TEMA 1 Fundamentos de la informática forense.

Su objetivo es garantizar la validez científica de los procesos a través de las

evidencias conseguidas, procesadas y examinadas. Por tanto, uno de sus
pilares en los que se fundamenta cualquier ciencia forense es la integridad
de tales evidencias.

La informática forense aplica métodos científicos a la investigación de

evidencias digitales, los soportes o dispositivos capaces de procesar,
transmitir o almacenar datos digitalmente. De esta forma, podemos
distinguir entre diferentes tipos de evidencias digitales, como
el soporte o la información; discos duros de computadoras, correos
electrónicos, alojamientos en la nube, dispositivos de red, dispositivos
móviles, tablets…

Por otra parte, la ciencia forense se fundamenta en una serie de principios

básicos:

 La cadena de custodia, para poder garantizar que la evidencia no ha

sido manipulada.
 La documentación de todos los procesos a los que son sometidas
las evidencias, para saber cómo han sido tratadas antes de que el
investigador llegue a sus conclusiones.
 La conservación de la evidencia, para que los procedimientos
puedan ser reproducidos y cotejados.

Una buena parte de los incidentes a los que se tiene que enfrentar la
informática forense son los ciberdelitos.
Entendemos por ciberdelito cualquier actividad de carácter delictivo en
la que se utiliza como herramienta redes, computadoras y medios
digitales a través de los cuales se efectúa dicha actividad delictiva.

Por tanto, el medio, en estos casos forma parte del delito en sí, ya sea como
una víctima en caso de ataque, o herramienta para cometerlo. Si nos
paramos a detallar más a fondo los roles que pueden protagonizar estos
medios, veremos que pueden ser de carácter objetivo, por ejemplo, cuando

Clasificación: Confidencial Interno

se ataca un servicio informático, o por el contrario, un instrumento, si la
actividad delictiva se realiza a través de ese medio.
También hay casos en los que pueden ser considerados una evidencia, ya
que los equipos informáticos contienen información acerca de la actividad
de los usuarios, y pueden dar a los investigadores los datos necesarios para
analizar el propio ciberdelito.
Por tanto, un equipo informático en materia de ciberdelincuencia puede ser
un instrumento, la evidencia de un delito o la combinación de los tres
aspectos mencionados anteriormente.
Hoy en día podemos encontrar diferentes tipos de ciberdelitos, entre los
que podemos destacar algunos bastante ligados al medio, como el acoso, el
espionaje o la suplantación de identidad. Así mismo, podemos incluir
cualquier otro delito que requiera del uso de sistemas informáticos para ser
efectuado, como por ejemplo el robo de bienes, la estafa, extorsión, el
comercio ilegal, etc. Y si desglosamos aún más, encontramos las prácticas
del ciberactivismo y el ciberespionaje al margen de las ganancias
económicas ilegales.
Como cualquier otro delito, en él encontramos diferentes actores; el sujeto
activo que lo comete y el pasivo, que es la víctima. Tanto uno como otro,
casi con toda probabilidad, disponen en la actualidad de ordenadores,
equipos informáticos, dispositivos móviles o cualquier otro tipo de medio
digital que puede ser evidencia en un ciberdelito.
Pero debemos tener en cuenta que el investigador forense no emite un
juicio sobre los ciberdelitos de analiza. Su función se ciñe a dar respuesta
a la entidad que contrata sus servicios. Por tanto, su trabajo no es valorar si
se ha cometido o no un delito, tan solo responder a las cuestiones
informáticas técnicas se le plantean.

Clasificación: Confidencial Interno

TEMA 2 EVIDENCIA DIGITAL

Datos volátiles: Se refiere a la información temporal en un dispositivo

digital que requiere un suministro de energía constante y se elimina si se
interrumpe el suministro de energía. Por ejemplo, la memoria de acceso
aleatorio almacena los datos más volátiles y los descarta cuando el
dispositivo está apagado. Los datos volátiles importantes incluyen la hora
del sistema, los usuarios que han iniciado sesión, los archivos abiertos,
información de red, información de proceso, mapeo de proceso a puerto,
memoria de proceso, contenido del portapapeles, información de
servicio/conductor, historial de comandos, etc.

Datos no volátiles: se refiere a los datos permanentes almacenados en un

almacenamiento secundario. dispositivos, como discos duros y tarjetas de
memoria. Los datos no volátiles no dependen de la fuente de alimentación
y permanecen intactos incluso cuando el dispositivo está apagado.
Ejemplos incluyen archivos ocultos, espacio disponible, archivos de
intercambio, archivos [Link], clústeres no asignados, particiones no
utilizadas, particiones ocultas, configuraciones de registro y registros de
eventos.

Reglas de la Evidencia:

Comprensible:
La evidencia debe ser clara y comprensible para los jueces, Los
investigadores y fiscales deben presentar las pruebas de forma clara y de
manera comprensible para los miembros del jurado. Deben explicar los
hechos claramente. y obtener opinión pericial para confirmar el proceso de
investigación.

Clasificación: Confidencial Interno

Admisible:
La prueba debe estar relacionada con el hecho que se prueba. Los
investigadores deben presentar pruebas de manera admisible, que significa
que debe ser relevante para el caso, actuar en apoyo del cliente que lo
presenta, y estar bien comunicado y sin prejuicios.

Auténtico:
La evidencia debe ser real y estar adecuadamente relacionada con el
incidente, Dado que la evidencia digital puede manipularse fácilmente, su
propiedad debe ser ser aclarado. Por lo tanto, los investigadores deben
proporcionar documentos de respaldo sobre la autenticidad de la evidencia
con detalles como la fuente de la evidencia y su relevancia para el caso. Si
es necesario, también deberán proporcionar datos como el autor del la
evidencia o vía de transmisión.

Confiable:
No debe haber dudas sobre la autenticidad o veracidad de la evidencia, Los
investigadores forenses deben extraer y manejar la evidencia manteniendo
un registro de las tareas realizadas durante el proceso para acreditar que la
evidencia es confiable. Las investigaciones forenses deben realizarse

Clasificación: Confidencial Interno

únicamente con copias de las pruebas porque trabajar con las pruebas
originales puede manipularlas y hacerlas inadmisibles en La corte.

Completo: Las pruebas deben demostrar las acciones del atacante o su

inocencia, La evidencia debe ser completa, lo que significa que debe probar
o Desvirtuar el hecho consensuado en el litigio. Si las pruebas no lo hacen,
el tribunal obligado a desestimar el caso, alegando falta de prueba integral.

TEMA 3 PREPARACION FORENSE

La preparación forense incluye el establecimiento de procedimientos

específicos de respuesta a incidentes y Personal capacitado designado para
manejar los procedimientos en caso de incumplimiento.

Este estado de preparación, junto con una política de seguridad aplicable,

ayuda a la organización mitigar el riesgo de amenazas internas por parte de
los empleados y preparar medidas preventivas.

Un equipo de respuesta a incidentes bien preparado y con formación

forense garantiza una reacción adecuada contra cualquier percance y
maneja las pruebas de conformidad con los procedimientos legales
pertinentes para su uso potencial en un tribunal de justicia.

Clasificación: Confidencial Interno

Un equipo de respuesta a incidentes que esté preparado forensemente
ofrece a una organización lo siguiente
beneficios:

 Facilita la recopilación de pruebas para actuar en defensa de la

empresa en caso de litigio

 Permite el uso de una recopilación integral de pruebas para actuar

como elemento disuasorio para personas con información
privilegiada.
 amenazas y procesar todas las pruebas importantes sin falta

 Ayuda a la organización a realizar una investigación rápida y

eficiente en caso de un incidente importante.
 incidente y tomar las acciones necesarias con una mínima
interrupción del negocio diario.
 Actividades.

 Garantiza que la investigación cumpla con todos los requisitos

reglamentarios.

 Puede mejorar y facilitar la interfaz con las fuerzas del orden.

 Mejora las perspectivas de éxito de una acción legal.
Puede proporcionar evidencia para resolver disputas comerciales o de
privacidad.

Clasificación: Confidencial Interno

La preparación forense permite a las empresas:
 Determinar rápidamente las incidencias
 Comprender información relevante.
 Recopilar pruebas legalmente sólidas y analizarlas para identificar a los
atacantes.
 Minimizar los recursos necesarios.
 Eliminar la amenaza de incidentes repetidos.
 Recuperarse rápidamente de daños con menos tiempo de inactividad
 Reunir las pruebas necesarias para reclamar el seguro.
 Procesar legalmente a los perpetradores y reclamar daños y perjuicios.

La falta de preparación forense resulta en lo siguiente:

 Pérdida de clientes por daño a la reputación de la organización.

 Tiempo de inactividad del sistema
 Manipulación, eliminación y robo de datos.
 Incapacidad para recopilar pruebas legalmente sólidas

Planificación de preparación forense..

La planificación de la preparación forense

Clasificación: Confidencial Interno

se refiere a un conjunto de procesos a seguir para lograr la preparación
forense. preparación. Los siguientes pasos describen las actividades clave
en la planificación de la preparación forense.

identificar la posible evidencia requerida para un incidente.

Definir el propósito de la recopilación de evidencia y recopilar información

para determinar la evidencia.
fuentes que pueden ayudar a afrontar el delito y diseñar los mejores
métodos de cobro. Producir una declaración de requisitos de evidencia en
colaboración con las personas responsables. de gestión del riesgo
empresarial y de gestión y seguimiento de los sistemas de información. Los
posibles archivos de evidencia incluyen registros de dispositivos y auditoría
de TI, registros de red y datos del sistema.

Determinar las fuentes de evidencia.

La preparación forense debe incluir el conocimiento de todas las fuentes de

evidencia potencial. presente. Determinar qué sucede actualmente con los
datos de evidencia potencial y su impacto. en el negocio mientras se
recupera la información.
Definir una política que determine el camino para extraer legalmente
evidencia electrónica con
interrupción mínima.

Clasificación: Confidencial Interno

Diseñar una estrategia para asegurar la recopilación de evidencia de todas
las fuentes relevantes y garantizar su preservación de manera legalmente
sólida, causando al mismo tiempo la mínima alteración del trabajar.

Establecer una política para manejar y almacenar de forma segura la

evidencia recopilada.

Asegure la evidencia recopilada de manera que esté disponible para su

recuperación en el futuro. Definir un política para el almacenamiento y
gestión seguros de pruebas potenciales y definir medidas de seguridad para
proteger la legitimidad de los datos y la integridad de las pruebas siempre
que alguien intenta acceder, utilizar, mover o almacenar información digital
adicional.

Identificar si el incidente requiere una investigación completa o formal.

Hay diferentes tipos de incidentes. Estimar el evento y evaluarlo para
comprobar si requiere una investigación completa o formal o puede
descuidarse debido a su impacto en el negocio.

Crear un proceso para documentar el procedimiento.

Es necesario un proceso de documentación tanto para responder preguntas

como para respaldar las respuestas. Documentar el proceso completo
también ayuda a volver a verificar el proceso si produce resultados.
resultados falsos.

Clasificación: Confidencial Interno

Establecer un consejo asesor legal para guiar el proceso de investigación.
Todos los procesos de investigación deben adoptar una postura legal y la
organización debe buscar asesoramiento legal antes de tomar cualquier
acción relacionada con el incidente.

o Gestionar cualquier amenaza que surja del incidente.

o Archivar el incidente legalmente y garantizar el procesamiento adecuado.

o Comprender las limitaciones legales y regulatorias y sugerir las acciones

necesarias.

o Manejar procesos tales como protección de la reputación y cuestiones de

relaciones públicas.
o Diseñar acuerdos legales con socios, clientes, inversores y empleados.

o Investigar las disputas comerciales y civiles de la empresa.

Mantener un equipo de respuesta a incidentes listo para revisar el incidente

y preservar la evidencia.

La gestión de incidentes requiere un equipo fuerte y bien cualificado. Las

organizaciones necesitan crear un equipo de respuesta a incidentes

Clasificación: Confidencial Interno

informáticos (CIRT) con miembros que tengan la formación adecuada para
el desempeño de sus funciones.

Clasificación: Confidencial Interno