21/11/2008
Ing. Guido Rosales Uriona
INFORMATICA FORENSE
OBJETIVO
Mostrar el estado de los delitos informaticos en
Bolivia
Compartir para despertar la inquietud de forma
masiva
Es un movimiento emergente. Lo contrario sera
muy dificil
Ing. Guido Rosales Uriona
1
� 21/11/2008
Contenido
La evidencia digital
Delitos Informáticos
Delitos comunes
La Informatica Forense
El marco legal
Servicios Profesionales
Formación
Recursos de infraestructura, hardware y software
Casos reales en Bolivia
Ing. Guido Rosales Uriona
LA EVIDENCIA DIGITAL
Evidencia: del latin Evidentia. Cualidad de evidente
(Cierto, claro, sin duda)
RAE: Certeza clara y manifiesta de la que no se puede dudar
Evidencia digital: “información de valor probatorio
almacenada o transmitida en forma digital”
• IOCE (Internacional Organization Of Computer Evidence). 1999.
Requisitos Ejemplo: (Ley 527 de 1999 – Colombia)
la confiabilidad en la forma en la que se generó; la confiabilidad
en la forma en la que se conservó; yy, la confiabilidad en la forma
en la que se identifica al autor.
Proyecto de ley de documentos, firmas y comercio
electronico
Valor probatorio
Ing. Guido Rosales Uriona
2
� 21/11/2008
MARCO LEGAL
Fecha de
Promulgación
Descripción.
11/3/97 LEY 1768 CODIGO PENAL 2 ARTICULOS DE DELITOS INFORMATICOS
25/4/97 REGLAMENTO DE SOPORTE LÓGICO, D.S. 24582
31/3/98 LEY 1834 DE MERCADO DE VALORES ART. 56 PERMITE LOS TITULOS VALORES
1/4/98 LEY 1836 DEL TRIBUNAL CONSTITUCIONAL ART. 29 ADMITE DEMANDAS Y
RECURSOS POR FAX.
20/12/01 LEY 2297 DEL MODIFICA BANCOS 1498 ART. 6 APRUEBA EL USO DE Y SU VALOR
PROBATORIO EN EL SECTOR FINANCIERO
8/8/02 LEY 24 10 CONSTITUCION POLITICA DEL ESTADO , INTRODUCE EL RECURSO DE
HABEAS DATA PARA LOS DATOS PERSONALES
2/8/03 LEY 2492 CÓDIGO TRIBUTARIO DE ART. 77 ADMITE COMO MEDIOS DE PRUEBA
LOS INFORMÁTICOS
INFORMÁTICOS, ART.79
ART 79 INCORPORA LOS MEDIOS TECNOLÓGICOS
TECNOLÓGICOS,
APRUEBA LAS NOTIFICACIONES ELECTRONICAS
14/11/03 D.S. 27241 DE REGLAMENTO A LOS PROCEDIMIENTOS ADMINISTRATIVOS,
ADMITE COMO MEDIOS DE PRUEBA LAS DOCUMENTOS ELECTRÓNICOS
1/07/04 RESOLUCION DE DIRECTORIO BCB Nº 086/2004 APRUEBA REGLAMENTO DE
FIRMA DIGITAL.
9/01/04 D.S. 27310 DE REGLAMENTO DEL CÓDIGO TRIBUTARIO, RECONOCE MEDIOS E
INSTRUMENTOS TECNOLÓGICOS Y PERMITE NOTIFICACIONES POR MEDIOS
ELECTRÓNICOS.. Fuente: Investigación Propia
MSc. Ing. Guido Rosales Uriona
MARCO REGULATORIO
Sector Documento Fuente Observaciones
Gobierno Ninguno [Link] No se tiene nada específico. Existe el
anteproyecto de Ley sobre Transacciones
electrónicas y Delitos Informáticos.
Sector Ninguno [Link] Solo se regulan temas de servicios y no de
telecomunicaciones sistemas.
Sector Energía Ninguno [Link] Intentos de efectuar Auditorias de sistemas
Eléctrica desde el año 2004. Tiene un reglamento de
calidad de información amparado en un
decreto.
Sector Financiero SB 443/03 [Link] Requisitos mínimos de seguridad informática.
Sector Pensiones, Circular [Link] Requiere elaborar análisis de riesgos para
Valores y Seguros fundamentar la infraestructura de seguridad.
Ad i i
Administrativa
i
Sector educación Ninguno [Link] No se efectúan actividades relacionadas.
FFAA Ninguno [Link] Se creó un departamento denominado
CRISIS, sin embargo no se conoce nada
oficialmente sobre su finalidad.
Fuente: Investigación Propia
MSc. Ing. Guido Rosales Uriona
3
� 21/11/2008
DELITOS INFORMATICOS
Delitos cometidos con la participacion de TI
como objetivo o medio
Directos / Activos
Indirectos / Pasivos
Actores
De persona a persona (Acceso no autorizado
Calumnias)
De
D empresa a persona (Spam)
(S )
De persona a empresa (virus, spam, manipulacion)
De empresa a empresa (Espionaje)
MSc. Ing. Guido Rosales Uriona
Los delitos
Delitos Informáticos
Art. 363 bis : Manipulación Informatica
Art 363 ter : Acceso no autorizado
Delitos contra la fe pública:
198 Falsedad material
199 Falsedad ideológica
203 Uso de instrumento falsificado
Delitos contra la propiedad
326 Hurto
331 Robo
335 Estafa
345 Apropiación Indebida
346 Abuso de confianza
Ing. Guido Rosales Uriona
4
� 21/11/2008
INSEGURIDAD LEGAL
PAÍS LEY Y FECHA DE PROMULGACIÓN
Argentina
g Leyy 25.506,, Firma Digital,
g , Diciembre 2001.
Bolivia Proyecto de Ley
Chile Ley 19.799, Promulgada en Marzo del 2002
Colombia Ley 527 sobre Mensajes de Datos. Comercio
Electrónico y Firma Digital de 18/08/1999
Ecuador Ley No. 2002-67) 10/04/2002
España Ley 59/2003
Perú Ley 27269, 26/05/2000
Paraguay Proyecto
Uruguay La ley N° 17.243 del 29/06/2000
Venezuela 10 de febrero del 2001
Guido Rosales Uriona
TENDENCIAS CONSULTORIA
12
10
0
01 AL 02 03 AL 05 05 AL 06 06 AL 07 08 AL 10
AUDITORIAS FORENSES SGSI MICs
MSc. Ing. Guido Rosales Uriona
Fuente: Investigación Propia
5
� 21/11/2008
ESTADISTICAS NACIONALES
AMENAZAS TECNOLOGICAS
Robo de
Informacion
Violacion
DeCCTV
privacidad
Acoso
SPAM PIrateria Phising
Pornografia
Infantil Espionaje
Virus
6
� 21/11/2008
BOLIVIA
BOLIVIA:
INFORMATICA FORENSE
Ing. Guido Rosales Uriona
TRIÁNGULO DEL CRIMEN
/
REAL VIRTUAL
/
REAL VIRTUAL
/
REAL VIRTUAL
7
� 21/11/2008
LA INFORMATICA FORENSE
Concepto
Ciencia que se ocupa de recolectar, preservar,
analizar
li y presentar la
l evidencia
id i di
digital.
i l
Marco legal en Bolivia
Figura de la Pericia: Art. 204 - 215, c.p.p
El consultor técnico: Art. 207 c.p.p
Ley de arbitraje y conciliación N 1770 – 10/03/1997. Artículo 48
Ing. Guido Rosales Uriona
APLICACIÓN INFOFOR
INFORMATICA
Escena FORENSE Análisis
del Pericial
Hecho (Forense)
F/V F/V
80/20 20/80
8
� 21/11/2008
INFOFOR - COMO ESTAMOS?
12,5
12,5 50
25
6Rs Completo Escena del hecho
Previo Analisis
Método del Octágono
Mundo Real
Mundo Virtual
9
� 21/11/2008
ETAPA 1. PROTECCION
Evitar la contaminación de la escena del hecho
Considerar necesidad de Investigación Interna
Volcado de memoria
Registro del tiempo exacto (GMT -4)
Apagar dispositivos previa acta del último estado o pantalla
visible
ETAPA 2: EVALUACION
Santa Cruz
Servidor
Servidor
Servidor
Cochabamba
ENTEL/ Comteco /
COTAS, etc
Servidor
Conocimiento previo SU3, escaneo de red y/o interrogatorio
Escena: Cerrada, mixta y abierta
Principio de e-locard
10
� 21/11/2008
ETAPA 3: FIJACION
Facilitar la
reconstrucción de la
escena del hecho
Identificar fuentes de
evidencia: Señalectica
Caracterización por I I
seriales impresos I
Fijación digital
mediante clonación o
imagen de medios I I
I V
I
ETAPA 4: RASTREO FISICO / DIGITAL
Rastreo digitl sobre copias (clon o imagen)
•Manual – Explorador
•Automático – Antivirus, antispyware, set de hashes
11
� 21/11/2008
ETAPA 5: RECONOCIMIENTO DE OBJETIVO
O MEDIO
Repositorios en red: PC, impresoras, servidores
Repositorios en Internet: Cuentas de email,
servidores hackeados
PC Zombis: Artillería remota
Maniobras de distracción: Confundir al enemigo
En función de la topología y esquema de red
Servidores de seguridad
seguridad, de base de datos
datos, de
aplicaciones, de correo
ETAPA 6: HIPOTESIS CRIMINAL
La estrategia del TERO
12
� 21/11/2008
ETAPA 7: COLECTA O EMBALAGE
Embalaje Lógico: Función hash / Zipeo con
Clave / Imagen
ETAPA 8: CADENA DE CUSTODIO
Garantizar la invariabilidad de la evidencia.
Bóvedas o jaulas FARADAY
13
� 21/11/2008
Ing. Guido Rosales Uriona
CONCLUSION
ESCENA DEL HECHO
TRATAMIENTO
ETAPA 1
PROTECCION
ETAPA 8
ETAPA 2 Cadena de
Evaluacion Custodio
ETAPA n
…
14
� 21/11/2008
METODO DE ANALISIS FORENSE
R1 - RECONOCIMIENTO
Reconocimiento Estratégico
Impacto FINOL (Financiero, Imagen, Normativo,
O
Operativo
ti y Legal)
L l)
Análisis interno de:
Políticas de seguridad, Matriz de Cumplimiento,
Auditorias y Control Interno, BIA, etc.
Reacción hormonal Vs. Reacción Neuronal
La Pataleta gerencial
El Proyecto Forense
La formalidad del juramento
Los puntos de Pericia: HIPOTESIS CRIMINAL
15
� 21/11/2008
R2 - REQUISITOS
La Evidencia digital:
Tiene un autor claramente identificado,
Cuenta
C t con una fecha
f h y hora
h d
de
creación o alteración.
Cuenta con elementos que permiten
validar su autenticidad.
Puede ser verificados en su fiabilidad de
producción o generación
PENTAVALORES
Buenos Backups y Criptografía
implementada (PKI)
Antiforense
Metadatos
Edición Hexadecimal
R3 - RECOLECCION
Levantar toda evidencia e indicios, siendo preferible pecar por exceso que
por defecto.
Manejarla sólo lo estrictamente necesario, a fin de no alterarla o
contaminarla.
t i l
Evitar contaminarla con los instrumentos que se utilizan para su
levantamiento, los cuales deberán purificados meticulosamente antes y
después de su uso.
Levantarla por separado, evitando mezclarla.
Marcarla en aquellos sitios que no ameriten estudio ulterior o individualizarla
con funciones hash
Embalarla individualmente, procurando que se mantenga la integridad de su
naturaleza.
Anti forense
Criptografía
Fragmentación del disco
16
� 21/11/2008
R4 - RECUPERACION
De datos
En medios actuales
En medios obsoletos
Valor probatorio
Basureros físicos y lógicos
Indicios
METODOS ANTIFORENSES
17
� 21/11/2008
R5: RECONSTRUCCION
PLANIFICACION
OBJETIVO RECOLECCION
ATAQUE
PROCESAMIENTO
ANÁLISIS Y
PRODUCCIÓN
FASES DE UN ATAQUE
R5 - RECONSTRUCCION
En la mente del atacante
ITER CRIMINIS
a.- Interna (Ideación)
• Deliberación
• Resolución o determinación
b.- Intermedia Proposición a delinquir
• Resolución manifestada
c.- Externa (Actos preparatorios)
• Actos de ejecución
MODUS OPERANDI
18
� 21/11/2008
R 5: RECONSTRUCCION
La estrategia del TERO
R6 - RESULTADOS
DICTAMEN PERICIAL
En función de los puntos periciales
Introducción: comprende la designación oficial por parte del Fiscal o
Juez acompañando en anexo el acta de juramento.
Puntos de Pericia (Objetivos): Aquellos definidos por la instancia
legal correspondiente. Generalmente están expresados en el acta de
posesión o juramento de ley.
Dictamen (Conclusiones): Conclusiones en función de los puntos de
pericia definidos.
Detalle de la Pericia: Informe técnico en extenso y abundante detalle
donde se explique todos los pasos seguidos
19
� 21/11/2008
R6 - RESULTADOS
JUICIO ORAL
Lectura en extenso
M
Medios
di apropiados:
i d audiovisuales,
di i l reconstrucción
t ió ttridimensional,
idi i l
gráficos, etc.
Interrogatorio y Contrainterrogatorio
Abogados y Consultores Técnicos
Debido entrenamiento
CONCLUSION
20
� 21/11/2008
CASOS REALES
PUBLICOS
CASO RUAT - Manipulacion
CASO ABC – Corrupcion Publica
CASO SIDUNEA – Manipulacion Informatica
PRIVADOS
Bancos
Aseguradoras
Telecomunicaciones
PYMES
Personales
Ing. Guido Rosales Uriona
ACCIONES TOMADAS
2005 - Capacitación PTJ La Paz 2005 - Capacitación PTJ Santa Cruz
21
� 21/11/2008
1. CISO(CISSP - CISM) 15 VERSIONES – 150 – 50 CERTIFICADOS
2. ISSA (CISA - CISM) – 7 VERSIONES 70 – 20 CERTIFICADOS
3. FCA (ENCE)– 3 VERSIONES – 30 – 10 CERTIFICADOS
[Link]
CONTENIDO FCA
22
� 21/11/2008
FASE 1: INFOFOR 18 y 19 de Septiembre 2008
FASE 2: FCA
CERTIFICACION NACIONAL
10 semanas – 60 horas
23
� 21/11/2008
FASE 3: CERTIFICACION EnCE
• CERTIFICACION
INTERNACIONAL
FASE 4: LABO INFOFOR
24
� 21/11/2008
ESTADO DEL PROYECTO
FASE 1: Evento masivo – Completado
FASE 2: Entrenamiento FCA – 80 %
FASE 3: Certificacion EnCE – Sin Comenzar
FASE 4: Laboratorio – Completado
AVANCE TOTAL 70%
Ing. Guido Rosales Uriona
!! GRACIAS !!
Email: grosales@[Link]
Dirección: Av. Arce N 2105, Edificio Venus 5a
Teléfonos: 2152273 / 2440985
[Link]
25
