Presentacion

Nombre: Andres Gabriel

Apellido: Polanco Begazo
Matricula: 1-17-5830
Materia: Seminario de Informatica (INF-331-002)
Profesor: Huascar Ffrias Vilorio
Tema: Investigacion 2do parcial
 1- ANTECEDENTE DE LA INFORMÁTICA FORENCE.

En el año 1978, en el estado de Florida, se reconocen los primeros crímenes

cometidos través de sistemas informáticos. Estos delitos incluían sabotaje,
modificaciones, copyright, alteración y robo de datos. Pasados cuatro años nace
Copy II PC de Central Point Software, conocida popularmente como “copy2pc”.
Esta es una herramienta de copia de los disquetes de la época exacta,
encargada de proteger a estos de la piratería.

El campo de la informática forense se inició en la década de 1980, poco después

de que las computadoras personales se convirtieran en una opción viable para
los consumidores. En 1984, fue creado un programa del FBI. Conocido por un
tiempo como el Programa de Medios Magnéticos, que ahora se conoce como
CART (CART, del inglés computer analysis and response team), o análisis de
informática y equipo de respuesta. Poco después, el hombre al que se le
atribuye ser el "padre de la informática forense", comenzó a trabajar en este
campo. Su nombre era Michael Anderson, y era un agente especial de la
División de Investigación Criminal del IRS. Anderson trabajó para el gobierno en
esta capacidad hasta mediados de 1990, tras lo cual fundó New Technologies,
Inc., un equipo que lleva la firma forense.

En el año 1983, Peter Norton crea una herramienta para poder recuperar los
archivos y aplicaciones eliminados de forma accidental. Esta herramienta es la
pionera en la informática forense.

2- CARACTERISTICAS DE LA INFORMÁTICA FORENCE.

Hoy en día, la informática forense tiene un gran peso dentro del muchos sectores en
los que se utilizan equipos informáticos o dispositivos como pueden ser teléfonos
móviles, tablets, etc. Cuenta con una gran importancia dentro del área de la
información electrónica, sobre todo al aumento del valor que se le da a la información o
al uso que se le da a ésta en los nuevos espacios donde es usada o incluso al amplio
uso que hacen las compañías de negocios tradicionales.
Estas evidencias comparten una serie de características que dificultan el ejercicio de la
computación forense:
1- Volatilidad
2- Anonimato
3- Facilidad de duplicación
4- Alterabilidad
5- Facilidad de eliminación
 3- Perito judicial o perito forense.

El perito judicial o perito forense o perito independiente es un profesional dotado

de conocimientos especializados y reconocidos, a través de sus estudios superiores,
que suministra información objetiva basada en datos u opinión fundada en los mismos
datos a los tribunales de justicia sobre los puntos litigiosos que son materia de su
dictamen.
Existen tres tipos de peritos, los nombrados judicialmente y los propuestos por una o
ambas partes (y luego aceptados por el juez o el fiscal) y los peritos independientes.
Los dos primeros ejercen la misma influencia en el juicio; en la jurisdicción civil la carga
de la prueba recae en la parte, es donde toma especial importancia el perito
independiente como medio de prueba.
El nombramiento del perito judicial o forense se realiza mediante sorteo y la elección
en base a listas aportadas por las asociaciones profesionales a los juzgados de cada
comunidad. Si previamente a la demanda o denuncia o proceso, la parte quiere aportar
informe para apoyar la citada demanda, podrá contactar con un profesional del peritaje
independiente, para aportar su informe como medio de prueba, en un procedimiento
judicial o no judicial ante la compañía aseguradora, o un tercero.
Hay varias alternativas de contratación de un perito independiente, las tres principales
opciones, son: Gabinete Pericial especializado en cada materia o Asociaciones
Profesionales de peritos.

4- Metodología para el análisis forense de evidencias digitales.

El análisis forense digital se define como un conjunto de técnicas de recopilación

y exhaustivo peritaje de datos, la cual sin modificación alguna podría ser utilizada
para responder en algún tipo de incidente en un marco legal. Un incidente es un evento
en donde las políticas de seguridad de un sistema se ven corrompidas, siendo
entonces el objetivo entender la naturaleza del ataque.

1. Adquisición: En esta fase se obtienen copias de la información que se

sospecha que puede estar vinculada con algún incidente. De este modo, hay
que evitar modificar cualquier tipo de dato utilizando siempre copias bite a
bite con las herramientas y dispositivos adecuados. Cabe aclarar este tipo de
copia es imprescindible, debido a que nos dejara recuperar archivos borrados o
 particiones ocultas, arrojando como resultado una imagen de igual tamaño al
disco estudiado.

Rotulando con fecha y hora acompañado del uso horario, las muestras deberán
ser aisladas en recipientes que no permitan el deterioro ni el contacto con el
medio. En muchos casos, esta etapa es complementada con el uso de
fotografías con el objetivo de plasmar el estado de los equipos y sus
componentes electrónicos.

2. Preservación: En esta etapa se debe garantizar la información recopilada con el fin

de que no se destruya o sea transformada. Es decir que nunca debe realizarse un
análisis sobre la muestra incautada, sino que deberá ser copiada y sobre la copia se
deberá realizar la pericia. De este modo, aparece el concepto de cadena de custodia, la
cual es un acta en donde se registra el lugar, fecha, analista y demás actores que
manipularon la muestra.

3. Análisis: Finalmente, una vez obtenida la información y preservada, se pasa a la

parte más compleja. Sin duda, es la fase más técnica, donde se utilizan
tanto hardware como softwares específicamente diseñados para el análisis forense. Si
bien existen métricas y metodologías que ayudan a estructurar el trabajo de campo, se
podrán obtener grandes diferencias dependiendo de las herramientas que se utilicen,
las capacidades y experiencia del analista.

Además, es muy importante tener en claro qué es lo que estamos buscando, debido a
que esto dará un enfoque más preciso a la hora de ir a buscar pruebas. Sin embargo,
el estudio de la línea de tiempo (timeline), logs de accesos y una descarga de la
memora RAM será muy útil para la mayoría de las pericias.
4. Documentación: Si bien esta es una etapa final, recomendamos ir documentando
todas las acciones, en lo posible, a medida que vayan ocurriendo. Aquí ya debemos
tener claro por nuestro análisis qué fue lo sucedido, e intentar poner énfasis
en cuestiones críticas y relevantes a la causa. Debemos citar y adjuntar toda la
información obtenida, estableciendo una relación lógica entre las pruebas obtenidas y
las tareas realizadas, asegurando la repetibilidad de la investigación.

5. Presentación: Normalmente se suelen usar varios modelos para la presentación de

esta documentación. Por un lado, se entrega un informe ejecutivo mostrando los
rasgos más importantes de forma resumida y ponderando por criticidad en la
investigación sin entrar en detalles técnicos. Este informe debe ser muy claro, certero y
conciso, dejando afuera cualquier cuestión que genere algún tipo de duda.

Un segundo informe llamado “Informe Técnico” es una exposición que nos detalla en
mayor grado y precisión todo el análisis realizado, resaltando técnicas y resultados
encontrados, poniendo énfasis en modo de observación y dejando de lado las
opiniones.

5- ¿Qué son y qué pasa con las colisiones?

La teoría de las colisiones es una teoría propuesta por Max Trautz1 en 1916 y por
William Lewis en 1918, que explica cómo ocurren las reacciones químicas y por qué
las velocidades de reacción difieren para diversas reacciones.2 Para que una reacción
ocurra las partículas reaccionantes deben colisionar.
Solo una cierta fracción de las colisiones totales causan un cambio químico; estas son
llamadas colisiones exitosas o completadas. Las colisiones exitosas tienen energía
suficiente (energía de activación), al momento del impacto, para romper
los enlaces existentes y formar nuevos enlaces, resultando en los productos de la
reacción. El incrementar la concentración de los reactivos y aumentar
la temperatura lleva a más colisiones y por tanto a más colisiones exitosas,
incrementando la velocidad de la reacción.
 6- Herramientas criptográficas hash.

Una función criptográfica hash- usualmente conocida como “hash”- es un algoritmo

matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de
caracteres con una longitud fija. Independientemente de la longitud de los datos de
entrada, el valor hash de salida tendrá siempre la misma longitud.

Según un generador online de hash SHA-1, (SHA-1 es una de las funciones hash más
ampliamente utilizadas en la informática, junto con MD 5 y SHA-2)

7- BIBLIOGRAFÍA.

http://informaticaforense1.blogspot.com/2013/11/historia-informatica-forense.html

https://detectives-madrid.es/historia-informatica-forense-aplicacion/
https://es.wikipedia.org/wiki/Cómputo_forense#Características

https://onretrieval.com/principales-caracteristicas-la-informatica-forense/

https://es.wikipedia.org/wiki/Perito_judicial

https://www.welivesecurity.com/la-es/2015/04/15/5-fases-analisis-forense-digital/

https://es.wikipedia.org/wiki/Teoría_de_las_colisiones

https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/