INVESTIGACIÓN CIENTÍFICA FORENSE MÓDULO 17 Parte II Cibercrimen

La Investigación Científica Forense
Unidad 17
Cibercrimen - Investigación
Dr. Fabian Navarro

Investigación
vs
Impunidad
Informática Forense:
Proceso de investigación de
los sistemas de información
para detectar toda evidencia
que pueda ser presentada
como prueba fehaciente en
un procedimiento judicial.
Se aplican técnicas científicas y analíticas
especializadas que permiten identificar, preservar,
analizar y presentar datos que sean válidos dentro de
un proceso legal (INCIBE, pág. 24).
Es definida como aquella prueba cimentada en la información o
datos con valor probatorio que se encuentran insertos en un
dispositivo electrónico o que hubiera sido transmitida por un
medio afín, a través de la cual se adquiere el conocimiento
sobre la ocurrencia o no de hechos que las partes hayan
afirmado como fundamento de sus derechos, o cuestionado, y
que puedan ser invocados dentro de un proceso judicial.
OSINT (Open Source Intelligence) es la disciplina
encargada de la adquisición, tratamiento y posterior
transformación en inteligencia de la información
obtenida a partir de fuentes abiertas.
La inteligencia de fuente abierta es información recopilada de fuentes disponibles
públicamente para ser utilizadas en un contexto de inteligencia.
En la comunidad de inteligencia, el término "abierto" se refiere a fuentes abiertas

y públicamente disponibles.
Desde Kazajistán - antes parte de la URSS INTERNET

- y dentro de su programa Sputnik, el 4 de
octubre de 1957 la Unión Soviética lanzó
exitosamente el primer satélite artificial de
la historia, el Sputnik I, el primero de varios
satélites lanzados. Su nombre, en ruso,
significa “compañero de viaje”.
El satélite llegó a orbitar la tierra a una
distancia de 938 kilómetros, y obtuvo
información acerca de la densidad de las
capas altas de la atmósfera y la
propagación de las ondas de radio en la
ionosfera. Unos meses después, el 4 de
enero de 1958, se incineró durante su
reentrada.
El lanzamiento del Sputnik fue un fuerte INTERNET

golpe para Estados Unidos, donde se
estaba llevando a cabo el proyecto
Vanguard para diseñar y construir dos
satélites.
Temían que los soviéticos hubieran

tomado la delantera en la carrera
armamentista. El por entonces presidente
de Estados Unidos, Eisenhower, respondió
acelerando el programa espacial que
estaban llevando a cabo, lo que resultó en
el lanzamiento del satélite Explorer I el 31
de enero de 1958 comenzando así la
carrera espacial.
INTERNET
Además, en respuesta a la
contundente prueba del progreso
soviético en materia de tecnología,
creó además una agencia del
Departamento de Defensa de
Estados Unidos responsable del
desarrollo de nuevas tecnologías
para uso militar: la ARPA -
Advanced Research Projects
Agency - o Agencia de Proyectos de
Investigación Avanzados.
La ARPA, luego denominada INTERNET

DARPA, creó una red de solo cuatro
computadoras a la que llamó
“ARPANET”.
En 1973, los ingenieros de la

agencia comenzaron a idear formas
de conectar las computadoras de
ARPANET a través de la radio, en
lugar de enviar la información por
medio de las líneas telefónicas
(PRNET, o red de radio por
paquetes).
INTERNET
En 1977, se agregaron las

comunicaciones satelitales
(SATNET) y entonces las
conexiones entre múltiples redes
pasaron a llamarse “inter-
networking” (inter-redes), que luego
se abrevió con el término “Internet”.
Así nació la red de redes.

INTERNET
“Siglas de
INTERconnected
NETworks”
“Conjunto de redes
interconectadas y
descentralizadas”
INTERNET
que conectan
computadoras y otros
dispositivos entre sí por
diferentes
vías:
cable
fibra óptica
líneas telefónicas
ondas
satélites
INTERNET
En 1990 se inició el auge de
Internet.
Su masivo crecimiento
provocó el surgimiento de un
nuevo perfil de usuarios, en su
mayoría de personas comunes
no ligadas a los sectores
académicos, científicos y
gubernamentales,
INTERNET
Ello puso cuestionamiento la

subvención del gobierno
estadounidense al
sostenimiento y la
administración de la red, así
como la prohibición existente
al uso comercial del Internet.
INTERNET
Para 1993 ya se había
levantado la prohibición al uso
comercial del Internet y
definido la transición hacia un
modelo de administración no
gubernamental que
permitiese, a su vez, la
integración de redes y
proveedores de acceso
privados.
INTERNET
El 30 de abril de 1993 la Web

entró al dominio público, ya
que el CERN entregó las
tecnologías de forma gratuita
para que cualquiera pudiera
utilizarlas.
Creación de la WWW
Tim Berners - Lee, un científico

británico, inventó la World Wide
Web (WWW) en 1989, mientras
trabajaba en el CERN.
Sigla provisional utilizada en 1952, que responde al

nombre en francés Conseil Européen pour la Recherche
Nucléaire, es decir, Consejo Europeo para la Investigación
Nuclear, es el mayor laboratorio de investigación en física
de partículas del mundo y se encuentra situado en Suiza
cerca a la frontera con Francia.
Creación de la WWW
La web fue concebida y

desarrollada originalmente para
satisfacer la demanda de
intercambio automático de
información entre científicos de
universidades e institutos de
todo el mundo.
World Wide Web
Es sólo una manera de

acceder a la información a
través de Internet, y
aunque representa una
gran porción de esta y sin
duda la más popular, no
deben tratarse como
sinónimos, porque no son
lo mismo.
World Wide Web
Generalmente el término es
equivocadamente utilizado
como sinónimo de Internet,
pero la Web es un servicio
que opera sobre la Internet,
como también lo hace el
correo electrónico.
World Wide Web
La historia de Internet
es anterior a la historia
de la World Wide Web.
La WWW utiliza
Internet como un medio
de transmisión.
Creación de la WWW
Tim Berners Lee es considerado el padre de la web

porque desarrolló las 3 tecnologías fundamentales
para su utilización:
o HTML (Hypertext Markup Language): el lenguaje

que se emplea para crear y escribir los
documentos o páginas web.
o URL (Uniform Resource Locator): el sistema de

localización o direccionamiento de los documentos
web.
o HTTP (Hypertext Transfer Protocol): protocolo o

lenguaje que se comunica con el navegador y el
servidor web para transmitir los documentos web
mediante la Internet.
Otras formas de acceso

a Internet
Existen muchos otros servicios
y protocolos:
▪ envío de correo electrónico (SMTP)

▪ transmisión de archivos (FTP y P2P)
▪ conversaciones en línea (IRC)
▪ mensajería instantánea
▪ transmisión de contenido y comunicación
multimedia - telefonía (VoIP), televisión
(IPTV)
▪ boletines electrónicos (NNTP),
▪ acceso remoto a otros dispositivos (SSH y
Telnet)
▪ juegos en línea
Modo de funcionamiento
Todos los ordenadores y
dispositivos conectados a internet
deben utilizar el mismo protocolo o
norma para comunicarse entre
ellos.
El protocolo más básico de Internet

- o paquete de protocolos - es el
protocolo TCP/IP (Transfer Control
Protocol/Internet Protocol) y
cualquier otro protocolo de Internet
se basa en IP o le sirve de base.
Arquitectura
Servidor
Cliente
o Equipos o Computadoras
Servidores
o Equipos o Computadores
Clientes
Conexión a la red
Se requiere de un proveedor de
acceso a internet (ISP- Internet
Service Provider)
En Argentina algunos de ellos

son:
Arnet
Fibertel
Telefónica
Telecentro
Dirección IP v4
Una dirección IP no es otra

cosa que un identificador único
online.
Cada computadora del mundo

tiene su propia IP y gracias a
este sistema de nomenclatura
entre máquinas es como los
ordenadores pueden
conectarse unos a otros.
Tipos de Dirección IP
 IP Públicas
 IP Privadas
 IP Fijas
 IP Dinámicas
IP pública
▪ Es asignada por el
proveedor de acceso a
Internet.
▪ Es siempre única.
▪ La IP pública es el
identificador de nuestra red
desde el exterior, es decir, la
del router de nuestra casa,
que es el que es visible
desde afuera.
IP Privada
Identifica a cada uno de los

dispositivos conectados a
nuestra red, por lo tanto, cada
una de las direcciones IP que el
router asigna a nuestro
ordenador, móvil, tablet o
cualquier otro dispositivo que se
esté conectado a él.
IP Pública - IP Privada
Por lo tanto, todos los

dispositivos conectados a un
mismo router tienen distintas
direcciones IP privadas, pero
la misma IP pública, ya que
es la del router, que actúa
como puerta de enlace.
IP Fija
La IP fija es un
identificador único que
permite disponer de una
dirección en internet
(como si se tratara de un
número de teléfono fijo)
el número identificador no
varía.
IP Dinámica
Las direcciones IP dinámicas

son direcciones que utilizan
un número distinto cada vez
que un dispositivo se conecta
a Internet.
IP Pública Dinámica
Cuando un cliente se conecta

a la red de Internet, su
proveedor le asigna de
manera automática una
dirección IP pública dinámica
que no esté siendo utilizada
en ese momento por otro
cliente.
Dirección IP
Modelo de dirección IPv4 (Internet Protocol)
Dirección IP
Dirección IP
Modelo de dirección IPv6

Actualmente las direcciones de IP no son
suficientes para satisfacer a todos los
clientes.
Para solucionar este tema se cambió la

codificación de las IP dándoles el formato
IPv6, que permite mayor cantidad de
direcciones IP.
DNS
Domain Name System o
Sistema de Nombres de
Dominio
¿Qué es?
DNS es un servicio
que habilita un enlace entre
nombres de dominio y
direcciones IP con la que
están asociados.
• ICANN
•
Internet Corporation for
Assigned Names and Numbers
Corporación de Internet para la

Asignación de Nombres y
Números
DNS
Dominio
¿Su objetivo?
facilitar la
navegación, que no son más
que los alias de las
direcciones IP, así cada
dirección IP tiene asignado un
nombre de dominio
DNS
Dominio
Ejemplo:
www.dominio.com.ar
que indica el nombre, el país en

que está registrado y el tipo de
dominio que es, en este caso,
“com” significa comercial.
Domain Name System

DNS
Tipos de Dominio
▪ Dominios Geográficos / Territoriales
o ccTLD (country code Top-Level
Domain)
▪ Dominios Genéricos o gTLD

(generic Top-Level Domain)
▪ Dominios de Tercer Nivel
Incluido dentro de estas categorías se

encuentran:
o Subdominios
o Dominios internacionalizados o
multilingües
Geográficos
.ar – Argentina
.br – Brasil
.ca – Canadá
.co – Colombia
.cn – China
.de – Alemania
.do – Repúblicana Dominicana
.es – España
.fr – Francia
.gr – Grecia
.hk – Hong Kong
.mx – México
.pr – Puerto Rico
.uk – Reino Unido
.uy – Uruguay
Genéricos
.com: se originó para nombrar a los sitios web de uso
comercial y tiene más registros que cualquier otro
dominio.
.net: su significado es red y se creó para dominios que

se relacionan con el Internet, pero la mayoría de las
personas lo utilizan para registrar un dominio que ya
existe con la terminación .com
.org: proviene de la palabra organization y se utiliza

principalmente para organizaciones sin fines de lucro,
ONG o instituciones.
.edu: este dominio se utiliza para instituciones

educativas.
.gob: se utiliza para departamentos y entidades

gubernamentales. Estos dominios están reservados
exclusivamente para este fin.
.mil: está restringido exclusivamente para entidades

que pertenecen a las FF.AA. de un país.
De tercer nivel
.com.cn
.net.mx
.org.es
.edu.uy
.gob.ar
¿Como se investigan
los delitos de PI ESI?
La Fiscalía General de la Ciudad Autónoma de Buenos Aires el 11/10/2013 firmó un Convenio con el National Center
for Missing and Exploited Children(NCMEC).
El NCMEC es una organización sin fines de lucro con sede en los Estados Unidos de América. Esta institución ha
recibido apoyo del congreso norteamericano con el fin de construir una respuesta internacional coordinada e
intercambiar información respecto de la problemática de los niños desaparecidos y explotados sexualmente.
Asimismo, el NCMEC ha obtenido autorización para establecer la CyberTipline, la cual proporciona un mecanismo
centralizado donde los proveedores de servicios de Internet reportan actividades sospechosas relacionadas con la
explotación sexual de los niños. Así, a partir de la celebración del Convenio, el Ministerio Público Fiscal de la CABA
tiene acceso a todos los reportes de actividades sospechosas que se detecten de usuarios de Internet en nuestro
país.
los delitos de PI ESI?
Dentro de los casos que ingresan para su investigación, se pueden dar distintas situaciones en
el marco del análisis de dispositivos de almacenamiento informático:
1. El sospechoso tiene cantidad de imágenes y videos de pornografía infantil.

2. El sospechoso tiene cantidad de imágenes y videos de pornografía infantil, y además las
distribuyó o facilitó.
distribuyó o facilitó, y también se detectaron conversaciones - a través de medios
informáticos - de contenido erótico o sexual, entre el mayor y un menor de edad.
distribuyó o facilitó, y también se detectaron conversaciones -a través de medios
informáticos- de contenido erótico o sexual, entre él y un menor de edad., y
5. Además, hay prueba -digital y/o física- de abuso sexual y/o corrupción de menores.
los delitos de PI ESI ?
Ante cualquiera de estos posibles escenarios, y ante la imposibilidad de
evitar analizarlos interconectándolos, se desprende una clara
conclusión, internacionalmente aceptada: quien consume o tiene
imágenes o videos de pornografía infantil no se conforma con unos
pocos, cada vez quiere más y diferente, para proceder a su prolija
clasificación en edades de los niños, sexo y acto sexual que realiza.
Dicha demanda genera la necesidad de mayor oferta.

los delitos de PI ESI ?
Pero a su vez, el que demanda y recibe debe dar algo a cambio: más material y
diferente: debe distribuir, facilitar. Conclusión: no es posible tener sin antes haber
abusado sexualmente de un niño.
En consecuencia, el fundamento para castigar a la persona que consume material

pornográfico con menores de edad se basa en que la demanda incide directamente
en el aumento de oferta, y para ello será necesario producir incluso más cantidad de
material pornográfico con la intervención de menores.
Si aumenta la demanda aumentará también la oferta, y la oferta solo puede

satisfacerse utilizando a menores de carne y hueso en prácticas de naturaleza sexual
para tomar las imágenes o realizar grabaciones en otros soportes.
Conceptos claves en investigaciones en
entornos digitales:
Hash (código):
bits obtenidos como resultado de aplicar una función resumen
a unos datos (CCN, 2015, pág. 203).
Una función criptográfica hash - usualmente conocida como “hash”- es un

algoritmo matemático que transforma cualquier bloque arbitrario de datos en
una nueva serie de caracteres con una longitud fija. Independientemente de
la longitud de los datos de entrada, el valor hash de salida tendrá siempre la
misma longitud.
¿Para que me sirve Hashear un archivo?
Las funciones criptográficas hash se utilizan también para

asegurar la “integridad de los mensajes”.
En otras palabras, para estar seguros de que algunas

comunicaciones o archivos no fueron alterados de alguna
forma, se pueden examinar los hashes creados antes y
después de la transmisión de los datos. Si los dos hashes
son idénticos, significa que no ha habido ninguna
alteración.
Spyware o programa espía: es un malware o software malicioso que recopila
información de un ordenador y la envía a una entidad remota sin el consentimiento
del propietario del ordenador (INCIBE, pág. 35).
Spoofing o Suplantación
es una técnica de
suplantación de
identidad utilizando una
dirección IP falseada
para acceder a otra
máquina de la red y
conseguir acceso a
to spoof: engañar recursos de forma ilegal
(CCN, 2015, pág. 866).
Conjunto de datos relacionados con un documento y que
recogen información fundamentalmente descriptiva del
mismo, así como información de administración y gestión
(INCIBE, pág. 26).
En otras palabras, son los datos de los datos, ayudan a

encontrar o clarificar otros datos.
https://www.youtube.com/watch?v=mzXNU5vLNDc
Niveles de la Web
Nivel 1 . Todos los archivos indexados. Entre el 4 y el 10 % del contenido de la Web.
Son las páginas mas visitados de la red con los buscadores más conocidos,
Nivel 2: Páginas para descarga de material pirata. Foros con material explícito.
Nivel 3: Archivos Torrents, P2P y descargas masivas.
Nivel 4: The Hidden Wiki. Para ingresar a este nivel es necesario navegadores como
TOR. Material de descarga robado.
Nivel 5: Foros Onion Chan, Material de PI, Hackers a sueldo, Objetos robados,
Drogas.
Nivel 6: El nivel más clasificado llamado “Las Islas Marianas”. Aquí están los servicios
de inteligencia mundiales.
Este sistema utiliza un protocolo P2P, o peer to peer, que significa "de igual a
igual".
Con esto se refiere a que en lugar de que los usuarios descarguen el contenido
X desde un servidor central, lo hacen directamente desde los ordenadores de
otros usuarios.
Hay dos términos importantes: los seeders (o plantadores), que son quienes
comparten los archivos desde sus ordenadores, y los leeches (o sanguijuelas),
que son quienes las descargan.
Hay que tener en cuenta que, si hay muchos leeches y pocos seeders, se
formará una cola virtual para acceder a esos archivos. Por eso, cuantos más
usuarios compartan ese contenido, más rápido se descargará el archivo que
queramos, ya que encontraremos antes ese ‘fragmento’.
VPN: Una red privada virtual o Virtual Private Network, es una
tecnología de red que permite una extensión segura de una red local
(LAN) sobre una red pública o no controlada como Internet.
Al establecerlas, la integridad de los datos y la confidencialidad se
protegen mediante la autentificación y el cifrado (INCIBE, pág. 38)
Tor es una red que implementa una técnica llamada Onion
Routing (enrutado cebolla ), diseñada con el objetivo de
cambiar el modo de enrutado tradicional de Internet para
garantizar el anonimato y la privacidad de los datos.
Enrutado tradicional
Es el que usamos para conectarnos a servidores
en Internet es directo, es decir tu computadora
se conecta de forma directa a los servidores.
La ruta es relativamente sencilla: del ordenador

al router, de ahí a los enrutadores del ISP
(proveedor de Internet) y después directo a los
servidores de la web que se esta visitando.
Desventaja
Al ser este sistema directo, si alguien intercepta los
paquetes de datos en un punto intermedio, sabrá
perfectamente de dónde vienen y a dónde van.
Incluso aunque se cifren los datos de cada paquete en las

páginas HTTPS, las cabeceras de este no se cifran, y los
campos del remitente y destinatario (entre otros) siguen
siendo visibles.
The Onion Routing consiste en enviar los datos por un camino
no directo utilizando diferentes nodos. Primero, el ordenador
A, que quiere enviar el mensaje a B, calcula una ruta más o
menos aleatoria al destino pasando por varios nodos
intermedios.
Usando cifrado asimétrico, el ordenador A cifra el mensaje

como una cebolla: por capas. Primero cifrará el mensaje con la
clave pública del último nodo de la ruta, para que sólo él lo
pueda descifrar. Además del mensaje, incluye (también
cifradas) instrucciones para llegar al destino, B. Todo este
paquete, junto con las instrucciones para llegar al último nodo
de la lista, se cifra de nuevo para que sólo lo pueda descifrar el
penúltimo nodo de la ruta.
The Onion Routing
The Onion Routing
Este método proporciona muchísima más seguridad y privacidad, ya
que sólo el primero y el último nodo saben de dónde viene o a
dónde va el mensaje.
Tampoco es un método infalible, ya que analizando los tiempos a los

que se reciben y envían los paquetes en cada nodo se podría llegar
a saber - con mucho tiempo y dedicación - qué ordenadores se
están comunicando.
El precio a pagar por la privacidad y seguridad es la velocidad, y

las páginas de la Darknet TOR suelen cargar muchísimo más lentas
que la de la clearnet.
Onion Routing: así se navega con TOR
Si se animan…
Todos los enlaces están dirigidos a la Deep Web, por lo que para poder abrirlos
necesitarán tener descargado Tor Browser y abrirlos desde allí.
Puntos de entrada
DuckDuckGo: Popular buscador alternativo en su versión .onion. No sólo encuentra

enlaces de la web convencional, sino también de la Deep Web.
The Hidden Wiki: Se trata de uno de los índices en los que encontrar diferentes
enlaces de páginas de interés en las redes Tor. Tiene varias versiones, permite
acceder a contenido censurado.
Torch: Otro de los principales buscadores del Internet oculto de Tor. Se mantiene
mediante publicidad, y asegura que enlaza a un total de 1.1 millones de páginas de
la Deep Web.
Not Evil: Otro buscador que pretende ser el Google de la red Tor. No encuentra
páginas convencionales, sólo las pertenecientes a la Deep Web.
Fin
Muchas gracias por su atención.
Dr. Fabian Navarro
Especialista en Derecho Informático

INVESTIGACIÓN CIENTÍFICA FORENSE MÓDULO 17 Parte II Cibercrimen

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

INVESTIGACIÓN CIENTÍFICA FORENSE MÓDULO 17 Parte II Cibercrimen

Cargado por

Copyright:

Formatos disponibles

La Investigación Científica Forense

Dr. Fabian Navarro

En la comunidad de inteligencia, el término "abierto" se refiere a fuentes abiertas

Desde Kazajistán - antes parte de la URSS INTERNET

El lanzamiento del Sputnik fue un fuerte INTERNET

Temían que los soviéticos hubieran

La ARPA, luego denominada INTERNET

En 1973, los ingenieros de la

En 1977, se agregaron las

Así nació la red de redes.

Ello puso cuestionamiento la

El 30 de abril de 1993 la Web

Tim Berners - Lee, un científico

Sigla provisional utilizada en 1952, que responde al

La web fue concebida y

World Wide Web

Es sólo una manera de

World Wide Web

World Wide Web

Tim Berners Lee es considerado el padre de la web

o HTML (Hypertext Markup Language): el lenguaje

o URL (Uniform Resource Locator): el sistema de

o HTTP (Hypertext Transfer Protocol): protocolo o

Otras formas de acceso

▪ envío de correo electrónico (SMTP)

El protocolo más básico de Internet

En Argentina algunos de ellos

Una dirección IP no es otra

Cada computadora del mundo

Identifica a cada uno de los

Por lo tanto, todos los

Las direcciones IP dinámicas

Cuando un cliente se conecta

Modelo de dirección IPv6

Para solucionar este tema se cambió la

Corporación de Internet para la

que indica el nombre, el país en

Domain Name System

▪ Dominios Genéricos o gTLD

▪ Dominios de Tercer Nivel

Incluido dentro de estas categorías se

.net: su significado es red y se creó para dominios que

.org: proviene de la palabra organization y se utiliza

.edu: este dominio se utiliza para instituciones

.gob: se utiliza para departamentos y entidades

.mil: está restringido exclusivamente para entidades

1. El sospechoso tiene cantidad de imágenes y videos de pornografía infantil.

Dicha demanda genera la necesidad de mayor oferta.

En consecuencia, el fundamento para castigar a la persona que consume material

Si aumenta la demanda aumentará también la oferta, y la oferta solo puede

Una función criptográfica hash - usualmente conocida como “hash”- es un

Las funciones criptográficas hash se utilizan también para

En otras palabras, para estar seguros de que algunas

En otras palabras, son los datos de los datos, ayudan a

Nivel 3: Archivos Torrents, P2P y descargas masivas.

La ruta es relativamente sencilla: del ordenador

Incluso aunque se cifren los datos de cada paquete en las

Usando cifrado asimétrico, el ordenador A cifra el mensaje

Tampoco es un método infalible, ya que analizando los tiempos a los

El precio a pagar por la privacidad y seguridad es la velocidad, y

DuckDuckGo: Popular buscador alternativo en su versión .onion. No sólo encuentra

También podría gustarte