Está en la página 1de 18

EVIDENCIA DIGITAL

EVIDENCIA DIGITAL

•  Evidencia Digital o la prueba electrónica es cualquier valor probatorio de


la información almacenada o transmitida en formato digital de tal manera
que una parte o toda puede ser utilizada en el juicio . 
• El problema con los datos digitales es que es algo menos tangible que la
mayoría de las pruebas físicas. Pertenece a la categoría de pruebas frágiles,
junto con cosas tales como huellas en la nieve, porque son fácilmente
destruidos o modificados. De hecho, el acto mismo de la recogida o el
examen se puede cambiar. El problema con esto es que para que la evidencia
sea admisible, la parte que la introducción debe demostrar que no ha sido
alterado o modificado desde que fue recogida en la escena del crimen.
TENGA EN CUENTA

• Incluso el concepto de la escena del crimen puede ser complicado en los


casos de delitos informáticos, desde un ordenador el delincuente no necesita
estar presente para cometer el delito por ejemplo. De hecho, en la mayoría de
hackers sus ataques son perpetrados de forma remota, a menudo de lugares
fuera del estado o país donde se produce el daño, con lo que surgen las
preguntas con respecto a qué órgano jurisdiccional penal es competente.
¿CÓMO SE AUTENTICA LA EVIDENCIA?

• Cuando se trata de la evidencia digital, tener presente: “. En primer lugar, no


hacer daño” Su primera tendencia al descubrir que la red se ha roto puede ser
abrir los archivos de registro, apagar el sistema, etc.. Sin embargo , si existe la
posibilidad de que el caso será procesado penalmente, usted debe solicitar a
los policiales y/o investigadores hacer lo menos posible más allá de
desconectar el sistema de la red y la protección de la escena (garantizando que
ninguna otra cosa cambia) hasta que llegue usted como Perito Informático.
EN CONCRETO SOLICITE:

• 1. No apagar el sistema. Los datos que en la memoria volátil (RAM) se perderán.


• 2. desconectar el sistema de la red. Si permanece conectado, un hacker podría cubrir sus
pistas mediante la supresión de los archivos de registro y otros datos probatorios.
• 3. No utilizar el sistema para hacer cualquier cosa. No ejecutar ningún programa. Sin
darse cuenta podría sobrescribir los datos de pruebas. En algunos casos, el hacker podría
haber plantado un programa que va a borrar los datos cuando se activa por algún evento
(por ejemplo, abrir o cerrar un programa).
• 4. No abrir los archivos para examinarlos. Esto modifica la fecha y hora.
¿CÓMO ES EXACTAMENTE PROCESADA
LA EVIDENCIA DIGITAL?  

• Es a través de la evaluación, adquisición, exploración, documentación y


presentación de informes. En primer lugar, los examinadores de datos
forenses evaluarán a fondo la evidencia digital que se encuentra, sin perder
de vista el alcance del caso a fin de determinar las acciones apropiadas que se
deben tomar. En segundo lugar, la evidencia digital es muy frágil y puede ser
alterado o destruida si se manipula, así que durante el proceso de adquisición,
el examen sólo se realiza en una copia de la evidencia, no en el original.
VERIFICACIÓN DE INTEGRIDAD POR MEDIO
HASH

• Los hash o funciones de resumen son algoritmos que consiguen crear a partir


de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo)
una salida alfanumérica de longitud normalmente fija que representa un
resumen de toda la información que se le ha dado (es decir, a partir de los
datos de la entrada crea una cadena que solo puede volverse a crear con esos
mismos datos).
CRIPTOGRAFÍA SIMÉTRICA

• La criptografía simétrica solo utiliza una clave para cifrar y descifrar el


mensaje, que tiene que conocer el emisor y el receptor previamente y este es
el punto débil del sistema, la comunicación de las claves entre ambos sujetos,
ya que resulta más fácil interceptar una clave que se ha transmitido sin
seguridad (diciéndola en alto, mandándola por correo electrónico u ordinario
o haciendo una llamada telefónica).
CRIPTOGRAFÍA ASIMÉTRICA

• La criptografía asimétrica se basa en el uso de dos claves: la pública (que se


podrá difundir sin ningún problema a todas las personas que necesiten
mandarte algo cifrado) y la privada (que no debe de ser revelada nunca).
DIFERENCIAS ENTRE CRIPTOGRAFÍA
SIMÉTRICA Y ASIMÉTRICA

• la criptografía simétrica es más insegura ya que el hecho de pasar la clave es


una gran vulnerabilidad, pero se puede cifrar y descifrar en menor tiempo del
que tarda la criptografía asimétrica, que es el principal inconveniente y es la
razón por la que existe la criptografía híbrida.
CRIPTOGRAFÍA HÍBRIDA

• Este sistema es la unión de las ventajas de los dos anteriores, debemos de partir que el problema de ambos
sistemas criptográficos es que el simétrico es inseguro y el asimétrico es lento.
• El proceso para usar un sistema criptográfico híbrido es el siguiente (para enviar un archivo):
• Generar una clave pública y otra privada (en el receptor).
• Cifrar un archivo de forma síncrona.
• El receptor nos envía su clave pública.
• Ciframos la clave que hemos usado para encriptar el archivo con la clave pública del receptor.
• Enviamos el archivo cifrado (síncronamente) y la clave del archivo cifrada (asíncronamente y solo puede
ver el receptor).
¿QUÉ ES UNA FUNCIÓN HASH?

• Una función hash es método para generar claves o llaves que representen de
manera unívoca a un documento o conjunto de datos. Es una operación
matemática que se realiza sobre este conjunto de datos de cualquier longitud,
y su salida es una huella digital, de tamaño fijo e independiente de la
dimensión del documento original. El contenido es ilegible.
REQUISITOS QUE DEBEN CUMPLIR LAS
FUNCIONES HASH:

• Imposibilidad de obtener el texto original a partir de la huella digital.


• Imposibilidad de encontrar un conjunto de datos diferentes que tengan la
misma huella digital (aunque como hemos visto anteriormente es posible que
este requisito no se cumpla).
• Poder transformar un texto de longitud variable en una huella de tamaño fijo
(como el SHA-1 que es de 160bits).
• Facilidad de empleo e implementación.
EJEMPLOS DE FUNCIONES HASH

• MD5
• Es una función hash de 128 bits. Como todas las funciones hash, toma unos
determinados tamaños a la entrada, y salen con una longitud fija (128bits). El
algoritmo MD5 no sirve para cifrar un mensaje. La información original no
se puede recuperar, ya que está específicamente diseñado para que a partir de
una huella hash no se pueda recuperar la información. Actualmente esta
función hash no es segura utilizarla, nunca se debe usar.
SHA-1

• Es parecido al famoso MD5, pero tiene un bloque de 160bits en lugar de los


128bits del MD5. La función de compresión es más compleja que la función de
MD5, por tanto, SHA-1 es más lento que MD5 porque el número de pasos son de
80 (64 en MD5) y porque tiene mayor longitud que MD5 (160bits contra
128bits).
• SHA-1 es más robusto y seguro que MD5, pero ya se han encontrado colisiones,
por tanto, actualmente esta función hash no es segura utilizarla, nunca se debe
usar.
SHA-2

• Las principales diferencias con SHA-1 radica en en su diseño y que los rangos de salida
han sido incrementados. Dentro de SHA-2 encontramos varios tipos, el SHA-224, SHA-
256, SHA-384 y SHA-512. El más seguro, es el que mayor salida de bits tiene, el SHA-
512, que tiene 80 rondas (pasos), como el SHA-1 pero se diferencia de éste en:
• Tamaño de salida 512 por los 160 de SHA-1.
• Tamaño del bloque, tamaño de la palabra y tamaño interno que es el doble que SHA-1.
• Como ocurre con todos los cifrados y hash, cuanto más seguro, más lento su
procesamiento y uso, debemos encontrar un equilibrio entre seguridad y velocidad.
SOFTWARE

• Si quieres comprobar o realizar la función hash a un archivo o texto, puedes


encontrar el md5sum y el sha1sum por defecto instalados en sistemas
operativos Linux. Si utilizas un sistema operativo Microsoft Windows podéis
bajar el Snap MD5 que es un todo en uno (tiene para MD5 y para SHA-1).