Redes y Seguridad Informática

Informática Forense

“ABI”

Danny Javier
Moya Revelo

2 Nivel

1
Actividad:

Realizar una investigación bibliográfica adecuada relacionada con los métodos de

preservación de la evidencia.

Objetivo:

 Comprender de manera efectiva y aplicar en el campo laboral las técnicas y métodos para

preservar la evidencia digital en el ámbito forense de la informática.

Introducción:
En la actualidad los sistemas de información y la tecnología de la información juegan un

papel de suma importancia en el cotidiano día a día de los usuarios y de grandes empresas. Sin

embargo, esto ha marcado una oportunidad para los ciberdelincuentes quienes tratan de vulnerar

estos sistemas e información para sacar provecho con distintos fines. Esto representa un reto

debido a la velocidad, anatomía y volatilidad de la evidencia digital y es así que ante esta

problemática se necesita abordar el tema de una manera estructural e integral.

La evidencia digital debe ser tratada de tal manera que pueda ser usada en temas legales

sin duda alguna de su veracidad y fiabilidad, es por esto que se deben seguir pasos específicos

para que la misma no sea contaminada de ninguna manera, ya que si esto ocurriera esta evidencia

perdería todo su valor.

2
Desarrollo:
1. Reglas de la evidencia digital.

Existen 5 reglas que gobiernan a la evidencia digital y que son de mucha importancia

a la hora de recolectar la información digital, ya que como hemos visto en la introducción de

este documento la evidencia digital es muy manipulable y volátil, aspectos que pueden afectar a

la misma haciéndole perder todo su valor en los tribunales de justicia.

a) Admisible

La evidencia digital debe poder ser usada en los tribunales de justicia.

b) Autentica

Tiene que ser real y estar relacionada con el incidente a investigar de manera directa

y relevante.

c) Completa

Debe demostrar con pruebas mas que suficientes sobre el incidente investigado que

el atacante es inocente o culpable.

d) Confiable

La evidencia recolectada y que posteriormente se analiza no debe contener causales

que lleven a dudar de la autenticidad y veracidad de la misma.

e) Creíble

La evidencia tiene que ser clara, comprensible y convincente para un jurado.

De estas reglas esenciales sobre la evidencia digital podremos indicar que la misma debe ser

preservada en el estado mas puro al momento en que fue encontrada y recogida. Quienes

realicen esta actividad deben ser personas debidamente capacitadas ya que en ellos radica que

3
estas reglas se cumplan de manera efectiva. Serán ellos quienes deberán crear copias de

seguridad exactas marcadas con un HASH o firma digital que reafirme su valor procesal dentro

del caso y adicional estas copias podrán facilitar el análisis de estas evidencias de una manera

segura. Deberán documentar toda la información recogida de una manera apropiada para

guardar con la cadena de custodia.

2. Métodos de preservación de la evidencia digital.

La obtención, conservación y el tratamiento que se la da a la evidencia digital es un tema

clave a la hora de asegurar el éxito de las investigaciones en el cual se centra el tema de la

transfronterización de estas evidencias digitales como pruebas contundentes en casos legales.

Para que estos aspectos se vayan cumpliendo es necesario cumplir un mínimo de normas que en

armonía con las reglas de la evidencia digital nos ayudar a preservar de manera efectiva la

evidencia. (Armilla et al., s/f)

a) Identificación y evaluación de la escena

La persona asignada al caso debe ser un perito informático que esta en la responsabilidad de

asegura el sitio de la escena del lugar de los hechos con la finalidad de asegurar la integridad de

las evidencias de tipo tradicionales como las digitales.

Debe el perito realizar un análisis de riesgos para determinar el impacto que las pruebas

involucradas como los dispositivos electrónicos se vean afectados. Así mismo, debe determinar

las herramientas que se van a usar para el análisis forense a llevar a cabo, estas herramientas

pueden ser de tipo de Hardware o Software. Así mismo tendrá la responsabilidad de documentar

todo lo que vaya hallando en la escena de investigación y documentar correctamente acerca de

los dispositivos recogidos o encontrados, por ejemplo, PCs, Laptops, móviles, discos duros, etc.

4
 b) Herramientas y Equipamientos

Las herramientas deben ser elegidas con cuidado para el tratamiento de la evidencia digital, se

puede realizar combinaciones como herramientas de carácter físico o como las de tipo software.

Esto asegurara un eficaz análisis forense sobre las evidencias digitales y como finalidad

tendremos resultados de excelente calidad que demostraran nuestra expertis a la hora de llevar a

cabo las tareas de forensis que terminaran en un informe que aportará al caso en cuestión con

evidencia de suma relevancia.

En cuanto a las herramientas físicas el perito informático debe contar con una gama amplia de

gadgets que nos ayuden en la tarea del tratamiento de las evidencias. Herramientas que

podemos mencionar están las clonadoras de discos duro con firma digital HASH.

Encapsuladores de discos que mantengan a los mismos libres de riesgos de golpes esto sobre

todo en el transporte de los mismos desde la escena hasta el laboratorio del perito forense. En

cuanto a Software existen múltiples plataformas que ofrecen herramientas que ayudan al perito

en el análisis de la evidencia y contribuyen con la emisión del informe pericial.

c) Dispositivos electrónicos, almacenamiento y transporte

Nos referimos por dispositivos electrónicos a todos aquellos que puedan guardar o tener rastros

de algún tipo de evidencia digital que pueda ser usada en el caso legal asignado al perito

forense. De acuerdo al análisis inicial que se lleva a cabo en la escena, se determina si debemos

recoger evidencia volátil y debemos considerar que si el dispositivo electrónico se encuentra

encendido no lo debemos pagar ya que esto conllevaría a la posterior pedida de información que

se alberga en la memoria principal del equipo. Para acceder a esta información de la memoria

principal debemos usar herramientas probadas previamente en la adquisición de información de

5
la memoria, de ser necesario ejecutar comandos de consola y evitar en lo máximo posibles

herramientas instaladas en el dispositivo.

Ahora, si vamos a almacenar permanentemente el dispositivo procedemos con un apagado

seguro para evitar corromper datos y daños a nivel de sistema operativo. Posteriormente

accederemos a los dispositivos de almacenamiento como discos duros y tomando evidencia

fotográfica y documental de los mismos. Estos dispositivos de almacenamiento deben ser

embalados en fundas antiestáticas y envueltas en protectores antigolpes, así aseguramos un

correcto tratamiento de la evidencia. Incluso podemos realizar un clonado de los discos para

poder trabajar sobre esas copias de manera segura y eficiente, teniendo siempre como respaldo

la evidencia principal que ha sido almacenada de acuerdo a las normas descritas. Es muy

importante en este tema tener claro que los discos clonados deben tener un HASH que no es

mas que una firma digital que asegura la veracidad de la información contenida en estos discos

clonados que vamos a usar para nuestro análisis forense. (Ochoa Arévalo, 2018)

En cuanto al transporte debemos de tomar en cuenta que nuestras acciones no deben modificar,

agregar o destruir los datos almacenados en los dispositivos electrónicos. Hay que tomar en

cuenta que estos dispositivos están siempre sujetos a riesgos inherentes como golpes, corriente

estática, humedad, temperaturas altas y fuentes magnéticas. Por estas razones es muy

importante que tomemos las debidas precauciones a la hora de transportar estos equipos y

también al momento de ser almacenados.

d) Cadena de custodia

Tiene como finalidad el brindar un soporte veraz a la prueba digital ante e Juez, en lo que se

conoce como el debido proceso. Se deben seguir procedimientos indicados que garanticen la

6
idoneidad de los métodos aplicados en la recolección de la evidencia digital. Esto va a

garantizar una base efectiva para el juzgamiento y la validez ante cualquier fuero judicial

internacional. Aquí vamos a evitar suplantaciones, modificaciones o destrucción de la

información contenida en la evidencia. (Arellano & Castañeda, 2012)

La cadena de custodia debe contener elementos de tipo documental como:

 Fecha y hora

 Ubicación geográfica

 Nombre del cliente/oficina

 Nombre del investigador

 Nombre de quien realiza la adquisición de la información

 Método de recopilación de la información

 Estado en la que se encuentra la evidencia digital

 Descripción del Ítem HASH, identificador serial, notas relevantes

 Propósito (peritaje, custodia, traslado, creación imagen, entrega al cliente, destrucción)

Por lo tanto, es necesario guardar el debido proceso con documentación que respalde la

veracidad de la evidencia digital y también respalde al perito forense en un posible caso de

contrademanda. El transporte debe ser muy meticuloso y llevado a cabo con todas las normas

que hemos recopilado en este documento.

e) Análisis y reporte

En el análisis hacemos uso de las técnicas y métodos para para extraer la información de los

dispositivos electrónicos recogidos en la escena. Este análisis se lo debe realizar sin alterar,

modificar o destruir la información, así aseguramos que los datos que deseamos extraer puedan

7
ser analizados de forma correcta para ser usados posteriormente en caso legal.

En detalle podemos decir que el análisis forense es la ciencia que nos permite reconstruir en un

sistema informático o dispositivo electrónico tras un incidente de seguridad o al extraer datos

para identificar detalladamente todas las acciones realizadas en esos dispositivos por parte del

usuario o atacante. ([Link], s/f)

En el análisis vamos a determinar que incidentes son los que voy a tratar ya que de acuerdo al

caso analizaremos distintos tipos de información, ya sea discos duros, memorias, logs de

registros, correos electrónicos, etc. De esta manera podremos determinar quién, cuando, cuándo,

dónde, qué, cómo y por qué ha sucedido el incidente. Para investigar esto dividimos el proceso

en dos fases:

• Adquisición de los datos.

Aquí vamos a obtener datos que son la acumulación de pistas y hechos que podrían

ayudarnos en el análisis forense de los ordenadores. Obtención de datos Los datos a obtener son

los siguientes: evidencias de los sistemas involucrados (obtención de los datos volátiles,

obtención de la fecha y hora del sistema, obtención del timestamp de los ficheros involucrados,

obtención de los ficheros relevantes, obtención de las copias de seguridad, etc.), evidencias de

los equipos de comunicaciones (logs de los IDS/IPS, logs de los routers, logs de los cortafuegos,

obtención de las copias de seguridad, logs de autenticación de los servidores, logs de la VPN,

etc.), obtención de los testimonios de los afectados, etc. (Analisis-forense-de-sistemas-

[Link], s/f)

• Análisis forense.

En esta fase se revisan todos los datos adquiridos en la fase anterior. Esta fase será

descrita detalladamente más adelante.

8
 En cuanto a la redacción del informe, este es un documento entregable con la

información del peritaje realizado, será entregado a la dirección de los interesados. Este informe

puede ser de tipo ejecutivo y técnico. En el informe estará todo el contenido de lo que hemos

realizado desde el aseguramiento de la escena hasta el análisis de la evidencia digital y nuestras

conclusiones sobre lo hallado en nuestro peritaje. Este documento ayudara al juez en cuestión a

tomar un veredicto sobre el caso legal al cual va dirigido nuestro informe.

Conclusión:

1. Hay que aplicar ciertas normas para poder tratar la evidencia digital y que sea valedera

en un proceso legal. Si no aseguramos la veracidad de nuestra evidencia no serviría de

nada todo el análisis forense que hemos realizado.

2. Seguir el debido proceso o la cadena de custodia es uno de los pasos críticos en el cual la

evidencia que hemos recolectado puede ser dañada o destruida ya sea de forma

intencionada o accidental.

3. Hay que hacernos con las herramientas adecuadas para el análisis forense, ya que esto es

un punto a tomar muy en cuenta, sino disponemos de herramientas adecuadas,

simplemente no podremos ejecutar un análisis forense de calidad.

Bibliografía:

9
[Link]. (s/f). Recuperado el 8 de mayo de 2023, de

[Link]

[Link]

Arellano, L. E., & Castañeda, C. M. (2012). La Cadena de Custodia Informático-forense.

Cuaderno activa, 3, 67–81.

Armilla, N., Panizzi, M., Eterovic, J., & Torres, L. (s/f). Buenas prácticas para la recolección de

la evidencia digital en la Argentina.

Ochoa Arévalo, P. A. (2018). EL TRATAMIENTO DE LA EVIDENCIA DIGITAL, UNA

GUÍA PARA SU ADQUISICIÓN Y/O RECOPILACIÓN. Revista Economía y Política,

28, 35–49. [Link]

10