Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Al terminar el estudio de los temas 1-5, el estudiante deberá estar en capacidad de:
A) En cuanto a habilidades
B) En cuanto a conocimientos
C) En cuanto a actitudes:
Introducción
Teniendo en cuenta que en la actualidad la información se considera como el activo de mayor valor,
tanto a nivel particular como corporativo, y que el desarrollo de nuevas tecnologías en la informática
aunado al fenómeno de la globalización, han sido aprovechados como circunstancias para la
comisión de incidentes y punibles de tipo informático, se hace necesario adquirir y desarrollar
habilidades y competencias en cuanto a la ejecución de procedimientos de análisis forense a fin de
preservar y garantizar la integridad de la información y de los sistemas y servicios informáticos ante
la ocurrencia de un incidente informático. Por lo anterior, se ha convertido en una necesidad a nivel
del mundo corporativo contar con profesionales capacitados y competentes en cuanto a la
ejecución de procedimientos de informática forense, toda vez que no se puede desestimar la alta
probabilidad de ser víctimas de incidentes informáticos que atenten contra la información
corporativa. Como evidencia de lo anterior citamos como ejemplos de incidentes en donde se ha
hecho necesaria la labor de profesionales en INFORMÁTICA FORENSE el ataque de los ‘hackers’ a la
página web del partido de la U (RCN La Radio, 2011), así como el ataque a la página web del
ministerio de tecnologías y comunicaciones (Susa, 2012), Igualmente el ataque a la página de la
Registraduría Nacional del estado civil (El Tiempo, 2016,
http://www.eltiempo.com/politica/proceso-de-paz/registraduria-presenta-fallas-en-pagina-
web/16713733)
Como preámbulo en el desarrollo del presente tema, se hace necesario que el estudiante identifique
y asimile el concepto y definiciones dadas por diversos autores respecto de la INFORMÁTICA
FORENSE, de esa forma podrá comprender y tener presente en cada procedimiento, el objetivo que
persigue esta disciplina, su alcance y campo de acción. Como punto de partida en cuanto a la
definición de la INFORMATICA FORENSE, he propuesto para el desarrollo del curso, la siguiente:
Evitar la contaminación de la escena y de las evidencias, para lo cual se hace necesario aplicar las
previsiones de cadena de custodia y registrar en los informes y actas el más mínimo acceso y
contacto que terceros tengan con los equipos secuestrados y con la evidencia, a fin de garantizar su
integridad y estado ‘original’. Se hace énfasis en que a los equipos secuestrados y demás evidencias
recaudadas, solamente tendrán acceso los peritos y demás personal especializado, encargado de
efectuar los procedimientos forenses.
Aplicar las previsiones de cadena de custodia, lo cual nos lleva a mantener el sigilo, la vigilancia y
el cuidado sobre los equipos y evidencias vinculadas al proceso y a la investigación. Aquí se hace
necesario hacer énfasis en la recomendación de registrar en informes y actas, cada traslado y cada
acción que se efectúe sobre los elementos referidos, así como el personal que ha entrado en
contacto con equipos y evidencia.
En todo momento del desarrollo del proceso de análisis forense se debe tener como objetivos de la
informática forense: extraer, preservar, analizar y presentar evidencia digital dentro de la
investigación de un incidente informático, los cuales al mismo tiempo se constituyen en las fases o
etapas del proceso de análisis e investigación.
A continuación se presentan las fuentes que se deben estudiar en este tema. Revisa su descripción
e indicaciones antes de proceder al estudio de la fuente.
Fuentes de estudio
Informática Forense (clic para descargar) : Este documento de Gutiérrez y Zuccardi (2006)
presenta las diferentes definiciones acerca de la INFORMÁTICA FORENSE así como sus
generalidades, principios y objetivos, exploración y análisis que se hace necesaria por parte del
estudiante a fin de comprender y asimilar los alcances de esta ciencia. Se propone que luego de
su exploración y análisis el estudiante elabore un mapa conceptual acerca de la estructura y
generalidades de la Informática Forense. Dicha actividad la debe publicar en el foro AVANCES
SIGNIFICATIVOS; se recomienda incluir en el mapa la definición y estructura de la INFORMÁTICA
FORENSE. Se sugiere para su diseño utilizar la herramienta Cmap Tools.
Informática forense: éste documento de Jeimy Cano, hace un recuento sobre la informática
Forense y su definición, así mismo un acercamiento a lo que es evidencia digital y algunos
procedimientos para su recolección, embalaje y presentación. El estudiante deberá hacer lectura
de todo el artículo, con ello lograr comprender los conceptos de la informática forense y el rol en
las investigaciones. Enlace: http://52.0.140.184/typo43/fileadmin/Revista_96/dos.pdf
Vídeo Tecnología Forense: vídeo elaborado y presentado por funcionarios del CTI, en donde
explican las generalidades, alcances y objetivos de la INFORMÁTICA FORENSE, explicando
globalmente sus etapas generales. Luego de observar el presente vídeo, el estudiante debe
participar activamente en el foro de discusión AVANCES SIGNIFICATIVOS.
http://youtu.be/5CmM9K_FCqc
Es de vital importancia el estudio y asimilación del presente tema, toda vez que el estudiante debe
tener claro el orden de ejecución de cada una de las fases o etapas del proceso de análisis forense,
así como la metodología y recomendaciones que se hacen dentro de los lineamientos de la
INFORMÁTICA FORENSE.
En cuanto a las fases del procedimiento de análisis forense, cabe resaltar los siguientes aspectos:
Preservación: desde el primer momento en que se inicia el secuestro de equipos, se debe velar por
la continua preservación de éstos, toda vez que es allí donde se contiene la mayor parte de evidencia
a analizar y en aras de garantizar la integridad y estado ‘original’ de equipos y evidencias.
Presentación: es en esta etapa donde podremos comprobar si la ejecución de las anteriores se hizo
acorde a los lineamientos establecidos, cualquier error de procedimiento hará que al momento de
presentar las evidencias e informes, éstos sean rechazados y carentes de validez alguna. Acá
igualmente se recalca en la adecuada elaboración de los informes correspondientes.
Fuentes de estudio
A continuación se colocan las fuentes que se deben estudiar en este tema. Revisa su descripción
e indicaciones antes de proceder al estudio de la fuente.
ANÁLISIS FORENSE DIGITAL (López Delgado ) Presenta lo concerniente a las fases del proceso de
análisis forense, haciendo una clasificación previa del tipo de incidente o punible materia de
investigación. Es de resaltar que el autor para cada una de las fases descritas hace la explicación
correspondiente, teniendo en cuenta el tipo de sistema operativo donde se ha efectuado el
incidente o punible. Para lo anterior debe usted hacer lectura del documento en las páginas 5-23.
Luego de la exploración y análisis de éste documento, el estudiante debe realizar un mapa
conceptual referente a las etapas de análisis forense. (abrir url)
METODOLOGÍA DE LA INSPECCIÓN OCULAR (Darauge y Arellano) Documento que recopila
globalmente las fases generales que conforman el desarrollo del proceso de Análisis Forense, en
donde se estructura desde el mismo momento de la solicitud de secuestro el inicio del proceso.
Para lo anterior debe usted hacer lectura del documento en las páginas 10-14. Luego de la
exploración y análisis del documento, el estudiante debe, en el desarrollo del laboratorio 1
propuesto (ACTIVIDAD 1), dar aplicación a la metodología y a las recomendaciones indicadas en
el documento. (abrir documento)
VÍDEO FASES DE PROCESO DE ANÁLISIS FORENSE (Alvaro H. Mejía) Vídeo en el cual se explican
detalladamente cada una de las fases que conforman el procedimiento general de análisis
forense.
http://youtu.be/_yYhuCK_Buc
Luego de visualizar el presente vídeo, debe usted estar en la capacidad de dar respuesta a los
siguientes cuestionamientos:
A continuación se colocan las fuentes que se deben estudiar en este tema. Revisa su descripción e
indicaciones antes de proceder al estudio de la fuente.
Fuentes de estudio
GUÍA PARA EL PROCEDIMIENTO DE SECUESTRO DE TECNOLOGÍAS (ALFAREDI)documento en
donde se expone detalladamente una serie de recomendaciones y buenas prácticas a la hora de
efectuar secuestro judicial de dispositivos ante la comisión de un punible o incidente informático.
Dedica un gran apartado de su contenido en lo referente al manejo y correcto diligenciamiento
de los formularios que van a contener los datos de equipos, personas, tiempos y demás
circunstancias que rodean la escena del crimen. Recurso de apoyo para que el estudiante
desarrolle las actividades prácticas 1 y 3. Para lo anterior debe usted hacer lectura del documento
en las páginas 1-5. (abrir url)
La importancia del desarrollo y asimilación del presente tema, radica en que el profesional de la
INFORMÁTICA FORENSE, debe contar con las habilidades necesarias en cuanto al manejo de
herramientas lógicas (software de análisis forense), las cuales en su entorno laboral le van a permitir
la creación y configuración de nuevos casos de investigación ante la ocurrencia de un incidente de
tipo informático.
En cuanto a las herramientas lógicas referidas, podemos decir que ENCASE es un software que corre
en ambientes Windows, permite la creación y configuración de casos de investigación, así como
ofrece los recursos necesarios para invocar y efectuar el montaje de la imagen que se tiene como
evidencia y que se procederá posteriormente a analizar. Respecto a AUTOPSY, podemos decir que
es un software derivado de la familia GNU/Linux, pero que permite la creación, configuración y
ejecución de análisis forense tanto en ambientes Windows como en ambientes GNU/Linux y MAC,
su interfaz gráfica es mas intuitiva y amigable y corre perfectamente en ambientes GNU/Linux y en
ambiente Windows.
Al tener como apoyo los videos ENCASE 1, 2, 3 Y 4, y el vídeo de AUTOPSY, el estudiante contará con
las bases suficientes a fin de proceder al desarrollo del laboratorio formativo (ACTIVIDAD 1),
teniendo como problema el caso real planteado y con el objetivo de crear y configurar un nuevo
caso de investigación, esto acompañado de la continua asesoría por parte del facilitador, así como
con la posterior retroalimentación, actividad que luego permitirá que el estudiante desarrolle el
laboratorio sumativo (ACTIVIDAD 3) aprovechando su entorno laboral ó particular.
Fuentes de estudio
A continuación se colocan las fuentes que se deben estudiar en este tema. Revisa su descripción
e indicaciones antes de proceder al estudio de la fuente.
ANÁLISIS FORENSE DIGITAL (López Delgado) este documento presenta lo concerniente a las
Herramientas Lógicas de análisis forense y en donde se sugiere un listado de herramientas y
aplicativos lógicos de informática forense, en su gran mayoría de tipo open source. Para lo
anterior debe usted hacer lectura del documento en las páginas 29-32. Igualmente sugiere que
el estudiante adquiera como software para la adquisición de imágenes de disco y unidades la
aplicación denominada HELIX de tipo GNU/Linux (abrir url)
VÍDEO TUTORIAL ENCASE video 1, video 2 son recursos visuales en donde el estudiante se
familiarizará con el entorno de ENCASE y las indicaciones propias acerca del procedimiento para
iniciar un nuevo análisis forense; se explica además, cómo agregar imágenes adicionales de
dispositivos dentro de una misma investigación, así como las herramientas y opciones que ofrece
el aplicativo a fin de efectuar la fase de análisis forense. Recurso de apoyo para que el estudiante
desarrolle las actividades prácticas 1 y 3.
VÍDEO TUTORIAL AUTOPSY vídeo donde se muestra el manejo de ésta aplicación de la familia
GNU/Linux, diseñada para procedimientos de análisis de informática forense, contando con una
interfaz gráfica más intuitiva y amigable para el investigador forense. Explica también el
procedimiento para dar inicio a una nueva investigación y cómo se añade la imagen del dispositivo
a analizar. Recurso de apoyo para que el estudiante desarrolle las actividades prácticas 1 y 3.
(abrir video)
Guía de evidencia
Competencia Global Efectuar procedimientos de secuestro de equipos de cómputo y
dispositivos de almacenamiento según normatividad vigente, de
acuerdo con las circunstancias del hecho punible y empleando las
adecuadas herramientas lógicas.
Criterios de Evalúa las circunstancias fácticas que motivaron la solicitud de secuestro
Desempeño de los equipos de cómputo y dispositivos de almacenamiento
Desarrolla el procedimiento de secuestro del equipo o dispositivo
involucrado en el incidente, así como la inspección ocular de la escena.
Aplica las previsiones de la cadena de custodia con el fin de mantener la
integridad de los equipos y dispositivos secuestrados.
Condiciones que El estudiante para cumplir con estos criterios de desempeño debe:
deben ser Interpretar y analizar la solicitud de secuestro de equipos, determinando
demostradas para el si existen motivos fundados para efectuar el procedimiento.
logro de los criterios Elaborar y presentar los correspondientes informes y formatos de
de desempeño diligenciamiento respecto al procedimiento de secuestro de equipos.
Realizar el procedimiento de adquisición de imágenes de los dispositivos
secuestrados de acuerdo a la metodología de la Informática Forense.
Bibliografía.
ALFAREDI. (15 de Junio de 2006). Guía operativa para procedimientos judiciales con secuestro de
tecnología informática. Obtenido de http://www.alfa-redi.org/node/9036
Zuccardi, G., & Gutiérrez, J. (s.f.). Diseño y Producción de Evidencia digital- Obtenido de
http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%
20v0.6.pdf
Cibergrafía.
DRAGONJAR ORG. (2009). ENCASE-1. Obtenido de
http://resourcestodownload.seqrityinfforense.com/ENCASE-1.flv
DRAGONJAR ORG. (2009). ENCASE-2. Obtenido de
http://resourcestodownload.seqrityinfforense.com/ENCASE-2.flv