Sesión 0: Introducción a la Informática Forense

En esta sesión se abordara:

• Introducción a la Informática Forense

• Normas internacionales de manejo de evidencia digital.
• Pasos de la Informática Forense.
• Principales certificaciones en informática forense.
• Organismos que colaboran con la justicia.
En países de América Latina, lo más importante que debemos
abordar es el adecuado manejo de la evidencia digital, en este
sentido lo principal es poder elaborar una bitácora de
procedimientos, en el caso de Perú se cuenta con un Manual de
Manejo de Evidencia Digital que data del año 2017 y fue elaborado
por el Ministerio de Justicia, el mismo lo cuentan como material de
esta sesión a fin pueden descargarlo.

En referencia a normas internacionales, todo Laboratorio de

Informática Forense requiere cumplir con estándares de normas
internacionales, para este caso emplearemos el GLOBAL GUIDELINES
FOR DIGITAL FORENSICS LABORATORIES de Interpol de data 2019.

Es de suma importancia que lean ambos manuales, de forma

adicional en la sesión bibliografía, podrán revisar manuales de
evidencia digital de otros países de la región.
A carencia de un manual de procedimientos en su país, deberán
basarse en el Manual: La escena del delito y las pruebas materiales,
elaborado por Naciones Unidas. El cual podrán descargar de igual
forma en el contenido de esta sesión.

Adicionalmente y si su labor es de carácter policial, es requerido de

lectura a la Resolución Ministerial N°848-2019-IN que aprueba el
Manual de Recojo de Evidencia Digital emitido el 12 de Junio del
2019, el mismo se encuentra descargable en esta sesión.

Sin más que acotar por ahora, damos inicio al Curso de Informática
Forense – edición 2020, desde ya todas las consultas pueden ser
elaboradas al correo electrónico del instructor o a los canales
establecidos en el aula virtual de la entidad organizadora del
presente curso.

Atentamente César Chávez.

 Introducción a la Informática Forense
Informática Forense, es el procedimiento que ayuda a la justicia en el rescate y
búsqueda de indicios informáticos con el fin de llevar un proceso legal en el
cual se demuestre en un juicio los hallazgos vertidos en evidencias, con el fin
que los investigados puedan recibir todo el peso de la ley, debemos entender
que este procedimiento debe llevarse como una escena del crimen, siendo
cada una de sus partes básicas para recabar y procesar indicios, apoyándose
en las herramientas creadas por entidades que cumplen estándares
internacionales de calidad, no se puede dar uso de todo lo que se encuentren
a la mano, dado que los resultados que se obtengan deben ser los mismos si
en una pericia y una contra-pericia se encuentran resultados diferentes todo
procedimiento será invalido.

También se le conoce como Computo Forense.

Fases de la Informática Forense
Identificación

Validación y
preservación

Análisis

Generación de Reporte
 Fase 1: Identificación

Levantamiento de información: Descripción del delito informático, a partir de la

denuncia presentada contra el investigado, así como la información de sus
generales de ley, información sobre el equipo intervenido, sus características
técnicas. Para cuestiones didácticas asumiremos que se refiere a intrusión no
autorizada a un sistema informático que consta de una base de datos de usuarios
de una empresa realizando el atacante la posterior encriptación en carpetas por las
cuales solicito una recompensa para desencriptación.

Asegurar la escena: Identificar los indicios para evitar la manipulación indebida que
conlleve a la perdida de confiabilidad en el procesamiento.
 Fase 2: Identificación
Copias de los indicios: Específicamente de los dispositivos intervenidos,
detallando el procedimiento seguido.
Cadena de custodia: Informando los pasos actuados que garantizan la
información recogida a fin que sirva como prueba ante la denuncia
realizada.
 Fase 3: Análisis

• Preparación para el análisis: Se requiere garantizar las condiciones para un procesamiento

adecuado y que permita la adecuada manipulación de los elementos involucrados en el ilicito.
• Reconstrucción del ataque: Determinar no sólo el medio por el cual fue extraída la información,
sino el procedimiento que emplearon para la alteración del sistema.
• Determinación del ataque: Identificando si el ataque fue a través de la red interna (intranet), por
acceso remoto o por medios físicos (empleo de periféricos).
• Identificación del atacante: Medio y la forma como accedió al sistema y realizó el ataque, indicar
si es posible una identificación plena de quien atacó el sistema.
• Perfil del atacante: Descubrir al atacante, conocer los motivos, así como el propósito que tuvo al
atacar el sistema informático del denunciante.
• Evaluación del impacto: Determinar los daños y las compensaciones que hubiesen a llegar por
parte del atacante.
 Fase 4: Generación de reporte
Documentación y presentación de pruebas

Registro del incidente.

• Informe técnico. (Softwares y Hardwares empleados para la adquisición de pruebas, indicando un breve
resumen de porque estas fueron empleadas en este caso)
• Informe ejecutivo: (Incluye el Informe de investigación, análisis conforme a la solicitud realizada por el
denunciante, acorde al procedimiento, asimismo un resumen de la investigación, citando los puntos más
importantes)
• Observaciones: (Información adicional obtenida, no contenida en la denuncia en la que se basa la
investigación, indicando hallazgos para solicitar ampliación de la investigación).
• Bitacora y plan estratégico efectuado en el proceso de peritaje informático forense.
En informática forense se requiere el empleo de hardware y software que garantice el adecuado
procesamiento de las evidencias, de dicha forma, para el inicio del proceso de investigación
adecuado, se necesita tener un ambiente adecuado para poder laborar, caso contrario toda
evidencia adquirida no cumpliría el estándar de norma internacional de manejo de evidencia, en
este sentido en la siguientes hojas, podrán ver algunas partes de exposición desarrollada en
Paraguay, por el instructor en a inicios de Septiembre del 2019 en el 6to. Congreso Internacional de
Criminalistica y Ciencias Forenses
 ¿Cómo crear un laboratorio para
Investigación Informática Forense?
 Área para la Etapa 3
Análisis.
El ambiente esta aislado herméticamente y
previamente a acceder el personal deberá
pasar por el ambiente de contención conforme
dictamina la OMS: Manual de Bioseguridad
para Laboratorios.
1. El lugar de trabajo se encuentra separado de
toda actividad que se desarrolle en el mismo
edificio, cumpliendo con los estándares de una
jaula faraday
2. El aire introducido y extraído del lugar de
trabajo se filtra mediante la utilización de
filtros de alta eficacia para partículas en el aire
(HEPA) o de forma similar.
Personal que debe laborar en el
Laboratorio por turnos en
equipos de dos..
1. Perito Inspecciones
Criminalísticas
Se encargara de levantamiento de huellas y toma de impresiones
en los equipamientos analizados en el laboratorio.
Asimismo realiza el levantamiento de los indicios biológicos
obtenidos en los dispositivos electrónicos analizados.
En el interior de cada computador se pueden obtener buenas
impresiones dactilares, al igual que en los sims, memorias internas,
procesadores y otros elementos lo cual ayuda a poder integrar a
otros implicados en el procesamiento de indicios.
Estos serán lacrados y remitidos cumpliendo a la cadena de
custodia de material biológico que puede ser obtenido, como es el
caso de: Cabellos en teclados, caspa, en el caso de dispositivos
móviles (estas pueden tener residuos biológicos).

2. Perito Informático Forense
El perito informático forense no solo utiliza “protocolos,
procedimientos y herramientas” que permitan garantizar la validez
de las “evidencias y de los resultados” sino también la posibilidad
de repetir todas las pruebas encontradas si se aplican los mismos
procedimientos y herramientas “sobre las evidencias”.
Para ejercer como perito informático forense se requiere:
Ser profesionales y especialistas altamente calificados.
Contar con experiencia de 5 años tras culminar los estudios
superiores.
1. El lugar de trabajo se encuentra separado de toda
actividad que se desarrolle en el mismo edificio, cumpliendo
con los estándares de una jaula faraday
2. El aire introducido y extraído del lugar de trabajo se filtra
mediante la utilización de filtros de alta eficacia para
partículas en el aire (HEPA) o de forma similar. En este punto recomendamos ver
3. El ambiente es totalmente estéril por lo cual el personal el video recomendado de la sesión
debe laborar únicamente con traje de bioseguridad
desechable y otros elementos aislantes (ver diapositiva de
bioseguridad).
4. El personal deberá ingresar sin dispositivos electrónicos
ajenos al área.
5. Solamente se permite el acceso al personal designado .
Ambientes mínimos necesarios para un
Laboratorio de Informática Forense
 1. Área de atención de
denuncias

Debe establecerse oficinas zonales en cada

para recepción de denuncias y solicitudes en
cada estación policial.
 2. Área de recursos
humanos

Encargados de generar ordenar turnos laborales, los cuales no

pueden exceder de 6 hrs. Coordina capacitaciones al personal
activo y del reclutamiento de personal.

Deben estar compuestos por mínimo 4 personas en turnos

rotativos de 24 hrs.
 3. Área para
ciberpatrullaje

Personal encargado de
hacer seguimiento a las
denuncias recibidas por
las unidades policiales.
Se sugiere cubículos de
trabajo para
seguimiento de
objetivos
 4. Sala de coordinación de
operativos (inter-áreas)

Área en la cual se realizan coordinaciones con unidades dentro

del mismo centro de labores, efectuándose de forma interdiaria
en coordinación con el equipo de crímenes complejos y equipo
de investigación del cibercrimen.
 5. Área de análisis de
incidencias informáticas
Área en la cual el personal realiza seguimientos a forados de
seguridad en entidades estatales, realizando ethical hacking
preventivo, de igual forma estará área estará con coordinación
directa con el Centro de Respuesta a Incidentes Informáticos del
estado, con el fin de monitorear los fallos vigentes en sistemas
informáticos sensibles.
 6. Laboratorio para
fotografiado electrónico
de circuitos y otros
dispositivos a analizar.
En el caso que se encuentre fisuras, daños u otros en los
circuitos, los cuales fueron detectados por el Laboratorio
para fotografiado electrónico, en esta área se pasara a
desarmar y reparar los mismos

7. Laboratorio de
reparación de hardware
 8. Laboratorio de
reparación de hardware

Se requiere personal con alto conocimiento en electrónica y

micro-electronica
 Laboratorio
Modelo Básico
para manejo de
muestras
 El Área de Análisis
deberá contar con:
1. Laboratorios para análisis de evidencia que cumplan la ISO 14644-1
2. Equipamiento para adquisición de evidencias. (Discos Duros y Moviles)
3. Cámaras fotográficas y filmadoras para procesamiento acorde al inventario.
4. Cables para conexión de todos los modelos de HDD.
5. SIMS en blanco para duplicación
6.
7.
Se deberán emplear instrumentos
adecuados para desarme de discos
duros y otros perifericos
Se deberán emplear instrumentos
adecuados para desarme de discos
duros y otros perifericos
Adaptadores de placa
de circuito
Cableado para conexión
de diversos dispositivos
Duplicadores de discos
duros
Adecuado almacenaje
de discos duros
 9. Almacén de
Evidencias
El Almacen deberá contar con la Certificación
Iso 9001:2008

Es importante el trabajo profesional en todos los

procedimientos, como personal que laboran en el área, su
ambiente laboral debe contar con las áreas mínimas requeridas.

Fin de sesión
Nos vemos en la tutoria en línea.