Informática forense.

Informática Forense.
Junio 2020,
Post grado de Auditoria de Tecnología de Información y Comunicación (T.I.C.)
UNEXCA, Caracas

Francisco Medina
Glaivy Angulo
Nataly Briceño
Junio 2020.
 Indice

Introducción.....................................................................................................................................3
Informática Forense.........................................................................................................................5
Definición:...................................................................................................................................5
Objetivos de la informática forense.............................................................................................6
Principios y normas de la informática forense...........................................................................7
Pasos de la informática forense..................................................................................................9
Identificación:..........................................................................................................................9
Preservación:............................................................................................................................9
Análisis:...................................................................................................................................9
Presentación:............................................................................................................................9
Características de la evidencia en la informática forense:...........................................................9
Riesgos de la informática forense..............................................................................................11
Conclusiones..................................................................................................................................12
Bibliografía....................................................................................................................................13

2
 Introducción

En la actualidad, la informática es tan común, que no concebimos la vida sin ella, está

presente en los aspectos más anodinos de nuestro diario existir: televisores inteligentes, tabletas,

teléfonos digitales o “Inteligentes”, computadoras, equipos programables de control, y demás

dispositivos que contengan una unidad de procesamiento, una “Bios” o unidad de programa y un

dispositivo de memoria.

Es loable el esfuerzo en cuanto a los avances tecnológicos tanto en nivel de Software como de

Hardware y los niveles de seguridad implícitos tanto en dispositivos y programas. Se siguen los

estándares más refinados y niveles de confidencialidad en las empresas que fabrican dispositivos

y programas, e inclusive impera el secretismo absoluto, para darle al usuario la sensación de

tranquilidad que él requiere. Pero no es un secreto que los piratas informáticos (Hackers,

Crakers, y demás denominaciones) van también a la par de los avances tecnológicos e

informáticos, por lo cual las estafas, violaciones de seguridad, y delitos informáticos día a día se

ven en aumento en distintas modalidades. Ya no se trata de los delitos comunes como daño de la

información del usuario; se trata del “Pishing” o suplantamiento de identidad digital, “Craking” o

levantamiento, descifrado y venta de las contraseñas y protecciones del software, o aun peor, el

“rasomware” o secuestro de la información para solicitar dinero.

Aunado a esto, los delitos complejos son elaborados y ejecutados por organizaciones

criminales comparables a cualquier moderna organización, cuentan con divisiones, con libros de

contabilidad, y por supuesto con tecnología informática de avanzada. Las organizaciones

terroristas inclusive hacen uso de las más modernas tecnologías de información y comunicación.

3
 Hace algunos años, delitos tipo “misión imposible” se nos antojaban como meras fantasías de

cine, hoy por hoy los delitos del crimen y el terrorismo organizado son de altísima sofisticación,

no solamente por la tecnología que usan, sino usan Psicología aplicada para predecir

comportamientos, y programarlos incluso, con el fin de lograr sus objetivos.

4
 Informática Forense

Definición:

Según el Platzi:

La informática forense o el cómputo forense es el uso de métodos y técnicas

científicas probadas, con el fin de identificar, preservar, validar, analizar, interpretar,

documentar y presentar evidencia digital obtenida a partir de fuentes de información

digital, con el propósito de facilitar la reconstrucción de hechos en una investigación

legal, o ayudar a anticipar o prevenir acciones en contra de la ley.[CITATION pla19 \l

8202 ]

La definición del término va adecuada según el contexto donde se evalúe el término:

a- Desde el contexto de la ciencia forense: disciplina que considera procedimientos en

relación con las evidencias de interés criminalístico de tipo informático que esclarezcan

la relación de hechos o hipótesis con certeza.

b- Desde la Tecnología: Disciplina científica que utiliza la comprensión de la tecnología y

de los equipos electrónicos para ofrecer un análisis de la información que contienen.

c- Desde las leyes penales: Es la aplicación de los procedimientos y conceptos de

Criminalística, a los medios informáticos, con el fin de que apoye a la Justicia, en el

terreno de inseguridad informática con relación a la perpetración de hechos punibles,

aclarando temas de incidentes, fraudes y terrorismo.

5
 d- Desde el contexto cotidiano: Es la disciplina científica de la cual se valen los organismos

de seguridad del estado para prevenir e investigar hechos criminales y llevar a las

personas implicadas ante la ley.

Aunque un delito no sea informático, sí que hay pruebas digitales, y puesto que todas

las actividades que se realizan con un dispositivo (de forma manual o automática) dejan

una prueba, es posible que la misma sea analizada junto con el resto de pruebas de un

caso. Envíos de correos electrónicos, direcciones IP, localizaciones geográficas, accesos a

sistemas, historiales de navegación, chats, borrado de datos y un sinfín de información es

analizada para investigar delitos contra la propiedad intelectual, espionaje industrial,

vulneración de la intimidad o robo de datos, entre otros.[ CITATION pla19 \l 8202 ]

Objetivos de la informática forense

Los objetivos que persigue esta disciplina son:

 Que los criminales compensen los daños causados.

 Que los criminales sean procesados por la justicia por sus delitos.

 La generación de medidas cautelares para evitar hechos dolosos.

La informática forense recopila evidencia por medio de herramientas especializadas de los

medios de almacenamiento (discos duros, memorias USB, almacenamiento en la nube, memorias

de teléfonos, almacenamientos electrónicos (memorias de circuitos), etc) y de cualquier medio

electrónico o de software que preserve datos, los cuales una vez analizados se convierten en

pruebas forenses (es decir pruebas del hecho recopiladas a posterior de su ejecución). Los peritos

que se encargan de este tipo de análisis, no solamente son versados en informática, tienen un alto

6
nivel de ética y conocimientos específicos de auditoria de sistemas de tecnologías de

información y comunicación.

Principios y normas de la informática forense

 Utilizar los estándares legales (normas internacionales como Cobit y otras de carácter

jurídico)

 El investigador debe estar formado en técnicas forenses.

 La investigación debe adherirse al término “Forensically sound” ( Evidencia Forense

solida)

 Debe existir un Control de Evidencias Digitales.

– Cadena de Custodia, bajo este término se refiere donde reposa la evidencia

inalterada y debidamente certificada, la misma debe ser preservada tal y como fue

adquirida.

 Obtener Permisos:

– investigación/ recolección de evidencias, no puede iniciarse la investigación y la

recolección de evidencia, sin los debidos permisos judiciales que le dan el

carácter de fuerza necesario para que los hallazgos sean considerados

“Forensically sound”.

– Debe monitorizarse uso de ordenadores, ya que puede desviarse información y la

controversia por ello es la perdida de la cualidad de “Forensically sound”

 Preservar la evidencia original, la evidencia recolectada, por ejemplo, disco duros, o

memorias, debe efectuarse una copia “byte a Byte” y el original preservarse en un lugar

con las condiciones adecuadas, protegido contra manipulación, la copia realizada es la

7
 que es analizada, investigada para efectuar la conclusiones que se presentaran con la

evidencia, para la formulación tanto de hipótesis como de conclusiones forenses.

 Todo hecho, evidencia, procedimiento, debe documentarse, porque de ello depende la

existencia de la evidencia, la pureza de la misma y que de estos hechos y procedimientos

documentados derivara la prueba que puede inculpar o exculpar a cualquier persona u

organización.

 Se exige que los investigadores de la informática forense, cumplan con un mínimo de:

– Conocimientos personales ( informática, investigación, análisis, y grado de

estudios dependiendo de la unidad forense a la cual este adscrito)

– Conocimientos preferiblemente amplios sobre Leyes, Normas, Procedimientos

policiales y/o jurídicos.

En la informática forense hay dos principios que enmarcan la investigación:

1) El Principio de Intercambio de Locard: En su libro «Manual de Técnica Policíaca»,

Locard expuso que: «Il est impossible au malfaiteur d’agir avec l’intensit que

suppose l’action criminelle sans laisser des traces de son passage», que traducido

significa «es imposible que un criminal actúe, especialmente en la tensión de la

acción criminal, sin dejar rastros de su presencia». Citado por Centro de Formación

Estudio Criminal, CFEC.

2) El estándar de Daubert: es el principio por el cual se mide la confiabilidad del

experto ( perito) y de la prueba forense, estos principios son:

 la capacidad para poner a prueba la metodología del experto

 revisiones por pares y publicaciones de la metodología

8
  la tasa de error conocidos y potenciales de la metodología

 la aceptación de la metodología en la comunidad científica relevante.

Pasos de la informática forense

Identificación:

La identificación del caso, antecedentes situación actual, procesos, verificación de los bienes

informáticos, la cadena de custodia, entorno legal y permisología requerida.

Preservación:

Revisión de la integridad de la información y generación de imágenes o copias forenses para

análisis e investigación, preservación de la integridad de la evidencia (Estándares de Daubert) y

entrada a custodia de las evidencias, a las cuales debe asegurarse su inalterabilidad.

Análisis:

Aplicación de técnicas y procedimientos científicos a las copias forenses, para recabar la

información necesaria que conduzca a la elaboración de hipótesis o confirmación de las

preexistentes en la investigación, bien sea recuperación de logs, archivos, acciones de usuario,

sitios visitados, correos, cache de equipos o navegadores, etc.

Presentación:

Elaboración del reporte o informe requerido para las autoridades que lleven el caso, el cual

debe ser imparcial y sin tecnicismos inadecuados debido a que se maneja el prestigio técnico

de las plataformas, sistemas, del perito que realiza el análisis.

Características de la evidencia en la informática forense:

Volatilidad: La información puede corromperse o destruirse con mucha facilidad.

9
Anonimato: la información generalmente se observa anónima, para ello el investigador busca

las trazas de auditoria, las cuales vincularan la información a una fuente, persona o empresa.

Facilidad de duplicación: la información digital es de muy fácil duplicación, por lo cual

siempre puede plantearse el dilema que sea información duplicada y no sea original.

Alterabilidad: un correo, un registro digital, una base de datos puede será alterada de distintas

formas, a veces es extraordinariamente difícil verificar si la información no fue alterada, es por

eso que la cadena de custodia es muy sensible en este aspecto, para que la evidencia sea

admitida como prueba.

Facilidad de eliminación: la información digital es muy fácil de eliminar, inclusive hay

programas de borrado extraordinariamente eficaces que destruyen la evidencia de tal forma que

es inusable. Y hay medios electrónicos que pueden programarse para un borrado a bajo nivel, lo

cual daña muy efectivamente los datos.

Las evidencias informáticas se clasifican en tres grandes fuentes:

 Registros almacenados en los equipos informáticos a nivel local y en la nube (como

imágenes, correos, documentos de office y otros programas informáticos)

 Registros generados por programas y almacenados en dispositivos locales y en la nube

(como transacciones operativas, contables, registros de eventos)

 Registros parcialmente generados y almacenados en los equipos locales (consultas en

bases de datos, trazas de intrusión en controles, log de accesos, etc.)

10
Riesgos de la informática forense.

Ateniendo a la evolución cada vez más rápida de la tecnología, con nuevos programas,

nuevos equipos de cómputos más poderosos, la entrada cada vez más acelerada de la inteligencia

artificial, de equipos y programas sofisticados, el reto y los riesgos para la seguridad son

mayores. Los ciberdelincuentes, y las organizaciones criminales se aprovechan de estos avances

para sus operaciones y negocios, poniendo en jaque a las autoridades, empresas y personas con

operaciones legítimas. Las operaciones de legitimación de capitales cada vez son más

diversificadas y complejas. Bajo este escenario, la informática forense se vuelve más un reto, y

los riesgos de esta disciplina son más exigentes. Entre estos riesgos tenemos la formación de

informáticos forenses, la confiabilidad de las herramientas, la facilidad de la destrucción de las

evidencias, las amenazas estratégicas y tácticas que plantea el ciberterrorismo; y las tecnologías

emergentes como la nube, las tecnologías móviles, y las redes sociales.

11
 Conclusiones

La informática forense es una disciplina donde se utilizan los principios de la auditoria de

sistemas, además de variadas técnicas y procedimientos criminalístico, para detectar y hallar

evidencias de interés jurídico penal, en aquellos temas donde se producen hechos punibles.

Este tipo de informática considera la investigación desde tres ángulos, el del investigador,

quien busca detectar intrusiones o debilidades en los sistemas de información que fueron

explotadas por su momento por terceras personas, el del intruso, una persona que valiéndose de

sus conocimientos, realiza una intrusión dentro de un sistema de información para obtener

ventajas y provecho, o bien para él o para terceras personas, y el Administrador del sistema,

quien es el llamado a mantener la seguridad de los sistemas de información que están bajo su

resguardo.

Es obvio que la informática forense no es una investigación preventiva, puesto que el hecho

criminal ya fue cometido, sin embargo, produce conocimiento que puede y debe ser aprovechado

en el ámbito de la seguridad de los sistemas, a través de las debilidades que fueron detectadas y

que son comunicadas a las empresas de hardware y software. Se resalta particularmente el hecho

que la informática forense tiene además de una rigurosidad científica, una rigurosidad

procedimental, ya que las evidencias son consideradas en juicio, así como la experticia de quien

informa sobre los análisis de lo hallado, por lo que cualquier debilidad en la custodia, análisis y

presentación de la evidencia, puede ser cuestionada y posiblemente ser rechazada por los

tribunales, dando pie a demandas civiles por negligencia, interferencia, y difamación contra los

investigadores.

12
 Bibliografía

Centro de Formación Estudio Criminal, CFEC. (s.f.). El Principio de Intercambio de Locard. Obtenido de
https://www.estudiocriminal.eu/blog/el-principio-de-intercambio-de-locard/

Consultize. (s.f.). Los Objetivos de la gestión de riesgos. Recuperado el 23 de marzo de 2020, de

http://consultize.es/es/articulos-consultoria/los-objetivos-de-la-gestion-de-riesgos

McKemmish, R. (s.f.). ¿Cuándo es la evidencia digital sólida desde el punto de vista forense? Obtenido de
Parte de la serie de libros IFIP - La Federación Internacional para el Procesamiento de la
Información (IFIPAICT, volumen 285): https://link.springer.com/chapter/10.1007/978-0-387-
84927-0_1

Moncayo, C. (20 de julio de 2016). Objetivos relevantes para el control interno y la auditoría.
Recuperado el 23 de marzo de 2020, de Instituto de Contadores Publicos de Colombia:
https://www.incp.org.co/objetivos-relevantes-para-el-control-interno-y-la-auditoria/

Noticias Jurídicas y seguridad informática . (30 de Agosto de 2014). Informática Forense: Definición y
Objetivo. Obtenido de
https://noticiasjuridicasseguridadinformatica.com/2014/08/30/informatica-forense-definicion-
y-objetivo/

platzi. (2019). ¿Qué es un informático forense? Obtenido de https://platzi.com/blog/que-es-un-

informatico-forense/

Wikipedia. (s.f.). Computo Forese. Obtenido de https://es.wikipedia.org/wiki/C%C3%B3mputo_forense

13