Investigación, Temario
I n v e s t i g a c i ó n , I n f o r m á t i c a F o r e n s e y Ev i d e n c i a D i g i t a l
Informática Forense, • Investigación, Informática Forense
Evidencia Digital • Evidencia Digital
D erech o I n form á tico
Ing. Diego Marcelo Reina Haro
dreina@[Link]
Agregar un pie de página 2
Investigación e Informática Forense FR Investigación e Informática Forense FR
Análisis F orense I nformáti c o.
I NTRO DUCCI Ó N . Se considera que el Análisis Forense Informático consiste en la aplicación de técnicas
científicas y analíticas especializadas a una infraestructura tecnológica que permite
identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso
La evidencia digital o la prueba electrónica es cualquier legal (Santos Tello, 2013).
valor probatorio de la información almacenada o transmitida Cuando se requiere de servicios profesionales para ejecutar un análisis forense o peritaje,
en formato digital de tal manera que una parte o toda puede es prioritario salvaguardar toda la información, que luego será o no
ser utilizada en un proceso judicial. Antes de aceptar la judicializada.(preservación)
evidencia digital un tribunal determinará si la prueba es El conocimiento del informático forense abarca aspectos no solo del software, sino también
pertinente, auténtica, si es un rumor y si es aceptable una de hardware, redes, seguridad, hacking, cracking, recuperación de información.
copia o el original es requerido. Es muy importante tener clara la diferencia entre informática forense, seguridad
informática y auditoría, la primera lo mencionamos en el primer párrafo, la segunda es la
prevención de delitos, y la última consiste en un proceso de control/verificación
Derecho Informático 3 Derecho Informático 4
Investigación e Informática Forense FR Investigación e Informática Forense FR
Períto I nformáti co. Períto I nformáti co.
Perito Perito Judicial o Perito Forense
Que es entendido o experto en determinada materia. Es el profesional dotado de conocimientos especializados y reconocidos a través de sus
estudios, que suministra información u opinión con fundamentos a los tribunales de
justicia, sobre cuestiones relacionadas con sus conocimientos en caso de ser requeridos
El perito suministra al juez el peritaje(información) u opinión sobre determinadas ramas
del conocimiento que el juez no está obligado a dominar, a efecto de suministrarle como expertos. Se puede decir que es la persona que funciona como vínculo entre la
argumentos o razones para la formación de su convencimiento (Arsuaga Cortázar, 2010) parte técnica y la parte judicial.
El término perito aparece por vez primera en el Real Decreto del 17 de agosto de 1901 Existen dos tipos de peritos: los nombrados judicialmente y los propuestos por una o
ambas partes y luego aceptados por el juez o fiscal. Son capaces de ejecutar, aplicar y
de Roma surge una nueva profesión con el título de Perito.
utilizar todas las técnicas y recursos de una forma científica para una adecuada
Posteriormente aparecen los títulos de perito forense y perito informático . administración de los requerimientos de su campo laboral (recolección de pruebas,
aseguramiento, preservación, manejo de la cadena de custodia necesaria para
esclarecer la verdad, etc.).
Derecho Informático 5 Derecho Informático 6
1
�Investigación e Informática Forense FR Investigación e Informática Forense FR
Períto I nformáti co. Períto I nformáti co.
Funciones Funciones
• Asesoría técnica contra el ciber-crimen, considerando que se pueden presentar • Contraespionaje informático.
problemas por la existencia de un malware que afecte una entidad financiera y, por • Supervisión de actividad laboral informática.
ende, a sus clientes. • Detección y asesoría en casos de infidelidad empresarial, que se da cuando un
• Localización de evidencias electrónicas, es decir, de los ficheros que han sido borrados trabajador se separa de una empresa y se lleva consigo información que no le
y cuya ubicación se requiere determinar. pertenece como, por ejemplo, una base de datos de todos los clientes.
• Auditorías y seguridad informática forense mediante test de penetración. • Seguimiento de correos anónimos, autores de publicaciones, propietarios de páginas
• Valoración y tasación de equipos tecnológicos. web.
• Certificaciones y homologaciones. • Análisis informático forense de videos, imágenes digitales y audio.
• Recuperación de datos. • Asesoría sobre falsificación de correos, imágenes, violaciones de seguridad,
• Asesoría informática y formación de profesionales del derecho, la administración infiltraciones, doble contabilidad, fraude financiero y de sistemas informáticos, robo de
pública, de cuerpos y fuerzas de seguridad del estado, y también como detectives claves, información sensible, secretos industriales, errores en la cadena de custodia.
privados.
Derecho Informático 7 Derecho Informático 8
Investigación e Informática Forense FR Investigación e Informática Forense FR
Períto I nformáti co. Períto I nformáti co.
Evidencia Digital
Se define la evidencia de digital como "cualquier dato que puede establecer que un Características de la Evidencia Digital
crimen que se ha ejecutado (commit) o puede proporcionar un vinculo (link) entre un La evidencia digital posee las siguientes características:
crimen y su víctima o un crimen y su autor“.
1. Volátil.- susceptible a la pérdida (factores internos externo).
A diferencia de la documentación en papel, la evidencia computacional/digital es frágil y 2. Anónima .- que puede ser aislada, oculta, reservada, protegida
una copia de un documento almacenado en un archivo es idéntica al original. 3. Duplicable.- generar copias idénticas a la original.
4. Alterable y modificable .- puede ser editada a voluntad
Otro aspecto único de la evidencia computacional es el potencial de realizar copias no 5. Eliminable.- que puede de ser borrada, eliminada (a primera vista).
autorizadas de archivos, sin dejar rastro de que se realizó una copia (hurto).
La evidencia digital es muy difícil de eliminar. Aun cuando un registro es borrado del disco
duro del computador, y éste ha sido formateado, es posible recuperarlo. (rastro digital)
Derecho Informático 9 Derecho Informático 10
Investigación e Informática Forense FR Investigación e Informática Forense FR
O BJ E TI VO S Tipos de informátic a forense
En caso de que se haya producido una ruptura en la brecha de seguridad, estos son los
objetivos esenciales del uso de la informática forense o computación forense:
• Ayuda a recuperar, analizar y preservar el ordenador y los materiales relacionados de tal Sistemas
manera que ayuda a la agencia de investigación a presentarlos como evidencia en un Redes
Operativos
tribunal de justicia.
• Ayuda a postular el motivo detrás del crimen y la identidad del principal culpable.
• Diseñar procedimientos en una presunta escena del crimen que ayudan a garantizar
que la evidencia digital obtenida no esté corrupta. Dispositivos En la nube
• Adquisición y duplicación de datos: recuperación de archivos eliminados y particiones Móviles Cloud
eliminadas de medios digitales para extraer la evidencia y validarlos.
• Ayuda a identificar la evidencia rápidamente y también permite estimar el impacto
potencial de la actividad maliciosa en la víctima
• Producir un informe forense informático que ofrece un informe completo sobre el
proceso de investigación.
Derecho Informático 11 Derecho Informático 12
2
�Investigación e Informática Forense FR Investigación e Informática Forense FR
Tipos de informátic a forense Tipos de informátic a forense
Sistemas Operativos REDES
El análisis forense de la red se refiere a la recopilación, monitorización y análisis de las
Es el proceso de recuperación de información útil del sistema operativo (SO) del ordenador o dispositivo móvil
en cuestión. actividades de la red para descubrir la fuente de ataques, virus, intrusiones o violaciones de
seguridad que ocurren en una red o en el tráfico de la red.
El objetivo de recopilar esta información es adquirir evidencia empírica contra el autor (sujeto activo).
Como tal, el análisis forense de la red se considera junto con el análisis forense móvil o el
La comprensión de un sistema operativo: su sistema de archivos, arquitectura, tipo S.O es necesaria para análisis forense de imágenes digitales, como parte del análisis forense digital.
recuperar datos para investigaciones informáticas.
El sistema de archivos proporciona un sistema operativo con una hoja de ruta para los datos en el disco duro. Por lo general, se usa cuando se trata de ataques a la red. En muchos casos, se usa para
monitorizar una red para identificar proactivamente el tráfico sospechoso o un ataque
El sistema de archivos también identifica cómo el disco duro almacena los datos. inminente(mail). Por otro lado, se utiliza para recopilar pruebas mediante el análisis de datos
(FAT, TAF32, NTFS, EXT2, EXT3, APFS, HFS+ - x86(32 bits) , 64 bits - Windows, Apple, Android, Linux, IBM) de tráfico de red para identificar la fuente de un ataque.
(analizadores de trafico sniffer; IDS HIDS, NIDS )
Derecho Informático 13 Derecho Informático 14
Investigación e Informática Forense FR Investigación e Informática Forense FR
Tipos de informátic a forense Tipos de informátic a forense
Dispositivos móviles En La Nube - cloud
Los crímenes no ocurren aislados de las tendencias tecnológicas; por lo tanto, el análisis En la actualidad la mayoría de datos han sido subidos a la nube (servicios de
forense de dispositivos móviles se ha convertido en una parte importante del análisis almacenamiento en internet), para asuntos de disponibilidad es una gran ayuda, pero para
forense digital. asuntos de seguridad se ha convertido en el terror mas reciente de los usuarios
El proceso forense móvil tiene como objetivo recuperar evidencia digital o datos El análisis forense de la nube combina la computación en la nube y el análisis forense digital,
relevantes de un dispositivo móvil de una manera que conserve la evidencia en una que se centra principalmente en la recopilación de información forense digital de una
condición forense sólida. infraestructura de la nube. Esto significa trabajar con una colección de recursos
informáticos, como activos de red, servidores (tanto físicos como virtuales), almacenes,
Para lograr eso, el proceso forense móvil necesita establecer reglas precisas que aplicaciones y cualquier servicio que se brinde en ella.
incauten, aíslen, transporten, almacenen para el análisis y ejecuten pruebas digitales
que se originen de manera segura desde dispositivos móviles. Estos sistemas de almacenamiento son seguros, pero son mas fáciles de acceder gracias a
una orden judicial. (datos nunca se borran verdaderamente)
Derecho Informático 15 Derecho Informático 16
Investigación e Informática Forense FR Investigación e Informática Forense FR
NORMATIVOS Y ESTÁNDARES NORMATIVOS Y ESTÁNDARES
ISO 27037
Directrices para la identificación, recolección, adquisición y preservación de la prueba digital
ISO 27037
Directrices para la identificación, recolección, adquisición y preservación de Esta norma ofrece orientación para tratar situaciones frecuentes durante todo el proceso de tratamiento de las
la prueba digital pruebas digitales. Además define dos roles especialistas:
• DEFR (Digital Evidence First Responders): Expertos en primera intervención de evidencias electrónicas.
• DES (Digital Evidence Specialists): Experto en gestión de evidencias electrónicas.
RFC 3227 Request For Comments
Directrices para la recolección de evidencias y su almacenamiento ISO 27037 proporciona orientación para los siguientes dispositivos y circunstancias:
• Medios de almacenamiento digitales utilizados en equipos varios como por ejemplo discos duros,
disquetes, discos magneto-ópticos y ópticos y otros similares.
• Teléfonos móviles, PDAs, tarjetas de memoria.
UNE 71505 y UNE 71506 • Sistemas de navegación móvil (GPS).
Metodología para la preservación, adquisición, documentación, análisis y • Cámaras de video y cámaras digitales (incluyendo circuitos cerrados de televisión).
presentación de pruebas digitales • Ordenadores estándares con conexiones a redes.
• Redes basadas en protocolos TCP/IP y otros protocolos digitales.
• Otros dispositivos con funcionalidades similares a las descritas anteriormente.
Derecho Informático 17 Derecho Informático 18
3
�Investigación e Informática Forense FR Investigación e Informática Forense FR
NORMATIVOS Y ESTÁNDARES NORMATIVOS Y ESTÁNDARES
RFC 3227 Request For Comments UNE 71505 y UNE 71506
Directrices para la recolección de evidencias y su almacenamiento Metodología para la preservación, adquisición, documentación, análisis y
Este documento recoge directrices para recopilar y almacenar evidencias sin ponerlas en riesgo. presentación de pruebas digitales
(Cadena de custodia).
Esta norma debe dar respuesta a las infracciones legales e incidentes informáticos en las
En cuanto a los principios para la recolección de evidencias destacan básicamente tres:
distintas empresas y entidades. Con la obtención de dichas pruebas digitales, que serán
• el orden de volatilidad de los datos
• las acciones que deben evitarse más robustas y fiables siguiendo la normativa, se podrá discernir si su causa tiene como
• las consideraciones sobre la privacidad. origen un carácter intencional o negligente.
Relativo al procedimiento de recolección destaca que debe ser detallado, procurando que no sea Estas normativas son de aplicación a cualquier organización con independencia de su
ambiguo y reduciendo al mínimo la toma de decisiones, al igual que mencionar el detalle de la actividad o tamaño, así como a cualquier profesional competente en este ámbito. Se dirige
herramienta utilizada. especialmente a incidentes y seguridad, así como al personal técnico que trabaje en
Según este documento el kit de análisis debe incluir las siguientes herramientas: laboratorios o entornos de análisis forense de evidencias electrónicas.
• Programas para listar y examinar procesos.
• Programas para examinar el estado del sistema.
• Programas para realizar copias bit a bit
Derecho Informático 19 Derecho Informático 20
Investigación e Informática Forense FR Investigación e Informática Forense FR
NORMATIVOS Y ESTÁNDARES Fases de la I nvestigac ió n F orense
1. Adquisición
ISO 27037
Directrices para la identificación, recolección, adquisición y preservación de
la prueba digital
2. Preservación
RFC 3227 Request For Comments
Directrices para la recolección de evidencias y su almacenamiento
3. Análisis
UNE 71505 y UNE 71506 4. Documentación
Metodología para la preservación, adquisición, documentación, análisis y
presentación de pruebas digitales
5. Presentación
Derecho Informático 21 Derecho Informático 22
Investigación e Informática Forense FR Investigación e Informática Forense FR
Fas es de la I nves tigac ió n F orense Fases de la I nvestigac ió n F orense
1. Adquisición 2. Preservación
En esta fase se obtienen copias de la información (data) que se sospecha que puede En esta etapa se debe garantizar la información recopilada con el fin de que no se
estar vinculada con algún incidente/delito. De este modo, hay que evitar modificar destruya o sea transformada. Es decir que nunca debe realizarse un análisis sobre la
cualquier tipo de dato utilizando siempre software de copias bite a bite o con las muestra incautada, sino que deberá ser copiada y sobre la copia se deberá realizar la
herramientas y dispositivos adecuados. Cabe aclarar este tipo de copia es pericia. De este modo, aparece el concepto de cadena de custodia, la cual es un acta en
imprescindible, debido a que nos dejara recuperar archivos borrados o particiones donde se registra el lugar, fecha, analista, detalle del procedimiento y demás actores que
ocultas, arrojando como resultado una imagen de igual tamaño al disco estudiado. manipularon la muestra.
Recomendamos la utilización de guantes, bolsas antiestáticas y jaulas de Faraday para depositar dispositivos que En este proceso se recomienda usar firmas hash (SHA-1, SHA-256, SHA-512)
puedan interaccionar con ondas electromagnéticas como son los celulares. VOLATILIDAD
Hash Generator
AOMEI Backupper Standard HashMyFiles
EaseUS Todo Backup
Clonezilla
Derecho Informático 23 Derecho Informático 24
4
�Investigación e Informática Forense FR Investigación e Informática Forense FR
Fas es de la I nves tigac ió n F orense Fases de la I nvestigac ió n F orense
3. Análisis 4. Documentación
Sin duda, es la fase más técnica, donde se utilizan tanto hardware como software Recomendamos ir documentando todas las acciones, en lo posible, a medida que vayan
específicamente diseñados para el análisis forense, se podrán obtener grandes ocurriendo. Aquí ya debemos tener claro por nuestro análisis qué fue lo sucedido, e
diferencias dependiendo de las herramientas que se utilicen, las capacidades y intentar poner énfasis en cuestiones críticas y relevantes a la causa. Debemos citar y
experiencia del analista. Es muy importante tener en claro qué es lo que estamos adjuntar toda la información obtenida, estableciendo una relación lógica entre las
buscando, para dar un enfoque más preciso a la hora de ir a buscar pruebas. Considere: pruebas obtenidas y las tareas realizadas, asegurando la repetibilidad de la investigación.
el estudio de la línea de tiempo (timeline), logs de accesos y una descarga de la memora
RAM.
ProDiscover Forensic Office
Volatility Framework LibreOffice
CAINE
Derecho Informático 25 Derecho Informático 26
Investigación e Informática Forense FR
TI PO S DE I NF O RMÁTI C A F O RE NSE
4. Presentación
Por un lado, se entrega un informe ejecutivo mostrando los rasgos más importantes de
forma resumida y ponderando por criticidad en la investigación sin entrar en detalles
técnicos. Este informe debe ser muy claro, certero y conciso, dejando afuera cualquier Gracias
cuestión que genere algún tipo de duda. In g. Die go M ar c elo Re in a Har o
Un segundo informe llamado “Informe Técnico” es una exposición que nos detalla en
mayor grado y precisión todo el análisis realizado, resaltando técnicas y resultados
encontrados, poniendo énfasis en modo de observación.
Derecho Informático 27
