Informática Forense

Definiciones: Informática Forense

 Informática Forense: Definición y
Objetivo
• La Informática Forense es una disciplina criminalística que
tiene como objeto la investigación en sistemas informáticos
de hechos con relevancia jurídica o para la simple
investigación privada.
•
• Para conseguir sus objetivos, la Informática Forense desarrolla
técnicas idóneas para ubicar, reproducir y analizar evidencias
digitales con fines legales.
 Ámbito de actuación

• Todo hecho en el que un sistema informático esté

involucrado, tanto si es el fin o un medio, puede ser objeto
de estudio y análisis, y por ello, puede llevarse a juicio como
medio probatorio.
 Principios

• Adherirse a estándares legales

• • Formación específica en técnicas forenses
• • Investigación debe ser “Forensically sound”
• • Obtener Permisos: – investigación/ recolección evidencias –
monitorizar uso de ordenadores • Control de Evidencias
Digitales – Cadena de Custodia
 Normas Fundamentales

• 1. Preservar la evidencia original

• 2. Establecer y mantener la Cadena de Custodia
• 3. Documentar todo hecho
• 4. NO EXTRALIMITARSE  Conocimientos personales
• Leyes, Normas , Procedimientos

• Riesgos: Corromper evidencias  No admitirse en juicio

 Objetivos del Proceso

• Identificar las posibles fuentes disponibles

•
• • Recoger diferentes tipos de evidencias
•
• • Analizar las evidencias encontradas
•
• • Confirmar por pruebas cruzadas
• Así se establecen las bases para Probar que se han cometido actos deshonestos o
ilegales
 Informática Forense:

• Principio de Intercambio de Locard Edmond Locard (Francia, 1877-

1966). Pionero de la criminalística.
• "Cada contacto deja un rastro“
• • Siempre que dos objetos entran en contacto transfieren parte del
material que incorporan al otro objeto
• • En el momento en que un criminal cruza una escena del crimen, o
entra en contacto con una víctima, la víctima se queda con algo del
criminal, pero este a su vez se lleva algo a cambio.
• El Principio de Locard tiene plena validez en el ámbito
informático y las evidencias electrónicas
• Hay que determinar el ¿Cómo? el ¿Dónde? podemos
encontrar las evidencias
• – Determinar que quien escribió un “.doc”, o quién envió un
email, es quien está acusado de ello.
• Agosto 1986.- Caso Iran-Contras
• • Tte. Coronel Oliver North escribió unos correos electrónicos
que le involucraban en el caso
• • Borro los correos de su ordenador
• • No se percató que se hacían copias de respaldo de sus
mensajes
• • Los mensajes se recuperaron de los servidores de respaldo
 CULPABLE
• 1991.- Caso Guttman
• • La esposa de Guttman apareció muerta con una nota de suicidio sin firmar, escrita por
ordenador con una impresora matricial
• • El ordenador de Guttman NO contenía rastros del documento • Guttman tenía una
amante.
• • Se registró la casa de la amante.
• • Encontraron un disco flexible de 5 ¼ cortado en pedazos
• • Se reconstruyó físicamente el disco y se recuperaron los datos con un programa
llamado Anadisk
• CULPABLE
• 1995.- Caso MITNICK
• • Kevin Mitnick fue detenido en 1995 después de tres años de persecuciones por parte del
FBI
• • Ya se le había procesado en 1981, 1983 y 1987 por diversos delitos electrónicos
• Se le acusó de haber entrado en algunos de los ordenadores más seguros de [Link].
• • Se le pudo atrapar gracias a la participación de un experto académico en seguridad
• • Se le condenó a no hacer llamadas telefónicas durante su encarcelamiento CULPABLE
• • Fue puesto en libertad en 2002 • La comunidad hacker le considera un ¿HÉROE?
• Daubert Criteria o Daubert Standard (1993) es el método que se sigue en los EEUU para admitir
que una evidencia científica es no sólo pertinente (relevant) para el caso, sino que también es
fiable (reliable)
•
• • Se usa conjuntamente con la Regla 702 de Evidencias Federales, Testimony by Experts:
•
• – “If scientific, technical, or other specialized knowledge will assist the trier of fact to understand
the evidence or to determine a fact in issue, a witness qualified as an expert by knowledge, skill,
experience, training, or education, may testify thereto in the form of an opinion or otherwise, if (1)
the testimony is based upon sufficient facts or data, (2) the testimony is the product of reliable
principles and methods, and (3) the witness has applied the principles and methods reliably to the
facts of the case.”
• Se basa en cuatro factores utilizados para evaluar las
evidencias científicas:
• 1. Pruebas realizadas
• 2. Revisiones cruzadas (peer review)
• 3. Tasa de error (error rate) de las pruebas
• 4. Aceptación por la comunidad científica
 El criterio de Daubert

• • Ejemplo: HASH MD5 / SHA1

• – Pruebas realizadas  FUNCIONA
• – Revisiones cruzadas (peer review)
• COLISIONES – Tasa de error (error rate) de las pruebas
• AD-HOC – Aceptación por la comunidad científica
• OBSOLETOS
• Reemplazar por SHA2, AES
•  cryptographic hash project
 Evidencias Digitales: ¿Qué son?

• Cualquier documento, fichero, registro, dato, etc. contenido en un soporte

informático
• • Susceptible de tratamiento digital
• • Ejemplos: – Documentos de Ofimática (Word, Excell, ...)
• – Comunicaciones digitales: E-mails, SMSs, Fax, ...
• – Imágenes digitales (fotos, videos...)
• – Bases de Datos
• – Ficheros de Registro de Actividad  LOGS
 Su Validez Jurídica

• Uno de los pilares más importantes de la informática forense – Valor

que se le puede dar a las evidencias informáticas (e-evidences) – Para
aportar en los procesos judiciales.
• • Actualmente existen grandes debates entre juristas y expertos
técnicos – a nivel nacional -> Foro de la Evidencias Electrónicas
([Link]) – a nivel internacional
• Objetivo: • Alcanzar un compromiso a nivel internacional • Definir que
hay que exigir a una evidencia informática para que se pueda aceptar
como una prueba
 Su Validez Jurídica

• Este extremo cada día cobra mayor importancia, dado que cada día hay más leyes y normativas que
regulan las actividades relacionadas con la informática y el uso (o mal uso) que se haga de ella:
• – Leyes nacionales:
• • Código Penal
• – reforma DIC-2010 para penalizar el mal uso informático
• – responsabilidad de empresas
• • LOPD, LSSI-CE • Ley de Firma Electrónica, DNI-e, eFactura…
• • Ley de Conservación de Datos • Ley Administración Electrónica – Leyes europeas: • “Data Retention
Directive” (Directiva 2006/24/EC) • Documento Marco 2005/222/JAI del Consejo de Europa, relativo a los
ataques contra los sistemas informáticos – Leyes Inglesas: • “Anti-Terrorism, Crime and Security Act 2001”
• “Prevention of Terrorist Act 2005” – Leyes norteamericanas: • SOX (Sarbanex-Oxley Act 2002) • HIPAA
(Health Insurance Portability and Accountability Act •
Nueva Legislación Informática (2010)

• Esquema Nacional de Seguridad (Ene. 2010)

• R.D. 3/2010, de 8 de enero
• Todas las [Link]. tienen que implantar medidas de seguridad
en sus sistemas informáticos
• Prepararse para combatir los CIBERATAQUES (Ej. Canada o
Francia en 2011)
• Reducir las fugas y robos de información (Ej, WikiLeaks)
• Reforma Código Penal (Dic. 2010)
• Más delitos informáticos (ej, DoS, intrusiones…)
• Responsabilidad PENAL de las EMPRESAS
• Por delitos cometidos por sus empleados desde la empresa 
Por no implantar medidas de seguridad en sus sistemas
informáticos  Por incumplir la Ley (ej, LOPD)
• Preservar información de uso • Muchas de estas leyes obligan
a las empresas a conservar una serie de datos relacionados
con el uso que se hace de la información contenida en los
sistemas informáticos.
•
• • Información que se almacena actualmente en: – logs de
actividad de los sistemas informáticos – logs de actividad de
aplicaciones informáticas – que se ejecutan en: • cada
servidor • en cada ordenador personal.
• Validez de los Logs
• Pregunta:
• “¿Que valor probatorio tiene un log de ordenador?”
• Respuestas:
• •“Ningún valor. Se puede alterar muy fácilmente”
• •“Valor Total. Aquí lo tengo impreso, y dice lo que está
escrito”.
• Mi opinión:
• •un log, o un correo electrónico o cualquier otra evidencia informática:
• – Tiene el valor que le quieran dar las partes
• – Si ninguna lo pone en duda, su valor será total
• – Pero si alguno duda de su autenticidad habrá que esforzarse (y mucho) para darle valor
probatorio
• •Esta ambigüedad en el valor de las pruebas informáticas
• – es muy interesante y da mucho juego desde el punto de vista pericial – provoca una
gran incertidumbre a nivel jurídico.
• •Estamos en el Génesis de la Informática Forense, en sus inicios.
• Validez de los Logs
• Soluciones actuales:
• Proyecto “Integridad y Seguridad de la Historia Clínica” (2008) 
Plan Avanza I+D 2008 (TSI-020302-2008-67)  KINAMIC +
Informática Forense + Hospital de Fuenlabrada
• Serialización del log con kNotary
• Asegurar el 100% de las Historias Clínicas del 1er Hospital “sin
papeles” de Europa
• Soluciones actuales: Servicio de Depósito y Custodia de Soportes Informáticos
(2010)
• – Almacenamiento Seguro de Discos Duros, Cintas de Backup, Memorias USB,
CD/DVD…
• – Tercera Parte Privada
• – Mantenimiento Cadena de Custodia
• – Garantiza la no alteración desde el Depósito hasta la Retirada
• – Servicio Certificado bajo las normas ISO-27001 e ISO-20000
•
• Problemas Actuales:
• – Ausencia de evidencias
• • ¿Alguien tiene una copia del correo?
• ¿políticas de retención/custodia de email?
• – Repudio de emisión / recepción:
• ¿Se ha enviado un email?
• • ¿Se ha recibido un email?
• Autenticidad de evidencia
• • ¿Se ha alterado un email recibido?
• (casi) Nadie usa FIRMA ELECTRÓNICA
• Soluciones actuales: ArchivaMail®:
• Servicio de Archivo y Custodia Segura de Correo Electrónico (2012) – Tercera
Parte de Confianza
• – Almacenamiento Seguro por 10 años de todos los correos enviados y recibidos
por las partes de una conversación
• – Políticas de Correo electrónico corporativo
• – Recepción Garantizada
• – Cumplimiento Legal, apto para eDiscovery
• – Cifrado
 ¿El futuro?

• La nube…. ¿Quién controla los datos?

•
• • Ciberseguridad <== Ciberdelitos
•
• • IC - Infraestructuras Críticas
 Tipos de Ciberamenazas

• 1. Ciberespionaje (Robo propiedad industrial/intelectual) •

Objetivo: Administraciones públicas / Empresas estratégicas •
China, Rusia, Irán, otros… • Servicios de Inteligencia / Fuerzas
Armadas / Otras empresas

• 2. Ciberdelito (Crimen por Internet) • Objetivo: Robo

información de tarjetas de crédito / Fraude Telemático /
Blanqueo de dinero… • HACKERS y crimen organizado
 Tipos de Ciberamenazas

• 3. Ciberactivismo (Uso político de Internet) • Objetivo: Ataques a

servicios webs / Robo y publicación de datos e información
sensible o de carácter personal. • ANONYMOUS y otros grupos

• 4. Ciberterrorismo (Uso de Internet por terroristas) • Objetivo :

Comunicaciones , obtención de información, propaganda o
financiación, Ataque a Infraestructuras críticas • ETA ,
organizaciones de apoyo y Grupos Yihaidistas
Riesgos para las empresas
mayo
Riesgos para las empresas
 Protección Infraestructuras Críticas:

• Soluciones actuales: SOC (Security Operation Center):

Servicio remoto de monitorización y gestión de las alertas de
seguridad (2013) – Integrado con el Centro Nacional de
Respuesta a Incidentes en Infraestructuras Críticas de
CNPICINTECO – Gestión Remota de equipos de seguridad
distribuidos – Monitorización y vigilancia activa de las
infraestructuras críticas – Respuesta ante incidentes –
Servicio certificado ISO-20000 e ISO-27001
Protección Infraestructuras Críticas:
 Evidencias Digitales:

• “All you need is Logs” (The Beatles)

•