1

FASES DE LA INFORMTICA FORENSE

LILIANA CJAR BAHAMN

CDIGO 210404870
GRUPO 233012_14

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESPECIALIZACION EN SEGURIDAD INFORMTICA
Medelln, Colombia
2015

Docente: Harold Emilio Cabrera Meza

1. INTRODUCCIN:

El mundo cambiante en todos los mbitos, el constante crecimiento de los sistemas de

informacin y las transformaciones que ello implica, obliga a que todas las compaas tengan que
cambiar con ellas y estn a la vanguardia en el uso de las tecnologas para poder competir en el
mercado, hacerse conocer y mantenerse en el medio.

En todos los tiempos siempre han existido personas inescrupulosas que pretenden obtener
ganancias por medios poco usuales y abusivos. El uso de las tecnologas modernas y la informacin
que se ofrece para promocionar productos y servicios hace que muchas personas incluyendo los
delincuentes conozcan la trayectoria de las empresas y pretendan robar su informacin y aduearse
de sus activos.

Estos delincuentes usan sus conocimientos en los sistemas de informacin para crear programas
y aplicaciones dainos que viajan a travs de las redes aduendose de la informacin clasificada
con propsitos econmicos y a veces simplemente por satisfaccin personal.

Asimismo como existen delincuentes informticos, tambin existen empresas que se dedican
exclusivamente a contrarrestar estas clases de ataques informticos distribuyendo los
correspondientes parches o vacunas con programas gratuitos, en versiones Beta o con algn costo
monetario.

Dado el crecimiento de los delitos informticos se vio la necesidad de crear un sistema que
permitiera investigar estos casos de manera exhaustiva crendose entonces una ciencia para ello
denominada INFORMTICA FORENSE.

En este escrito se muestra las diferentes fases por las que atraviesa la Informtica Forense en el
descubrimiento de un caso

2.

OBJETIVO GENERAL

Presentar las fases de una investigacin forense contra un delito informtico.

3.

OBJETIVOS ESPECFICOS:

Brindar informacin acerca de los pasos a seguir en una investigacin de informtica

Forense.

Investigar acerca de las metodologas forenses que se utilizan en la investigacin de un

caso.

4. INFORMTICA FORENSE:

La INFORMTICA FORENSE Es la ciencia de adquirir, preservar, obtener y presentar

informacin sobre datos alojados en un medio informtico y que representan las evidencias para
llevar a cabo un caso judicial o una investigacin, determinando con resultados una posible fuga
de informacin o simplemente para evidenciar las fallas en un sistema de informacin, determina
donde, cmo, cundo, quien, en cierto momento ha realizado una intromisin a un sistema
informtico.

Desde mucho tiempo atrs y dada la magnitud de la informacin generada y almacenada en

medios electrnicos, la delincuencia informtica ha buscado la manera de acceder a los sistemas
de informacin de las compaas con el propsito de beneficiarse econmicamente, para casos de
espionaje o simplemente para averiguar la vulnerabilidad de un programa especfico, de las redes,
del correo o de la misma Internet. Se crea entonces la necesidad de combatirlos mediante la
bsqueda de evidencias que permiten encontrarlos y penalizarlos; en 1984 el FBI cre un programa
al que se le llam CART -Computer Analysis and response team (Anlisis de computador y equipo
de respuesta) con el propsito de investigar los sistemas de informacin. Michael Anderson (Padre
de la informtica Forense) era un agente especial de la Divisin de Investigacin Criminal de IRS
quien trabaj con el gobierno investigando estos delitos informticos, fund la empresa New
Technologies, INC. Iniciando as la INFORMTICA FORENSE.

Esta disciplina (Anlisis Forense digital) se aplica tanto en las investigaciones de delitos
generales como son el fraude financiero, los homicidios, el terrorismo, el narcotrfico, como en los
delitos que tienen que ver con las tecnologas d la informacin y las comunicaciones como la
piratera de software, la pornografa infantil etc.

El objetivo principal de una investigacin forense, es recolectar evidencias importantes que

permitan la construccin de un caso y la penalidad a que fuere merecedora de acuerdo con la ley,
para ello, se vale de recursos que permiten escudriar en los recursos en donde no es posible
accederlos s a simple vista ya sea porque los archivos han sido borrados, adulterados, se ha

ocultado la informacin, porque ha habido problemas de con fallos del sistema o simplemente por
un error humano.

Es importante observar que la mayora de los delitos informticos se realizan directamente desde
dentro de la organizacin ya se por empleados o personar externo que tiene algn vnculo con la
empresa, en segundo lugar estn los ataques que se realizan en forma electrnica, y por ultimo pero
no menos importantes son los ataques que se producen con el mal uso de los aparatos electrnicos,
el uso del internet, correos electrnicos, ataques directamente a la red etc.

Tras la investigacin Forense de un caso especfico, se deben tener en cuenta normas de

preservacin, cadena de custodia, protocolos especficos para copiar la informacin, todo esto
porque si se falla en la presentacin de las evidencias o pruebas, el caso ante la corte sera nulo y
se pierde por no llevar el debido proceso.

Es por esto que existen fases que se deben de cumplir en orden estricto para llevar a cabo una
investigacin.

5.

FASES DE UNA INVESTIGACIN FORENSE DIGITAL

Actualmente las compaas dependen de los sistemas de informacin y de las redes

exponindose cada vez ms a ser atacado y perjudicado econmicamente. Los atacantes cada da
se incrementan y las organizaciones deben tomar medidas para protegerse y proteger la
informacin, utilizando herramientas que le permitan ocultar la informacin y que puedan servir
de barrera de proteccin.

Con este propsito se exponen algunas tcnicas que se deben tener en cuenta al llevar a cabo
una investigacin y que sus resultados sean idneos al presentarlos ante la justicia como pruebas
fehacientes de culpabilidad; las personas que realizarn estas investigaciones son personas con un
nivel de conocimiento del tema muy alto con preparacin tcnica y cientfica y que trabaje en una
empresa especializada en estas investigaciones.

5.1. FASE DE IDENTIFICACIN:

Cuando se tenga la solicitud de intervenir un caso mediante la Informtica Forense, lo primero

que se debe hacer es inspeccionar el lugar de los hechos, asegurarse que se trata de un problema de
software, de hardware o de servidor, hacer el reconocimiento de los elemento a ser intervenidos
como dispositivos de almacenamiento en red, laptop, desktop y servidores, memorias USB, tarjetas
SD, discos pticos o magnticos, igualmente se deben tener en cuenta los datos voltiles,
smartphones, reproductores de audio y video, celulares etc.

Una vez se seleccione el instrumento a ser evaluado e investigado, se procede a rotular

o marcar el dispositivo que se va a analizar (marca, nombre, fechas etc.)

Se realiza en levantamiento de la informacin acerca del dispositivo a evaluar como el

sistema operativo que tiene, datos tcnicos, fechas, configuracin de las IP, fechas, etc.

Desde el momento en que el dispositivo sea seleccionado no se debe permitir que manos
ajenas al perito informtico toque el equipo.

Determinar qu informacin de va a sacar del equipo para minimizar la prdida de

tiempo en bsquedas innecesarias.

Identificar la informacin voltil y trabajar en ella primero antes de que se pierda.

Averiguar sobre los datos del responsable del equipo y todas las especificaciones del
equipo

Realizar fotografas de los instrumentos a evaluar.

Programar el procedimiento para la aplicacin de la prctica forense con el fin de aplicar

la tecnologa apropiada en la extraccin de la informacin

Obviamente todos los pasos a seguir deben estar bien documentados con fotografas y
evidencias.

Hay evidencia digital son los aparatos electrnicos como los celulares y PDA (es una agenda
electrnica que contiene calendario, lista de contactos, block de notas y recordatorios),

La evidencia digital se encuentra clasificada en evidencia fsica que son los soportes de
almacenamiento de informacin como: CPU, Diskettes, CD-ROM, DVD, cintas magnticas etc.,
los dispositivos electrnicos como telfonos celulares, agendas, organizadores electrnicos etc. Y
lo dispositivos de comunicacin de red como Hubs (Concentrador de redes que conecta otros
equipos entre s y retransmite informacin o paquetes a todos los equipos conectados), routers
(enrutador o intercomunicador de redes) , switchs (dispositivo de interconexin de redes).

La evidencia digital que se encuentra almacenada en estos dispositivos puede ser constante
(Que queda guardada an despus de apagado el computador) y fases de una investigacin y voltil
(que corresponde a la evidencia que se encuentra almacenada en el cach o en la RAM y que se
pierde al apagar el computador)

La evidencia Electrnica es la informacin digital que contienen estos aparatos electrnicos

La Evidencia lgica es cualquier dato almacenado en un medio magntico y se dividen en:

Registros generados por computador como resultado de la programacin de un computador

y no se pueden alterar; estos son los registros o huellas de eventos de seguridad o logs,

Los Registros que son generados por una persona y almacenados en el computador
(ejemplo de ellos, lo documentos en Word, power point o Excel). Y que pueden ser
modificados o alterados.

Los registros hbridos: Estos son la combinacin entre los dos anteriores, combinan
manipulacin humana y logs.

Los registros de cada servidor: Son los registros del sistema y de los programas que estn
en ejecucin.

Los registros de trfico de red. Son los registros que quedan grabados cuando se accede a
un computador.

Registros de aplicacin: es la informacin que registra cada aplicacin por separado cuando
un usuario accede a ella y realiza alguna actividad.

Igualmente se debe tener en cuenta de la clase de informacin que se va estudiar:

Cuando la informacin e ilegal o fruto del delito: en el caso de la pornografa infantil en

donde el caso est dado como posesin ilegal de mercanca; Otro caso cuando la
informacin es fruto de copias ilegales de programas o distribucin de secretos industriales
hurtados;

Cuando la informacin es tomada como instrumento: en el caso de programas o

aplicaciones usadas para robar informacin a travs de vulnerabilidades del sistema.

Cuando la informacin es tomada como evidencia: Esta es la ms importante porque se

utiliza el computador como arma para investigar las acciones del usuario a travs del rastro
digital como es el caso de ISPs (conexin a internet con diferentes tecnologas).

5.2. FASE DE VALIDACIN Y PRESERVACIN DE LOS DATOS ADQUIRIDOS.

En esta fase se le presta mucha importancia a resguardar los objetos que se consideren
importantes para la solucin del caso, es importante que la evidencia que se examine no sean
alteradas pero si por laguna razn se alter se debe documentar el motivo por el cual se realiz la
alteracin, la fecha y hora y registro fotogrfico explicndolo detalladamente adems de
justificarlo.

En este fase se lleva a cabo la criptografa de claves mediante la funcin hash, checksums (suma
de chequeo) que se utiliza para proteger la integridad de los datos, que detecta cambios accidentales
en una secuencia.

Luego de que se realicen los pasos anteriores, y se haya tomado las fotografas, se procede a
hacer la clonacin o copia bit a bit (copia binaria) del dispositivo que se vaya a analizar; esta copia
se debe hace en un medio de almacenamiento nuevo o que previamente se haya formateado, con el
fin de asegurar que la copia sea fiel y sin contaminacin de alguna clase. Sobre esta copia se
realizan otras copias sucesivas que servirn para realizar el anlisis correspondiente.

Con la copia bit a bit de la informacin alojada en el dispositivo original se deben tener en cuenta
tres principios fundamentales: Evitar la contaminacin, actuar cuidadosamente de acuerdo con los
mtodos establecidos, y vigilar que la cadena de custodia se realice rigurosamente. Las coias que
se generen deben tener comprobacin de integridad empleando la funcin hash (MD5 o SHA1)

Las copias de la etiqueta deben contener la firmas, fecha y hora de creacin de la copia y el
nombre que la identifique, adems protegerlas con empaques que posean jaula de Faraday que
aslan los cambios electromagnticos y que adems estn protegidos contra cambios de
temperatura.

En el caso de que dispositivo que se est copiando tenga datos personales de una persona, se
debe tener en cuenta de realizar un contrato de encargado de tratamiento o Ley Orgnica de
Proteccin de datos de carcter personal (LOPD) que protege lo que concierne a los datos

10

personales, las libertades pblicas y los derechos de las personas en cuando a su privacidad personal
y familiar, su honor y su intimidad.

Para realizar esta clase de copias deber tener un kit de herramientas especializado para realizar
las labores de investigacin y que permite a travs de comandos investigar todos datos de puertos,
ficheros ocultos, visualizacin de registros y logs del sistema, lectura, copias y escritura a travs
de la red, anlisis del trfico de red, lista de los puertos TCP y UDP abiertos etc.

Que es una cadena de Custodia: Es el procedimiento vigilado y controlado aplicado a los

materiales probatorios de un delito que se realiza con el fin de evitar alteracin, contaminacin,
sustitucin o destruccin de los mismos. Las evidencias Entran en cadena de custodia desde el
momento en que se ubican en su estado natural, pasando por la recoleccin, el embalaje, el traslado
de la evidencia, hasta la presentacin en los tribunales.

Las etapas por las que debe pasar una cadena de custodia:
Extraccin y recoleccin.
Conservacin y embalaje.
Transporte o traslado a laboratorios para anlisis, a fiscalas para su custodia
Preservacin hasta el momento de presentarlo a los tribunales.

5.3. FASE DE ANLISIS

Una vez se tienen las copias guardadas y con la cadena de custodia se procede con el anlisis en
un laboratorio especializado en el cual se siguen los pasos rigurosos para el procedimiento y en los
que se utilizan las herramientas y los programas especializados en la deteccin de pruebas.:

Analizar el tipo de hardware y perifricos conectados al equipo.

Realizar un inventario con el software y el sistema operativo afectado.

Revisar si posee firewall y si tiene DMZ (Zona desmilitarizada).

11

Revisar la configuracin, la conexin a internet y los permisos.

Examinar si tienen polticas de seguridad, si tiene parches y actualizaciones del software.

Identificar las formas de almacenamiento (sencillo o cifrado).

Identificar la red y los equipos conectados.

Identificar los usuarios locales y remotos.

Realizar imgenes de los discos duros y realizar las pruebas a travs de ellos.

Revisin de fechas y hora de accesos, modificaciones, creacin y borrado de la

informacin.

Establecer la ruta de fichero.

Revisin de archivos temporales

Recuperacin de archivos borrados.

Examinar los ficheros log.

Identificar los servicios, procesos y puertos TCP/UDP abiertos.

Buscar vulnerabilidades a travs de internet.

Realizar hiptesis con su causa y efecto.

Realizar pruebas y ejecutar exploit para averiguar si generan los mismos eventos
tomados como evidencias.

Investigar las IP sospechosas y comprobar el registro RIPE NCC (www.ripe.net) a quien

pertenece y verificar tcnicas de spoofing, o zombis.

Identificar el tipo de atacante (Hacker, Scriptliddies o profesionales)

5.4. FASE DE DOCUMENTACION Y PRESENTACIN DE PRUEBAS:

Esta es la fase final en donde se presentas los resultados de los hallazgos. Es importante tener
claro al presentar la documentacin de que las actividades realizadas, cada paso debe ser
documentado y fechado desde su descubrimiento hasta la finalizacin, el documento debe estar
bien redactado, y debe ser creble, entendible y confiable, adems de que la presentacin de pruebas
deben tener una secuencia lgica con las que se pueda convencer de la existencia o no de un delito.

12

Se debe presentar un informe tcnico y otro ejecutivo, estos informes deben contener el detalle
de los anlisis efectuados, la metodologa y tcnicas utilizadas, anlisis de las evidencias, y la
descripcin de los hallazgos; Se entregarn los siguientes formularios de presentacin de pruebas:
Formulario de discos duros
Formulario de identificacin del equipo y sus componentes.
Formulario de incidencias
Evidencia de la custodia.
Formulario de evidencias.
Formulario de publicacin del incidente.

El informe ejecutivo debe estar lenguaje legible por cualquier persona (sin trminos tcnicos)
en donde se exponen los datos ms relevantes de caso analizado y referenciando las pruebas
entregadas, debe contener el motivo, y el desarrollo de la intrusin, el resultado del anlisis y las
recomendaciones; constar entre tres y cinco pginas de manera que no se torne tedioso al momento
de su exposicin.

13

6.

CONCLUSIONES:

La investigacin forense como ciencia, es un tema demasiado amplio por lo que cada tema
merece un estudio ms profundo y que solamente uno de ellos podra ser el producto de una tesis
doctoral.

Este trabajo recoge de forma generalizada algunos pasos que se deben llevar a cabo en cada una
de las fases de una investigacin de informtica forense, intentando mostrar la necesidad de aplicar
los procedimientos pertinentes con el fin de asegurar la calidad en el estudio de la investigacin
forense.

A nivel personal, la realizacin de este trabajo me llev a leer, a investigar, a conocer el

apasionante mundo de la seguridad informtica y ms an de la Informtica forense como ciencia.

14

REFERENCIAS BILBIOGRFICAS:

Lpez, O., Amaya H., Len R., y Acosta B. (2002). Informtica Forense: Generalidades, aspectos
tcnicos y herramientas. Recuperado el 11/05/2015 de:
https://scholar.google.es/scholar?q=QUE+ES+LA+informatica+forense+&btnG=&hl=es&
as_sdt=0%2C5

Lpez M. (2007). Anlisis forense digital. Recuperado el 12/05/2014 de:

http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf

Dilorio, A. La informtica forense y el proceso de recuperacin de informacin digital.

Recuperado de:
http://redi.ufasta.edu.ar:8080/xmlui/bitstream/handle/123456789/429/La%20Inform%C3%
A1tica%20Forense%20y%20el%20proceso%20de%20recuperaci%C3%B3n%20de%20inf
ormaci%C3%B3n%20digital.pdf?sequence=1

Quizhpe, G., (2015) Metodologa de la informtica forense en la atencin de delitos informticos

de cibertgrooming. Recuperado de
http://dspace.ups.edu.ec/bitstream/123456789/7784/1/UPS-CT004640.pdf

Granda G. (2015). Metodologa para el anlisis forense de dataos e imgenes de acuerdo con las
leyes del Ecuador. Recuperado de:
http://dspace.ups.edu.ec/bitstream/123456789/8943/1/UPS-CT005203.pdf

Captulo 3. Fases de la informtica Forense. Recuperado de:

http://dspace.ups.edu.ec/bitstream/123456789/546/4/CAPITULO3.pdf