1

Resumen

La presente investigación tiene como objetivo principal abordar los temas más relevantes acerca

del estudio y practica de la informática forense, así mismo se busca resaltar la importancia de

esta disciplina en el ámbito laboral, social, judicial y penal partiendo como base que es una de las

más completas herramientas de investigación digital, también se busca crear el habito de que en

las organizaciones se implemente dentro de sus políticas de seguridad, un plan de acción y

prevención, el estudio de la informática forense facilita la mitigación de amenazas e incidentes

que podrían afectar la integridad del activo más importante como lo son los datos. El uso de los

softwares especializados da apoyo y confiabilidad a la labor del forense informático, de aquí la

importancia del conocimiento profesional para dar categoría y ratificar que es indispensable la

aplicación y estudio de esta rama de la informática.

Palabras clave: Informática forense, investigación digital, mitigación, amenazas, incidentes,

integridad, software especializado.

Abstract.

The main objective of this research is to address the most relevant issues about the study and

practice of computer forensics, likewise it seeks to highlight the importance of this discipline in

the labor, social, judicial and criminal sphere, starting as a basis that it is one of the more

complete digital investigation tools, it also seeks to create the habit that organizations implement

within their security policies, an action and prevention plan, the study of computer forensics

facilitates the mitigation of threats and incidents that could affect the integrity of the most

important asset such as data. The use of specialized software gives support and reliability to the
 2

work of the computer forensics, hence the importance of professional knowledge to give

category and ratify that the application and study of this branch of computing is essential.

Keywords: Computer forensics, digital investigation, mitigation, threats, incidents, integrity,

specialized software.

Introducción

En los últimos años se ha venido presentando un interés considerable sobre la informática

forense y todos sus avances investigativos, la era judicial es uno de los campos que más se

adentra en estudiar y analizar el comportamiento de la investigación y desarrollo de nuevas

prácticas y procesos, que hacen que cada vez se posicione en un mundo global y que sea esta una

de las alternativas más confiables y seguras a la hora de realizar investigaciones, análisis

digitales y documentación sobre algún hecho delictivo, ataque informático y robo de

 3

información. En el presente artículo se presentará la importancia de la informática forense, sus

inicios y evoluciones a lo largo de los años, herramientas importantes que destacan el uso de esta

disciplina, aspectos relevantes relacionados con técnicas de investigación donde se relacionan la

víctima, victimario y el investigador.

Informática Forense

La informática forense nace en el siglo VIII después de cristo, nace como rama auxiliar a la

investigación y se da por la necesidad de efectuar un análisis de ciertas evidencias con las cuales

se pretende determinar las causas de la muerte de una persona, por ejemplo. La informática

forense es una disciplina que nace de la informática y es la encargada de analizar y examinar

todo tipo de evidencia digital, además también se encarga de la recolección de pruebas

encontradas en escenarios que fueron objeto de delitos informáticos, estos a su vez serán

utilizados en procedimientos legales, penales y/o civiles. “La informática forense es la ciencia de

adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y

guardados en un medio computacional” (Mitrik, 2019). Para que el proceso de investigación

digital sea legal se deben llevar a cabo una serie de requisitos ejecutados por el investigador que

dará veracidad, valor, credibilidad y confianza ante el proceso.

Evolución de los riesgos informáticos.

 4

Figura 1. Ilustración sobre la evolución de los riesgos informáticos

Fuente:

Con el paso del tiempo y gracias a los avances tecnológicos y científicos la informática

forense ha tomado gran poder y valor en el campo investigativo y judicial, con el desarrollo de

los medios magnéticos y la revolución de las computadoras se da paso a nuevas herramientas

como hardware y software que cumplen un papel fundamental a la hora de implementar acciones

para la recolección de evidencias. Recordemos que las computadoras además de ser un medio

por el cual se generan en su mayoría los ataques informáticos, ataques maliciosos, robo de datos

y fraudes financieros, también son un blanco fácil para hacer llegar todo este tipo de amenazas.

Uno de los primeros casos en el contexto de la investigación forense se dio en el año 1910 por

el investigador francés Edmon Locard y se le conoce con el nombre de “Principio de

Intercambio” el cual argumenta que: “Siempre que dos sujetos entran en contacto transfieren

parte del material que incorporan al otro objeto” (Locard, 1910). Esto relacionado con la

informática forense, hace énfasis a una escena de un crimen en donde se puede recolectar gran

cantidad de información probatoria según sea el caso que se pretende demostrar.

 5

Figura 2. La figura ilustra el principio de transferencia de Locard en un entorno digital.

Fuente: https://digitk.areandina.edu.co/bitstream/handle/areandina/1942/RP_eje1.pdf?
sequence=1&isAllowed=y

Últimamente se ha venido presentando un alto interés sobre conocer todo a cerca de las

ciencias informáticas y más aún relacionado con el medio forense. Los investigadores

informáticos tienen a su cargo la responsabilidad de descubrir y describir toda la información

recolectada en algún hecho investigativo, dicha información puede estar contenida en medios

magnéticos CD-DVD, discos duros, medios ópticos y sólidos, como también archivos,

documentos digitales y correos electrónicos. A medida que se crean nuevos avances, se relaciona

la informática forense con otras disciplinas como bases de datos, desarrollo de software y redes

de telecomunicaciones.

Por medio de un análisis forense se puede establecer la fecha inicial de la creación de un

documento en un equipo de cómputo, si fue editado o no, si llego a ser impreso y si se compartió

con otros usuarios, se puede también realizar el rastreo de direcciones web, fecha de visita de la

página, hacer el escaneo de discos duros que incluso hayan sido particionados y formateados. De

todo esto se puede obtener las suficientes evidencias con las cuales se puede declarar culpable o

inocente a una persona, incluso se pueden reconstruir hechos para determinar causas que lleven a

concluir medidas de acción en el proceso investigativo.

Según Sridhar, Bhaskari y Avadhani (2011), se presentan varios tipos de investigación

forense digital, tales como: “system forensics”, “network forensics”, “web forensics”, “data

forensics”, “proactive forensics”, “e-mail forensics”, “enterprise forensics”, “cyber forensics”,

“digital forensics”; como se puede observar, son muchos los campos de acción en los que un

investigador forense puede incursionar.

 6

Figura 3. Plétora de análisis forense cibernético.

Fuente: https://www.semanticscholar.org/paper/18%3A-Plethora-of-Cyber-Forensics-Sridhar-

Bhaskari/53db6934f762e7e5babe87b9e635a8ec9ceb85df

En Colombia existe la normatividad sobre delitos informáticos la cual se rige por la ley 1273

de 2009, la cual argumenta la protección de la información y de los datos. Este concepto tiene

varias connotaciones según la legislación de cada país, según la legislación colombiana, la

persona que participe en un delito informático sea cual sea su intervención deberá afrontar desde

multas económicas hasta la pena de cárcel.

A continuación, se presentará una tabla con la lista de los artículos que se rigen en Colombia

y los cuales determinan los delitos informáticos.

ARTÍCULO DELITO INFORMÁTICO CAUSA

Artículo 269A Acceso abusivo a un sistema Determina el acceso sin
informático. autorización a un sistema
informático de manera parcial
o total, violando la seguridad
o en contra de la voluntad de
quien si tenga el acceso.
Artículo 269B Obstaculización ilegitima de Se considera ilegitimo el
un sistema informático o de acceso o manipulación de una
telecomunicación. red de datos o sistema
 7

informático sin estar

capacitado y/o autorizado
para ello
Artículo 269C Interceptación de datos Captación de datos
informáticos. informáticos, empresariales y
personales sin previa orden
judicial.
Artículo 269D Daño informático. Aquella persona que destruye
o altera de alguna manera los
datos, evidencia informática y
sistemas de comunicación.
Artículo 269E Uso de software malicioso. La utilización de software
que no está autorizado dentro
de una organización, software
malicioso que pueda vulnerar
la seguridad de los sistemas
informáticos, creación,
manipulación y distribución
de software malicioso.
Artículo 269F Violación de datos Obtener de manera
personales. fraudulenta los datos
personales para ser utilizados
con algún fin ilícito,
modificación y divulgación
de datos personales.
Artículo 269G Suplantación de sitios Web Utilización de software o
para capturar datos sitios web no legítimos para
personales. la captación ilegal de
información de terceros.
Artículo 269H Circunstancias de agravación Las penas se agravan si se
punitiva. cometen sobre redes o
sistemas informáticos o
estatales, financieros,
oficiales, sobre servidores
públicos, por quien obtenga
provecho propio con
información privada, con
fines terroristas, entre otros.
Artículo 269I Hurto por medios Robo de información y datos
informáticos y semejantes. personales alojados en
sistemas computacionales y
bajo medida de seguridad.
Artículo 269J Transferencia no consentida Transferencia y/o intercambio
de activos. de cualquier activo
computacional o de redes de
sistema con el fin de lucro.
 8

Fases de un análisis forense.

Para llevar a cabo un análisis forense se debe tener en cuenta una de las principales fases

como lo es la identificación del incidente, posteriormente la búsqueda de evidencias que

comprende el levantamiento de información mediante diversas herramientas utilizadas por los

investigadores. Una vez se confirme que si se fue víctima de un ataque informático o que el

sistema fue vulnerado se debe conservar la calma, lo primero que se debe tener en cuenta es no ir

a alterar las evidencia ni hacer cambios o modificaciones, esto conlleva a que se pierda el hilo de

la búsqueda y perderá valor, el uso de un software especializado le ayudara a conservar la escena

de lo sucedido sin alterar las evidencias, podrá realizar copias de seguridad, analizar si se accedió

a alguna carpeta específica, analizar el tráfico en la red y validar si se accedió por algún puerto

en especial.

Todo investigador forense debe tener a la mano su kit de herramientas que le brindara agilidad

a la hora de ejercer su labor, se debe contar con diversos softwares especializados con los que

pueda realizar el análisis de acuerdo a el momento y necesidad, herramientas de mano como

destornilladores, medios de almacenamiento como memorias usb, discos duros, cd, dvd, bolsas

antiestáticas, cinta para marcar, lupa, brochas, lector de tarjetas, equipo portátil. El software que

debe incluir el investigador le debe permitir realizar las siguientes tareas:

 Interpretar comandos en modo consola (cmd, bash)

 Enumerar los puertos TCP y UDP abiertos y las aplicaciones que los relacionen.

 Hacer una lista de todos los usuarios conectados de manera local y remotamente al

sistema.

 Recopilar fecha y hora del sistema.

 9

 Listar los procesos activos, recursos utilizados, cantidad de usuarios, aplicaciones

utilizadas.

 Enumerar las direcciones IP y mapear la asignación de direcciones físicas MAC con

las direcciones IP.

 Realizar la búsqueda de archivos que se encuentren ocultos o que fuesen borrados

 Hacer copias de seguridad de los discos duros y particiones mediante la opción bit a

bit.

 Analizar el trafico de la red.

La mejor forma de empezar la búsqueda es identificando los equipos que se consideren fueron

el blanco de los atacantes, obviamente sin descuidar los demás equipos ya que allí se pudieron

haber dejado evidencias. En primera instancia se debe realizar una validación de la integridad de

los ficheros del sistema, herramientas como Tripwire o Aide podrían arrojar algunas señales de

sospechas. Tener en cuenta que tipo de procesos se están ejecutando en el equipo que se está

investigando, cualquier indicio como tareas que consuman demasiados recursos, ubicaciones

poco frecuentes en el sistema de archivos, inspeccionar las conexiones de red y validación de

puertos.

Sistemas operativos como Microsoft Windows contienen una serie de herramientas que

pueden resultar útiles a la hora de realizar una investigación, el visor de eventos de Windows por

ejemplo puede arrojar información que lleve a robustecer la consulta. Sistemas como Unix/Linux

también dispone de una serie de herramientas que arrojan archivos de registro (logs), por

ejemplo, /varlog/wmpt guarda un historial de inicio y cierre de sesión, /var/run/utmp arroja un

listado de quien ha iniciado la sesión, /var/log/btmp guarda cualquier inicio de sesión exitosa y

fallida.
 10

Uno de los softwares más utilizados en este tipo de búsquedas es el programa FastIR el cual

realiza una búsqueda exhaustiva arrojando resultados como el contenido del archivo Clipboard,

historial de navegadores, listado de redes a las cuales se ha conectado el equipo, se puede

conocer la fecha y hora de conexión, nombre y descripción de la red, podremos además observar

si se produjeron descargas y si algún archivo cambió su ubicación. Con dicha técnica utilizada

para la recolección de información, podemos extraer datos importantes sin alterar su estado,

buscar datos ocultos, archivos dañados y/o eliminados. El análisis y obtención de la información

puede ser una prueba determinante en un proceso judicial, además se concientiza la importancia

de asegurar las evidencias, garantizar su validez, concluir y justificar el sistema de trabajo

empleado, en definición, el objetivo de cualquier análisis forense es la de indagar en el

funcionamiento de un sistema informático y ser capaz de crear una línea temporal que nos

indique si ha habido alguna acción que comprometiera dichos sistemas.