Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMATICA FORENSE
LIC. BSC. ROLANDO ROCHA ROSALES
Instalaciones
El área de análisis: Tendrá tres puestos de trabajo cada uno con un armario
respectivo. Todas las áreas serán de libre acceso, solo se contará con una puerta de
entrada principal a las instalaciones del laboratorio.
Para llevar a cabo todas las tareas que están incluidas en el análisis de la evidencia,
esta área contará con las herramientas de análisis forenses que se dispongan tanto
hardware como software. Existirán dos zonas, una de la cuales tendrá acceso a
internet en la cual se podrán realizar investigaciones, que se necesiten dentro del
proceso de análisis, y la otra zona no tendrá
acceso a internet para evitar cualquier intervención externa en el análisis de la
evidencia.
Equipos informáticos
T
T T
Software utilizado
Existen varios tipos de herramientas entre las cuales hemos escogido dos, que son Deft-
Exra (software libre) y Encase (software privado) las cuales cumplen con características
importantes como: Clonación de discos, comprobar integridad criptográfica, dar
información del sistema, adquisición en vivo, recuperación de contraseñas, análisis
forense en redes, análisis forense en navegadores, búsqueda de archivos, utilitarios
extras, entre otros. Se puede hacer uso de software complementario si fuese necesario
para las tareas que no puedan desempeñar estas dos herramientas.
Conclusiones
Hardware:
Discos Duro Externos: Disco Duro de buena capacidad para realizar la clonación entera del
disco duro que es la evidencia.
Guantes Electro estáticos: Evitar anular la evidencia por las cargas eléctricas
Bolsas electroestáticas: Para llevar los dispositivos que puedan almacenar alguna información,
discos Duros, Flash memoria, Celular, memorias SD, cámaras fotografías, Tablet, DVR etc.
Cargador de Celular universal: Cargador para evitar que el Celular sea una evidencia se apague
Lector de Discos Duro: Lector de Discos Duros para hacer la clonación o la lectura de disco
local
Lector externo de DVD: Lector para poder realizar boot para usar herramientas de quitar
contraseñas del Sistema Operativo.
Multi Boot : Disco Externos o Flash memory donde incluya multiples herramientas de
recuperación de Datos.
SOFTWARE:
CAINE
Es un sistema operativo completo que está orientado específicamente a la informática forense,
está basado en Linux e incorpora la gran mayoría de herramientas que necesitaremos para
realizar un análisis forense completo. Dispone de una interfaz gráfica de usuario,
Kali Linux
Es uno de los sistemas operativos relacionados con seguridad informáticas más utilizados, tanto
para pentesting como también para informática forense, ya que en su interior tenemos una gran
cantidad de herramientas preinstaladas y configuradas para ponernos a realizar un análisis
forense lo antes posible.
Magnet RAM Capture es una herramienta que está diseñada para obtener la memoria física del
ordenador donde la utilicemos. Al usarla, podremos recuperar y analizar datos muy valiosos que
se almacenan en la memoria RAM y no en un disco duro o SSD. Es posible que, en determinados
casos, tengamos que buscar la evidencia directamente en la memoria RAM, y debemos recordar
que la RAM es volátil y que se borra cada vez que apagamos el equipo.
MAGNET Process Capture es una herramienta gratuita que nos permitirá capturar la memoria de
procesos individuales de un sistema, es decir, si necesitamos saber los datos que está utilizando
un determinado proceso de nuestro sistema operativo, podremos hacerlo con esto.
MAGNET Web Page Saver es una alternativa a la anterior, y se encuentra actualizada por lo que
dispondremos de todas las mejoras. Esta herramienta es perfecta para capturar cómo está la web
en un determinado momento, es especialmente útil cuando queremos mostrar una web, pero no
tenemos conexión a Internet.
FAW o Forensics Acquisition of Websites, es una herramienta que nos permite descargar páginas
web completas para su posterior análisis forense.
Bulk_extractor
Bulk_extractor es una herramienta informática forense que nos va a permitir escanear la imagen
de un disco, un archivo o un directorio de archivos.
LastActivityView
LastActivityView es una herramienta de software portable para ver la última actividad registrada
en su PC.
FireEye RedLine
Wireshark es actualmente uno de los mejores analizadores de protocolos de redes que existen, es
el más conocido y utilizado, multiplataforma (Windows, Linux, FreeBSD y más).
Network Miner es muy similar a Wireshark, es un analizador forense de red para Windows, Linux
y MAC OS X. Esta herramienta se utiliza para detectar SO, nombre de host, sesiones, y qué
direcciones Ip y puertos se han usado en la captura de datos.
C) UN DICTAMEN PERICIAL COMPLETO, SOBRE UN TELÉFONO MÓVIL, AL CUAL SE LE PIDE
COMO PUNTO DE PERICIA:
“PROCÉDASE A LA EXTRACCIÓN DE TODAS LAS IMÁGENES Y VIDEOS DEL TELÉFONO
MÓVIL REMITIDO”
Los celulares móviles tipo smartphone o tablet, tanto de uso personal como profesional, son los
instrumentos de comunicaciones diarias. Tanto o más relevante que las comunicaciones por
correo electrónico lo son las que se producen por el uso de aplicaciones móviles, ya sean de
mensajería instantánea (WhatsApp, Telegram y similar) como de redes sociales (Twitter,
Instagram o Facebook). En ellas se ejecuta y almacena información únicamente en el dispositivo
móvil utilizado. Los móviles suelen ser las piezas clave de la investigación.
Al igual que para los ordenadores, existen multitud de herramientas especializadas en el análisis
forense de los dispositivos móviles que facilitan el acceso y copiado de su contenido, preservando
su originalidad y adaptadas a cada modelo de sistema operativo.
Básicamente hay que considerar estos 3 puntos: adquisición física, adquisición del sistema de
ficheros y adquisición lógica.
Adquisición física: es el método más utilizado habitualmente. Consiste en realizar una réplica
idéntica del original por lo que se preservan la totalidad de las evidencias. Este procedimiento
presenta la ventaja de que es posible buscar elementos eliminados.
• Adquisición lógica: consiste en realizar una copia de los objetos almacenados en el dispositivo.
• Adquisición del sistema de ficheros: permite obtener todos los ficheros visibles mediante el
sistema de ficheros, lo que no incluye ficheros eliminados o particiones ocultas. Dependiendo del
tipo de investigación puede resultar suficiente utilizar este método lo que supone una
complejidad menor que la adquisición física. Para llevarlo a cabo se aprovecha de los mecanismos
integrados en el sistema operativo para realizar el copiado de los ficheros.