Elemento de competencia 1: Efectuar procedimientos de secuestro

de equipos de cómputo y dispositivos de almacenamiento según

normatividad vigente, de acuerdo con las circunstancias del hecho
punible y empleando las adecuadas herramientas lógicas.

Al terminar el estudio de los temas 1-5, el estudiante deberá estar en capacidad de:

A) En cuanto a habilidades

1. Efectuar el procedimiento de Secuestro de equipos como etapa inicial del proceso de

ANÁLISIS EN INFORMÁTICA FORENSE
2. Efectuar los procedimientos judiciales referentes al secuestro de equipo como la
elaboración de informes periciales y actas de secuestro.
3. Interactuar con la interfaz gráfica y recursos de las herramientas lógicas de análisis forense.

B) En cuanto a conocimientos

1. Determinar la definición, generalidades, principios y el campo de acción de la Informática

Forense.
2. Identificar y asimilar como fases del proceso de análisis forense: la identificación del
incidente o delito, recolección y preservación de evidencias, análisis de evidencias,
documentación e informes del procedimiento y la presentación de evidencias como pruebas
materiales.
3. Identificar y asimilar la metodología general del proceso de análisis forense.
4. Asimilar y aplicar los protocolos de cadena de custodia en cuanto al manejo de evidencias
físicas y digitales.
5. Asimilar recomendaciones en cuanto al reconocimiento de las características de la escena
del crimen.

C) En cuanto a actitudes:

1. Actuar con ética profesional siendo objetivos en cada procedimiento.

2. Recopilar información con sigilo.
3. Ser recursivo al momento de efectuar reconocimiento de la escena y al momento de buscar
evidencias del crimen informático.

Introducción
Teniendo en cuenta que en la actualidad la información se considera como el activo de mayor valor,
tanto a nivel particular como corporativo, y que el desarrollo de nuevas tecnologías en la informática
aunado al fenómeno de la globalización, han sido aprovechados como circunstancias para la
comisión de incidentes y punibles de tipo informático, se hace necesario adquirir y desarrollar
habilidades y competencias en cuanto a la ejecución de procedimientos de análisis forense a fin de
preservar y garantizar la integridad de la información y de los sistemas y servicios informáticos ante
la ocurrencia de un incidente informático. Por lo anterior, se ha convertido en una necesidad a nivel
del mundo corporativo contar con profesionales capacitados y competentes en cuanto a la
ejecución de procedimientos de informática forense, toda vez que no se puede desestimar la alta
probabilidad de ser víctimas de incidentes informáticos que atenten contra la información
corporativa. Como evidencia de lo anterior citamos como ejemplos de incidentes en donde se ha
hecho necesaria la labor de profesionales en INFORMÁTICA FORENSE el ataque de los ‘hackers’ a la
página web del partido de la U (RCN La Radio, 2011), así como el ataque a la página web del
ministerio de tecnologías y comunicaciones (Susa, 2012), Igualmente el ataque a la página de la
Registraduría Nacional del estado civil (El Tiempo, 2016,
http://www.eltiempo.com/politica/proceso-de-paz/registraduria-presenta-fallas-en-pagina-
web/16713733)

Tema 1: Definición y generalidades de la INFORMÁTICA FORENSE

En el siguiente diagrama se presenta la ruta de aprendizaje e interacción de contenidos y actividades
para el presente tema:

Como preámbulo en el desarrollo del presente tema, se hace necesario que el estudiante identifique
y asimile el concepto y definiciones dadas por diversos autores respecto de la INFORMÁTICA
FORENSE, de esa forma podrá comprender y tener presente en cada procedimiento, el objetivo que
persigue esta disciplina, su alcance y campo de acción. Como punto de partida en cuanto a la
definición de la INFORMATICA FORENSE, he propuesto para el desarrollo del curso, la siguiente:

“Disciplina de la Ciencia Forense encargada de la identificación, recolección, custodia y análisis de

evidencia de tipo digital presente en dispositivos de almacenamiento de información que se ven
involucrados en la comisión de un incidente o delito informático.”
Como generalidades y principios se debe tener en cuenta que la INFORMÁTICA FORENSE en todo
momento busca:

Evitar la contaminación de la escena y de las evidencias, para lo cual se hace necesario aplicar las
previsiones de cadena de custodia y registrar en los informes y actas el más mínimo acceso y
contacto que terceros tengan con los equipos secuestrados y con la evidencia, a fin de garantizar su
integridad y estado ‘original’. Se hace énfasis en que a los equipos secuestrados y demás evidencias
recaudadas, solamente tendrán acceso los peritos y demás personal especializado, encargado de
efectuar los procedimientos forenses.

Actuar metódicamente, siguiendo los lineamientos de la metodología de análisis forense en cada

una de sus etapas a fin de evitar errores de procedimiento que comprometan la integridad de la
evidencia y de los equipos. La utilización de un método estándar permite agilizar la investigación
que se realiza siguiendo un orden lógico, estableciéndolo como precedente para futuras revisiones
e investigaciones.

Aplicar las previsiones de cadena de custodia, lo cual nos lleva a mantener el sigilo, la vigilancia y
el cuidado sobre los equipos y evidencias vinculadas al proceso y a la investigación. Aquí se hace
necesario hacer énfasis en la recomendación de registrar en informes y actas, cada traslado y cada
acción que se efectúe sobre los elementos referidos, así como el personal que ha entrado en
contacto con equipos y evidencia.

En todo momento del desarrollo del proceso de análisis forense se debe tener como objetivos de la
informática forense: extraer, preservar, analizar y presentar evidencia digital dentro de la
investigación de un incidente informático, los cuales al mismo tiempo se constituyen en las fases o
etapas del proceso de análisis e investigación.

A continuación se presentan las fuentes que se deben estudiar en este tema. Revisa su descripción
e indicaciones antes de proceder al estudio de la fuente.

Fuentes de estudio
Informática Forense (clic para descargar) : Este documento de Gutiérrez y Zuccardi (2006)
presenta las diferentes definiciones acerca de la INFORMÁTICA FORENSE así como sus
generalidades, principios y objetivos, exploración y análisis que se hace necesaria por parte del
estudiante a fin de comprender y asimilar los alcances de esta ciencia. Se propone que luego de
su exploración y análisis el estudiante elabore un mapa conceptual acerca de la estructura y
generalidades de la Informática Forense. Dicha actividad la debe publicar en el foro AVANCES
SIGNIFICATIVOS; se recomienda incluir en el mapa la definición y estructura de la INFORMÁTICA
FORENSE. Se sugiere para su diseño utilizar la herramienta Cmap Tools.

Informática forense: éste documento de Jeimy Cano, hace un recuento sobre la informática
Forense y su definición, así mismo un acercamiento a lo que es evidencia digital y algunos
procedimientos para su recolección, embalaje y presentación. El estudiante deberá hacer lectura
de todo el artículo, con ello lograr comprender los conceptos de la informática forense y el rol en
las investigaciones. Enlace: http://52.0.140.184/typo43/fileadmin/Revista_96/dos.pdf
 Vídeo Tecnología Forense: vídeo elaborado y presentado por funcionarios del CTI, en donde
explican las generalidades, alcances y objetivos de la INFORMÁTICA FORENSE, explicando
globalmente sus etapas generales. Luego de observar el presente vídeo, el estudiante debe
participar activamente en el foro de discusión AVANCES SIGNIFICATIVOS.

http://youtu.be/5CmM9K_FCqc

Tema 2: Proceso de análisis forense

En el siguiente diagrama se presenta la ruta de aprendizaje e interacción de contenidos y actividades
para el presente tema:

Teniendo presente la definición y estructura general de la INFORMÁTICA FORENSE, el estudiante

inicia en el conocimiento, exploración y práctica en lo referente al Proceso de Análisis Forense, para
lo cual se espera que al finalizar el tema el estudiante tenga claro y asimilado como fases del proceso
de análisis forense:

 Identificación del incidente o delito

 Recolección y preservación de evidencias
 Análisis de evidencias
 Documentación e informes del procedimiento
 Presentación de evidencias como pruebas materiales

Es de vital importancia el estudio y asimilación del presente tema, toda vez que el estudiante debe
tener claro el orden de ejecución de cada una de las fases o etapas del proceso de análisis forense,
así como la metodología y recomendaciones que se hacen dentro de los lineamientos de la
INFORMÁTICA FORENSE.

En cuanto a las fases del procedimiento de análisis forense, cabe resaltar los siguientes aspectos:

Identificación: no sólo se hace referencia a la identificación de equipos y dispositivos involucrados,

se hace necesario primero identificar los síntomas y señales del incidente o delito, sin dejar de lado
elemento alguno por minúsculo que parezca; igualmente en ésta etapa se identifica al personal que
hace uso de los equipos comprometidos con el fin de vincularlos posteriormente dentro de la
investigación.

Preservación: desde el primer momento en que se inicia el secuestro de equipos, se debe velar por
la continua preservación de éstos, toda vez que es allí donde se contiene la mayor parte de evidencia
a analizar y en aras de garantizar la integridad y estado ‘original’ de equipos y evidencias.

Análisis: siguiendo los lineamientos de la cadena de custodia y haciendo un aprovechamiento al

máximo de las herramientas lógicas, en esta fase se analiza minuciosamente cada archivo dentro de
la estructura de los equipos incautados, sin perder nunca de vista el tipo de incidente o delito que
se ha identificado. De la misma forma se hace un análisis objetivo del personal involucrado dentro
de la investigación.

Documentación: se hace necesario y es de vital importancia la elaboración de informes en cada

etapa del proceso, esto con el fin de mantener las previsiones de cadena de custodia y también para
demostrar posteriormente la transparencia del procedimiento. Se hace énfasis en la elaboración
detallada del acta de secuestro de equipos para dejar registro de su estado ‘original’, así como de la
documentación en cuanto a la realización de entrevistas al personal vinculado.

Presentación: es en esta etapa donde podremos comprobar si la ejecución de las anteriores se hizo
acorde a los lineamientos establecidos, cualquier error de procedimiento hará que al momento de
presentar las evidencias e informes, éstos sean rechazados y carentes de validez alguna. Acá
igualmente se recalca en la adecuada elaboración de los informes correspondientes.

Fuentes de estudio
A continuación se colocan las fuentes que se deben estudiar en este tema. Revisa su descripción
e indicaciones antes de proceder al estudio de la fuente.

ANÁLISIS FORENSE DIGITAL (López Delgado ) Presenta lo concerniente a las fases del proceso de
análisis forense, haciendo una clasificación previa del tipo de incidente o punible materia de
investigación. Es de resaltar que el autor para cada una de las fases descritas hace la explicación
correspondiente, teniendo en cuenta el tipo de sistema operativo donde se ha efectuado el
incidente o punible. Para lo anterior debe usted hacer lectura del documento en las páginas 5-23.
Luego de la exploración y análisis de éste documento, el estudiante debe realizar un mapa
conceptual referente a las etapas de análisis forense. (abrir url)
METODOLOGÍA DE LA INSPECCIÓN OCULAR (Darauge y Arellano) Documento que recopila
globalmente las fases generales que conforman el desarrollo del proceso de Análisis Forense, en
donde se estructura desde el mismo momento de la solicitud de secuestro el inicio del proceso.
 Para lo anterior debe usted hacer lectura del documento en las páginas 10-14. Luego de la
exploración y análisis del documento, el estudiante debe, en el desarrollo del laboratorio 1
propuesto (ACTIVIDAD 1), dar aplicación a la metodología y a las recomendaciones indicadas en
el documento. (abrir documento)

INFORMÁTICA FORENSE-INVESTIGACIONES JUDICIALES (EIIDI) Presentación que explican las

fases que conforman la metodología del proceso de análisis forense (pág.).Luego de la
exploración y análisis del documento, el estudiante debe, desarrollar el laboratorio 1 propuesto
y dar aplicación a la metodología y a las recomendaciones indicadas en el documento. Para lo
anterior debe usted hacer lectura del documento en las páginas 8. (abrir docuemento)

INFORMÁTICA FORENSE (Herrera y López Delgado) Presentación en la cual en forma gráfica y

textual se explica cada una de las fases del procedimiento de análisis forense, al mismo tiempo
que formula recomendaciones para su ejecución. Para lo anterior debe usted hacer lectura del
documento en las páginas 3-12. Luego de la exploración y análisis del documento, el estudiante
debe, en el desarrollo del laboratorio 1 propuesto, dar aplicación a la metodología y a las
recomendaciones indicadas en el documento. (abrir documento)

VÍDEO FASES DE PROCESO DE ANÁLISIS FORENSE (Alvaro H. Mejía) Vídeo en el cual se explican
detalladamente cada una de las fases que conforman el procedimiento general de análisis
forense.

http://youtu.be/_yYhuCK_Buc

Luego de visualizar el presente vídeo, debe usted estar en la capacidad de dar respuesta a los
siguientes cuestionamientos:

 ¿Cuáles son las fases del proceso de análisis forense?

 ¿Por qué se deben realizar en el orden preestablecido cada una de las fases?
 ¿Es necesario documentar cada fase del proceso?

Tema 3: Procedimientos judiciales

En el siguiente diagrama se presenta la ruta de aprendizaje e interacción de contenidos y
actividades, así como los momentos de acompañamiento y realimentación por parte del facilitador
para el presente tema:
Teniendo la certeza de haber asimilado lo concerniente a las etapas del proceso de análisis forense,
en este punto el estudiante se encuentra con los conocimientos necesarios para continuar con lo
referente a los procedimientos judiciales. Por lo anterior se espera que al finalizar el desarrollo del
presente tema, el estudiante cuente con las habilidades y capacidades a fin de efectuar
procedimientos judiciales como el secuestro de equipos y dispositivos involucrados en el incidente
ocurrido y que se hace necesario vincularlos dentro de la investigación.

Respecto a los procedimientos judiciales, es necesario aclarar previamente que se convierte en

requerimiento vital el registro detallado en el informe acerca de las características de la escena del
incidente, así como de las circunstancias físicas y ambientales tanto externas como internas, lo cual
debe detallarse de la misma forma en el acta de secuestro de equipos. El procedimiento de
secuestro de equipos y dispositivos, se constituye en un importante punto de partida, toda vez que
es con dicho proceder con el cual estamos vinculando equipos y dispositivos dentro de una
investigación. Los detalles y características que observemos durante el procedimiento y que
posteriormente registremos en el acta de secuestro, se constituyen como valiosa información
acerca del estado ‘original’ de los equipos y dispositivos involucrados en el incidente. Es en el
procedimiento de inspección ocular donde obtenemos valiosa información acerca de detalles y
características de la escena, así como de otro tipo de circunstancias físicas y ambientales.

Teniendo en cuenta lo anterior y apoyándose en la documentación propuesta de los autores:

ALFAREDI (2006), Darahuge (s.d.) y EIIDI (2009), así como contando con el recurso visual del video
tutorial, el estudiante debe propender por adquirir conocimientos y desarrollar habilidades en
cuanto a los procedimientos de inspección ocular de la escena y secuestro de equipos, lo cual se
constituye en el punto de partida del proceso de análisis forense.

A continuación se colocan las fuentes que se deben estudiar en este tema. Revisa su descripción e
indicaciones antes de proceder al estudio de la fuente.

Fuentes de estudio
GUÍA PARA EL PROCEDIMIENTO DE SECUESTRO DE TECNOLOGÍAS (ALFAREDI)documento en
donde se expone detalladamente una serie de recomendaciones y buenas prácticas a la hora de
efectuar secuestro judicial de dispositivos ante la comisión de un punible o incidente informático.
Dedica un gran apartado de su contenido en lo referente al manejo y correcto diligenciamiento
de los formularios que van a contener los datos de equipos, personas, tiempos y demás
circunstancias que rodean la escena del crimen. Recurso de apoyo para que el estudiante
desarrolle las actividades prácticas 1 y 3. Para lo anterior debe usted hacer lectura del documento
en las páginas 1-5. (abrir url)

INFORMÁTICA FORENSE (EIIDI) presentación en donde se hace una serie de recomendaciones

acerca del procedimiento de secuestro de equipos. Para lo anterior debe usted hacer lectura del
documento en las páginas 9. Recurso de apoyo para que el estudiante desarrolle las actividades
prácticas 1 y 3. (abrir documento)

METODOLOGÍA DE INSPECCIÓN OCULAR (Darauge & Arellano) documento en donde

detalladamente se explica paso a paso el procedimiento de inspección ocular en la escena; así
mismo hace referencia a la metodología de trabajo a seguir en dicho procedimiento junto con las
indicaciones a fin de la elaboración del acta de secuestro e informes periciales. Recurso de apoyo
para que el estudiante desarrolle las actividades prácticas 1 y 3. Para lo anterior debe usted hacer
lectura del documento en las páginas 6-9, 10-14 y 21-31. (abrir url)

VÍDEO TUTORIAL INSTRUCCIONES PROCEDIMIENTO DE SECUESTRO DE EQUIPOS vídeo donde se

explica y comenta cada paso dentro del procedimiento de secuestro de equipos, haciendo
recomendaciones y tips de buenas prácticas. Recurso de apoyo para que el estudiante desarrolle
las actividades prácticas 1 y 3.

Tema 4: Herramientas lógicas de INFORMÁTICA FORENSE

En el siguiente diagrama se presenta la ruta de aprendizaje e interacción de contenidos y actividades
para el presente tema:
Habiendo asimilado y comprendido lo correspondiente al procedimiento de secuestro de equipos y
registro de las características de la escena del crimen, referentes vitales previos al inicio de cualquier
caso de investigación forense, el estudiante en este punto se encuentra con las capacidades y
habilidades necesarias para interactuar y utilizar las herramientas lógicas de análisis forense. Por lo
anterior, se espera que al finalizar el tema el estudiante haya adquirido habilidades en cuanto al
manejo de herramientas lógicas de análisis forense como son: AUTOPSY, ENCASE, CAINE; así mismo
se espera que ya se haya familiarizado con la interfaz gráfica de cada herramienta referida y con los
recursos que éstas ofrecen. Además se espera que a la finalización del presente tema el estudiante
cuente con las capacidades y habilidades necesarias para la configuración y creación de un nuevo
caso de investigación, utilizando el software antes mencionado.

La importancia del desarrollo y asimilación del presente tema, radica en que el profesional de la
INFORMÁTICA FORENSE, debe contar con las habilidades necesarias en cuanto al manejo de
herramientas lógicas (software de análisis forense), las cuales en su entorno laboral le van a permitir
la creación y configuración de nuevos casos de investigación ante la ocurrencia de un incidente de
tipo informático.

En cuanto a las herramientas lógicas referidas, podemos decir que ENCASE es un software que corre
en ambientes Windows, permite la creación y configuración de casos de investigación, así como
ofrece los recursos necesarios para invocar y efectuar el montaje de la imagen que se tiene como
evidencia y que se procederá posteriormente a analizar. Respecto a AUTOPSY, podemos decir que
es un software derivado de la familia GNU/Linux, pero que permite la creación, configuración y
ejecución de análisis forense tanto en ambientes Windows como en ambientes GNU/Linux y MAC,
su interfaz gráfica es mas intuitiva y amigable y corre perfectamente en ambientes GNU/Linux y en
ambiente Windows.

Al tener como apoyo los videos ENCASE 1, 2, 3 Y 4, y el vídeo de AUTOPSY, el estudiante contará con
las bases suficientes a fin de proceder al desarrollo del laboratorio formativo (ACTIVIDAD 1),
teniendo como problema el caso real planteado y con el objetivo de crear y configurar un nuevo
caso de investigación, esto acompañado de la continua asesoría por parte del facilitador, así como
con la posterior retroalimentación, actividad que luego permitirá que el estudiante desarrolle el
laboratorio sumativo (ACTIVIDAD 3) aprovechando su entorno laboral ó particular.

Fuentes de estudio
A continuación se colocan las fuentes que se deben estudiar en este tema. Revisa su descripción
e indicaciones antes de proceder al estudio de la fuente.

ANÁLISIS FORENSE DIGITAL (López Delgado) este documento presenta lo concerniente a las
Herramientas Lógicas de análisis forense y en donde se sugiere un listado de herramientas y
aplicativos lógicos de informática forense, en su gran mayoría de tipo open source. Para lo
anterior debe usted hacer lectura del documento en las páginas 29-32. Igualmente sugiere que
el estudiante adquiera como software para la adquisición de imágenes de disco y unidades la
aplicación denominada HELIX de tipo GNU/Linux (abrir url)

VÍDEO TUTORIAL ENCASE video 1, video 2 son recursos visuales en donde el estudiante se
familiarizará con el entorno de ENCASE y las indicaciones propias acerca del procedimiento para
iniciar un nuevo análisis forense; se explica además, cómo agregar imágenes adicionales de
dispositivos dentro de una misma investigación, así como las herramientas y opciones que ofrece
el aplicativo a fin de efectuar la fase de análisis forense. Recurso de apoyo para que el estudiante
desarrolle las actividades prácticas 1 y 3.

VÍDEO TUTORIAL AUTOPSY vídeo donde se muestra el manejo de ésta aplicación de la familia
GNU/Linux, diseñada para procedimientos de análisis de informática forense, contando con una
interfaz gráfica más intuitiva y amigable para el investigador forense. Explica también el
procedimiento para dar inicio a una nueva investigación y cómo se añade la imagen del dispositivo
a analizar. Recurso de apoyo para que el estudiante desarrolle las actividades prácticas 1 y 3.
(abrir video)

Guía de evidencia
Competencia Global Efectuar procedimientos de secuestro de equipos de cómputo y
dispositivos de almacenamiento según normatividad vigente, de
acuerdo con las circunstancias del hecho punible y empleando las
adecuadas herramientas lógicas.
Criterios de Evalúa las circunstancias fácticas que motivaron la solicitud de secuestro
Desempeño de los equipos de cómputo y dispositivos de almacenamiento
Desarrolla el procedimiento de secuestro del equipo o dispositivo
involucrado en el incidente, así como la inspección ocular de la escena.
 Aplica las previsiones de la cadena de custodia con el fin de mantener la
integridad de los equipos y dispositivos secuestrados.
Condiciones que El estudiante para cumplir con estos criterios de desempeño debe:
deben ser Interpretar y analizar la solicitud de secuestro de equipos, determinando
demostradas para el si existen motivos fundados para efectuar el procedimiento.
logro de los criterios Elaborar y presentar los correspondientes informes y formatos de
de desempeño diligenciamiento respecto al procedimiento de secuestro de equipos.
Realizar el procedimiento de adquisición de imágenes de los dispositivos
secuestrados de acuerdo a la metodología de la Informática Forense.

Bibliografía.
ALFAREDI. (15 de Junio de 2006). Guía operativa para procedimientos judiciales con secuestro de
tecnología informática. Obtenido de http://www.alfa-redi.org/node/9036

Cantero, E. (2008). Informática Forense. Obtenido de

http://www.felaban.com/archivos/memorias_congreso_clade2007/info_forense.pdf

Darahuge, M. E. (s.f.). METODOLOGÍA DE LA INSPECCIÓN OCULAR EN INFORMÁTICA

FORENSE. Obtenido de
http://psicologiajuridica.org/psj181.html

Delgado, M. L. (s.f.). Análisis Forense Obtenido de

http://www.criptored.upm.es/guiateoria/gt_m335a.htm

Torres, D. (2012). Módulo de Informática Forense.

Zuccardi, G., & Gutiérrez, J. (2007). Informática Forense. Obtenido de

http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%
20v0.6.pdf

Zuccardi, G., & Gutiérrez, J. (s.f.). Diseño y Producción de Evidencia digital- Obtenido de
http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%
20v0.6.pdf

Cibergrafía.
DRAGONJAR ORG. (2009). ENCASE-1. Obtenido de
http://resourcestodownload.seqrityinfforense.com/ENCASE-1.flv
DRAGONJAR ORG. (2009). ENCASE-2. Obtenido de
http://resourcestodownload.seqrityinfforense.com/ENCASE-2.flv

DRAGONJAR ORG. (2009). ENCASE-3. Obtenido de

http://resourcestodownload.seqrityinfforense.com/ENCASE-3.flv

DRAGONJAR ORG. (2009). ENCASE-4. Obtenido de

http://resourcestodownload.seqrityinfforense.com/ENCASE-4.flv