Informática forense

Ámbito público Jurídico/ criminología. Resolución de situaciones relacionadas con crímenes.

Extracción de datos de los dispositivos.

Informes de error: qué se ha hecho mal, por qué y cómo se podría haber hecho bien.
Un dispositivo electrónico es un contenedor de privacidad y acceder a ello sin permiso puede
acarrear problemas legales.

Informática forense: La aplicación de la informática y los procedimientos de investigación para

un propósito legal que implica el análisis de la evidencia digital después de la autoridad de
búsqueda adecuada, cadena de custodia, validación con las matemáticas (algoritmo de
hashing, firmas digitales por trozos en las copias), uso de herramientas validadas (hay que
evitar modificar la unidad que se quiere estudiar, por ello hay que controlar que el sistema
operativo no escriba en ella), repetibilidad, reporting (documentar y registrar todo), y posible
presentación de expertos.

Investigar dispositivos digitales incluye:

 Recolectar datos de forma segura
 Examinar datos sospechosos para determinar detalles como el origen o el contenido
 Presentar información digital a los tribunales
 Aplicar las leyes a prácticas de dispositivos digitales

Se trabaja sobre las copias de lo que se quiere acceder. Hay que respetar la cadena de
custodia.
Los registros y las incautaciones están contemplados en la constitución de EE. UU. Cada
estado tiene su propia jurisdicción. En Europa pasa algo similar, hacer nmap en España puede
ser una práctica educativa, mientras que en Alemania está prohibido por ley. Las
reglamentaciones varían según el país, por lo que hay que tenerlas en cuenta antes de actuar.

Informática forense vs recuperación de datos.

Cuando uno está realizando una investigación digital hay que ser capaz de obtener
información de forma segura y poder analizarla para obtener información de esa información.
Toda esa información nos va a dar evidencias de que se ha realizado con ella.

También hay que ser capaz de ser rigurosos y saber explicarlo de forma que lo pueda entender
una persona que no está familiarizado con el lenguaje técnico, pero sí con los ámbitos legales y
que serán los que juzguen el caso y esa tecnología.

En un juzgado, el informático forense es el blanco de todos los ataques, ya sea por parte de un
bando o de otro, ya que van a tratar de poner en duda tu credibilidad. Conviene conocer las
leyes para saber a qué se podía acceder y a que partes/dispositivos no.

La investigación se divide en tres partes relacionadas: las vulnerabilidades, la detección de

intrusiones y las investigaciones digitales.
Cuando se piensa en la evaluación de vulnerabilidad y manejo de riesgos se hace referencia a
comprobar y verificar la integridad de las estaciones de trabajo standalone y servidores de red.
Esta revisión de integridad física de los sistemas y la de los sistemas operativos y aplicaciones.
Las personas que trabajan en este grupo realizan pruebas para vulneraciones conocidas de sistemas
operativos y aplicaciones usadas en la red.
El grupo además lanza ataques en la red, sus estaciones de trabajo y servidores para evaluar las
vulnerabilidades.
Normalmente las personas que realizan esta tarea tienen muchos años de experiencia en la
administración de UNIX y Windows.

Los profesionales en la evaluación de la vulnerabilidad y manejo de riesgos además tienen habilidades

en la detección de intrusión en redes y respuesta a incidentes. Los ataques de intrusos se detectan a
través de herramientas automáticas y monitoreando firewalls de red manualmente.

Cuando se detecta un ataque externo el equipo de respuesta rastrea, localiza e identifica el método de
intrusión denegando el acceso a la red.
Si un intruso lanza un ataque que causa un daño potencial el equipo recoge las pruebas necesarias que
pueden ser utilizadas para litigio civil o criminal contra el intruso.
El litigio es el proceso legal mediante el cual se prueba la culpa o inocencia en un tribunal.

Si un usuario interno está actuando de forma ilegal el mecanismo de detección de intrusiones y grupo de
respuestas ante incidentes responden localizando al usuario y bloqueando su acceso.

El investigador forense se encuentra en la investigación digital.

La mayoría de las leyes no recogen casos concretos relacionados con la informática.

La jurisprudencia entra en juego cuando en las leyes no recogen esos casos y se basa en otros
casos para poder juzgar algo.

Tenemos que estar familiarizados con los fallos recientes que haya habido con los juicios que
se hayan hecho. Si por ejemplo se tiene acceso a realizar una copia de seguridad de un disco
duro de alguien que ha estado navegando en internet de forma indebida y las políticas de la
empresa acerca de ello.

Hay tener en cuenta todo, de si todo el mundo estaba informado de que estaba siendo
grabado, acuerdos, políticas...

En este ámbito hay que estar informado y actualizado. Desarrollando el conocimiento y estar
en contacto con grupos relacionados con casos y expertos en algunos problemas. Ante la duda
preguntar a un experto.

Comportamientos en los diferentes sectores: el público y el privado.

 Sector público
Contrato por el gobierno o el sector público. Registro e incautaciones limitadas por el
gobierno. Hasta qué punto puedes realizar las actuaciones. Cómo proceder.
Implican agencias del gobierno responsables de investigaciones criminales y enjuiciamiento.

 Sector privado
Procedimientos dentro de las empresas privadas donde las políticas internas que especifican el
comportamiento adecuado del empleado en el lugar de trabajo .
Los empleados vulneran las políticas de esta.
Además implican las disputas de litigios. A pesar de que estos procedimientos están dirigidos a
casos civiles un caso civil puede llegar a equipararse a un caso criminal y un caso criminal puede
reducirse a uno civil.

Hay que estar familiarizados con los estándares legales actuales, procedimientos de los
registros e incautaciones y articular en un caso criminal lo que está pasando para luego poder
defender lo que se ha encontrado.

Una investigación criminal comienza cuando alguien encuentra que se ha producido un acto
delictivo. Se presenta una denuncia y la policía interviene y redacta un informe.

Los informes policiales quedan almacenados en la base de datos de los crímenes de la policía.
¿Quién es el que actúa cuando se está en una escena del “crimen”?
Primero se precinta y preservan al máximo las evidencias del caso.

Luego llega el forense, que es el que accede a la evidencia. Puede darse el caso de que sea en
la misma estancia del crimen o llevarlo a un lugar seguro conservando la cadena de custodia
para una posterior actuación en el mismo.

También se requiere de un notario para que levante acta y que quede reflejado lo que ha
sucedido y tiene carácter legal. De esta forma se puede realizar un alegato.

Actuación en caliente: en el lugar dónde se haya encontrado. Desconexión adecuada del

dispositivo para evitar la pérdida de información.

Actuación en frío: llevarlo al laboratorio – oficina.

Sector privado es menos “emocionante” pero más común. Se trabaja mucho con abogados. Se
suele investigar violaciones de las políticas de la empresa (mala finalización con la empresa
[sabotaje], discriminación por edad/sexo, malversación, espionaje, acoso por email...).
Se establecen políticas muy claras acerca del uso del material de la empresa y el cómo se
puede acceder al uso de esta, notificando de las cosas que no puedes hacer.

El eslabón débil es el perito. Siempre se va a cuestionar todo, de forma que hay que estar bien
informado de si se está cubierto tanto de forma legal como en el ámbito de la empresa en
cuestión.

El que tiene la autoridad de decisión de selección de empleados para realizar esto son el
departamento de investigación, el de ética. Para descubrir los problemas (o comprobar si
existen o no) se pueden realizar auditorías, el departamento legal...

Durante la investigación se buscan evidencias que argumenten si se han violado las normas de
la empresa o si se han atacado o saboteado a posta información de la empresa. Situaciones
comunes: abuso del material de la empresa, abuso de los servicios de correo electrónico de la
empresa para cosas que no están relacionadas con la actividad de esta, abuso de los servicios
de internet para realizar delitos, comunicación con terceros para el envío de información
privilegiada...

Los investigadores en el ámbito privado tratan de minimizar el riesgo de pérdida de

información de la empresa.

Material de la empresa pueden ser: teléfono, Tablets, ordenadores...

En el momento que se utiliza un dispositivo de la empresa se aceptan las políticas de la
empresa.

Si te encuentras en la red de la empresa y resulta que damos con que hay un disco
con información ilegal compartido en la red, estamos en un buen lío. Es mejor llevarse cada
uno su propio equipo para no estar involucrados en este tipo de problemas.
Cuando se involucra a terceros hay que llevar un registro de todo.

Manteniendo la conducta profesional

La conducta profesional incluye éticas, moral y estándares de comportamiento:

 Mantener la objetividad
 Mantener la credibilidad, así como la confidencialidad

Además los investigadores deben estar al corriente de los últimos cambios tecnológicos en lo que
respecta al hardware y software de dispositivos, redes y herramientas forenses.

El rol de un perito forense es reunir las pruebas para demostrar que un sospechoso cometió un
delito o violó la política de una compañía.

Reunir las pruebas incluye:

 Investigar el ordenador del sospechoso
 Preservar las pruebas en dispositivos diferentes
  Cadena de custodia: Ruta que siguen las pruebas desde que se recogen hasta que se cierra el
caso o va a los juzgados.

Vistazo a un delito cibernético

Los dispositivos pueden contener información que ayude a las fuerzas de seguridad a determinar:

 La cadena de eventos que conducen al delito: Evidencias que pueden conducir a una detención.
Normalmente alguien especializado se encarga de recoger las pruebas.
 Pruebas para llegar a una convicción
Las fuerzas de seguridad deben seguir un procedimiento adecuado una vez adquiridas las pruebas
debido a que las pruebas pueden ser alteradas fácilmente.

Un ejemplo a la hora de trabajar con pruebas es el hecho de que los datos relativos a la evidencia se
copian bit a bit en un medio de almacenamiento idéntico al usado para almacenar la información
original.
En caso de emplear Linux para realizar dicha copia es necesario desactivar la operación de montaje que
se lleva a cabo de forma automática.

La información de discos duros puede estar protegida por una contraseña, de modo que tal vez sea
necesario usar herramientas forenses.

Violación de políticas en una compañía

Los empleados que utilizan mal los recursos pueden costarles a la compañía millones de dólares.

Dicho mal uso incluye:

 Navegar por internet

 Enviar emails personales
 Usar ordenadores de la compañía para trabajos personales

Pasos para la resolución de un problema

 Realizar una evaluación inicial sobre el tipo de caso que se está investigando
 Determinar un diseño preliminar o aproximación del caso(pensar cómo poder resolver el
problema)
 Crear una lista de control detallada sobre el caso
 Determinar los recursos necesarios
 Obtener y realizar copias de las pruebas
 Identificar los riesgos
 Mitigar o minimizar los riesgos
 Probar el diseño
 Analizar y recuperar las pruebas digitales
 Investigar los datos recuperados
 Completar el informe del caso
 Crítica del caso
Evaluando el caso

Sistemáticamente el esquema del caso detalla:

 Situación, naturaleza y especificaciones del caso

 Tipo de pruebas
Ejemplos: Móvil(localización, archivos, mensajes…), PC (emails, historial de navegación, archivos,
etc), localización de pruebas las cuales pueden ocupar un espacio reducido en un medio de
almacenamiento grande.

 Formato del disco conocido

 Localización de las pruebas

Basándose en esos detalles se pueden determinar los requisitos del caso.

Planeando la investigación

Un plan de investigación básico debe incluir las siguientes actividades:

 Adquirir las pruebas

 Completar un formulario de pruebas y establecer una cadena de custodia
 Llevar las pruebas a un laboratorio de informática forense
 Mantener las pruebas seguras en un lugar autorizado
 Preparar la estación de trabajo forense
 Recuperar las pruebas del lugar donde se almacenan
 Realizar una copia de la prueba:
1. Hacer una copia bit a bit en un medio de almacenamiento idéntico al de las pruebas
originales
2. Hacer copias adicionales(generalmente un par) para trabajar en la investigación

 Devolver la prueba al lugar de almacenamiento seguro autorizado

 Procesar la copia de la prueba con herramientas forenses
 La alteración de las copias puede influir en lo que respecta a la investigación de la evidencia

Un formulario de custodia de pruebas ayuda a documentar qué se ha hecho con las pruebas
originales y sus copias, verificando que ninguna prueba ha sido alterada.

También recibe el nombre de formulario de cadena de pruebas.

Existen dos tipos de formulario:

 Formulario de una sola prueba: Lista cada parte de la prueba en una página separada
 Formulario para múltiples pruebas
 Protegiendo las pruebas

Se utilizan bolsas para evidencias con el fin de catalogar y proteger las pruebas.
 Bolsas y almohadillas antiestáticas
 Contenedores acolchados
 Cierre hermético de todas las aperturas
Es conveniente escribir en las cintas empleadas para el cierre con el fin de poder verificar
que las pruebas no han sido alteradas, así como considerar la temperatura y rangos de
humedad, además de contar con un medio de transporte adecuado hasta ser almacenadas
en el contenedor de protección.

Procedimientos para las investigaciones del sector privado de alta tecnología

Es importante desarrollar procedimientos formales, así como listas de control

 Para tratar todos los asuntos importantes

 Asegurar que se usan técnicas correctas en la investigación

Casos de terminación de los empleados

 La mayoría de estos casos implican el abuso por parte del empleado de los bienes de la
corporación
 Se investigan los incidentes que crean un entorno hostil, de modo que la organización debe
contar con políticas apropiadas.

Investigaciones de abuso en internet

Para gestionar una investigación es necesario:

 Los registros del servidor proxy de la organización
 La dirección IP del sospechoso(incluye fecha de conexión)
 El disco duro del dispositivo perteneciente al sospechoso
 Herramientas de análisis forense

Pasos recomendados:
 Usar técnicas y procedimientos de análisis forense estándar
 Usar herramientas apropiadas para extraer toda la información de la URL perteneciente a la web
 Contactar con el administrador del cortafuegos de red y realizar la petición de un registro en el
servidor proxy
 Continuar analizando los datos del disco duro del ordenador

 Imagen: Copia bit a bit de la información almacenada en un dispositivo. A diferencia de clonar

no requiere otro dispositivo
Hay formatos que dividen los datos contenidos en bloques, comprimen y, a la vez que realizan la
compresión, se crea una huella digital(hash).
 Posteriormente se crea un bitstring, se evalúa un hash y se compara con el obtenido en el
apartado anterior.

Una copia en bruto ocupa más espacio pero es más rápida al no crearse un hash. El inconveniente que
presenta es mayor vulnerabilidad ante defectos.

Formas de recuperar información al borrarla o formatear un dispositivo:

 Reemplazar la tabla de archivos dañada por una copia de seguridad con el fin de restaurar el
estado inicial
 Emplear programas específicos
 Formateos a bajo nivel: Escribir ceros y unos en el dispositivo aleatoriamente (una serie de veces
para áreas que queden sin escribir).