INTRODUCCIÓN A LA INFORMÁTICA

FORENSE

Imagen tomada de interpol

 Introducción

La informática se ha convertido en el eje vertebrador de todas las organizaciones. La información que

circula por sus redes y servidores es vital para su funcionamiento y, en consecuencia, se ha convertido
en el nuevo objetivo de los criminales del siglo XXI. La información es un valor en sí mismo y, por lo
tanto, un objeto codiciado por los nuevos delincuentes y una vía para provocar cuantiosos daños a la
organización. Asimismo, su destrucción puede comportar importantes pérdidas económicas a sus
propietarios, e incluso compro- meter la continuidad de la empresa.

Cualquier organización que se plantee la implantación de alguna medida de seguridad en sus sistemas
de información (ya sea de carácter tecnológico u organizativo), deberá pretender alcanzar los
siguientes objetivos: evitar los incidentes de seguridad y reducir las consecuencias de los que no se
puedan evitar.

Lo adecuado, por lo tanto, es que las organizaciones se planteen cómo actuar ante un incidente de
seguridad. La gestión de incidentes permite a las organizaciones estructurar un protocolo de actuación
ante una incidencia para minimizar su impacto y el tiempo de resolución.

A pesar de ello, conviene ser consciente de que, por más recursos que se destinen a mejorar la
seguridad, nunca se podrá alcanzar en su máxima expresión, puesto que siempre se estará expuesto
a sufrir algún tipo de incidente que provocará algún impacto en la organización (en mayor o menor
medida).

Cuando ocurre un incidente, se deberá determinar qué ha sucedido. El conjunto de técnicas, conocido
de forma genérica como informática forense, además de esclarecer los hechos, nos permitirá reunir
pruebas de forma ordenada y metódica. Éstas, probablemente, deban tener valor probatorio para
poder ser posteriormente usadas en el ámbito procesal (ante un juez).
Uno de los grandes problemas que aparecen al tratar con información digital probatoria es la
tendencia a pensar que las pruebas informáticas son fácilmente creadas, modificadas o destruidas, y
que por ello difícilmente podrán ser utilizadas en un proceso judicial. Sin embargo, debe considerarse
que, al fin y al cabo, estas pruebas (denominadas evidencias digitales en la terminología forense) son
igualmente "reales", ya que se encuentran almacenadas en soportes físicos.

Ejemplos de soportes físicos de almacenaje

Discos duros, pendrives, DVD, blu-ray, etc.

 Objetivos

Competencias

Con los materiales de este módulo didáctico, se pretende que aprenda y desarrolle las siguientes
conocimientos y habilidades:

• Comprender las ciencias forenses y cómo la informática forense se desarrolla a partir de ellas.

• Saber dónde y cuándo se usa la informática forense en una organización.

• Conocer cuál es el rol del experto forense.

• Conocer cuál es la metodología básica de trabajo del experto forense.

 1. Disciplina forense

Ciencia forense

Conocemos por ciencia forense aquella que tiene por objeto la aplicación de prácticas científicas
dentro del proceso legal.

La ciencia forense es habitualmente referida sólo con el término forense, el cual, aceptado a escala
mundial, se usa a menudo como sinónimo de legal. La ciencia forense abarca tanto la rama civil como
la penal del derecho.

La ciencia forense se ha expandido tanto, que actualmente existen muchísimas ramas de las ciencias
que le dan soporte en la resolución de los problemas que plantea el derecho. Algunas de ellas, a título
orientativo, son las siguientes:

• Contabilidad forense. Adquisición, interpretación y estudio de la contabilidad.

• Informática forense. Recuperación, reconstrucción e interpretación de los medios digitales

que están almacenados en un ordenador, para su utilización como prueba.

• Economía forense. Adquisición, estudio e interpretación de las pruebas relacionadas con el

daño económico. Incluye la determinación de la pérdida de beneficios y ganancias, el valor del
negocio y la pérdida de beneficios, etc.

• Ingeniería forense. Reconstrucción, estudio e interpretación de un fallo mecánico o estructural

(de edificios, puentes, etc.).

• Lingüística forense. Estudio e interpretación de la lengua para su utilización como prueba

jurídica.

• Psicología y psiquiatría forense. Estudio, evaluación e identificación de enfermedades

relacionadas con el comportamiento humano y su mente, para la obtención de pruebas
jurídicas.

• Odontología forense. Estudio de los dientes, específicamente la unicidad de la dentición.

• Patología forense. Combina las disciplinas de la medicina y la patología para determinar las
causas de las lesiones o muerte.

• Toxicología forense. Estudio, evaluación e identificación de los efectos de los venenos,

productos químicos o las drogas en el cuerpo humano.
 1.1. Informática forense

Es una ciencia forense que se ocupa del uso de los métodos

Definición de ciencias forenses

Se denominan ciencias forenses a todas aquellas ciencias o especialidades científicas cuyos principios,
métodos y técnicas se aplican a la justicia, en cualquiera de sus aspectos, buscando el bien de la
sociedad y la seguridad pública. Las ciencias forenses abarcan especialidades cien- tíficas tales como
la antropología forense, criminalística, informática forense, ingeniería forense, medicina legal,
psiquiatría y psicología forense, toxicología forense, etc.

Es decir, cualquier disciplina cuyos principios científicos sean utilizados para ayudar a la justicia.

científicos aplicables a los sistemas informáticos.

Definición de informática forense

La informática forense es la ciencia forense que se encarga de asegurar, identificar, preservar,

analizar y presentar la evidencia digital, de manera que ésta sea aceptada en un proceso judicial.

Sin embargo, la informática forense también se ha revelado como un área de la informática con
muchas más utilidades, por lo que la definición anterior sólo se aplica a parte de su uso. Así pues,
también podríamos considerar la informática forense bajo la siguiente definición:

La informática forense investiga los sistemas de información con el fin de detectar evidencias de
vulnerabilidad en los mismos.

Esta definición subraya que se aplican las técnicas, procedimientos y herramientas hardware y
software necesarias para determinar datos y hechos relevantes. Dichas técnicas pueden llevarse a
cabo antes o después de que se produzca un suceso y con finalidades judiciales o no.

Bajo esta óptica, la informática forense aparece con distintas finalidades y objetivos:
 Objetivos
Preventivo Correctivo
--- Ha ocurrido un incidente y se
Probatoria deben re- unir pruebas para un
proceso judicial.
Finalidad Verificación de que el Ha ocurrido un incidente y
Auditora / sistema informático está deben conocerse los hechos
monitorización funcionando correctamente para modificar las políticas de
usando técnicas forenses. seguridad.

Objetivos preventivos. Se pretende anticiparse al problema. En este escenario, la informática forense

forma parte del sistema de seguridad. Se utiliza para verificar y para auditar. Mediante la práctica de
distintas técnicas, se verifica que los sistemas de seguridad instalados cumplen con ciertas condiciones
básicas de seguridad. Los resultados de las auditorías servirán para poder corregir los errores
encontrados y mejorar el sistema.

Objetivos correctivos. Este escenario supone la detección de un incidente. Debe conocerse la causa
para poder aplicar las medidas correctivas que permitan evitar nuevos incidentes por esa misma vía.

Finalidad probatoria. En especial, si el incidente ha ocasionado daños, estamos ante un escenario que
deberá manejarse con extrema cautela. La obtención de pruebas es de suma importancia. La
informática forense per- mite realizar un rastreo de la intrusión, descubrir el daño realizado y recopilar
las evidencias digitales. En este contexto, hablamos de recuperación de información e incluso de
descubrimiento de información. Podemos llegar a conocer el origen del ataque y los cambios
realizados en el sistema (fugas de información, pérdida o manipulación de datos). Posteriormente, las
evidencias halladas podrán ser utilizadas en el marco legal.

Finalidad auditora. Periódicamente debe comprobarse, a todos los niveles, la robustez del sistema
informático. Las técnicas forenses se han revelado como extremadamente útiles en estos escenarios.
 Marco conceptual

1.2. Breve reseña histórica

La informática forense empezó hace unos veinticinco años en Estados Unidos, cuando el Gobierno y
el FBI notaron que los criminales empezaban a usar la tecnología como medio para cometer delitos.
En 1984, el FBI inició el denominado "Programa de medios magnéticos", que fue el origen del CART
(Computer Analyisis and Response Team), un equipo de análisis por ordenador. En 1988, Michael
Anderson, un agente del IRS (Internal Revenue Service), creó, junto con un grupo de especialistas y
tres compañías, un grupo especializado en la recuperación de datos. Posteriormente, se convertirían
en Symantec.

En una de estas reuniones, en 1988, se crearon las clases de especialistas de recuperación de evidencia
computacional, y en 1989, el Centro de Entrena- miento Federal para el Cumplimiento de la Ley
(FLETC). También se creó la Asociación Internacional de Especialistas en la Investigación
Computacional (IACIS).

El CART, que empezó a operar en 1991, fue la respuesta al incremento del número de casos en que
estaba involucrada la evidencia digital. Proporcionaba exámenes de los ordenadores y discos
(realizados en los laboratorios del FBI) como apoyo a investigaciones y juicios.

Entre 1993 y 1995 se formó la IOCE, Organización Internacional en Evidencia Computacional, cuyo
propósito es proveer un foro internacional para el intercambio de la información relacionada con la
investigación computacional y la informática forense.

En 1999, el CART trabajaba en más de 2.000 casos anuales, examinando del orden de 17 terabytes de
datos. Tres años más tarde, en el 2003, el CART traba- jaba en 6.500 casos y estaba examinando 782
terabytes de datos.

Ámbito de actuación

El ámbito más conocido es el judicial; sin embargo, los analistas no siempre aportan evidencias en
procesos judiciales:

Persecución criminal. Evidencia incriminatoria que puede ser usada para procesar delitos y crímenes,
incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o
pornografía infantil.
Litigación Civil. Casos relativos a fraude, discriminación, acoso, divorcio, etc. Estudios jurídicos que
necesitan recabar información, ya sea para pre- sentarla frente a un tribunal, o bien para negociar con
las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc.

Investigación de Seguros. La evidencia encontrada en ordenadores puede ayudar a las compañías de

seguros a disminuir costes de reclamaciones por accidentes o compensaciones.

Temas corporativos. Se puede recoger información en casos que tratan sobre acoso sexual, robo, mal
uso o apropiación de información confidencial o propietaria, o espionaje industrial. Empresas que
realizan juicios laborales con sus empleados o con sus asociados por conflictos de intereses.

Finalidad Preventiva. Como medida preventiva sirve a las empresas para auditar, mediante la práctica
de pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad
aplicadas a los sistemas de información son suficientes. Permite detectar las vulnerabilidades de
seguridad con el fin de corregirlas.

Data Recovery. situación en la que es necesario recuperar información que ha sido eliminada por
error, durante una subida de tensión, o una caída de servidores. En este escenario, habitualmente se
conoce la información que se está buscando.

Network Forensics. Obtener información sobre cómo un atacante ha accedido al sistema informático
y las acciones que ha podido llevar a cabo en él.

Cuando la investigación forense deba presentarse ante un juzgado deberán tomarse medidas
especiales. Una de las más importantes es asegurar que la evidencia ha sido correctamente recogida
y documentar la cadena de custodia, desde la escena del delito hasta el juzgado para garantizar de
esta manera la integridad de la evidencia digital.

La informática forense se convierte en imprescindible desde el momento en que gran parte de la

información generada se halla almacenada en soportes digitales.
 1.3. Principios de la informática forense

Debido a que la informática forense es una disciplina de la ciencia forense, comparte muchos de los
principios claves a la hora de examinar y manipular la información. Estos principios son:

Evitar la contaminación. No se realizará ninguna acción que modifique los datos contenidos en un
ordenador o dispositivo de almacenamiento. Para poder obtener un análisis veraz y certero, la
información debe estar lo más estéril posible.

Con la evidencia electrónica (imágenes de discos y memoria, ficheros de datos y ejecutables, etc.), la
práctica consiste en obtener hashes de la in- formación en el momento de su recolección, de forma
que se pueda comprobar en cualquier momento si la evidencia ha sido modificada.

Los algoritmos de hashing aceptados como estándares son el MD5 y el SHA-1. A pesar de que se han
descubierto vulnerabilidades en ambos, siguen utilizándose, ya que la posibilidad de obtener una
colisión es infinitesimal.

Actuar metódicamente. El investigador debe ser responsable de sus procedimientos y del desarrollo
de la investigación; por lo tanto, es importante que se documenten claramente los procesos,
herramientas y análisis durante todo el proceso.

Tener control sobre la evidencia. Debe mantenerse en custodia cualquier evidencia relacionada con el
caso, documentando asimismo cualquier evento que pueda afectarla: quién entregó la evidencia,
cómo se transportó, quién tuvo acceso a la evidencia, etc. De ese modo, un tercer analista
independiente debería ser capaz de examinar esos registros y alcanzar el mismo resultado.

En circunstancias excepcionales. En caso de que se deba acceder a los datos originales contenidos en
un ordenador o dispositivo de almacena- miento, la persona debe ser competente en dicha práctica,
explicando la relevancia y las implicaciones de sus acciones.
 1.4. La informática forense en las organizaciones

La informática forense tiene una relevancia considerable dentro de las organizaciones y juega un papel
clave en su seguridad. Para ello, veamos cómo se ha especializado e integrado en dichas entidades.

La informática forense y la organización

Bajo el punto de vista de la organización, la informática forense debe integrar- se dentro de la

seguridad global del sistema informático. Éste, a su vez, depende del buen diseño de las medidas de
prevención, detección, contención y recuperación.

Esquema básico de la gestión de incidentes

Medidas de prevención. Estas medidas integran todos los aspectos relativos a evitar que se produzca
un incidente o suceso. La informática forense se integra en esta etapa por medio de las auditorias y
sus correspondientes técnicas, como, por ejemplo, los denominados penetration tests, y el blackbox
o el whitebox, para evaluar el estado del sistema.

Medidas de detección. Dado que es inevitable que el incidente suceda tarde o temprano, las medidas
de detección sirven para detectar violaciones de la seguridad del sistema. La informática forense se
integra perfecta- mente en herramientas tales como los analizadores de tráfico, honeypots y
honeynets, o los IDS3.

Medidas de contención. Una vez detectado e identificado el incidente, hay que procurar por todos los
medios restringir su expansión. Para ello, se deben tomar medidas protocolizadas. Las técnicas de
network forensic ayudan a identificar el origen del incidente, y por lo tanto a contener y eliminar el
problema.

Medidas de recuperación. Finalmente, deben determinarse el origen del ataque y los daños
ocasionados (entre otros) y emprender acciones legales si procede. Este es el campo de trabajo de la
informática forense (en concreto del análisis forense). Asimismo, también es de vital importancia la
recuperación del estado normal del sistema informático.
 2. Informática

El experto forense, con su experiencia, colabora en la reconstrucción de los hechos y el descubrimiento

de pistas. Aplicando un método científico, analiza las evidencias disponibles y crea hipótesis sobre lo
ocurrido. Para desarrollar la evidencia, realiza pruebas y controles para confirmar o contradecir las
hipótesis.

Un principio fundamental en ciencia forense, que usaremos continuamente para relacionar a los
autores con los hechos cometidos, es el principio de intercambio o transferencia de Locard.

2.1 Principio de intercambio de Locard

Edmund Locard (1877-1966) elevó a la categoría de imprescindibles una serie de evidencias forenses
que antes se consideraban inútiles o incluso se ignoraban. El principio de intercambio de Locard se
puede resumir en la frase "cada contacto deja un rastro", que significa que en la mayoría de las
acciones cotidianas existe un intercambio.

Por ejemplo, la rotura de un cristal por un puñetazo deja restos de sangre en el escenario y fragmentos
de vidrio en la persona. De la misma forma, una pisada dejará una huella sobre el terreno y rastros de
tierra en la suela. El principio de Locard nos asegura que, en la gran mayoría de situaciones, existe un
intercambio. Sólo hay que tener la mente despierta y buscarlo.

2.2 Informática forense y el principio de Locard

En el mundo digital, el principio se aplica porque cualquier interacción con un ordenador afecta a su
operativa, el estado de la memoria, e incluso lo que se escribe en el disco duro. De forma que un
experto puede encontrar trazas de la interacción, e inclusive detalles que permiten reconstruir los
hechos e identificar a los autores. Si bien es cierto que las evidencias informáticas pue- den ser frágiles,
ello no es causa para que no existan, y por lo tanto, para que no se puedan obtener pruebas definitivas,
verificables e irrefutables.

Evidencias informáticas frágiles

Existen otras pruebas muy volátiles. Por ejemplo, la huella dactilar en una hoja de papel sólo se
conserva durante tres horas. La disciplina especializada en el reconocimiento de la forma gráfica de la
huella es conocida como dactiloscopia. Después de detectarse y re- cogerse la huella del lugar (el
papel), debe ser tratada dactiloscópicamente (necrodactilía) por el perito forense para que tenga valor
probatorio.

El principio de intercambio tiene plena aplicación en las evidencias digitales. Debemos determinar
cómo y dónde encontrarlas.
 2.3 Cibercrimen

Cualquier equipo conectado a una red informática puede ser vulnerable a los ataques, que se lanzan
automáticamente desde equipos infectados (mediante virus, troyanos, gusanos, etc.) sin que el
propietario sepa lo que está ocurriendo. En casos atípicos, son ejecutados por piratas informáticos.

Los motivos existentes tras estos ataques son diversos:

• Obtener acceso al sistema.

• Robar información, secretos industriales o propiedad intelectual.

• Recopilar información personal acerca de alguien (un usuario).

• Obtener información de cuentas bancarias.

• Obtener información de una organización (la compañía del usuario, etc.).

• Afectar al funcionamiento normal de un servicio.

• Utilizar el sistema de un usuario como un "trampolín" para un ataque a otro lugar.

• Usar los recursos del sistema del usuario para fines distintos, en particular cuando la red en la
que se localiza el sistema atacado tiene un ancho de banda considerable.

2.4 Ejemplos de crímenes cibernéticos

2.4.1 Inkjet International

Esta firma de medios impresos de alta calidad ganó un caso contra un ex gerente general y un
inversionista del gerente. Veamos cómo se desarrolló el proceso.

Antes de abandonar Inkjet Int. para formar su propia empresa (de la misma índole) con su compañero,
el gerente envió por correo la base de datos de clientes de Inkjet Int. a su ordenador personal. Ambos
fueron acusados por su antigua empresa del robo de información, aunque ellos lo negaron
firmemente, suponiendo que nadie podría rastrear los envíos de correo, ya que habían tomado la
precaución de borrar dichos correos y sus adjuntos.
La compañía Data Recovery Services, especializada en la recuperación de datos perdidos e informática
forense, fue contratada por Inkjet Int. Sus especialistas forenses pudieron recuperar el correo y los
adjuntos que contenían la base de datos de los clientes. Después de un juicio de tres semanas (2001),
durante el cual los peritos testificaron en la causa, el jurado emitió un veredicto favorable a Inkjet Int.
por el cual la empresa debía ser indemnizada con 1,87 millones de dólares.

2.4.2 Robo de tarjetas de crédito

La policía sospechaba que un grupo de individuos estaba robando números de tarjetas de crédito.
Habían seguido al grupo, pero no habían podido obtener ninguna evidencia substancial que apoyara
el robo de las numeraciones. Después de la redada efectuada en el domicilio de uno de los
sospechosos, se encontraron varios ordenadores y tarjetas de memoria. Se incautaron todas las
evidencias y se sometieron a un análisis forense.

Después del análisis, se hallaron dos programas utilizados para leer y escribir tarjetas magnéticas,
como por ejemplo las tarjetas de crédito. Estos programas incluían varios archivos de texto que
contenían datos en un formato compatible con las numeraciones que aparecen en las bandas
magnéticas de una tarjeta de crédito. Asimismo, los especialistas lograron extraer los datos de las
tarjetas de memoria y encontraron los detalles bancarios de varios individuos, muchos de los cuales
coincidían con los encontrados en los archivos de texto.

Finalmente, se redactó un informe pericial, el cual fue determinante para con- seguir la condena de
varios miembros del grupo.

2.4.3 BTK killer

Dennis L. Rader. fue un asesino múltiple que tuvo en jaque a la policía del estado de Kansas (Estados
Unidos) durante dieciséis años. Se hizo conocer con las siglas BTK (bind, torture and kill, es decir, 'atar,
torturar y matar'), y cometió al menos diez crueles asesinatos. BTK solía enviar a la prensa notas en las
que reconocía la autoría de los crímenes.

Tras su último asesinato, envió, como de costumbre, su aviso a la prensa, pero esta vez escogió
notificar la macabra acción con un disquete. El análisis de los metadatos de un fichero eliminado (y
que, afortunadamente, pudo recuperar- se) del disquete reveló el nombre del asesino. Esta
información, junto a otros datos contenidos en el disquete, permitieron identificar y detener al asesino
tan sólo diez días después del envío del disquete.
 Resumen

Hemos visto cómo se ha originado la informática forense y su expansión como técnica, tanto de
prevención como de descubrimiento ante incidentes. Debemos contar con la inevitable existencia de
eventuales incidentes de seguridad. Éstos pueden ser (o no) de índole dolosa (con intención de causar
daño y constituir un hecho delictivo), y debemos, por lo tanto, estar preparados para ello.

Ante un incidente, sólo la informática forense nos va a permitir averiguar lo sucedido y reunir las
evidencias digitales de modo que puedan ser usadas en términos jurídicos, si procede.
 Actividades

Ejercicios de autoevaluación

1. ¿Cómo se define la informática forense?

a. Como un conjunto de recursos interconectados para mejorar el rendimiento.

b. Como una ciencia forense que se encarga de la preservación, identificación, extracción,
documentación e interpretación de la evidencia digital, de manera que ésta sea aceptada en el
protocolo de seguridad.
c. Como una ciencia forense que se encarga de asegurar, identificar, preservar, analizar y
presentar la evidencia digital, de manera que ésta sea aceptada en un proceso judicial.
d. Como una ciencia o especialidad científica cuyos principios, métodos y técnicas se aplican a la
justicia, en cualquiera de sus aspectos.

2. Relacionad los términos con sus respectivas descripciones.

1. Detectar incidente a) Anticiparse al incidente

2. Locard b) Detección y análisis
3. Objetivo preventivo c) Tener control sobre la
evidencia
4. Principio de la informática d) IDS
forense
5. Etapa gestión incidentes e) Cada contacto deja un rastro

3. ¿Cuáles de estas frases son ciertas y cuáles falsas?

e. La informática forense se inició en la Primera Guerra Mundial y como consecuencia de ella.

f. Los usos de las ciencias forenses y la informática forense no es una excepción; están muy
ligados a los procesos judiciales.
g. La informática forense permite mejorar la seguridad de la organización.
h. La evidencia digital, afortunadamente, no es volátil, de modo que su adquisición es un proceso
factible.
i. La informática forense es un proceso científico y, gracias a ello, podemos asegurar que las
pruebas son rigurosas.
 Glosario

Computer Analysis and Response Team (CART). El Equipo de Respuesta de Análisis de

Ordenador del FBI proporciona ayuda en la búsqueda y toma de pruebas de ordenador, así
como exámenes forenses y apoyo técnico para investigaciones.

(Ciencia Forense) La aplicación de prácticas científicas dentro del proceso legal. La ciencia
forense abarca tanto la rama civil como la penal del derecho.

(Evidencia) Cualquier elemento que proporcione información de la que se pueda inferir alguna
conclusión, o bien que constituya un hallazgo relacionado con el hecho que se investiga.

Federal Law Enforcement Training Center (FLETC). Centro de Entrenamiento Federal para el
Cumplimiento de la Ley que entrena a más de ochenta agencias federales. El centro también
proporciona servicio a agencias estatales e internacionales. Tiene su sede en Glynco.

International Association of Computer Investigative Specialists (IACIS), es decir, Organización

Internacional de Especialistas en Investigación Informática. Es un voluntariado internacional
sin ánimo de lucro compuesto de profesionales dedicados a enseñar en el campo de la
informática forense. Los miembros de la IACIS representan a profesionales de ámbito nacional
e internacional.

Informática Forense Ciencia forense que se ocupa del uso de los métodos científicos aplicables
a los sistemas informáticos. Se encarga de la preservación, identificación, extracción,
documentación e interpretación de la evidencia digital, de manera que ésta sea aceptada en
un proceso judicial.

International Organization on Computer Evidence (IOCE), o sea, Organización Internacional de

Evidencia Computacional. Su propósito es proveer un foro internacional para el intercambio
de la información relacionada con la investigación computacional y la informática forense.

Sistema Informático m Todo dispositivo físico o lógico utilizado para crear, generar, enviar,
recibir, procesar, comunicar o almacenar, de cualquier forma, mensajes de datos.

Tecnologías de la información (TI) conjunto de técnicas para procesar información en cualquier

formato que pueda aparecer. Con eso también se incluye la informática.
 Bibliografía

Ashcroft, J.; Daniels, D.; Hart, S. (2004). Forensic Examination of Digital Evidence: A Guide for
Law Enforcement U.S. Department of Justice: National Institute of Justice.
<http://www.ncjrs.org/pdffiles1/nij/199408.pdf>

Colobran Huguet, M.; Moron Lerma, E. (2004). Introducción a la seguridad informática.

Barcelona: Planeta UOC S. L.

Grance, T.; Kent, K.; Kim, B. (2004). Computer Security Incident Handling Guide U.S.
Department of Commerce: Nist, National Institute of Standards and Technology.
<http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf>

López Delgado, M. (2007). Análisis Forense Digital (2.ª ed).

<http://www.codemaster.es/docs/Forensics_ed2.pdf>

Scientific Working Group on Digital Evidence (2006). Best Practices for Computer Forensics.
<http://www.swgde.org/documents/swgde2006/Best_Practices_for_Computer_Forensics
%20July06.pdf>

Shinder, D. (2002). Prevención y detección de delitos informáticos. Madrid: Anaya.

Valeri, L.; Somers, G.; Robinson, N.; Graux, H.; Dumortier, J. (2006). Handbook of Legal
Procedures of Computer and Network Misuse in EU Countries. Bruselas: European
Commission.
<http://www.rand.org/pubs/technical_reports/2006/RAND_TR337.pdf>

U. S. Department of Justice. Federal Bureu of Investigation. Laboratory Division

(2007). Handbook of Forensic Services E.E.U.U.
<http://www.fbi.gov/hq/lab/handbook/forensics.pdf>