TEMA 9: INFORMÁTICA FORENSE

1. INTRODUCCIÓN
Las ciencias forenses se basan en la aplicación de procedimientos y conocimientos científicos para
encontrar, adquirir, preservar y analizar las evidencias de un delito y presentarlas apropiadamente ante un
tribunal.
Las técnicas forenses son la aplicación de una técnica de investigación metódica para reconstruir una
secuencia de hechos. Las técnicas de informática forense son los métodos utilizados para recrear lo
ocurrido en un dispositivo digital.
El análisis forense informático es un conjunto entre la aplicación de técnicas científicas y analíticas
especializadas a infraestructuras tecnológicas que permiten identificar, preservar, analizar y presentar
datos que sean válidos dentro de un proceso legal, las cuales incluyen:
- Reconstruir el bien informático
- Examinar datos residuales
- Autenticar datos

2. CONCEPTO
La informática forense es la ciencia que se encarga de la identificación, preservación, extracción, interpretación
y documentación de las evidencias electrónicas y digitales, con el fin de presentarlas como prueba ante un
tribunal. Persigue los siguientes objetivos básicos:
- Persecución y procesamiento judicial de los responsables.
- Compensación de los daños causados por estos
- Adopción de medidas que prevengan casos similares. Algunos de los casos son aplicables a
realizar un análisis forense son:
a. Sospechas de actos no autorizados dentro de la organización
b. Ataques contra los sistemas informáticos de la organización
c. Sustracción de información sensible o confidencial de la organización
d. Intentar probar autorías o no autorías ante una acusación

Dentro de la informática forense se debe tener en cuneta el Principio de Locard que se define mediante la
siguiente expresión: “siempre que dos objetos entran en contacto, transfieren parte del material que
incorporan entre ellos”.

Este principio se aplica en la información albergada en un dispositivo físico de almacenamiento. Por el cual en
sectores del dispositivo ha existido información en algún momento y puede que parte de esa información siga
intacta en él, aunque se haya eliminado con anterioridad.

3. EVIDENCIAS
La Informática forense tiene fundamentos científicos, basados en leyes físicas y de la electricidad y el
magnetismo, por los que la información se puede almacenar, leer e incluso recuperar cuando se creía
eliminada.
El proceso de análisis de un dispositivo de almacenamiento es la principal tarea de un forense informático, en
esta tarea se tratará de recabar la información necesaria para determinar la validez de una acusación en un
proceso judicial. Para ello la Informática Forense desarrolla técnicas para ubicar, reproducir y analizar
evidencias digitales con fines legales.

La evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al

original. Otro aspecto único de la evidencia computacional es el potencial de realizar copias no autorizadas de
archivos, sin dejar rastro de que se realizó una copia.

4. FASES
Para proceder a la investigación y peritaje de una evidencia electrónica, la misma debe pasar por una serie de
fases:
- Estudio preliminar: En el primer paso nos hemos de plantear la situación en la que nos
encontramos: estado físico del disco, causas del posible fallo, sistema operativo, topología de la red,
etcétera.
- Adquisición de datos: En esta fase se obtiene una copia exacta del disco duro a tratar para
poder trabajar con él en el laboratorio. En esta fase la forma más común de realizarlo es mediante un
 comando que nos realiza un volcado de un disco a otro. Si el disco está dañado físicamente entonces
se debe recurrir al uso de la cámara blanca. Ha de estar presente un notario o un funcionario del
juzgado que instruya el caso, a fin de dar fe de los actos realizados.
- Análisis. Se procede a realizar las comprobaciones necesarias y a la manipulación de los
datos, ello puede ser tan fácil como arrancar el sistema operativo observarlo y analizarlo en modo
gráfico, o bien realizar una lectura a nivel físico y determinar la solución.
- Presentación. Después se hace entrega de los resultados obtenidos y si se requiere presentar
una demanda judicial se realizará aportando un informe pericial en el que se incluyan como pruebas
las conclusiones obtenidas. En caso de que la demanda sea admitida, nuestro informe tendrá que ser
rebatido a presencia judicial.

5. FUENTES DE INFORMACIÓN
Consiste la identificación de aquellas fuentes útiles para la recogida de evidencias, siendo la primera fase que
da paso a la posterior pericia informática o informe técnico policial. Estas fuentes pueden ser de muchos tipos.
Actualmente podemos encontrarnos con las siguientes:

- Ordenadores personales de sobremesa, portátiles, tablets PC, PDA, servidores de datos, web, ftp,
ficheros, etc
- Dispositivos de almacenamiento externo como discos USB, pendrives, CD, DVD, unidades de backup,
tarjetas de memoria, etc.
- También teléfonos móviles, cámaras de fotografía digital, cámaras IP, sistemas de video vigilancia
(CCTV), scanner, impresoras, teléfonos VOIP, faxes, etc.
- Sin olvidarnos de las videoconsolas, que son verdaderos ordenadores para juegos, algunas incluso con
conexión a Internet.

Por ello, a la hora de realizar una inspección ocular en un domicilio, debemos tener en cuenta no solo qué tipo
de evidencias electrónicas conviene buscar, sino también dónde pueden encontrarse estas evidencias digitales
que nos interesan.

a) Características
La evidencia digital debe cumplir con las mismas condiciones que un documento probatorio:
- Compuesto por un contenido relevante en el aspecto jurídico
- Debe haber un autor claramente identificado
- Inteligible
- Carácter de durabilidad o permanencia superior al objeto que lo transporta
Además, debe asegurarse la integridad de la evidencia:
- Asegurar que la evidencia no ha sido alterada
- Copias bit a bit
- Uso de hash criptográficos para asegurar la integridad de la evidencia original y sus copias
- Almacenaje en un lugar seguro.

6. PERFIL DE INVESTIGADO
En el ámbito de estas tecnologías han aparecido en nuestra sociedad los denominados delitos informáticos y,
con ellos, conceptos como delincuencia cibernética o ciberdelincuencia, dejando en muchos casos en nuestra
legislación pequeñas lagunas solventadas por nuestros legisladores a medida que evoluciona la tecnología en
manos del delincuente.

Muchos de los delitos que se cometen hoy en día están directa o indirectamente relacionados con el empleo
de estas nuevas tecnologías y por tanto, el abanico de delitos relacionados con ellas puede convertirse en una
fuente inagotable para delinquir, así como instrumento para la comisión de otros donde directa o
indirectamente se utilizan estos medios.

Resulta de gran relevancia conocer, en la medida de lo posible, cuál es el perfil aproximado de la persona
investigada. Podemos distinguir cuatro perfiles básicos:
- Persona con poco o ningún conocimiento informático y que desconoce que está siendo investigada.
Es el mejor caso, ya que la evidencia será fácilmente localizable y estará a la vista en el propio
ordenador. Se aconseja, revisar también posibles unidades de almacenamiento externo.
 - Persona con poco o ningún conocimiento informático que sabe que está siendo investigada. Tratará
de borrar evidencias simplemente “arrastrándolas a la papelera de reciclaje”, , cayendo en el error de
creer que ha eliminado las posibles pruebas, ya que este tipo de evidencia es relativamente fácil de
recuperar.
- Persona experta en informática pero que no sabe que está siendo investigada. Procurará eliminar y
sobrescribir los datos en el disco. Dependiendo de cómo lo haga, puede resultar más o menos
trabajoso y complicado recuperar evidencias. Posiblemente, si existen pruebas estarán localizadas en
unidades de almacenamiento externas.
- Persona experta en informática y que sabe que está siendo investigada. Es el peor caso con el que nos
podemos encontrar, ya que habrá eliminado con mucho más cuidado la información o bien esta
puede encontrarse encriptada u oculta con métodos más sofisticados.
Es vital no limitar la inspección ocular al ordenador en sí, sino revisar también el resto del entorno, teniendo
en cuenta, entre otras cosas, que:
- Los pendrives y discos externos de tamaño pequeño son fáciles de ocultar.
- Mucha gente apunta contraseñas y otro tipo de datos en notas, agendas, etc.
- Un vistazo a los libros sobre informática que tenga o no la persona nos pueden dar una idea del nivel
de conocimientos de esta.

7. ADQUISICIONES FORENSES
La evidencia electrónica más habitual suele ser un ordenador personal. La persona que realice la adquisición
debe tener muy claro el tipo de evidencia digital que está buscando y conocer muy bien las posibles
alteraciones que sus acciones pueden provocar en esta.
Cuando nos encontramos ante un ordenador personal pueden darse dos situaciones:
- Que se encuentre apagado.
- Que se encuentre encendido.
En función de lo que el investigador necesite, se actuará de una u otra manera:

Ordenador apagado: Si el ordenador se encuentra apagado, no se deberá encender. Se procederá a la

obtención de una copia de su/s disco/s, realizándose la revisión de sus contenidos sobre ésta y no sobre el
disco duro original.

Ordenador encendido: Si el ordenador está encendido, se fotografiará la pantalla, revisando y anotando los
procesos en ejecución, los usuarios conectados, los puertos de comunicaciones que están en u so, etc. Todas
estas manipulaciones deben realizarse con herramientas informáticas específicas ya que, de otro modo, se
podrían perder datos presentes en la memoria volátil del ordenador. Por último, se procederá al apagado del
ordenador, que se realizará de la manera más apropiada según el caso, bien desconectándolo del cable de red
eléctrica, bien siguiendo el procedimiento habitual.
El cuidado y las precauciones que se deben adoptar a la hora de manipular el ordenador, en el caso de que se
encuentre encendido, serán directamente proporcionales al tipo delictivo que estemos investigando.

8. TIPOS
En el caso de búsqueda de evidencias o vestigios de pornografía infantil, el hecho de realizar una búsqueda y
localizar ficheros de imagen o vídeo bastaría para inculpar a su poseedor, pese a la posible alteración de
diversidad de elementos en el sistema, como los timestamp (fechas y horas de creación, últimos accesos…),
dato que habría que documentar en la inspección ocular.

Por otra parte, no sería lo mismo analizar un ordenador que ha sido infectado con algún tipo de virus troyano o
similar, y que está siendo utilizado de manera delictiva sin que, probablemente, su propietario tenga
conocimiento de ello.

En este caso habría que ser muy minucioso en la inspección, revisando procesos en ejecución, comprobando
puertos abiertos, etc.; ya que, de lo contrario, un apagado inadecuado del sistema eliminaría evidencias muy
útiles, que posiblemente no podrían volverse a recuperar.

Por ello, el proceso de adquisición de evidencias debe ser realizado por personal debidamente capacitado.

9. CLONADO DE EVIDENCIAS
El procedimiento que se sigue comienza con el examen y fotografiado de la muestra para, posteriormente en
el laboratorio, poder analizar todos estos dispositivos según el tipo de delito que estemos investigando;
utilizando las técnicas del volcado y clonado.

El disco duro constituye la evidencia principal, ya que sus contenidos constituirán la principal prueba de cargo
(o de descargo, en su caso) en un futuro proceso judicial. Por ello, su tratamiento y manipulación deberá estar
sometido a las mismas reglas y protocolos que se utilizan para la recuperación de otro tipo de pruebas.

Estamos hablando aquí de delitos que únicamente tienen que ver con la utilización del equipo de cara a la
comisión de estos. Se da por supuesto que, de tratarse de delitos de una mayor entidad (homicidios, etc.), no
se deberá manipular ni el ordenador, ni elemento alguno del lugar donde este se encuentre hasta que una
adecuada inspección ocular técnico-policial sea llevada a cabo por los especialistas apropiados.

Esto nos lleva a concluir que, nunca se debe realizar un análisis forense sobre un disco duro original, sino sobre
una copia de éste. Al proceso de obtención de dichas copias se le conoce como “clonado de discos”. Todo
clonado de disco debería realizarse ante un secretario judicial o, en su defecto, ante un notario (si se trata de
una empresa privada), utilizando preferentemente equipos homologados al efecto, coloquialmente conocidos
como “clonadoras o duplicadoras de disco”. Si esto no es posible, se podrán utilizar herramientas de software,
preferiblemente con autoarranque y protección de escritura, para generar la copia.

Las duplicadoras suelen incorporar sistemas que evitan la escritura del disco original. De no ser así, o si nos
vemos en la necesidad de conectar el disco a otro ordenador, debemos tener la precaución de utilizar
dispositivos conocidos como “bloqueadores”, que impidan dicha escritura ya que, como se ha dicho, la simple
conexión del disco o su arranque puede modificar datos útiles en el mismo.

La copia así obtenida será idéntica al disco duro original, ya se haya realizado bit a bit (RAW) o en bit-stream.
De este procedimiento obtendremos una imagen íntegra, pero en formato comprimido, que podrá ser
posteriormente analizada con las herramientas forenses apropiadas.
Conviene, al realizar la copia, obtener su valor hash, equivalente a una especie de “firma digital única”, con el
fin de poder certificar posteriormente, si fuera necesario, que el análisis se realizó sobre la copia obtenida y no
sobre alguna otra modificada.

Por lo general, todas las clonadoras físicas de disco, así como las herramientas de software, incorporan esta
opción, de tal manera que el valor hash puede quedar anotado y en manos del secretario judicial.
Asimismo, si intervienen distintas personas en las fases vistas hasta ahora, no hay que olvidar en ningún
momento la importancia de la cadena de custodia y el modo de preservar las evidencias.

El proceso de clonación es una tarea de empresas especializadas en el sector, los cuerpos policiales también
poseen sus propias infraestructuras para la realización e clonados y de investigación forense de dispositivos.
El clonado del dispositivo es necesario para poder garantizar la protección del dispositivo principal, el cual no
será modificado por error durante las pruebas forenses realizadas por el equipo de auditores durante el
proceso de búsqueda de evidencias.

10. OTRAS FORMAS DE COPIAR

Existen otros escenarios en los que no siempre será posible la obtención de una copia física exacta, bit a bit, de
todo el dispositivo de origen. Pensemos en la adquisición de ficheros o información procedente de servidores,
de cabinas de almacenamiento, discos virtuales o volúmenes cifrados, o también de otros aparatos que no
permiten el acceso completo a la memoria como muchos teléfonos móviles.
Para estos casos tenemos otras formas de adquirir la evidencia digital. Son los conocidos con el poco técnico
pero muy usado término de “volcado”. A continuación, describimos varios procedimientos.

1. Copia lógica de volúmenes

Se aplica este método, por ejemplo, en el caso de tener que asegurar un volumen cifrado que se encuentra
abierto en un ordenador encendido. Si queremos respaldar esa información deberemos realizar una copia
lógica del volumen. Si realizáramos una copia física del disco obtendríamos una partición que sería ilegible
puesto que los datos están cifrados. Sin embargo, la copia lógica permite adquirir el contenido de la misma
forma que lo está viendo el usuario.
 2. .Copia lógica de ficheros
Se trata de generar, mediante el software adecuado, una réplica de la información original seleccionada y que
pueda ser de interés para la investigación. Por ejemplo, en un entorno empresarial, realizamos una copia
lógica de la carpeta del usuario sospechoso. Perderemos el espacio de “file-slack” en nuestra copia, y no
siempre se podrán mantener los mismos metadatos del sistema de ficheros original.

3. Obtención de información de dispositivos móviles

La mayoría de las herramientas usadas para la extracción de información de los teléfonos móviles lo hacen de
forma lógica, es decir, que utilizan la intermediación del sistema operativo del teléfono para acceder a la
información.
De la extracción realizada generan un fichero, normalmente propietario de cada producto, que contiene la
lectura realizada. Estas mismas herramientas ya soportan la copia física íntegra de la memoria, pero
únicamente para un número limitado y concreto de modelos.

La realización de copias lógicas forenses no impide que se mantengan las propiedades de la evidencia siempre
que se realice usando la herramienta y el método adecuado, protegiendo contra escritura, preservando en lo
posible los metadatos y utilizando un algoritmo criptográfico que permita verificar la integridad de lo
adquirido. Esto último es la aplicación de una función HASH, la cual se analizará con posterioridad.

11. HASH
Se trata de una función o algoritmo matemático que se aplica a un conjunto de información. El resultado es
una clave que representa de manera unívoca a dichos datos de entrada (documentos, archivos, registros etc.)
Ejemplos: MD5, SHA, Whirlpool, Haval, etc.
En informática forense, las funciones Hash son utilizadas para la creación de comprobantes de dispositivos
clonados durante una investigación.
Los hashes resultantes de la comprobación de un disco son comparados con los resultantes del disco clonado,
si ambos resultados son idénticos se considera que la copia del dispositivo ha sido correcta.
Los hashes son la prueba que el dispositivo no ha recibido ninguna modificación, ya sea por parte del auditor o
por parte de alguno de los intermediarios inclui dos en el transporte o almacenamiento del dispositivo durante
la duración de la auditoria de un proceso judicial.
Este valor hash puede ser anotado como prueba ante un juez y denota una innegable validez.
Entre las propiedades de un hash se encuentran las siguientes:
 Algoritmo criptográfico
 No es reversible
 Matemáticamente improbable encontrar dos archivos diferentes que generen el mismo hash
 Perfecto para probar la integridad
El hash garantizará que el disco no ha sido manipulado y este aspecto es fundamental. Permite reproducir las
pruebas originales ante la posible realización de análisis contrapericiales.
Las herramientas enfocadas al procedimiento de copiado utilizan habitualmente la función “dd” para el
copiado. Esta se realiza bien por la clonación del disco físico o las unidades lógicas, o bien generando un único
fichero de imagen forense que pueda ser tratado directamente por las herramientas forenses.
Para ello existen elementos hardware que permiten realizar estos procesos de forma cómoda, precisa y con
altas garantías. Aunque no es la solución más económica, si es la que ofrece mayor profesionalidad y seguridad
a un analista forense.
No obstante, hay que tener en cuenta la diversidad de tipos de discos existentes en el mercado. Su evolución
llega a suponer que un determinado hardware adquirido podría no ser válido para un proceso de copia, al no
disponer de los accesorios adecuados para recuperar un modelo de disco específico. No obstante, existen
conversores que facilitan la labor, pero que no garantizan que la compatibilidad pueda mantenerse a lo largo
del tiempo.
1. Tipos
Para la obtención del hash existen multitud de algoritmos, se recomienda el uso de al menos SHA-1 (Secure
Hash Algorithm).
- MD5: La codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos
hexadecimal (Ejemplo: “Esto es una prueba” genera el hash md5 =
e99008846853ff3b725c27315e469fbc)
- SHA y SHA1: Producen una salida resumen de 160 bits (20 bytes) de un mensaje que puede tener un
tamaño máximo de 264 bits, y se basa en principios similares a MD5.
 (Ejemplo: “esto es una prueba” genera el hash = 5dbfae57f5face878c2aaed5197a63376cbf949f)

12. CADENA DE CUSTODIA

La cadena de custodia debe estar claramente documentada y se deben detallar los siguientes puntos:
- ¿Dónde?, ¿cuándo? y ¿quién? descubrió y recolectó la evidencia.
- ¿Dónde?, ¿cuándo? y ¿quién? manejó la evidencia.
- ¿Quién ha custodiado la evidencia?, ¿cuánto tiempo? y ¿cómo la ha almacenado?
- Si la evidencia cambia de custodia indicar cuándo y cómo se realizó el intercambio, incluyendo
número de albarán, etc.

El procedimiento de custodia de las pruebas se convierte por lo tanto en un proceso fundamental que permite
al perito garantizar la independencia y objetividad en la elaboración de sus conclusiones, sin haber realizado
manipulación de las evidencias para favorecer a alguna de las partes.
La cadena de custodia es el procedimiento de control que se emplea para los indicios materiales afines al
delito, desde su ubicación, hasta que son valorados por los diferentes funcionarios encargados de administrar
justicia, y que tiene como finalida d no viciar el manejo que de ellos se haga, y así evitar la contaminación,
alteración, daños, reemplazos, contaminación o destrucción.
Desde la ubicación, fijación, adquisición, embalaje y traslado de la evidencia en la escena del siniestro, hasta la
presentación en el juicio, la cadena de custodia debe garantizar que el procedimiento empleado ha sido
exitoso, y que la evidencia que se recolectó en la escena es la misma que se está presentando ante el tribunal.
Al adquirir las pruebas, lo importante es el significado, el valor que va a tener en el proceso de investigación y
por medio de la cadena de custodia, este valor va a ser relevante, debido a que no se va a poder impugnar, al
haberse acatado el procedimiento.

En un entorno de informática forense, el procedimiento que se debe seguir en cuanto a la evidencia en la

escena, y en todo proceso de investigación forense, es el siguiente:
1. Montaje del dispositivo sin permisos de escritura ni ejecución.
2. Obtener las particiones del dispositivo.
3. Realizar la suma de verificación (hash) del dispositivo original objeto de la auditoria.
4. Creación de una imagen forense para trabajar con ella (clonado).
5. Comprobar el hash obtenido con el hash del original

Una vez completados los pasos, el dispositivo original es devuelto al cliente o a las fuerzas de justicia para su
correcto almacenamiento hasta la fecha del proceso judicial. Por ese motivo es recomendable realizar más de
una copia del dispositivo original con el fin de preservar la integridad correcta de la copia del mismo.
Por tanto, a la hora de realizar el proceso de adquisición de información en un sistema que haya sufrido un
incidente de seguridad hay que tener muy claro las acciones que se deben realizar, siendo muy meticuloso y
detallando en to do momento, realizando dicho proceso de manera muy minuciosa.
Así mismo, se debe realizar el proceso procurando ser lo menos intrusivo posible con el fin de preservar el
sistema en su estado original.