CURSO PRIMEROS

RESPONDIENTES Y ANALISTAS
FORENSES DIGITALES
 Tabla de contenido
01 02
Conceptos básicos Derechos Humanos
de legislación sobre de 4ª generación
cibercrimen

03 04
Concepto de evidencia Gestión adecuada de la
digital cadena de custodia
 Tabla de contenido
05 06
Taller de trabajo Concepto de primer
práctico de cadena respondiente
de custodia

07 08
Rol y jerarquías Análisis preliminar de la
escena del crimen
 Tabla de contenido
09 10
Toma de decisiones Métodos de
en la estrategia preservación de la
inicial evidencia

11 12
Taller de trabajo práctico Taller de trabajo práctico
de gestión de la cadena de volcado y extracción
de custodia mediante forense de celulares,
HASH tabletas y drones
 Tabla de contenido
13 14
Taller de trabajo Taller de presentación de
informes y simulacro de
práctico de volcado defensa de informes ante
y extracción de PC sede judicial
entorno Windows
TALLER DE RATIFICACIÓN
DE INFORME EN CORTE
JUDICIAL
 Ciberdelincuencia

Los delitos informáticos son una serie de actividades ilícitas que se cometen mediante el
uso de ordenadores, sistemas informáticos, dispositivos electrónicos o de comunicación
y que tienen por objeto causar daños, lucrarse, provocar pérdidas, etc.
Según el FBI el ciberterrorismo puede definirse como «cualquier ataque premeditado o
políticamente motivado contra la información, los sistemas informáticos, los programas
informáticos y los datos, que se realicen violentamente contra objetivos civiles por grupos
infranacionales o agentes clandestinos» (FBI, 2015). En esta misma línea fue definido por
la doctrina (Janczewski y Colarik, 2008)
El término ciberterrorismo (cyber terrorism) fue acuñado en 1996 al combinar los
términos cyberspace y terrorism: «Cyber terrorism means premeditated, politically
motivated attacks by sub national groups or clandestine agents, or individuals against
information and computer systems, computer programs, and data that result in violence
against non-combatant targets».
La criminalidad informática, por otro lado, tiene un alcance mayor y puede incluir delitos tradicionales
como fraudes, chantajes, robos, falsificaciones, malversación de caudales públicos, etc., en los cuales los
ordenadores, sistemas o medios informáticos han sido utilizados como medio para la comisión de la
conducta ilícita.

Bajo coste

Atribución de Origen en
autoría cualquier
anónima o punto del
suplantada planeta
CARACTERÍSTICAS
DE LOS
CIBERATAQUES

Reducido Alto nivel de

riesgo para el posibilidades
atacante de impacto
Son delitos que debido a la utilización de las TIC conllevan investigaciones que van más
allá del delito tradicional, lo que implica una mayor formación, especialización y
conocimiento (Costa, 2012)
Los tipos de cibercrimen existentes se pueden clasificar en cuatro:

Ciberfraude (con
Ciberespionaje
fines económicos)

Ciberacoso y otras
Ciberterrorismo
formas de abuso
 Riesgos y amenazas más comunes

Estados extranjeros Hacking y/o piratas Crimen organizado

• Los estados en conflicto • Aunque la terminología • El anonimato y la rapidez

recurren en ocasiones a Hacker podría de ejecución hacen del
ataques específicos. interpretarse en distintas ciberespacio,
vertienes, en este especialmente en la Deep
• Dado el bajo coste y la
apartado se incluye a los web, un escenario
alta capacidad de
que utilizan sus perfecto para el crimen
impacto, hacen de la
conocimientos técnicos organizado.
escena cibernética un
para atentar contra
scenario ideal. derechos o cometer
delitos.
 Riesgos y amenazas más comunes

Organizaciones terroristas y
Delincuencia común Activismo político:
ciberyihadistas

• Es habitual que el fenómeno • La delincuencia común utiliza • Es un caldo de cultivo ideal

terrorista utilice el medio de forma habitual el entorno para fortalecer la imagen
cibernético para sus cibernético como scenario de política y buscar perfiles
Comunicaciones, difusión nuevas tipologías delictivas similares o influir en los
propagandística y labores de relacionadas denominados indecisos.
captación de nuevos fundamentalmente con
integrantes. ataques al derecho a la
intimidad, falsedades,
amenazas, pornografía
infantile, pirámides de valor y
todo tipo de timos y estafas.
MAPA A TIEMPO REAL DE CIBERATAQUES
En 2016, el INCIBE contabilizó más de cien
mil incidentes informáticos en España, un
130% más que el año anterior. España se
sitúa como el tercer país más atacado del
mundo solo adelantado por Reino Unido y
EE.UU.
- Su principal objetivo es el robo de
información y se originan en mayor parte
130%
desde China y Rusia. Incremento con
respecto al año
anterior

32%
Empresas españolas
han sufrido algún tipo
de ataque
 - Bajo coste
- Alto nivel de posibilidades
- Origen en cualquier punto
de impacto
del planeta

Características
de los
ciberataques

- Reducido riesgo para el - Atribución de autoría

atacante anónima o suplantada.
Recuperación avanzada de
datos en Móviles dañados o
inservibles.

Prof. Javier Martín Porras

UFED CELLEBRITE TOUCH II
MSAB XRY
Extración iphone X
LPF JTAG NO DESTRUCTIV
BRAZOS ARTICULADOS JTAG
Extracción física. Chip-off
CASO MOVILES
DESTRUIDOS
Derechos Humanos
de 4ª Generación
"El más básico derecho que se le atribuye al ser humano, inmediatamente
después del derecho a la vida, ha de ser el derecho al libre desarrollo de la
personalidad.

La existencia digital: La personalidad es un concepto jurídico-filosófico un

tanto difuso, y deriva directa y fundamentalmente de la existencia del ser.
Los derechos de cuarta generación se encuentran sustentados en la
necesidad de asegurar el acceso a las tecnologías de la información y
la comunicación a todos los individuos. La tecnología surge por una
necesidad y su fin es hacer más eficientes los recursos y facilitar
nuestra vida cotidiana.
Derechos Humanos 4º Gen
• El derecho de acceso a la informática.

• El derecho de acceso a la sociedad de la información en condiciones de

igualdad y no discriminación.

• Al uso del espectro radioeléctrico y de la infraestructura para los servicios

en línea sean satelitales o por vía de cable.

• El derecho a formarse en las nuevas tecnologías.

• El derecho a la autodeterminación informativa.

• El derecho al Habeas Data y a la seguridad digital.

 Derechos Digitales
• El derecho a existir digitalmente
• El derecho a la reputación digital
• La estima digital
• La libertad y responsabilidad digital
• La privacidad virtual, el derecho al olvido, el derecho al anonimato
• El derecho al big-reply
• El derecho al domicilio digital
• El derecho a la técnica, al update, al parche
• El derecho a la paz cibernética y a la seguridad informática
• El derecho al testamento digital
Concepto de
evidencia digital
 DIFERENCIAS ENTRE
INDICIO Y EVIDENCIA EN
EL ÁMBITO DIGITAL
 INDICIO
Lo que nos hace pensar en algo
Presunción de algún hecho
que pudo haber ocurrido
Son fuente de prueba
Son integrados al proceso
para ser analizados e
investigados
Son hipótesis que conllevan
a una suposición
EVIDENCIA
Cuando algo demuestra la existencia de una relación
Prueba determinante
de un proceso
Muestra verificada y certera
obtenida de una investigación
Se obtiene a través del
análisis de los elementos
indicativos, resultando ser
objetivas
La evidencia digital es una denominación usada de manera
amplia para describir cualquier registro generado o
almacenado en un sistema computacional que puede ser
utilizado como prueba en un proceso legal.

Puede dividirse en tres categorías:

• Registros almacenado en el equipo de tecnología informática

(correos electrónicos, imágenes, etc.)
• Registros generados por los equipos de tecnología
informática (registros de auditoría, registros de transacciones, etc.)
• Registros que parcialmente han sido generados y
almacenados en los equipos de tecnología informática (hojas
de cálculo financieras, consultas especializadas en bases de datos, etc.)
 LA IMPORTANCIA DE LA PRUEBA DIGITAL

• En todas las jurisdicciones es importante:

• Correos electrónicos como motivos de despido.
• Whatsapp aceptando un cambio en la custodia de los menores.
• Formas de cometer delitos. Cada día en el mundo:
• Cuarenta millones de ataques informáticos.
• La pandemia ha provocado un incremento de la delincuencia informática con
mensajes diarios a correos electrónicos y mensajes y SMS intentando que el
ciudadano caiga en la trampa y exista un apoderamiento de datos personales.
• El 80% de los delitos en Internet son estafas, y que, en consecuencia, la forma de
probar la víctima y perjudicado el delito que se ha cometido se tiene que hacer por
prueba digital.
• Además, es curioso que se estén registrando descensos anuales en la delincuencia
normal entre el 3% y el 4 % mientras que en España el ciber crimen aumenta en
torno al 12 %.
 CONCEPTO

Como señala JOAQUÍN DELGADO:

Por prueba digital o electrónica cabe entender toda información de valor
probatorio contenida en un medio electrónico o transmitida por dicho
medio.
En esta definición cabe destacar los siguientes elementos:
1. Se refiere a cualquier clase de información;
2. Que ha ser producida, almacenada o transmitida por medios
electrónicos;
3. Y que pueda tener efectos para acreditar hechos en el proceso abierto
en cualquier orden jurisdiccional. Téngase en cuenta que, en el ámbito
penal, puede servir para la investigación de todo tipo de infracciones
penales y no solamente para los denominados delitos informáticos.
 PERO ¿ QUE ES UN MEDIO DE PRUEBA?

MAITE VALDECANTOS:
• Es un concepto procesal
• Que se refiere a la actividad desplegada
para introducir una fuente de prueba al
proceso.
• Por ende, los medios de prueba son
tasados y limitados (numerus clausus)
¿ COMO HACER LLEGAR ES PRUEBA AL ÓRGANO JUDICIAL PARA SU COMPROBACIÓN?

• En muchas ocasiones, la fuente de prueba no es

algo físico que se pueda presentar y/o aportar:
▪ Contenido de una página web

▪ Contenido en Facebook, Instagram…

• Lo que se aporta es la “adveración” de ese

contenido.
• Lo que es prueba digital se documentaría,
pasando a ser prueba documental respecto a lo
que era fuente de prueba digital.
 PRECONSTITUCIÓN DE PRUEBA

Se caracteriza por su volatilidad y lo que nos hace

falta es «fotografiarla» probatoriamente para poder
estar en condiciones de probar en su momento que
este contenido existió, aunque más tarde haya
podido desaparecer
 EVIDENCIA DIGITAL

▪ Puede ser considerada como cualquier información almacenada o transmitida en forma digital,
que una de las partes podrá utilizar en el juicio.

▪ Describir cualquier registro generado o almacenado en un sistema computacional que puede ser
utilizado como prueba en el proceso legal.

La evidencia digital puede dividirse en tres categorías:

Registros almacenados en el equipo de tecnología
informática

Registros generados por los equipos de tecnología

informática

Registros que parcialmente han sido generados y

almacenados en los equipos de tecnología informática.
La evidencia digital tiene como OBJETIVO PRINCIPAL recolectar evidencia digital presente en toda
clase de infracciones.

Cano clasifica la evidencia digital que contiene texto en 3 categorías

1. Registros generados por computador
2. Registros no generados sino simplemente almacenados computadores
3. Registros híbridos que incluyen tanto registros generados por computador como almacenados en los
mismos.

Harley Kozushko (2003), menciona que la evidencia digital se puede clasificar, comparar, e individualizar.
1. Contenido
2. Función
3. Características

Edmond Locard (1910): “Las evidencias son testigos mudos que no mienten”.
FASES DEL ANÁLISIS
FORENSE.
Preservación de la evidencia digital

Búsqueda y recopilación de evidencias

Descubrir las señales

Documentar detalladamente todas las operaciones que realice

Informe de evidencias
Clonación bit a bit
Cadena de
hardware de la
custodia
evidencia
• Procedimiento de supervisión técnico-legal que se usa para determinar y
precisar los indicios digitales afines a la transgresión, desde el momento que
se detectan y son denunciados, hasta que son valorados por los diferentes
especialistas encargados de sus análisis, normalmente peritos judiciales.

• La finalidad del procedimiento tiene como objeto no viciar el

manejo de los medios probatorios, y así evitar la manipulación,
contaminación, alteración, daños, reemplazos o destrucción.

• Conjunto de actos técnicos y jurídicos realizados por personal especializado

para garantizar la autenticidad, la inalterabilidad y la indemnidad.
• Como primer paso debe realizar dos copias de las evidencias obtenidas, generando una
suma de comprobación de la integridad de cada copia mediante el empleo de
funciones hash tales como MD5 o SHA256.

• Hay que incluir estas firmas en la etiqueta de cada copia de la evidencia sobre el
propio USB o DVD, incluyendo también en el etiquetado la fecha y hora de creación de la
copia, nombre cada copia, por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente
del original.

• El perito informático debe documentar de forma clara cómo ha sido preservada la

evidencia tras la recopilación.

• Es imprescindible definir métodos adecuados para el almacenamiento y etiquetado

de las evidencias
PRINCIPIOS DE OBLIGADO CUMPLIMIENTO PARA UN PROFESIONAL SON:

Autenticidad y
Objetividad Legalidad
conservación

Idoneidad Inalterabilidad Documentación

Repetibilidad de
la prueba
OTROS PRINCIPIOS RELACIONADOS CON LA PRÁCTICA PERICIAL:

Tecnológico
Protección y Identidad de
interdisciplinari
preservación copias
o

Compatibilizaci
Oportunidad
ón
Trilogía de Daubert como complemento de la normalización

1- Daubert
2- Daubert
Probado o
revisada y Tasa de error
publicada ámbito
científico

Protocolización Identificar la
3-Daubert
y metodología
Cientifidad adecuada
normalización
CADENA DE CUSTODIA
FÍSICA Y DIGITAL
 LA EVIDENCIA TECNOLÓGICA puede ser:

Física del soporte de Digital por los datos

almacenamiento que contiene el soporte
El procedimiento empleado no debe arrojar sospechas de su alteración digital.
Por ello, el perito judicial debe
• Realizar una clonación: disco duro, grabación, etc. sobre la que se va a trabajar.
• Calcular el hash criptográfico ante Notario.
La prueba real, debe ser custodiada en el Juzgado, ante Notario o bien, a través de cualquier sistema de
precintado o recurso que aísle e impida su posterior manipulación por terceros.
Cualquier cambio en la información, por pequeño que sea, altera totalmente su hash.

CUIDADO, NO CONFUNDIR CON OTROS SITEMAS COMO

DHASH
FASES DE RECOLECCIÓN DE LA EVIDENCIA DIGITAL
 La cadena de custodia debe garantizar:

1. Trazabilidad: HUMANA

FÍSICA

LÓGICA

2. Confiabilidad (integridad, autenticidad, confidencialidad, no repudio).

UNA VEZ ESTABLECIDA LA CADENA DE CUSTODIA, EL

PERITO INFORMÁTICO COMIENZA EL ANÁLISIS FORENSE.
 GUÍAS PARA LA GESTIÓN DE LA EVIDENCIA DIGITAL

Estas guías se basan en el método científico para concluir o

deducir algo acerca de la información.

Investigación en la
Guía de la
RFC 3227 escena del crimen
IOCE electrónico

Computación Guía de buenas prácticas

Examen forense
forense - parte 2: para evidencia basada en
de evidencia
mejores prácticas computadores (guía Reino
digital (guía hong kong) Unido)
 RFC 3227

El “RFC 3227: Guía Para Recolectar y Archivar Evidencia” (Guidelines

for Evidence Collection and Archiving)
Es un documento que provee una guía de alto nivel para recolectar y archivar
datos relacionados con Intrusiones.
Muestra las mejores prácticas para determinar la volatilidad de los datos, decidir
que recolectar, desarrollar la recolección y determinar cómo almacenar y
documentar los datos. También explica algunos conceptos relacionados a la parte
legal.
Su estructura es:
Principios durante
Proceso de Proceso de
la recolección de
recolección archivo
la evidencia
 GUIA DE LA IOCE
“Guía para las mejores prácticas en el examen forense de tecnología digital”
Serie de estándares, principios de calidad y aproximaciones para la detección
prevención, recuperación, examinación y uso de la evidencia digital para fines
forenses. Cubre los sistemas, procedimientos, personal, equipo y requerimientos
de comodidad que se necesitan para todo el proceso forense de evidencia digital,
Su estructura es:.

1. Garantía de calidad
2. Determinación de los requisitos
de examen del caso
3. Principios generales que se
aplican a la recuperación de la
evidencia digital
4. Prácticas aplicables al examen de
la evidencia de digital
5. Localización y recuperación de la
evidencia de digital en la escena
6. Priorización de la evidencia
7. Examinar la evidencia
8. Evaluación e interpretación de la
evidencia
9. Presentación de resultados
10. Revisión del archivo del caso
11. Presentación oral de la evidencia
12. Procedimientos de seguridad y quejas
 INVESTIGACIÓN EN LA ESCENA DEL CRIMEN ELECTRÓNICO
Esta guía se enfoca más que todo en identificación y recolección de evidencia.
Su estructura es:

Dispositivos electrónicos. Herramientas para investigar y equipo

Asegurar y evaluar la escena

Documentar la escena

Recolección de evidencia

Empaque, transporte y almacenamiento de la evidencia

Examen forense y clasificación de delitos

 EXAMEN FORENSE DE EVIDENCIA DIGITAL
Esta guía está pensada para ser usada en el momento de examinar la evidencia
digital.

Su estructura es:
Desarrollar políticas y procedimientos con el fin de darle
un buen trato a la evidencia

Determinar el curso de la evidencia a partir del alcance

del caso

Adquirir la evidencia

Examinar la evidencia

Documentación y reportes

Anexos
NORMALIZACIÓN Y PROTOCOLOS
HACKING ÉTICO
 Es la forma de concienciar a la sociedad y
diferenciar la intencionalidad de los actos
realizados por los que son expertos en
materia informática.

¿QUÉ ES EL HACKING ÉTICO? TRABAJOS DEL HACKER ÉTICO:

▪ Pen test
▪ Test Externo
▪ Test Interno
 HACKER ÉTICO
Vs
PIRATA INFORMÁTICO
 TIPOS DE ATAQUES

DoS DDoS SQL INJECTION

XSS PHISING RANSOMWARE

MAN IN THE EXPLOTACIÓN ARP

MIDDLE DE DÍA 0 SPOOFING

PHARMING KEYLOGGERS
 TÉCNICAS DE OCULTAMIENTO

OCULTAMIENTO
OCULTAMIENTO OCULTAMIENTO
DE VIRUS EN
DE IP DE MAC
IMAGEN
¿QUÉ ANTIVIRUS NOS DETECTAN??
MEDIDAS DE SEGURIDAD
PARA GARANTIZAR LA
INTEGRIDAD DIGITAL
 FASES:
Estudio de la situación

Contención de la evidencia

Codificación y/o desencriptación

Análisis

Informe y/o conclusiones

 TIPOS DE
EXTRACCIÓN
 NIVEL DE COMPETENCIA TÉCNICA REQUERIDA
MR
CHIP-OFF

VOLCADO BINARIO

ANÁLISIS LÓGICO

EXTRACCIÓN MANUAL
Diferencias entre extracción lógica y lógica avanzada
Extracción Lógica:
Extrae varios tipos de datos, como
registros de llamadas, registros de la
agenda telefónica, mensajes de texto SMS,
eventos del calendario y archivos
multimedia (Imágenes, videos, etc.).
Extracción Lógica avanzada:
Extracción completa del sistema.
Incluye:
▪ Extracción del sistema de archivos.
▪ Copia de seguridad Android
▪ Cambiar a versión anterior de APK
con Backup
Diferencias entre extracción lógica avanzada y física
Extracción Lógica avanzada:
Extracción completa del sistema.
Incluye:
▪ Extracción del sistema de archivos.
▪ Copia de seguridad Android
▪ Cambiar a versión anterior de APK
con Backup
Extracción Física:
Imagen física bit a bit de la memoria del
dispositivo
Incluye:
- Extracción física.
- Partición de recuperación forense.
- Extracciones físicas para dispositivos
Android rooteados.
- Extracción ADB avanzada.
 LA EXTRACCIÓN MÁS
COMPLETA SERÍA POR TANTO LA
EXTRACCIÓN FÍSICA
PROTOCOLO DE INCAUTACIÓN
Y PUESTA A DISPOSICIÓN DEL
LABORATORIO DE ANÁLISIS
Estudio de la situación con la que nos encontramos

Detección e identificación de dispositivos

Recolección y registros de evidencias

• Evidencia física
• Evidencia digital

Rotulado y precintado

Traslado al laboratorio forense

METODOLOGÍA DUAL PARA
ALCANZAR UN PORCENTAJE
DE ÉXITO EN LAS
EXTRACCIONES
 UFED
Universal
Forensic
Extraction
Device

OXIGEN
FORENSIC

XRY
MSAB – Mobile
Forensics -XRY
TRABAJO
ESPECÍFICO DE
MENSAJERÍA
INSTANTÁNEA
Extracción de WhatsApp, Telegram y Signal
▪ Análisis de conversaciones
▪ Conversaciones eliminadas
▪ Imágenes/videos/audios
▪ Mensajes de voz
▪ Geolocalización
ANÁLISIS FORENSE
DE IMÁGENES
• Análisis de Metadatos.
• Análisis de Ruido de foto
respuesta no uniforme
(PRNU)
• Análisis de Matriz de
cuantización y
cuantificación
USO DE
HERRAMIENTAS
OPEN SOURCE
OSForensic
Autopsy Digital forensic
Distribución CAIN
EnCase Forensic Software
SIFT -- SANS Investigative
Forensic Toolkit
USO DE
HERRAMIENTAS Y
ANÁLISIS DE
CORREOS
ELECTRÓNICOS
Funcionamiento de un correo electrónico

• Agentes de transferencia (MTA)

• Agentes de entrega Final (MDA)
• Agentes de usuario (UA)
• Protocolos:
• SMTP
• IMAP
• POP3
Análisis de Código fuente (extracción de cabeceras)
• SPF (Host o Direcciones que pueden enviar Correos en
nombre de un dominio)
• DKIM (Firmado de los correos con una clave privada y
verificación)
• DMARC (Especifica que hacer con el correo en caso de dallo
de las condiciones SPF o DKIM)
Herramientas
forenses para análisis
de tráfico de red: NetWitness
Network Miner
Investigator

Nwtwork
AppLiance Snort
Forensic ToolKit

Splunk
 GRACIAS POR SU INTERÉS
Prof.Dr. Javier Martín Porras
+34607349256