Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Preparación Segundo Parcial - JUAN CAMILO GARCIA CACERES PDF
Preparación Segundo Parcial - JUAN CAMILO GARCIA CACERES PDF
NOTA
FACULTAD DE INGENIERIA
INFORMÁTICA FORENSE
DEPARTAMENTO DE OPERACIONES Y SISTEMAS
La solución a estas preguntas debe entregarlas con fecha límite el mismo día del
segundo parcial
Este cuestionario tiene un peso del 20 % del segundo parcial
1. ¿Qué es Informática Forense (IF)? ¿Cuáles son los principales usos de la IF?
La informática forense aparece como una disciplina auxiliar de la justicia moderna, para enfrentar
los desafíos y técnicas de los intrusos informáticos, lo mismo que como garante de la verdad
alrededor de la evidencia digital que se pudiese aportar en un proceso.
Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser
ayudados por la informática forense.
Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de
crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de
impuestos o pornografía infantil.
Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual,
robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje
industrial.
“Es un tipo de evidencia física, que está construida de campos magnéticos y pulsos electrónicos
que pueden ser recolectados y analizados con herramientas y técnicas especiales” (Casey 2000,
pág.4)
Desde el punto de vista del derecho probatorio, puede ser comparable con “un documento” como
prueba legal.
Los procedimientos propios relacionados con la evidencia digital en la escena del crimen
son:
Las metodologías que utiliza la informática forense son: Identificación, Preservación, Extracción,
Análisis, Interpretación, Documentación, y Presentación de pruebas.
El hash es un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una
nueva serie de caracteres con una longitud fija. Independientemente de la longitud de los datos
de entrada, el valor hash de salida tendrá siempre la misma longitud. Por otra parte, no existen
dos entradas que produzcan el mismo hash de salida.
Las funciones criptográficas hash se utilizan principalmente para asegurar la integridad de los
mensajes, en pocas palabras, para estar seguros de que algunas comunicaciones o archivos no
fueron alterados de alguna forma, se pueden examinar los hashes creados antes y después de
la transmisión de los datos, si los dos hashes son idénticos, significa que no ha habido ninguna
alteración.
6. ¿Qué es la Cadena de Custodia (CdC)? ¿Cuáles son los factores a considerar en la CdC?
Es uno de los protocolos de actuación que ha de seguirse con respecto a una prueba durante su
período de vida o de validez, desde que ésta se consigue o genera, hasta que se destruye, o deja de
ser necesaria.
Este protocolo debe controlar dónde y cómo se ha obtenido la prueba, qué se ha hecho con ella -y
cuándo-, quién ha tenido acceso a la misma, dónde se encuentra ésta en todo momento y quién la
tiene y, en caso de su destrucción –por la causa que sea-, cómo se ha destruido, cuándo, quién,
dónde y porqué se ha destruido.
También podemos decir que es un sistema documentado que se aplica a los elementos materiales
probatorios y evidencia física (EMP y EF) para garantizar y demostrar las condiciones de identidad,
integridad, preservación, seguridad, almacenamiento, continuidad y registro; Asegurando de esta
manera la autenticidad de la evidencia que se utilizará como prueba en un proceso.
La diferencia entre traslados y traspaso cuando hablamos de cadena de custodia es que cuando
decimos que la evidencia es trasladada se refiere a un cambio de lugar o sitio que se le hace a la
Evidencia, es decir, es llevada a otro espacio físico, y en el traspaso hablamos de cambio de
encargado o responsable de custodiar la evidencia y mantenerla según dicta el procedimiento.
• Diseño de la evidencia.
• Producción de la evidencia.
• Recolección de evidencia.
• Análisis de la evidencia.
• Reporte y presentación.
• Determinar la relevancia de la evidencia.
El principio de LOCARD, que obtiene su nombre del autor y criminalista francés Edmond Locard
(1877-1966) plantea lo siguiente: “siempre que dos objetos entran en contacto transfieren parte del
material que incorporan al otro objeto”, esto significa que cualquier tipo de delito, incluidos los
relacionados con la informática, dejan un rastro por lo que mediante el proceso de análisis forense
se pueden obtener evidencias. Se puede crear una clasificación de tipos de análisis forense en
base a qué estén orientados a analizar. Teniendo en cuenta este aspecto se pueden identificar tres
tipos de análisis: Análisis forense de sistemas: Tanto sistemas operativos Windows, como OSX,
GNU/Linux, etc., Análisis forense de redes, Análisis forense de sistemas embebidos, Análisis
forense de memoria volátil.
Los bloqueadores de escritura son dispositivos físicos que impiden la escritura al disco analizado
como prueba constituyendo el mejor método de creación de imágenes.
12. En FTK, existen varias opciones para la creación de un disco de imagen (Create Disk
Image). ¿Cuáles son esas opciones?
Physical Drive: Permite extraer imágenes de todos los discos (dispositivos) que están
conectados físicamente (o directamente conectados al equipo, discos internos, externos,
USB…).
Logical Drive: Permite ver y así mismo poder seleccionar la partición del disco duro que
queramos trabajar.
Image File: Permite extraer la imagen forense de un solo archivo que se encuentre en el
dispositivo evidencia. Para esto puede indicar la ruta donde se encuentra el archivo, o escoger
el archivo buscándolo por el explorador, basta con dar Click en la opción Browse… y seleccionar
el archivo requerido.
Contents of a Folder: Esta opción permitirá extraer todo el contenido de una carpeta. Sin
embargo, advierte que no recuperará los archivos que encuentre dañados o eliminados dentro
de la carpeta.
El comando dd es un comando de la familia de los sistemas operativos Unix que permite copiar y
convertir datos de archivos a bajo nivel.
La sintaxis más básica para el uso del comando dd, seria esta:
Que Encase Forensic produce una duplicación binaria exacta del dispositivo o medio original y luego
la verifica generando valores hash MD5 de las imágenes y asignando valores de CRC a los datos.
Estas verificaciones revelan cuándo la evidencia ha sido alterada o manipulada indebidamente,
ayudando a mantener toda la evidencia digital con validez a efectos legales para su uso en
procedimientos judiciales y el FTK facilita examinar la imagen obtenida y así poder contar en el
momento mismo con alguna información relevante como: un password, nombre o dato que haya
quedado almacenado en la RAM, procesos abiertos (cuentas de correo y passwords) y versión del
sistema operativo.
15. En la visualización del contenido de un volcado de RAM, ¿Por qué en la cabecera inicial
solo reconocen ceros (00 00 00…)? ¿Qué herramientas conoce para la extracción de RAM?
Los archivos contienen una cabecera o firma que es un numero hexadecimal que caracteriza a los
tipos de archivos, de esta forma se pueden utilizar estas firmas para identificar o verificar el contenido
de un archivo.