ANALISIS FORENSE Curso de Ciberseguridad Calen -2017
Bitácora •
Definiciones
•
Legislación
•
Delincuentes
•
Análisis
•
Conclusiones
Definiciones Análisis Examen detallado de una cosa para conocer sus características o cualidades, o su estado, y extraer conclusiones, que se realiza separando o considerando por separado las partes que la constituyen. Forense De la administración de justicia o relacionado con ella. Médico que está adscrito a un juzgado, actúa como perito en causas criminales y civiles y se encarga de determinar las causas que han provocado la muerte de una persona.
Definiciones El analisis forense digital se define como un conjunto de técnicas de recopilación y exhaustivo peritaje de datos, la cual sin modificación alguna podría ser utilizada para responder en algún tipo de incidente en un marco legal. Un incidente es un evento en donde la políticas de seguridad de un sistema se ven corrompidas, objetivo entender la naturaleza delsiendo ataque.entonces el Este tipo de técnica está creciendo mucho en los últimos años y normalmente se encuentra relacionada a casos de estudio en donde ocurrió un delito financiero, evasión de impuestos, investigación sobre seguros, acoso o pedofilia, robo de propiedad intelectual, fuga de información y ciberterrorismo o ciberdefensa, entre muchos otros campos.
Definiciones LEY “Conjunto de normas jurídicas que regulan el actuar del hombre en sociedad, con miras a un ideal común de justicia” DELITO “Acción u omisión voluntaria penada por la ley ” “ Trasgresión a la norma jurídica” Elementos: Conducta, Tipica, Antijuridica, Culpable, Conminada con una pena
CIBER DELINCUENTE Personas que realizan actividades delictivas en internet como
robar información, acceder a redes privadas, estafas, y todo lo que tiene que ver con los delitos e ilegalidad.
Definiciones Criminalística Rama de las ciencias forenses que utiliza todos sus conocimientos y métodos para coadyuvar de manera científica en la administración de justicia. Al incluir a la Criminalística en el grupo de las ciencias forenses, ésta adquiere la calidad científica que se requiere de toda investigación de un presunto hecho delictivo, ya que se menciona que utilizará todos sus conocimientos y métodos, es decir, la aplicación de todas las experiencias aprendidas en otras ciencias, así como los procedimientos que se siguen para hallar la verdad y enseñarla.
Definiciones FIGURAS DELICTIVAS Asociaciones Ilicitas Terrorismo & Ciber-Terrorismo Guerra digital Distribución de ponografía y Pedofilia Espionaje Informático Hacking y Cracking Piratería Ataques a la Banca on line y POS Clonación Celular y Sistemas Ingenieria Inversa Robo de Señal Satelital Esteganografía Ingenieria Social Accesos no Autorizados • • • • • • • • • • • • • •
Un poco de historia Desde un tratado chino del siglo XIII Xi Yuan Ji Lu (Reparando errores, recopilación de casos injustos rectificados), escrito por Song Ci (1186 - 1249), padre de la patología forense, hasta el desarrollo del primer laboratorio de policía científica, establecido en Lyon (Francia) por Edmond Locard (18771966), que enunció el principio de transferencia ("siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto") en el que se basarían la serología, la toxicología y los análisis de DNA. Mathieu Orfila - 1787 1853: Es considerado el fundador de la toxicología moderna. En 1814 publicó Traité des Poisons, una obra en la que se documentaba la detección de venenos. Alphonse Bertillon - 1853 - 1914: Trabajó en la individualización antropológica, basada en la
identificación mediante la medición de varias partes del cuerpo. La antropología fue sustituida por las huellas dactilares. También creó una metodología para la obtención de evidencias y no alteración de la escena de un crimen. Francis Galton - 1822-1911: Desarrolló investigaciones en campos tan dispares como la psicología,
meteorología, biología o la geografía. Fascinado por la biometría y la estadística, desde 1888 hasta 1909 publicó numerosos artículos sobre las huellas dactilares y la identificación única en base a ellas. Entre sus publicaciones destaca un libro de 1892llamado Finger prints
Un poco de historia Hans Gross: 1847 - 1915: dedicó durante 20 años en desarrollar el libro " Manual del Juez como Sistema de Criminalística", publicado en 1893. Es considerado el que acuñó el término de la criminalística referido al análisis sistemático de las huellas dejadas por el culpable. Calvin Goddard - 1891 - 1955: Se le considera la persona que desarrolló la balística forense, el
método para identificar que arma había disparado una bala. Esto fue popularizado en el caso Sacco and Vanzetti en 1926. J. Edgar Hoover - 1895 - 1972: En 1924 fue nombrado director la Oficina Federal deInvestigación (FBI) de Estados Unidos. Creó el primer archivo de huellas dactilares. En 1932 estableció el laboratorio criminal, actualmente, uno de los más importantes del mundo.
5 fases fundamentales del análisis forense digital 1. Adquisición En esta fase se obtienen copias de la información que se sospecha que puede estar vinculada con algún incidente. De este modo, hay que evitar modificar cualquier tipo de dato utilizando siemprecopias bite a bite con las herramientas y dispositivos adecuados. Rotulando con fecha y hora acompañado del uso horario, las muestras deberán ser aisladas en recipientes que no permitan eldeterioro ni el contacto con el medio. La adquisición de muestras debe respetar una regla fundamental que está ligada a la volatilidad de las muestras. 2. Preservación En esta etapa se debe garantizar la información recopilada con el fin de que no se destruya o sea transformada. De este modo, aparece el concepto de cadena de custodia. De estemodo, aparece el concepto de cadena de custodia, la cual es unacta en donde se registra el lugar, fecha, analista y demás actores que manipularon la muestra.
5 fases fundamentales del análisis forense digital 3. Análisis Finalmente, una vez obtenida la información y preservada, se pasa a la parte más compleja. Sin duda, es la fase más técnica, donde se utilizan tanto hardware como software específicamente diseñados para el análisis forense. Si bien existen métricas y metodologías que ayudan a estructurar el trabajo de campo, se podrán obtener grandes diferencias dependiendo de las herramientas que se utilicen, las capacidades y experiencia del analista. 4. Documentación Debemos citar y adjuntar toda la información obtenida, estableciendo una relación lógica entre las pruebas obtenidas y las tareas realizadas, asegurando la repetibilidad de la investigación. 5. Presentación Por un lado, se entrega uninforme ejecutivo mostrando los rasgos más importantes de forma resumida y ponderando por criticidad en la investigación sin entrar en detalles técnicos.
Un Resumen de historia 1910 Se funda en Francia el primer laboratorio forense por Edmond Locard. •
1932 J Edgar Hoover Logró integrar un laboratorio de ciencias forenses, desde entonces es uno de los más reconocidos. •
En 1984 el FBI forma el Magnetic Media Program, que más tarde, en 1991, será elComputer Analysis and Response Team (CART).. 1987 Se crea High Tech Crime Investigation Association (HTCIA) •
•
Legislación Hay que tener presente a norma ISO/IEC 27001 define a la seguridad de la información como la preservación de la confidencialidad, la integridad, y la disponibilidad, pudiendo además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. A estos efectos, una buena gestión de seguridad puede ser obtenida a través de la concreción de un conjunto de controles, tales como políticas, prácticas, procedimientos, estructuras organizativas y software adecuados. Ley N° 18.172 de 7 de septiembre de 2007, artículo 119, se creó el Consejo Asesor Honorario de Seguridad de Informática del Estado en el ámbito de la Agesic, integrado por ……... Ley 18.046 artículo 55 de …….. en la redacción dada por el artículo 118 de la Ley Nº 18.172 otorgó a la Agesic potestades legales para la concepción y el desarrollo de políticas en materia de seguridad de la información, a los efectos de la prevención, detección y respuesta frente a los incidentes que pudieran afectar los activos críticos del país. Ley Nº 18.362 de 15 de octubre de 2008, artículo 73, se creó el CERTuy dentro del ámbito de la Agesic, con los cometidos de regular la protección de los activos críticos de información del Estado, difundir las mejores prácticas, centralizar y coordinar la respuesta a incidentes informáticos y realizar las tareas preventivas que correspondan. Decreto Nº 451/009 de 28 de septiembre de 2009 en el cual se definen los incidentes informáticos como una violación o amenaza inminente de violación a una política de seguridad de la información implícita o explícita, que comprometa la seguridad de un sistema (confidencialidad, integridad o disponibilidad). Decreto Nº 452/2009 de 28 de septiembre de 2009 aprobó las “Políticas en la Seguridad en la Información para los Organismos del Estado”, de aplicación obligatoria para los organismos públicos integrantes de la Administración Central, exhortándose su cumplimiento a los restantes órganos del Estado. •
•
•
•
•
•
Legislación Podemos diferenciar los cometidos otorgados al CERTuy, en dos grupos: a) los relativos al trabajo en conjunto con los restantes organismos del Estado; y b) los relacionados con los incidentes de seguridad y las medidas atinentes a su control y prevención. •
•
•
a) Se trata de tareas de asistencia, coordinación, colaboración entre los organismos públicos con la finalidad de proporcionar una asistencia eficaz en los casos de incidentes de seguridad informática, proponer normas destinadas a incrementar los niveles de seguridad en los recursos y sistemas relacionados con las TIC. •
Legislación Decreto Nº 450/009 que aprueba un documento de políticas de seguridad de la información para los organismos públicos. b) El CERTuy posee cometidos relacionados con la alerta ante amenazas y vulnerabilidades informáticas dando respuesta a los incidentes ocurridos. Estos servicios son denominados como reactivos, esto es, servicios diseñados para dar respuestas a solicitudes de asistencia, como por ejemplo a los incidentes de seguridad, investigación forense tendiente a determinar las huellas informáticas que los ataques informáticos generan. El CERTuy documenta y registra los reportes de los incidentes ocurridos. El artículo 1º del Decreto dispone que el CERTuy protegerá tanto los sistemas informáticos como los sistemas circundantes a éstos. La respuesta a incidentes puede significar la realización de análisis forense sobre el sistema o sistemas informáticos circundantes al analizado, tales como la descripción de aquellas “huellas informáticas” que el atacante, dejó en el sistema. Las tareas preventivas implementadas por el CERTuy, son ejercidas a través de un procedimiento establecido y regulado en los artículos 9 a 13 de la reseñada norma. Asimismo, se informa que el CERTuy viene trabajando en base a tres columnas de trabajo: 1) Actividades Reactivas: tales como la respuesta a i ncidentes de seguridad informática e investigación forense; 2) Actividades Proactivas: por ejemplo el asesoramiento en seguridad y alerta de i ncidentes; 3) Actividades en materia de Seguridad e Infraestructura, es decir, la seguridad en la red y sobre la plataforma de gobierno electrónico. En cuanto a datos estadísticos, el CERTuy en la actualidad gestiona un promedio de dos incidentes mensuales. A nivel de ataques encontramos4: A nivel. •
• •
•
•
• • • •
• • •
ANALISIS FORENSE Seguridad Informatico Reglas
Legislación Identificacion del delito
Sensores Firewall/ips Logs Csirt Identificacion de bienes jurídicos o activos afectados
Identificar leyes, políticas o reglamentos comprometidos
Criminalistica Sitio del Suceso Fijacion de los indicios Resguardo de evidencia
Forense Auditoria informatica Peritaje y reporte
Tipo Norma :Ley 19223 Fecha Promulgación :28-05-1993 TIPIFICA FIGURAS PENALES RELATIVAS A LA INFORMATICA Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente "Artículo 1 .- El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo. °
°
Artículo 2 .- El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio. °
Artículo 3 .- El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio. °
Artículo 4 .- El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.". Y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto como Ley de la República. Santiago, 28 de Mayo de 1993.- ENRIQUE KRAUSS RUSQUE, Vicepresidente de la República.- Francisco Cumplido Cereceda, Ministro de Justicia. Lo que transcribo a Ud. para su conocimiento.- Saluda atentamente a Ud., Martita Worner Tapia, Subsecretario de Justicia.
Principios de la Criminalística.
1. Principio de uso. 2. Principio de producción. 3. Principio de intercambio. 4. Principio ,de correspondencia. 5. Principio de reconstrucción de hechos. 6. Principio de probabilidad. 7. Principio de certeza.
Principio de uso: En los hechos que se cometen o realizan, siempre se utilizan
agentes mecánicos, eléctricos, electrónicos, informáticos, químicos, físicos biológicos. Principio de producción: En la utilización de agentes mecánicos, eléctricos,
electrónicos, informáticos, químicos, físicos o biológicos, para la comisión de los hechos presuntamente delictuosos, siempre se producen indicios o evidencias materiales en gran variedad morfológica y estructural y representan elementos reconstructores e identificadores. Principio de Intercambio:Al consumarse el hecho y de acuerdo con las
caracteristicas de su mecanismo, se srcina un intercambio de indicios entre el autor, la víctima y el lugar de los hechos o en su caso entre el autor y el lugar de los hechos. Principio de correspondencia de características: Basado en un principio
universal establecido criminalísticamente: la acción dinámica de los agentes mecánicos vulnerantes sobre determinados cuerpos dejan impresas sus características, reproduciendo la figura de su cara que impacta. Este fenómeno da la base científica para realizar estudios micro y macrocomparativos de elementos problema y elementos testigo, con objeto de identificar al agente de producción.
5. Principio de reconstrucción de hechos o fenómenos: El estudio de todas las
evidencias materiales asociadas al hecho, darán las bases y los elementos para conocer el desarrollo de los fenómenos de un caso concreto y reconstruir el mecanismo del hecho o fenómeno, para acercarse a conocer la verdad del hecho investigado. 6. Principio de probabilidad: La reconstrucción de los fenómenos y de ciertos
hechos que nos acerquen al conocimiento de la verdad, pueden ser con un bajo, mediano o alto grado de probabilidad o simplemente sin ninguna probabilidad. Pero nunca se podrá decir: "estos sucedió exactamente así", dado que los niveles de confiabilidad certeza dede fasmedición ciencias sociales presentan una validez restringida aylos niveles utilizadosy humanas, que en criminalística se encuentran supeditados en su gran mayoría a la intervención de un observador externo. 7. Principio de certeza: Las identificaciones cualitativas, cuantitativas y
comparativas de la mayoría de los agentes vulnerantes que se utilizan e indicios que se producen en fa comisión de hechos, se logran con el empleo de metodología, tecnología y procedimientos adecuados, que dan la certeza de su existencia y de su procedencia, considerando el tipo de análisis (orientación, certeza, medición o identificación).
Francis Bacon El método científico
1.-0bservación: Observar es aplicar atentamente los sentidos a un objeto o a un fenómeno, para estudiarlos tal como se presentan en realidad , puede ser ocasional o causalmente. 2.-lnducción: La acción y efecto de extraer, a partir de determinadas observaciones o experiencias particulares, el principio particular de cada una de ellas. 3.-Hipótesis: Planteamiento mediante la observación siguiendo las normas establecidas por el método científico. 4.-Probar la hipótesis por experimentación. 5.-Demostración o refutación (antítesis) de la hipótesis.
6.-Tesis o teoría científica (conclusiones).
Fijación de un Sitio del Suceso
¿CUÁLES SON LOS PASOS QUE SE RECOMIENDAN PARA RECOGER UNA EVIDENCIA? 1 – RECONOCERLA 2 – PROTEGERLA 3 - FIJARLAS (fotográficamente y planimétricamente) 4 – DESCRIBIRLA 5 – INTERPRETARLA 6 - EMBALAR, SELLAR, ROTULAR Y ENVIAR AL LABORATORIO DE CRIMINALÍSTICA O DEPÓSITO DE CUSATODIA DE EVIDENCIAS.
Cadena de Custodia La cadena de custodia es un procedimiento establecido por la normativa jurídica, que tiene el propósito de garantizar la integridad, conservación e inalterabilidad de elementos materiales de prueba como documentos, armas de fuego, muestras orgánicas e inorgánicas, proyectiles, vainas, armas blancas, etc., desde el momento que son encontrados en el sitio del suceso, hasta que son entregados en los laboratorios criminalísticos o forenses a fin de que sean analizados y así obtener por parte de los expertos, técnicos o científicos, los resultados periciales correspondientes.
Indicio El término indicio proviene de latín indictum, que significa signo aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o indicación. Cuando se comprueba que está íntimamente relacionado con el hecho que se investiga, se convierte ya en evidencia
Evidencia JOHN J. MCKELVEC, en su libro "Manual de la Ley de Evidencia"
dice "Es cualquier materia o sustancia de hecho de la cual se puede obtener una consecuencia como otra materia o hecho".
DIFERENCIA ENTRE DELITO Y CIBERDELITO Entrenamiento de fácil aprendizaje Requieren pocos recursos versus al daño potencial provocado • •
•
Jurisdicción La legalidad VIRTUAL es poco clara Son considerados Genios y no criminales Herramientas automáticas hacen el trabajo Considerado DELITO en pocos países • • •
•
ESTADO DE LA CRIMINALIDAD INFORMATICA El incremento de Tecnologías, ha proporcionado nuevas posibilidades de desarrollo y progreso a nivel mundial. .. . . . Pero nadie estimó que este cambio abrupto, abrió una puerta exponencial a la criminalidad.
Sitio de Suceso
DELITO CIBERNETICO Delito en que la TELEMATICA es parte del esquema en que se desarrolla, ya sea como S.S., víctima, atacante el escenario real o virtual, en una nacional estructura de datos conectada o inalámbrica, o internacional, con identidades de usuarios reales o ficticias ... Se debe aceptar el concepto de mundo paralelo
PREPARACION DEL PERITO • La necesidad de preparación técnica
también obliga a los peritos. • El perito no puede improvisarse. Debe
haber adquirido vastos determinado ramo de laconocimientos ciencia, lo queen sólo se consigue con la especialización. • Como la especialización debe encauzarse a
la aplicación de las nociones científicas a la investigación judicial, ella nos conduce a desarrollar algunas nociones especiales.
El Actuar del Perito CON OBJETIVIDAD. CON ACTITUD CRÍTICA. CON CON SINCERIDAD. MENTE ALERTA. CON PRECISIÓN. CON CAUTELA. CON IMPARCIALIDAD.
PREPARACION DEL PERITO INFORMATICO * Definir al ámbito de su competencia. * Aspectos Legales precisos. * S.O., redes Hardware, 80, Arquitectura de Computadores, SW, Ingeniería de SW, sistemas de reportes, Bitácoras, Compiladores, estructuras de sistemas, conformación técnica de archivos, imágenes, gráficos, estructuras de HD, formas de grabación, estructura y operación de memonas, escritura, impresoras, HD móviles, pendrives, cámaras fotográficas digitales, comunicación de datos, teleproceso, compresión de archivos, borrado de datos, recuperación , destrucción de datos, virus, gusanos, spyware, scanners, audio digital, vídeo digital, servicios y protocolos internet, mail, ftp, hhtp, ssl, criptografía, vulnerabilidad desl sistema, etc ... * Criminalística, proceso Forense. * Conocer las herramientas SW y HW
Principios propuestos por el G8 • Al gestionar evidencias digitales todos los principios forenses
generales deberán ser aplicados. • Al intervenir evidencias digitales, las acciones llevadas a cabo no
deberás alterar dichas evidencias. • Cuando sea necesario acceder a evidencias digitales en su medio
srcinal dicho acceso deberá ser llevado a cabo por personal formado a tal efecto.
• Toda actividad relacionada con la adquisición, análisis,
almacenamiento y transferencia de evidencias digitales deberá quedar debidamente documentada, almacenada y disponible para su revisión por terceras partes. • Toda persona es responsable de la s acciones llevadas a cabo con
respecto a evidencias digitales mientras estas están en su posesión. • Toda agencia responsable de la intervención, acceso,
almacenamiento o transferencia de evidencias digitales debe adherirse a estos rinci ios.
Pasos del Proceso Forense •
Paso 1, Identificación de evidencia.
• Paso 2, Fijación de la evidencia. • Paso 3, Levantamiento de la evidencia. • Paso 4, Generación Código de Integridad. • Paso 5, Aplicación de Alta Seguridad Criptográfica. • Paso 6, Análisis e interpretación. • Paso 7, Presentación de la evidencia.
Marco Teórico La Investigación Forense Informática tiene un sólido soporte científico, teorías, leyes de la física, axiomas y otras ciencias hacen de esta disciplina un verdadera ciencia. BASE CIENTIFICA FORENSE E INFORMATICA
Sistemas Certificados Internacionalmente, EnCase Teoría de Sistemas Operativos, Tanenbaum Ciencia Informática Redes y Telecomunicaciones Principios de Conversión Análogo Digital, Fourier Captura de Datos y Transductores Principios de Robótica Principos de Física Dinámica, Newton Electricidad y Electrónica Teoría Electromagnética, Maxwell
Evidencia Electrónica • La evidencia informática se constituye por datos de valor
investigativo almacenados o transmitidos por un computador. • No se trata de evidencia visible, debe ser descubierta. • Es frágil , puede ser alterada o destruida, producto de un
manejo poco apropiado.
Sitio de Suceso cibernético • Asegure y controle el área donde se encuentran los equipos computacionales. • Fije en vídeo o fotográficamente los elementos dubitados. • Aleje a las personas de las po sibles fuentes de evidencia. • No encienda equipos. • Elimine todo tipo de conectividad en los equipos. • Para apagar, simplemente desconecte.
Recopilación y Recuperación Se necesita recopilar evidencias en procesos judiciales y otros casos • A través de procedimientos formales . • Con apoyo de Herramientas técnicas hardware • Con el uso de SW especializado • Con bases legales apropiadas que respalden la actuación • Seguir protocolo del escenario a levantar. • Buscar bitácoras • Respaldar en modo seguro usando contraseñas y criptografía. - RFC 3227 ( Guidelines for Evidence Co/lection and Archiving) - RFC 2196 ( Site Security Handbook) .
Recuperación de Evidencia o Información
Devolver el sistema y los datos a un estado seguro y no vulnerable.
La Investigación Forense Informática se puede ver complicada en distintos niveles desde los más simples hasta complejos daños a los sistemas. Daños más Frecuentes Eliminación de archivos simple Ocultar archivos y carpetas hide Cambios de nombre Formateo Quema del disco Uso de líquidos o corrosivos Uso de Esteganografía
Montaje de archivos Uso de Wipe Cambios de extensión Eliminación de Particiones Destrucción por fuego Uso de Criptografía
Software Necesario TODO el SW debe ser srcinal, licenciado y con su key . • Editor Hexadecimal • Comparador de Códigos • Traductor Hex, Bin, a ASM • EnCase y UTK • Simulador de CPU base a desemblar • Recuperador de Datos de bajo nivel • Scanner de vulnerabilidades en PC y Red • SW Grabador de DVD • IDS • SW Compactador y Encriptador simétrico • Desemcriptador y Scan Detec Esteganográfico • Editor de imágenes digitales
* Generadores de Hash
Proceso Forense - Fijación Interna Fotografía Digital y Retiro de HD- Actas
El Informe Pericial Se compone de: Un párrafo de presentación. Cuatro secciones específicas denominadas sucesivamente: Objeto de la Pericia, Elementos Ofrecidos, Operaciones Realizadas, Conclusiones. Un párrafo de cierre, elevación y recibo en devolución.
Documentos Formales
Cadena de Custodia Formulario de Notificación de Incidentes
CONCLUSIONES GENERALES • No existe el crimen perfecto • El delito informático ya está tipificado – por analogía • Es precisa la instrucción en
cibercrimen y abrir áreas de seguridad y forense dentro de la organización
Que haría usted si? • Somos requeridos para hacer un
análisis de un equipo encendido?
* Si debemos buscar datos de pornografía en un disco?
Bibliografía -http://web.uchile.cl/archivos/derecho/CEDI/Normativa/Ley%2019.223 %20Tipifica%20Figuras%20Penales%20Relativas%20a%20la%20Info rm%E1tica.pdf -http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forens e/Informatica%20Forense%20v0.6.pdf -http://www.neuquen.gov.ar/seguridadinformatica/pdf/Informatica%20F orense%20-%20Hernan%20Herrera.pdf -http://www.todouruguay.net/que-es-la-informatica-forense/ -https://www.colibri.udelar.edu.uy/handle/123456789/2997
Agradecimientos Dra. Gabriela Helbling Dr. Diego Lattanzio
GRACIAS Pablo Maisonneuve Heber Garaza
