LA INFORMÁTICA

FORENSE
 ¿QUÉ ES INFORMÁTICA FORENSE?

La informática forense es la Esta aplica una seria de

encargada de analizar técnicas y herramientas
sistemas informáticos para relacionadas de forma directa
localizar evidencias que con softwares y hardwares.
sirvan de pruebas. Y así poder Que dan la opción de localizar
realizar una causa judicial o datos potenciales.
una posible negociación
extrajudicial.
• El análisis informático forense implica recopilar y examinar datos de una variedad de
medios electrónicos, no solo computadores, y estos datos pueden tomar la forma de
fotografías, imágenes descargadas, textos, documentos, correos electrónicos, páginas
de Internet y cualquier otra información que se almacene en un disco duro.
• Estos datos o pruebas se pueden utilizar como una muestra de pruebas para presentar
a un individuo bajo sospecha.
 • Para poder saber qué herramientas utilizan los
peritos informáticos forenses debemos conocer
el procedimiento. Lo primero que hacen estos
HERRAMIENTAS profesionales es desconectar el aparato
DE LA electrónico o el disco duro del ordenador. Para
INFORMÁTICA luego conectarlo a un dispositivo de bloqueo con
FORENSE escritura de hardware. El dispositivo hace que sea
imposible modificar el contenido. Así los
profesionales pueden localizar las pruebas y
visualizar toda la información asegurándose de no
perder nada.
 CARACTERÍSTICAS DE LAS HERRAMIENTAS DE
LA INFORMÁTICA FORENSE
Estas varían mucho dependiendo de la rama del análisis y del mercado al que se
oriente. Por norma general, los software de análisis forense deben tener la capacidad de
hacer las siguientes funciones:
• Support hashing of all files.
• Has del disco completo para poder realizar una confirmación de datos no
modificados.
• Localización de rutas exactas.
• Eliminar sellos de fecha y hora.
• Debe de disponer de características de adquisición.
• Búsqueda y filtrado de archivos y artículos.
• Tener la opción de cargar copias de seguridad de iOS y analizar los datos.
 BENEFICIOS DE LA INFORMÁTICA FORENSE:

• Disminución de pérdidas (trasversal, humano, costos, etc).

• Imagen y Reputación.
• Optimización del recurso.
• Continuidad de negocio.
• Cumplimiento de la normatividad legal.
• Efectividad en el cumplimiento de los objetivos estratégicos de la compañía.
• Generación de cultura preventiva.
• Ambiente de control.
 VENTAJAS DE LA INFORMÁTICA FORENSE:
Dentro de los aspectos relevantes encontramos en estas soluciones elementos de valor
para las organizaciones:
• En Litigación civil: Recolección y análisis de evidencia incriminatoria, la cual puede
ser usada para procesar una variedad de crímenes cometidos en contra de la
organización y personas. Casos que tratan con fraude, discriminación, acoso, divorcio,
pueden ser ayudados por la informática forense.
• Investigación de seguros: La evidencia encontrada en computadores, puede ayudar
a las compañías de seguros a disminuir los costos de los reclamos por accidentes y
compensaciones.
• Elementos corporativos: Puede ser recolectada información en casos que tratan
sobre acoso sexual, robo, mal uso o apropiación de información confidencial o
propietaria, o aún de espionaje industrial y suplantación de marca.
 Combatir estos tipos de delitos informáticos
1. puede ser muy costoso, especialmente para
las pequeñas empresas
INFORMÁTICA
FORENSE
PARA El monitoreo efectivo y regular de los
sistemas también es una buena idea para
DESCUBRIR tratar de hacer más difícil que las personas
cometan delitos (y se salgan con la suya).
EL MAL USO Y
FRAUDE DE La informática forense generalmente se
requiere después de que se haya producido un
LOS incidente y es una opción muy efectiva para
EMPLEADOS proporcionar evidencia de uso indebido o
delito.
 • segurar la continuidad y la validez de los datos
2.
electrónicos y la evidencia para probar el uso
INFORMÁTICA indebido de la computadora y la actividad
FORENSE delictiva puede ser un problema real. Los
PARA problemas a menudo surgen dentro de las
EVIDENCIA Y empresas cuando el personal de TI o la gerencia
RECOPILACIÓN superior no logran resistir la tentación de
investigar el equipo y esto puede tener graves
DE DATOS
consecuencias.
NECESIDAD • Las buenas prácticas de las directrices de
Informática Forense en Colombia, establecen que
DE EMPLEAR la mayoría de los investigadores forenses
EXPERTOS informáticos deben seguir rigurosamente unos
FORENSES pasos pero para los no expertos, algunas reglas
simples son importantes para preservar los datos
con fines de evidencia.
 TENER EN CUENTA

Una vez que se haya identificado una actividad sospechosa es una buena idea
comenzar a tomar notas sobre las fechas y las horas en que una persona ha estado
usando la computadora o el equipo en cuestión. Esto reduce e identifica todos los
usuarios posibles y las horas en que un sospechoso puede haber tenido acceso.
 Llame a un experto para que le asesore sobre posibles
cursos de acción.

No avise a la persona ni a ninguna otra persona.

LOS PASOS
ACONSEJABLES No manipule ni intente investigar, puede interferir con
A SEGUIR SON: la evidencia.

No encienda o apague la máquina, aísle la fuente de

alimentación.

Asegúrese de que todos los equipos auxiliares,

unidades de memoria y equipos de PC estén
almacenados de forma segura.
 El uso indebido de la computadora Todos los empleados deben saber
se ha vuelto tan común que la que están sujetos a las políticas de
detección y el monitoreo efectivo de uso de computadoras y deben saber
la actividad electrónica, que tener que el empleador tiene cierto
una política sólida de uso y derecho a monitorear este uso (las
monitoreo de los sistemas leyes de protección de datos y
informáticos de una empresa deben privacidad están involucradas aquí y
ser la piedra angular de cualquier el tema debe abordarse con
política de TI o de personal. precaución).
 • La gestión de incidentes. Esos incidentes pueden
CÓMO PUEDE ser un delito o puede ser cualquier problema que
FUNCIONAR UN ocurre con la informática como el robo de
LABORATORIO información, pérdida de datos o ataques
DE informáticos. Eso puede ser o no ser delito. El
INFORMÁTICA objetivo de identificar la evidencia es saber qué
FORENSE fue lo que pasó y quién lo hizo. Esto se puede
realizar mediante 4 pasos.
 Es muy importante conocer los antecedentes, situación actual
y el proceso que se quiere seguir para poder tomar la mejor
decisión con respecto a las búsquedas y la estrategia de
investigación.
Incluye, en muchos casos:
• La identificación del bien informático
1. IDENTIFICACIÓN
• Su uso dentro de la red
• El inicio de la cadena de custodia (proceso que verifica la
integridad y manejo adecuado de la evidencia)
• La revisión del entorno legal que protege el bien y del
apoyo para la toma de decisión con respecto al siguiente
paso una vez revisados los resultados.
 Este paso incluye la revisión y generación de
las imágenes forenses de la evidencia para
poder realizar el análisis. Dicha duplicación se
realiza utilizando tecnología de punta para
poder mantener la integridad de la evidencia
y la cadena de custodia que se requiere.
2. PRESERVACIÓN

Al realizar una imagen forense, nos referimos

al proceso que se requiere para generar una
copia “bit-a-bit” de todo el disco, el cual
permitirá recuperar en el siguiente paso, toda
la información contenida y borrada del disco
duro.
 3. ANÁLISIS
En este punto se sigue el proceso de aplicar técnicas científicas y analíticas a los medios
duplicados por medio del proceso forense para poder encontrar pruebas de ciertas
conductas.
Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas del o de
los usuarios de la máquina como son
• Uso de dispositivos de USB (marca, modelo).
• Búsqueda de archivos específicos.
• Recuperación e identificación de correos electrónicos.
• Recuperación de los últimos sitios visitados
• Recuperación del caché del navegador de Internet, entre otros.
 4. PRESENTACIÓN
• En este punto se hace la recopilación de toda la información que se obtuvo a partir del
análisis para realizar el reporte y la presentación a los abogados, la generación (si es
el caso) de una pericial y de su correcta interpretación sin hacer uso de tecnicismos.
 SERVICIOS QUE PUEDE TENER UN
LABORATORIO DE INFORMÁTICA FORENSE

• Recolección y Preservación
de Evidencia Digital
• La evidencia digital es materia prima para los investigadores donde la tecnología
informática es parte fundamental del proceso. Esta solución incluirá la recolección
de dicha evidencia mediante las técnicas y procedimientos establecidos para
garantizar una adecuada cadena de custodia, cumpliendo con los estándares, y
garantizando la presentación de dicha evidencia ante estrados judiciales.
 FASES PARA LA PRESENTACIÓN DEL SERVICIO
• 1. Identificación de las evidencias
discos duros, pendrives, teléfonos móviles.

• 2. Recolección y adquisición
de las evidencias. Clonado en dispositivos higienizados.
• 3. Búsqueda especifica
de palabras clave y documentos (ficheros borrados, registros de llamadas, SMS...)
• 4. Investigación forense completa
determinación de procedencia, correlación de fechas, uso de la información, envío a
terceros.
• 5. Generación de informe pericial
con todo el proceso de la investigación y las conclusiones a las que se llegas.
• 6. Cadena de custodia
preservación de todas las evidencias.
 CAPTURA DE IMÁGENES FORENSES
Solución orientada a la recolección de evidencia con fines de investigación interna, sin
el componente de la cadena de custodia, ya que algunos casos las organizaciones no
buscan presentar denuncias ante un incidente, sino determinar el origen del incidente.
Para una investigación interna en una organización se requiere:
-Obtener una copia idéntica del origen para análisis sobre seguridad y protección de
datos.
-Recuperar la información que haya podido haber sido eliminada.
-Efectuar búsqueda de archivos específicos necesarios en la investigación.
-Generar una copia idéntica de la información para su preservación y análisis.
 DE DATOS

• Solución orientada a la recuperación de información de vital importancia

para la organización, alojada en discos duros y que pudo ser eliminada de
manera intencional o accidental de los dispositivos de almacenamiento
digital.
RESPUESTA ANTE INCIDENTES Y CASOS DE
FRAUDE O EXTORSIÓN
• Ante las bondades de los avances de la tecnología y comunicaciones que nos
permiten depositar en ellas todo tipo de información, también se generan
oportunidades para los ciberdelincuentes o a aquellos que buscan ocultar su
identidad para por medio de esta tecnología generar afectación de cualquier tipo a
personas y organizaciones a tratar de identificar aquellas fuentes generadoras del
ataque.
 -Extorsión, amenaza, intimación
desde un email.

TIPO DE
-Uso de un email falso para fraude.
INCIDENTES
DE
SEGURIDAD -Fuga de información de la
compañía
INFORMÁTICA:
-Robo y uso de una identidad falsa
en Internet.
 FASES DE LA INVESTIGACIÓN:

1. Análisis 2. localización IP. 3. Identificación.

 • Los dispositivos digitales en los que se aloja la
información, frecuentemente son desechados o
entregados a terceros, sin percatarse que la
información alojada en los mismos puede ser
recuperada a pesar que el disco haya sido sometido a
la eliminación de los archivos o a un proceso
BORRADO formateado.
SEGURO DE
MEDIOS DE • TIPS para el borrado seguro:
ALMACENAMIENTO • La información que tiene un disco duro o USB cuando
ya no se usa se deben borrar de forma segura.
• Los equipos que se venden, retiran o dan de baja se
deben formatear de forma segura.
• Cuando se borra o elimina un archivo...éste realmente
no desaparece.