Generalidades

• Se reconoce generalmente a Dan Farmer

y Wietse Venema, los creadores del
Forensics Toolkit, como los pioneros de
la informática forense.

• Actualmente, Brian Carrier es

probablemente uno de los mayores
expertos mundiales en el tema.
Generalidades
 La Informática forense permite la solución de
conflictos tecnológicos relacionados con
seguridad informática y protección de datos.
Gracias a ella, las empresas obtienen una
respuesta a problemas de privacidad,
competencia desleal, fraude, robo de
información confidencial y/o espionaje
industrial surgidos a través de uso indebido de
las tecnologías de la información.
Generalidades

 No existen estándares aceptados, aunque

algunos proyectos están en desarrollo, como el
C4PDF (Código de Prácticas para Digital
Forensics), de Roger Carhuatocto, el Open Source
Computer Forensics Manual, de Matías
Bevilacqua Trabado y las Training Standards and
Knowledge Skills and Abilities de la International
Organization on Computer Evidence, que
mantiene online varias conferencias interesantes.
¿Para qué sirve?
• Para garantizar la efectividad de las
políticas de seguridad y la protección
tanto de la información como de las
tecnologías que facilitan la gestión de
esa información.
¿En qué consiste?
• Consiste en la investigación de los
sistemas de información con el fin
de detectar evidencias de la
vulneración de los sistemas.
 ¿Cuál es su finalidad?
• Cuando una empresa contrata
servicios de Informática forense
puede perseguir objetivos
preventivos, anticipándose al posible
problema u objetivos correctivos,
para una solución favorable una vez
que la vulneración y las infracciones
ya se han producido.
¿Cuál es la forma correcta de
proceder? Y, ¿por qué?
 Todo el procedimiento debe hacerse teniendo
en cuenta los requerimientos legales para no
vulnerar en ningún momento los derechos de
terceros que puedan verse afectados. Ello, para
que, llegado el caso, las evidencias sean
aceptadas por los tribunales y puedan constituir
un elemento de prueba fundamental, si se
plantea un litigio, para alcanzar un resultado
favorable.
 La Informática Forense en Venezuela
http://www.suscerte.gob.ve/
La Superintendencia de Servicios de Certificación
Electrónica (SUSCERTE) es el organismo
encargado de coordinar e implementar el modelo
jerárquico de la infraestructura Nacional de
Certificación Electrónica, también acredita,
supervisa y controla a los Proveedores de
Servicios de Certificación (PSC) y es el ente
responsable de la Autoridad de Certificación Raíz
del Estado Venezolano
El Centro Nacional de Informática
Forense (CENIF), es un laboratorio de
informática forense para la
adquisición, análisis, preservación y
presentación de las evidencias
relacionadas a la tecnologías de
información y comunicación, con el
objeto de prestar apoyo a los cuerpos
de investigación judicial órganos y
entes del Estado que así lo requieran.
La I
nfo
rmá
en V tica F
e ne ore
zue nse
la
GIT: Gestión de Incidentes Telemáticos
CE: Certificación Electrónica
Objetivos
• Finalidad preventiva, en primer término.
 Objetivos

 Por otro lado, cuando la seguridad de la empresa ya

ha sido vulnerada, la informática forense permite
recoger rastros probatorios para averiguar, siguiendo
las evidencias electrónicas, el origen del ataque (si es
una vulneración externa de la seguridad) o las
posibles alteraciones, manipulaciones, fugas o
destrucciones de datos a nivel interno de la empresa
para determinar las actividades realizadas desde uno
o varios equipos concretos.
 Para realizar un adecuado análisis de
Informática forense se requiere:
• Un equipo multidisciplinar que incluya
profesionales expertos en derecho de las TI
y expertos técnicos en metodología
forense. Esto es así porque se trata de
garantizar el cumplimiento tanto de los
requerimientos jurídicos como los
requerimientos técnicos derivados de la
metodología forense.
 Prueba de los
Delitos Informáticos:
• Evidencia Digital, Reconocimiento de la
Evidencia.

• Evidencia Electrónica
 Prueba de los
Delitos Informáticos:

• La prueba dentro del proceso penal es de especial

importancia, ya que desde ella se confirma o desvirtúa
una hipótesis o afirmación precedente, el objetivo del
proceso conduce hacia la averiguación de la verdad
formal.
• De esta manera se confirmará la existencia de la infracción
y la responsabilidad de quienes aparecen en un inicio
como presuntos responsables, todo esto servirá para que
el Tribunal de Justicia alcance el conocimiento necesario y
resuelva el asunto cometido a su conocimiento.
 Papel de la
Evidencia Digital:

• La evidencia digital es muy poderosa, es la perfecta

memoria de lo que ha sucedido, es una escena del delito,
no existe razón para que esta mienta, y no puede
eliminarse como una bala o un arma de fuego.

• Cuando la evidencia es obtenida en violación de las

garantías constitucionales y el no respeto de las reglas
procesales , el órgano judicial no podrá basar ninguna de
sus decisiones en una prueba viciada. Por tanto este tipo
de prueba debe ser excluida.
 Reconocimiento
de la
Evidencia Digital:
• Se debe clarificar los conceptos y describir la terminología
adecuada que nos señale el rol que tiene un sistema
informático dentro del ITER CRIMINIS o camino del delito.
• El propósito es encaminar correctamente el tipo de
investigación, la obtención de indicios y posteriormente
los elementos probatorios necesarios para sostener el
caso.
• El rol que cumpla el sistema informático determinara
DONDE DEBE SER UBICADA Y COMO DEBE SER USADA LA
EVIDENCIA.
 Reconocimiento
de la
Evidencia Digital:

• Elemento material de un sistema informático o

hardware “EVIDENCIA ELECTRÓNICA”.

• La información contenida en el “EVIDENCIA DIGITAL”.

• Hardware: todos los componentes físicos. La

información: se refiere a todos los datos, programas
almacenados y mensajes de datos transmitidos
usando el sistema informático.
Elementos Físicos
Información
 Donde buscar la Evidencia:
Fuentes de Evidencias
 SISTEMAS DE COMPUTACION ABIERTOS: Son aquellos que
están compuestos de las llamadas computadoras
personales y todos sus periféricos como teclados, ratones
y monitores, las computadoras portátiles y los servidores.
Actualmente estos computadores tienen la capacidad de
guardar gran cantidad de información dentro de sus
discos duros, los que los convierte en una gran fuente de
evidencia digital
 Donde buscar la Evidencia:
Fuentes de Evidencias
 SISTEMAS DE COMUNICACIÓN: estos están compuestos
por las redes de telecomunicaciones, la comunicación
inalámbrica y el Internet. Son también una gran fuente de
información y evidencia digital.

 SISTEMAS CONVERGENTES DE COMPUTACION: son los

que están formados por los teléfonos celulares llamados
inteligentes o SMARTPHONES, los asistentes personales
digitales PDA´s, las tarjetas inteligentes y cualquier otro
aparato electrónico que posea convergencia digital y que
puede contener evidencia digital
 Propósito de la
Clasificación:
 El propósito de la clasificación es enfatizar el papel que
juegan los sistemas informáticos en la comisión de
delitos, a fin de que el investigador tenga una ruta clara y
precisa al buscar los elementos de convicción que
aseguren el éxito dentro de un proceso penal.

 En estas condiciones para efectos probatorios son objeto

de examen, tanto el hardware como la información
contenida en este, para lo cual es necesario contar con el
auxilio y el conocimiento que nos brinda la ciencia
informática, y en particular la Ciencia Forense
Informática.
 Evidencia Digital:
 En derecho procesal la evidencia es la certeza clara,
manifiesta y tan perceptible que nadie puede dudar de
ella.

 La evidencia digital es cualquier mensaje de datos

almacenado y transmitido por medio de un Sistema de
Información que tenga relación con el cometimiento de
un acto que comprometa gravemente dicho sistema y que
posteriormente guie a los investigadores al
descubrimiento de los posibles infractores.

 En definitiva son campos magnéticos y pulsos electrónicos

que pueden ser recogidos y analizados usando técnicas y
herramientas especiales.
 Clases de Evidencia Digital:
 En un principio el tipo de evidencia digital que se buscaba
en los equipos informáticos era del tipo CONSTANTE o
PERSISTENTE es decir la que se encontraba en un disco
duro o en otro medio informático y que se mantenía
preservada después de que la computadora era apagada.

 Posteriormente y gracias a las redes de interconexión, el

investigador forense se ve obligado a buscar también
evidencia del tipo VOLATIL, es decir evidencia que se
encuentra alojada temporalmente en la memoria RAM, o
en el CACHE, son evidencias que por su naturaleza
inestable se pierden cuando el computador es apagado.

 Deben ser recuperadas casi de inmediato.

Volcado de la Memoria Global
 Ante la dificultad de realizar un análisis
en profundidad, se podrá utilizar el
volcado de memoria para buscar
determinadas cadenas de caracteres que
puedan ser pistas sobre el incidente que
ha afectado el equipo
Procesos y Servicios en ejecución
dentro del Sistema:
 De cada proceso o servicio sería
conveniente identificar el archivo
ejecutable y los parámetros de ejecución,
así como la cuenta de usuario bajo la que
se ejecuta, archivos que está usando y
qué otro proceso o servicio la ha llamado
(árbol de ejecución) , para
posteriormente poder comparar esta
información con la situación estable del
objeto en estudio.
Dinámica de la Evidencia:
 Es la forma como se entienden y se
describen los diferentes factores
(humanos, de la naturaleza, de los
equipos) que actúan sobre las evidencias,
a fin de determinar los cambios que
estos producen sobre ellas.
Dinámica de la Evidencia:
 Existen muchos agentes que intervienen
sobre la evidencia digital, aquí se aplica
el llamado PRINCIPIO DE INTERCAMBIO
o de LOCARD. Indica como Factores
pueden alterar la evidencia y asi tener la
oportunidad de manejarla de una
manera apropiada, evitando
generalmente contaminarla, dañarla y
hasta perderla por completo.
 Herramientas de Informática Forense
(a nivel mundial)
 Sleuth Kit -Forensics Kit, Py-Flag - Forensics Browser,
Autopsy - Forensics Browser for Sleuth Kit, dcfldd - DD
Imaging Tool command line tool and also works with AIR,
foremost - Data Carver command line tool, Air - Forensics
Imaging GUI, md5deep - MD5 Hashing Program, netcat -
Command Line, cryptcat - Command Line, NTFS-Tools,
qtparted - GUI Partitioning Tool, regviewer - Windows
Registry, Viewer, X-Ways WinTrace, X-Ways WinHex, X-
Ways Forensics, R-Studio Emergency (Bootable Recovery
media Maker), R-Studio Network Edtion, R-Studio RS
Agent, Net resident, Faces 3 Full, Encase 4.20, Snort,
Helix, entre otras.
La información contenida en
 Imagen Forense

Copia bit a bit del

contenido del contenido
de un medio a analizar
desde el primer sector
hasta el último sector del
mismo
 LoLo
Encontrast
Encontraste?
e?
Que se considera
como un Incidente?...
 Fases de la Informática Forense:
 Identificación: conocer los
antecedentes, situación actual y el
proceso que se quiere seguir para
poder tomar la mejor decisión con
respecto al levantamiento del bien,
búsquedas y las estrategias de
investigación.
 Preservación: revisión y generación
de las imágenes forenses de la
evidencia para poder realizar el
análisis
 Análisis: aplican técnicas científicas y
analíticas a los medios duplicados por
medio del proceso forense para poder
encontrar pruebas de ciertas
conductas.
 Presentación: la información
resultante del análisis quedará
registrada en un dictamen técnico que
puede ser presentado internamente o
en un procedimiento legal.
 Identificación:
 Identificar y registrar toda posible
evidencia; marcas, modelos y número de
serie, mantener una copia con la
evidencia.

 Posibles fuentes de evidencias: Discos

duros, floppy disk, cintas magnéticas, CD,
DVD, PDA, Appliances: routers, switches,
etc.
 Identificación:
 Cadena de custodia: Quien, Que, Donde,
Cuando, Por qué, Como, mantener una
copia de la evidencia.

 Donde, cuando y quien fue el primero en

tener contacto con la evidencia.

 Donde, cuando y quien examinó la

evidencia.
 Identificación:
 Quien tiene la custodia y por cuanto
tiempo.

 Como fue almacenada.

 Cuando hubo cambio de custodia, cuando

y como se hizo la transferencia.
 Identificación:
 Qué?
 Qué fue lo que sucedió.
 Qué tipo de ataque fue accionado.
 Donde?
 Escena del crimen: oficina, sistema, red, etc.
 Cuando?
 Desde cuando se es victima del ataque.
 Cuando se produjo el ataque.
 Por qué?
 Determinar los intereses que pudiesen inducir al
ataque.
 Quien ?
 Los Involucrados: Implicados, cómplices, etc.
 Identificación:
Estas interrogantes van a permitir conocer los
antecedentes:
- Antes
- Durante
- Después ATAQUE

- Tipo de Ataque
- Herramientas utilizadas Determinar
- Sist. Op. Afectados
- Usuarios, testigos
Identificación:
Adquisición u Obtención:

 Adquirir la evidencia sin alterarla o

dañarla.

 Autentificar que la información de la

evidencia obtenida es igual a la original.

 Obtener información de fuentes

adicionales.
Adquisición u Obtención:
Orden de Adquisición:
 Registros, Caché.
 Tabla de ruteo, arp cache, lista de
procesos, información del kernel,
memoria.
 Sistemas de archivos temporales.
 Discos.
 Registros remotos e información de
monitoreo relevante.
 Información almacenada.
Adquisición u Obtención:
 Autentica.

 Correcta.

 Completa.

 Convincente.

 En caso de una acción legal, admisible

Adquisición u Obtención:
 Análisis:
 Es necesario conocer la victima.
 Analizar la información sin modificarla.
 Identificar los archivos en la evidencia:
normales, borrados, pedazos, protegidos,
encriptados, etc.
 Recuperar posibles datos relevantes
como: archivos borrados, archivos
ocultos.
 Revelar el contenido de archivos ocultos,
temporales, swap, encriptados o con
password.
 Análisis:

Tres tipos de datos:

 Datos activos.

 Datos almacenados.

 Datos latentes.
Análisis de datos
Preparación del Informe