Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pruebas Electrónicas
Tres categorías:
1. Registros almacenados en el equipo de
tecnología informática ( e-mail, archivos de
ofimática, imágenes, comprimidos y otros)
2. Registros generados por equipos de tecnología
Informática ( registros de auditoría, reportes,
entre otros)
3. Registros que parcialmente han sido generados y
almacenados en los equipos de tecnología
Informática (Hoja de calculo, consultas
especiales, vistas parciales de datos)
COMPUTO FORENSE
Pruebas Electrónicas
Jeimy Cano
COMPUTO FORENSE
Características
Es volátil.
Es anónima.
Es duplicable.
Es alterable / modificable.
Es eliminable.
COMPUTO FORENSE
Procedimientos…
COMPUTO FORENSE
La investigación
COMPUTO FORENSE
Pasos de la Investigación
Pasos de la Investigación
Preservación de la evidencia o
Autenticación de la evidencia: es
importante que no se generen cambios
en la evidencia al analizarse, sin
embargo en algunos casos donde deba
presentarse esos cambios deben ser
explicados ya que toda alteración debe
ser registrada y justificada
COMPUTO FORENSE
Pasos de la Investigación
Herramientas
Herramientas
Herramientas
Administració
Control de
n de casos
Integridad
Licencia
Análisis
Imagen
Encase Sí Sí Sí Sí Sí
Forensic
Sí Sí Sí Sí Sí
Toolkit
Winhex Sí Sí Sí Sí Sí
Sleuth Kit No Sí Sí Sí Sí
Ataques
Informáticos
cibersociedad
COMPUTO
Ataques
FORENSE
Ataques Informáticos
Ataques Informáticos
Atacantes
Atacantes
Atacantes
Phreakers
El Phreaking, es la actividad por medio de la
cual algunas personas con ciertos
conocimientos y herramientas de hardware y
software, pueden engañar a las compañías
telefónicas para que éstas no cobren las
llamadas que se hacen.
La realidad los Phreakers son Cracker de las
redes de comunicación. Personas con amplios
(a veces mayor que el de los mismos empleados
de las compañías telefónicas) conocimientos en
telefonía.
COMPUTO
Ataques
FORENSE
Atacantes
Script Kiddies
Es un término despectivo utilizado para
describir a aquellos que utilizan programas y
scripts desarrollados por otros para atacar
sistemas de computadoras y redes. Es habitual
asumir que los script kiddies son adolescentes
sin habilidad para programar sus propios
exploits, y que su objetivo es intentar
impresionar a sus amigos o ganar reputación en
comunidades de entusiastas de la informática
COMPUTO
Ataques
FORENSE
Atacantes
Cracker
Es una persona especializada en romper la
seguridad de los sistemas informáticos. En
ocasiones, saca provecho de sus actos
buscando recompensas monetarias.
Quizás el más interesante de los crackers, tanto
por sus actos y la forma en la que los cometió
como por las consecuencias de ellos sea Kevin
Mitnick.
El cracker es también un apasionado del mundo
informático. La principal diferencia consiste en
que la finalidad del cracker es dañar sistemas y
ordenadores.
COMPUTO
Ataques
FORENSE
Atacantes
Atacantes
Empleados insatisfechos
Esta amenaza interna es una realidad en todas
las empresas del mundo, los empleados son
seres humanos que buscan en su lugar de
trabajo un escenario para potenciar sus
capacidades y avanzar en el desarrollo
personal y profesional. Muchas pueden ser las
razones por las cuales una persona se siente
insatisfecha con la organización, por lo tanto,
muchos pueden ser los escenarios para abortar
el análisis de esta amenaza.
Esta persona insatisfecha posee curiosidades
técnicas de un Scrit Kiddie y la perseverancia
de una hacker.
COMPUTO
Ataques
FORENSE
Atacantes
Hackers
Los hackers son intrusos que se dedican a estas
tareas como pasatiempo y como reto técnico.
Entran en los sistemas informáticos para
demostrar y poner a prueba su inteligencia y
conocimientos de los entresijos de Internet,
pero no pretenden provocar daños en estos
sistemas.
Sin embargo, hay que tener en cuenta que
pueden tener acceso a información
confidencial, por lo que su actividad está siendo
considerada como un delito
COMPUTO FORENSE
TÉCNICAS ANTI-FORENSE,
Ingeniería inversa
Técnicas
COMPUTO FORENSE
anti-forenses
Ingeniería Inversa
Clasificación
Clasificación
Destrucción de la Evidencia
El principal objetivo de esta técnica es evitar
que la evidencia sea encontrada por los
investigadores y en caso de que estos la
encuentren, destruir sustancialmente el uso
que se pueda dar dicha evidencia en la
investigación formal. Este método no busca que
la evidencia sea inaccesible si no que sea
irrecuperable.
Técnicas
COMPUTO FORENSE
anti-forenses
Clasificación
Destrucción de la Evidencia
Existen dos niveles de destrucción de evidencia:
Nivel Físico: A través de campos Magnéticos
Nivel Lógico: Busca reinicializar el medio,
cambiar la composición de los datos, sobre
escribir los datos o eliminar la referencia a los
datos.
Técnicas
COMPUTO FORENSE
anti-forenses
Clasificación
Ocultamiento de la Evidencia
Este método tiene como principal objetivo
hacer inaccesible la evidencia para el
Investigador. No busca manipular, destruir o
modificar la evidencia sino hacerla menos
visible para los investigadores.
Esta técnica puede llegar a ser muy eficiente de
ser bien efectuada pero conlleva muchos
riesgos para el atacante o intruso, puesto que,
al no modificar la evidencia de ser encontrada
puede ser válida en una investigación Formal y
por lo tanto servir para la incriminación e
identificación de dicho ataque.
Técnicas
COMPUTO FORENSE
anti-forenses
Clasificación
Clasificación
Falsificación de la evidencia
Este método busca engañar y crear falsas
pruebas para los investigadores forenses
logrando así cubrir a el verdadero autor,
incriminado a terceros y por consecuente
desviar la investigación con lo cual seria
imposible resolverla de manera correcta.
Técnicas
COMPUTO FORENSE
anti-forenses
Ingeniería Inversa
BUENAS Prácticas
en la Administración de
Evidencia digital
Administración
COMPUTO FORENSE
De la evidencia
Buenas Prácticas de AE
Buenas Prácticas de AE
1. Diseño de la Evidencia
Con el fin de fortalecer la admisibilidad y
relevancia de la evidencia producida por las
tecnologías de información, se detallan a
continuación cinco objetivos que se deben
considerar para el diseño de la evidencia digital:
a. Asegúrese de que se ha determinado la
relevancia de los registros electrónicos, que
éstos se han identificado, están disponibles
y son utilizables.
b. Los registros electrónicos tienen un
autor claramente identificado.
Administración
COMPUTO FORENSE
De la evidencia
Buenas Prácticas de AE
1. Diseño de la Evidencia
c.Los registros electrónicos cuentan con
una fecha y hora de creación o alteración.
d. Los registros electrónicos cuentan con
elementos que permiten validar su
autenticidad.
e. Se debe verificar la confiabilidad de la
producción o generación de los registros
electrónicos por parte del sistema de
información.
Administración
COMPUTO FORENSE
De la evidencia
Buenas Prácticas de AE
2. Producción de la Evidencia
Esta fase, de acuerdo con el estándar, requiere el
cumplimiento de los siguientes objetivos:
a. que el sistema o tecnología de información
produzca los registros electrónicos
b. identificar el autor de los registros electrónicos
almacenados
c. identificar la fecha y hora de creación
d. verificar que la aplicación está operando
correctamente en el momento de la generación de
los registros, bien sea en su creación o modificación.
e. Verificar la completitud de los registros generados
Administración
COMPUTO FORENSE
De la evidencia
Buenas Prácticas de AE
3. Recolección de la Evidencia
Localizar toda la evidencia digital y asegurar que
todos los registros electrónicos originales (aquellos
disponibles y asegurados en las máquinas o
dispositivos) no han sido alterados. Para ello el
estándar establece algunos elementos a considerar
como:
a. Establecer buenas prácticas y estándares para
recolección de evidencia digital
b. Preparar las evidencias para ser utilizadas en la
actualidad y en tiempo futuro
c. Mantener y verificar la cadena de custodia
d. Respetar y validar las regulaciones y normativas
alrededor de la recolección de la evidencia digital
e. Desarrollar criterios para establecer la relevancia o
no de la evidencia recolectada.
Administración
COMPUTO FORENSE
De la evidencia
Buenas Prácticas de AE
4. Análisis de la Evidencia
Una vez se ha recolectado la evidencia, tomado
las imágenes de los datos requeridos y su
debida cadena de custodia, es tiempo para
iniciar el ensamble, análisis y articulación de
los registros electrónicos para establecer los
hechos de los eventos ocurridos en el contexto
de la situación bajo análisis o establecer si
hacen falta evidencias para completar o aclarar
los hechos.
Administración
COMPUTO FORENSE
De la evidencia
Buenas Prácticas de AE
5. Reporte y Presentación
El profesional a cargo de la investigación es
responsable de la precisión y completitud del
reporte, sus hallazgos y resultados luego del
análisis de la evidencia digital o registros
electrónicos.
En este sentido toda la documentación debe ser
completa, precisa, comprensiva y auditable.
Administración
COMPUTO FORENSE
De la evidencia
Buenas Prácticas de AE
5. Reporte y Presentación
En este sentido las prácticas internacionales
aconsejan:
a. Documentar los procedimientos
efectuados por el profesional a cargo.
b. Mantener una bitácora de uso y
aplicación de los procedimientos técnicos
utilizados.
c. Cumplir con exhaustivo cuidado con los
procedimientos previstos para el
mantenimiento de la cadena de custodia
Administración
COMPUTO FORENSE
De la evidencia
Buenas Prácticas de AE
6. Determinar la Relevancia de la
Evidencia
El estándar en esta fase establece valorar las
evidencias de tal manera que se identifiquen las
mejores evidencias que permitan presentar de
manera clara y eficaz los elementos que se
desean aportar en el proceso y en el juicio que
se lleve a cabo. El objetivo es que el ente que
valore las pruebas aportadas observe en sus
análisis y aportes los objetos de prueba más
relevantes para el esclarecimiento de los
hechos en discusión.
Administración
COMPUTO FORENSE
De la evidencia
Buenas Prácticas de AE
6. Determinar la Relevancia de la
Evidencia
En este sentido el estándar sugiere dos criterios para
tener en cuenta a saber: [STANDARDS AUSTRALIA
INTERNATIONAL 2003, pág.26]
a. Valor probatorio: que establece aquel registro
electrónico que tenga signo distintivo de
autoría, autenticidad y que sea fruto de la
correcta operación y confiabilidad del sistema.
b. Reglas de la evidencia: que establece que se
han seguido los procedimientos y reglas
establecidas para la adecuada recolección y
manejo de la evidencia.
COMPUTO FORENSE
Gracias…