Sesión 1

Introducción a la Informática Forense

Logro de Aprendizaje
LOGRO
Al término de la sesión el alumno aprenderá
los conceptos básicos de la Informática
Forense, su importancia en la ciberseguridad
de una organización

TERMARIO
• Contexto Informática Forense.
• Introducción a la Informática Forense
• Conceptos esenciales
• Regulación nacional
• Evidencias
• Cibercriminales
• Metodología para el proceso forense
• Importancia
 ¿Cuál es el contexto actual?
¿Cuál es invento más importante de la
humanidad?

https://revistaconcienciaglobal.com
 Uso de tecnologías en el Perú

ACCESO A INTERNET COMPUTADORAS CELULARES

“El 62,9% de los El 36% de los hogares En el 93,3% de los
hogares en Lima en el Perú disponen por hogares del país existe
disponen de internet, lo menos de una, en al menos un miembro
el 40,5% del Resto Lima alcanza casi un con teléfono celular.
urbano y sólo el 5,9% 50%
de los hogares del
Área rural.” “Por cada 100 hogares, en 95 existe al menos una
Tecnología de Información y Comunicación”

https://www.inei.gob.pe/media/MenuRecursivo/boletines/boletin_tics.pdf
https://oedi.es/ciberdelitos/
¿Qué es un Delito?
“Un delito es una infracción o una conducta que va en contra
al ordenamiento jurídico de la sociedad y será castigada con la
correspondiente pena o sanción.”
www.conceptosjuridicos.com

¿Qué es un Delito Informático?

“…conductas ilícitas que afectan los sistemas y datos informáticos
y otros bienes jurídicos de relevancia penal, cometidas mediante
la utilización de tecnologías de la información o de la
comunicación...” Ley Nº 30096/2013. Ley sobre delitos informáticos
 Facilidades que ofrece el Ciberespacio para un Delito

Anónimo y flexible Espacio - tiempo Inseguro Accesible

Existe un sinnúmero de
El ciberespacio permite La comunicación es vulnerabilidades en las El acceso a internet es
establecer mecanismos tan rápida que parece infraestructuras que la libre y prácticamente
para ocultarse y facilita la relación espacio- conforman y lo obliga irrestricto. Por lo tanto.
la creación de diversas tiempo puede a estar en constante Es abierto de todos,
identidades. despreciarse. cambio y hacia todos.
actualización.

LEY 29733
Protección de datos
personales - 2011
Tiene el objeto de garantizar
el derecho fundamental a la
protección de los datos
personales,
LEY 30999
Ciberdefensa - 2020
Tiene por objeto establecer el
marco legal para el empleo
de las Capacidades de
Ciberdefensa por parte de
las FFAA.
Normativa Nacional
LEY 30096
Delitos informáticos - 2013
Tiene por objeto prevenir y sancionar
los delitos informáticos
DECRETO DE
URGENCIA 007
Confianza Digital 2020
Tiene por objeto establecer las medidas
que resultan necesarias para garantizar
la confianza de las personas en su
interacción con los servicios digitales
DECRETO
LEGISLATIVO 1412
Ley de Gobierno Digital 2018
Tiene por objeto establecer el marco
de gobernanza del gobierno digital
DECRETO
SUPREMO 050
Seguridad Digital 2018
Tiene por objeto establecer la
definición de Seguridad Digital de
ámbito nacional
 Tipos de Delitos Informáticos
LEY Nº 30096/2013. LEY SOBRE DELITOS INFORMÁTICOS

II III IV V VI
CONTRA LA INTIMIDAD Y CONTRA CONTRA
CONTRA DATOS Y CONTRA LA IDENTIDAD Y EL SECRETO DE EL LA FE
SISTEMAS INFORMÁTICOS LIBERTAD SEXUALES LAS COMUNICACIONES PATRIMONIO PÚBLICA

Acceso Ilícito

Atentado contra la
Proposiciones a niños, Tráfico ilegal de datos
integridad de los datos
niñas y adolescentes Suplantación de
informáticos Interceptación de datos Fraude informático
con fines sexuales por identidad
Atentado contra la medios tecnológicos informáticos
integridad de sistemas
informáticos
¿Cómo puede relacionarse
a la tecnología con los El equipo informático, sistema de
Delitos Informáticos? información y /o la red pueden ser el
medio o herramienta para cometer el
delito

El equipo informático, sistema de

información y /o la red pueden ser el
objetivo del delito.

El equipo informático, sistema de

información y /o la red pueden estar
involucrados como parte de la
perpetración del delito, estableciéndose
un vínculo no necesariamente directo.
https://bit.ly/3gVPBEd
h;ps://bit.ly/3gVPBEd
 Otra forma de clasificar los Delitos Informáticos

1. Delitos no violentos
• Desfalco de fondos ¿Qué herramientas de los delincuente?
• Piratería
• Hacktivismo
• Espionaje
Ingeniería técnica
2. Delito violentos
• Ciberterrorismo
• Asalto con amenazas Ingeniería social
• Asecho informático
• Pornografía infantil
• Sabotaje
¿Cómo ha evolucionado la Informática
Forense en el tiempo?

Historia de la Informática Forense, https://bit.ly/3AL4gsZ

Respuesta ante incidentes Análisis Forense Infromático
Incidente en
Proceso Concluso

Interactuar o
coordinar Analizar rastros

Único pero
Cambiante posible de
emular

Mitigar el Documentar y
incidente resolver
Análisis Forense
¿Qué es la Informática Forense?
“… el proceso de investigación de los Sistemas de Información para
detectar toda evidencia que pueda ser presentada como medio de
prueba fehaciente para la resolución de un litigio dentro de un proceso
judicial” Instituto Nacional de Tecnologías de la Comunicación del Reino
España (INTECO)

La informática forense
“…es la ciencia de adquirir, preservar, obtener y presentar datos
que han sido procesados electrónicamente y guardados en
soportes informáticos”
https://www.europapress.es/portaltic

Computer forensic
“…refer to a set of methodological procedures and techiques that help identify,
gather preserve, extract, interpret, document, and present evidence from
computing equipment, whereby any evidence discovered is acceptable during
a legal and/or administrative proceeding”
CHFI, EC-Council
Imagen de P.S. Avadhani, ANDHRA University, https://bit.ly/3yEbyhv
 ¿Cuál es el objetivo primigenio es la Informática
Forense?

Evidencia

Perpetrador – Atacante -
Cibercriminal
1. ¿Qué se ha alterado?
Investigador o Equipo
2. ¿Cómo se ha alterado? Forense

3. ¿Quién ha realizado dicha

alteración?
Ley de la transferencia
Escena
“Nadie puede cometer un del
crimen con la intensidad que Crimen
esa acción requiere sin dejar
los numerosos signos de su
presencia; el delincuente, por
una parte, dejará indicios de
su actividad en la escena del Evidencia
crimen, y por otra,
inversamente, se llevará en su
cuerpo o en su ropa los indicios
de dónde ha estado o de lo
que ha hecho.”
Sospechoso Víctima

Edmund Locard, 1923

https://bit.ly/3rcMUla
https://bit.ly/3z7S70x
 Evidencia

Perpetrador – Atacante -
Cibercriminal

Investigador o Equipo
Forense
 ¿Qué es una Evidencia?
“Prueba determinante en un proceso”
RAE

Todo elemento que pueda almancenar información

¿Cómo podemos clasificarla?

01010
10101
01010

Evidencia Evidencia
Física o Electrónica Lógica oDigital
“…elemento material de un sistema “…la información contenida en la
informático o hardware…” evidencia electrónica…”

Manual de Manejo de Evidencias Digitales y Entornos Informáticos, OEA

 Evidencia digital
“La evidencia digital se define como
información y datos de valor para una
investigación que se almacena, recibe o
transmite por un dispositivo electrónico.”

Evidencia No Volátil Evidencia Volátil

01010
Es aquella información 10101 Es aquella información
permanente, alojada en la 01010 temporal, alojada en un
memoria secundaria en un
dispositivo y que existe mientras
dispositivo y cuya existencia no
este se encuentre energizado
esta supeditada al suministro
de energía del dispositivo • Sesiones de usuario
• Archivos ocultos • Procesos en memoria
• Registros de • Historial de comandos
configuración • Archivos abiertos
• Logs de eventos • Información de red
• Index.dat files
Evidencia

• Todas las interacciones

con el sistema o red
digital dejarán algún
tipo de rastro o dato
como evidencia del
evento
• Puede ser de dos tipos:
• Pasivo
• Activo

Samir Datt, 2016- Fundación Telefónica, 2016,

Learning Network Forensics Ciberseguridad, la protección de la información en un mundo digital
Posibles Fuentes de Evidencia
• Estaciones de Trabajo
• Hardware de Red
• Servidores
• Teléfonos celulares
• Relojes inteligentes
• Dispositivos IOT
• Localizador
• Equipos “GPS”
• Cámaras, videos
• Sistemas de seguridad
• Memoria “flash”
• Sistemas en vehículos
• Impresoras
• Copiadoras
• Grabadoras
• Videograbadoras, DVD
• Duplicadora de discos
• Discos, disquetes, cintas magnéticas
• Aparatos ilícitos
Manual de Manejo de Evidencias Digitales y Entornos Informáticos, OEA
Posibles Fuentes de Evidencia
Device Types of Potential Evidence
•Pictures
Digital/Video Camera •Videos
•Files stored locally or on media card
•Text Messages
•Call Logs
Cell Phone •Applications used
•Social Media accounts
•Everything from All Categories
•Everything from All Categories
•Social Media accounts
Computer/Laptop •Internet Search History
•Documents
•Email (Non-web-based)
The Law Enforcement Cyber Center (LECC),
COMMON ELECTRONIC DEVICES THAT GENERATE DIGITAL EVIDENCE
https://bit.ly/3yhd1Kg
Posibles Fuentes de Evidencia
Device
Mobile device
Game consoles
File Storage (Hard drive,
thumb drive, optical media)
Internet of Things (IoT)
Wearables
Types of Potential Evidence
•Everything from All Categories
•Applications used
•Social Media accounts
• Pictures
•Videos
•Documents
•Everything from All Categories
•Interactive Guide
•Location
•Apps used
The Law Enforcement Cyber Center (LECC),
COMMON ELECTRONIC DEVICES THAT GENERATE DIGITAL EVIDENCE
https://bit.ly/3yhd1Kg
Posibles Fuentes de Evidencia

Device Types of Potential Evidence

•License Plate Images· Pictures of Cars
Automated License Plate
•Geolocation
Readers (LPR)
•Metadata
In-Car/Body-Worn Cameras •Videos
Unmanned Aerial Systems
•Videos
(Drones)
Interview Room Recording •Videos
Systems •Audio Recordings
Closed Circuit Television (CCTV) •Videos
TASERs •Data Files

The Law Enforcement Cyber Center (LECC),

COMMON ELECTRONIC DEVICES THAT GENERATE DIGITAL EVIDENCE
https://bit.ly/3yhd1Kg
Principios de la Evidencia Relevancia,

De acuerdo con la ISO/IEC 27037:2012 la

evidencia digital es gobernada por tres principios
fundamentales:
• Relevancia,
• Confiabilidad y
• Suficiencia

Suficiencia Confiabilidad

ISO/IEC 27037:2012
Principios de la Evidencia
Admisibilidad
El Consejo Internacional de Consultores de
Comercio Electrónico (EC-Council), señala 5
características:
• Admisibilidad
Credibilidad Autenticidad
• Autenticidad
• Contundencia
• Confiabilidad
• Credibilidad

Confiabilidad Contundencia
Perpetrador - Atacante - Cibercriminal

”… como aquel individuo que,

a través de medios
informáticos, comete un delito
tipificado como crimen…”

Los Ciberdelincuentes ¿quienes Son?, Oficina de

Seguridad del Internauta, https://bit.ly/3skqdf
Perfil de un cibercriminal
¿Qué es?

Los perfiles son descripciones de las características de

un criminal, se compone de tres aspectos:
a. Físicos
b. Intelectuales
c. Emocionales

¿Porqué es útil?
Proporciona información valiosa del cibercriminal y
puede ayudar a establecer patrones que ayuden al
desarrollo de la investigación. Sin embargo debemos
considerar que:
ü Un perfil es una herramienta referencial
ü Un perfil no es un evidencia o prueba.
ü Ayudan a centrar la investigación sobre algún
sospechoso
Perfil de un cibercriminal

¿Cómo se obtiene?
Mediante un proceso deductivo y/o inductivo
realizado sobre la información recogida de:
1. Escena del crimen
2. Testimonios de téstigos y víctimas
3. Patrones y correlaciones con otros incidentes
4. Comportamiento o “Modus Operandi”
5. Es una buena práctica

Método SKRAN de Donn Parker

SKILLS: Habilidades
KNOWLEDGE: Conocimiento
RESOURCES: Recursos
AUTHORITY: Autoridad
MOTIVE: Motivo
Método SKRAN

SKILLS
•Referido habilidad del sospechoso con los ordenadores y tecnología

KNOWLEDGE
•Referido al nivel de conocimiento obtenido respecto al objetivo. Ello
constituye un factor de ventaja para planificar y accionar durante el
mismo

RESOURCES
•Referido a la disposición de recursos empleados por para realizar sus
acciones.
AUTHORITY
•Referido al nivel acceso y control obtenido por el sospechoso sobre el
sistema, esto se relaciona a la información requerida para su accionar
MOTIVE:
•Se basa en establecer cuál ha sido el motivo que tendría el sospechoso
para realizar sus acciones.
Ejemplo del Método SKRAN
Delitos Reportado
Se ha reportado la eliminación de todos los archivo de ofimática de un equipo de la
empresa “X”. El contenido de estos documentos es vital para el funcionamiento de la
empresa.

La configuración de seguridad de la red es asignada desde el directorio activo, mediante

políticas de grupo y entre estas se contempla la exigencia de privilegios de administrador
para la eliminación de información.

Se presume que realizaron el ilícito desde otro equipo de la red, desconociéndose la hora. Sin
embargo, usuario responsable de la estación de trabajo señala haber accedido a la
documentación por ultima vez 11 de la mañana y quiso volver a utilizarla a las 13 horas,
percatándose que ya no existían.

Es sabido que la empresa viene realizando reducciones salariales en algunos de los

departamentos de la empresa y que estas se irían aplicando progresivamente a los demás
departamentos, generado malestar en su personal.
SKRAN
SKILLS - Habilidades
Manejo de computadoras, manejo de sistemas operativos, manejo de redes de datos,

KNOWLEDGE - Conocimiento
Conocimiento de la arquitectura de la red de la empresa, cocimiento de nombre de usuarios y
contraseña, conocimiento de las políticas de grupo de la red, conocimientos de los nombres y
tipos de archivos que iba a atacar, etc.
RESOURCES - Recursos
Equipos informáticos con conexión de red, software para acceso a redes de datos.

AUTHORITY - Autoridad
La autoridad que tuvo el atacante sobre el equipo afectado fue como administrador, sólo así le
permitiría realiza cambios en la información y acceder a recursos del equipo de manera ilimitada.

MOTIVE - Motivo
Claramente se aprecia que el motivo del ataque fue generar daños graves a la empresa,
posiblemente por represarías, o descontentó con algunas políticas de la empresa.
Equipo Forense
 Funciones del Equipo Forense

TESTIFICAR O SUSTENTAR EVALUAR LA EVIDENCIA

06
01

DOCUMENTAR EL PROCESO Y
REDCATAR EL INFORME
05 ADQUIRIR LA EVIDENCIA

02

04
ADMINISTRAR LA EVIDENCIA
03 ANALIZAR LA EVIDENCIA
¿Porqué es importante la Informática Forense?

NOS PERMITE RASTREAR Y PROCESAR A LOS RESPONSABLES DE

LOS CIBRDELITOS

NOS PERMITE OBTENER UNA CORRECTA EVIDENCIA

DE LOS CIBERDELITOS

ESTIMAR EL IMPACTO DEL INCIDENTE,

IDENTIDFICAR LAS VULNERABILIDADES EXPLOTADAS Y
DETERMINAR LAS INTENCIONES DEL ATACANTE

OBTENER LECCIONES APRENDIDAS PARA FORTALECER

LA SEGURIDAD Y MEJORAR LOS PROCESOS
 ¿Cuál es el proceso de una análisis forense?
National Institute Of Standars And Technology – NIST

Preparación Recolectar Preservar Analizar Presentar

ISO/IEC 27037

Identificación Recolectar Adquisición Preservar Analizar Presentar

Computer Hacking Forensic Investigator - CHFI

Pre investigación Investigación Post Investigación

 La informática forense como herramienta para la
Ciberseguridad

Ciclo de
vida para la
Gestión de
Incidentes

Gestión de Incidentes - Análisis Forense, IBM 2011 https://bit.ly/3yTA3HF

¿Cuándo se realiza la integración entre ambos procesos?

Gestión de Incidentes - Análisis Forense, IBM 2011 https://bit.ly/3yTA3HF

¿Cuándo se realiza la integración entre ambos procesos?

Gestión de Incidentes - Análisis Forense, IBM 2011 https://bit.ly/3yTA3HF

 LOGRO Hemos aprendido los conceptos básicos de la Informática
Forense, su importancia en la ciberseguridad de una
SESIÓN 01 organización

Contexto Introducción a
Conceptos
Informática la Informática
esenciales
Forense. Forense ¿Cuál es el contexto
actual?

Regulación ¿Qué es la
Evidencias Cibercriminales
nacional Informática Forense?

¿Porqué es importante?
Metodología
Importancia de
para el proceso
la IF
forense
 ¿Cuál es el proceso de una análisis forense?
National Institute Of Standars And Technology – NIST

Preparación Recolectar Preservar Analizar Presentar

ISO/IEC 27037

Identificación Recolectar Adquisición Preservar Analizar Presentar

Computer Hacking Forensic Investigator - CHFI

Pre investigación Investigación Post Investigación