Universidad Autónoma del Estado De

México

Centro Universitario UAEM Atlacomulco

Unidad de Aprendizaje: Transmisión de datos

Actividad: Investigación (Informática Forense)
Nombre del Alumno:
Jesús González Becerril
Nombre del docente: Mario Ivan González Raya
Ingeniería en computación
Quinto Semestre (ICO-25)
Periodo 2022-B
Pueblo Nuevo, Acambay, Méx. A 1 de noviembre de
2022.
La informática forense, computación forense, análisis forense digital o examinación
forense digital es la aplicación de técnicas científicas y analíticas especializadas a
infraestructura tecnológica que permiten identificar, preservar, analizar y presentar
datos que sean válidos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir el bien informático, examinar datos residuales,
autenticar datos y explicar las características técnicas del uso aplicado a los datos y
bienes informáticos.
Esta disciplina hace uso no solo de tecnología de punta para poder mantener la
integridad de los datos y del procesamiento de los mismos; sino que también
requiere de una especialización y conocimientos avanzados en materia de
informática y sistemas para poder detectar dentro de cualquier dispositivo
electrónico lo que ha sucedido.
La importancia de éstos y el poder mantener su integridad se basa en que la
evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble
clic a un archivo modificaría la última fecha de acceso del mismo.
Adicionalmente, un examinador forense digital, dentro del proceso del cómputo
forense puede llegar a recuperar información que haya sido borrada desde el
sistema operativo.
Es por esto que cuando se comete un crimen, muchas veces la información queda
almacenada en forma digital. Es de aquí que surge el estudio de la computación
forense como una ciencia relativamente nueva, tiene sus fundamentos en las leyes
de la física, de la electricidad y el magnetismo. La informática forense, aplicando
procedimientos estrictos y rigurosos puede ayudar a resolver grandes crímenes.
La informática forense se encarga de analizar sistemas informáticos en pro de
buscar evidencia que colabore a llevar a cabo una negociación extrajudicial o una
causa judicial. Es la aplicación de técnicas y herramientas de hardware y software
para determinar datos potenciales o relevantes.
Es la aplicación de técnicas y herramientas de hardware y software para determinar
datos potenciales o relevantes.
También puede servir para informar adecuadamente al cliente acerca de las
posibilidades reales de la evidencia existente o supuesta.
En informática forense hablamos ya no sólo de recuperación de información sino
de descubrimiento de información dado que no hubo necesariamente una falla del

2
dispositivo ni un error humano sino una actividad subrepticia para borrar, adulterar
u ocultar información. Es por lo tanto esperable que el mismo hecho de esta
adulteración pase desapercibido.
La informática forense apela a nuestra máxima aptitud dado que enfrentamos desde
casos en que el dispositivo fue borrado, golpeado y dañado físicamente hasta
ligeras alteraciones de información que pueden constituir un crimen.
La informática forense es, para enfrentar los desafíos y técnicas de los intrusos
informáticos, así como garante de la verdad alrededor de la evidencia digital.
Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento
de la ley empezaron a desarrollar programas para examinar evidencia
computacional. Dentro de lo forense encontramos varias definiciones:
Computación forense (computer forensics):
Disciplina de las ciencias forenses, que procura descubrir e interpretar la
información en los medios informáticos para establecer los hechos y formular las
hipótesis relacionadas con el caso; los elementos propios de las tecnologías de los
equipos de computación ofrece un análisis de la información residente en dichos
equipos.
Forensia en redes (network forensics):
Es un escenario aún más complejo, pues es necesario comprender la manera como
los protocolos, configuraciones e infraestructuras de comunicaciones se conjugan
para dar como resultado un momento específico en el tiempo y un comportamiento
particular, siguiendo los protocolos y formación criminalística, de establecer los
rastros, los movimientos y acciones que un intruso ha desarrollado, este contexto
exige capacidad de correlación de evento, muchas veces disyuntos y aleatorios, que
en equipos particulares, es poco frecuente.
Forensia digital (digital forensics):
Forma de aplicar los conceptos, estrategias y procedimientos de la criminalística
tradicional a los medios informáticos especializados, (¿quién?, ¿cómo?, ¿dónde?,
¿cuándo?, ¿porqué?) de eventos que podrían catalogarse como incidentes, fraudes
o usos indebidos bien sea en el contexto de la justicia especializada o como apoyo
a las acciones internas de las organizaciones en el contexto de la administración de
la inseguridad informática.

3
¿Para qué sirve?
Para garantizar la efectividad de las políticas de seguridad y la protección tanto de
la información como de las tecnologías que facilitan la gestión de esa información.
¿En qué consiste?
Consiste en la investigación de los sistemas de información con el fin de detectar
evidencias de la vulneración de los sistemas.
¿Cuál es su finalidad?
Cuando una empresa contrata servicios de Informática forense puede perseguir
objetivos preventivos, anticipándose al posible problema u objetivos correctivos,
para una solución favorable una vez que la vulneración y las infracciones ya se han
producido.
¿Qué metodologías utiliza la Informática forense?
Las distintas metodologías forenses incluyen la recogida segura de datos de
diferentes medios digitales y evidencias digitales, sin alterar los datos de origen.
Cada fuente de información se cataloga preparándola para su posterior análisis y se
documenta cada prueba aportada. Las evidencias digitales recabadas permiten
elaborar un dictamen claro, conciso, fundamentado y con justificación de las
hipótesis que en él se barajan a partir de las pruebas recogidas.
¿Cuál es la forma correcta de proceder? Y, ¿por qué?
Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales
para no vulnerar en ningún momento los derechos de terceros que puedan verse
afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los
tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un
litigio, para alcanzar un resultado favorable.
Objetivos de la Informática Forense
En conclusión, la utilización de la informática forense con una finalidad preventiva,
en primer término. Como medida preventiva sirve a las empresas para auditar,
mediante la práctica de diversas pruebas técnicas, que los mecanismos de
protección instalados y las condiciones de seguridad aplicadas a los sistemas de
información son suficientes.
Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de
corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre

4
uso de los sistemas de información facilitados a los empleados para no atentar
contra el derecho a la intimidad de esas personas.
Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la
informática forense permite recoger rastros probatorios para averiguar, siguiendo
las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la
seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de
datos a nivel interno de la empresa para determinar las actividades realizadas
desde uno o varios equipos concretos.
La informática forense tiene 3 objetivos, a saber:
• La compensación de los daños causados por los criminales o intrusos.
• La persecución y procesamiento judicial de los criminales.
• La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos son logrados de varias formas, la principal de ellas es la recolección
de evidencia.
Usos de la Informática Forense
Existen varios usos de la informática forense:
Prosecución Criminal:
Evidencia incriminatoria es usada para procesar una variedad de crímenes,
incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de
impuestos o pornografía infantil.
Litigación Civil:
Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados
por la informática forense.
Investigación de Seguros:
La evidencia encontrada en computadores, puede ayudar a las compañías de
seguros a disminuir los costos de los reclamos por accidentes y compensaciones.
Temas corporativos:
Puede ser recolectada información en casos sobre acoso sexual, robo, mal uso o
apropiación de información confidencial o propietaria, o aún de espionaje industrial.

5
Mantenimiento de la ley:
La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales,
así como en la búsqueda de información una vez se tiene la orden judicial para
hacer la búsqueda exhaustiva.
Estándares para la informática forense
ISO/IEC 27037:2012
El estándar ISO/IEC 27037:2012 “Information technology – Security techniques –
Guidelines for identification, collection, acquisition and preservation of digital
evidence”, es una norma para la identificación, recolección, adquisición y
preservación de evidencias digitales. El estándar ISO/IEC 27037:2012 proporciona
directrices para actividades específicas como la identificación, recolección,
adquisición y preservación de potenciales evidencias informáticas que pueden tener
valor probatorio. Este estándar provee, al perito informático, de guías con respecto
al proceso de manejo de la evidencia digital, así como orienta a las organizaciones
en sus procedimientos de intercambio de evidencias digitales entre jurisdicciones
(por ejemplo, para que un juzgado pueda, a fin de ser analizada por un perito
informático, enviar una evidencia digital a otro, manteniendo la cadena de custodia
de dicha evidencia).
El estándar ISO/IEC 27037:2012 incluye directrices de conservación de la evidencia
y la cadena de custodia para dispositivos digitales de almacenamiento, como discos
duros, memorias USB, discos ópticos y magnéticos, teléfonos móviles, PDAs,
tarjetas de memoria, sistemas de navegación por satélite, cámaras de vigilancia
(CCTV), ordenadores con conexión a la red, redes basadas en el protocolo TCP/IP y
similares, etc.
Los principios fundamentales de la norma son los siguientes:
▪ Metodología del proceso: la evidencia debe ser adquirida utilizando un
método no intrusivo o mínimamente intrusivo.
▪ Auditoría del proceso: el procedimiento seguido y la documentación
generada deben poder ser auditados por peritos informáticos ajenos a los
que adquirieron las evidencias, con una trazabilidad del proceso de
recolección de las mismas.

6
 ▪ Reproducción del proceso: el procedimiento debe poder ser repetido por
peritos informáticos ajenos a los que lo ejecutaron por primera vez, partiendo
de las mismas premisas y obteniendo los mismos resultados.
▪ Defensa del proceso: el procedimiento debe poder ser defendido,
demostrando la adecuación de las herramientas utilizadas en el mismo.
Asimismo, el tratamiento de las evidencias para cada tipología de dispositivo, es el
siguiente:
▪ Identificación: localización de la evidencia, sea física o lógica
▪ Adquisición: recolección de la evidencia o de una copia forense de la misma,
así como de la documentación asociada a ésta
▪ Preservación: conservación de la evidencia como elemento inalterado, al
objeto de que pueda ser admitido como prueba, es decir, conservando su
cadena de custodia

ISO/IEC 27042:2015
El estándar ISO/IEC 27042:2015 “Information technology – Security techniques –
Guidelines for the analysis and interpretation of digital evidence”, es una norma
para el análisis e interpretación de evidencias digitales. El estándar ISO/IEC
27042:2015 proporciona directrices sobre cómo un perito informático puede
abordar el análisis e interpretación de una evidencia digital en un incidente o en
una intervención pericial, desde su identificación (evidencia digital potencial),
pasando por su análisis (evidencia digital), hasta que es aceptada como prueba en
un juicio (evidencia digital legal).
Las definiciones que proporciona la norma para su utilización en la realización de
un peritaje informático, son las siguientes:
▪ Evidencia digital potencial: información identificada como posible evidencia
digital, es decir, que aún no ha sido analizada, almacenada en un medio
físico, o transmitida a través de la red en formato binario.
▪ Evidencia digital: información identificada como evidencia digital, tras su
correspondiente análisis forense utilizando las herramientas adecuadas,
almacenada en un medio físico, o transmitida a través de la red en formato
binario.

7
 ▪ Evidencia digital legal: información identificada como evidencia digital que ha
sido aceptada en un procedimiento judicial (prueba o pieza de convicción,
según la terminología jurídica).
▪ Investigación: aplicación de exámenes, análisis e interpretaciones sobre una
potencial evidencia digital hasta convertirla en una evidencia digital legal.
▪ Examen: conjunto de procedimientos que se aplican para identificar y
recuperar una evidencia digital potencial de una o varias fuentes.
▪ Análisis: evaluación de la evidencia digital potencial al objeto de valorar su
posible importancia en una investigación.
▪ Interpretación: síntesis o composición para explicar, dentro de su alcance, los
hechos llevados a cabo en los exámenes y análisis que componen una
investigación.
El estándar habla, asimismo, de los modelos analíticos que pueden utilizar los
peritos informáticos, que se dividen en las siguientes categorías:
▪ Análisis estático: es una inspección de la evidencia digital potencial
(contenido de ficheros, datos borrados, etc.), a fin de determinar si puede ser
considerada evidencia digital. Debe examinarse en crudo y utilizarse
procedimientos que eviten la alteración de la evidencia digital potencial.
▪ Análisis en vivo: es una inspección de evidencias digitales potenciales en
sistemas activos, como memorias RAM, teléfonos móviles, tabletas, redes, etc.
El análisis debe realizarse en caliente. A su vez, el análisis en vivo, se divide
en:
▪ Análisis en vivo de sistemas que no pueden ser copiados ni se puede
obtener una imagen de los mismos: el riesgo para el perito informático
de analizar en vivo este tipo de sistemas es evidente, ya que la
potencial evidencia digital, puede perderse al no poderse realizar una
copia de la misma. Por tanto, es muy importante minimizar el riesgo del
análisis y llevar un registro de todos los procedimientos ejecutados.
▪ Análisis en vivo de sistemas que pueden ser copiados o se puede
obtener una imagen de los mismos: este tipo de sistemas deben
analizarse interactuando con ellos directamente, prestándose sumo
cuidado a la hora realizar emulaciones de software o hardware y
utilizando para ello máquinas virtuales certificadas, o incluso los

8
 entornos reales para obtener unos resultados más cercanos a la
realidad.
Asimismo, la ISO/IEC 27042:2015, enumera ciertas indicaciones o guidelines que
debe incluir el perito informático en su informe pericial, a no ser que existan
indicaciones judiciales en su contra. Dichas guidelines son las siguientes:
▪ Calificaciones del perito informático
▪ Información inicial de que dispone el perito informático y su equipo
▪ Naturaleza del incidente que va a ser investigado por el perito informático
▪ Fecha, hora y duración del incidente
▪ Lugar del incidente
▪ Objetivos de la investigación
▪ Miembros del equipo de investigación supervisados por el perito informático
▪ Fecha, hora y duración de la investigación
▪ Lugar de la investigación
▪ Hechos sustentados por una evidencia digital y hallados durante la
investigación
▪ Daños en la evidencia digital y sus implicaciones en los siguientes estadios
del proceso de investigación
▪ Limitaciones de todos los análisis realizados
▪ Detalle de procesos y herramientas utilizadas
▪ Interpretación de la evidencia digital por parte del perito informático
▪ Conclusiones
▪ Recomendaciones para futuras investigaciones
Por otra parte, la norma recalca que los hechos deben separarse totalmente de las
opiniones del perito informático, de tal forma que dichas opiniones deberán ser
fundadas y estar soportadas por los hechos que se desprendan de las evidencias
digitales investigadas. El perito informático no podrá incluir, por tanto, en el
informe pericial, ningún tipo de juicio de valor o afirmación que no se sustente en
hechos puramente científicos.

9
Por último, el estándar concluye con determinadas indicaciones para los peritos
informáticos, que hablan sobre la formación y el mantenimiento de las habilidades
requeridas para ejecutar con la debida calidad las actividades conducentes a la
gestión de la evidencia digital. Así, estas indicaciones son:
▪ Definición de competencia profesional como habilidad para obtener un
resultado a partir de la aplicación del conocimiento.
▪ La incompetencia de una persona puede lastrar la investigación o, incluso,
echarla a perder.
▪ La competencia profesional de un perito informático debe ser medida e
identificada con métricas como: carreras universitarias, exámenes,
certificaciones, currículum, experiencia profesional, formación continua,
asistencia a eventos formativos como congresos, simposios o conferencias,
etc. En España, según las Leyes de Enjuiciamiento Civil y Criminal, el perito
deberá estar en posesión de la titulación oficial correspondiente a la materia
del dictamen para el ejercicio de la profesión, siendo el caso del peritaje
informático, la Ingeniería o Ingeniería Técnica en Informática.
▪ La competencia profesional de un perito informático deberá ser medida de
forma periódica y en periodos regulares, incluyendo nuevas áreas de
conocimiento.
▪ Un perito informático será considerado competente, cuando de los análisis de
sus investigaciones se obtengan resultados equivalentes a los de otro perito
informático.
▪ La competencia profesional deberá ser validada por terceros independientes
del profesional.

RFC 3227
La RFC (Request For Comments) 3227 es un documento que recoge las principales
directrices para la recolección y el almacenamiento de evidencias digitales,
constituyendo un verdadero estándar para la recopilación y almacenamiento de
evidencias. La RFC 3227 define un proceso para la recolección de evidencias que
ayuda al perito informático a adquirir y catalogar las evidencias digitales.
Así pues, el proceso definido incide en la adquisición de una imagen del sistema
que debe adquirirse lo más fidedigna posible, realizando notas detalladas que
10
incluyan fechas e indicando si se está utilizando la hora local o el horario UTC,
minimizando los cambios en la información que se está recolectando (eliminando si
es posibles los agentes externos que pudieran ejecutar dichos cambios),
priorizando la recolección sobre el análisis, recogiendo la información por orden de
volatilidad (es decir, recopilando primero la información de las memorias cachés y
de la memoria principal -RAM- y, posteriormente, recolectando la información de la
memoria secundaria -discos duros-, seguidamente de las memorias USB y,
finalmente, de las unidades ópticas, logs de sistemas y documentos.
El perito informático, según este estándar, deberá intentar por todos los medios
que se pierda la mínima información posible, tomando la mejor decisión con
respecto a si se deben extraer las evidencias de los ordenadores encendidos que
han sido intervenidos (siempre ante fedatario público o autoridad que levante acta
del proceso), o desconectar la máquina de la red a fin de evitar que se active
cualquier programa informático diseñado para eliminar la información de las
unidades físicas conectadas al ordenador, bien a distancia (botón de pánico), bien
de forma programada. Es necesario señalar que esta desconexión provocará la
desmagnetización de las cachés y de la memoria principal, cuya información se
perderá irremediablemente, razón por la cual es necesario analizar y decidir in situ
cuál es la mejor opción en función de lo que el perito informático perciba en los
diferentes sistemas intervenidos.
Se deberán obviar también las informaciones proporcionadas por los programas del
sistema, ya que éstos pueden haberse visto comprometidos. Tampoco deben
ejecutarse programas que modifiquen los metadatos de los ficheros del sistema.
Asimismo, el perito informático deberá prestar especial atención a no vulnerar, bajo
ningún concepto, la privacidad de las personas, cumpliendo en todo momento con
la Constitución, que protege la privacidad del individuo en su artículo 18, así como
con las leyes que desarrollan dicho artículo. Es necesario prestar también especial
cuidado sobre la información comprometida de la organización, puesto que puede
darse el caso que se hallen almacenadas fórmulas, planos, o cualquier otro tipo de
activos sometidos a las leyes de la propiedad industrial.
Por tanto, la recolección de la evidencia debe seguir los principios de:
▪ Admisibilidad: la prueba debe ser admisible por un Tribunal de Justicia
▪ Autenticidad: debe ser posible vincular la prueba al incidente o delito
▪ Completitud: la prueba debe ser completa, no parcial

11
 ▪ Confiabilidad: no se debe poner en duda el proceso de recolección de la
prueba, por lo que debe conservarse de forma absolutamente escrupulosa la
cadena de custodia, al objeto de evitar que el Tribunal inadmita la prueba
▪ Credibilidad: la prueba debe ser fácilmente comprensible por el Tribunal que
vaya a evaluarla
El estándar define igualmente un procedimiento de recolección de evidencias, que
debería ser lo más detallado posible, inequívoco y reduciendo al mínimo la cantidad
de toma de decisiones necesaria durante el proceso de recolección. Así pues, se
define que el proceso debe ser transparente, de tal forma que todos los métodos
utilizados para la recolección de la prueba deben ser reproducibles, lo que significa
que el procedimiento debe ser forense (del latín forensis, “público y notorio”), así
como el deber de la utilización de métodos estándares.
Se debe crear un listado con todos los sistemas involucrados en el incidente, al
objeto de recoger posteriormente la prueba, estableciendo una relación de las
evidencias que es más probable que sean admitidas, pecando por exceso, en lugar
de por defecto, si fuese necesario, en la toma de precauciones para la recolección
de la evidencia.
Para cada sistema informático, se debe obtener el correspondiente orden de
volatilidad en cada una de sus memorias, desconectando cada sistema del exterior
para evitar alteraciones en las evidencias, reuniendo posteriormente las evidencias
con las herramientas forenses necesarias. Es necesario, asimismo, registrar el grado
de sincronización del reloj del sistema y, a la vez que se van recolectando
evidencias, indagar en la posibilidad de qué otros elementos pueden llegar a
considerarse evidencias. Además, es necesario documentar cada paso y recoger en
un documento las personas involucradas en el procedimiento, tomando nota de
quién estaba allí y de qué estaba haciendo cada uno, así como de sus
observaciones y reacciones. Finalmente, es necesario calcular los resúmenes o
códigos hash para cada una de las evidencias, sin alterar éstas, al objeto de iniciar
un procedimiento de cadena de custodia de las pruebas.
Por otra parte, el procedimiento de archivo de las evidencias define cómo deben
almacenarse las pruebas. La evidencia debe estar claramente protegida y, además,
debidamente documentada. Así pues, el perito informático necesitará, muy
probablemente, la ayuda de un fedatario público (en España, un notario o un
secretario judicial), que otorguen fe pública al acto de generación de la cadena de
custodia mediante el cálculo del código hash correspondiente a la prueba. Además,

12
se debe generar documentación conducente a la descripción clara de cómo se
encontró la evidencia, cómo se manipuló y quién tiene bajo la custodia de quién
está la evidencia en cada momento, detallando los cambios que se produzcan en la
custodia de ésta.
El acceso a las evidencias almacenadas deberá ser limitado y deberán
documentarse también las personas que tendrán permiso para acceder a las
mismas, así como los cambios de custodia que se produzcan en las pruebas. Sería
conveniente, asimismo, implementar un mecanismo que detecte accesos no
autorizados a las pruebas.
Todos los programas que el perito informático necesite para realizar el análisis
forense de las pruebas, deberá ser preparado con anterioridad en medios ópticos
de “sólo lectura”, como CDs o DVDs, debiendo incluir, al menos, un programa de
cada una de las siguientes tipologías:
▪ Un programa para el examen de los procesos
▪ Un programa para examinar el estado del sistema
▪ Un programa para realizar copias bit a bit
▪ Un programa para calcular sumas de verificación o códigos hash
▪ Un programa para la generación de imágenes básicas y para analizar éstas
▪ Una secuencia de comandos para automatizar la recopilación de pruebas.
Además, se deberá estar preparado para garantizar la autenticidad y fiabilidad de
las herramientas que se utilicen.
RFC 4810
La RFC 4810 define un estándar que debe seguirse para la preservación de la
información al objeto de que, la existencia de determinados archivos, creados en un
determinado momento del tiempo, pueda ser probada, así como su integridad
desde el instante de su creación hasta el momento en que es presentada como
evidencia por un perito informático. Igualmente, la RFC define qué tipo de sistemas
de ficheros pueden dar soporte a este tipo de escenarios y qué requisitos deben
cumplir los mismos.
Finalmente, la RFC define la forma en que una firma digital debe poder ser
verificada tras haber transcurrido un tiempo indeterminado desde la generación de
la misma.

13
RFC 4998
La RFC 4998 define un estándar que debe seguirse para la preservación de la
información, incluyendo información firmada digitalmente, al objeto de demostrar
su existencia e integridad durante un periodo de tiempo que puede ser
indeterminado. La RFC define qué tipo de sistemas de ficheros pueden dar soporte
a estos escenarios y qué requisitos debe cumplir un Registro de Evidencias, en el
que se apoye un perito informático, para garantizar la existencia de dicha
información, al objeto de evitar que pueda ser repudiada.
RFC 6283
La RFC 6283 define un estándar para demostrar la existencia, integridad y validez
de información, incluyendo información firmada digitalmente, durante periodos
indeterminados de tiempo. La RFC define, además, la sintaxis en lenguaje extensible
de marcas XML, así como las reglas de procesado, que deben seguirse para la
creación de evidencias íntegras de información de largo periodo al objeto de evitar
su repudio.

Principales certificaciones de seguridad informática

Existe una gran variedad de certificaciones de seguridad. Desde algunas ofrecidas
por organismos o consorcios internacionales hasta otras que son proporcionadas
por algunas de las principales empresas relacionadas con redes y comunicaciones.
A continuación, te presentamos las certificaciones principales:
SSCP (Systems Security Certified Practitioner)
Esta certificación en seguridad informática es ofrecida por el ISC (Consorcio
Internacional de Certificación de Sistemas de Información de Seguridad) y certifica
la capacidad del profesional que la posee para administrar e implementar la
infraestructura de la empresa, y alinearla con las políticas de seguridad que
permiten garantizar la confidencialidad de los datos.
Quienes disponen de esta certificación son capaces de realizar las siguientes
funciones:
• Preparar y ejecutar pruebas de seguridad.
• Detectar y prevenir intrusiones.
• Dar respuesta y recuperarse de problemas de seguridad.

14
 • Implementar autenticación.
Se trata de una certificación en seguridad informática idónea para los siguientes
perfiles:
• Analistas de seguridad.
• Administradores de bases de datos.
• Ingenieros de sistemas.
• Administradores de seguridad.
• Ingenieros de seguridad de redes.
CRISC (Certified in Risk and Information Systems Control)
Se trata de una certificación en sistemas informáticos gestionada por ISACA. Los
profesionales que la obtienen pueden identificar evaluar y preparar respuestas a
diferentes riesgos de seguridad.
Quienes disponen de esta certificación son capaces de realizar las siguientes
funciones:
• Comprender y gestionar los riesgos de las organizaciones.
• Implementar controles de seguridad adecuados.
CISA (Certified Information Systems Auditor)
Esta certificación en seguridad informática está destinada a quienes realizan
auditorías, controles y evaluaciones de los sistemas de TI y también es gestionada
por ISACA.
Quienes disponen de esta certificación son capaces de realizar las siguientes
funciones:
• Realizar evaluación de vulnerabilidades.
• Realizar auditorías.
• Establecer sistemas de control.
• Realizar informes acerca del cumplimiento en la empresa.
• Para obtener esta certificación se debe superar el examen
CISA.CISM (Certified Information Security Manager)

15
Esta certificación en seguridad informática también la gestiona ISACA. Quienes
obtienen esta certificación, además de ser competentes en temas de seguridad,
demuestran las siguientes aptitudes:
• Comprender la relación entre los objetivos de la empresa y el programa de
seguridad de la información de la organización.
• Son capaces de desarrollar y gestionar un programa de seguridad
informática.
Para obtener esta certificación se debe superar el examen CISM y unirse a un
programa de formación continua.
CISSP (Certified Information Systems Security Professional)
En este caso, se trata de una certificación en seguridad informática ofrecida por ISC.
Es una certificación ideal para quienes ya tienen conocimientos amplios, tanto
técnicos como de gestión, así como experiencia.
Quienes tienen esta certificación son capaces de diseñar, implementar y gestionar
programas de seguridad propios.
CompTIA Security+
Se trata de una certificación en seguridad informática confiable a nivel global que
cubre los principios esenciales para la seguridad de la red y la gestión de riesgos.
Quien posee esta certificación constata sus conocimientos para proteger y asegurar
una red contra hackers.
Otras certificaciones en seguridad informática
• CISMP: Information Security Management Principles.
• CompTIA Advanced Security Practitioner.
• Certificaciones de Cisco: CCNA Security y Cisco Certified Network Professional
Security.
• Certificaciones de SANS Institute.
• Certificaciones de Offensive Security.
• Certificaciones CERT, como el CERT-Certified Computer Security Incident
Handler Certification.

16
Bibliografia:
• Certificación en seguridad informática: ¿cuáles son las principales? | Kyocera.
(s. f.). Recuperado 4 de noviembre de 2022, de
https://www.kyoceradocumentsolutions.es/es/smarter-workspaces/business-
challenges/paperless/certificacion-seguridad-informatica.html
• Estándares nacionales e internacionales que puede seguir un perito
informático para realizar el análisis forense de una evidencia y para la
elaboración de un peritaje informático. (2016, 5 noviembre). Perito
Informático Colegiado | Peritaje Informático Forense.
https://peritoinformaticocolegiado.es/blog/estandares-nacionales-e-
internacionales-que-puede-seguir-un-perito-informatico-para-realizar-el-
analisis-forense-de-una-evidencia-y-para-la-elaboracion-de-un-peritaje-
informatico/
• Domínguez, F. L. & ProQuest. (2014). Introducción a la informática forense.
Alianza Editorial.

17