia

Marcas de evidencia, Hora y fecha, Numero de caso, Numero de la marca de la
evidencia, Firma de la persona que posee la información, quien tenía la
información o por quien fue provista
2 Regla de oro de la investigación forense

Proteja el original: Se debe proteger el original en orden descendente de
volatilidad, se deben tomar fotos de los equipos por sus diferentes lados, se deben
usar medios estériles para no contaminar las pruebas y finalmente se debe usar
software licenciado o preferiblemente software open source
3 Documentar
Se deben asegurar las pruebas haciendo correlación entre estas, se debe
reconstruir el escenario teniendo en cuenta que los relojes de los sistemas pueden
estas sin sincronizar.
4 Presentación de la evidencia
La legislación no da guías de cómo presentar la información y si la evidencia debe
interpretarse en la corte entonces se recomienda un informe impreso de tipo
ejecutivo pero no sobra un informe adicional de bajo nivel que no debe exponerse
ante el juez
Que es un procedimiento forense ?

Es la metodología detallada utilizada por el Investigador con la finalidad de
obtener las evidencias para su posterior análisis y entrega a la justicia.

41
Principios forenses
Existen un gran número de principios básicos que son necesarios
independientemente de si se está examinando un ordenador o un cadáver. Estos
principios son:
• Evitar la contaminación: La esterilidad de los medios es una condición

fundamental para el inicio de cualquier procedimiento forense en informática, pues
al igual que en la medicina forense, un instrumental contaminado puede ser causa
de una interpretación o análisis erróneo de las causas de la muerte del paciente.
• Actuar metódicamente: El investigador debe ser el custodio de su propio

proceso, por tanto cada uno de los pasos realizados, las herramientas utilizadas
(sus versiones, licencias y limitaciones), los resultados obtenidos del análisis de
los datos, deben estar claramente documentados, de tal manera, que cualquier
persona externa pueda validar y revisar los mismos. Ante una confrontación sobre
la idoneidad del proceso, el tener documentado y validado cada uno de sus
procesos ofrece una importante tranquilidad al investigador, pues siendo
rigurosos en la aplicación del método científico es posible que un tercero
reproduzca sus resultados utilizando la misma evidencia.
• Controlar la cadena de evidencia, es decir, conocer quien, cuando y donde ha

manipulado la evidencia: Este punto es complemento del anterior. La custodia de
todos los elementos allegados al caso y en poder del investigador, debe
responder a una diligencia y formalidad especial es para documentar cada uno de
los eventos que se han realizado con la evidencia en su poder. Quién la entregó,
cuándo, en qué estado, cómo se ha transportado, quién ha tenido acceso a ella,
cómo se ha efectuado su custodia, entre otras, son las preguntas que deben
estar claramente resueltas para poder dar cuenta de la adecuada administración
de las pruebas a su cargo.
Por evidencia entendemos toda información que podamos procesar en un análisis.

42
Análisis de evidencias y recuperación de archivos y directorios

Analizar involucra aquellas tareas referidas a extraer evidencia digital de los
dispositivos de almacenamiento. Una de las claves a la hora de analizar es la
localización de información específica vinculada con una determinada causa. La
experiencia demuestra que en muchos casos, el análisis de datos requerirá un
trabajo interdisciplinario entre el perito y el operador judicial -juez, fiscal- que lleve
la causa, a fin de determinar aquellas palabras clave (keywords) que son de
interés para la investigación.
En casi la totalidad de los casos el análisis de datos se realiza sobre sistemas

operativos Windows y Unix. En el primero de ellos, se debe profundizar en
aspectos técnicos del sistema de archivos NTFS, ya que es utilizado por las
últimas versiones. NTFS almacena atributos de archivos y directorios en un
archivo del sistema llamado MFT (Master File Table) y escribe los datos en
espacios llamados clusters. Los atributos de mayor interés para el investigador
forense son: el nombre del archivo, MAC Times (fecha y hora de la última
Modificación, Acceso o Cambio de un archivo) y los datos (si el archivo es
suficientemente pequeño) o la ubicación de los datos en el disco. Asimismo, el
archivo utilizado como memoria virtual del sistema operativo (Swap file), el espacio
libre que puede quedar entre un archivo y el cluster en el cual reside (Slack
space), la papelera de reciclaje (Recycle bin), clusters que contienen parte que los
archivos borrados (Unallocatable space), los accesos directos, los archivos
temporarios y los de Internet, son algunos de los elementos sobre los que se
realiza habitualmente el análisis de datos. Por otro lado, un examen del registro de
Windows permite conocer el hardware y software instalado en un determinado
equipo.
El análisis sobre sistemas Unix es similar al de Windows, ya que se investiga

sobre los elementos citados precedentemente. Unix utiliza el concepto de nodos
índices (i-node) para representar archivos. Cada i-node contiene punteros a los
datos en el disco, así como también los atributos del archivo. Los datos se

43
escriben en unidades llamadas bloques (blocks) siendo un concepto análogo a los

clusters de Windows. En Unix todo es tratado como un archivo, y puede estar
almacenado en formato binario o texto.
Fuente: https://www.yumpu.com/es/document/view/14828816/lea-el-articulo-acis/89
Búsquedas concretas. / Estructura de equipo

Estudio Preeliminar Es el primer paso de cualquier análisis forense. Nos deben o
debemos explicar con la mayor exactitud posible qué ha ocurrido, qué se llevaron
o intentaron llevar y cuándo ocurrió.
También tendremos que recoger información sobre la organización, ya sea

organización, casa, etc... Recogeremos información sobre la tipología de red y de
gente directa o indirectamente implicada.
También podríamos recoger información sobre el tipo de escenario y el/los

sistema/s afectado/s.
¿Apagamos el equipo?
Podemos presentarnos con dos casos. El primero es el de no apagar el equipo. Si
no apagamos el equipo, podremos ver todos los procesos en ejecución, los
consumos de memoria, las conexiones de red, los puertos abiertos, los servicios
que corren en el sistema, etc.
También se nos presenta el problema de que si apagamos el equipo, se perderá

información volátil que puede ser esencial para el curso de la investigación.
La parte mala de esta situación es que el sistema, al poder estar contaminado,

éste puede ocultar la información. También se nos presenta el problema de que si
no apagamos el sistema, éste puede comprometer a toda la red.

44
Si no apagamos el sistema tendremos que controlar este aspecto de la seguridad,

y aislarlo completamente de la red, lo cual llega a ser prácticamente imposible en
determinados escenarios.
Tipo de Herramientas
Una de las cosas más importantes a la hora de realizar un análisis forense es la
de no alterar el escenario a analizar. Esta es una tarea prácticamente imposible,
porque como mínimo, alteraremos la memoria del sistema al utilizar cualquier
herramienta.
Las herramientas que utilicemos deben de ser lo menos intrusivas en el sistema,

de ahí que se huya de las herramientas gráficas, las que requieren instalación, las
que escriben en el registro, etc... Lo normal y lógico sería utilizar herramientas
ajenas al sistema comprometido, ya sean herramientas guardadas en cualquier
soporte (CD-ROM, USB, etc...). Esto lo hacemos para no tener que utilizar las
herramientas del sistema, ya que pueden estar manipuladas y arrojar falsos
positivos, lecturas erróneas, etc...
Tipo de Copia del Sistema

En el caso de que se pueda realizar, lo ideal sería hacer más de una copia de
seguridad. Una de ellas se podría guardar herméticamente junto con algún
sistema de fechado digital como el proporcionado por RedIris
http://rediris.es/app/sellado. Otra copia la podría guardar algún responsable de la
compañía afectada, y una copia se destinaría a trabajar sobre ella.
En el caso que sea posible, la imagen obtenida podremos montarla sobre un

hardware similar al de la máquina afectada.
Destacaremos los siguientes aspectos:

• La copia que realicemos debería ser lo más exacta posible
• Si es posible, haremos varias copias de seguridad

45
• Una de ellas se guardará herméticamente, para aislarla de todo tipo de agente

exterior
• A ser posible se fecharán digitalmente y sobre el papel
• En el caso que sea posible, la imagen obtenida la montaremos sobre hardware
similar
Herramientas para la investigación forense

Un sitio web recomendado para adquirir las herramientas de hardaware podria ser
www.corpsys.com y se recomienda como minimo las siguientes:
• Portatil con 1GB en RAM y 80GB en disco duro en SATA con Puerto firewire
• Modulo convertidor firewire hacia IDE para portatil
• Fuente de potencia externa con diferentes voltajes para portatil
• Cables de potencia
• Switches de potencia
• Cables firewire
• Convertidor de 2.5” a 3.5” IDE para portatil
• Disco externo SATA y caja convertidora de IDE a USB 2.0
Duplicación forense
Herramientas dd, dd Rescue, dcfldd y ned.
Aplicaciones para automatizar la recolección

Herramientas EnCase, FTK, Sleuth Kit, sleuthkit: Brian Carrier's replacement to
TCT. autopsy: Web front-end
to sleuthkit.

46
Que debe de contener el informe de peritaje:

• Resumen ejecutivo del incidente
• Detallar los procedimientos utilizados
• Explicar datos relevantes e hipótesis
• Evitar siempre los tecnicismos
• Se recomienda incluir un glosario para que otros puedan leer el informe
PROCESO GENERAL FRENTE A UN CASO

1. Surge un pedido de un juzgado o cliente en particular
2. Se debe elaborar un plan de trabajo (Inteligencia)
3. Se realiza el procedimiento del “Secuestro de evidencias”
4. Se deben realizar las copias correspondientes
5. Se da comienzo a la CADENA DE CUSTODIA
6. Se realiza el análisis de las evidencias obtenidas
7. Se escribe el Acta en presencia del Fiscal
8. Presentación del Acta
La estructura básica de cualquier informe atendería al siguiente esquema:

• Antecedentes (Solicitante, encargo profesional o tipo de trabajo. Situación. Redactor)
• Documentos facilitados, recopilados y examinados (Proyectos, expedientes
administrativos, contratos, escrituras, datos registrales, etc.)
• Inspecciones realizadas (Pruebas requeridas en función del material a analizar y del tipo
de daño a valorar).
• Metodología del informe (Se expondrán los criterios que se han seguido para su
elaboración).
• Dictamen (Por ultimo, deberá completarse junto con el apartado de conclusiones, que
recogerá de modo resumido los aspectos más determinantes del trabajo).
• Anexos (Este apartado estará compuesto por los diferentes documentos obtenidos en
las investigaciones: fotografías, resultados de los análisis, documentación relevante
como prueba, normativa infringida, etc.).

47
Laboratorio Práctico - EJERCICIOS

1.- Defina que errores no deben de cometerse al momento de un peritaje
2.- Que equipo debe de usarse al momento de efectuarse un peritaje informatico
3.- Que debe de hacer al momento de efectuar un peritaje a un equipo ¿explique?
4.- Realice una toma de evidencia en VIVO de su equipo, en:
 archivos de Internet
 Logs
 Archivos recientes
 Temp
 Correos
 Volcado de memoria (programas ejecutandose)
 Puertos
5.- Que procedimiento debe de efectuar al momento de realizar una toma de

evidencias a los siguientes dispositivos>
 Cámara Digital
 Memory Stick
 FlashCard
 Eprom de equipo de audio
 Celulares
 Servidores
 Redes corporativas
6.- Efectúe el siguiente peritaje en su equipo

 Ha conectado USB
 Servicio ejecutándose
 Cantidad de archivos doc en papelera borrados
 Cantidad de errores del sistema
 Últimos 20 archivos ejecutados en Word, Excel y PowerPoint

48
 Correos electrónicos borrados

 Logs de Navegación
7.- Indique como se debe de tomar una evidencia en una escena en la cual hay un
computador con Windows XP con contraseña, dentro de un club en donde hay 4
personas muertas.
8.- Una persona recibió una amenaza de muerte que grabo en su celular.
Cuáles son los procedimientos correctos y su respectivo reconocimiento de voz si
es el caso

49
CONCLUSION
En la actualidad el valor de la información está en aumento, con ello debemos de
preocuparnos más por proteger-la. La informática forense nace a raíz de esta
preocupación, buscando tanto la prevención como la reacción y corrección a
problemas que puedan afectarlos sistemas de información.
Para la buena aplicación preventiva de la informática forense es necesaria la

realización de auditorías continuas en los sistemas, y la corrección delos errores
encontrados en los mismos. También se necesita establecer políticas de
seguridad para usuarios y para el uso de los sistemas de información, con el fin de
minimizar la posibilidad de infiltraciones por alguna negligencia por parte de los
usuarios o alguna falla en los procedimientos.
Por otro lado, en cuanto a la parte reactiva de la informática forense se necesita el

uso de programas para la detección de la intrusión en el sistema de información y
los cambios realizados a la información (manipulación o borrado).
Así como un equipo multidisciplinario para poder cubrir de manera efectiva las
áreas que traspasadas durante el ataque y poder rastrear los daños y al atacante.
Para que todo lo realizado en la informática forense sea exitoso, es necesario que
se tengan regulaciones jurídicas que penalicen a los atacantes y que pueda
sentenciárseles por los crímenes cometidos. Cada país necesita reconocer el valor
de la información de sus habitantes y poder protegerlos mediante leyes. De
manera que todos los crímenes informáticos no queden impunes.
INFO Y MAS Guatemala, Centroamérica – 2014

Instructor: José R. Leonett

50
GLOSARIO DE TERMINOS
RFC 3227El “RFC 3227: Guía Para Recolectar y Archivar Evidencia” (Guidelines
forEvidence Collection and Archiving) [GuEvCo02], escrito en febrero de 2002por
Dominique Brezinski y Tom Killalea, ingenieros del Network WorkingGroup.
Es un documento que provee una guía de alto nivel para recolectar y archivar
datos relacionados con intrusiones. Muestra las mejores prácticas para determinar
la volatilidad de los datos, decidir que recolectar, desarrollar la recolección y
determinar cómo almacenar y documentar los datos. También explica algunos
conceptos relacionados a la parte legal. Su estructura es:
a) Principios durante la recolección de evidencia: orden de volatilidad de los datos,

cosas para evitar, consideraciones de privacidad y legales.
b) El proceso de recolección: transparencia y pasos de recolección.
c) El proceso de archivo: la cadena de custodia y donde y como archivar.
Guía de la IOCEL a IOCE [IOCE06], publico “Guía para las mejores prácticas en
el examen forense de tecnología digital”(Guidelines for the best practices in the
forensic examination of digitaltechnology) [IOCE02].
El documento provee una serie de estándares, principios de calidad y

aproximaciones para la detección prevención, recuperación, examinación y uso de
la evidencia digital para fines forenses.
Cubre los sistemas, procedimientos, personal, equipo y requerimientos de

comodidad que se necesitan para todo el proceso forense de evidencia digital,
desde examinar la escena del crimen hasta la presentación en la corte. Su
estructura es:
a) Garantía de calidad (enunciados generales de roles, requisitos y pruebas de

aptitud del personal, documentación, herramientas y validación de las mismas y
espacio de trabajo).
b) Determinación de los requisitos de examen del caso.
c) Principios generales que se aplican a la recuperación de la evidencia digital

(recomendaciones generales, documentación y responsabilidad).
d) Prácticas aplicables al examen de la evidencia de digital.

51
e) Localización y recuperación de la evidencia de digital en la escena:

precauciones, búsqueda en la escena, recolección de la evidencia y
empaquetado, etiquetando y documentación.
f) Priorización de la evidencia.
g) Examinar la evidencia: protocolos de análisis y expedientes de caso.
h) Evaluación e interpretación de la evidencia
i) Presentación de resultados (informe escrito).
j) Revisión del archivo del caso: Revisión técnica y revisión administrativa.
k) Presentación oral de la evidencia.
l) Procedimientos de seguridad y quejas
Información: "Todo conocimiento referido a un objeto o hecho,

susceptible de codificación y almacenamiento."
Razones (siempre discutibles y observables) :
1. Todo conocimiento. Porque no tiene sentido una

información que no aporte conocimiento alguno. Dejaría de
ser información. Por otra parte, debe ser un conocimiento (no
importa si cierto o no, comprobable o no, real o imaginario,
etc.) pero un conocimiento, porque es un concepto
humano(la definición de conocimiento la dejamos en manos
de los especialistas, para evitar la tautología conocimiento-
información). No decimos con esto que si desapareciera el
hombre del universo, dejaría de existir la materia, pero sí
dejaría de existir la información, ya que toda información es
simplemente una conceptualización humana. Es decir toda
definición es una interpretación. De esta manera la realidad o
no del conocimiento deja de tener relevancia respecto de su
adecuación a la realidad (un delirio o un sueño –inducido o
no- no deja de ser conocimiento para su propietario)
2. referido a un objeto o hecho, evidentemente la realidad se

nos muestra o demuestra por medio de objetos (materiales o
no) y de movimiento, este movimiento genera los hechos,
aunque sea indemostrable (recordemos las paradoja de

52
Aquiles y la Tortuga , de la flecha, con las que Zenón nos

castigó hace miles de años)
3. susceptible de, es decir que "pueda ser objeto de…", no

que "deba ser objeto de…" y mucho menos que "sea" o
"pretenda ser".
4. codificación, recordemos el ataque sofista de Gorgias:

(Sobre la Naturaleza o el No Ser), nos propone tres célebres
tesis, ya clásicas:
a. No existe realidad alguna.
b. Si algo existiera, no lo conoceríamos.
c. Aún en el caso de que pudiéramos conocer

algo, no podríamos comunicarlo a los demás.
Es necesario entonces acordar (concordar o

consensuar) en la existencia de una teoría del
conocimiento. Si negamos la posibilidad de una
epistemología, entonces, todo lo que digo es un
absurdo, pero lo que dicen los demás también lo es. En
este sentido, el conocimiento debe ser codificable (no
importa el código, el lenguaje o la forma de
comunicarlo), sino es un "pura nada". Para los más
puros idealistas (me refiero a la filosofía no a la actitud
moral), la teoría del conocimiento será una simple
autoreferencia, pero teoría del conocimiento al fin.
5. y almacenamiento evidentemente si un conocimiento

codificado, no es almacenado, aunque sea por un tiempo
infinitesimalmente pequeño, no ha existido nunca. Por
ejemplo en una computadora, la información sólo se
encuentra en uno de estos tres estados: almacenamiento
pasivo, procesamiento o tránsito, sin embargo los tres
estados implican almacenamiento (o está en disco, o en la
memoria o en el cable de la red, pero siempre tiene un
soporte físico determinable) .
Respecto del Objeto: Conjunto físicamente determinable o lógicamente

definible No importa si existe o es una pura imaginación; se determina

53
físicamente o se describe lógicamente, aunque fuera un delirio, siempre

su descripción por medio de un lenguaje, lleva ínsita la lógica de ese
lenguaje
Estados de la Información: La información siempre debe estar

codificada y por lo tanto siempre estará almacenada en algún sustento
material. Este sustento puede encontrarse en uno de estos tres estados:
Almacenamiento estático (reservorios)
Almacenamiento dinámico (procesamiento)
Tránsito (desplazamiento entre reservorios
Conceptos relacionados con el tratamiento de la Información:
Informática: Ciencia que estudia a la información, cualquiera

fuere su soporte físico.
Análisis de Sistemas: Metodología aplicable al estudio de la

Información y sus relaciones (no exclusiva, ni excluyente)
Computación: Tecnología relacionada con el uso de

computadoras para el procesamiento de información (no
exclusiva, ni excluyente)
Síntesis: La Informática trasciende al análisis de

sistemas y a la computación, (que constituyen el método y
los instrumentos clásicos para su estudio a principios del
siglo XXI, pero que de ninguna manera son exclusivos,
abarcativos, ni excluyentes dentro de la investigación
informática y cuya subsistencia sólo depende de la evolución
tecnológica).
Relaciones entre la informática y el delito:
Delitos informáticos: Son delitos que provocan daño sobre

la información, afectando su disponibilidad (integridad,
confiabiabilidad, y conectividad), confidencialidad (privacidad,
autenticidad y control de accesos) y no repudio (autenticidad,
resguardo legal y certificación)

54
Delitos por medios informáticos: Son delitos ya tipificados

en la legislación vigente, que se cometen con el auxilio de
medios físicos y/o lógicos, generalmente computacionales y
excepcional-mente informáticos no computacionales.
Prueba informático forense: Es la resultante del empleo de

técnicas informáticas y criminalísticas, para detectar,
proteger, documentar, preservar, analizar y evaluar los
indicios probatorios que obran en un sistema de información
(generalmente computacional) que sean de utilidad a la
investigación reconstructiva de los hechos (delictivos o no)
Prueba Informático Forense, características:
Se trata de una prueba pericial, basada en metodología

criminalística, con fundamentos y características propias.
Es particularmente novedosa y requiere interacción

multidisciplinaria (jueces, abogados, peritos) para su empleo
adecuado.
El perito en informática forense debe estar capacitado en la

técnica pericial específica, en metodología criminalística y en
legislación de fondo y de forma,
no sólo para realizar los peritajes, sino para asesorar a
quienes solicitan sus servicios (letrados o no), sobre el
empleo, utilidad, pertinencia e interpretación de dicha prueba.
Relaciones con otras disciplinas:
Medicina Legal: Conocimientos médicos aplicados a las

cuestiones de interés forense, (estudio del cadáver, causas
de la muerte, reconstrucción de los hechos).
Criminología: Estudio de las razones que provocan la

comisión de delitos, su posible prevención y la reinserción del
delincuente en la sociedad (naturaleza causal, psicológica,
objetivos preventivos y de recuperación social).

55
Criminalística: Conjunto de conocimientos técnico-

científicos ajenos a la ciencia médica, aplicados a la
resolución de los interrogantes indiciarios procesales.
(Naturaleza técnico-científica con fines de reconstrucción de
los hechos).
Disciplinas periciales integradoras: Fotografía Pericial,

Planimetría, Medicina Legal, Papiloscopía, Identificación
Humana, Rastros, Laboratorio químico, Documentología, etc
Naturaleza de la prueba considerada:
Prueba indiciaria: conjunto de huellas ("testigos mudos"), de

diversos tipos y naturaleza que se hayan producido como
resultado de una acción cualquiera y que al ser
metodológicamente investigadas, permitan reconstruir los
hechos acaecidos. En general, pero no de manera
excluyente, se relacionan con actos delictivos.
Prueba indiciaria informático forense: colección de

evidencias digitales para fines de investigación o legales.
Informática Forense: conjunto multidisciplinario de teorías,

técnicas y métodos de análisis, que brindan soporte
conceptual y procedimental a la investigación de la prueba
indiciaria informática.
Principios Periciales Informático Forenses:
Principio de entidad pericial: El empleo de los medios

Informáticos, como instrumentos de conformación de prueba
indiciaria informático forense. Prueba que si bien constituye
una parte de la Criminalística y en lo formal no difiere de
cualquier otra prueba pericial, se integra con metodología
propia, que permite asegurar, la detección, identificación,
documentación, preservación y traslado de la evidencia
obtenida, con técnicas e instrumentos propios e inéditos. En
este sentido, la prueba indiciaria informático forense, requiere
de cuidados específicos que la diferencian de otras pruebas
periciales.

56
Principio de protección y preservación: cadena de

custodia estricta y con certificación unívoca comprobable.
Principio de Identidad de Copias: del original, ya que

cuando se duplica un archivo informático, la copia no es igual
a la original, sino idéntica (un bit no difiere de otro bit y entre
sí son inidentificables unívocamente)
Principio tecnológico interdisciplinario: se requieren

conocimientos específicos por parte de todos los
involucrados en la prueba indiciaria informático forense:
a. jueces para evaluar correctamente la prueba,
b. fiscales y abogados para efectuar la

requisitoria de manera adecuada y oportuna,
c. profesionales de la Criminalística y otros

peritos, para no contaminar dicha prueba durante
sus propias tareas periciales, contribuyendo a su
preservación,
d. funcionarios judiciales y policiales, a efectos de

proteger y mantener la cadena de custodia
establecida.
Principio de oportunidad: debido a su facilidad de

destrucción normalmente requiere de tareas
complementarias que aseguren su recolección (medidas
preliminares, inspecciones o reconocimientos judiciales,
órdenes de allanamiento o de intercepción judiciales)
Principio de compatibilización: legislativa internacional y

especialmente después de los acontecimientos del 11 de
Septiembre, gran parte de los contratos particulares,
celebrados en el marco del derecho internacional privado, se
realizan mediante comunicaciones digitales (instrumentadas
en correo electrónico abierto o cifrado y certificada por medio
de claves criptográficas o firma digital). Estas actividades no
sólo devienen en demandas civiles internacionales, sino que
en muchas oportunidades constituyen delitos tipificados en la
legislación de fondo (hurtos, defraudaciones, estafas, daños

57
Principio de vinculación estricta: La prueba indiciaria

informático forense puede estar relacionada con múltiples
actividades delictivas dentro de la legislación internacional o
el derecho interno, algo que si bien es propio de toda prueba
pericial, se vuelve crítico respecto de esta disciplina, por su
relación vinculante directa, (como medio de ejecución e
indicio probatorio) entre otras:
e. actividades de espionaje industrial y comercial,
f. narcoterrorismo,
g. pornografía infantil,
h. terrorismo ideológico,
i. trata de blancas,
j. blanqueo de capitales.

58
BIOGRAFIAS Y FUENTES
ElHacker.net http://www.elhacker.net/InfoForenseWindows.html#RFC
Cano Martines Jeimy José. Admisibilidad de la Evidencia Digital:

Algunos Elementos de Revisión y Análisis. Agosto de 2003. http://www.alfa-
redi.org/rdi-articulo.shtml?x=1304
http://www.sic.gov.co/Normatividad/Leyes/Ley%20446-98.php
US DEPARTMENT OF JUSTICE, Electronic Crime Scene

Investigation: A Guide for First Responders, 2001
BREZINSKI, D. y KILLALEA, T. (2002) RFC 3227: Guidelines for

Evidence Collection and Archiving. Network Working Group. February.
Disponible: http://www.rfceditor.org/rfc/rfc3227.txt
IOCE, Guidelines for the best practices in the forensic examination of digital
technology, 2002. Disponible:
http://www.ioce.org/2002/ioce_bp_exam_digit_tech.html
International Organization of Computer Evidence. Disponible: http://www.ioce.org
US DEPARTMENT OF JUSTICE, Forensic examination of digital evidence. A

guide for law enforcement. Special Report, 2004
INFORMATION SECURITY AND FORENSICS. Computer forensics. Part2: Best

Practices, 2004 Disponible:
http://www.isfs.org.hk/publications/ComputerForensics/ComputerForensics_part2.p
df
ASSOCIATION OF CHIEF POLICE OFFICERS Good practice guide for computer

based evidence, 1999. Disponible: http://www.digital-
detective.co.uk/documents/acpo.pdf
GODFREY, T. New Guidelines to Combat E-Crime, 2003. Disponible:

http://www.saiglobal.com/newsroom/tgs/2003-
09/cyberforensics/cyberforensics.htm
Cano Martines Jeimy José. Introducción a la informática forense. Revista ACIS

Junio de 2006 Disponible en:
http://www.acis.org.co/fileadmin/Revista_96/dos.pdf
http://www.ciip.es/master_informatica_forense.html

59
https://sites.google.com/site/sykrayolab/informatica-forense
http://www.informaticaforense.com.ar/casos.htm
http://www.criminalistaenred.com.ar/Informatica_F.html
http://policiasenlared.blogspot.com.es/2011/11/la-cadena-de-custodia-informatico.html
http://www.elderecho.com/www-elderecho-com/Aspectos-investigacion-pericial-
informatica-forense_11_585805002.html
http://psicologiajuridica.org/psj341.html
Michael G. Noblett. (2000) Recovering and Examining Computer Forensic

Evidence. Disponible en:
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
Scientific Working Group on Digital Evidence (SWGDE) (2000) Digital Evidence:

Standards and Principles. Disponible en:
http://www.fbi.gov/hq/lab/fsc/backissu/april2000/swgde.htm
Óscar López, Haver Amaya, Ricardo León. (2001) Informática forense:

generalidades, aspectos técnicos y herramientas
Antonio Javier García Martínez. (2001) LA FORMACIÓN DE UN

IRT (Incident Response Team) FORENSE Computer Evidence Defined
http://www.forensics-intl.com/def3.html
Cano Martines Jeimy José. (2006) Buenas prácticas en la administración de la

evidencia digital Disponible:
http://gecti.uniandes.edu.co/docs/buenas%20practica%20evidencia%20digital%20j
cano.pdf
Brian Deering. Data Validation Using The Md5 Hash http://www.forensics-

intl.com/art12.html
Janet Reno, U.S. Attorney General, Oct 28, 1996 [CERT06] CERT/CC Statistics
1988-2006 Disponible en: http://www.cert.org/stats/cert_stats.html
HB171:2003 Handbook Guidelines for the management of IT evidence Disponible

en:
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pd
f

Conferencia de Informática Forense para Operadores de Justicia

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Conferencia de Informática Forense para Operadores de Justicia

Cargado por

Copyright:

Formatos disponibles

1

Perito Forense Digital | Nivel 01 de 04

INFO Y MAS Guatemala, Centroamérica – 2014

INFO Y MAS | REDLIF Guatemala www.infogtm.com

En este seminario usted aprenderá:

 Los conceptos básicos que se utilizan a la hora de un peritaje forense

 Comprender y aplicar la metodología inicar en el procedimiento de la

 El manejo de la evidencia, su protección y todos los factores los que esta

Con estos puntos de partida, pretendemos formar profesionales del peritaje

Muchas gracias por estar presente en esta Conferencia nivel 01 y,

INFO Y MAS | REDLIF Guatemala www.infogtm.com

Aclaremos unos términos antes de comenzar

En el año 2001 se adopta la Convención sobre Cibercrimen del Consejo Europeo,

El cibercrimen se fortalece por el desconocimiento de los riesgos e implicaciones

El cibercrimen crece aparentemente en forma inocente porque libremente en

INFO Y MAS | REDLIF Guatemala www.infogtm.com

INFO Y MAS | REDLIF Guatemala www.infogtm.com

El delito informático incluye una amplia variedad de categorías de crímenes.

Un ejemplo común es cuando una persona comienza a robar información de

INFO Y MAS | REDLIF Guatemala www.infogtm.com

pueden ser absolutamente virtuales, porque la información se encuentra en forma

El desarrollo de la informática forense necesitará el apoyo por parte delos

 Protección al menor: producción, distribución y posesión de pornografía

INFO Y MAS | REDLIF Guatemala www.infogtm.com

 Robos de código: como en el caso de los juegos Dark Age of Camelot,y

¿Qué debemos de conocer?

1. Cuando el peritaje es de índole Judicial

Podemos ver que el peritaje o experticia forense informática se diversifica según el

Cuando se habla de network forensic o forensia en redes, estamos en un

La informática forense es un desafío interdisciplinario que requiere un estudio

INFO Y MAS | REDLIF Guatemala www.infogtm.com

ejercicio de una disciplina que apoye directamente la administración de la justicia y

INFO Y MAS | REDLIF Guatemala www.infogtm.com

¿Qué es la informática Forense?

La informática forense, o computación forense, se define como una disciplina de

Según el FBI, la informática (o computación) forense es la ciencia de adquirir,

El análisis forense resulta una pieza clave en los procesos de respuesta a

La informática forense se origino hace unos 20 años en Estados Unidos, cuando el

INFO Y MAS | REDLIF Guatemala www.infogtm.com

En una de estas reuniones se crearon las clases de Especialistas de

Entre 1993 y 1995 junto con el Departamento de Hacienda de Canadá se formo el

Para entonces la informática forense ya se había consolidado como un campo vital

Para el 2003 el CART trabajaba en 6,500 casos y estaba examinando 782

Actualmente las compañías de Software producen software forense más robusto y

Importancia y ventajas de la informática forense.

INFO Y MAS | REDLIF Guatemala www.infogtm.com

los intrusos informáticos, así como garantía de la verdad alrededor de la evidencia

Cuando una empresa contrata servicios de Informática forense puede perseguir

2.1 La informática forense tiene 3 objetivos:

2. Perseguir y procesar judicialmente a los criminales.

3. Compensar daños causados por los criminales o intrusos. La informática

Las investigaciones forenses informáticas sirven para, sin manipularlas, obtener

INFO Y MAS | REDLIF Guatemala www.infogtm.com

Además de personas ajenas a la empresa que puedan introducirse en los

Además de esto, cabe destacar que el 24% de los ex-trabajadores mantenía

En cuanto al proceso de obtención y preservación de las evidencias

1. Los peritos informáticos que acceden a la evidencia electrónica están

2. Las acciones llevadas a cabo para obtener la evidencia electrónica no la

INFO Y MAS | REDLIF Guatemala www.infogtm.com

3. Toda la actividad referente a la obtención, acceso, almacenamiento o

Las distintas metodologías forenses incluyen el recoger de manera segura datos

Además, el equipo de Evidencias Informáticas ofrece sus servicios profesionales

INFO Y MAS | REDLIF Guatemala www.infogtm.com