Informática Forense

Msc. Ing. Marcelo Antezana C.

1
 2 Evidencia Digital

Casey define la evidencia de digital como "cualquier dato que

puede establecer que un crimen se ha ejecutado (commit) o
puede proporcionar una enlace (link) entre un crimen y su
víctima o un crimen y su autor" (Casey, Handbook of Computer
Crime lnvestigation, 2001)

La evidencia digital es todo registro informático almacenado en

un dispositivo informático o que se transmite a través de una
red informática y que pudiera tener valor probatorio para una
investigación. (PRESMAN-SALLIS, 2015)

2
2. Fuentes de Evidencia Digital

3
2. Fuentes de Evidencia Digital

Se considera evidencia digital a cualquier información que, sujeta a una intervención humana,
electrónica, y/o informática, ha sido extraída de cualquier clase de medio tecnológico informático
–computadoras, etc. Técnicamente, es un tipo de evidencia física que está constituida por campos
magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas técnicas
especiales.

Asimismo, deben poder justificarse todos los métodos y acciones realizadas en el tratamiento de la
evidencia digital, a través de la demostración de la validación de los métodos utilizados y de los
procesos realizados.

La evidencia digital puede encontrarse almacenada en dispositivos informáticos (discos rígidos, por
ejemplo); en la memoria RAM de procesamiento de un sistema informático; o bien, cuando se
transmite a través de una red de dispositivos cuya recolección se realizará en tiempo real (tráfico de
datos).

4
2. Fuentes de Evidencia Digital

En este sentido, las fuentes de evidencia digital pueden ser clasificadas en los siguientes grupos:

a. Sistema de computación abiertos:

Son los que están compuestos de las computadoras personales y de sus periféricos; las
computadoras portátiles, y los servidores.

b. Sistemas de comunicación

Compuestos por las redes de telecomunicaciones, la comunicación inalámbrica e Internet

c. Sistemas convergentes de computación

Sólo los que están formados por los teléfonos celulares inteligentes (Smartphones), los
asistentes personales digitales PDAs, las tarjetas inteligentes.

5
2. Caracteristicas de Evidencia Digital

1. Volátil:

Si no es preservada adecuadamente puede cambiar o variar con facilidad de forma poco

previsible.

2. Duplicable:

Puede ser duplicada de manera exacta y copiada tal como si fuese el original.

3. Alterable y modificable:

Con las herramientas adecuadas es relativamente fácil alterar destruir, alterar o modificar.

4. Eliminable:

Con las herramientas adecuadas puede ser eliminada por completo.

6
2. Caracteristicas de Evidencia Digital

7
 2.1 ISO 270037:2016

ISO/IEC 27037:2012 establecen directrices para la

identificación, recolección, adquisición y preservación de la
evidencia digital, como un primer documento reconocido
por la comunidad internacional y de alcance global para
efectos de adelantar pericias forenses informáticas, el cual
de ahora en adelante será un referente base para todos los
informáticos forenses respecto de sus prácticas y
procedimientos actuales. La norma ISO/IEC 27037:2012
fue ratificada el 2016 y está vigente a la fecha.

8
 2.1 ISO/IEC 27037:2016

ISO / IEC 27037: 2012 - Tecnología de la información -

Técnicas de seguridad - Directrices para la identificación,
recopilación, adquisición y preservación de evidencia
digital
Abstract
“Proporciona pautas para actividades específicas en el manejo de evidencia digital que
pueden tener valor probatorio. Proporciona orientación a las personas con respecto a
situaciones comunes que se encuentran a lo largo del proceso de manejo de evidencia digital
y ayuda a las organizaciones en sus procedimientos disciplinarios y para facilitar el
intercambio de evidencia digital potencial entre jurisdicciones ".

9
2.1 ISO/IEC 27037:2016

Recolección

Identificación Preservación

Adquisición

10
2.1 ISO/IEC 27037:2016

Capítulos de la Norma:

1. Alcance
2. Marco de referencia
3. Términos y definiciones
4. Abreviaturas
5. Descripciones generales
6. Elementos para la Identificación, recolección,
adquisición y preservación de Evidencia Digital
7. Instancias en la Identificación, recolección,
adquisición y preservación de Evidencia Digital
8. Anexos
11
2.1 ISO/IEC 27037:2016

1. Alcance
Este estándar provee lineamientos para el manejo de Evidencia
Digital y establece las siguientes actividades: identificación,
recolección, adquisición y preservación de:
● Almacenamiento digital
● Dispositivos móviles
● GPS
● CCTV
● Dispositivos en red TCP/IP o similar

12
2.1 ISO/IEC 27037:2016

2. Marco de referencia.
Tronco normativo de Seguridad Informática ISO 27000.

ISO/IEC 27037:2012 Guía para la Identificación,

recolección , adquisición y preservación de evidencia digital

Soporte normativo:
● ISO 15801 Document management – Information stores
electronically
● ISO 17020 Conformity Assesment – Requirements
● ISO 17025 General Requeirements for the competence of
testing and
● calibration laboratories
13
2.1 ISO/IEC 27037:2016

3. Términos y definiciones.

Amplio glosario que incluye, entre otros: Adquisición ,

recolección, dispositivo digital, evidencia digital,valor de HASH,
imagen, repetibilidad, validación, espacio asignado y no asignado,
espoliación…

● DEFR : Digital Evidence Forensic Responder

Individuo autorizado, entrenado y calificado para actuar en la
escena del hecho con capacidad de recolección y adquisición
de evidencia digital
● DES: Digital Evidence Specialist
DEFR + Capacidades de Análisis
14
2.1 ISO/IEC 27037:2016

4. Abreviaturas.

Diccionario de abreviaturas:
AVI CCTV CD/DVD IMEI MD5 SHA1 PIN PUK RAID USB
…

15
2.1 ISO/IEC 27037:2016

5. Descripciones Generales.
Requerimientos de Evidencia Digital:

● Relevancia: Este es un concepto jurídico que indica que la evidencia

digital debe estar relacionada con los hechos investigados.
● Confiabilidad: La evidencia debe ser confiable por lo que debe ser
repetible y auditable por un tercero que usando el mismo principio de
operación aplicado llegue a idénticos resultados.
● Suficiencia: La evidencia recolectada debe ser suficiente para
sustentar los hallazgos obtenidos por el analista forense, es lo que
denomino recolección efectiva.

16
2.1 ISO/IEC 27037:2016

5. Descripciones Generales.
Requerimientos de Evidencia Digital:
DEFR y DES deberán documentar todas sus acciones, las que se
regirán por los siguientes principios:
● Minimizar el manejo de la evidencia digital original.
● Documentar cualquier acción que implique un cambio
irreversible.
● Adherirse a las regulaciones y leyes locales.
● No extralimitarse en sus funciones.

17
2.1 ISO/IEC 27037:2016

5. Descripciones Generales.

Pasos o actividades principales:

Recolección

Identificación Preservación

Adquisición

18
2.1 ISO/IEC 27037:2016

5. Descripciones Generales.

Pasos o actividades principales:

Identificación : Es el reconocimiento de donde se halla la

evidencia digital, sea esta física o lógica.

Recolección: Frecuentemente el DEFR deberá tomar la decisión

de recolectar la evidencia y trasladarla al laboratorio para su
adquisición, en función del tiempo y los recursos informáticos
disponibles en la escena del hecho, sustentado por el mandato
judicial. En cualquier caso, deberá documentar su decisión
fundamentando y estará preparado para defenderla en una corte.
19
2.1 ISO/IEC 27037:2016

5. Descripciones Generales.

Adquisición: Es el proceso de copia forense que el DEFR o DES

realizará obteniendo una copia binaria exacta del contenido lógico
o físico de los objetos involucrados en la investigación. La norma
establece que la copia debe ser verificada con un "método de
verificación probado" evitando expresarse sobre la utilización de
algún HASH en particular.

Preservación: La evidencia digital deberá ser preservada para

asegurar su integridad durante todo el proceso. Esto incluye el
embalaje , que en algunos casos tiene requerimientos especiales.
20
2.1 ISO/IEC 27037:2016

6. Elementos para la Identificación, recolección,

adquisición y preservación de Evidencia Digital

Cadena de custodia: Registro de Identificación cronológica

del movimiento y manejo de evidencia potencial.
Puede ser un formulario o un conjunto de documentos
conteniendo como mínimo:
1. Un Identificador único de evidencia
2. Quien accedió a la evidencia , en qué lugar/fecha/hora
3. Quien retiró o almacenó la evidencia del lugar de resguardo
4. Motivo sustentable de autoridad relevante
5. En caso de producir cambios en la evidencia, quien los
hizo y su justificación. 21
2.1 ISO/IEC 27037:2016

6. Elementos para la Identificación, recolección,

adquisición y preservación de Evidencia Digital

Precauciones en la escena del hecho (DEFR):

● Asegurar la Seguridad personal.
● Securizar y aislar el área física conteniendo ED.
● Individualizar a la persona a cargo.
● Retirar a las personas de los equipos con ED potencial.
● Aislar el perímetro de red.
● Si el dispositivo está apagado mantenerlo apagado.
● Si el dispositivo está encendido mantenerlo encendido.
● Documentar , si está permitido mediante foto y video.
● Identificar notas y post-it con información potencialmente útil.
22
2.1 ISO/IEC 27037:2016

6. Elementos para la Identificación, recolección,

adquisición y preservación de Evidencia Digital

Consideraciones en la escena del hecho (DEFR):

● Hay autorización legal para recolectar ED ?
● Se autoriza la interrupción del servicio informático?
● Es necesario recolectar evidencia en flagrancia ?
● Si la recolección es encubierta…hay soporte legal ?
● La ED está en un dispositivo de misión crítica ?
● El tamaño a Adquirir es excesivo ? (RAID/NAS), considere
Adquirir LEF
● Detener el dispositivo puede afectar a la vida ?
● El dispositivo brinda servicios a terceros no involucrados ? 23
2.1 ISO/IEC 27037:2016

6. Elementos para la Identificación, recolección,

adquisición y preservación de Evidencia Digital

Otros aspectos relevantes a la preservación:

● Adquirir por orden de volatilidad (RFC3227)
● Poseo autoridad legal sobre el domicilio Informático ?
● Etiquetar, almacenar, precintar…
● Bloquear electricidad estática (Embalaje Antiestático)
● Bloquear frecuencias (Bolsas de Faraday)
● Aislamiento magnético (Digital Tapes)
● Protección térmica en zonas críticas.

24
2.1 ISO/IEC 27037:2016

7. Instancias en la Identificación, recolección,

adquisición y preservación de Evidencia Digital

Recolección de Computadoras y dispositivos de

almacenamiento digital
● Documentar marca, modelo y números de serie de
dispositivos de almacenamiento masivo (magnético,
electrónico y óptico)
● Durante la documentación mantener el estado de
● encendido/apagado hasta decidir si recolecta memoria RAM
● Fotografiar pantalla y documentar
● Si posee autorización, registrar procesos en ejecución y
aplicaciones activas 25
2.1 ISO/IEC 27037:2016

7. Instancias en la Identificación, recolección,

adquisición y preservación de Evidencia Digital

Recolección o Adquisición ? : Factores que afectan la

decisión
● Disponibilidad de DEFR / DES.
● Volatilidad de la evidencia.
● Existencia FDE (Cifrado de disco completo) o contenedores
cifrados.
● Sistemas críticos.
● Autorización legal.
● Recurso físico para almacenamiento y transporte.
● Ventana de tiempo.
26
2.1 ISO/IEC 27037:2016

7. Instancias en la Identificación, recolección,

adquisición y preservación de Evidencia Digital

Recolección o Adquisición ? : Factores que afectan la

decisión
● Disponibilidad de DEFR / DES.
● Volatilidad de la evidencia.
● Existencia FDE (Cifrado de disco completo) o contenedores
cifrados.
● Sistemas críticos.
● Autorización legal.
● Recurso físico para almacenamiento y transporte.
● Ventana de tiempo.
27
2.1 ISO/IEC 27037:2016

28
 2.2 Análisis y presentación de ED

Análisis es la evaluación de la evidencia digital

potencial con el fin de valorar su relevancia
para una investigación, así como los
significados de los artefactos digitales latentes
en su forma nativa.
Presentación es realizar un informe ejecutivo
con toda la información desde la identificación
y en especial en base al análisis, en lenguaje
natural y posterior defensa del mismo.
29
2.2 ISO/IEC 27042:2016

Generalmente en un análisis se cuenta con los objetivos

de:
- Todos estos procesos y tareas deberán realizarse de forma metódica,
auditable, repetible y defendible.
- Recuperación de los ficheros borrados.
- Estudio de las particiones y sistemas de archivos.
- Estudio del sistema operativo.
- Estudio de la seguridad implementada.
- Análisis detallado de los datos obtenidos.

30
 2.2 ISO/IEC 27042:2016

Un análisis forense detallado puede contemplar los siguientes aspectos (Es solo un ejemplo no limitativo):

1. Hardware instalado, fecha, hora, datos de configuración regional, etc.

2. Dispositivos físicos conectados en algún momento al equipo.
3. Estudio del escritorio o pantalla principal y papelera de reciclaje.
4. Conexiones de red y tarjetas instaladas y su dirección MAC, los protocolos usados y las direcciones IP.
5. Estudio de las comunicaciones llevadas a cabo desde el equipo.
6. Estudio del registro del sistema y de los logs de auditoría del sistema operativo.
7. Información contenida en los espacios no asignados en las particiones y en el espacio no ocupado por los archivos
lógicos.
8. Información contenida en los archivos de hibernación, paginación, particiones y archivos de intercambio (swap), etc.
9. Análisis de la cola de impresión.
10. Enlaces a archivos y archivos accedidos recientemente.
11. Estudio de las carpetas de usuario.
12. Estudio de las aplicaciones instaladas.
13. Estudio de los metadatos, en caso de ser de interés.
14. Análisis de las aplicaciones de virtualización.
15. Estudio de las bases de datos instaladas y de sus sistemas gestores.
16. Estudio del software de cifrado y de los ficheros y particiones cifradas.
17. Estudio de la navegación por Internet (cookies, historial, etc.).
18. Análisis de correos electrónicos.
19. Análisis de registros de mensajería instantánea y conversaciones, junto a la lista de contactos.
31
 2.2 ISO/IEC 27042:2016

ISO / IEC 27042: 2015 - Tecnología de la información -

Técnicas de seguridad - Directrices para el análisis e
interpretación de evidencia digital

Abstract
"Proporciona orientación sobre el análisis y la interpretación de la evidencia digital de una
manera que aborda cuestiones de continuidad, validez, reproducibilidad y repetibilidad".

32
2.2 ISO/IEC 27042:2016

33
 2.4 Funciones Hash

Los delitos informáticos son aquellas

acciones u omisiones realizadas a través de
medios informáticos y que son penados por
la Ley.

34
2.4 Funciones Hash

Para asegurar la integridad de la copia forense, se la autentica mediante un función

HASH o digesto matemático. Las imágenes forenses pueden realizarse mediante una
computadora, un programa específico y un bloqueador de escritura, o bien, utilizando
un dispositivo autónomo denominado duplicador forence.

EL HASH se refiere a una función o método para generar claves que representen de
manera casi unívoca a un documento, registro, archivo etc. Resumir un dato a travéz
de la probabilidad, Utilizando una función hash o algoritmo hash. El HASH permite darle
mayor seguridad de que la evidencia digital obtenida no fue manipulada ni alterada, ya
que el HASH generado es inviolable.

35
2.4 Funciones Hash

36
2.4.1 Hardware para imagenes forenses

https://www.amazon.com/-/es/td2u-Forense-duplicador-Kit/dp/B00Q76XFHG

37
2.4.1 Hardware para imagenes forenses

https://www.ondata.es/recuperar/equipos-forensics.htm#ditto

https://ondatashop.com/category/computer-forensics/

38
 2.4 Evidencia Digital: Internet

Como factor crítico es el Internet para la

identificación, preservación, análisis y
presentación de evidencia digital
proveniente o a través del mismo.

39
Ejemplo de tratamiento de evidencia digital factor crítico: Internet

40
Gracias!
Preguntas?

@mantezanac
marcelo.a@umss.edu

41