Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Conferencia de
Informática Forense para
operadores de Justicia
www.infogtm.com │www.redlifguatemala.org
Telf. (502) 5866-6403
.:: Introducción
Muchas gracias les damos por participar en esta Conferencia de Informática
Forense dirigida al sector Justicia en Guatemala, en donde estaremos orientados
a trabajar y aclarar dudas sobre el fascinante mundo del peritaje informático.
Atentamente,
Jose R. Leonett
Instructor REDLIF Guatemala
¿Que es el cibercrimen?
El alcance de este término es aún incierto, curiosamente el término aparece en el
portal www.wikipedia.org, computers or networks are a tool, a así: “La
delincuencia cibernética es un término ampliamente utilizado
para describir la actividad a la cual es meta, o un lugar de
actividad delictiva. Estas categorías no son excluyentes y
muchas actividades pueden ser caracterizadas como la caída de
una o más categorías”.
Los principales actores hacia una legislación internacional han sido hasta ahora el
Consejo de Europa (COE) y el G-8, Estados Unidos se ha mantenido activo tanto
en el desarrollo como en la promoción de estos esfuerzos de legislación
global.
El cibercriminal - Su perfil
Pero ¿Cómo seguirle la pista a un cibercriminal para después imitar sus pasos a la
inversa? "Es la misma lógica, similar a lo que se hizo con los hackers para
atacarlos. Muchos de ellos, para disminuir sus sentencias en la cárcel o multas,
empezaron a trabajar para el FBI y empresas de tecnología", dice.
Con el spam, explica, aplicar esta lógica es aún más complejo, porque el
responsable puede ser desde un publicista casero que da por hecho que no hace
mal a nadie, hasta un adolescente que repite mil veces una cadena de chistes.
"Por eso insisto en que hay que conocer el perfil del responsable para detectar al
que sí pretende cometer fraudes, haciéndose pasar por un rey marroquí en
quiebra (y pedir dinero prestado a los incautos) por ejemplo, del individuo que
vende mercancía defectuosa o que fomenta la pornografía infantil, de quien sólo
cree que es divertido saturar una bandeja de entrada con correos", indica.
El primer paso para conocer al cibercriminal es que tanto jueces como abogados,
periodistas, conductores de noticias y demás involucrados, le den seguimiento a
los crímenes y tengan una cultura digital. No es exclusivo de México, según indica
Wall, que quienes pretendan hablar del asunto no tengan ni idea de cómo usar
internet.
El segundo es crear cultura en el usuario de PC, que sea consciente que mandar
masivamente algo inútil (o reenviarlo, contestarlo o no eliminarlo) daña
económicamente a todos.
Por último, y quizá lo más difícil: que técnicamente, las pistas detectadas del
ciberdelincuente sean para crear alianzas entre gobiernos, proveedores de
tecnología y de internet.
Delitos informáticos
Delito informático, crimen cibernético o crimen electrónico, se refiere a actividades
ilícitas realizadas por medio de ordenadores o del Internet o que tienen como
objetivo la destrucción y el daño de ordenadores, medios electrónicos y redes de
Internet. Sin embargo, las categorías que definen un delito informático son aún
mayores y complejas y pueden incluir delitos tradicionales como el fraude, el robo,
chantaje, falsificación y la malversación de caudales públicos en los cuales
ordenadores y redes han sido utilizados. Con el desarrollo de la programación y de
Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados.
Existe una amplia gama de actividades delictivas que se realizan por medios
informáticos: ingreso ilegal a sistemas, intercepción ilegal de redes, interferencias,
daños en la información (borrado, deterioro, alteración o supresión de data), mal
uso de artefactos, chantajes, fraude electrónico, ataques a sistemas, robo de
bancos, ataques realizados por hackers, violación de los derechos de autor,
pornografía infantil, pedofilia en Internet, violación de información confidencial y
muchos otros.
1.- Crímenes que tienen como objetivo redes de computadoras, por ejemplo,
con la instalación de códigos, gusanos y archivos maliciosos (Spam), ataque
masivos a servidores de Internet y generación de virus.
2.- Crímenes realizados por medio de ordenadores y del Internet, por ejemplo,
espionaje por medio del Internet, fraudes y robos, pornografía infantil, pedofilia
Internet, etc.
En cuanto a los principales métodos para extraer esta información, la mayor parte
(53%) prefiere una copia en CD o DVD, mientras que el 42% escoge una memoria
USB para perpetrar sus robos. Por otra parte, un 38% envía la información
confidencial por correo electrónico a una cuenta personal.
Para investigar estos hechos, los peritos informáticos del equipo de Evidencias
Informáticas están altamente cualificados y utilizan herramientas especializadas. A
veces, para reconstruir las evidencias informáticas es necesario recurrir a la
recuperación de datos para rescatar aquella información que pueda servir como
prueba.
Fuente: http://www.elhacker.net/InfoForenseWindows.html#RFC
Principio de Locard
El Principio de Locard se suele expresar así:
2. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio,
pueden ser ayudados por la informática forense.
Una de esas figuras, es el perito informático forense, que debe estar capacitado
en la técnica pericial específica, en metodología criminalística y en legislación
En el siguiente esquema, presentamos el ciclo indiciario, que resume muy bien los
pasos básicos, pero complejos de nuestro análisis forense. Y es que “la
contaminación de la cadena de custodia[5]” a colación del aislamiento y la
contaminación de las pruebas que son objeto de estudio y que se precisa, no se
vulneren, depende el éxito del proceso penal con ocasión de la imputación de una
persona como presunto autor de un delito de fraudes a la Hacienda pública, por
citar un ejemplo.
Fuente: http://noticias.juridicas.com/articulos/65-Derecho-Procesal-Penal/200312-
26569151110313480.html
De todos estos principios, nos vamos a centrar, por razones de espacio pero
fundamentalmente, por el objeto de este artículo, en dos principios, que tras su
breve desarrollo, nos permitirá introducirnos en el tema eje de esta exposición.
Por tanto, por una parte tenemos el Principio de protección y preservación, que
consiste en ser fieles a la cadena de custodia estricta y con certificación unívoca
comprobable, para poder destruir la presunción de inocencia del imputado (si es el
caso) o demostrar la inocencia (en caso contrario).
Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben
alterar de los originales del disco, porque esto invalidaría la evidencia; por esto los
investigadores deben revisar con frecuencia que sus copias sean exactas a las del
disco del sospechoso, para esto se utilizan varias tecnologías, como por ejemplo
checksums o hash MD5.
Discos rígidos , HD
Archivos temporales , *.temp
Espacios no asignados en el disco
Diskettes, Cd-rom,Dvd, Zip, etc.
Pen drives
Cámaras digitales
Backups
Admisibilidad de la Evidencia
La evidencia debe ser/ estar:
1. Relevante: relacionada con el crimen bajo investigación.
2. Permitida Legalmente: fue obtenida de manera legal.
3. Confiable: no ha sido alterada o modificada.
4. Identificada: ha sido claramente etiquetada.
5. Preservada: no ha sido dañada o destruida.
Tipos de Evidencia
1. Best evidence – evidencia primaria u original, no es copia.
2. Secondary – copia de evidencia primaria.
3. Direct evidence – prueba o invalída un acto específico a través del un
testimonio oral.
Finalidad
Demostrar que la Evidencia presentada ante las Autoridades correspondientes, es
la misma que se obtuvo en el Lugar de los Hechos.
Comercio electrónico
Manipulación inadecuada de equipos, sabotajes
Cualquier otro tipo de delitos informáticos
. Estar capacitado para determinar que evidencia proviene de que trozo de HW.
. Asegurar que los procesos son reproducibles, y que producirán los mismos
resultados.
Fuente: http://avancesdeseguridadinformatica-forense.blogspot.com/2014/06/aspectos-legales-tener-en-
cuenta-en-un.html
1. Identificar la Evidencia
Para identificar de forma correcta la evidencia se necesitan por lo menos
4 elementos:
2 Recolección de datos
Una parte muy importante del proceso de la informática forense es la
recolección de evidencia, un proceso que debe realizarse con sumo
cuidado ya que si se altera de cualquier forma la información es posible
que el caso se vea comprometido de forma definitiva. La adquisición de
Orden Localización
1 Contenido de la memoria
2 Conexiones de red establecidas
3 Procesos corriendo en el sistema
4 Puertos abiertos
5 Usuarios conectados al sistema
6 Contenidos de ficheros de paginación y swap
7 Contenidos de sistemas de ficheros
8 Configuración de hardware y periféricos
4 Presentar la Información
En esta fase se presentan, mediante un documento, los resultados que
se han obtenido de las fases anteriores. En su forma más básica un
documento de este tipo debe contener:
Fuente: http://mypassionisforyou.blogspot.com/2009/09/informatica-forence_8613.html
“Es necesario que cambie la forma como las reglas formalistas del derecho de la
prueba deben ser interpretadas, o en el peor de los casos reformuladas, ya que
actualmente en Colombia es muy poco lo que se valora a las tecnologías
informáticas en disposiciones legales”. Daniel Torres Falkonert
La diferencia más notable con la evidencia forense normal, es que esta posee un
carácter mucho más volátil, es más fácil de alterar y de eliminar, al contrario de
una muestra de sangre o un casquillo de una bala.
Es crítico recordar que la evidencia se puede duplicar y aun así esta copia es
original respecto de los entornos digitales.
• Orden de volatilidad
• Cosas a evitar
o No cerrar el sistema hasta que se concluyan las pruebas
o No confiar en programas del sistema
o No usar programas que modifiquen la hora de acceso a los archivos
Consideraciones relativas a la privacidad de los datos
o Respetar las normas y directrices de la empresa
o No violar la privacidad de las personas
o Asegurarse que se posee el respaldo de la empresa establecida
• Medio de Archivos
“El Investigador debe asegurarse que sea posible repetir la pericia tantas veces
como el juzgado lo requiera obteniendo los mismos resultados”
Fuente: http://www.delitosinformaticos.com/propiedadindustrial/auditoria.shtml
3 Documentar
Se deben asegurar las pruebas haciendo correlación entre estas, se debe
reconstruir el escenario teniendo en cuenta que los relojes de los sistemas pueden
estas sin sincronizar.
4 Presentación de la evidencia
La legislación no da guías de cómo presentar la información y si la evidencia debe
interpretarse en la corte entonces se recomienda un informe impreso de tipo
ejecutivo pero no sobra un informe adicional de bajo nivel que no debe exponerse
ante el juez
Principios forenses
Existen un gran número de principios básicos que son necesarios
independientemente de si se está examinando un ordenador o un cadáver. Estos
principios son:
¿Apagamos el equipo?
Podemos presentarnos con dos casos. El primero es el de no apagar el equipo. Si
no apagamos el equipo, podremos ver todos los procesos en ejecución, los
consumos de memoria, las conexiones de red, los puertos abiertos, los servicios
que corren en el sistema, etc.
Tipo de Herramientas
Una de las cosas más importantes a la hora de realizar un análisis forense es la
de no alterar el escenario a analizar. Esta es una tarea prácticamente imposible,
porque como mínimo, alteraremos la memoria del sistema al utilizar cualquier
herramienta.
• Portatil con 1GB en RAM y 80GB en disco duro en SATA con Puerto firewire
• Modulo convertidor firewire hacia IDE para portatil
• Fuente de potencia externa con diferentes voltajes para portatil
• Cables de potencia
• Switches de potencia
• Cables firewire
• Convertidor de 2.5” a 3.5” IDE para portatil
• Disco externo SATA y caja convertidora de IDE a USB 2.0
Duplicación forense
Herramientas dd, dd Rescue, dcfldd y ned.
• Dictamen (Por ultimo, deberá completarse junto con el apartado de conclusiones, que
recogerá de modo resumido los aspectos más determinantes del trabajo).
• Anexos (Este apartado estará compuesto por los diferentes documentos obtenidos en
las investigaciones: fotografías, resultados de los análisis, documentación relevante
como prueba, normativa infringida, etc.).
7.- Indique como se debe de tomar una evidencia en una escena en la cual hay un
computador con Windows XP con contraseña, dentro de un club en donde hay 4
personas muertas.
8.- Una persona recibió una amenaza de muerte que grabo en su celular.
Cuáles son los procedimientos correctos y su respectivo reconocimiento de voz si
es el caso
CONCLUSION
En la actualidad el valor de la información está en aumento, con ello debemos de
preocuparnos más por proteger-la. La informática forense nace a raíz de esta
preocupación, buscando tanto la prevención como la reacción y corrección a
problemas que puedan afectarlos sistemas de información.
Así como un equipo multidisciplinario para poder cubrir de manera efectiva las
áreas que traspasadas durante el ataque y poder rastrear los daños y al atacante.
Para que todo lo realizado en la informática forense sea exitoso, es necesario que
se tengan regulaciones jurídicas que penalicen a los atacantes y que pueda
sentenciárseles por los crímenes cometidos. Cada país necesita reconocer el valor
de la información de sus habitantes y poder protegerlos mediante leyes. De
manera que todos los crímenes informáticos no queden impunes.
GLOSARIO DE TERMINOS
RFC 3227El “RFC 3227: Guía Para Recolectar y Archivar Evidencia” (Guidelines
forEvidence Collection and Archiving) [GuEvCo02], escrito en febrero de 2002por
Dominique Brezinski y Tom Killalea, ingenieros del Network WorkingGroup.
Es un documento que provee una guía de alto nivel para recolectar y archivar
datos relacionados con intrusiones. Muestra las mejores prácticas para determinar
la volatilidad de los datos, decidir que recolectar, desarrollar la recolección y
determinar cómo almacenar y documentar los datos. También explica algunos
conceptos relacionados a la parte legal. Su estructura es:
Guía de la IOCEL a IOCE [IOCE06], publico “Guía para las mejores prácticas en
el examen forense de tecnología digital”(Guidelines for the best practices in the
forensic examination of digitaltechnology) [IOCE02].
f) Priorización de la evidencia.
f. narcoterrorismo,
g. pornografía infantil,
h. terrorismo ideológico,
i. trata de blancas,
j. blanqueo de capitales.
BIOGRAFIAS Y FUENTES
ElHacker.net http://www.elhacker.net/InfoForenseWindows.html#RFC
http://www.sic.gov.co/Normatividad/Leyes/Ley%20446-98.php
IOCE, Guidelines for the best practices in the forensic examination of digital
technology, 2002. Disponible:
http://www.ioce.org/2002/ioce_bp_exam_digit_tech.html
http://www.ciip.es/master_informatica_forense.html
https://sites.google.com/site/sykrayolab/informatica-forense
http://www.informaticaforense.com.ar/casos.htm
http://www.criminalistaenred.com.ar/Informatica_F.html
http://policiasenlared.blogspot.com.es/2011/11/la-cadena-de-custodia-informatico.html
http://www.elderecho.com/www-elderecho-com/Aspectos-investigacion-pericial-
informatica-forense_11_585805002.html
http://psicologiajuridica.org/psj341.html
Janet Reno, U.S. Attorney General, Oct 28, 1996 [CERT06] CERT/CC Statistics
1988-2006 Disponible en: http://www.cert.org/stats/cert_stats.html