Fases de La Informatica Forens1
Fases de La Informatica Forens1
Fases de La Informatica Forens1
1. INTRODUCCIN:
En todos los tiempos siempre han existido personas inescrupulosas que pretenden obtener
ganancias por medios poco usuales y abusivos. El uso de las tecnologas modernas y la informacin
que se ofrece para promocionar productos y servicios hace que muchas personas incluyendo los
delincuentes conozcan la trayectoria de las empresas y pretendan robar su informacin y aduearse
de sus activos.
Estos delincuentes usan sus conocimientos en los sistemas de informacin para crear programas
y aplicaciones dainos que viajan a travs de las redes aduendose de la informacin clasificada
con propsitos econmicos y a veces simplemente por satisfaccin personal.
Asimismo como existen delincuentes informticos, tambin existen empresas que se dedican
exclusivamente a contrarrestar estas clases de ataques informticos distribuyendo los
correspondientes parches o vacunas con programas gratuitos, en versiones Beta o con algn costo
monetario.
Dado el crecimiento de los delitos informticos se vio la necesidad de crear un sistema que
permitiera investigar estos casos de manera exhaustiva crendose entonces una ciencia para ello
denominada INFORMTICA FORENSE.
En este escrito se muestra las diferentes fases por las que atraviesa la Informtica Forense en el
descubrimiento de un caso
2.
OBJETIVO GENERAL
3.
OBJETIVOS ESPECFICOS:
4. INFORMTICA FORENSE:
Esta disciplina (Anlisis Forense digital) se aplica tanto en las investigaciones de delitos
generales como son el fraude financiero, los homicidios, el terrorismo, el narcotrfico, como en los
delitos que tienen que ver con las tecnologas d la informacin y las comunicaciones como la
piratera de software, la pornografa infantil etc.
ocultado la informacin, porque ha habido problemas de con fallos del sistema o simplemente por
un error humano.
Es importante observar que la mayora de los delitos informticos se realizan directamente desde
dentro de la organizacin ya se por empleados o personar externo que tiene algn vnculo con la
empresa, en segundo lugar estn los ataques que se realizan en forma electrnica, y por ultimo pero
no menos importantes son los ataques que se producen con el mal uso de los aparatos electrnicos,
el uso del internet, correos electrnicos, ataques directamente a la red etc.
Es por esto que existen fases que se deben de cumplir en orden estricto para llevar a cabo una
investigacin.
5.
Con este propsito se exponen algunas tcnicas que se deben tener en cuenta al llevar a cabo
una investigacin y que sus resultados sean idneos al presentarlos ante la justicia como pruebas
fehacientes de culpabilidad; las personas que realizarn estas investigaciones son personas con un
nivel de conocimiento del tema muy alto con preparacin tcnica y cientfica y que trabaje en una
empresa especializada en estas investigaciones.
Desde el momento en que el dispositivo sea seleccionado no se debe permitir que manos
ajenas al perito informtico toque el equipo.
Averiguar sobre los datos del responsable del equipo y todas las especificaciones del
equipo
Obviamente todos los pasos a seguir deben estar bien documentados con fotografas y
evidencias.
Hay evidencia digital son los aparatos electrnicos como los celulares y PDA (es una agenda
electrnica que contiene calendario, lista de contactos, block de notas y recordatorios),
La evidencia digital se encuentra clasificada en evidencia fsica que son los soportes de
almacenamiento de informacin como: CPU, Diskettes, CD-ROM, DVD, cintas magnticas etc.,
los dispositivos electrnicos como telfonos celulares, agendas, organizadores electrnicos etc. Y
lo dispositivos de comunicacin de red como Hubs (Concentrador de redes que conecta otros
equipos entre s y retransmite informacin o paquetes a todos los equipos conectados), routers
(enrutador o intercomunicador de redes) , switchs (dispositivo de interconexin de redes).
La evidencia digital que se encuentra almacenada en estos dispositivos puede ser constante
(Que queda guardada an despus de apagado el computador) y fases de una investigacin y voltil
(que corresponde a la evidencia que se encuentra almacenada en el cach o en la RAM y que se
pierde al apagar el computador)
Los Registros que son generados por una persona y almacenados en el computador
(ejemplo de ellos, lo documentos en Word, power point o Excel). Y que pueden ser
modificados o alterados.
Los registros hbridos: Estos son la combinacin entre los dos anteriores, combinan
manipulacin humana y logs.
Los registros de cada servidor: Son los registros del sistema y de los programas que estn
en ejecucin.
Los registros de trfico de red. Son los registros que quedan grabados cuando se accede a
un computador.
Registros de aplicacin: es la informacin que registra cada aplicacin por separado cuando
un usuario accede a ella y realiza alguna actividad.
En esta fase se le presta mucha importancia a resguardar los objetos que se consideren
importantes para la solucin del caso, es importante que la evidencia que se examine no sean
alteradas pero si por laguna razn se alter se debe documentar el motivo por el cual se realiz la
alteracin, la fecha y hora y registro fotogrfico explicndolo detalladamente adems de
justificarlo.
En este fase se lleva a cabo la criptografa de claves mediante la funcin hash, checksums (suma
de chequeo) que se utiliza para proteger la integridad de los datos, que detecta cambios accidentales
en una secuencia.
Luego de que se realicen los pasos anteriores, y se haya tomado las fotografas, se procede a
hacer la clonacin o copia bit a bit (copia binaria) del dispositivo que se vaya a analizar; esta copia
se debe hace en un medio de almacenamiento nuevo o que previamente se haya formateado, con el
fin de asegurar que la copia sea fiel y sin contaminacin de alguna clase. Sobre esta copia se
realizan otras copias sucesivas que servirn para realizar el anlisis correspondiente.
Con la copia bit a bit de la informacin alojada en el dispositivo original se deben tener en cuenta
tres principios fundamentales: Evitar la contaminacin, actuar cuidadosamente de acuerdo con los
mtodos establecidos, y vigilar que la cadena de custodia se realice rigurosamente. Las coias que
se generen deben tener comprobacin de integridad empleando la funcin hash (MD5 o SHA1)
Las copias de la etiqueta deben contener la firmas, fecha y hora de creacin de la copia y el
nombre que la identifique, adems protegerlas con empaques que posean jaula de Faraday que
aslan los cambios electromagnticos y que adems estn protegidos contra cambios de
temperatura.
En el caso de que dispositivo que se est copiando tenga datos personales de una persona, se
debe tener en cuenta de realizar un contrato de encargado de tratamiento o Ley Orgnica de
Proteccin de datos de carcter personal (LOPD) que protege lo que concierne a los datos
10
personales, las libertades pblicas y los derechos de las personas en cuando a su privacidad personal
y familiar, su honor y su intimidad.
Para realizar esta clase de copias deber tener un kit de herramientas especializado para realizar
las labores de investigacin y que permite a travs de comandos investigar todos datos de puertos,
ficheros ocultos, visualizacin de registros y logs del sistema, lectura, copias y escritura a travs
de la red, anlisis del trfico de red, lista de los puertos TCP y UDP abiertos etc.
Las etapas por las que debe pasar una cadena de custodia:
Extraccin y recoleccin.
Conservacin y embalaje.
Transporte o traslado a laboratorios para anlisis, a fiscalas para su custodia
Preservacin hasta el momento de presentarlo a los tribunales.
Una vez se tienen las copias guardadas y con la cadena de custodia se procede con el anlisis en
un laboratorio especializado en el cual se siguen los pasos rigurosos para el procedimiento y en los
que se utilizan las herramientas y los programas especializados en la deteccin de pruebas.:
11
Realizar imgenes de los discos duros y realizar las pruebas a travs de ellos.
Realizar pruebas y ejecutar exploit para averiguar si generan los mismos eventos
tomados como evidencias.
Esta es la fase final en donde se presentas los resultados de los hallazgos. Es importante tener
claro al presentar la documentacin de que las actividades realizadas, cada paso debe ser
documentado y fechado desde su descubrimiento hasta la finalizacin, el documento debe estar
bien redactado, y debe ser creble, entendible y confiable, adems de que la presentacin de pruebas
deben tener una secuencia lgica con las que se pueda convencer de la existencia o no de un delito.
12
Se debe presentar un informe tcnico y otro ejecutivo, estos informes deben contener el detalle
de los anlisis efectuados, la metodologa y tcnicas utilizadas, anlisis de las evidencias, y la
descripcin de los hallazgos; Se entregarn los siguientes formularios de presentacin de pruebas:
Formulario de discos duros
Formulario de identificacin del equipo y sus componentes.
Formulario de incidencias
Evidencia de la custodia.
Formulario de evidencias.
Formulario de publicacin del incidente.
El informe ejecutivo debe estar lenguaje legible por cualquier persona (sin trminos tcnicos)
en donde se exponen los datos ms relevantes de caso analizado y referenciando las pruebas
entregadas, debe contener el motivo, y el desarrollo de la intrusin, el resultado del anlisis y las
recomendaciones; constar entre tres y cinco pginas de manera que no se torne tedioso al momento
de su exposicin.
13
6.
CONCLUSIONES:
La investigacin forense como ciencia, es un tema demasiado amplio por lo que cada tema
merece un estudio ms profundo y que solamente uno de ellos podra ser el producto de una tesis
doctoral.
Este trabajo recoge de forma generalizada algunos pasos que se deben llevar a cabo en cada una
de las fases de una investigacin de informtica forense, intentando mostrar la necesidad de aplicar
los procedimientos pertinentes con el fin de asegurar la calidad en el estudio de la investigacin
forense.
14
REFERENCIAS BILBIOGRFICAS:
Lpez, O., Amaya H., Len R., y Acosta B. (2002). Informtica Forense: Generalidades, aspectos
tcnicos y herramientas. Recuperado el 11/05/2015 de:
https://scholar.google.es/scholar?q=QUE+ES+LA+informatica+forense+&btnG=&hl=es&
as_sdt=0%2C5
Granda G. (2015). Metodologa para el anlisis forense de dataos e imgenes de acuerdo con las
leyes del Ecuador. Recuperado de:
http://dspace.ups.edu.ec/bitstream/123456789/8943/1/UPS-CT005203.pdf