Presentado por:

Fredy Paternina Matos.

Id: 2221428

Entregado:

Ing. John Alberto Talero Patiarroyo

Materia:

Informática Forense

Modulo:
Ciencia forense

Programa:
Especialización en Ciberseguridad.

Universidad Autónoma de Occidente

Fecha: 24 de Junio del 2022.
 21 18 10

Departamento Medellín Municipio Itagüí Fecha 23/06/2022 Hora:

De conformidad con lo estipulado en los artículos 210, 255, 257, 261, 275 Y 406
del C.P.P me permito rendir el siguiente informe, bajo la gravedad del juramento.

1. Destino del informe:

Doctor.
Jhon Alberto Talero Patiarroyo
Fiscal 15 Seccional.Cali.

2. Objetivo de la diligencia

Realizar un análisis forense informático sobre los datos entregados por la policía
1520, especializada Unidad de Estructura y apoyo con el Doctor Jhon Talero
Patiarroyo para obtener evidencias que puedan demostrar las actividades
delictivas de los sospechosos obteniendo la siguiente información:

3. Descripción clara y precisa del elemento material probatorio y evidencia

física examinados:

3.1. EVIDENCIA No. 01: Se tiene una imagen con un tamaño de 3 Gg, la cual
contiene instalado Windows XP service pack 3.
Se lleva a cabo el procedimiento para analizar la imagen usando la
aplicación Autopsy 4.19.3, donde se saca ciertas evidencias donde se
puede comprobar conductas delictivas que emplearon los individuos
acusados. En el proceso se pudo obtener pruebas donde se terminan
imágenes de presencia de alcaloides, presencia de cocaína y derivados.
3.2 EVIDENCIA No. 02
Podemos evidenciar que en el equipo existen 4 usuarios creados:

3.3 Evidencia No.3

El usuario IAN podemos ver que el usuario IAN en la carpeta imágenes
contiene un archivo comprimido llamado Pedofilia
3.4 Evidencia No4:
El usuario Jhon, podemos evidenciar que en la galería de imágenes se
encuentran fotos muy comprometedora relacionado con la cocaína y todos su
derivados.
3.5 Evidencia No5:
Del usuario de JOHN: Existe un archivo que se llama Coca en formato PDF, la cual
contiene 5 imágenes, todo relacionado con las plantas de la cocaína.

3.6 Evidencia No6:

Además, contiene un archivo llamado contrasenyas.xls. La cual se encuentra con
contraseña.
Existen 4 registros fotográficos en formato Jpeg que contiene información relacionado
con una vivienda, plano.

3.7 Evidencia No7:

En la carpeta de eliminado podemos evidenciar que borro 3 imágenes, la cual contiene

información con relación a una vivienda, una calle.
3.8 Evidencia No8:
En la carpeta de eliminado podemos evidenciar que borro en formato Excel llamado
Dc1.xls. Es una data la cual contiene información relacionada con el sexo, pornografía
etc.

3.9. Evidencia No9:

Podemos evidenciar que se encuentran 7 ficheros fotográficos en formato JPG, los
cuales contienen los siguientes nombres:
Name File Format User Cámara Móldelo F. Creación Hora Tamaño
2407-Scan_Pic0005[1] JPF Jessy Samsung GT-I8190 2012-05-01 423 KB
20:12:08
COT

8887-20130404_102700
JPF Jhon Samsung GT-I8190 2013-04-04 3.37 Mb
10:26:59
COT

8889-20130404_102702
JPF Jhon Samsung GT-I8190 2013-04-04 3.31 Mb
10:27:02
COT

8891-20130404_102715
JPF Jhon Samsung GT-I8190 2013-04-04 10:27:143.16 Mb
COT

10581- JPF Jhon Samsung GT-I8190 2013-03-29 3.16 Mb

14:00:32
20130329_140030 COT

0583-20130329_140033
JPF Jhon Samsung GT-I8190 2013-03-29 3.16 Mb
14:00:29
COT

10585- JPF Jhon Samsung GT-I8190 2013-03-29 3.16 Mb

14:00:34
20130329_140035 COT

3.9.1 Evidencia No10:

 Pedofilia.zip: Al extraer podemos observar que se encuentran fotos en
formato PNG en total suman un total de 186 y que están se encuentran
protegidas por contraseñas.
 Contactes.xls: Archivo protegido con contraseña
 Coca.pdf: La contiene información de fabricación de la cocaína, tipos de
cocas entre otras.
 Dc1.Xls: Es una data la cual contiene información relacionada con el sexo,
pornografía etc.
4. Descripción de los procedimientos técnicos empleados

4.1 Análisis de la imagen del equipo de cómputo.

4.1.1 Verificación de la Integridad

4.2 Procedimiento de inicio.

Se crea un caso en el Autopsy utilizando el archivo Practica UAO
Nombre del caso: FPM_001
Numero: U001.
Examinador: Fredy Paternina Matos

Imagen del caso: Imagen.01

Imagen 1: creación del caso.

5. Informe sobre el grado de aceptación por la comunidad técnico
científica, de los procedimientos empleados.

Para lograr el cumplimiento de los principios de Relevancia y Suficiencia es necesario

adoptar procedimientos de sub-clasificación a través del análisis. Dentro de la etapa de
análisis, el especialista de evidencia digital, se encuentra con diferentes tipos de
evidencia que no pueden ser clasificadas directamente como relevantes y suficientes por
sí mismas, estas evidencias pueden obtener un valor relativo cuando sean
correlacionadas con otra evidencia.

6. Instrumentos empleados y estados de estos al momento del examen

Para la selección de evidencias se tendrán como guía los conceptos del estándar
internacional ISO/IEC 27037 Information Technology – Security techniques –
Guidelines for identification, collection, acquisition, and preservation of digital
evidence.

La norma ISO/IEC 27037 define las siguientes etapas con las respectivas
recomendaciones en detalle:
 Identificación.
 Recolección.
 Adquisición.
 Preservación.

El estándar ISO 27037 define dos actores muy importantes dentro de un proceso
forense informático, estos actores son el DEFR o primer respondiente quien está
a cargo de las etapas de identificación, recolección y adquisición, y el DES o
especialista de evidencia digital, quien es el encargado de continuar con las
etapas de preservación, análisis y reporte.

La etapa de análisis, que no esta propuesta en la ISO/IEC 27037, será llevado a

cabo bajo las siguientes sub etapas:
 Ejecución de pruebas.
 Clasificación.
 Exploración y correlación.
 6.1 A continuación se muestra el listado de pruebas técnicas que se le aplico a la
imagen obtenida, las pruebas han sido clasificadas de acuerdo a los tipos de
datos que contienen cada una está. Aunque las pruebas se lleven a cabo de
forma independiente, se tiene como objetivo relacionar los resultados y

complementarlos entre sí:

7. Explicación del principio o principios técnicos – científicos

aplicados (Informe sobre el grado de aceptación por la comunidad
científica)

El manual para la práctica de pruebas para sustancias prohibidas, fiscalía general

de la nación e instituto colombiano de medicina legal.

8. Descripción clara y precisa de los procedimientos de su actividad técnico-

científica

8.1 El criterio para seleccionar elementos de las imágenes como evidencia digital
será apoyado en los principios propuestos por el estándar ISO/IEC 27037, dichos
principios son los siguientes:
 Relevancia: el material seleccionado debe ser importante para la investigación.
 Confiabilidad: los procedimientos usados deben ser auditables y repetibles.
 Suficiencia: el material seleccionado debe ser suficiente o completo para llevar
a cabo la investigación. Aunque gran parte de la tarea de garantizar el
cumplimiento de estos principios recae sobre el DEFR, el DES también debe
 tenerlos en cuenta para los procedimientos que realiza, es decir, en la etapa de
preservación, análisis y reporte también se tendrán presentes los tres principios.

8.1.1. Por lo anterior se puede afirmar que la imagen forense obtenida es la misma.

9. Interpretación de Resultados

9.1.1. Una vez realizadas todas las verificaciones con respecto al EMP y EF enviado
para estudio, estas verificaciones como se explica anteriormente cuentan con la
aceptación de la comunidad científica por lo cual puedo dar claridad en que la
sustancia Cannabis.

10. Anexos.
Soporte fotográfico de instrumentos empleados y procedimiento en el estudio

Anexo 1: Coca.jpg
Anexo 2: Kasius 2.jpg

Anexo 3: Kasius.jpg

Anexo 3: María en negocio Jorge.jpg

Anexo 4 : Mercancia2.jpg

Anexo5: Mercancia.jpg

Anexo6: Pastillas.jpg
Anexo7: Proceso final.jpg
CONCLUSIONES

A continuación se presentan las conclusiones clasificadas en dos formas, conclusiones

técnicas y conclusiones generales, las conclusiones técnicas presentan al lector aquellas
terminaciones obtenidas sobre el procedimiento e incidencias técnicas del análisis, las
conclusiones generales le presentan al lector las terminaciones deducidas de las
evidencias digitales puras.
Conclusiones Técnicas.
 Los datos encontrados han direccionado la etapa de análisis sobre los archivos
procedentes de las cuentas (Ian, Jessy, Jhon)
 .La persona que administra la cuenta de usuario Jhon posee un conocimiento
técnico medio en el uso de tecnologías de información, ya que se pudo
evidenciar que algunas archivos fueron cifrado
 Se comprobó una relación lógica de la imagen del disco posee información
confidencial la cual se puede tomar como evidencias para una declaración.
Glosario:

SISTEMA OPERATIVO: programa de un sistema informático que gestiona los

recursos de hardware y provee servicios a los programas de aplicación de software,
ejecutándose en modo privilegiado respecto de los restantes

PROCESO: una unidad de actividad que se caracteriza por la ejecución de una

secuencia de instrucciones, un estado actual, y un conjunto de recursos del sistema
asociados

HASH: función computable mediante un algoritmo permite firmar digitalmente un

archivo garantizando que sea único e irrepetible.

EJECUTABLE: archivo binario, o como se le conoce habitualmente, cuyo contenido se

interpreta por el ordenador como un programa.

MD5: Herramienta que permite garantizar la autenticidad, preservación e integridad de

los elementos materia de prueba (evidencias), recolectadas en virtud de una
investigación.

SHA1: Herramienta que permite garantizar la autenticidad, preservación e integridad

de los elementos materia de prueba (evidencias), recolectadas en virtud de una
investigación.

IMAGEN FORENSE: Copia exacta bit a bit de un dispositivo de almacenamiento digital.

ANÁLISIS FORENSE INFORMÁTICO es la aplicación de técnicas científicas y

analíticas especializadas a infraestructura tecnológica que permiten identificar,
preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

ARTEFACTOS FORENSES registro sobre toda actividad realizada por el sistema o el

usuario, programas utilizados, accesos, conexiones, aplicaciones, descargas desde
Internet, etc.
AUTOPSY Plataforma de analisis forense digital con interfaz grafica desarrollada por
Basis Technology.

BASE DE DATOS Conjunto de datos pertenecientes a un mismo contexto y

almacenados sistemáticamente para su posterior uso BMP Extensión del tipo de archivo
de mapa de bits de Windows (Windows bitmap).

CADENA DE CUSTODIA se define como el procedimiento controlado que se aplica a

los indicios materiales relacionados con el delito, desde su localización hasta su
valoración por los encargados de su análisis, normalmente perito, y que tiene fin no
viciar el manejo que de ellos se haga y así evitar alteraciones, sustituciones,
contaminaciones o destrucciones.

CIFRADO un método que permite aumentar la seguridad de un mensaje o de un

archivo mediante la codificación del contenido, de manera que sólo pueda leerlo la
persona que cuente con la clave de cifrado adecuada para descodificarlo.

CONDUCTA CRIMINAL Es una conducta antisocial que abarca un amplio rango de

actos y actividades que infringen reglas y expectativas sociales, muchas de ellas
reflejan acciones contra el entorno, personas y propiedades.

EVIDENCIA cualquier conocimiento o prueba que corrobora la verdad de una

proposición.

EVIDENCIA DIGITAL abarca cualquier información en formato digital que pueda

establecer una relación entre un delito y su autor. Desde el punto de vista del derecho
probatorio, puede ser comparable con “un documento” como prueba legal. Con el fin
de garantizar su validez probatoria, los Análisis Forense

GIF es un formato gráfico utilizado ampliamente en la World Wide Web, tanto para
imágenes como para animaciones.

HASH es una función computable mediante un algoritmo,que tiene como entrada un

conjunto de elementos, que suelen ser cadenas, y los convierte (mapea) en un rango
 de salida finito, normalmente cadenas de longitud fija.

IMAGEN FORENSE es uno o varios archivos que contienen la estructura y contenidos

completos de un dispositivo o medio de almacenamiento de datos, como un disco duro,
un disquete o un disco óptico (CD, DVD).

INFORME PERICIAL es una estructura formal de presentación de resultados

periciales, adecuada para su comprensión e interpretación por parte de lectores que no
son especialistas en la materia peritada. Normalmente, pero no de manera excluyente,
se trata de operadores del derecho, en particular funcionarios judiciales

PASSWORD contraseña o clave, es una forma de autentificación que utiliza

información secreta para controlar el acceso hacia algún recurso.

Servidor de Policía Judicial:

Entidad Código Grupo de PJ Servidor Identificación

Universidad OAU 15 Perito 45515150
FREDY PATERNINA MATOS

Firma,

FREDY PATERNINA MATOS

Perito en
Informática
Forense
Celular
3126597
Email: fredy.paternina@uao.edu.co

fredy.paternina@uao.edu.co
Medellín, municipio Itagüí Cll 40.115