UMSS/FCYT/ING. SISTEMAS/ING.

INFORMÁTICA/SEGURIDAD DE SISTEMAS/UNIDA2/

UNIDAD2: INFORMÁTICA FORENSE

Tabla de contenido
1 Introducción y Definiciones ....................................................................................................................................... 1
2 Evidencia Digital......................................................................................................................................................... 3
3 Roles .......................................................................................................................................................................... 4
4 Fases o proceso de un peritaje informático .............................................................................................................. 7
5 Herramientas ............................................................................................................................................................. 9

2.1 Introducción y Definiciones

La informática forense, computación forense, análisis forense digital o examen forense digital es la
aplicación de técnicas científicas y analíticas especializadas a infraestructuras tecnológicas que permiten
identificar, preservar, analizar y presentar datos válidos dentro de un proceso legal.

Dichas técnicas incluyen reconstruir elementos informáticos, examinar datos residuales, autenticar datos y
explicar las características técnicas del uso de datos y bienes informáticos.

Como la definición anterior lo indica, esta disciplina no solo hace uso de tecnologías de punta para mantener
la integridad de los datos y del procesamiento de los mismos; sino que también requiere de una especialización
y conocimientos avanzados en materia de informática y sistemas para poder detectar qué ha sucedido dentro
de cualquier dispositivo electrónico. La formación del informático forense abarca no solo el conocimiento
del software sino también de hardware, redes, seguridad, piratería, craqueo y recuperación de información.

La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información,
conversaciones o evidencias en correos electrónicos y chats.
Página 1 de 10
UMSS/FCYT/ING. SISTEMAS/ING. INFORMÁTICA/SEGURIDAD DE SISTEMAS/UNIDA2/

La evidencia digital o electrónica es sumamente frágil, de ahí la importancia de mantener su integridad. El

simple hecho de pulsar dos veces en un archivo modificaría la última fecha de acceso del mismo.

Dentro del proceso del cómputo forense, un examinador forense digital puede llegar a recuperar información
que haya sido borrada desde el sistema operativo. El informático forense debe tener muy presente el principio
de intercambio de Locard por su importancia en el análisis de la criminalística, así como los principios de
admisibilidad de la evidencia.

Es muy importante mencionar que la informática o cómputo forense no tiene como objetivo prevenir delitos,
por lo que resulta imprescindible tener claros los distintos marcos de actuación de la informática forense,
la seguridad informática y la auditoría informática.

Existen diferentes términos referentes a la ciencia forense en informática. Cada uno de estos términos trata
de manera particular o general temas que son de interés para las ciencias forenses.

Computación forense (computer forensics)

1. Disciplina de la ciencia forense que considera los procedimientos en relación con las evidencias para
descubrir e interpretar la información en los medios informáticos con el fin de establecer hipótesis o
hechos relacionados con un caso. (Centrada en las consideraciones forenses).1

2. Disciplina científica que a partir de la comprensión de las tecnologías y de los equipos de computación
ofrece un análisis de la información que contienen. (Centrada en la tecnología).1

Ciencia forense en las redes (network forensics):

Trata las operaciones de redes de computadores, estableciendo rastros e identificando movimientos y

acciones. Es necesario entender los protocolos, configuraciones e infraestructura de las comunicaciones. A
diferencia de la computación forense, es necesario poder establecer relaciones entre eventos diferentes e
incluso aleatorios.

Ciencia forense digital (digital forensics):

Es una forma de aplicar los conceptos y procedimientos de la criminalística a los medios informáticos o
digitales. Tiene como fin apoyar a la justicia en el contexto de la inseguridad informática ─es decir, la
perpetración de posibles delitos─ al aclarar temas relacionados con incidentes o fraudes.

Página 2 de 10
UMSS/FCYT/ING. SISTEMAS/ING. INFORMÁTICA/SEGURIDAD DE SISTEMAS/UNIDA2/

2.2 Evidencia Digital

La evidencia digital es cualquier información de valor probatorio que se almacena o transmite en forma digital
(datos en binario a bajo nivel). Los dispositivos digitales registran evidencias de todo lo que haces. Los
dispositivos digitales incluyen: portátiles, ordenadores de escritorio, teléfonos inteligentes, consolas,
televisores inteligentes, cajeros automáticos, etc. Muchas veces, el análisis forense digital se confunde con la
recuperación de datos, pero debemos distinguir ambos términos.

Características:

Estas evidencias comparten una serie de características:

1- Volatilidad
2- Anonimato
3- Facilidad de duplicación
4- Alterabilidad
5- Facilidad de eliminación

Categorías:

Estas evidencias se pueden dividir en tres categorías:

1- Registros almacenados en el equipo de tecnología informática (ej. imágenes y correos)

2- Registros generados por equipos de tecnología informática (ej. transacciones, registros en eventos)
3- Registros parcialmente generados y almacenados en los equipos de tecnología informática (ej. consultas en
bases de datos)

Dispositivos o elementos de análisis:

Toda aquella infraestructura informática que tenga una memoria es susceptible de análisis:

 Disco duro de una Computadora o Servidor

 Documentación referente al caso.

 Tipo de sistema de telecomunicaciones.
 Inicios de sesiones.
 Información de los cortafuegos.
 IP, redes Proxy, host, conexiones cruzadas, pasarelas.
Página 3 de 10
UMSS/FCYT/ING. SISTEMAS/ING. INFORMÁTICA/SEGURIDAD DE SISTEMAS/UNIDA2/

 Software de supervisión y seguridad.

 Credenciales de autentificación.
 Rastreo de paquetes de red.
 Teléfonos móviles o celulares (telefonía móvil)
 Agendas electrónicas (PDA).
 Dispositivos de GPS.
 Impresoras.
 Memorias USB.
 BIOS.
 Otros

2.3 Roles
Existen tres roles principales que son importantes y se deben tener en cuenta: el intruso, el administrador y la
infraestructura de la seguridad informática, y el investigador.

Intrusos

El intruso es aquel que ataca un sistema, hace cambios no autorizados, manipula contraseñas o cambia
configuraciones, entre otras actividades que atentan contra la seguridad de un sistema. La intención de los
intrusos es un punto clave para poder analizar el caso, ya que no se puede comparar un intruso cuya
motivación es el dinero con otro cuya motivación es la demostración de sus habilidades. Jeimy J. Cano hace
una comparación entre las motivaciones de diferentes tipos de atacantes en la siguiente tabla, basada en el
artículo de Steven Furnell, Cybercrime.

Algunos intrusos y sus motivaciones:

Motivaciones Ciber- Terroristas Phreakers Script kiddies Crackers Desarrollo de virus Atacante interno

Reto X X X

Ego X X X
Espionaje X X X
Ideología X
Dinero X X X X
Venganza X X X X
Página 4 de 10
UMSS/FCYT/ING. SISTEMAS/ING. INFORMÁTICA/SEGURIDAD DE SISTEMAS/UNIDA2/

El modelo del atacante para realizar su procedimiento se explica conceptualmente por tres fases: la fase de
reconocimiento, la fase de ataque y la fase de eliminación. En la primera fase (reconocimiento), se busca
reconocer y recolectar información. De esta manera, el atacante puede saber cómo puede actuar y los riesgos
posibles, para así poder avanzar. En la segunda fase (ataque) se compromete el sistema, avanzando hasta el
nivel más alto, teniendo el control del sistema atacado. Esta etapa usualmente se maneja de manera discreta,
y es por eso que es más difícil identificar al intruso. Usualmente, la vanidad del intruso y la falta de discreción
ayudan al investigador a resolver el caso con mayor facilidad. Finalmente, (en la fase de eliminación) se altera,
elimina o desaparece toda la evidencia que pueda comprometer al intruso en algún caso judicial. Del cuidado
con el que el atacante proceda en esta fase depende el proceso del informático forense y del caso.

Administradores y la infraestructura de la seguridad informática

El administrador del sistema es el experto encargado de la configuración de este, de la infraestructura

informática y de la seguridad del sistema. Estos administradores son los primeros en estar en contacto con la
inseguridad de la información, ya sea por un atacante o por una falla interna de los equipos. Al ser los
arquitectos de la infraestructura y de la seguridad de la información del sistema, son quienes primero deberían
reaccionar ante un ataque, y deben proporcionar su conocimiento de la infraestructura del sistema para
apoyar el caso y poder resolverlo con mayor facilidad.

Las infraestructuras de seguridad informática (realizadas por el administrador) han avanzado a medida que
avanzan las tecnologías. Inicialmente, se utilizaba una infraestructura centralizada en la cual la información
se encontraba en un equipo. Por lo tanto, en este caso la Seguridad informática se concentraba en el control
del acceso a los equipos con la información, al control del lugar en donde se encontraban, y en el
entrenamiento de quienes estaban encargados de manejar los equipos. Pero con la tecnología fueron
cambiando las infraestructuras y las inseguridades cambiaron. Así, se crearon los proxies, Firewall, los
IDS Sistema de detección de intrusos , los IPS Sistema de prevención de intrusos entre muchas otras herramientas para
proveer una mejor seguridad a los sistemas, ya que ahora el acceso no ocurría solo a través de la máquina,
sino a través de otras y de la Web

Por otro lado, es importante hablar de la auditabilidad y trazabilidad, que son propiedades del sistema,
relacionados con la infraestructura que son útiles como evidencia para el investigador. La auditabilidad es la
capacidad del sistema para registrar los eventos de una acción en particular con el fin de mantener la historia
de estos y de realizar un control con mayor facilidad. En cambio, la trazabilidad es la propiedad que tiene un
sistema para rastrear o reconstruir relaciones entre diferentes objetos monitoreados.
Página 5 de 10
UMSS/FCYT/ING. SISTEMAS/ING. INFORMÁTICA/SEGURIDAD DE SISTEMAS/UNIDA2/

Es importante resaltar que el administrador debe conocer lo suficiente sobre las infraestructuras del sistema
para poder colaborar con el caso, ya que con base en su análisis el proceso del investigador forense se puede
facilitar. Adicionalmente, contar con los rastros y registro de eventos (Auditoría informática) en los sistemas
es crucial para el administrador y su infraestructura, no solo porque genera confianza en sus clientes, sino
también porque es una buena práctica en términos de seguridad para toda la empresa.

Investigador

Es un nuevo profesional que actúa como perito, criminalista digital, o informático forense. Comprende y
conoce las nuevas tecnologías de la información, y analiza la inseguridad informática emergente en los
sistemas. El perfil del investigador es nuevo y necesario en el contexto abierto informático en el que vivimos.
Por lo tanto, es necesario formar personas que puedan trabajar como investigadores en la disciplina emergente
de la criminalística digital y la informática forense. Estas prácticas emergentes buscan articular las prácticas
generales de la criminalística con las evidencias digitales disponibles en una escena del crimen. El trabajo del
informático es indagar en las evidencias, analizarlas y evaluarlas para poder decidir cómo estas evidencias
pueden ayudar a resolver el caso. Por lo tanto, es ideal que un investigador conozca al menos sobre las
siguientes áreas: Justicia criminal, auditoría, administración y operación de tecnologías de Información.

En un proceso de investigación forense en informática hay ocho roles principales en un caso: el líder del caso,
el propietario del sistema, el asesor legal, el auditor/ingeniero especialista en seguridad de la información, el administrador
del sistema, el especialista en informática forense, el analista en informática forense y el fiscal. Usualmente, entre todos
estos roles, los informáticos forenses pueden tomar los siguientes cuatro roles:

 Líder del caso: es aquel que planea y organiza todo el proceso de investigación digital. Debe identificar
el lugar en donde se realizará la investigación, quienes serán los participantes y el tiempo necesario
para esta.

 Auditor/ingeniero especialista en seguridad de la información: conoce el escenario en donde se desarrolla la

investigación. Tiene el conocimiento del modelo de seguridad en el cual ocurrieron los hechos y de
los usuarios y las acciones que pueden realizar en el sistema. A partir de sus conocimientos debe
entregar información crítica a la investigación.

 Especialista en informática forense: es un criminalista digital que debe identificar los diferentes elementos
probatorios informáticos vinculados al caso, determinando la relación entre los elementos y los
hechos para descubrir el autor del delito.
Página 6 de 10
UMSS/FCYT/ING. SISTEMAS/ING. INFORMÁTICA/SEGURIDAD DE SISTEMAS/UNIDA2/

 Analista en informática forense: examina en detalle los datos, los elementos informáticos recogidos en
la escena del crimen con el fin de extraer toda la información posible y relevante para resolver el caso.

** Es importante recalcar que una misma persona puede tomar más de un rol, e incluso los cuatro, en un
proceso de investigación.

2.4 Fases o proceso de un peritaje informático

En primera instancia tenemos que definir los siguientes Términos importantes:

 Cadena de Custodia: la identidad de personas que manejan la evidencia en el tiempo del suceso y
la última revisión del caso. Es responsabilidad de la persona que maneja la evidencia asegurar que los
artículos son registrados y contabilizados durante el tiempo en el cual están en su poder, y que son
protegidos, así mismo llevando un registro de los nombres de las personas que manejaron la evidencia
o artículos durante el lapso de tiempo y fechas de entrega y recepción.

 Imagen Forense: Técnica Llamada también "Espejeo" (en inglés "Mirroring"), la cual es una copia
binaria de un medio electrónico de almacenamiento. En la imagen quedan grabados los espacios que
ocupan los archivos y las áreas borradas incluyendo particiones escondidas.

 Análisis de Archivo: Examina cada archivo digital descubierto y crea una base de datos de
información relacionada al archivo (metadatos, etc.), consistente entre otras cosas en la firma del
archivo o hash (indica la integridad del archivo)

El proceso de análisis forense a una computadora se describe a continuación:

Identificación

Es muy importante conocer los antecedentes a la investigación, situación actual y el proceso que se quiere
seguir para poder tomar la mejor decisión con respecto a las búsquedas y las estrategias (debes estar bien
programado y sincronizado con las actividades a realizar, herramientas de extracción de los registros de
información a localizar). Incluye muchas veces (en un momento especifico Observar, Analizar Interpretar y
Aplicar la certeza, esto se llama criterio profesional que origina la investigación) la identificación del bien
informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que verifica la integridad y

Página 7 de 10
UMSS/FCYT/ING. SISTEMAS/ING. INFORMÁTICA/SEGURIDAD DE SISTEMAS/UNIDA2/

manejo adecuado de la evidencia), la revisión del entorno legal que protege el bien y del apoyo para la toma
de decisión con respecto al siguiente paso una vez revisados los resultados.

Preservación

Este paso incluye la revisión y generación de las imágenes forenses de la evidencia para poder realizar el
análisis. Dicha duplicación se realiza utilizando tecnología punta para poder mantener la integridad de la
evidencia y la cadena de custodia que se requiere (soportes). Al realizar una imagen forense, nos referimos al
proceso que se requiere para generar una copia “bit-a-bit” (copia binaria) de todo el disco duro, el cual
permitirá recuperar en el siguiente paso, toda la información contenida y borrada del disco duro. Para evitar
la contaminación del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales
evitan el contacto de lectura con el disco, lo que provocaría una alteración no deseada en los medios.

Análisis forense digital

Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para
poder encontrar pruebas de ciertas conductas. Se pueden realizar búsquedas de cadenas de caracteres,
acciones específicas del o de los usuarios de la máquina como son el uso de dispositivos de USB (marca,
modelo), búsqueda de archivos específicos, recuperación e identificación de correos electrónicos,
recuperación de los últimos sitios visitados, recuperación del caché del navegador de Internet, etc.

Presentación

Es el recopilar toda la información que se obtuvo a partir del análisis para realizar el reporte y la presentación
a los abogados, jueces o instancias que soliciten este informe, la generación (si es el caso) de una pericial y de
su correcta interpretación sin hacer uso de tecnicismos; se deberá presentar de manera cauta, prudente y
discreta al solicitante la documentación ya que siempre existirán puertas traseras dentro del sistema en
observación y debe ser muy específica la investigación dentro del sistema que se documenta porque se
compara y vincula una plataforma de telecomunicación y computo forense y que están muy estrechamente
enlazadas no omitiendo los medios de almacenamiento magnéticos portables estos son basamentos sobre
software libre y privativo. Deberá ser muy cuidadosa la información a entregar porque se maneja el prestigio
técnico según las plataformas y sistemas

Para poder realizar con éxito su trabajo, el investigador nunca debe olvidar:

 Ser imparcial. Solamente analizar y reportar lo encontrado.

Página 8 de 10
UMSS/FCYT/ING. SISTEMAS/ING. INFORMÁTICA/SEGURIDAD DE SISTEMAS/UNIDA2/

 Realizar una investigación formal sin conocimiento y experiencia.

 Mantener la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia).

 Documentar toda actividad realizada.

El especialista debe conocer también sobre:

 Desarrollo de los exploit (vulnerabilidades), esto le permite al informático forense saber qué tipo de
programas se pondrán de moda, para generar una base de estudio que le permita observar patrones
de comportamiento.

2.5 Herramientas
Las herramientas existentes disponibles para el cómputo forense presentan otro reto. Las herramientas
licenciadas exigen a los investigadores inversiones altas (tanto en hardware, como en software), al adquirirlas
y para mantenerlas. Adicionalmente, como las herramientas están avanzando constantemente requieren
técnicos y usuarios que estén constantemente aprendiendo de sus actualizaciones, modificaciones y posibles
errores. Por otro lado, las herramientas de código abierto son cuestionadas en muchos tribunales por su
confiabilidad. Por lo tanto, no se recomiendan a la hora de usarse en una audiencia.

Es por esto que el NIST (National Institute of Standards and Technlogy de Estados Unidos) ha planteado
importantes investigaciones para probar y poner reglas para las herramientas del cómputo forense, en su
proyecto NIST Computer Forensic Tool Testing Program. Las pruebas realizadas serán útiles para cumplir las
exigencias del test de Daubert standard, prueba que establece la confiabilidad de las herramientas en
computación forense.

En el caso de Bolivia, tenemos FTK de AccesComp como herramienta oficial del IDIF Ministerio Público y
del ITTCUP Policía, si bien esta herramienta esta licenciada o es privativo contradiciendo a la ley del software
libre su uso es conocido y genera jurisprudencia para los jueces que deben decidir sobre la admisibilidad de
la evidencia para constituirse en una prueba y uno de los aspectos importantes es sobre el uso de herramientas
autorizadas

Existe un gran movimiento para usar software libre como Kaly Linux, Autopsy y otros, que de apoco se están
considerando.

Página 9 de 10
UMSS/FCYT/ING. SISTEMAS/ING. INFORMÁTICA/SEGURIDAD DE SISTEMAS/UNIDA2/

La siguiente tabla compara cuatro herramientas reconocidas internacionalmente al ser muy completas. Luego,
se encuentra una lista más completa de herramientas útiles para la labor del investigador.

Herramientas utilizadas en procesos de cómputo forense :

Herramienta Licencia Imágen Control de Integridad Administración del caso

Encase SÍ SÍ SÍ SÍ
Forensic Toolkit SÍ SÍ SÍ SÍ
Winhex SÍ SÍ SÍ SÍ
Sleuth Kit NO SÍ SÍ SÍ
Herramientas para el análisis de discos duros :

 AccessData Forensic ToolKit (FTK)

 Guidance Software EnCase
 Kit Electrónico de Transferencia de datos
Herramientas para el análisis de correos electrónicos :

 Paraben
 AccessData Forensic ToolKit (FTK)

Herramientas para el análisis de dispositivos móviles :

 Cellebrite UFED Touch 2, Physical Analyzer.

 AccessData Mobile Phone Examiner Plus (MPE+)

Herramientas para el análisis de redes:

 E-Detective - Decision Computer Group

 SilentRunner - AccessData
 NetworkMiner
 Netwitness Investigator

Herramientas para filtrar y monitorear el tráfico de una red tanto interna como a internet :

 Tcpdump
 USBDeview
 SilentRunner - AccessData
 WireShark

Página 10 de 10