Documentos de Académico
Documentos de Profesional
Documentos de Cultura
net/publication/305320305
CITATION READS
1 1,156
1 author:
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Luz Marina Santos Jaimes on 15 July 2016.
MSc. Luz Marina Santos Jaimes, Ing. Anderson Smith Flórez Fuentes
Universidad de Pamplona
Grupo de Investigación Ciencias Computacionales
Ciudadela Universitaria. Pamplona, Norte de Santander, Colombia.
Tel.: 57-7-5685303, Fax: 57-7-58685303 Ext. 164.
E-mail: {lsantos, ansmith}@unipamplona.edu.co
90
Universidad de Pamplona
I. I. D. T. A.
ISSN: 1692-7257 - Volumen 2 – Número 20 - 2012
Revista Colombiana de
Tecnologías de Avanzada
2. COMPUTACIÓN FORENSE
91
Universidad de Pamplona
I. I. D. T. A.
ISSN: 1692-7257 - Volumen 2 – Número 20 - 2012
Revista Colombiana de
Tecnologías de Avanzada
92
Universidad de Pamplona
I. I. D. T. A.
ISSN: 1692-7257 - Volumen 2 – Número 20 - 2012
Revista Colombiana de
Tecnologías de Avanzada
necesario contar con las herramientas adecuadas o apagando el mismo, para eso se puede utilizar
poseer conocimiento de código de bajo nivel para hardware especializado para realizar estas tareas, o
poder realizar esta captura. La mejor forma de si el sistema fue apagado se puede utilizar
controlar estos casos es con la documentación herramientas tipo live (en algunos sistemas
utilizando el formato 2 (Ver Anexo), el cual operativos estas herramientas trabajan en equipos
permite registrar la información necesaria y con el sistema operativo funcionando, ejemplo:
apropiada. HELIX en el sistema Windows).
Para congelar la escena es recomendable detener el Cuando se manejan las evidencias hay que tener en
servidor afectado, y continuar trabajando con un cuenta que muchas de ellas pueden ser virus, o el
servidor redundante para no afectar la actividad de daño pudo haber sido causado por una falla del
los usuarios, en caso de no tener equipo hardware o software o una falla eléctrica, además
redundante, se hace una copia lo más rápido se tiene que tener en cuenta que el intruso pudo
posible cuidando de no desconectar el servidor, haber dejado trampas para eliminar o modificar
cuando el análisis puede demorar la mejor solución información al momento de hacer el análisis o
es desconectar el servidor por el tiempo que utilizar herramientas anti-forense para evitar ser
demore el copiado de las imágenes. encontrado o rastreado.
Además, se debe tener en cuenta que cada usuario Para evitar estos percances se recomienda hacer
que ingrese de manera legal o ilegal a un sistema varias copias del sistema comprometido, para
modifica con o sin intención algunos archivos del poder trabajar con las copias y realizar varios
sistema. Por ese motivo es importante asegurarse análisis para minimizar el error a la hora de realizar
que al momento de haberse realizado la intrusión las pruebas.
dejar inhabilitado el sistema para evitar estos
imprevistos. Para ello se puede desconectar el La parte más importante de cualquier análisis
servidor de la red o en caso más extremo apagar el forense es manipular y analizar la información. Si
equipo de golpe (desconectar la electricidad) lo esa información no está disponible o es insuficiente
cual puede afectar parte de la evidencia como lo es será necesario realizar un análisis forense
la memoria RAM. exhaustivo del sistema.
Es importante mantener los datos de modo estéril, El primer paso de cualquier análisis forense
es decir preparar el disco duro de tal forma que no consiste en capturar la evidencia. Por evidencia se
se altere o contamine los datos, para que su análisis entiende todo aquella información que pueda ser
se realice de la mejor forma posible, para ello es procesada en un análisis detallado. El fin de este
bueno ayudarse del formato 3 (ver Anexo) el cual análisis es la interpretación lo más exacta posible
hace responsable al analista de cualquier del suceso ocurrido. El objetivo fundamental es
modificación realizada en la evidencia. que en el proceso de la captura no se altere la
escena a analizar.
Para preservar la evidencia de modo original se
debe recoger las evidencias lo más rápido posible y Lugar del análisis: Proceso en un laboratorio o en
sin modificar los archivos del sistema instalando u el sitio seguro. Los investigadores pueden quitar
93
Universidad de Pamplona
I. I. D. T. A.
ISSN: 1692-7257 - Volumen 2 – Número 20 - 2012
Revista Colombiana de
Tecnologías de Avanzada
algunos tipos de evidencia física (las muestras de búsqueda. Por ejemplo, Si el caso es sobre
pelo o de la fibra, por ejemplo) de escenas de pornografía de niños, entonces hojear todas las
crimen para analizar en laboratorios; otros tipos imágenes o videos en el sistema puede ser el
(tales como huellas digitales en una pared o marcas primer paso. Si el caso es sobre una ofensa a través
de carro en el pavimento) se deben examinar en el de Internet, entonces revisar los archivos de
sitio y preservar fotográficamente o por otros historial de Internet puede ser el primer paso.
medios. Al recoger datos digitales, los
investigadores pueden hacer copias exactas usando
las herramientas que copian exactamente los 4. CONCLUSIONES
discos. Esto puede ser muy útil, por ejemplo, una
investigación a una empresa con un solo servidor el Por medio del análisis forense se puede reconstruir
cual no posee servidor redundante, esto puede una escena de un ataque informático, el personal
influir en pérdidas de usuario o en el peor de los que realiza el análisis debe ser altamente entrenado
casos pérdida de dinero por cada minuto que se en seguridad, tener amplio conocimiento de las
tenga desconectado el servidor, el copiado de los herramientas y el sistema operativo, además el
datos permitiría que la investigación procediera. analista debe poseer altas cualidades éticas con el
fin de no manipular la información para el
Documentación de la evidencia extraída: Cada beneficio propio o de terceros.
paso que se da en el análisis forense debe ser
documentado, por eso es imprescindible para la Es importante que las empresas desarrollen buenas
investigación y para el caso que el analista prácticas en seguridad que incluyan planes de
documente cualquier cambio, apertura de archivo, respuesta a incidentes, que definan políticas y
o modificación que realice al archivo a tratar o la procedimientos que deben ser usados en caso de
imagen obtenida del copiado. Se recomienda que la ocurrir un incidente para preservar la evidencia,
información sea manipulada en ambientes que sirva de soporte en un proceso judicial.
controlados con dispositivos de grabación de audio
y video. Las personas que quieran incursionar en el mundo
de la computación forense deben estudiar las
3.4. Presentación de resultados diferentes metodologías existentes, mirar en
cuántos casos han sido utilizadas y en cuantos se ha
Cuando se habla de presentar resultados obtenidos obtenido una solución positiva, para así definir si
es describir el momento, el cómo, desde donde son viables o si se recomienda realizar
vino la intrusión. Esto es lo fundamental y lo único modificaciones, teniendo en cuenta que los
que se puede presentar ante un juzgado si es el crímenes digitales cambian o evolucionan
caso. Para que este documento redactado sea válido exponencialmente al igual que la tecnología. La
el analista debió haber documentado paso a paso lo presente metodología respondió favorablemente a
que hizo desde que llego a la escena, que la luz de los nuevos cambios tecnológicos, cuenta
metodología utilizó, cuales herramientas con documentación y se recomienda su aplicación
incluyendo la hora y lugar en el que realizó el en otros casos.
análisis, que otros investigadores o que personal
estuvo en contacto con la escena o el laboratorio Las metodologías deben estar acompañadas por
mientras se realizaba el análisis. buenas herramientas forenses o toolkits, las cuales
no se mencionan en este artículo ya que cada
Procesar la información: En esta disciplina todos metodología puede variar de acuerdo al caso que se
los procesos son igualmente importantes y cada tenga por resolver.
uno se debe hacer con el mayor cuidado posible. El
no vigilar la herramienta a lo largo del análisis Las empresas que cuentan con sistemas de
puede dar resultados tanto negativos como información de acceso público deben contar con
positivos. Cuando el resultado de la evidencia es sistemas de detección de intrusos en lo posible
negativo es porque se omitieron pasos por creerse inteligentes para alertar sobre posibles
obvios o porque el atacante es muy bueno y utilizó instrucciones a los sistemas.
herramientas anti forenses. Si el análisis es hecho
por el analista forense solamente, el analista gana
experiencia al resolver el caso, debe proporcionar
algunas ideas en cuanto a qué palabras claves o
frases específicas puede utilizar para iniciar la
94
Universidad de Pamplona
I. I. D. T. A.
ISSN: 1692-7257 - Volumen 2 – Número 20 - 2012
Revista Colombiana de
Tecnologías de Avanzada
REFERENCIAS
SITIOS WEB
Interpol Colombia (2008). Informe forense de
INTERPOL sobre los ordenadores y equipos Dittrich, David (2002). Análisis forense de
informáticos de las FARC decomisados por sistemas GNU/Linux.
Colombia. http://es.tldp.org/Presentaciones/200211hispali
Flórez F., Smith (2006). Metodología para el nux/odisho/analisisforense.html. (Consultado:
análisis forense. Proyecto de Grado Ingeniería 10 de noviembre 2011)
de Sistemas, Universidad de Pamplona.
DragonJAR. (2009). Metodología Básica de
Vargas D., José (2010). Proceso de análisis
informático forense sobre plataforma linux. Análisis Forense.
Proyecto de Grado Ingeniería de Sistemas, http://www.dragonjar.org/curso-gratuito-de-anlisis-
Universidad de Pamplona. forense-basico.xhtml. (Consultado: 10 de
noviembre 2011)
Yun Wang, et al. (2005) Foundations of computer
forensics: A technology for the fight against InetSecur S.L. (2004). Análisis Forense
computer crime. Elseiver. Computer Forensics. http://lgomez.es/wp-
doi:10.1016/j.clsr.2005.02.007 content/uploads/2011/05/2004-ncn-forensics-
McKemmish, Rodney. (1999). What is forensic gomezmiralles.pdf. (Consultado: 10 de
computing. Trends and issues in crime and noviembre 2011)
criminal justice.
Farmer, D., and Venema, W. (1999). Murder on
the Internet Express ANEXOS
Palmer, G. (2001). A Road Map for Digital
Formato 1: Estudio de la Zona Afectada
Forensic Research. Report from the First Número de caso: __________ Fecha y hora: __/__/__ __:__ __
Digital Forensic Research Workshop A. Características del equipo:
(DFRWS), Utica, New York Marca del Equipo: __________ Serial: ___________________
Procesador: _________________
Broucek, Vlasti and Turner, Paul. (2006). Winning Memoria:_________________
the battles, losing the war? Rethinking Disco Duro: _______________ Tamaño: _________________
methodology for forensic computing research. Unidades:
CD: Floppy: USB: #___ Teclado: Mouse:
Springer-Verlag France. J Comput Virol 2:3–12 Dispositivos Adicionales:
Conpes. (2011). Lineamientos de política para Tarjeta de Video: Aceleradora:
ciberseguridad y ciberdefensa. Consejo Otros: ______________________________
Nacional de Política Económica y Social, B. Característica de la red:
República de Colombia, Departamento Dirección IP: __________Mascara de Subred: _____________
Nacional de Planeación. Gateway: _____________Dirección Física: _______________
Servidor DNS: ________ DNS Alternativo: _______________
Congreso de Colombia. (2009). Ley 1273 “de la
protección de la información y de los datos” C. Programas instalados:
Pollitt, Mark M. (2007). An Ad Hoc Review of El sistema actualmente es un servidor:
Posee servidor de respaldo:
Digital Forensic Models. Proceedings of the Sistema Operativo: ____________Versión: _______________
Second International Workshop on Systematic Antivirus: , Cual: ____________Versión: _______________
Approaches to Digital Forensic Engineering Firewall: Cual: _____________ Versión: _______________
(SADFE'07). Sistema de Detección de Intrusos:
Cual: ____________________ Versión: ______________
ACPO (2007). Good Practice Guide for Computer- Manejo de Bases de datos para Usuarios externos e internos:
Based Electronic Evidence. Association of Clasificación por usuarios:
chief police officers. Aplicaciones Instaladas: Versión:
1. __________________ _______________________
Carrier, Brian and Spafford, Eugene. (2003) 2. __________________ _______________________
“Getting phisycal with the digital 3. __________________ _______________________
investigationprocess”. International Journal of 4. __________________ _______________________
Digital Evidence. Economic Crime Institute Cuentas Administradores:
1. ____________________
(ECI),Utica College. Volume 2, issue 2 2. ____________________
3. ____________________
95
Universidad de Pamplona
I. I. D. T. A.
ISSN: 1692-7257 - Volumen 2 – Número 20 - 2012
Revista Colombiana de
Tecnologías de Avanzada
Detalles de la imagen:
Fecha y hora de la creación: __/__/__; __:__ __
Tipo de copiado: ______ Tipo de Hash: __________________
Numero de archivos: ____ Nombre de la imagen: __________
Nombre del analista que realizo la imagen: _______________
B. Tipo de manipulación
Manipulación: Interna __ Externa: __
Nombre de la cuenta por la que ingresaron: ________________
Permisos de la cuenta: ________________________________
Personas que manejan la cuenta: ________________________
96
Universidad de Pamplona
I. I. D. T. A.