Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informática Forense
Informática Forense
Informes de error: qué se ha hecho mal, por qué y cómo se podría haber hecho bien.
Un dispositivo electrónico es un contenedor de privacidad y acceder a ello sin permiso puede
acarrear problemas legales.
Se trabaja sobre las copias de lo que se quiere acceder. Hay que respetar la cadena de
custodia.
Los registros y las incautaciones están contemplados en la constitución de EE. UU. Cada
estado tiene su propia jurisdicción. En Europa pasa algo similar, hacer nmap en España puede
ser una práctica educativa, mientras que en Alemania está prohibido por ley. Las
reglamentaciones varían según el país, por lo que hay que tenerlas en cuenta antes de actuar.
Cuando uno está realizando una investigación digital hay que ser capaz de obtener
información de forma segura y poder analizarla para obtener información de esa información.
Toda esa información nos va a dar evidencias de que se ha realizado con ella.
También hay que ser capaz de ser rigurosos y saber explicarlo de forma que lo pueda entender
una persona que no está familiarizado con el lenguaje técnico, pero sí con los ámbitos legales y
que serán los que juzguen el caso y esa tecnología.
En un juzgado, el informático forense es el blanco de todos los ataques, ya sea por parte de un
bando o de otro, ya que van a tratar de poner en duda tu credibilidad. Conviene conocer las
leyes para saber a qué se podía acceder y a que partes/dispositivos no.
Cuando se detecta un ataque externo el equipo de respuesta rastrea, localiza e identifica el método de
intrusión denegando el acceso a la red.
Si un intruso lanza un ataque que causa un daño potencial el equipo recoge las pruebas necesarias que
pueden ser utilizadas para litigio civil o criminal contra el intruso.
El litigio es el proceso legal mediante el cual se prueba la culpa o inocencia en un tribunal.
Si un usuario interno está actuando de forma ilegal el mecanismo de detección de intrusiones y grupo de
respuestas ante incidentes responden localizando al usuario y bloqueando su acceso.
La jurisprudencia entra en juego cuando en las leyes no recogen esos casos y se basa en otros
casos para poder juzgar algo.
Tenemos que estar familiarizados con los fallos recientes que haya habido con los juicios que
se hayan hecho. Si por ejemplo se tiene acceso a realizar una copia de seguridad de un disco
duro de alguien que ha estado navegando en internet de forma indebida y las políticas de la
empresa acerca de ello.
Hay tener en cuenta todo, de si todo el mundo estaba informado de que estaba siendo
grabado, acuerdos, políticas...
En este ámbito hay que estar informado y actualizado. Desarrollando el conocimiento y estar
en contacto con grupos relacionados con casos y expertos en algunos problemas. Ante la duda
preguntar a un experto.
Sector privado
Procedimientos dentro de las empresas privadas donde las políticas internas que especifican el
comportamiento adecuado del empleado en el lugar de trabajo .
Los empleados vulneran las políticas de esta.
Además implican las disputas de litigios. A pesar de que estos procedimientos están dirigidos a
casos civiles un caso civil puede llegar a equipararse a un caso criminal y un caso criminal puede
reducirse a uno civil.
Hay que estar familiarizados con los estándares legales actuales, procedimientos de los
registros e incautaciones y articular en un caso criminal lo que está pasando para luego poder
defender lo que se ha encontrado.
Una investigación criminal comienza cuando alguien encuentra que se ha producido un acto
delictivo. Se presenta una denuncia y la policía interviene y redacta un informe.
Los informes policiales quedan almacenados en la base de datos de los crímenes de la policía.
¿Quién es el que actúa cuando se está en una escena del “crimen”?
Primero se precinta y preservan al máximo las evidencias del caso.
Luego llega el forense, que es el que accede a la evidencia. Puede darse el caso de que sea en
la misma estancia del crimen o llevarlo a un lugar seguro conservando la cadena de custodia
para una posterior actuación en el mismo.
También se requiere de un notario para que levante acta y que quede reflejado lo que ha
sucedido y tiene carácter legal. De esta forma se puede realizar un alegato.
El eslabón débil es el perito. Siempre se va a cuestionar todo, de forma que hay que estar bien
informado de si se está cubierto tanto de forma legal como en el ámbito de la empresa en
cuestión.
El que tiene la autoridad de decisión de selección de empleados para realizar esto son el
departamento de investigación, el de ética. Para descubrir los problemas (o comprobar si
existen o no) se pueden realizar auditorías, el departamento legal...
Durante la investigación se buscan evidencias que argumenten si se han violado las normas de
la empresa o si se han atacado o saboteado a posta información de la empresa. Situaciones
comunes: abuso del material de la empresa, abuso de los servicios de correo electrónico de la
empresa para cosas que no están relacionadas con la actividad de esta, abuso de los servicios
de internet para realizar delitos, comunicación con terceros para el envío de información
privilegiada...
Si te encuentras en la red de la empresa y resulta que damos con que hay un disco
con información ilegal compartido en la red, estamos en un buen lío. Es mejor llevarse cada
uno su propio equipo para no estar involucrados en este tipo de problemas.
Cuando se involucra a terceros hay que llevar un registro de todo.
Además los investigadores deben estar al corriente de los últimos cambios tecnológicos en lo que
respecta al hardware y software de dispositivos, redes y herramientas forenses.
El rol de un perito forense es reunir las pruebas para demostrar que un sospechoso cometió un
delito o violó la política de una compañía.
Los dispositivos pueden contener información que ayude a las fuerzas de seguridad a determinar:
La cadena de eventos que conducen al delito: Evidencias que pueden conducir a una detención.
Normalmente alguien especializado se encarga de recoger las pruebas.
Pruebas para llegar a una convicción
Las fuerzas de seguridad deben seguir un procedimiento adecuado una vez adquiridas las pruebas
debido a que las pruebas pueden ser alteradas fácilmente.
Un ejemplo a la hora de trabajar con pruebas es el hecho de que los datos relativos a la evidencia se
copian bit a bit en un medio de almacenamiento idéntico al usado para almacenar la información
original.
En caso de emplear Linux para realizar dicha copia es necesario desactivar la operación de montaje que
se lleva a cabo de forma automática.
La información de discos duros puede estar protegida por una contraseña, de modo que tal vez sea
necesario usar herramientas forenses.
Los empleados que utilizan mal los recursos pueden costarles a la compañía millones de dólares.
Realizar una evaluación inicial sobre el tipo de caso que se está investigando
Determinar un diseño preliminar o aproximación del caso(pensar cómo poder resolver el
problema)
Crear una lista de control detallada sobre el caso
Determinar los recursos necesarios
Obtener y realizar copias de las pruebas
Identificar los riesgos
Mitigar o minimizar los riesgos
Probar el diseño
Analizar y recuperar las pruebas digitales
Investigar los datos recuperados
Completar el informe del caso
Crítica del caso
Evaluando el caso
Planeando la investigación
Un formulario de custodia de pruebas ayuda a documentar qué se ha hecho con las pruebas
originales y sus copias, verificando que ninguna prueba ha sido alterada.
Formulario de una sola prueba: Lista cada parte de la prueba en una página separada
Formulario para múltiples pruebas
Protegiendo las pruebas
Se utilizan bolsas para evidencias con el fin de catalogar y proteger las pruebas.
Bolsas y almohadillas antiestáticas
Contenedores acolchados
Cierre hermético de todas las aperturas
Es conveniente escribir en las cintas empleadas para el cierre con el fin de poder verificar
que las pruebas no han sido alteradas, así como considerar la temperatura y rangos de
humedad, además de contar con un medio de transporte adecuado hasta ser almacenadas
en el contenedor de protección.
La mayoría de estos casos implican el abuso por parte del empleado de los bienes de la
corporación
Se investigan los incidentes que crean un entorno hostil, de modo que la organización debe
contar con políticas apropiadas.
Pasos recomendados:
Usar técnicas y procedimientos de análisis forense estándar
Usar herramientas apropiadas para extraer toda la información de la URL perteneciente a la web
Contactar con el administrador del cortafuegos de red y realizar la petición de un registro en el
servidor proxy
Continuar analizando los datos del disco duro del ordenador
Una copia en bruto ocupa más espacio pero es más rápida al no crearse un hash. El inconveniente que
presenta es mayor vulnerabilidad ante defectos.