COMPUTO FORENSE

CIENCIA de adquirir, preservar,

obtener y presentar datos que han
sido procesados electrónicamente y
guardados en un medio
computacional.
 COMPUTO FORENSE

La informática forense tiene 3 objetivos,

a saber:

1. La compensación de los daños

causados por los criminales o intrusos.
2. La persecución y procesamiento
judicial de los criminales.
3. La creación y aplicación de medidas
para prevenir casos similares.
 COMPUTO FORENSE

Pruebas Electrónicas

Tres categorías:
1. Registros almacenados en el equipo de
tecnología informática ( e-mail, archivos de
ofimática, imágenes, comprimidos y otros)
2. Registros generados por equipos de tecnología
Informática ( registros de auditoría, reportes,
entre otros)
3. Registros que parcialmente han sido generados y
almacenados en los equipos de tecnología
Informática (Hoja de calculo, consultas
especiales, vistas parciales de datos)
 COMPUTO FORENSE

Pruebas Electrónicas

“Es cualquier información,

que sujeta a una
intervención humana u otra
semejante, ha sido extraída
de un medio informático".

Jeimy Cano
 COMPUTO FORENSE

Características

Es volátil.
Es anónima.
Es duplicable.
Es alterable / modificable.
Es eliminable.
 COMPUTO FORENSE

Procedimientos…
 COMPUTO FORENSE

1. Esterilidad de los medios informáticos de trabajo.

2. Verificación de las copias en medios informáticos.

3. Documentación de los procedimientos, herramientas y

resultados sobre los medios informáticos analizados.

4. Mantenimiento de la cadena de custodia

5. Informe y presentación de resultados de los análisis de

los medios informáticos:

6. Administración del caso realizado.

7. Auditoría de los procedimientos realizados en la

investigación (Autoevaluación).
 COMPUTO FORENSE

La investigación
 COMPUTO FORENSE

Pasos de la Investigación

Los pasos para la Investigación Forense

son:
 Identificación de la evidencia: los
investigadores deben conocer muy bien
los formatos que tiene la información con
el fin de saber cómo extraerla, dónde y
cómo almacenarla y preservarla.
 COMPUTO FORENSE

Pasos de la Investigación

 Preservación de la evidencia o
Autenticación de la evidencia: es
importante que no se generen cambios
en la evidencia al analizarse, sin
embargo en algunos casos donde deba
presentarse esos cambios deben ser
explicados ya que toda alteración debe
ser registrada y justificada
 COMPUTO FORENSE

Pasos de la Investigación

 Análisis de la evidencia: Se empieza a

estudiar las evidencias para obtener
información de relevancia para el caso.
 Presentación: El reporte a presentar
debe incluir todos los detalles del
proceso de manera exhaustiva, los datos
de hardware y software usados para el
estudio así como los métodos usados
para la obtención de datos.
 COMPUTO FORENSE

Herramientas

En la Informática Forense existen una gran

cantidad de herramientas para recuperar
evidencia. El uso de Herramientas
sofisticadas se hace necesario debido a:
1. La gran cantidad de datos que pueden
estar almacenados en un computador.
2. La variedad de formatos de archivos, los
cuales pueden variar enormemente, aún
dentro del contexto de un mismo sistema
operativo.
 COMPUTO FORENSE

Herramientas

En la Informática Forense existen una gran

cantidad de herramientas para recuperar
evidencia. El uso de Herramientas sofisticadas
se hace necesario debido a:
4. La necesidad de recopilar la información
de una manera exacta, y que permita
verificar que la copia es exacta.
5. Limitaciones de tiempo para analizar toda
la información.
6. Mecanismos de encripción, o de
contraseñas.
 COMPUTO FORENSE

Herramientas

Administració
Control de

n de casos
Integridad
Licencia

Análisis
Imagen
Encase Sí Sí Sí Sí Sí
Forensic
Sí Sí Sí Sí Sí
Toolkit
Winhex Sí Sí Sí Sí Sí
Sleuth Kit No Sí Sí Sí Sí

Si bien las herramientas detalladas anteriormente son

licencias y sus precios oscilan entre 600 y 5000 PAB,
existen otras que no cuenta con tanto reconocimiento
internacional en procesos legales.
 COMPUTO FORENSE

Ataques
Informáticos

cibersociedad
 COMPUTO
Ataques
FORENSE

Ataques Informáticos

A raíz de la introducción de la Informática en

los hogares y los avances tecnológicos, ha
surgido toda una generación de personales
que difunden el miedo en la Red y/o cualquier
sistema de computo.
Todos ellos son catalogados como “piratas
informáticos” o “piratas de la red”, la nueva
generación de rebeldes de la tecnología. Unos
aportan sabiduría, enseñanza otros
destrucción y delitos informáticos. Hay que
saber bien quien es cada uno de ellos y
catalogarlos según sus actos
 COMPUTO
Ataques
FORENSE

Ataques Informáticos

La inseguridad es y continuara siendo la

constante en el mundo moderno, en este
sentido, la mente de los atacantes y
apasionados por la seguridad informática
continuara produciéndose y avanzando, pues
cada vez habrá más retos y desafíos.
Un atacante podría robar información sensible
como contraseñas u otro tipo de datos que
viajan en texto claro a través de redes
confiables, atentando contra la
confidencialidad al permitir que otra persona,
que no es el destinatario, tenga acceso a los
datos
 COMPUTO
Ataques
FORENSE

Atacantes

Ciber-terroristas ó terrorista electrónico

Estos grupos preparan sus acciones por medio
de mensajes encriptados a través del correo
electrónico, impidiendo la penetración de los
organismos de seguridad de los Estados.
A esto hay que sumar los sitios web donde
estos grupos terroristas dan a conocer su
historia, postulados, objetivos.
Algunos de estos grupos son: KKK en Estados
Unidos, ETA en España, grupos neonazis de
Bélgica y Holanda y Verdad Suprema en Japón.
 COMPUTO
Ataques
FORENSE

Atacantes

Ciber-terroristas ó terrorista electrónico

OBJETIVOS COMUNES
¨Redes de Gobierno
¨Servidores de nodos de comunicación
¨Estaciones de radio y televisión
¨Centros satelitales
¨Represas, centrales eléctricas, centrales nucleares.
TIPOS DE ATAQUES
¨Siembra de virus y gusanos
¨Intrusiones no autorizadas.
¨DDoS (Distributed Denial of Service)
¨Saturación de correos
¨Bloquear servicios públicos
¨Blind radars (bloquear tráfico aéreo)
¨Interferencia electrónica de comunicaciones
 COMPUTO
Ataques
FORENSE

Atacantes

Phreakers
El Phreaking, es la actividad por medio de la
cual algunas personas con ciertos
conocimientos y herramientas de hardware y
software, pueden engañar a las compañías
telefónicas para que éstas no cobren las
llamadas que se hacen.
La realidad los Phreakers son Cracker de las
redes de comunicación. Personas con amplios
(a veces mayor que el de los mismos empleados
de las compañías telefónicas) conocimientos en
telefonía.
 COMPUTO
Ataques
FORENSE

Atacantes

Script Kiddies
Es un término despectivo utilizado para
describir a aquellos que utilizan programas y
scripts desarrollados por otros para atacar
sistemas de computadoras y redes. Es habitual
asumir que los script kiddies son adolescentes
sin habilidad para programar sus propios
exploits, y que su objetivo es intentar
impresionar a sus amigos o ganar reputación en
comunidades de entusiastas de la informática
 COMPUTO
Ataques
FORENSE

Atacantes

Cracker
Es una persona especializada en romper la
seguridad de los sistemas informáticos. En
ocasiones, saca provecho de sus actos
buscando recompensas monetarias.
Quizás el más interesante de los crackers, tanto
por sus actos y la forma en la que los cometió
como por las consecuencias de ellos sea Kevin
Mitnick.
El cracker es también un apasionado del mundo
informático. La principal diferencia consiste en
que la finalidad del cracker es dañar sistemas y
ordenadores.
 COMPUTO
Ataques
FORENSE

Atacantes

Desarrolladores de Virus y Gusanos

El creador de virus o gusanos es un personaje
bastante enigmático para los investigadores
forense en informática, los mueve el reto, su
ego, el dinero, la necesidad de revancha,
frustraciones.
Se trata de expertos informáticos que
pretenden demostrar sus conocimientos
construyendo virus y otros programas dañinos,
que distribuyen hoy en día a través de Internet
para conseguir una propagación exponencial y
alcanzar
 COMPUTO
Ataques
FORENSE

Atacantes

Empleados insatisfechos
Esta amenaza interna es una realidad en todas
las empresas del mundo, los empleados son
seres humanos que buscan en su lugar de
trabajo un escenario para potenciar sus
capacidades y avanzar en el desarrollo
personal y profesional. Muchas pueden ser las
razones por las cuales una persona se siente
insatisfecha con la organización, por lo tanto,
muchos pueden ser los escenarios para abortar
el análisis de esta amenaza.
Esta persona insatisfecha posee curiosidades
técnicas de un Scrit Kiddie y la perseverancia
de una hacker.
 COMPUTO
Ataques
FORENSE

Atacantes

Hackers
Los hackers son intrusos que se dedican a estas
tareas como pasatiempo y como reto técnico.
Entran en los sistemas informáticos para
demostrar y poner a prueba su inteligencia y
conocimientos de los entresijos de Internet,
pero no pretenden provocar daños en estos
sistemas.
Sin embargo, hay que tener en cuenta que
pueden tener acceso a información
confidencial, por lo que su actividad está siendo
considerada como un delito
 COMPUTO FORENSE

TÉCNICAS ANTI-FORENSE,
Ingeniería inversa
 Técnicas
COMPUTO FORENSE
anti-forenses

Ingeniería Inversa

Cada vez más las técnicas de evasión y las

vulnerabilidades materializadas por los
atacantes son más creativas y sofisticadas. En
este contexto y conscientes del reto propio que
esto implica para las investigaciones forenses
en informática.
El reconocimiento de las vulnerabilidades en las
herramientas utilizadas para adelantar
procedimientos de informática forense, ha
generado la aparición de las llamadas técnicas
anti-forense que se definen como:“cualquier
intento de comprometer la disponibilidad de la
evidencia para un proceso forense”
 Técnicas
COMPUTO FORENSE
anti-forenses

Clasificación

A medida que se explora y se investiga más

sobre las técnicas anti-forenses se han
generado varias clasificaciones y del mismo
modo se han definido varios método.
 Destrucción de la evidencia
 Ocultar la evidencia
 Eliminación de las fuentes de la evidencia
 Falsificación de la Evidencia
 Técnicas
COMPUTO FORENSE
anti-forenses

Clasificación

Destrucción de la Evidencia
El principal objetivo de esta técnica es evitar
que la evidencia sea encontrada por los
investigadores y en caso de que estos la
encuentren, destruir sustancialmente el uso
que se pueda dar dicha evidencia en la
investigación formal. Este método no busca que
la evidencia sea inaccesible si no que sea
irrecuperable.
 Técnicas
COMPUTO FORENSE
anti-forenses

Clasificación

Destrucción de la Evidencia
Existen dos niveles de destrucción de evidencia:
Nivel Físico: A través de campos Magnéticos
Nivel Lógico: Busca reinicializar el medio,
cambiar la composición de los datos, sobre
escribir los datos o eliminar la referencia a los
datos.
 Técnicas
COMPUTO FORENSE
anti-forenses

Clasificación

Ocultamiento de la Evidencia
Este método tiene como principal objetivo
hacer inaccesible la evidencia para el
Investigador. No busca manipular, destruir o
modificar la evidencia sino hacerla menos
visible para los investigadores.
Esta técnica puede llegar a ser muy eficiente de
ser bien efectuada pero conlleva muchos
riesgos para el atacante o intruso, puesto que,
al no modificar la evidencia de ser encontrada
puede ser válida en una investigación Formal y
por lo tanto servir para la incriminación e
identificación de dicho ataque.
 Técnicas
COMPUTO FORENSE
anti-forenses

Clasificación

Eliminación de la fuente de la evidencia

Este método tiene como principal objetivo
neutralizar la fuente de la evidencia por lo que
no es necesario destruir la prueba puesto que
no ha llegado a ser creadas.
Una de las acciones que los atacantes pueden
llevar acabo para realizar este método anti-
Forense es la desactivación de log de auditoria
del sistema que está atacando.
 Técnicas
COMPUTO FORENSE
anti-forenses

Clasificación

Falsificación de la evidencia
Este método busca engañar y crear falsas
pruebas para los investigadores forenses
logrando así cubrir a el verdadero autor,
incriminado a terceros y por consecuente
desviar la investigación con lo cual seria
imposible resolverla de manera correcta.
 Técnicas
COMPUTO FORENSE
anti-forenses

Ingeniería Inversa

En la ciencia de la computación, la Ingeniería

Inversa se define como un proceso de análisis
de un software o hardware para poder
identificar sus componentes y cómo se
relacionan entre sí.
La finalidad de la ingeniería inversa es la de
desentrañar los misterios y secretos de los
sistemas en uso a partir del código. Para ello, se
emplean una serie de herramientas que extraen
información de los datos, procedimientos y
arquitectura del sistema existente.
 COMPUTO FORENSE

BUENAS Prácticas
en la Administración de
Evidencia digital
 Administración
COMPUTO FORENSE
De la evidencia

Buenas Prácticas de AE

El ciclo de vida para la administración de

evidencia digital consta de seis pasos a saber:
1. Diseño de la evidencia
2. Producción de la evidencia
3. Recolección de la evidencia
4. Análisis de la evidencia
5. Reporte y presentación
6. Determinación de la relevancia de la
evidencia
 Administración
COMPUTO FORENSE
De la evidencia

Buenas Prácticas de AE

1. Diseño de la Evidencia
Con el fin de fortalecer la admisibilidad y
relevancia de la evidencia producida por las
tecnologías de información, se detallan a
continuación cinco objetivos que se deben
considerar para el diseño de la evidencia digital:
a. Asegúrese de que se ha determinado la
relevancia de los registros electrónicos, que
éstos se han identificado, están disponibles
y son utilizables.
b. Los registros electrónicos tienen un
autor claramente identificado.
 Administración
COMPUTO FORENSE
De la evidencia

Buenas Prácticas de AE

1. Diseño de la Evidencia
c.Los registros electrónicos cuentan con
una fecha y hora de creación o alteración.
d. Los registros electrónicos cuentan con
elementos que permiten validar su
autenticidad.
e. Se debe verificar la confiabilidad de la
producción o generación de los registros
electrónicos por parte del sistema de
información.
 Administración
COMPUTO FORENSE
De la evidencia

Buenas Prácticas de AE

2. Producción de la Evidencia
Esta fase, de acuerdo con el estándar, requiere el
cumplimiento de los siguientes objetivos:
a. que el sistema o tecnología de información
produzca los registros electrónicos
b. identificar el autor de los registros electrónicos
almacenados
c. identificar la fecha y hora de creación
d. verificar que la aplicación está operando
correctamente en el momento de la generación de
los registros, bien sea en su creación o modificación.
e. Verificar la completitud de los registros generados
 Administración
COMPUTO FORENSE
De la evidencia

Buenas Prácticas de AE

3. Recolección de la Evidencia
Localizar toda la evidencia digital y asegurar que
todos los registros electrónicos originales (aquellos
disponibles y asegurados en las máquinas o
dispositivos) no han sido alterados. Para ello el
estándar establece algunos elementos a considerar
como:
a. Establecer buenas prácticas y estándares para
recolección de evidencia digital
b. Preparar las evidencias para ser utilizadas en la
actualidad y en tiempo futuro
c. Mantener y verificar la cadena de custodia
d. Respetar y validar las regulaciones y normativas
alrededor de la recolección de la evidencia digital
e. Desarrollar criterios para establecer la relevancia o
no de la evidencia recolectada.
 Administración
COMPUTO FORENSE
De la evidencia

Buenas Prácticas de AE

4. Análisis de la Evidencia
Una vez se ha recolectado la evidencia, tomado
las imágenes de los datos requeridos y su
debida cadena de custodia, es tiempo para
iniciar el ensamble, análisis y articulación de
los registros electrónicos para establecer los
hechos de los eventos ocurridos en el contexto
de la situación bajo análisis o establecer si
hacen falta evidencias para completar o aclarar
los hechos.
 Administración
COMPUTO FORENSE
De la evidencia

Buenas Prácticas de AE

5. Reporte y Presentación
El profesional a cargo de la investigación es
responsable de la precisión y completitud del
reporte, sus hallazgos y resultados luego del
análisis de la evidencia digital o registros
electrónicos.
En este sentido toda la documentación debe ser
completa, precisa, comprensiva y auditable.
 Administración
COMPUTO FORENSE
De la evidencia

Buenas Prácticas de AE

5. Reporte y Presentación
En este sentido las prácticas internacionales
aconsejan:
a. Documentar los procedimientos
efectuados por el profesional a cargo.
b. Mantener una bitácora de uso y
aplicación de los procedimientos técnicos
utilizados.
c. Cumplir con exhaustivo cuidado con los
procedimientos previstos para el
mantenimiento de la cadena de custodia
 Administración
COMPUTO FORENSE
De la evidencia

Buenas Prácticas de AE

6. Determinar la Relevancia de la
Evidencia
El estándar en esta fase establece valorar las
evidencias de tal manera que se identifiquen las
mejores evidencias que permitan presentar de
manera clara y eficaz los elementos que se
desean aportar en el proceso y en el juicio que
se lleve a cabo. El objetivo es que el ente que
valore las pruebas aportadas observe en sus
análisis y aportes los objetos de prueba más
relevantes para el esclarecimiento de los
hechos en discusión.
 Administración
COMPUTO FORENSE
De la evidencia

Buenas Prácticas de AE

6. Determinar la Relevancia de la
Evidencia
En este sentido el estándar sugiere dos criterios para
tener en cuenta a saber: [STANDARDS AUSTRALIA
INTERNATIONAL 2003, pág.26]
a. Valor probatorio: que establece aquel registro
electrónico que tenga signo distintivo de
autoría, autenticidad y que sea fruto de la
correcta operación y confiabilidad del sistema.
b. Reglas de la evidencia: que establece que se
han seguido los procedimientos y reglas
establecidas para la adecuada recolección y
manejo de la evidencia.
 COMPUTO FORENSE

Gracias…