Unidad 1 – Clase 1 Introducción a la Informática Forense

Introducción a la Informática Forense

0
Unidad 1 – Clase 1 Introducción a la Informática Forense

CONTENIDO:

1. INTRODUCCIÓN A LA INFORMATICA FORENSE

1.1. Objetivos de la Informática Forense
1.2. Usos de la Informática Forense
1.3. Metodología para el Análisis Forense.
1.4. Análisis Forense Informático.
1.4.1. Computer Forensics.
1.4.2. Network Forensics.
1.4.3. Digital Forensics.
2. EVIDENCIA DIGITAL
2.1. Características de la Evidencia Digital
3. MARCO LEGAL
3.1. La evidencia digital en el derecho colombiano
3.2. Equivalencia Funcional
3.3. Ley 600 de 2000 (Código de Procedimiento Penal)
3.4. Resolución 1890 de noviembre 5 de 2002
3.5. Resolución 0-2869 de diciembre 29 de 2003
3.6. Ley 1142 de 2007 (junio 28)
4. BIBLIOGRAFIA

1
Unidad 1 – Clase 1 Introducción a la Informática Forense

1. INTRODUCCIÓN A LA INFORMATICA FORENSE

La ciencia forense es sistemática y está basada en hechos premeditados para recabar y

luego proceder a analizarlas.

La escena del crimen es el computador y la red a la cual éste está conectado.

Las nuevas leyes sobre delitos informáticos, firmas electrónicas y mensajes de datos abren
procesalmente y definitivamente los medios probatorios informáticos.

Este capítulo hace énfasis en la Informática Forense, la cual permite esclarecer hechos que
han sucedido y que no se tienen evidencias, hasta que se lleva a cabo el análisis forense
respectivo. Existen algunas características de las evidencias, de escenas del crimen y de la
cadena de custodia, las cuales serán mencionadas en el desarrollo del tema.

Las competencias por desarrollar en el presente modulo son:

2
Unidad 1 – Clase 1 Introducción a la Informática Forense

• Conocer el papel del primer respondiente en el lugar de una escena virtual.

• Conocer una escena de un delito informático.
• Entender lo que es la evidencia digital.
• Identificar una cadena de custodia

Teniendo en cuenta que el presente diplomado tiene criterio interdisciplinario, se

considera muy conveniente que quienes pertenecen a otras profesiones diferentes a
Tecnologías de Información, puedan contar con una introducción muy sucinta general a
las Tics de manera que rápidamente puede tener una articulación con la Informática
Forense. Así mismo, quienes son profesionales en Tecnologías de Información esto se
puede ver como un pequeño repaso a lo que visto hace varios años en pregrado o
sencillamente omitirse si existen razones de tiempo que dificulten su lectura.

Estas reflexiones anteriores nos permiten hacer un énfasis en que con la Informática
Forense es posible investigar (aun cuando internet permite el anonimato y el uso de
nombres falsos) quien es el dueño de sitios web, quienes son los autores de determinados
artículos y otros documentos enviados a través de redes o publicados en la misma.

Figura1. Forensic Computer History.

3
Unidad 1 – Clase 1 Introducción a la Informática Forense

Fuente: Nipon Temsakun(S.F.) Vector. Disponible en URL:

https://previews.123rf.com/images/aihumnoi/aihumnoi1707/aihumnoi170702785/82607036-forensic-
computer-history-text-background-word-cloud-concept.jpg

1.1. Objetivos de la Informática Forense.

La informática forense tiene tres objetivos, a saber:

• La compensación de los daños causados por los criminales o intrusos.

• La persecución y procesamiento judicial de los criminales.
• La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, entre ellas, la principal es la recolección de
evidencia.

1.2. Usos de la Informática Forense.

Existen varios usos de la informática forense, algunos provienen de la vida diaria, y no
están directamente relacionados con la informática forense como son:

• Prosecución Criminal: Evidencia incriminatoria, la cual puede ser usada para

procesar una variedad de crímenes, incluyendo homicidios, fraude financiero,
tráfico y venta de drogas, evasión de impuestos o pornografía infantil.
• Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, los
cuales pueden ser esclarecidos con el uso de la informática forense.
• Investigación de Seguros: La evidencia encontrada en computadores, puede
ayudar a las compañías de seguros a disminuir los costos de los reclamos por
accidentes y compensaciones.
• Temas corporativos: Puede ser recolectada información en casos que tratan sobre
acoso sexual, robo, mal uso o apropiación de información confidencial o
propietaria, o aún de espionaje industrial.

4
Unidad 1 – Clase 1 Introducción a la Informática Forense

• Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda

inicial de órdenes judiciales, así como en la búsqueda de información una vez se
tiene la orden judicial para hacer la búsqueda exhaustiva.

1.3. Metodología para el Análisis Forense.

Cada día que pasa la informática forense adquiere gran importancia dentro de las
tecnologías de información, debido al aumento del valor de la misma, así como, la
proliferación de redes y sistemas informáticos que han diversificado la forma en la que los
ciberdelincuentes comenten sus ataques.

Es habitual encontrar nuevas amenazas para la Ciberseguridad, como son los delitos
relacionados con la posesión, distribución, falsificación y fraude de información se realizan
tras un escritorio, mostrando un panorama complejo, en el cual los profesionales de las
tecnologías de la información y los profesionales de la defensa de la ley deben cooperar y
trabajar juntos en la defensa, detección y procesamiento de las personas que utilizan las
nuevas tecnologías para realizar delitos informáticos en el ciberespacio.

Entre los delitos10 más habituales tenemos:

• Protección al menor: producción, distribución y posesión de pornografía infantil.
• Fraude en las comunicaciones: locutorios telefónicos clandestinos
• Dialers: modificación oculta del número de teléfono de destino, Producción y
distribución de decodificadoras de televisión privada.
• Fraudes en Internet: estafas, subastas ficticias y ventas fraudulentas.
• Carding: Uso de tarjetas de crédito ajenas o fraudulentas.
• Phishing: Redirección mediante correo electrónico a falsas páginas simuladas
trucadas (común en las mafias rusas).
• Ransomware: Secuestro de Información.

A nivel de Seguridad lógica tenemos:

5
Unidad 1 – Clase 1 Introducción a la Informática Forense

• Virus, ataques de denegación de servicio, sustracción de datos, hacking,

descubrimiento y revelación de secretos, suplantación de personalidades,
sustracción de cuentas de correo electrónico. Delitos de injurias, calumnias y
amenazas a través del e-mail, news, foros, chats o SMS.
En cuanto al tema de Propiedad Intelectual, se presentan:

• Piratería de programas de ordenador, de música y de productos cinematográficos.

Robos de código: como en el caso de los juegos Dark Age of Camelot, y Half-Life
2, o de los sistemas Cisco IOS y Enterasys Dragon IDS.
Pero ¿Por qué se generan más incidentes que antes?
• Crecimiento de la dependencia tecnológica.
• Amplia disponibilidad de herramientas para el escaneo de puertos, descifrar
contraseñas, Sniffers de red, etc.
• No hay leyes globales.
• Internet es un laboratorio.
• Falsa sensación de que todo se puede hacer.
• Gran aumento y auge de las vulnerabilidades.
Es aquí donde nace la informática forense como una ciencia totalmente nueva, que se
encuentra en constante evolución gracias a la iniciativa de la comunidad informática y la
empresa privada.

Figura 2. Logo IACIS

6
Unidad 1 – Clase 1 Introducción a la Informática Forense

Fuente Gomez Vieites1

1.4. Análisis Forense Informático

Frecuentemente se publica en internet, noticias y blogs de equipos de seguridad, algunos
reportes sobre vulnerabilidades, fallas humanas, errores de procedimientos y mala
configuración de los equipos y aplicaciones de seguridad que presentan un escenario
perfecto para que se lleven a cabo incidentes y delitos informáticos.

Los intrusos informáticos que causan cualquier tipo de daño en los equipos generalmente
tienen distintas motivaciones, alcances y estrategias que desconciertan a los
administradores de los servidores y equipos, pues sus modalidades de ataque y
penetración de sistemas varían de un caso a otro. Existen múltiples definiciones para el
análisis forense en informática y por ende varios términos para aproximarnos a este tema,
dentro de los cuales se tienen: Computación Forense (Computer Forensics), Digital
Forensics (forensia digital), Network Forensics (forensia en redes), entre otros.

Este conjunto de términos puede generar confusión en los diferentes ambientes o

escenarios donde se utilice, pues cada uno de ellos trata de manera particular.

1.4.1. Computer Forensics (Computación Forense).

Disciplina de las ciencias forenses, que, considerando las tareas propias asociadas con la
evidencia, procura descubrir e interpretar la información en los medios informáticos para
establecer los hechos y formular las hipótesis relacionadas con el caso. Como la disciplina
científica y especializada que entendiendo los elementos propios de las tecnologías de los
equipos de computación ofrece un análisis de la información residente en dichos equipos.

1
GOMEZ, A. ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA, 2ª Ed. Actualizada. Editorial: Editorial Ra-Ma (2011). ISBN

9788499640365

7
Unidad 1 – Clase 1 Introducción a la Informática Forense

Figura3. Computer Forensic.

Fuente: Leo Wolfert (S.F.) Fotografía. Disponible en URL:
https://previews.123rf.com/images/leowolfert/leowolfert1602/leowolfert160200041/53288570-forensic-
expert-is-pressing-computer-forensics-onscreen-a-virtual-magnifying-glass-icon-is-hovering-.jpg

1.4.2. Network Forensics (Forensia en redes)

Este término establece la manera como los protocolos, configuraciones e infraestructuras
de comunicaciones se conjugan para lograr como resultado un momento específico en el
tiempo y un comportamiento particular.

Esta conjunción de palabras establece un profesional que, entendiendo las operaciones de

las redes de computadores, es capaz de establecer los rastros, los movimientos y acciones
que un intruso ha desarrollado para concluir su acción, siguiendo los protocolos y
formación criminalística,.

8
Unidad 1 – Clase 1 Introducción a la Informática Forense

Figura 4. Procurador empujando análisis forense de red.

Fuente: Leo Wolfert (S.F.) Fotografía. Disponible en URL:
https://previews.123rf.com/images/leowolfert/leowolfert1606/leowolfert160600092/60995990-
procurador-empujando-an%C3%A1lisis-forense-de-red-en-un-monitor-de-pantalla-t%C3%A1ctil-
virtual-interactiva-ley-me.jpg

1.4.3. Digital Forensics (Forense Digital)

Semejante a informática forense, ya que también aplica los conceptos, estrategias y
procedimientos de la criminalística tradicional a los medios informáticos especializados,
con el fin de apoyar a la administración de justicia en su lucha contra los posibles
delincuentes o como una disciplina especializada que procura el esclarecimiento de los
hechos (¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, ¿por qué?) de eventos que podrían
catalogarse como incidentes, fraudes o usos indebidos, bien sea en el contexto de la
justicia especializada o como apoyo a las acciones internas de administración de la
inseguridad informática.

9
Unidad 1 – Clase 1 Introducción a la Informática Forense

2. EVIDENCIA DIGITAL

“La evidencia digital es cualquier información que se ha extraído de un medio informático

mediante la intervención humana u otra semejante, es decir que es cualquier registro
generado o almacenado en un sistema computacional, y que se puede utilizar como
evidencia en un proceso legal.2”

Cualquier registro generado por o almacenado en un sistema computacional que puede

ser utilizado como evidencia en un proceso legal.

La evidencia digital puede ser dividida en tres categorías:

• Registros almacenados en el equipo de tecnología informática (correos

electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.)
• Registros generados por los equipos de tecnología informática (registros de
auditoría, registros de transacciones, registros de eventos, etc.).
• Registros que parcialmente han sido generados y almacenados en los equipos de
tecnología informática. (hojas de cálculo financieras, consultas especializadas en
bases de datos, vistas parciales de datos, etc.).

Figura5. Una huella digital con una línea roja, vector.

2
CANO MARTINES JEIMY JOSÉ, MOSQUERA GONZÁLEZ JOSÉ ALEJANDRO, CERTAIN JARAMILLO ANDRÉS
FELIPE. Evidencia Digital: contexto, situación e implicaciones nacionales. Abril de 2005.
10
Unidad 1 – Clase 1 Introducción a la Informática Forense

Fuente: Balint Sebestyen (S.F.) Ilustración de Vector. Disponible en URL:

https://previews.123rf.com/images/seby87/seby871501/seby87150100015/35614298-una-huella-
digital-con-una-l%C3%ADnea-roja-vector.jpg

2.1. Características de la Evidencia Digital

La evidencia digital posee las siguientes características:

• Volátil
• Anónima
• Duplicable
• Alterable y modificable
• Eliminable

Estas características hacen de la evidencia digital un constante desafío para la

identificación y el análisis, que exige al grupo de seguridad y auditoria, la capacitación
tanto en procedimientos, como en técnicas y herramientas tecnológicas para obtener,
custodiar, revisar, analizar y presentar la evidencia en una escena del delito.

3. MARCO LEGAL

3.1. La evidencia digital en el derecho colombiano.

Desde la expedición de la ley 527 de 1999 “por medio de la cual se define y reglamenta el
acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y
se establecen las entidades de certificación y se dictan otras disposiciones”, en su
momento un hito a nivel continental, la Administración de Justicia en Colombia no ha

11
Unidad 1 – Clase 1 Introducción a la Informática Forense

incorporado en profundidad los principios y reglas que contiene, en especial el de

equivalencia funcional:

“Artículo 6º, L. 527/99. Escrito, Cuando cualquier norma requiera que la información
conste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si la
información que éste contiene es accesible para su posterior consulta.

Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier

norma constituye una obligación, como si las normas prevén consecuencias en el caso de
que la información no conste por escrito.”

3.2. Equivalencia Funcional

El principio de equivalencia funcional reposa realmente en varios artículos de la ley (al
respecto: “Algunos comentarios sobre el principio del equivalente funcional en la ley 527
de 1999″ del Dr. Andrés Felipe Umaña Chaux, en la Revista de Derecho Comunicaciones y
Nuevas Tecnologías de la Universidad de los Andes).

Sobre el principio, ha dicho la Corte Constitucional:

“- Equivalentes funcionales:

El proyecto de ley, al igual de la Ley Modelo, sigue el criterio de los “equivalentes

funcionales” que se fundamenta en un análisis de los propósitos y funciones de la
exigencia tradicional del documento sobre papel, para determinar cómo podrían
cumplirse esos propósitos y funciones con técnicas electrónicas.

Se adoptó el criterio flexible de “equivalente funcional”, que tuviera en cuenta los

requisitos de forma fiabilidad, inalterabilidad y rastreabilidad, que son aplicables a la
documentación consignada sobre papel, ya que los mensajes de datos por su naturaleza,
no equivalen en estricto sentido a un documento consignado en papel.

12
Unidad 1 – Clase 1 Introducción a la Informática Forense

En conclusión, los documentos electrónicos están en capacidad de brindar similares

niveles de seguridad que el papel y, en la mayoría de los casos, un mayor grado de
confiabilidad y rapidez, especialmente con respecto a la identificación del origen y el
contenido de los datos, siempre que se cumplan los requisitos técnicos y jurídicos
plasmados en la ley.” (Sentencia C-662 de 2000, Corte Constitucional).

3.3. Ley 600 de 2000 (Código de Procedimiento Penal)

CAPITULO VIII. DISPOSICIONES ESPECIALES

ARTICULO 288. CADENA DE CUSTODIA. <Para los delitos cometidos con posterioridad al
1o. de enero de 2005 rige la Ley 906 de 2004, con sujeción al proceso de implementación
establecido en su Artículo 528> Se debe aplicar la cadena de custodia a los elementos
físicos materia de prueba, para garantizar la autenticidad de los mismos, acreditando su
identidad y estado original, las condiciones y las personas que intervienen en la
recolección, envío, manejo, análisis y conservación de estos elementos, así mismo, los
cambios hechos en ellos por cada custodio.

La cadena de custodia se inicia en el lugar donde se obtiene, encuentre o recaude el

elemento físico de prueba y finaliza por orden de la autoridad competente.

CAPITULO VIII. DISPOSICIONES ESPECIALES

ARTICULO 288. CADENA DE CUSTODIA.

Son responsables de la aplicación de la cadena de custodia todos los servidores públicos y

los particulares que tengan relación con estos elementos, incluyendo al personal de
servicios de salud, que dentro de sus funciones tengan contacto con elementos físicos que
puedan ser de utilidad en la investigación.

13
Unidad 1 – Clase 1 Introducción a la Informática Forense

El Fiscal General de la Nación reglamentará lo relacionado con el diseño, aplicación y

control del sistema de cadena de custodia, conforme con los avances científicos y
técnicos.

3.4. Resolución 1890 de noviembre 5 de 2002

La Fiscalía General de la Nación, con fundamento en la Ley 600 de 2000, reglamenta un
sistema que cobra vigencia el 1 de enero de 2004, en el cual ordena la aplicación de un
proceso para el manejo de los elementos materiales probatorios (EMP) y evidencias físicas
(E.F), que contempla procedimientos con actividades que van desde el aseguramiento de
la escena hasta la disposición final de los mismos.

3.5. Resolución 0-2869 de diciembre 29 de 2003

La Fiscalía General de la Nación, en cabeza de la Policía Judicial en Colombia, estandariza
todos los procedimientos en un primer Manual de Cadena de Custodia, en él que unifica
rótulos, formatos y recomienda algunas prácticas para el debido manejo de la recolección
y embalaje de los mismos, así mismo establece la necesidad de adecuación de los
Almacenes de Evidencia, de acuerdo a especificaciones técnicas para la custodia de los
EMP y EF. Dentro del marco de la Ley 906 de 2004, esta entidad reglamenta el Sistema
de Cadena de Custodia para el Sistema Penal Acusatorio, mediante resolución 06394 de
diciembre 22 de 2004, en donde ajusta los procedimientos a la nueva actividad procesal.

3.6. Ley 1142 de 2007 (junio 28)

Diario Oficial No. 46.673 de 28 de julio de 2007

Por medio de la cual se reforman parcialmente las Leyes 906 de 2004, 599 de 2000 y 600
de 2000 y se adoptan medidas para la prevención y represión de la actividad delictiva de
especial impacto para la convivencia y seguridad ciudadana.

El Congreso de Colombia DECRETA:

ARTÍCULO 16. El artículo 237 de la Ley 906 de 2004 quedará así:

14
Unidad 1 – Clase 1 Introducción a la Informática Forense

Artículo 237. Audiencia de control de legalidad posterior. Dentro de las veinticuatro (24)
horas siguientes al cumplimiento de las órdenes de registro y allanamiento, retención de
correspondencia, interceptación de comunicaciones o recuperación de información dejada
al navegar por Internet u otros medios similares, el fiscal comparecerá ante el juez de
control de garantías, para que realice la audiencia de revisión de legalidad sobre lo
actuado, incluida la orden.

Durante el trámite de la audiencia sólo podrán asistir, además del fiscal, los funcionarios
de la policía judicial y los testigos o peritos que prestaron declaraciones juradas con el fin
de obtener la orden respectiva, o que intervinieron en la diligencia.

El juez podrá, si lo estima conveniente, interrogar directamente a los comparecientes y,

después de escuchar los argumentos del fiscal, decidirá de plano sobre la validez del
procedimiento.

PARÁGRAFO. Si el cumplimiento de la orden ocurrió luego de formulada la imputación, se

deberá citar a la audiencia de control de legalidad al imputado y a su defensor para que, si
lo desean, puedan realizar el contradictorio. En este último evento, se aplicarán
analógicamente, de acuerdo con la naturaleza del acto, las reglas previstas para la
audiencia preliminar.

15
Unidad 1 – Clase 1 Introducción a la Informática Forense

4. BIBLIOGRAFIA
• CANO MARTINES JEIMY JOSÉ, MOSQUERA GONZÁLEZ JOSÉ ALEJANDRO, CERTAIN
JARAMILLO ANDRÉS FELIPE. Evidencia Digital: contexto, situación e implicaciones
nacionales. Abril de 2005.
http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/texto/NasTecnolo
gias6.pdf
• CASEY, Eoghan. “Digital Evidence and Computer Crime: Forensic Science, Computers,
and the Internet”. 2004
http://derecho.uniandes.edu.co/derecho1/export/derecho/descargas/texto/NasTecnolo
gias6.pdf
• CARIACEDO GALLARDO, Justo. Seguridad en Redes Telemáticas. McGraw Hill, 2004.
• CERT/CC Statistics 1988-2006 Disponible en: http://www.cert.org/stats/cert_stats.html
• FUSTER, A., HERNÁNDEZ, L., MONTOYA, F., & MUÑOZ, J. Criptografía, protección de
datos y aplicaciones. Editorial: Editorial Ra-Ma (2012). ISBN 10: 8499641369 ISBN 13:
9788499641362
• GOMEZ, A. ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA, 2ª Ed. Actualizada.
Editorial: Editorial Ra-Ma (2011). ISBN 9788499640365.
• HB171:2003 Handbook Guidelines for the management of IT evidence Disponible en:
http://unpan1.un.org/intradoc/groups/public/documents/APCITY/UNPAN016411.pdf
• JANET RENO, U.S. Attorney General, Oct 28, 1996
• MENEZES, A.). (1965- ). (1997). Handbook of Applied Cryptography / ALFRED J.
MENEZES, PAUL C. VAN OORSCHOT, SCOTT A. VANSTONE. Boca Raton [etc.]: CRC
Press.

16