Tesis Informatica Forense.desbloqueado

Informática Forense

UNIVERSIDAD POLITÉCNICA SALESIANA SEDE CUENCA

FACULTAD DE INGENIERÍAS CARRERA DE INGENIERÍA DE SISTEMAS

Trabajo de Grado previo a la obe!"i#! del T$%lo de I!&e!iero de Si'e(a'

)METODOLOGÍAS* ESTRATEGIAS + ,ERRAMIENTAS DE LA INFORM-TICA FORENSE APLICA.LES PARA LA DIRECCI/N NACIONAL DE COMUNICACI/N + CRIMINALÍSTICA DE LA POLICÍA NACIONAL0

A%ore'1

Mar$a Da!iela -lvare2 Galar2a

Ver#!i"a Ale3a!dra G%a(4! Reib4!

Dire"or1

I!&5 Vladi(ir Roble'

C%e!"a* Febrero 6778 1

DECLARACI/N

Nosotras, María Daniela Álvarez Galarza y Verónica Alexanra G!amán "ei#án, eclaramos #a$o $!ramento %!e el tra#a$o a%!í escrito es e n!estra a!toría& %!e no 'a sio (reviamente (resentao (ara nin)*n )rao o calificación (rofesional& y, %!e 'emos cons!ltao las referencias #i#lio)ráficas %!e incl!yen en este oc!mento+

A travs e la (resente (resente eclaraci eclaración ón ceemos ceemos n!estros n!estros erec'os erec'os e (ro(iea (ro(iea intelect!al corres(onientes a este tra#a$o, a la -niversia .olitcnica /alesiana, se)*n lo esta#lecio (or la 0ey e .ro(iea Intelect!al, (or s! "e)lamento y (or la normativia vi)ente+

Fir(a1 Da!iela -lvare2 G5

Ver#!i"a G%a(4! R5

CERTIFICACI/N

ertifico %!e el (resente tra#a$o f!e esarrollao (or María Daniela Álvarez Galarza y Verónica Alexanra G!amán "ei#án, #a$o mi s!(ervisión+

Fir(a1 I!&5 Vladi(ir Roble'

Dire"or de Te'i!a

DEDICATORIA

A mi familia (or el a(oyo y amor (ermanente %!e me ofrecen caa instante, a mis ami)as, ami)os y com(a2eros (or el a(oyo %!e e !na ! otra manera me 'an #rinao+ 3 e manera es(ecial a !na (ersona %!ien sin verlo más, 'a c!ltivao en mi via y en la via e mi familia el entener %!e caa ía tenemos !na n!eva o(ort!nia+

Daniela

DEDICATORIA

A lo lar)o e n!estra via vamos 'acieno cosas %!e %!izás !nas son más sencillas %!e otras, (ero caa !na e ellas nos e$a !na ense2anza y f!era e ser !na tarea %!e c!m(lir son o(ort!niaes (ara a(rener y esc!#rir en los etalles lo %!e te ay!a no sólo a la realización (rofesional sino a !na realización (ersonal+

A Dios, por permitir que las cosas se den. A mis Padres, por su apoyo y enseñanzas A los amigos y compañeros, por los momentos compartidos

Verónica

AGRADECIMIENTO

A los (rofesores (or las ense2anzas com(artias, %!e nos 'an ay!ao a esenvolvernos en el esarrollo el tra#a$o e )rao, %!e a!n%!e a veces creíamos %!e ciertas cosas no nos servirían, 'oy (oemos ecir %!e too c!anto se a(rene en !na a!la res!lta m!y acertao en el momento %!e nos toca act!ar+

A la .olicía Nacional el 4c!aor y e manera es(ecial al 5eniente .a#lo In)a (or s! a(ert!ra, cola#oración e inters (restao (ara %!e se esarrolle e la me$or manera el tra#a$o+

Al In)+ Vlaimir "o#les, (or ser !n t!tor con (aciencia y (or sa#er orientarnos+

3 so#re too )racias a Dios (or ser n!estra )!ía, a n!estros (ares (or s! (reoc!(ación y a(oyo+

INDICE DE CONTENIDOS

CAPÍTULO 9 CONCEPTOS GENERALES SO.RE LA INFORM-TICA FORENSE

1+1

Intro!cción66666666666666666666++ .á)+ 7

1+7

Informática Forense+66666666666666666++ .á)+ 8 1+7+1 Definición6+++666666666666666+++++++++ .á)+ 8 1+7+7 9#$etivo e la Informática Forense666666666+ .á)+ 8

1+7

om(!tación Anti:Forense66666666666666+++ .á)+ ;

1+;

Delitos Informáticos66666666666666666++ .á)+ <

1+=

"e)las e la Informática Forense666666666666++ .á)+>

1+?

As(ectos 0e)ales666666666666666666+++ .á)+18 1+?+1 0ey e omercio 4lectrónico, Firmas 4lectrónicas y Mensa$es e Datos 6++6666666666666666+ .á)+18 1+?+7 0ey e .ro(iea Intelect!al66666666666+ .á)+1;

CAPÍTULO 6 AN-LISIS + DIAGN/STICO DE LA INSTITUCI/N 7+1

Anteceentes66666666666666666666++ .á)+1?

7+7

.roceso Intere(artamental666666666666666+ .á)+1<

7+8

@erramientas Informáticas orientaas a la investi)ación e elitos vi)entes en la act!alia en la .olicía Nacional6666+++++++++++++ .á)+1>

CAPÍTULO : FASES DE LA INFORM-TICA FORENSE 8+1 Ientificación e 4viencia Di)ital66666666666++ .á)+7= 8+1+1 Desc!#rimiento e las se2ales el ata%!e6666 .á)+8 8+1+7 "ecolección e eviencias666666666++ .á)+87 8+1+7+1 !iaos en la "ecolección e 4viencias666+ .á)+88 8+1+7+7 Inicio e la "ecolección66666666666.á)+8; 8+7 .reservación e la 4viencia Di)ital66666666666+++ .á)+8= 8+8

Análisis e la 4viencia Di)ital666666666666+++ .á)+8< 8+8+1 .re(aración (ara el análisisB 4ntorno e tra#a$o6666666666666 .á)+8C 8+8+7 "econstr!cción e la sec!encia tem(oral el ata%!e6666666666666666++.á)+8> 8+8+8 Determinación e cómo se realizó el ata%!e6666666666666+66666.á)+; 8+8+; Ientificación el a!tor o a!tores el inciente66666666+ 66666+6++ .á)+;1 8+8+= 4val!ación el im(acto ca!sao al sistema666666666666666++6+ .á)+;8

8+; .resentación e 4viencia Di)ital666666666666 .á)+;; 8+;+1 -tilización e form!larios e re)istro el inciente666666666666666666+.á)+;; 8+;+7 Informe tcnico66666666666666666+.á)+;= 8+;+8 Informe 4$ec!tivo6666666666666666+.á)+;?

CAPÍTULO ; METODOLOGÍAS + ESTRATEGIAS EN .ASE A LA INFORM-TICA FORENSE ;+1

Análisis e /o(ortes y Dis(ositivos 4lectrónicos666666+

.á)+;<

;+7

Análisis e la com!nicación e atos66666666666 .á)+;C

;+8

Metoolo)ías y 4strate)ias666666666666666 .á)+;> ;+8+1 /ec!estros e 4%!i(os666666666666

.á)+=8

; +8+7 Discos D!ros6666666666666666

.á)+==

;+8+8

/istemas 9(erativos6666666666666

.á)+=<

;+8+8+1 File slac66666666666666++

.á)+=C

;+8+8+7 Arc'ivo /Ea(66666666666+++++++

.á)+=C

;+8+8+8 -nallocate File /(ace666666666

.á)+=>

;+8+;

ases e Datos66666666666666 .á)+?1

;+8+=

5elfonos móviles y tar$etas666666666 .á)+?7

;+8+?

Análisis e sistemas vivos++666666666 .á)+?;

;+; G!ía Informática Forense A(licaa (ara la .olicía Nacional +66 .á)+<1

CAPÍTULO < ,ERRAMIENTAS + E=UIPOS PARA EL AN-LISIS FORENSE =+1

Análisis so#re las 'erramientas y e%!i(os (ara la a(licación e la Informática Forense (ara la .olicía Nacional 66666+ .á)+C;

=+7

ostos e e%!i(os y softEare (ara la a(licación e la Informática Forense 666666666666666666666+

.á)+C?

=+7+1 5oolit (ara el De(artamento e Delitos Informáticos e la .olicía Nacional ++6666666666666+ .á)+>= =+7+7 4ntornos e tra#a$o so#re com(!tación virt!al (ara la .olicía Nacional 666666666666666 .á)+>C =+8

.erfil y ca(acitación (ara los miem#ros e la .olicía Nacional en el área e Informática Forense 666666666666+

.á)+1

=+8+1 .erfil e !n Informático Forense6666666++++++

.á)+1

=+8+7 a(acitación c!rsos y certificaciones666666

.á)+17

oncl!siones 666666666666666666666+

.á)+1<

"ecomenaciones 66666666666666666666

.á)+1C

i#lio)rafía 66666666666666666666666 .á)+11 Glosario A(nices A(nice A 66666666666666666666666 .á)+117 A(nice A1 6666666666666666666666

.á)+118

A(nice A7 6666666666666666666666

.á)+11;

A(nice 66666666666666666666666+ .á)+17= A(nice 666666666666666666666666 .á)+18

FIGURAS1 Fi)!ra 1+1

lasificación e la om(!tación Anti:Forense 6666 .á)+ =

Fi)!ra 7+1

9r)ani)rama el De(artamento e Investi)ación e Delitos Informáticos .ro(!estaH 6666666++

Fi)!ra 7+7

.á)+1C

/istema e Ientificación Decaactilar a!tomatizao 6+ .á)+71

Fi)!ra 8+1

Metoolo)ía el Análisis Forense 666666666 .á)+78

Fi)!ra ;+1

o(ia e Disco D!ro 6666++666666666+ .á)+=?

Fi)!ra ;+1

Fra)mento e !n Arc'ivo e "e)istro+++666666++

.á)+?

TA.LAS 5a#la 1+1

Nivel e /e)!ria e Mtoos Anti:Forenses6666++ .á)+ ?

5a#la 1+7

/anciones (ara los elitos informáticos en el 4c!aor6+ .á)+1=

5a#la 8+1

Ientificación e la 4viencia IH

66666666 .á)+7>

5a#la 8+7

Ientificación e la 4viencia IIH

66666666 .á)+8

5a#la ;+1

Arc'ivos e "e)istro en -nix0in!x 6666666++ .á)+=>

Meodolo&$a'* E'rae&ia' > ,erra(ie!a' de la I!?or(4i"a Fore!'e apli"able' para la Dire""i#! Na"io!al de Co(%!i"a"i#! > Cri(i!al$'i"a de la Poli"$a Na"io!al5

CAPITULO I

CONCEPTOS GENERALES SO.RE LA INFORMATICA FORENSE

959

I!rod%""i#!

Act!almente !n meio más (ara cometer infracciones y el!ir a las a!toriaes es la tecnolo)ía+

4sto 'a creao la necesia e %!e la .olicía Nacional e#a

es(ecializarse y ca(acitarse en n!evas áreas en one las tecnolo)ías e la información y e la com!nicación res(onan a favor e la J!sticia+

4n (aíses como 4staos -nios, Alemania, In)laterra, olom#ia, Ar)entina, etc+, se está !tilizano la Informática Forense con el fin e o#tener (r!e#as y lo)rar esc!#rir a los a!tores e ic'as infracciones+

De#io a la )lo#alización e la

/ociea e la Información, la informática Forense está a%!irieno !na )ran im(ortancia+

4l inters e la .olicía Nacional el 4c!aor es esta#lecer la Informática forense (ara encontrar eviencias e los elitos informáticos, crímenes traicionales y e esta forma (orían ser !tilizaas en c!al%!ier (roceso $!icial como (r!e#a el ilícito+ /e consiera formalizar las tcnicas y los (roceimientos (ara arle valor (ro#atorio a esas eviencias i)itales+

4n !n crimen m!c'as veces las com(!taoras (ortátiles, e escritorio, meios físicos e almacenamiento como DKs, DVDKs, memorias, telfonos cel!lares, is(ositivos e almacenamiento masivo, etc+, son eviencias (or lo tanto se re%!iere e

mecanismos (ara rec!(erar, inter(retar y !sarlas

(ara %!e (!ean servir

como

(r!e#as+ 0a finalia e este oc!mento es analizar metoolo)ías, tcnicas y (ro(oner 'erramientas a la .olicía Nacional (ara %!e orienten y ay!en a mane$ar !na escena el elito en one se vean invol!craos sistemas e información o rees y la (osterior rec!(eración e las eviencias i)itales+

956

1

I!?or(4i"a Fore!'e

95659 De?i!i"i#!

4s la ciencia forense %!e se encar)a e la (reservación, ientificación, extracción, inter(retación y (resentación e la información o atos %!e 'an sio (rocesaos electrónicamente y )!araos en !na com(!taora o sistema informático, %!e servirá como eviencia i)ital+

0a ciencia forense es sistemática y se #asa en 'ec'os (remeitaos (ara reca#ar (r!e#as %!e l!e)o serán analizaas+

95656 Objeivo de la I!?or(4i"a Fore!'e

"eco#rar los re)istros y mensa$es e atos existentes entro e !n e%!i(o informático, y si es necesario reconstr!ir los mismos con la finalia e o#tener información i)ital %!e (!ea servir como (r!e#a en !n (roceso $!icial+

1

0L.4 D40GAD9 Mi)!el, Análisis Forense Di)ital, J!nio el 7<, "I.9"4D 9(+ it

95:

Co(p%a"i#! A!i Fore!'e

Naie (!ee ise2ar !n sistema, %!e al)!ien más no (!ea com(rometer o v!lnerarO+ 4sta frase nos avierte %!e las me$oras y acciones %!e se aelanten en las 'erramientas forenses siem(re estarán ex(!estas a n!evos esafíos y (r!e#as (or la llamaa informática Anti:Forense+

0a c!al nos (ermitirá n!evos esarrollos y

estrate)ias (ara enfrentar la inse)!ria e la información y los exi)entes re%!isitos le)ales, alreeor e la eviencia i)ital, %!e se emanan al (artici(ar en !n (roceso $!icial+

0a com(!taci com(!tación ón anti forense forense es !n con$!nto e mtoos mtoos e levantamient levantamientoo e eviencias con el o#$etivo e e#ilitar los res!ltaos e la com(!tación forense, !tilizano ciertas 'erramientas con las c!ales se o#tiene información confia#le (ara crear insolvencias en la eviencia y el (roceso forense+

Afe Afectan tan los los Da Dato toss es estr tr!!cción ción,, oc! oc!lta ltamien miento to,, mani mani((!lac !lació ión, n, fa#r fa#ric icaación iónH, 'erramientas e#iliaes, fallas en los res!ltaosH, análisis inconsistenciasH+

Cara"er$'i"a' •

Interr!m(e el (roceso e recolección e eviencias

•

Incrementa los tiem(os necesarios e eicación a !n !n caso caso

•

Genera !as so#re !n (roceso forense o testimonio

•

Afecta la e$ec!ción y !tilización e las 'erramientas forenses

•

4vita la etección e al)!na clase e evento oc!rrio

0a informática forense (osee as(ectos (ositivos y ne)ativos tales comoB

7

D40GAD9 405"ÁN arlos Análisis Anti:Forense O, 4nero 7C + Iem 8 1=

7

Po'iivo' •

"e(lantean y valianB (rocesos forenses, 'erramientas forenses y 'a#iliaes+

Ne&aivo' •

.!een exonerar a !n c!l(a#le+

•

.!een inc!l(ar a !n inocente+

•

Afectar al (roceso forense+

Cla'i?i"a"i#! 1lasif icación Destr !ir

9c!ltar

4liminar la la F!ente

Falsif icar

Fi)!ra 1+1 lasificación e la om(!tación Anti:Forense

A contin!ación se etalla las características y al)oritmos %!e se em(lean en la clasificación e la com(!tación anti:forenseB •

.revenir %!e la eviencia sea encontraa, y en caso e ello, re!cir s! !tilia+

•

Desmantelar o in!tilizar in!tilizar la eviencia entro e !n (roceso forense+

•

No #!sca #!sca 'acer la eviencia eviencia inaccesi#le, #!sca %!e esta esta sea sea irrec!(era#le+ irrec!(era#le+

•

Nivel físico y ló)ico+

FísicaB a travs e cam(os ma)nticos De))a!serH, G!arian Do) is(ositivo ma)nticoH+

0ó)icaB cam#io e la com(osición e los atos, so#rescri#ir atos Metaa, DataH, a más e eliminar las referencias e los atos+

Pi(e 0i#erarHB so#rescri#ir los atos meiante la !tilización e al)oritmos, a contin!ación se listan los mtoos !tilizaos (ara esto al)oritmos y s! nivel e se)!riaB Mtoo

Nivel e /e)!ria

orrao rá(io

a$o

"M. 5//I5 9./:II

Meio

DoD /im(le

Meio

DoD =77:77 M

Meio

G!tman

Alto

."NG /tream

Meio:Alto

5a#la 1+1 Nivel e /e)!ria e Mtoos Anti:Forenses

4l nivel e com(le$ia al !sar estas 'erramientas es sencillo, y la rec!(eración e estos atos es casi im(osi#le, !na e las (osi#les sol!ciones ante este ti(o e ciencia Anti Q Forense es Análisis Ma)ntico+

M@odo' a!i?ore!'e' E!"ripa"i#!, es !no e los mtoos más !saos (ara e#ilitar la com(!tación forense+ /e (!ee iviir en tres ti(os la l a encri(taciónB /imtricaB se realiza (or meio e !na contrase2a %!e se intro!ce al momento e encri(tar el arc'ivo ne)ano e esta esta manera el acceso+ /! esventa$a es %!e si existe al)!na necesia e#emos e#emos enviar la información encri(taa a otra (ersona, le e#eríamos enviar la clave e la encri(tación+

AsimtricaB se !tiliza !na com#inación e llaves (*#licas y (rivaas y e !n .ress'are Rey !tilizao (ara comenzar el (roceso e encri(tación+

1<

4steno)rafíaB 0!e)o e la encri(ción e atos, los mismos se almacenan #a$o la a(ariencia e otros arc'ivos+ 4stos arc'ivos contienen los atos oc!ltos y se los enominan arc'ivos (ortaores+

.orrado Se&%ro1 om*nmente !saa (ara eliminar atos almacenaos en is(ositivos ma)nticos+

/e realizan meiante a(licaciones comoB Pi(er, 4rase,

.G., Pin@ex, etc+

E'"o!der (e!'aje'1 el arte e esconer mensa$es, es e tal forma %!e las (ersonas no (!een (erci#ir %!e eso s!cee, (or e$em(lo la tcnica más !saa es en imá)enes y arc'ivos e a!io, meiante la aición e #its insi)nificativos, esta tcnica es (osi#le e#io a la inca(acia %!e tienen los seres '!manos e (erci#ir variaciones e sonio y calia e ima)en+

4s im(ortante tener en consieración, %!e las tcnicas Anti:Forenses (!een ser e m!c'a !tilia (ara me$orar el (roceso forense, e#io a %!e (ermiten enfrentar y esc!#rir las v!lnera#iliaes a las %!e la informática forense está ex(!esta,

y

controlar la estr!cción e las eviencias y así evitar la c!l(a#ilia e !n criminal o en el (eor e los casos incriminar a !n inocente+

95;

Delio' I!? or(4i"o'

0os elitos informáticos, son a%!ellos actos elictivos %!e en s! realización 'acen !so e las tecnolo)ías electrónicas ya sea como mtoo, meio o fin y los elitos en %!e se a2a estos e%!i(os, rees informáticas, o la información contenia en ellos, v!lnerano #ienes $!ríicos (rote)ios+

8

8

@-I0A.I .4SAFI40 Art!ro 9sEalo, 45ID 9(c+it 1C

0os ti(os e Delitos sonB Mani(!lación e com(!taorasB •

Mani(!lación e atos e entraa

•

Mani(!lación e (ro)ramas

•

Mani(!lación e los atos e salia

•

Da2os o moificaciones e (ro)ramas o atos com(!tarizaos

Falsificaciones informáticasB •

!ano se alteran atos e los oc!mentos almacenaos en forma com(!tarizaa+

•

!ano se !san las com(!taoras (ara efect!ar falsificaciones e oc!mentos e !so comercial+

Fra!es en InternetB •

arin)B !so e tar$etas e crito a$enas o fra!!lentas

•

Ventas e (ro!ctos %!e n!nca lle)an a entre)arse

•

4stafas, s!#astas ficticias

•

.'isin)B reirección meiante correo electrónico a falsas (á)inas sim!laas tr!caas+

/e)!ria 0ó)icaB •

/a#ota$e informático meianteB vir!s, )!sanos, ata%!es e ene)ación e servicio, s!stracción e atos, 'acin), esc!#rimiento y revelación e secretos, s!(lantación e (ersonaliaes, s!stracción e c!entas e correo electrónico+

•

Delitos e in$!rias, cal!mnias y amenazas a travs el e:mail, neEs, foros, c'ats o /M/+

.ro(iea Intelect!alB •

.iratería e (ro)ramas e orenaor, e m*sica y e (ro!ctos cinemato)ráficos

•

"o#os e cói)o+

Accesos no a!torizaosB •

Acceso no a!torizao a servicios y sistemas informáticos+

•

.iratas informáticos o 'acers+

•

"e(ro!cción no a!torizaa e (ro)ramas informáticos e (rotección le)al+

9tros elitosB •

A travs e Internet se (!een com(rar ro)as ilícitas, armas, (ro!ctos farmac!ticos no re)!laos, oc!mentos falsos+

•

95<

.orno)rafía infantil (ro!cción, istri#!ción y (osesiónH

Re&la' de la I!? or(4i"a Fore!'e

A contin!ación se (resentan re)las )enerales (ara a(licar a c!al%!ier (roceso en la informática forense, s! c!m(limiento es f!namental (ara ase)!rar la ace(tación, rece(ción e c!al%!ier eviencia en !n $!z)ao+ Dao %!e la metoolo)ía %!e se em(lee será eterminaa (or el es(ecialista forense, el (roceso esco)io e#e a(licarse e forma %!e no se v!lneren las re)las #ásicas e la informática forense+

4sencialmente, las re)las e la informática forense sonB ;

A/43, 4+ Di)ital 4vience an om(!ter rime+ Acaemic .ress, 7+ 9(+it+

;

Re&la 91 Mi!i(i2ar el Ma!ejo del Ori&i!al 0a a(licación el (roceso e la informática forense !rante el examen e los atos ori)inales se e#erá re!cir al mínimo (osi#le+ 4sto se (!ee consierarse como la re)la más im(ortante en la informática forense+ !al%!ier análisis e#e iri)irse e manera tal %!e minimice la (ro#a#ilia e alteración, esto se lo)ra co(iano el ori)inal y examinano l!e)o los atos !(licaos+ 0a !(licación e eviencia tiene varias venta$asB •

Ase)!rar %!e el ori)inal no será alterao en caso e !n !so incorrecto o ina(ro(iao el (roceso %!e se a(li%!e+

•

.ermitir al examinaor a(licar iferentes tcnicas en casos óne el me$or res!ltao no está claro+ /i !rante tales ensayos los atos se alteran o se estr!yen, sim(lemente se rec!rre a otra co(ia+

•

.ermite a varios es(ecialistas e informática forense tra#a$ar en los mismos atos, o en (artes e los atos, al mismo tiem(o+

•

Ase)!rar %!e el ori)inal se 'a (reservao en el me$or estao (osi#le (ara la (resentación en !n $!z)ao+

A!n%!e 'ay venta$as al !(licar la eviencia, 'ay tam#in esventa$as+ •

0a !(licación e eviencia e#e realizarse e la me$or manera y con 'erramientas, %!e ase)!ren %!e el !(licao es !na co(ia (erfecta el ori)inal+ 4l fracaso (ara a!tenticar el !(licao a(ro(iaamente, (ro!cirá !n c!estionamiento so#re s! inte)ria, lo %!e lleva inevita#lemente a (re)!ntar (or la exactit! y fia#ilia el (roceso el examen y los res!ltaos lo)raos+

•

D!(licano el ori)inal, se está a)re)ano !n (aso aicional en el (roceso forense, a mas e %!e la recreación e este am#iente se torna !na tanto ifícil,

esto im(lica %!e se re%!ieren más rec!rsos y tiem(o extra (ara facilitar el (roceso e !(licación, y la metoolo)ía em(leaa e#e extenerse (ara incl!ir el (roceso e la !(licación+

Re&la 61 Do"%(e!ar lo' "a(bio' !ano oc!rren cam#ios ya sea en la eviencia ori)inal o !(licaos !rante !n examen forense, la nat!raleza, ma)nit! y razón (ara ellos e#e oc!mentarse a(ro(iaamente, esto se a(lica tanto a nivel físico como ló)ico+ Aicionalmente, el (erito e#e ser ca(az e ientificar correctamente la ma)nit! e c!al%!ier cam#io y ar !na ex(licación etallaa e (or %! era necesario el mismo, este (roceso e(ene irectamente e las 'a#iliaes y conocimiento el investi)aor forense+

D!rante el examen forense este (!nto (!ee (arecer insi)nificante, (ero se v!elve !n (ro#lema crítico c!ano el examinaor está (resentano s!s res!ltaos en !n $!icio+ A!n%!e la eviencia (!ee ser le)ítima, las (re)!ntas acerca e las 'a#iliaes el examinaor y conocimiento (!een afectar s! crei#ilia, así como la confia#ilia el (roceso em(leao+ on !na !a razona#le, los res!ltaos el (roceso forense, en el (eor e los casos, se consieraran inace(ta#les+ A!n%!e la necesia e alterar los atos oc!rre (ocas veces, 'ay casos óne al examinaor se le exi)e el cam#io (ara facilitar el (roceso el examen forense+

Re&la :1 C%(plir "o! la' Re&la' de Evide!"ia .ara la a(licación o el esarrollo e 'erramientas y tcnicas forenses se e#en tener en c!enta las normas (ertinentes e eviencia+ •

Ase)!rar %!e el !so e 'erramientas y tcnicas no ismin!ye la amisi#ilia el (ro!cto final+ 77

•

.resentar la información e !na manera %!e sea tan re(resentativa el ori)inal como sea (osi#le+ 4s ecir, el mtoo e (resentación no e#e alterar el si)nificao e la eviencia+

Re&la ;1 No e3"eda '% "o!o"i(ie!o 4l es(ecialista en informática forense no e#e em(rener !n examen más allá e s! nivel e conocimiento y 'a#ilia+ 4s esencial %!e el (erito sea consciente el límite e s! conocimiento y 'a#ilia+ 0le)ao este (!nto, is(one e las si)!ientes o(cionesB •

Detener c!al%!ier examen y #!scar la ay!a e (ersonal más ex(erimentao+

•

"ealizar la investi)ación necesaria (ara me$orar s! (ro(io conocimiento, (ara %!e le (ermita contin!ar el examen y se alcance a o#tener lo %!e se #!sca+

4s inis(ensa#le %!e el examinaor forense (!ee escri#ir correctamente los (rocesos em(leaos !rante !n examen y ex(licar e la me$or manera la metoolo)ía se)!ia (ara ese (roceso+ 4l fracaso (ara ex(licar com(etentemente y con (recisión, la a(licación e !n (roceso (!ee (ro!cir c!estionamientos so#re el conocimiento y crei#ilia el examinaor+

0os análisis com(le$os e#en ser em(renios (or (ersonal calificao y ex(erimentao %!e (osea !n a(ro(iao nivel e entrenamiento+ Aicionalmente, ao %!e la tecnolo)ía está avanzano contin!amente, es im(ortante %!e el examinaor reci#a entrenamiento contin!o+

95B A'pe"o' Le&ale'

95B59 Le> de Co(er"io Ele"r#!i"o* Fir(a' Ele"r#!i"a' > Me!'aje' de Dao' Le> N6776B 4n a#ril el 77 se a(ro#ó el texto efinitivo e la 0ey e omercio 4lectrónico, Mensa$es e Datos y Firmas 4lectrónicas, y en consec!encia las reformas al ói)o .enal %!e 'acen referencia a los elitos informáticos+ De ac!ero a la onstit!ción .olítica e la "e(*#lica el 4c!aor, en s! 5ít!lo T, a(ít!lo 8ro+, al 'a#lar el Ministerio .*#lico, en s! Art+ 71> inciso (rimero se2ala %!e el Ministerio .*#lico (revenrá en el conocimiento e las ca!sas, iri)irá y (romoverá la investi)ación (re:(rocesal y (rocesal (enal+ 4sto es en concorancia con el Art+ 88 el ói)o e .rocesamiento .enal %!e se2ala %!eB el e$ercicio e la acción (*#lica corres(one excl!sivamente al fiscalO+ 4s (or tanto el Fiscal %!ien e#erá llevar la voz en la investi)ación e esta clase e infracciones e ti(o informático (ara lo c!al contara como se2ala el Art+ 7C el ói)o e .roceimiento .enal con s! ór)ano a!xiliar la .olicía J!icial %!ien realizará la investi)ación e los elitos e acción (*#lica y e instancia (artic!lar #a$o la irección y control Ministerio .*#lico, en tal virt! c!al%!ier res!ltao e ic'as investi)aciones se incor(oran en s! tiem(o ya sea a la Instr!cción Fiscal o a la Ina)ación .revia, esto como (arte e los elementos e convicción %!e ay!arán (osteriormente al re(resentante el Ministerio .*#lico a emitir s! ictamen corres(oniente+= 0a 0ey e omercio 4lectrónico, Mensa$es e Datos y Firmas 4lectrónicas re)!la los mensa$es e atos, la firma electrónica, los servicios e certificación, la contratación electrónica y telemática, la (restación e servicios electrónicos, a travs e rees e información, incl!io el comercio electrónico y la (rotección a los !s!arios e estos sistemas+ 5am#in contem(la !n a(ít!lo con cinco artíc!los con referencia al meio e (r!e#a, %!e los mensa$es e atos, firmas electrónicas, oc!mentos electrónicos y los certificaos electrónicos nacionales o extran$eros, =

Dr+ A-"I9 D40 .IN9 /antia)o, Intro!cción a la Informática Forense Dr+ 4"NA0 Geovanny , Informática J!ríica, 4nero 7C+ 7;

emitios e conformia con esta 0ey, c!al%!iera sea s! (roceencia o )eneración, serán consieraos meios e (r!e#a, con !na valoración #a$o los (rinci(ios eterminaos en la 0ey y tomano en c!enta la se)!ria y fia#ilia e los meios con los c!ales se la envió, reci#ió, verificó, almacenó o com(ro#ó si f!ese el caso, sin (er$!icio e %!e ic'a valoración se efect*e con el em(leo e otros mtoos %!e aconse$en la tcnica y la tecnolo)ía+ 0a valoración e la (r!e#a se someterá al li#re criterio $!icial, se)*n las circ!nstancias en %!e 'ayan sio (ro!cios+ 4l $!ez o ár#itro com(etente %!e conozca el caso e#erá esi)nar los (eritos %!e consiere necesarios (ara el análisis y est!io tcnico y tecnoló)ico e las (r!e#as (resentaas+ 0as "eformas al ói)o .enal e las Infracciones Informáticas incl!yen los ata%!es %!e se (ro!cen contra el erec'o a la intimia, a la o#tención y !tilización no a!torizaa e información, sa#ota$es informáticos, falsificación electrónica, a2os informáticos, a(ro(iación ilícita+

95B56 Le> de Propiedad I!ele"%al Ma> 8

0a 0ey e .ro(iea intelect!al vi)ente en el 4c!aor ese Mayo e 1>>C se refiere a las normas %!e

)arantiza el erec'o e a!tor, inventor e la o#ra, invento o

esc!#rimiento corres(oniente+ ontem(la los (ro)ramas e orenaor softEareH+ !ano se trata e softEare la (rotección es so#re los erec'os e a!tor no como invento o esc!#rimiento+ Al ser (ro!cto e in)enio '!mano es consierao como !na o#ra literaria+ 4l reconocimiento es ine(eniente el o#$eto en el c!al este incor(oraa la o#ra, los erec'os e a!tor se )arantiza a (esar e no estar incor(orao en !n orenaor e ine(enientemente e s! forma e ex(resión, es ecir sea le)i#le (ara el 'om#re o (ara la má%!ina+ .!een ser ia)ramas e fl!$o, (lanos, man!ales e !so, (ro)ramas o(erativos, a(licativos y toos los elementos %!e conforman la estr!ct!ra, sec!encia y or)anización e !n (ro)rama+

0os artíc!los 87; Q 87= e la 0ey e .ro(iea Intelect!al 'a esta#lecio las sanciones a a(licarse en caso e violaciones contra estos erec'os como la

(!#licación, if!sión, re(ro!cción, eformación, moificación, tra!cción, m!tilación, arre)lo, aa(tación, etc+, no a!torizaos (or el a!tor+

LE+ 0ey e omercio 4lectrónico, Firmas 4lectrónicas y Mensa$es e Datos 4-AD9"

0ey e .ro(iea Intelect!al

DELITO =UE SANCIONA ARTÍCULO Da2os informáticos y ;1=+1:;1=+7 sa#ota$e informático o+ .enal Falsificación informática 8=8+1 o+ .enal A(ro(iación ilícita ==8+1 o+ .enal 4stafas y otras =?8 efra!aciones o+ .enal Infracción o(y"i)'t e #ase ;1=+1 e atos o+ .enal Accesos no a!torizaos 77+1:77+7 o+ .enal .orno)rafía Infantil =7C+< o+ .enal .ro(iea Intelect!al 7C al 87

5a#la+1+7 /anciones (ara los elitos informáticos en el 4c!aor

.ara l!c'ar contra la Delinc!encia Informática no sólo es necesario contar con leyes e instr!mentos eficaces sino tam#in con la infraestr!ct!ra tanto tcnica como con el rec!rso '!mano calificao (ara 'acerle frente a este ti(o e elitos caa vez más crecientes+ 4n c!m(limiento con el manato constit!cional el Ministerio .*#lico tiene la o#li)ación J!ríica e (oseer !n c!er(o es(ecializao (ara com#atir esta ti(o e criminalia a fin e (reca!telar los erec'os e las víctimas y llevar a los res(onsa#les a $!icio+ 4s (reciso esarrollarse en las investi)aciones tanto (oliciales como el Ministerio .*#lico es(ecializaas en a#orar c!estiones e la elinc!encia informática e informática forense+ Act!almente en la .olicía Nacional está en (roceso e a(ro#ación la im(lementación e !na -nia 4s(ecializaa en Investi)ación e Delitos Informáticos con secciones e Investi)aciones e Inteli)encia y e Análisis Forense+

?

In)+ A"IA/ MIS9 Gonzalo Mayor e .olicía+ 9(+it

?

CAPÍTULO 6

AN-LISIS + DIAGN/STICO DE LA INSTITUCI/N

659 A!e"ede!e'

0os (asos %!e 'oy en ía se an en el cam(o e la tecnolo)ía son verti)inosas, com(!taoras, cel!lares, Internet, a!tomatización e tareas meiante la im(lementación e (ro)ramas, telecom!nicaciones, etc+, 'an lle)ao a ser (arte e la via el ser '!mano, no solo en el ám#ito la#oral sino tam#in (ersonal e#io a la información so#re la ientia e caa (ersona, almacenaa en las iversas ases e Datos, e i)!al manera las transacciones e com(ra, venta, (a)os, e(ósitos, etc+, se lo realiza a travs e Internet+ 5oo este fl!$o e información es trasmitia a travs la re e rees InternetH+

0o %!e en)lo#a esta era tecnoló)ica trae interro)antes como, U! tan (rote)ia está la informaciónW, e Uómo se (!ee reaccionar a ata%!es contra la inte)ria el inivi!o o e las em(resasW, UDe %!e si las leyes y meios existentes en n!estro (aís (!een esc!#rir cómo, %!in cometió el elito y %!e sentencia reci#iráW+

4n el 4c!aor se 'an manifestao casos e elitos informáticos %!e no son iv!l)aos o en!nciaos (or los inivi!os o em(resas afectaas (or evitar !n caos, (or res)!arar s! ima)en o, m!c'as veces (or esconocimiento e la ley %!e incrimina ciertos elitos informáticos+ 0a .olicía Nacional tiene como f!ncionalia res)!arar y (rote)er a la ci!aanía, (or ello se consiera %!e el crecimiento e la instit!ción e#e ser (ermanente y en constante act!alización, ya %!e caa vez más la tecnolo)ía informática se 'a convertio en !n instr!mento (ara cometer crímenes+ 0a .olicía es consciente e %!e los elitos tanto traicionales como informáticos %!e se s!scitan en n!estro (aís,

emanan )ranes esafíos en s!s investi)aciones ya %!e se 'an o#tenio eviencias como com(!taoras, telfonos cel!lares, is(ositivos e almacenamiento, (ro)ramas o c!al%!ier ti(o e 'arEare %!e re%!ieren e conocimiento, tcnicas y 'erramientas e Informática Forense (ara %!e se (!ea realizar !na reconstr!cción, análisis y reconocimiento el elito e !na manera aec!aa y lle)ar así 'asta el atacante+ 4n la misma instit!ción se 'an ao casos e extorsión meiante la tecnolo)ía, en one no se 'a (oio a(licar !na metoolo)ía e investi)ación e análisis forense (ara (oer o#tener eviencias cont!nentes y e esta manera etectar a tiem(o al inivi!o y %!e sea en$!iciao+

0a .olicía Nacional al consierar %!e estos com(ortamientos elictivos afectan irectamente a la sociea ec!atoriana en s! con$!nto, 'a iniciao !n .royecto en el %!e se esarrollan las re)las y normativas (ara la im(lementación e !n De(artamento 4s(ecializao en la investi)ación e elitos informáticos+

656 Pro"e'o I!erdepara(e!al

0a .olicía Nacional (ara c!m(lir s!s f!nciones se enc!entra iviia en las si)!ientes áreasB

•

• • •

• •

.olicía J!icial 5ránsito Mi)ración riminalística o Investi)aciones Antinarcóticos De(artamento Nacional e om!nicaciones+

aa área (osee eterminaas f!nciones c!m(len con el o#$etivo e (rote)er y velar (or el #ienestar e la ci!aanía+

7C

0as investi)aciones %!e se realizan so#re los crímenes o elitos e(enieno el ti(oH re%!ieren e la (resencia e interacción e toos los e(artamentos e la .olicía Nacional+

0os elitos informáticos son en!nciaos irectamente en la Dirección Nacional e la .olicía J!icial (ero act!almente no son trataos en !n e(artamento es(ecífico (ara el correcto análisis y com(ro#ación e los mismos, el (ersonal (olicial %!e act*a son los (ertenecientes al De(artamento Nacional e om!nicaciones si se trata e elitos informáticos (ro(iamente ic'os, (ero si se trata e elitos traicionales y %!e como meio se !tilizó !n is(ositivo i)ital o electrónico act*a el De(artamento e riminalística y e(enieno el caso el De(artamento e Antinarcóticos+

0a .olicía Nacional 'a visto la necesia e me$orar el res)!aro e la ci!aanía con los atentaos e este ti(o e elitos+ .or tal razón, la .olicía 'a realizao !n .royecto en el %!e se (ro(onen incrementar !n e(artamento es(ecializao en elitos informáticos+ /e (lantea iniciar en la ci!a e !ito con la si)!iente estr!ct!ra el e(artamentoB

Fi)!ra 7+7 9r)ani)rama el De(artamento e Investi)ación e Delitos Informáticos .ro(!estaH

omo o#$etivos el De(artamento (lanteaos en el .royecto son los si)!ientesB •

Investi)ar elitos relacionaos con el !so ilícito e rec!rsos tecnoló)icos y e esta manera #rinar al Ministerio .*#lico y a las !niaes e la .olicía Nacional el so(orte tcnico en mane$o e los inicios+

•

Desarrollar conocimientos es(ecializaos e tcnicas e investi)ación e elitos ci#ernticos+

•

Mantener la coo(eración e a)encias e investi)ación, encar)aos e mantenimiento e oren y se)!ria (*#lica en otros (aíses+

•

A(ro#ar los meios (ro#atorios a la fiscalía+

•

-tilizar 'erramientas y rec!rsos tecnoló)icos (ara !n aec!ao análisis+

•

Asistir al Ministerio .*#lico (ara !na correcta e$ec!ción e las leyes contra el ci#ercrimen+

•

Detectar e investi)ar con!ctas ilícitasB o

Acceso ile)al a sistemas informáticos

o

Interce(tación ile)al e las telecom!nicaciones

o

Da2os en sistemas informáticos

o

Fra!e electrónico

o o

Fra!e en las 5elecom!nicaciones .orno)rafía infantil en sitios y serviores Pe# !#icaos en n!estro (aís+

.ara %!e el De(artamento en (royecto (!ea res(oner a las ex(ectativas ansiaas se re%!iere e !na ex'a!stiva investi)ación e la Informática Forense, (ara (oer esco)er !na metoolo)ía aec!aa, con 'erramientas seleccionaas a(ro(iaamente y con !na )!ía e #!enas (rácticas enfocaa a la realia e n!estro (aís+

65: ,erra(ie!a' I!?or(4i"a' orie!ada' a la i!ve'i&a"i#! de delio' vi&e!e' e! la a"%alidad

0a .olicía Nacional tiene !n /istema e Informática Inte)rao, %!e f!e a%!irio a la em(resa 5rans5ools, el (royecto com(rene el esarrollo e s!#sistemas a la meia e las necesiaes e la .olicía Nacional+

4l sistema informático está iviio en os áreasB

-rea de Ge'i#! E3er!a* com(!esta (or los si)!ientes s!#sistemasB

5ránsito

•

Mi)ración

•

Investi)aciones

•

Antinarcóticos

•

Incl!ye la instalación e inte)ración el /istema e Ientificación ecaactilar a!tomatizao AFI/H e la 4m(resa ."IN5"AR M959"90A+ 4sta 'erramienta en (arte está enfocaa a la informática forense+

-rea de Ge'i#! I!er!a* com(!esta (or los si)!ientes s!#sistemasB •

"ec!rsos @!manos

/al!

•

4!cación

•

Ins(ectoría

•

Inteli)encia

•

9(eraciones

•

Gerencial

•

Doc!mental

•

4l o#$etivo e este esarrollo es lo)rar %!e la .olicía c!ente con !na #ase e atos inte)ral y *nica #asaa en la información el (ersonal (olicial, ve'íc!los, o#$etos, casos e incientes+

4l (royecto 'a sio aministrao con cinco com(onentesB 1+ Aconicionamiento tcnico o(eracional 7+ @arEare y softEare e #ase 8+ /oftEare a(licativo ;+ onectivia =+ a(acitación+

4l /istema Informático no es !n sistema sofisticao e inteli)encia, el sistema c!m(le los si)!ientes o#$etivosB •

"enovar la estr!ct!ra or)anizacional e la Instit!ción .olicial (ara %!e est conforme con el cam#io tecnoló)ico y c!lt!ral+

•

Formar !n )r!(o e (rofesionales (oliciales en el área e informática (ara res(onsa#ilizarse e la o(eración y mantenimiento f!t!ro el /istema Informático Inte)rao+

•

onsoliar !na #ase e atos *nica a nivel nacional, a la %!e (!ean acceer los istintos f!ncionarios e la .olicía Nacional, e(enieno e s! ran)o y los niveles e se)!ria esta#lecios en el sistema+

Si'e(a AFIS

Fi)!ra 7+1 /istema e Ientificación Decaactilar a!tomatizao

4l /istema e Ientificación ecaactilar a!tomatizao AFI/H act!almente está en f!ncionamiento en el De(artamento e riminalística e las ci!aes e !ito y G!aya%!il como a(oyo en las investi)aciones e crímenes traicionales y %!e (oría ser *til tam#in (ara investi)aciones e elitos informáticos+ 4l sistema AFI/ es !n sistema e ientificación (olicial #asao en ientificación #iomtrica meiante '!ellas actilares+ 4l sistema a!tomatiza las tareas e #*s%!ea

y almacenamiento e '!ellas actilares, *nicamente en los arc'ivos (oliciales y en la información e los re)istros e los etenios+

4l imensionamiento el sistema es (ara !n almacenamiento en línea e !n máximo e 7+ tar$etas ecaactilares e etenios y ?+ '!ellas latentes+

4l sistema no mantiene la #ase e atos e toos los ci!aanos ec!atorianos (or%!e el "e)istro ivil está encar)ao e esta res(onsa#ilia+

Co!ve!io' "o! I!'i%"io!e' del E'ado para (a!e!er el Si'e(a I!?or(4i"o

Re&i'ro Civil1 onvenio (ara valiar y cote$ar la información, (ara %!e los oc!mentos %!e emite la .olicía Nacional, como licencias, matríc!las, atos e filiación, certificaciones e censos, re%!isitos e amisión a las filas (oliciales, certificaos e anteceentes (ersonales, etc+, sean veraeras y confia#les+

Servi"io de Re!a' I!er!a'1 on las entiaes #ancarias no existe relación ya %!e toa la información el (a)o e es(ecies se realiza a travs el sistema #ancario, los c!ales irectamente transfieren al /ervicio e "entas Internas y este a s! vez transfiere a la .olicía Nacional+



0a falta e @erramientas orientaas a la Informática Forense 'a sio !n (ro#lema (ara la .olicía Nacional ya %!e no 'a (oio c!m(lir a ca#alia las investi)aciones re%!erias (ara o#tener eviencias y así s!stentar las (r!e#as (ara la sentencia e !n elito informático+

<

A)encia e Noticias e la .olicía el 4c!aor : EEE+(oliciales+ co#ert!rai)ital+ com

CAPÍTULO :

FASES DE LA INFORM-TICA FORENSE

0a .olicía Nacional, ante el mane$o e eviencias so#re !n crimen o elito informático cometio, e#erá act!ar como c!al%!ier (roceso criminal, el (rimer (aso es ase)!rara la escena el elito restrin)ieno el acceso a la misma (ara no moificar la eviencia+ 0os (eritos %!e mane$en el caso e#erán (oseer conocimientos so#re las metoolo)ías el análisis forense informático %!e se e#en a(licar se)*n el caso+

Presentación de evidencia

Analizar las evidencias Preservar las evidencias

Identificar evidencia

- Según prioridad -Conservación inicial

- Fase crítica - Preservar de forma que no exista duda de la evidencia -Creación de imágenes a nivel de bit - Generar cec!sum de original " copias

- Propósito# dar respuestas a las preguntas$ %&ui'n( que cuando " como) - *nali+ar requerimientos del cliente$ ,úsqueda de las evidencias acorde al caso$

- ar un informa claro( conciso( estructurada " sin ambig.edad de las evidencias $ - /o se debe usar un lengua0e mu" t'cnico - eberá contener las evidencias encontradas de acuerdo al caso

Fi)!ra 8+1 Metoolo)ía el Análisis Forense C

.ara llevar a ca#o !na investi)ación forense es aec!ao conocer ciertos as(ectos tales comoB •

C

onocer las coniciones #a$o las c!ales, la eviencia será consieraa como B o Amisi#le o A!tentica

4%!i(o e Investi)ación e Incientes y Delitos Informáticos+ PPP+4IIDI+9M

o o o

•

om(leta onfia#le reí#le

onocer el (roceimiento (ara llevar a ca#o !na investi)ación, c!ano e#e llevarse a ca#o las c!estiones le)ales a tener en c!enta, e(enieno el (aís one se lleve a ca#o+

4xisten moos e Análisis (ara la Informatica Forense, estos sonB

X Análisis (ost:mortemB se realiza con !n e%!i(o eicao es(ecíficamente (ara fines forenses (ara examinar iscos !ros, atos o c!al%!ier ti(o e información reca#aa e !n sistema %!e 'a s!frio !n inciente+ 4n este caso, las 'erramientas e las %!e se (!ee is(oner son a%!ellas %!e existan en el la#oratorio estinao al análisis e iscos !ros, arc'ivos e lo)s e fireEalls, etc+

X Análisis en calienteB se lleva a ca#o c!ano !n sistema (res!me %!e 'a s!frio !n inciente o está s!frieno !n inciente e se)!ria+ 4n este caso, se e#e em(lear !n D con las 'erramientas e "es(!esta ante Incientes y Análisis Forense com(ilaas e forma %!e no realicen moificaciones en el sistema+ -na vez 'ec'o este análisis en caliente, y confirmao el inciente, se realiza el análisis(ost:mortem+

Cade!a de "%'odia1 el es con$!nto e (asos o (roceimientos se)!ios (ara (reservar la (r!e#a i)ital %!e (ermita convertirla y !sarla como eviencia i)ital en !n (roceso $!icial+ No existe !n estánar reconocio (*#licamente+

0a caena e c!stoia e#eB Q "e!cir al máximo la cantia e a)entes im(licaos en el mane$o o tratamiento e eviencias+ Q Mantener la ientia e las (ersonas im(licaas ese la o#tención 'asta la (resentación e las eviencias+ Q Ase)!rar la firmeza e las eviencias+ Q "e)istros e tiem(os, firmaos (or los a)entes, en los intercam#ios entre estos e las eviencias+ aa !no e ellos se 'ará res(onsa#le e las eviencias en caa momento+

Q Ase)!rar la firmeza e las eviencias c!ano las eviencias están almacenaas ase)!rano s! (rotección+

0a sec!encia e la caena e la eviencia e#e se)!ir el si)!iente orenB Q "ecolección e ientificación e eviencia+ Q Análisis+ Q Almacenamiento+ Q .reservación+ Q 5rans(orte+ Q .resentación en el $!z)ao+ Q "etorno a s! !e2o+

0a caena e la eviencia m!estraB

Q !in o#t!vo la eviencia+ Q Dóne y c!áno la eviencia f!e o#tenia+ Q !in (rote)ió la eviencia+ Q !in 'a tenio acceso a la eviencia+

:59

Ide!i?i"a"i#! de la Evide!"ia Di&ial

4n esta fase se e#e localizar los is(ositivos one (oemos encontrar eviencias, ya %!e m!c'as veces la información %!e irecta o inirectamente se relaciona con esta con!cta criminal %!ea almacenaa e forma i)ital entro e estos /istemas Informáticos+

0a Evide!"ia Di&ial 4s el con$!nto e atos en formato #inario, com(rene los fic'eros, s! contenio o referencias a stos meta:atosY atos acerca e atosH %!e

se enc!entren en los so(ortes físicos o ló)icos el sistema atacao, los mismos (!een ser recolectaos y analizaos con 'erramientas y tcnicas es(eciales+

Tipo de Evide!"ia Di&ial

•

•

Co!'a!e1 eviencia almacenaa en !n meio informático y %!e se mantiene (reservaa es(!s e %!e la com(!taora sea a(a)aa+

Vol4il1 eviencia %!e se enc!entra almacenaa tem(oralmente, en la memoria "AM, o en el cac', y al interr!m(ir la alimentación elctrica la eviencia se (iere+ 4ste ti(o e eviencia e#er ser rec!(eraa casi e inmeiato, )!ararlas a fic'eros e sta forma se convertirá en eviencias no volátiles+

4s im(ortante consierar la iferencia %!e 'ay entre la eviencia i)ital y eviencia electrónica ya %!e estas (!een ser !saas como sinónimos, sin em#ar)o la (rimera se refiere a los a(aratos electrónicos como cel!lares y .DA/ > y la se)!na a la información i)ital %!e estos conten)an+

Cla'i?i"a"i#! de la Evide!"ia Di&ial 97

Evide!"ia

1)

F$'i"a -

Sopore' de Al(a"e!a(ie!o . Disettes D:"9Ms, DVD intas ma)nticas, etc+ • • • •

-

Di'po'iivo' ele"r#!i"o' 5elfonos cel!lares •

> .DA/B es !n com(!taor e mano ori)inalmente ise2ao como a)ena electrónica calenario, lista e contactos, #loc e notas y recoratoriosH con !n sistema e reconocimiento e escrit!ra+ @oy ía se (!ee !sar como !na com(!taora omstica ver (elíc!las, crear oc!mentos, $!e)os, correo electrónico, nave)ar (or Internet, re(ro!cir arc'ivos e a!io, etc+H+ 1

-A"DI Giovanni Q G-5IZ""4 J!an Davi+, Informática Forense+

• •

-

A)enas 9r)anizaores electrónicos

Di'po'iivo' de "o(%!i"a"io!e' de red • • •

99

"o!ters /Eitc'Ks @!#Ks

6 Evide!"ia L#&i"a1 c!al%!ier ato almacenao o )enerao en !n meio ma)ntico, este ti(o e eviencia (!ee ser clasificaa en tres cate)oríasB

•

•

•

•

•

Re&i'ro' &e!erado' por "o(p%ador1 4stos re)istros son )eneraos como efecto e la (ro)ramación e !n com(!taor, y son inaltera#les (or !na (ersona, los mismos son llamaos re)istros e eventos e se)!ria lo)sH+ Re&i'ro' !o &e!erado' 'i!o 'i(ple(e!e al(a"e!ado' por o e! "o(p%adore'1 4stos re)istros son )eneraos (or !na (ersona, son almacenaos en el com(!taor, (or e$em(lo, !n oc!mento realizao con !n (rocesaor e (ala#ras+ Re&i'ro' H$brido'1 estos re)istros incl!yen tanto re)istros )eneraos (or com(!taor como almacenaos en los mismos+ 0os re)istros 'í#rios son a%!ellos %!e com#inan afirmaciones '!manas y lo)s+ Re&i'ro' de "ada 'ervidor1 son a%!ellos re)istros el sistema y e caa (ro)rama en e$ec!ción, como (!een ser los e !n servior Pe# A(ac'e+ Re&i'ro' de r4?i"o de red

11

/Eitc'B is(ositivo electrónico e interconexión e rees e orenaores %!e o(era en la ca(a 7 nivel e enlace e atosH el moelo 9/I+ @!#B o concentraor es !n e%!i(o e rees %!e (ermite conectar entre sí otros e%!i(os y retransmite los (a%!etes %!e reci#e ese c!al%!iera e ellos a toos+ "o!terB enr!taor o encaminaor, is(ositivo e 'arEare (ara interconexión e rees e las com(!taoras %!e o(era en la ca(a tres  nivel e reH

8C

•

Re&i'ro' de apli"a"i#!1 son a%!ellos re)istros a los %!e caa a(licación almacena so#re el acceso e los !s!arios, errores oc!rrios e información so#re las activiaes e caa !s!ario en la a(licación+

F%e!e' de la Evide!"ia Di&ial 0as f!entes e eviencia i)ital (!een serB

1H /istemas e com(!tación a#iertosB están com(!estos (or com(!taoras (ersonales y serviores con s!s (erifricos teclao, Mo!se, monitorH, son !na f!ente e eviencia i)ital m!y im(ortante ya %!e almacenan )ran cantia e información en s!s iscos !ros+ 7H /istemas e om!nicaciónB están com(!estos (or telecom!nicaciones, Internet y com!nicación inalám#rica+

rees

e

8H /istemas onver)entes e om(!taciónB formaos (or telfonos cel!lares, llamaas inteli)entes, asistentes (ersonales i)itales .DAs, tar$etas inteli)entes y c!al%!ier is(ositivo electrónico %!e (osea tenencia i)ital+

Ide!i?i"a"i#! de la Evide!"ia

96

.ara la ientificación e la eviencia entro el (roceso forense se e#eB

•

•

•

Antici(ar %! (roceimientos serán em(leaos en la (ráctica forense al momento e reco(ilar la eviencia+ Ientificar el ti(o e información almacenaa en !n is(ositivo y el formato en %!e se )!ara, con la finalia e !sar la tecnolo)ía a(ro(iaa (ara extraer la información %!e se mantienen en el mismo+ 0os investi)aores forenses e#en estar en ca(acia e reconocer %! formato tiene eterminaa información, cómo extraerla y %! meio re%!ieren (ara almacenar y (reservar la misma+

on la finalia e eterminar one  e#e s er !#icaa y como  e#e s er !saa la eviencia, se efinen cate)orías (ara istin)!ir entre !n sistema informático o

17

Dr+ A-"I9 D40 .IN9, Intro!cción a la Informática Forense /antia)o+ 9(+ it+( 18

'arEare eviencia electrónicaH y la información contenia en este eviencia i)italH+ 4l 'arEare se refiere a toos los com(onentes físicos e !n sistema informático, la información se refiere a atos, (ro)ramas almacenaos, mensa$es e atos trasmitios !sano el sistema informático+ SISTEMA INFORM-TICO ,ardare

Evide!"ia Ele"r#!i"a

ele(e!o' ?$'i"o' 4l 'arEare es mercancía ile)al o fr!to el elito+

: 4l 'arEare es !na mercancía ile)al c!ano s! (osesión no está a!torizaa (or la ley+ : 4l 'arEare es fr!to el elito c!ano es o#tenio meiante ro#o, fra!e ! otra clase e infracción

4l 'arEare es !n instr!mento

: 4s !n instr!mento c!ano el 'arEare c!m(le !n (a(el im(ortante en al cometer el elito, es ecir si se lo !sa como !na arma o 'erramienta tal como !na (istola, e$em(lo snifers 18

4l 'arEare es eviencia

: 4s !n elemento físico %!e se constit!ye como (r!e#a e la comisión e !n elito+ 5a#la 8+1 Ientificación e la 4viencia IH

SISTEMA INFORM-TICO I!?or(a"i#!

Evide!"ia Ele"r#!i"a

0a información es mercancía ile)al o fr!to el elito+

: 0a información es mercancía ile)al c!ano s! (osesión no está a!torizaa (or la ley+ 4$em(loB (orno)rafía infantil

0a información es !n instr!mento

: 0a información es !n instr!mento o 'erramienta, c!ano es !saa como meio (ara cometer !na infracción (enal+ 4$em(loB (ro)ramas !saos (ara rom(er se)!ria e !n sistema informático, rom(ieno contrase2as o

: 0a información es fr!to el elito c!ano sea el res!ltao e la comisión e !na infracción+ 4$em(loB co(ias (iratas e (ro)ramas, secretos in!striales '!rtaos+

18 /nifersB es !n (ro)rama (ara monitorizar y analizar el tráfico en !na re e com(!taoras, etectano los c!ellos e #otella y (ro#lemas %!e existan+ 5am#in (!ee ser !tilizao (ara [ca(tar[, lícitamente o no, los atos %!e son transmitios en la re+

#rinan acceso no a!torizao+ 0a información es eviencia

: 4sta cate)oría es e s!ma im(ortancia, e#io a %!e m!c'as e n!estras acciones iarias e$an !n rastro i)ital, se (!ee o#tener m!c'a información como eviencia+ 4$em(loB información e los I/.Ks 1;, #ancos ya %!e estos (!een revelar activiaes (artic!lares e los sos(ec'osos+

5a#la 8+7 Ientificación e la 4viencia IIH

:5959 De'"%bri(ie!o de la' 'eJale' del aaK%e

.ara esc!#rir al)*n ti(o e anomalía, inciente o ata%!e se e#erá tomar en consieración las si)!ientes tareasB

-

Inter(retar comanos en moo consola cm, #as'H

-

4n!merar (!ertos 5. y -D. a#iertos y s!s a(licaciones asociaas f(ort, lsoftH

-

0istar !s!arios conectaos local y remotamente al sistema

-

9#tener fec'a y 'ora el sistema ate, timeH

-

4n!merar (rocesos activos, rec!rsos %!e !tilizan, !s!arios o a(licaciones %!e los lanzaron (s, (slistH+

-

4n!merar las irecciones I. el sistema y ma(ear la asi)nación e irecciones físicas MA con ic'as I. (ro)ramasB i(confi), ar(, netstat, netH o

MAMA 5imesB X aa entraa el /istema e Fic'eros mantiene tres fec'as y 'oras

1; I/.KsB (roveeores e servicio e Internet+ ;1

e toas las entraas %!e se enc!entran en este fic'eros, irectorios, lins, etc+H+ X Im(ortantes (ara el análisis e má%!inas com(rometias+ X 0os MA 5imes sonB Q Moificación MoificationHB am#ios en el fic'ero o irectorio a nivel e s! contenio+ Q Acceso AccessHB Acciones e lect!ra, escrit!ra (!ee no im(lica cam#ioH, etc+ Q am#io 'an)eHB am#io a nivel e características el fic'ero (ermisos, !s!arios, (ro(ietarios, etc+H -

!scar fic'eros oc!ltos o #orraos (ro)ramasB 'fin, !nrm, lazar!sH

-

Vis!alizar re)istros y lo)s el sistema (ro)ramasB re), !m(elH

-

Vis!alizar la confi)!ración e se)!ria el sistema a!it(olH

-

Generar f!nciones 'as' e fic'eros (ro)ramasB sa'1s!m, m=s!mH

-

0eer, co(iar y escri#ir a travs e la re (ro)ramasB netcat, cry(catH

-

"ealizar co(ias #it:a:#it e iscos !ros y (articiones (ro)ramasB , safe#acH

-

Analizar el tráfico e re (ro)ramasB tc(!m(, Ein!m(H

Op"io!e' de .'K%eda

-

"ealizar !na verificación e inte)ria e los fic'eros el sistema, !tiliaes como 5ri(Eire o AID4 Avance Intr!sion Detection 4nviromentH ay!arán a ello+

-

onocer los (rocesos %!e se están e$ec!tano act!almente en el e%!i(o y ver c!al e ellos cons!me más rec!rsos, con !#icaciones (oco frec!entes

en el sistema e arc'ivos y los %!e manten)an conexiones e re en (!ertos 5. o -D. no 'a#it!ales+ -

0istar toos los (!ertos 5. y -D. a#ierto, se e#erá tomar m!y en c!enta a%!ellos (rocesos %!e em(lean (!ertos altos (or encima el 17;+

-

4itar los arc'ivos e re)istro el sistema y lo)s en #!sca e entraas y avisos so#re fallos e instalación, accesos no a!torizaos, conexiones erróneas o fallias+

Al momento e esc!#rir !na eviencia, se e#eráB

: onservar la eviencia, y (or nin)*n motivo (odi?i"arla5 : -tilizar 'erramientas %!e no moifi%!en el tiem(o e e$ec!ción e los arc'ivos+ : No moificar los arc'ivos ni #orrarlos+

:5956 Re"ole""i#! de Evide!"ia'

0a reco(ilación e eviencias (ermite eterminar el mtoo e entraa al sistema, la activia e los intr!sos, s! ientia y ori)en, (ara too ello se e#e (oseer m!c'a (reca!ción (ara evitar alterar las eviencias !rante el (roceso e recolección+

0a recolección e eviencia, varía e (aís en (aís, y (or lo tanto, !n análisis exacto y com(leto está f!era e los límites+ /in em#ar)o, se (resentan )!ías #ásicas %!e (!een ay!ar a c!al%!ier investi)aor forenseB

0a I94 9r)anización Internacional e 4viencias en om(!taoraH efine cinco (!ntos (rinci(ales (ara el mane$o y recolección e eviencia i)italB

1+ Al recolectar eviencia i)ital, las acciones tomaas no e#en cam#iar (or nin)*n motivo esta eviencia+ 7+ 0a (ersona %!e ten)a acceso a eviencia i)ital ori)inal, e#erá ser !n (rofesional forense+ 8+ 5oa la activia referente a la recolección, el acceso, almacenamiento o a la transferencia e la eviencia i)ital, e#e ser oc!mentaa com(letamente, (reservaa y is(oni#le (ara la revisión+ ;+ -n inivi!o es res(onsa#le e toas las acciones tomaas con res(ecto a la eviencia i)ital mientras %!e sta est en s! (osesión+ =+ !al%!ier a)encia %!e sea res(onsa#le e recolectar, tener acceso, almacenar o transferir eviencia i)ital es res(onsa#le e c!m(lir con estos (rinci(ios+

:595659 C%idado' e! la Re"ole""i#! de evide!"ia'

0a recolección e eviencia informática es !n as(ecto frá)il el la com(!tación forense, es(ecialmente (or%!e re%!iere e (rácticas y c!iaos aicionales %!e no se tienen en la recolección e eviencia convencional+ 4s (or esto %!eB

•

/e e#e (rote)er los e%!i(os el a2o+

•

/e e#e (rote)er la información contenia entro e los sistemas e almacenamiento e información m!c'as veces, estos (!een ser alteraos fácilmente (or ca!sas am#ientales, o (or !n sim(le cam(o ma)nticoH+

•

Al)!nas veces, será im(osi#le reconstr!ir la eviencia o el e%!i(o %!e la contieneH, si no se tiene c!iao e recolectar toas las (iezas %!e se necesiten+

4l 'arEare es !no e los elementos %!e se e#en tener en c!enta a la 'ora e la recolección e eviencias, es (or eso %!e se e#en tener consieraciones es(eciales+ 0o (rimero %!e se e#e (re)!ntar el investi)aor es %! (artes se e#en #!scar o investi)ar+

:595656 I!i"io de la Re"ole""i#!

.ara iniciar la recolección e eviencias se e#eB •

A(a)ar el e%!i(o atacao

•

Anotar la fec'a, 'ora e inicio y fin e caa !no e los (asos %!e se realicen

•

Anotar las características y n*meros e serie e caa e%!i(o, e s!s com(onentes, e s! /+9+ /istema 9(erativoH, etc+

•

Foto)rafiar los e%!i(os el entorno+

•

4s recomena#le %!e exista !n acom(a2ante !rante el (roceso e reco(ilación e eviencias, sta act!aría como testi)o al tomar c!al%!ier acción en la escena, si es !n Notario es m!c'o me$or+

-na vez %!e ya se realizaron las tareas anteriores se e#erá efinir el estao el sistema y el atacanteB

-

4le)ir el ti(o e análisis %!e se efect!ará en el e%!i(oB o

Análisis con el e%!i(o a(a)aoY 4n fríoB es válio si se lo realiza #ien, (ero no se (osee toa la información el ata%!e+

o

Análisis en calienteYmientras el ata%!e se esta realizanoB #rina más información (rocesos, conexiones e re, etc+H, (ero si se lo realiza e forma inaec!aa, (!ee (er$!icar el (osterior análisis en frío, esto (!ee conllevar a (ro#lemas le)ales, ismin!yeno la cont!nencia e la eviencia+

Mantenerse (recavios ante el estao el atacante, ya %!e este (!ee

-

se)!ir conectao y (rovocar #orrao, moficao e la información meiante !na (!erta e entraa+ Asec'ar al atacante evitano %!e evaa la vi)ilancia en caso e %!e este

-

se manten)a conectao+

9tro e los tantos (ro#lemas %!e (osee !n investi)aor forense, es #!scar eviencia volátil, es ecir eviencia %!e se enc!entre alo$aa tem(oralmente en la memoria "AM o en el A@4, son eviencias %!e se (ieren c!ano se a(a)a el com(!taor, (or ello, este ti(o e información e#e ser rec!(eraa e forma inmeiata+

:56

Pre'erva"i#! de la evide!"ia

0a (reservación se enfoca en res)!arar los o#$etos %!e ten)an valor como eviencia, e manera %!e estos (ermanezcan e forma com(leta, clara y verifica#le, es im(ortante %!e c!al%!ier examen %!e se lleve a ca#o no )enere cam#ios, en caso e s!scitarse !n cam#io e manera inevita#le, es esencial %!e se (resente la razón (or la %!e se io tal acontecimiento, ex(licano el s!ceso etallaamente, (osterior a ello e#e ser re)istrao y $!stificao+ 4n esta fase se !tiliza tcnicas cri(to)ráficas como cói)os e se)!ria f!nción 'as', c'ecs!msH+ 1=

1= ri(to)rafíaB es el arte o ciencia e cifrar y escifrar inf or mación !tilizano tcnicas %!e 'a)an (osi#le el intercam#io e mensa$es e manera se)!ra %!e sólo (!ean ser leíos (or las (ersonas a %!ienes van iri)ios+

0a fase e (reservación interviene a lo lar)o e too el (roceso e investi)ación forense, la misma interact*a con las emás fases+

0as tareas %!e se e#en se)!ir (ara (reservar la eviencia i)ital sonB -

"ealizar os co(ias e las eviencias o#tenias+

-

Generar !na s!ma e com(ro#ación e la inte)ria e caa co(ia em(leano f!nción 'as' MD= o /@A1H+

-

Incl!ir las firmas o#tenias en la eti%!eta e caa co(ia e la eviencia en el D o DVD, incl!ir fec'a, 'ora e la creación e la co(ia y el nom#re e la misma+

-

.rote)er los is(ositivos e factores externos comoB cam#ios #r!scos, tem(erat!ra o cam(os electroma)nticos, ya %!e (!een alterar la eviencia+

/i se extraen iscos !ros se e#erá se)!ir el mismo (roceimiento+ 3 en caso e %!e se re%!iera %!e los iscos sean analizaos (or otras em(resas es(ecializaas, se e#e solicitar %!e lo ase)!ren+

F!nción 'as'B es !na 'erramienta f!namental en la cri(oto)rafía, son !saas (rinci(almente (ara resolver el (ro#lema e la inte)ria e los mensa$es, así como la a!tenticia e mensa$es y e s! ori)en, es tam#in am(liamente !saa (ara la firma i)ital, ya %!e los oc!mentos a firmar son en )eneral emasiao )ranes, la f!nción 'as' les asocia !na caena e lon)it! 1? #its %!e los 'ace más mane$a#les (ara el (ro(ósito e firma i)ital+

9tro as(ecto %!e se e#e tomar en c!enta es la caena e c!stoia, one se esta#lecen las res(onsa#iliaes y controles e caa !na e las (ersonas %!e mani(!len la eviencia, se e#erá re)istrar los atos (ersonales e toos los im(licaos en el (roceso e mani(!lación e las co(iasB •

Dóne, c!áno y %!in mane$o o examinó la eviencia, incl!yeno s! nom#re, s! car)o, n*mero e ientificación, fec'as y 'oras, etc+

•

!in est!vo c!stoiano la eviencia, !rante c!anto tiem(o y óne se almacenó+

•

!ano se cam#ie la c!stoia e la eviencia tam#in e#erá oc!mentarse c!áno y cómo se (ro!$o la transferencia y %!in la trans(ortó+

:5:

A!4li'i' de la Evide!"ia Di&ial

AFD Análisis Forense Di)italH, es !n con$!nto e (rinci(ios y tcnicas %!e com(rene el (roceso e a%!isición, conservación, oc!mentación, análisis y (resentación e eviencias i)itales y %!e lle)ao el caso (!ean ser ace(taas le)almente en !n (roceso $!icial+

4ste análisis se ará (or concl!io c!ano se conozca cómo se (ro!$o el ata%!e, %!in o %!ienes lo llevaron a ca#o, #a$o %! circ!nstancias se (ro!$o, c!ál era el o#$etivo el ata%!e, %! a2os ca!saron, etc+

Antes e realizar !n análisis se e#e tener en c!enta la si)!iente informaciónB aH /istema o(erativo afectao+ #H Inventario e softEare instalao en el e%!i(o cH 5i(o e 'arEare el e%!i(o H Accesorios yo (erifricos conectaos al e%!i(o

eH /i (osee fireEall fH /i esta en el ám#ito el DM ona esmilitarizaaH )H onexión a Internet+ 'H onfi)!ración+ iH .arc'es yo act!alizaciones e softEare $H .olíticas e se)!ria im(lementaas H Forma e almacenamiento e la información cifraa o noH lH .ersonas con (ermisos e acceso al e%!i(o mH 4l com(!taor esta entro el DM nH 4xiste ID/

1?

oH !antos e%!i(os en re se enc!entran conectaos+ (H 0istar !s!arios conectaos local y remotamente al sistema+

:5:59 Prepara"i#! para el a!4li'i'1 El e!ro!o de rabajo

4s im(ortante esta#lecer estaciones e tra#a$o (ara realizar las istintas (r!e#as y est!ios al s!r)ir !n caso, e(enieno el ata%!e o crimen cometio+ .ara ello se e#eráB -

lasificar el ti(o e inciente

-

/e)!ir el (roceso inter:e(artamental (ara el mane$o e las eviencias

-

Ientificar el ti(o e is(ositivo com(!taor, cel!lar, memorias, .DAKs, etc+H y las 'erramientas necesarias (ara s! análisis+

1?

ID/B las f!nciones %!e c!m(le el ID/ sonB Monitorea las activiaes a nivel e !s!ario o (rocesos y activiaes e !n sistema @ID/H, o las activiaes e !na re NID/H, ifrao e atos, 'ace !n ia)nostico com(leto el ata%!e y en al)!nos casos (!ee ar recomenaciones e cómo controlar el ata%!e+ ;>

4n las estaciones se e#erá o(erar e la si)!iente maneraB -

Montar imá)enes e iscos !ros+

-

Instalar /istemas 9(erativos (ara realizar el est!io e eviencias+

-

"ealizar co(ias exactas el isco !ro con la finalia e realizar (r!e#as y verificaciones conforme s!r$an las 'i(ótesis el ata%!e+

-

4n caso e no is(oner e rec!rsos se (!ee !sar e softEare (ara crear !na (lataforma e tra#a$o con varias má%!inas virt!ales+ 1<

-

/e (!ee crear !n entorno e tra#a$o 'i(ottico con las co(ias o#tenias (ara realizar la em!lación e los ata%!es+

:5:56 Re"o!'r%""i#! de la 'e"%e!"ia e(poral del aaK%e

-na vez esta#lecia la estación e tra#a$o, el (rimer (aso es crear !na línea tem(oral e s!cesos o timeline, (ara ello se e#erá reco(ilar la si)!iente información so#re los fic'erosB -

Marcas e tiem(o MAD fec'a y 'ora e moificación, acceso, creación y #orraoH+

-

"!ta com(leta el fic'ero+

-

5ama2o en #ytes y ti(o e fic'ero+

-

-s!arios y )r!(os a %!ien (ertenece el fic'ero+

-

.ermisos e acceso+

-

Ientificar si f!e #orrao o no+

4sta información es la %!e más tiem(o lleva reco(ilar (ero es el (!nto e (artia (ara el análisis+ 4s im(ortante (re(arar !n '"rip con la finalia e a!tomatizar el (roceso e creación el timeline+ 0!e)o e realizar lo antes mencionao se e#eráB 1< Má%!inas virt!alesB varios e%!i(os ló)icos ine(enientes f!ncionano so#re !n e%!i(o físico+ 4l softEare %!e se (!ee em(lear (ara la creación e (lataforma es VMEare+

-

9renar los arc'ivos (or s!s fec'as MA, esto se e#e realizar e#io a %!e los arc'ivos tenrán la fec'a e instalación el sistema o(erativo, (or lo %!e !n sistema %!e se instaló 'ace meses y %!e f!e com(rometio recientemente (resentará en los fic'eros n!evas fec'as MA m!y istintas a las e los fic'eros más anti)!os+

-

!scar

fic'eros y irectorios %!e 'an sio creaos, moificaos o

#orraos recientemente+ -

!scar instalaciones e (ro)ramas (osteriores a la el sistema o(erativo y %!e aemás se enc!entren en r!tas (oco com!nes+

-

!scar en l!)ares one no se s!ele mirar, (or e$em(lo en los irectorios tem(orales+

-

!scar los arc'ivos e sistema moificaos tras la instalación el sistema o(erativo, averi)!ar arc'ivos oc!ltos one se enc!entran y %!e ti(o son+

-

!scar arc'ivos #orraos, ya %!e (!een ser restos e lo)s y re)istros #orraos (or s!s atacantes+

-

4n las imá)enes realizaas a los iscos !ros se (!ee acceer al es(acio resi!al %!e 'ay etrás e caa arc'ivo ya %!e los mismos s!elen almacenarse (or #lo%!es, e tal manera %!e se (!ea leer zonas %!e el sistema o(erativo no ve+

-

"ec!(erar arc'ivos #orraos, al momento e 'acerlo, se e#erá intentar rec!(erar s! contenio y fec'a e #orrao+

-

4xaminar y las 'oras e manera más etallaa e los fic'eros lo)s y re)istros %!e ya se revisaron con la finalia e encontrar !na correlación entre eventos+

-

"evisar el arc'ivo e contrase2as, #!scar la creación e !s!arios y c!entas extra2as relacionar la 'ora e la creación e estas c!entas en caso e %!e existan con la 'ora en la %!e se inició el ata%!e al sistema+

:5:5: Deer(i!a"i#! de "#(o 'e reali2# el aaK%e

-na vez %!e se is(on)a e la caena e acontecimientos %!e se 'an (ro!cio, se e#erá eterminar c!ál f!e la vía e entraa al sistema, averi)!ano %! =1

v!lnera#ilia o fallo e aministración ca!só el a)!$ero e se)!ria y %!e 'erramientas !tilizó el atacante (ara a(rovec'arse e tal #rec'a+ .ara ello se e#eráB

-

om#inar cons!ltas a arc'ivos lo)s, re)istro, claves c!entas e !s!arios etc+

-

.restar atención a los servicios y (rocesos a#iertos, (!ertos a#iertos 5.-D.

y conexiones %!e ya se tomaron como eviencia volátil

c!ano el sistema esta#a a*n vivo+ -

4xaminar las circ!nstancias sos(ec'osas encontraas al inicio el ata%!e, y #!scar con ellas si son o no v!lnera#iliaes a travs e Internet, e$em(loB EEE+)oo)le +com, EEE+ cert +com, EEE+sec!rityfoc!s+com+

-

/i ya esta claro c!al f!e la v!lnera#ilia el sistema, se e#erá #!scar en Internet al)*n ex(loit v!lnera#ilia+

1C

anterior a la fec'a el ata%!e, %!e !tilice esa

-

"eforzar caa !na e las 'i(ótesis meiante la fórm!la ca!sa:efecto+

-

-tilizar la má%!ina cone$illo e IniasO con la finalia e realizar las (r!e#as y ex(loits encontraos+

-

om(ro#ar si la e$ec!ción el ex(loit so#re !na má%!ina i)!al a la atacaa, )enera los mismos eventos %!e se 'an encontrao entre las eviencias+

:5:5; Ide!i?i"a"i#! del a%or o a%ore' del i!"ide!e

-na vez %!e se eterminó como se infiltraron al sistema, a'ora se tiene %!e sa#er %!in o %!ienes lo 'icieron, (ara ello se e#erá cons!ltar n!evamente al)!nas eviencias volátiles %!e f!eron reco(ilaas en la (rimera faseB 1C 4x(loitB es !n (ro)rama informático malicioso, o (arte el (ro)rama, %!e trata e forzar al)!na eficiencia o v!lnera#ilia e otro (ro)rama llamaas #!)sH+ -n [ex(loit[ es !sao normalmente (ara ex(lotar !na v!lnera#ilia en !n sistema y acceer a l, lo %!e es llamao como [rootear[ tener (rivile)ios e root aministraorH+ /e (!een encontrar ex(loits en EE E+( aetstor mse c!r it y+or)

-

"evisar las conexiones %!e se encontra#an a#iertas, %!e (!ertos y %!e irecciones I. las solicitaron, a más e ello se e#erá #!scar entre las entraas a los lo)s e conexiones+

-

Ina)ar entre los arc'ivos #orraos %!e se 'an rec!(erao+

.ara Ientificar a los atacantes se e#e realizar al)!nas averi)!aciones como (arte el (roceso e ientificaciónB -

Averi)!ar la irección I. el atacante, (ara ello

se e#erá revisar

eteniamente los re)istros e conexiones e re, los (rocesos y servicios %!e se encontra#an a la esc!c'a+ 4sta información se (oría encontrar en fra)mentos e las eviencias volátiles, la memoria virt!al o arc'ivos tem(orales y #orraos, como restos e e:mail, conexiones fallias, etc+

-

Al a%!irir la irección I. sos(ec'osa, se e#erá com(ro#ar en el re)istro "I.4 N EEE+ r i( e+n et H a %!ien (ertenece, es im(ortante consierar %!e no se (!ee sacar concl!siones (remat!ras, e#io a %!e m!c'os atacantes falsifican la irección I. con tcnicas e s(oofin)

1>

+ 0os

atacantes tam#in (!een !tilizar orenaores zom#is, stos son com(rometios en (rimera instancia (or el atacante y (osteriormente son !tilizaos como instr!mentos el ata%!e final sin %!e s!s (ro(ietarios se(an %!e están sieno cóm(lices e tal 'ec'o+ .or ello, (ara ientificar a s! atacante tenrá %!e verificar y valiar la irección I. o#tenia+ -

/e (!ee em(lear tcnicas 'acer (ara ientificar al atacante ya %!e el e%!i(o el mismo e#e tener inevita#lemente !n (!erto %!e se enc!entre es(erano noticias o #!scano víctimas+ Nma( ca(ít!lo =H

-

Averi)!ar el (erfil el atacante, se (!ee encontrar con los si)!ientes ti(osB

1> /(oofin)B !so e tcnicas e s!(lantación e ientia )eneralmente con !sos maliciosos o e investi)ación+

=8

o

@acersB (ersonas con conocimientos en tcnicas e (ro)ramación, rees, Internet y sistemas o(erativos, s!s ata%!es son en sentio ieoló)ico y (acifista+

o

/cri(tRiiesB son (ersonas n!evas

%!e 'an saltao a la

escena e la elinc!encia informática recientemente+ /e trata e $óvenes %!e con !nos conocimientos ace(ta#les en Internet y (ro)ramación em(lean 'erramientas ya fa#ricaas (or otros (ara realizar ata%!es y ver %!e (asaO+

o

.rofesionalesB son (ersonas con m!c'ísimos conocimientos en len)!a$es e (ro)ramación, rees y s! e%!i(amiento ro!ters, fireEall, etc+H, Internet y sistemas o(erativos ti(o -NIT+

:5:5< Eval%a"i#! del i(pa"o "a%'ado al 'i'e(a

4l análisis forense ofrece la (osi#ilia e investi)ar %! es lo %!e 'an 'ec'o los atacantes !na vez %!e acceieron al sistema+ 4sto (ermitirá eval!ar el ata%!e cometio a los e%!i(os y realizar !na estimación el im(acto ca!sao+ Generalmente se (!een ar os ti(os e ata%!esB

9 AaK%e' pa'ivo'1 en los %!e no se altera la información ni la o(eración normal e los sistemas, limitánose el atacante solo a fis)onear+

6 AaK%e' a"ivo' B en los %!e se altera la información, y en ocasiones seriamente, la ca(acia e o(eración el sistema+

/e e#erá tener en c!enta los efectos y el im(acto %!e ca!se el ata%!e a sistemas, serviores e ases e Datos, serviores P4, cortaf!e)os, ro!ter con la finalia e ser !n a(orte, (resentano los a2os encontraos, al (ersonal e se)!ria

informática e la instit!ción atacaa o en *ltimo e los casos a la com(a2ía e se)!ros e la misma+

:5;

Pre'e!a"i#! de Evide!"ia Di&ial

67

4sta es la fase final e la investi)ación forense informática ya %!e se (resentan los res!ltaos y 'allaz)os el investi)aor+ 5an (ronto como el inciente 'aya sio etectao es im(ortante tomar nota so#re las activiaes %!e se llevan a ca#o, caa (aso ao e#e ser oc!mentao y fec'ao ese %!e se esc!#re el inciente 'asta finalizar

la (resentación, la misma e#e ser enteni#le, creí#le, confia#le y

convincente, es ecir se e#erá es(ecificar claramente los (roceimientos y las tcnicas !tilizaas (ara recolectar, (reservar y filtrar la eviencia e tal manera %!e sea le)almente ace(ta#le (ara ser (resentaas a las entiaes investi)aoras y $!iciales+

:5;59 Uili2a"i#! de ?or(%lario' de re&i'ro del i!"ide!e

0a a(licación e form!larios ay!ará a (resentar !na resol!ción el inciente meiante la (resentación e informes !no 5cnico y otro 4$ec!tivo+ 4stos form!larios e#en ser llenaos (or e(artamentos o entiaes afectaas o (or el e%!i(o %!e )estiona el inciente, los form!larios %!e se e#en (re(arar sonB o

Doc!mento e c!stoia e la eviencia+

o

Form!lario e ientificación e e%!i(os y com(onentes+

o

Form!lario e inciencias+

o

Form!lario e (!#licación el inciente+

o

o

7

Form!lario e reco)ia e eviencias+ Form!lario e iscos !ros+

0L.4 D40GAD9 Mi)!el, Análisis Forense Di)ital+ 9(+ it+ ( 7 AMA3A, "icaro 0eón, Informática ForenseB Generaliaes, as(ectos tcnicos y 'erramientas+

:5;56 I!?or(e T@"!i"o

4ste informe consiste en !na ex(osición etallaa el análisis efect!ao+ De#erá escri#ir en (rof!nia la metoolo)ía, tcnicas y 'allaz)os el e%!i(o forense+ De#erá contener, al menos, los si)!ientes (!ntosB

-

Anteceentes el inciente+

-

"ecolección e los atos+

-

Descri(ción e la eviencia+

-

4ntorno el análisis+ 

-

Descri(ción e las 'erramientas+

Análisis e la eviencia+ 

Información el sistema analizao+ •

aracterísticas el /9+

A(licaciones+

•

/ervicios+

•

V!lnera#iliaes+

•

Metoolo)ía+

•

-

Descri(ción e los 'allaz)os+

•

@!ellas e la intr!sión+

•

@erramientas !saas (or el atacante+

•

Alcance %!e 'a tenio el elito+

•

4l ori)en el ata%!e

-

ronolo)ía el elito+

-

oncl!siones+

-

"ecomenaciones es(ecíficas+

-

"eferencias+

:5;5: I!?or(e Eje"%ivo

4ste informe es !n res!men el análisis efect!ao a las eviencias i)itales, el mismo e#eráB -

/er reactao en !n len)!a$e com*n %!e sea le)i#le (ara c!al%!ier (ersona+

-

No ser escrito e manera tcnica+

-

4x(oner los 'ec'os más estaca#les e lo oc!rrio en el sistema analizao+

-

onstará e (ocas (á)inas, entre tres y cinco,

-

De#erá ser e inters (ara ex(oner lo s!ceio a (ersonal no es(ecializao en sistemas informáticos, como el e(artamento e "ec!rsos @!manos, Aministración, e incl!so al)!nos irectivos+

4n el mismo se e#e escri#irB -

Motivos e la intr!sión+

-

Desarrollo e la intr!sión+

-

"es!ltaos el análisis+

-

"ecomenaciones+

=<

CAPÍTULO ;

METODOLOGÍAS + ESTRATEGIAS EN .ASE A LA INFORM-TICA FORENSE

0as metoolo)ías %!e se !sen en la Informática Forense (!een ser iversas e ine(enientemente e las (lataformas o sistema o(eracional one se efect*en las activiaes e los investi)aores forenses en informática se e#e c!m(lir los si)!ientes re%!isitos con la información o eviencia ientificaa+ .ara las co(ias e la información se e#e !tilizar meios forenses estriles Mantener la inte)ria el meio ori)inal 4ti%!etar, controlar y transmitir aec!aamente las co(ias e los atos, im(resiones y res!ltao e la investi)ación+

De esta forma la eviencia no será re#atia y tam(oco escartaa como meio (ro#atorio+

;59

A!4li'i' de Sopore' > Di'po'iivo' Ele"r#!i"o'

0os so(ortes e almacenamiento, como los iscos, almacenamientos removi#les is%!etes, iscos I., D:"9M, DVD, etc+H+

.ara s! análisis se re%!iere !na

com(rensión com(leta tanto e la estr!ct!ra física y el f!ncionamiento e los meios e almacenamiento como la forma y la estr!ct!ra ló)ica e cómo se almacenan los atos+

0os is(ositivos electrónicos se refieren a c!al%!ier is(ositivo ca(az e )!arar información %!e (osea valor como eviencia+ Dentro e stos se (!ee incl!ir a los

telfonos cel!lares, a)enas y or)anizaores electrónicos, is(ositivos e com!nicaciones e re como ro!ters, '!#s, etc+ 4l análisis e estos is(ositivos es más com(le$o %!e rec!(erar los atos e los so(ortes, incl!sive el

'arEare

re%!erio es )eneralmente más es(ecializao+

.or tanto (or el am(lio alcance e la informática forense, están invol!craas varias ciencias y isci(linas como in)eniería electrónica, cri(to)rafía, in)eniería e softEare, com!nicaciones, erec'o, son áreas %!e en con$!nto 'acen (osi#le el análisis e los so(ortes e almacenamiento y is(ositivos electrónicos+

;56

A!4li'i' de la "o(%!i"a"i#! de dao'

.ara realizar el análisis e la com!nicación e atos, es im(ortante a#arcar os as(ectosB 1+ Intr!sión en !na re e com(!taoras o el mal !so e la misma+ 7+ Interce(tación e atos+ 4l análisis so#re estr!ct!ras e esta nat!raleza, consiste en las f!nciones si)!ientesB Detección e la intr!sión o interce(tación+ Detectar la eviencia, ca(t!rarla y (reservarla+ "econstr!ir e la activia es(ecífica o el 'ec'o en sí+ .ara la etección e la intr!sión o interce(tación )eneralmente se !tiliza softEare es(ecializao y en al)!nos casos 'arEare, (ara s!(ervisar la com!nicación e los atos y conexiones con el (ro(ósito e ientificar y aislar !n com(ortamiento ile)al+ Dic'o com(ortamiento incl!ye el acceso no a!torizao, moificación el sistema en forma remota y el monitoreo no a!torizao e (a%!etes e atos+

Des(!s el esc!#rimiento e la intr!sión o !n com(ortamiento anormal, se e#e ca(t!rar la eviencia, (ara %!e se (!ea conservar (ara el (osterior análisis+

0a reconstr!cción e la intr!sión o !n com(ortamiento anormal (ermite !n examen e toos los atos reco)ios !rante la ca(t!ra e la eviencia+

;5:

Meodolo&$a' > E'rae&ia'

.ara realizar !n análisis forense se re%!iere e !na metoolo)ía científica (ro#aa, y el !so e la tecnolo)ía is(oni#le (ara encontrar, recolectar, (rocesar e inter(retar atos, así como e !na c!iaosa ca!tela y e #!enos conocimientos+

0os com(onentes (rinci(ales %!e e#e c!m(lir !na metoolo)ía (ara !n análisis forense esB

Mar"o Cie!$?i"o1 Investi)aciones y ex(eriencias a(oyaas estrictamente en el mtoo científico+ Más allá e la fl!iez ar)!mentativa (ro(ia e caa (rofesional se e#e a(ortar estr!ct!ra ló)icas necesarias (ara $!stificar las f!namentaciones e manera estricta e irre#ati#le+

Mar"o Cri(i!al$'i"oB Interrelacionarse con los restantes es(ecialistas el área, interact!ar con los mismos, tra#a$ar en forma mancom!naa y en #ase a visiones es(ecíficas lle)ar a concl!siones co'erentes+ 9#tener los conocimientos necesarios (ara etectar, oc!mentar, (reservar y e ser necesario sec!estrar los elementos (ro#atorios (ro(ios e otras es(ecialiaes (resentes en el l!)ar el 'ec'o+

Mar"o I!?or(4i"o &e!eral1 las metoolo)ías e Análisis e /istemas, %!e se !tiliza en 'erramientas e !so )eneral se (!een aa(tar a las activiaes (ericiales informáticas+ 0as eta(as e relevamiento e información y esarrollo e !n moelo co'erente e análisis, se eviencian como instr!mentos aec!aos (ara #rinar so(orte metooló)ico a la activia el ex(erto en informática Forense+

Mar"o I!?or(4i"o e'pe"$?i"o1 en relación con las 'erramientas (ro(ias el análisis forense informático, e#en ser a#oraas ese las características más aec!aas %!e vayan con la realia e n!estra sociea, ya sean am#ientes e softEare li#re o softEare (ro(ietario+

Mar"o Le&al1 Im(lica la inserción le)al el accionar (ericial al conc!rrir al l!)ar el 'ec'o, los c!m(limientos e los (lazos le)ales, la conición e testi)o ex(erto, los artíc!los e las leyes vi)entes en n!estro (aís+

Al c!m(lir con los com(onentes metooló)icos nom#raos el Informe .ericial seráB •

ientíficamente f!namentao

•

riminalísticamente interrelacionao

•

Moelao meiante tcnicas (ro(ias el Análisis e /istemas+

•

Investi)ao con las me$ores 'erramientas is(oni#les+

•

Inserto en el marco le)al corres(oniente+

Meodolo&$a Si'@(i"a 0a investi)ación es !na serie activiaes tenientes a resolver !n (ro#lema es(ecífico y acotao, la metoolo)ía sistmica es !na e las más a(ro(iaas y act!alizaas (ara enfrentar ic'a tarea+

0os mtoos clásicos e in!cción, e!cción y a#!cción, toos ellos re!nios en el mtoo científico, constit!yen 'erramientas inevita#les y #ásicas en !na investi)ación, (ero la (lanificación )eneral es sistmica+

0os as(ectos a consierar entro e las metoolo)ías e la Informática forense sonB

•

Ase)!rar %!e nin)!na (ersona ten)a acceso a la com(!taora y a s!s alreeores+ /i es !na em(resa se e#e ientificar al (ersonal informático interno y a los !s!arios e a(licaciones es(ecíficas %!e e#en someterse a (erita$e+

•

/i la com(!taora se enc!entra encenia, foto)rafiar la (antalla+

•

/i la com(!taora se enc!entra a(a)aa, no encener ya %!e (!een activarse sistemas %!e estr!irán la información+

•

Des'a#ilitar la ener)ía ese s! f!ente o cerrar el sistema !sano los comanos el /istema 9(erativo, si son note#oos será necesario %!itarle la #atería+ 4l (erito informático eterminará la moalia e a(a)ao y esconexión elctrica+

•

Desconectar o es'a#ilitar el móem

•

Desconectar la f!ente e la im(resora

•

Insertar !n isette, c o v c!#ierto con cinta e eviencia

•

Antes e em(ezar con el (rocesamiento e la eviencia se e#e foto)rafiar !na toma com(leta el l!)ar one se enc!entran los e%!i(os, a las conexiones e toos los e%!i(os y l!e)o ia)ramarlas+ 4n al)!nos casos si es conveniente se (!ee realizar !na filmación+

•

"ot!lar toas la conexiones e los e%!i(os (ara (oer resta!rar la confi)!ración ori)inal

•

Foto)rafiar el área es(!s e %!e el )a#inete 'a sio removio

•

Investi)ar el área en #!sca e información relacionaa o e contrase2as+

•

/ec!estrar li#ros, notas, man!ales, softEare, iscos, sistemas e almacenamiento y too lo relacionao al sistema& y realizar !n inventario e lo sec!estrao+

•

.ara tocar el material informático se lo e#e 'acer con )!antes escarta#les ya %!e el o#$eto e la investi)ación (!ee ser el mo!se, teclao, Ds, DVDs, etc+ y (!ee servir (ara el análisis e '!ellas actilares, ADN, etc+

•

olocar los iscos en so#res e material %!e no con!zca la estática

•

Interro)ar a toos los sos(ec'osos

•

5rans(ortar la eviencia, no colocar elementos cerca e f!entes electroma)nticas raios (olicialesH

•

5raslaar la com(!taora a !n l!)ar se)!ro

•

"ealizar co(ias e se)!ria e los canales e #its, iscos rí)ios, etc+

•

0a eviencia es frá)il y (!ee ser alteraa o estr!ia fácilmente (or lo tanto la rec!(eración forense se e#e realizar en las co(ias y e esta manera se (orá (reservar la eviencia& solamente si es %!e existieran circ!nstancias extremas se (orá tocar la eviencia ori)inal+

A!tentificar matemáticamente la información e los /istemas e

•

Almacenamiento •

Antes e acceer a las (r!e#as se e#en re)istrar, es ecir realizar el 'as' el so(orte acceio+

•

!ano las ili)encias son realizaas en momentos %!e no son visi#les (ara com(ro#ar al)!nas circ!nstancias como antenas externas, conexiones con otros eificios, etc+, es recomena#le o(erar en 'oras %!e (receen al amanecer+

•

4l (erito informático e#e esc!c'ar !rante la o(eración, a las (ersonas %!e 'ayan lle)ao en (rimer trmino, ya %!e (orán ar testimonio e cómo se encontraron los cam#ios s!frios+

0a #ase e la metoolo)ía e tra#a$o e !n informático forense es el ver más allá e lo visi#le+

0a investi)ación no e#e limitarse solo en el l!)ar ese óne se accee a la información o one se enc!entra almacenaa la misma& e#e extenerse a too s! contorno y l!)ares ayacentes+

M@odo E'piral1 -na manera e 'acer la ins(ección es meiante la forma %!e se enomina es(iral, ese af!era 'acia aentro+ /i el 'ec'o está en el interior e !n l!)ar entonces la ins(ección se e#e ar ese las (arees 'asta lle)ar al sitio (rinci(al+

M@odo C%adr$"%la1 !ano el sitio es m!y )rane se lo fracciona en c!aríc!las, (osteriormente se revisa las c!aríc!las con el mtoo es(iral+ 0as fracciones serán iviias en #ase a las istancias %!e se enc!entran los elementos, así como tam#in las imensiones el l!)ar& las c!ales e#en ser calc!laas con exactit! no a sim(le vista o meiante (asosH+ 0a -nia e Análisis Forense e la .olicía Nacional, al em(lear ste mtoo e#e iviir las ins(ecciones e los l!)ares anexos al (ersonal e la -nia, al momento e encontrar al)*n inicio, no se e#e tocar, com!nicar el esc!#rimiento y se s!$etarán a la acción a tomar (or ecisión el Jefe e la -nia+ No se e#e s!#estimar !na o(inión y tam(oco !n ato (or s! a(arente o#viea+ 4n la investi)ación e los 'ec'os elictivos too lo %!e se enc!entra el l!)ar el s!ceso sirve, naa e#e escartarse como in*til

;5:59 Se"%e'ro' de EK%ipo'

.ara !n análisis forense e#emos contar con res!ltaos (revisi#les e máxima y mínima, %!e nos ase)!ren contar con la (r!e#a necesaria+ /e e#e (roceer a accionar !na a(roximación, acceso, (rotección y sec!estro e los e%!i(os o atos (retenios+ 4l sec!estro e e%!i(os tiene carácter (rocesal y sirve (ara %!e el J!ez ase)!re las (r!e#as y se e veracia en los res!ltaos el $!icio+

.ara el sec!estro e e%!i(os se e#e ientificar caa !no e los is(ositivos com(!tacionales, siem(re es (referi#le sec!estrar is(ositivos informáticos %!e almacenan )ranes vol*menes com(!taoras, note#oos, iscos rí)ios externosH tam#in (!ee sec!estrarse DVD, Ds, iscos i(,etc+ y entornos e re+

/e e#e rot!lar el 'arEare %!e se va a sec!estrarB •

.ara com(!taoras, note#oos, (almto(s, cel!lares, etc+B

o

o

o

o

•

N*mero el 4x(eiente J!icial Fec'a y @ora N*mero e serie Fa#ricante moelo

.ara DVDs, Ds, Disettes, iscos i(, etc+B

o

Almacenarlos en con$!nto en !n so#re antiestático

o

N\ el 4x(eiente J!icial

o

o

5i(o DVDs, Ds, Disettes, iscos i(, etc+H antia+

!ano se necesite sec!estrar (erifricos es(ecíficos conectaos a los e%!i(os informáticos se e#e ientificar con eti%!etas con n*meros los ca#les (ara mostrar óne se e#en conectar y tam#in e#en ser foto)rafiaos los e%!i(os con s!s res(ectivos ca#les e conexión eti%!etaos+

.ara %!e !na investi)ación sea efectiva es esencial sa#er concretamente %!e se va a inca!tar (ara (roceer a em#alar y trans(ortar correctamente los meios com(!tacionales, la información e los e%!i(os e#e ser levantaa e la manera más ca!telosa, (osterior a esto se a (aso a la caena e c!stoia, la c!al tiene

como o#$etivo )arantizar la inte)ria e los atos en los meios e almacenamiento ori)inales !rante toa la investi)ación y e esta manera ase)!rar la amisi#ilia e las (r!e#as+ D!rante el (roceso e ca(t!ra, se realizará la co(ia exacta #it a #it, ese ese momento se tra#a$ará *nicamente so#re la ima)en forense+

/e e#e consierar la c!stoia, ya %!e m!c'as veces existen inivi!os %!e o(eran e%!i(os %!e 'an sio sec!estraos, estr!yeno así la eviencia y si no son correctamente vi)ilaos serán fácilmente com(rometios+

; 5:56

Di'"o' D%ro'

Generalmente la escena el crimen es el isco !ro, (or lo %!e 'ay %!e evitar c!al%!ier sit!ación %!e (!ea alterarlo y se (ieran (istas im(ortantes e la intr!sión, es necesario tomar notas e lo %!e se 'ace con el isco !ro y a %! 'ora, 4ste análisis no sólo #!sca arc'ivos incriminatorios, sino tam#in otra información valiosa como (assEors, lo)ins y rastros e activia en Internet, etc+

4n el momento %!e se tra#a$a con el meio ori)inal se tenrá %!e estar acom(a2ao el ele)ao a constatar los efectos le)ales+

0as co(ias e#en ser realizaas #it a #it imá)enes el iscoH+ 0a investi)ación se 'ará so#re la co(ia y no so#re el ori)inal+ 4s recomena#le 'acer tres co(ias el isco !ro ori)inal y 'acer !na verificación cri(to)ráfica, !n c'ecs!m+ 5am#in realizar !m(s e memoria y almacenarlos al i)!al %!e los iscos+

Fi)!ra ;+1 o(ia e Disco D!ro

3a so#re la co(ia, es necesario !tilizar tcnicas e #*s%!ea (ara ientificar activiaes el intr!so, como el !so e arc'ivos es(ecíficos, (ala#ras claves, arc'ivos creaos, moificaos o #orraos, *ltimos accesos, confi)!raciones sistema y e !s!ariosH, revisar #itácoras, analizar li)as existentes e acceso irecto a a(licaciones, arc'ivos o is(ositivos, etc+

/e (!ee #asar en los cooies y en los arc'ivos tem(orales e Internet (ara intentar eterminar s!s 'á#itos e nave)ación+

.ara (oer e!cir las a(licaciones instalaas o !tilizaas se e#e analizar los arc'ivos tem(orales %!e se )eneraron+

A travs el s(ool e im(resión el sistema se (!ee eterminar si el atacante im(rimió arc'ivos+ 0os arc'ivos )eneraos PinoEsH (ara im(resión tienen la extensión /.0 o /@D+ Al #!scar estos arc'ivos es (osi#le o#tener información como el nom#re el arc'ivo im(reso, el (ro(ietario, la im(resora !tilizaa y los atos im(resos+

4l #!scar arc'ivos #orraos, #!scar #itácoras y arc'ivos sos(ec'osos meiante 'erramientas e softEare y tcnicas es(eciales (oemos rescatar atos %!e nos (!een )!iar en la investi)ación+ ?<

;5:5:

Si'e(a' Operaivo'

4xisten iversas metoolo)ías y !na )ran cantia e 'erramientas %!e (!een ser e$ec!taas #a$o la los iferentes sistemas o(erativos (ara (oer realizar !na investi)ación correcta, contano %!e se e#e analizar la variea e formatos e arc'ivos, los c!ales (!een variar si)nificativamente a*n entro el contexto e !n sistema o(erativo+

.ara cons!ltar los arc'ivos e re)istro el sistema y lo)s en #!sca e entraas y avisos so#re fallas e instalación, accesos no a!torizaos, conexiones erróneas o fallias, etc+, e(ene e la (lataforma (ara la !#icación e estos arc'ivos+

Mi"ro'o? i!do'1 .ro(orciona !n entorno one se (!ee verificar si las a(licaciones son se)!ras+

0os (asos a se)!ir son los si)!ientesB :

Men*B @erramientas aministrativas

:

Visor e s!cesos

:

4l e servicios o

:

Directiva e se)!ria social

5am#in en el re)istro e PinoEs se enc!entra )ran cantia e información, se (!ee !tilizar la a(licación el sistema re)eit+exe o las si)!ientes 'erramientasB :

"e), %!e (ermite cons!ltar al re)istro sin moificarlo

:

"e)m(, ex(orta el re)istro en formato e texto (lano +txtH

De#io a la )ran cantia e información %!e almacena y se mezcla, se e#e ser c!iaoso y es recomena#le em(ezar (or #!scar en las claves el re)istro "!n, "!n9nce, "!n9nce4x, "!n/ervices, "!n/ervices9nce, Pinlo)on, ya %!e #a$o ?C

estas claves se enc!entran los (ro)ramas, servicios y a(licaciones %!e se car)an al inicio el sistema, y es one se (!ee ver al)o sos(ec'oso+

;5:5:59 File 'la" 0os arc'ivos son creaos en varios tama2os e(enieno e lo %!e conten)an+ 0os cl*sters son #lo%!es e tama2o fi$o one los sistemas D9/, PinoEs >=>CM4T.VI/5A y PinoEs N5 almacenan los arc'ivos, no es com*n %!e el tama2o e los arc'ivos coincia totalmente con el tama2o e !no o varios cl!sters+ 4l tama2o e los cl*sters varía (or s! lon)it!, esto e(ene el sistema o(erativo+ 4n PinoEs >=>CM4T. e(ene el tama2o e la (artición ló)ica invol!craa+

/e enomina file:slac al es(acio e almacenamiento e atos %!e se a ese el final el arc'ivo 'asta el final el cl*ster+ 0os cl!sters están com(!estos (or #lo%!es e sectores y si no 'ay s!ficientes atos en el arc'ivo (ara c!#rir el *ltimo sector el arc'ivo D9/PinoEs iferencia 'acia arri#a los atos com(letano el es(acio restante con atos %!e se enc!entran en ese momento en la memoria el sistema+ .or lo tanto !n tama2o más )rane en los cl!sters si)nifican más file slac y tam#in mayor (ria e es(acio e almacenamiento y esta e#ilia e la se)!ria el com(!taor crea !na venta$a (ara el investi)aor forense, (or%!e el file slac es !na f!ente si)nificativa e (istas y eviencia ya %!e contiene octetos e atos aleatoriamente seleccionaos e la memoria el com(!taor+

;5:5:56 Ar"Hivo Sap 0os sistemas o(erativos PinoEs !tilizan !n arc'ivo es(ecial nom#rao /Ea( e PinoEs o Directorios e .á)ina e PinoEs en el sistema o(erativo PinoEs N5+ 4l tama2o e estos arc'ivos se extiene ese 7M a 7M, el o#$etivo e estos arc'ivos es contener arc'ivos so#rantes el tratamiento e los (rocesaores e texto, los mensa$es electrónicos, la activia en Internet cooies, etcH, lo)s e entraas a

#ases e atos, etc+ 4s !n (ro#lema e se)!ria ya %!e se a !n almacenamiento trans(arente, (ero estos (ro(orcionan a la investi)ación forense )ranes (istas+

;5:5:5: U!allo"aed File Spa"e .ara el #orrao e arc'ivos solamente si se 'a !tilizao al)!na 'erramienta es(ecializaa se (orá ar efectivamente caso contrario c!ano los arc'ivos son #orraos o s!(rimios en D9/, PinoEs, el contenio e los arc'ivos no son #orraos veraeramente ya %!e estos (ermanecen en !n área llamaa es(acio e almacenamiento no:asi)nao -nallocate File /(aceH+ .or lo tanto a!n%!e los atos no sean visi#les si)!en existieno y (!een ser revelaos con 'erramientas forenses+

UNILi!%31 /e is(one e !na serie e arc'ivos e re)istro lo)sH, )eneralmente en el irectorio varlo), en la si)!iente ta#la se escri#e a los arc'ivos más im(ortantesB

Ar"Hivo' de Re&i'ro

De'"rip"i#!

varlo)messa)es

ontiene los mensa$es )enerales el sistema

varlo)sec!re

G!ara los sistemas e a!tenticación y se)!ria

varlo)Emt(

G!ara el 'istorial e inicio y cierres e sesión (asaas

varr!n!tm(

G!ara !na lista inámica e %!in 'a iniciao la sesión

varlo)#tm(

G!ara c!al%!ier inicio e sesión fallio o erróneo

5a#la ;+1 Arc'ivos e "e)istro en -nix0in!x

<

a$o el irectorio var se enc!entran los (ro(ios arc'ivos e re)istro e los (ro)ramas y a(licaciones+ /e enc!entran en moo texto y se (orá #!scar inicios el ata%!e meiante !n eitor o visor e texto+

A contin!ación se (resenta !n fra)mento e !n arc'ivo varlo)messa)es en !na má%!ina acometia+

Fi)!ra ;+1 Fra)mento e !n Arc'ivo e "e)istro

4n la entraa c!arta y %!inta el arc'ivo se (!ee notar !na moificación ya %!e se ve !n salto en la sec!encia e fec'as, tiene os entraas con fec'a el 77 e enero tras os entraas con fec'a el 78 e enero+

A!n%!e estos etalles no son eterminantes, si (!een ser inicios %!e ini%!en %!e los sistemas esta#an sieno ca!sa e !n trasteo+

0os arc'ivos e claves, !s!arios y )r!(os tam#in (!een ay!ar (ara la #*s%!ea e eviencias, se (!een encontrar en  etc (assE,  etc s'aoE+ Aemás e estos arc'ivos e re)istro, tam#in (!een contener inicios los arc'ivos e claves, !s!arios y )r!(os, los c!ales se (!een encontrar en el irectorioB etc(assE, etcs'aoE,etc)ro!(+

Al eitar el arc'ivo root +#as']'istory se (!ee o#tener los comanos e$ec!taos (or el !s!ario root+

;5:5;

.a'e' de Dao'

.ara iniciar el análisis forense en !na ases e Datos, (rimero es necesarios conocer el iccionario e atos e la misma, ya %!e este (osee ta#las con información im(ortante e la ase e Datos tal comoB •

Información el estao y creación e la ase e Datos+

•

Información e !s!arios creaos y roles asi)naos+

•

Información e !s!arios %!e acceen a la ase e Datos y a s!s o#$etos ta#las, ínices, (roceimientosH

4s m!y im(ortante %!e el informático forense (osea conocimientos #ásicos en la e$ec!ción e cons!ltas /0, y los nom#res más im(ortantes e los atri#!tos e caa ta#la %!e forma (arte el iccionario e atos+

4l tra#a$o e la Informática forense (ara encontrar al)*n ti(o e eviencia en !na ase e Datos se tiene %!e ar tanto en la ca(a física como ló)ica+ De#io a %!e en la ca(a física se enc!entran arc'ivos e la D %!e resien en isco y en la ca(a ló)ica se enc!entran las estr!ct!ras %!e ma(ean los atos 'acia esos com(onentes físicos+

0os (rimeros arc'ivos %!e se e#en verificar y est!iar s! estao es(!s el ata%!e en la ca(a física e la ase e Datos sonB •

0os (rimeros arc'ivos %!e se e#en revisar son los control files, ya %!e estos arc'ivos contienen información e la !#icación e los atafiles y reo lo)

•

4n la a(a física se enc!entran los atafiles, estos almacenan toa la información almacenaa en la D, (or ello es(!s e com(ro#ar el estao e los control files se e#erá analizar en la D el estao e los atafiles, ya %!e m!c'os o#$etos ta#las, ínicesH (!een com(artir varios atafiles, y la eviencia (!ee encontrases entre esas ta#las+

•

4n caso e %!e el atacante realizo al)*n ti(o e a2o en la D, se (!ee ac!ir al !so e los arc'ivos reo lo) es'acerH los mismos almacenan información %!e se !tiliza (ara la rec!(eración e la D en caso e falla, estos arc'ivos almacenan la 'istoria e cam#io e la D y son *tiles c!ano se re%!iere corro#orar si los cam#ios %!e la D ya 'a confirmao, se 'an efect!ao realmente en los atafiles+

.osterior a verificar los estaos e los arc'ivos en la ca(a física se (rocee 'a la ca(a ló)ica, en ella se enc!entra el es%!ema e la ase e Datos, el c!al consiste e o#$etos como ta#las, cl!sters, ínices, vistas, (roceimientos, sec!encias, entre otros, con ello se (!ee com(ro#arB •

0as ta#las existentes, si se #orro o moifico al)!na ta#la y %!e !s!raos tienen acceso a ellas, e tal manera %!e si !n !s!ario %!e solo tiene acceso al e(artamento financiero y este (!ee in)resar a información el e(artamento e a!itoría, entonces ya existe !na anomalía+

;5:5<

Tel@?o!o' (#vile' > arjea'

!ano se o#tiene como eviencia !n telfono móvil, #lac#erry o .DA, es im(ortante evitar com!nicaciones salientes o entrantes el is(ositivo (ara evitar la moificación el estao en el %!e se enc!entra y tam#in evitar el tráfico entrante %!e (!iera so#rescri#ir re)istros 'istóricos o mensa$es existentes+

4xisten os o(ciones al momento e inca!tar !n is(ositivo e este ti(oB •

Mantenerlo encenio (ero aislao e la re+

•

A(a)ar el is(ositivo+

0a (rimera o(ción e mantenerlo encenio y con !na #olsa aislante se consi)!e %!e el is(ositivo e$e e estar conectao a la re+ .ero estos is(ositivos al no encontrar (ortaora (ara com!nicaciones, a!mentan s! (otencia e emisión y la frec!encia con la %!e intenta #!scar re, (or lo tanto la via e la #atería se acorta+ 4n cam#io la se)!na o(ción tenemos !n (ro#lema aicional ya %!e la mayoría e las veces estos is(ositivos están (rote)ios meiante contrase2as o cói)os .IN+ 3 nos tocaría investi)ar contrase2as o irr!m(irlas+

/e (!ee o(tar (or varias salias, ya %!e existen casos %!e en %!e !tilizar f!entes e alimentación (ortátil al ser almacenaas con el is(ositivo en la #olsa aislante res!lta efectivo (ara re!cir el cons!mo e la #atería+

.ara la (ericia e la telefonía móvil se tiene la información %!e contiene el móvil en s! memoria interna y en s! /IM, y la %!e a(orta la o(eraora e telefonía móvil+ /i la tar$eta /IM está #lo%!eaa meiante vía $!icial se (!ee solicitar el n*mero .-NR a la o(eraora, tam#in se (!ee solicitar las llamaas entrantes, salientes, mensa$es cortos y #!zón e voz, too en e(enencia el tiem(o %!e caa o(eraora lo almacene en s!s #ases e atos+

-na ay!a (ara sta área serían los ma(as e localización el móvil !rante s! !so en relación al (osi#le 'ec'o elictivo+

/e (!ee tener el caso e móviles en mal estao, los c!ales e#en someterse a !n (roceso e re(aración y ensam#la$e e com(onentes (ara (onerlo en f!ncionamiento y meiante softEare es(ecializao o#tener los atos almacenaos en la memoria interna+ .ara la investi)ación forense es m!y im(ortante el análisis el telfono móvil ya %!e se 'a convertio en !n a(arato tan !sao como las com(!taoras, ya %!e act!almente m!c'os e estos cel!lares ya tienen las f!nciones (rinci(ales e !n com(!taor+

0os telfonos móviles, las a)enas electrónicas, etc+, )!aran y (rocesan cantiaes si)nificativas e atos+

4l examinar estos is(ositivos m!c'as veces con!ce a

investi)aciones relacionaas con la ro)a ya %!e )eneralmente los narcotraficantes sos(ec'osos se 'an acost!m#rao a !sar estos is(ositivos (ara )!arar los nom#res el contacto y n*meros e clientes+

0as a)enas electrónicas (ermiten el

almacenamiento e cantiaes )ranes e atos %!e (!een (rote)erse (or meio e !na contrase2a+

0as tar$etas inteli)entes, no sólo tienen la ca(acia (ara )!arar cantiaes im(ortantes e atos, sino tam#in (ara (rocesar y ase)!rar atos en !n solo c'i(, esto a)re)a com(licaciones al (roceso el examen forense, (ero así como la tecnolo)ía e la tar$eta inteli)ente es sofisticaa, tam#in lo son los (rocesos forenses (ara analizar y extraer los atos+

;5:5B

A!4li'i' de 'i'e(a' vivo'

/i se enc!entra el e%!i(o vivo y se (!ee mantenerlo !n (oco más, se a inicio en se)!ia a la reco(ilación e eviencias G!ía e Informática Forense (ara la .olicía NacionalH+

/e e#e esta#lecer el si)!iente oren e volatilia y s! reco(ilación, e esta manera se ará (rioria en !n sistema vivo+ •

"e)istros y contenios e la cac'

•

ontenios e la memoria

•

4stao e las conexiones e re, ta#las e r!tas

•

4stao e los (rocesos en e$ec!ción+

•

ontenio el sistema e arc'ivos y e los iscos !ros+

•

ontenio e otros is(ositivos e almacenamiento+ 4s im(ortante rec!(erar atos el sistema en tiem(o realB :Fec'a y 'ora :.rocesos activos+ :onexiones e re+ :.!ertos 5.-D. a#iertos y a(licaciones asociaas a la esc!c'aO+ :-s!arios conectaos remota y localmente+

0a información volátil es e vital im(ortancia (or lo tanto no se e#e almacenar en el e%!i(o com(rometio (ara s!(!estamente rec!(erarla más tare (ara s! análisis, esta se (!ee (erer ense)!ia+

Al momento %!e se o#tiene la información volátil se e#e reco(ilar la información contenia en los iscos !ros+

;+; GUÍA INFORM-TICA FORENSE APLICADA PARA LA POLICÍA NACIONAL

0a Informática Forense es !na cien cia relativamente n !eva y no existen estánares ace(taos, a!n%!e al)!nos (royectos están en esarrollo, como el ;.DF ói)o e .rácticas (ara Di)ital ForensicsH, Man!al e ói)o A#ierto (ara om(!tación Forense, las G!ías e 4stánares, @a#iliaes y @erramientas e la I94 International 9r)anization of om(!ter 4vienceH y el tratamiento e la 4viencia Di)ital etallao en el "F 877<, %!e f!e emitia (or la Internet /ociety y la I45F+

0as metoolo)ías !saas (or (arte e los .eritos Informáticos Forenses e(enen e la estrate)ia el .rofesional, e lo %!e está (ermitio 'acer 'asta los límites %!e im(one la 0ey e caa .aís y e los meios %!e tiene (ara realizar la investi)ación forense+ .ara se)!ir !na correcta metoolo)ía se recomiena se)!ir los lineamientos e la I94 y el "F 877<+

Prop%e'a de %!a G%$a de .%e!a' Pr4"i"a e! I!?or(4i"a Fore!'e Para la Poli"$a Na"io!al del E"%ador

0a )!ía %!e se etalla a contin!ación está #asaa en metoolo)ía científica y orientaa es(ecíficamente a la .olicía Nacional el 4c!aor se)*n los elitos informáticos y las leyes vi)entes en la onstit!ción e la "e(*#lica el 4c!aor+

4l o#$etivo es se)!ir !n oren aec!ao (ara intervenir ante !n elito y análisis el mismo en #ase al ti(o e eviencia i)ital encontraa+

0a )!ía tiene el si)!iente contenioB

• • • •

•

.re(aración (ara ac!ir al inciente Inicio el Análisis forense, efinición e escenario y ti(o e eviencia .roceso e ientificación y f!ente e la informaciónB escenarios, acciones+ .resentación e las metoolo)ías y tcnicas !saas al esc!#rir !na eviencia, form!larios, informes+ Anexos )losario, foto)rafías y ia)ramasH

0a metoolo)ía (ara ar inicio a la Investi)ación Forense se #asa en !na metoolo)ía sistmicaB Ins(ección 9c!lar riminalísticaO+

Fi)!ra ;+7 Metoolo)ía .ericial Informática Forense

95 ReK%i'ioria Peri"ial

0a re%!isitoria (ericial (roviene el Fiscal el Ministerio .*#lico, la .olicía J!icial esi)na !n a)ente (ara el caso %!ien informa al Jefe e la .olicía J!icial y (osteriormente se (resenta al A)ente Fiscal las (r!e#as re!nias (ara %!e el J!ez ictamine la etención al inivi!o invol!crao en el caso+

65 E!revi'a a"laraoria

.ara la o#tención e !na (r!e#a i)ital, el (rinci(al (!nto e acción es en el momento e la ins(ección oc!lar en el inciente, sin em#ar)o (ara alcanzar los res!ltaos (retenios es necesario realizar !na (lanificación (revia aec!aa+

0a entrevista (ermite o#tener información %!e (osi#ilita analizar los sistemas informáticos invol!craos, com(onentes físicos invol!craos, normas e se)!ria, crono)ramas e activiaes, istri#!ción física el (ersonal, or)ani)rama e la em(resa, etc+, %!e facilita la (lanificación e las acciones necesarias (ara acceer al l!)ar, recolectar la (r!e#a, (rote)erla y traslaarla al l!)ar e análisis+ ^ No se puede generar acciones que prevengan a los involucrados]

:5 I!'pe""i#! O"%lar

Pa'o 95 -

Doc!mentar meiante acta, cro%!is y foto)rafías too lo %!e se enc!entra en el l!)ar el 'ec'o+

[odo sirve, nada de!e descartarse, aun cuando se crea que no tiene relación con el "ec"o ocurrido]. [odo es importante# rastros, "uellas, manc"as, pisadas, colillas de cigarrillos, impresiones dactilares, roturas, impactos, condiciones de los elementos evaluados, por e$emplo equipos a!iertos o cerrados, %a$as de seguridad rotas, ca!les sueltos, equipos de cone&ión o distri!ución a!iertos o cerrados, elementos pró&imos al 'rea de tra!a$o, al parecer desconectados o sin relación con los equipos, equipos de captura de video, de comunicaciones, de impresión, de almacenamiento, de alimentación el(ctrica, etc.]. [No pasar, no tocar, no mover, no encender, no a!rir, no pisar y no importunar a los dem's peritos, o!servar cr)ticamente y documentar].

Pa'o 65 -

"ealizar !n relevamiento (revio+ "e)istrar la 'ora exacta en %!e se reci#e la com!nicación solicitano la (resencia e la .olicía la 'ora en %!e se lle)a al l!)ar el 'ec'o %!in o %!ines ya se encontra#an en el mismo testi)os %!e se 'allaren, (ersonas %!e acom(a2an o iri)en las activiaes, sistemas e se)!ria fran%!eaos (ara lle)ar al l!)ar, sistemas e se)!ria activos en el momento e arri#ar+

[Nada de!e de$arse li!rado al azar] [No podemos !asarnos en la memoria propia ni a$ena] [odo de!e contarse, medirse, anotarse, registrarse, %otogra%iarse, en los medios disponi!les *anotador de papel o electrónico+,los papeles sueltos no sirven se deterioran o se pierden] [ 4l tra#a$o e#e efect!arse sin (risa, (ero sin (a!sa ] [No se puede ignorar las actividades del resto de colegas pro%esionales de la criminal)stica]

SITUACIONES POSI.LES Si%a"i#! 91 /e esarrolla e manera confiencial+ /e 'an iniciao las act!aciones y l!e)o se 'a eciio intervenir, etectar y sec!estrar la (r!e#a+

Pro"eder a area' de Releva(ie!o I!?or(4i"o5 Si%a"i#! 61 /e esarrolla en l!)ar %!e se esconoce y el (erito no 'a tenio tiem(o (ara realizar !na (lanificación aec!aa+

Pro"eder a area' 'i! Previa Pla!i?i"a"i#! Si%a"i#! :1 /e esarrolla en el l!)ar y no se tiene a!torizao a retirar elementos el mismo, es ecir e#e tra#a$ar en el l!)ar+

Pro"eder a area' e! el Propio L%&ar TAREAS DE RELEVAMIENTO INFORM-TICO I5 5omar contacto con las (ersonas %!e intervienen (enales, civiles, comerciales, la#orales, aministrativos, etcH, extraer toa la información is(oni#le en los mismos+

II5 5omar contacto con toas las (ersonas no invol!craas como sos(ec'osas en la investi)ación, %!e (!ean a(ortar atos so#re el l!)ar, las (lataformas instalaas, los sistemas o(erativos en !so, los mecanismos e (rotección instalaos, la estr!ct!ra e se)!ria informática el l!)ar física y ló)icaH+

III5 5ratar e acceer a !n (lano el l!)ar a ser ins(eccionao no sólo e la 'a#itación en c!estión, sino e too el eificio invol!craoH+ o

.lanos e istri#!ción e re

o

.lanos e istri#!ción elctrica [e podr' plani%icar por anticipado la ruta de acceso m's segura y r'pida al lugar a ser inspeccionado, realizando las acciones necesarias para la protección de la prue!a e impidiendo las acciones maliciosas so!re la misma_+

IV5 .lanificar el momento e acceer al l!)ar [-ecomenda!le "oras de la madrugada *entre tres y cinco de la mañana+, generalmente los recursos "umanos, se enc uentran menos activos a estas "oras].

V5 5omar (revisiones, evita (rias y estr!cciones e información innecesarias+ 4s conveniente contar con !n (lan alternativo, si (or !n acaso el (rinci(al falla [na puerta que no se a!re, un acceso que "a sido eliminado o modi%icado, la remodelación de una o%icina, sala de servidores, cone&ión, etc.]

VI5 /e e#e contar con res!ltaos (revisi#les e máxima y mínima, %!e ase)!ren contar con la (r!e#a necesaria+ [i se detectan di%icultades reales, para alcanzar el o!$etivo de m)nima, es necesario %ormular otro plan de apro&imación, acceso, protección y secuestro de los datos pretendidos].

VII5

/i no se tiene acceso (osi#le al l!)ar, se (!ee rec!rrir a las tcnicas e in)eniería social+

VIII5 5oas las meias e#en ser informaas y a!torizaas (or el $!ez o fiscal interventor+

I5 Al ac!ir al l!)ar se e#e 'acer con los elementos necesarios (ara realizar toas las tareas %!e conlleva la investi)ación forense+

5 -tilizar el it e 'erramientas forense ^a(+ =+ (!ntos =+7+1_ I5 /e e#e e%!i(ar con los si)!ientes elementosB o

0internas o (royectores y (ilas o #aterías s!ficientes il!minación accesoriaH

o

ámara i)ital con zoom, (ara (oer realizar am(liaciones macrofoto)ráficas e los elementos %!e se necesite oc!mentar+

o

-n )ra#aor e #olsillo con micrófono isim!la#le cor#ateroH

o

-na #r*$!la (ermite orientar los cro%!isH

o

-na cinta mtrica entre = y 1 metrosH

o

-na (lomaa (ermite meir istancias e !n o#$eto elevao 'asta el (iso (or !na sola (ersonaH

o

-n c!aerno c!aric!lao, (ara los cro%!isH

o

/o#res e (a(el e iversos tama2os

o

/o#res (lásticos e istintos tama2os con cierre incor(oraoH

o

"ót!los a!toa'esivos

o

-na l!(a e tama2o cómoo (ara !tilizar en es(acios re!cios

o

-n imán extensi#le (ara retirar elementos metálicos el interior e los e%!i(osH

o

-n es(e$o (e%!e2o

o

Marcaores al a)!a (ara estacar elementos o marcas

o

Gasa y cinta a'esiva, (ara realizar (e%!e2os envoltorios

o

Varios (ares e )!antes e cir!)ía, tra#a$ar siem(re con ellos

TAREAS SIN PREVIA PLANIFICACI/N I5 A(rovec'ar el via$e 'acia el l!)ar (ara relevar toa la información (osi#le antes e efect!ar el in)reso+

II5 "ealizar !n relevamiento lo más (rof!no en c!anto a tiem(o se ten)a is(oni#le+

III5 .re)!ntar so#re la nat!raleza e las acciones (retenias y a!torizaas (or el $!ez o fiscal interventor+ ^ /l encuadre legal del perito in%orm'tico es imprescindi!le_

IV5 Al ac!ir al l!)ar se e#e 'acer con los elementos necesarios (ara realizar las tareas

V5 4l (erito e#e act!ar en el l!)ar realizano co(ias e la información, no (!ee retirar los elementos (or%!e tienen %!e estar en caena e c!stoia y con a!torización se (!een retirar+

TAREAS EN EL PROPIO LUGAR I5 Al ser !n caso com(licao se re%!iere e 'a#ilia, ca(acia (rofesional, inteli)encia (ráctica y a(tit! investi)ativa

II5 /on los casos más raros C8

III5 /e e#e ser metic!loso, tomar too el tiem(o (osi#le IV5 Analizar las (r!e#as a (rof!nia V5 4l am#iente (!ee ser montao (ara en)a2ar al (erito+ VI5 9#tener !na co(ia e la (r!e#a analizaa VII5

9(inar c!ano se est com(letamente se)!ro

VIII5 4stos casos, se an )eneralmente en am#ientes %!e contienen información altamente sensi#le (ara !n eterminao or)anismos, instit!ción o em(resa+ ^"e)istros e #ases e atos e or)anismos )!#ernamentales, militares, e f!erzas e se)!ria, e estr!ct!ras reli)iosas o (olíticas, etc_+

DETECCI/N* IDENTIFICACI/N* RECOLECCI/N + TRASLADO O REMISI/N DE PRUE.AS PREPARACI/N PARA LOS INCIDENTES I!"a%a"i#! de eK%ipo' Al momento e (res!mir %!e (!ean existir elementos one es (osi#le o#tener al)*n ti(o e eviencia i)ital en !n is(ositivo electrónico, en la escena one se cometió el elito se e#erá solicitar la a!torización $!icial corres(oniente (ara inca!tar ic'os elementos y (ara acceer al contenio almacenao y )eneraos (or ic'os a(aratos+ `` "e%!isitorio .ericialH

Antes e ac!ir al allanamiento e inca!tación e e%!i(os informáticos o electrónicos se e#erá tomar en c!enta lo si)!ienteB

De(enieno el caso y e las sit!aciones analizaas en la (arte anterior, entrar sin (revio aviso, !tilizano se)!ria y evitano estr!ir o alterar los e%!i(os+

Materiales caena e c!stoiaH o

4m#ala$es e (a(el

o

/o#res e (a(el

o

/o#res e Manila

o

a$as e cartón

o

olsas es(eciales antiestáticas (ara almacenar is(ositivos e almacenamiento informático %!e sean electroma)nticos

o

o

o

4ti%!etas Discos y isettes vacíos ámara foto)ráfica

4vitar el !sos e #olsas (lásticas

0os o#$etos e#erán ser tomaos con )!antes ya %!e se (oría alterar la eviencia i)ital o las '!ellas actilares %!e se enc!entren en los mismos+

/i el elemento o com(onente encontrao en la escena el crimen no está encenio, $elo como esta e tal manera %!e se (!ea evitar el inicio e c!al%!ier ti(o e (ro)rama e a!to(rotección+ 4n caso e %!e este encenio no se e#e a(a)ar inmeiatamente, esto evitara la (ria e información volátil si existe !n mo!se, se e#e moverlo (ara evitar %!e la (antalla se cierre o #lo%!ee, (ara ello se e#erá !sar )!antes+

De(enieno el caso, se e#erá realizar los allanamientos e forma sim!ltánea, ya %!e los atos (!een estar en más e !na l!)ar en caso e sistemas e re o conexiones remotas+

I!i"ial(e!e preparar'e para a"%dir al i!"ide!e1

C=

Asi)nar !n (rofesional forense o (erito informático ^aracterísticas .erito Forense a(+= : =+8+1_ %!e enca#ece el mismo+ 0lenar los form!larios asi)naos en caa (aso el esarrollo el (roceso forense+ 4sta#lecer los res(onsa#les o el e%!i(o %!e mani(!larán las eviencias e(enieno el caso, el o los mismos e#erán (oseer los roles mencionaos ^a(+= : =+8+1 First "es(one_, a mas e llenar el ^Form!lario "e)istro el 4%!i(o Desi)nao en la aena e !stoia Q A(nice A_+ Asi)nar !n acom(a2ante !rante el levantamiento e las eviencias, el mismo act!ano como testi)o al tomar c!al%!ier acción en la escena+ Determinar %!ien o %!ienes trans(ortarán la eviencia ^Form!lario 4viencia General 0ao : A(nice A_+ 4l e%!i(o asi)nao en la investi)ación e#e (re(ararse (ara interact!ar con las eviencias !sano )!antes escarta#les ya %!e c!al%!ier o#$eto en la escena el crimen (!ee contener '!ellas actilares+ Al trans(ortar la eviencia no se e#e colocar los elementos cerca e f!entes electroma)nticas+ !ano las ili)encias son realizaas en momentos %!e no son visi#les, (ara com(ro#ar al)!nas circ!nstancias como antenas externas, conexiones con otros eificios, etc+ 4s recomena#le o(erar en 'oras %!e (receen al amanecer+ Ientificar el o los ti(o e elito informático cometios ante el caso %!e se (resente+

I!i"iar "o! el pro"e'o ?ore!'e1

Foto)rafiar los e%!i(os y s! entorno+ Dia)ramar o i#!$ar el entorno one se enc!entren las eviencias, si el caso lo amerita realizar !na filmación+ ^A(nice  _ 4l (erito informático e#e esc!c'ar, !rante la o(eración a las (ersonas 'ayan lle)ao en (rimer trmino, e#io a %!e las mismas (orán ar testimonio e cómo se encontraron los cam#ios s!frios+ ^Form!lario e ontrol ante res(!estas al Inciente Q A(nice A_+ Interro)ar a toos los sos(ec'osos+ No alterar ni cam#iar (or nin)*n motivo la eviencia i)ital encontraa+ Mantener al elemento o com(onente encontrao en la escena el elito, se(arao e c!al%!ier ti(o e imán o cam(o ma)ntico+ "e)istrar el n*meros e com(onentes electrónicos o eviencia electrónica encontraos en la escena .DAKs, cel!lares, com(!taoresH+ ^Form!lario Inventario e /oftEare y om(onentes Q A(nice A_ ^Form!lario e "e)istros e eviencias e la com(!taora Q A(nice A_+ Definir en %! ti(o e escenario se enc!entra la eviencia en la escena el crimen, el mismo %!e se encar)arán los examinaores e eviencia i)ital o informática ^a(+= : =+8+1_+ [Form!lario e 4viencia General lao A Q A(nice A_ 4scenario 1 /istemas e com(!tación a#iertos om(!taorasYDisco D!ro, -/, /istema 9(erativoH+

4scenario 7 /istemas e com!nicación om(!taoras en reH+ ^Form!lario e "ecolección e Datos el Inciente Q A(nice A_

4scenario 8 Dis(ositivos varios cel!lares, .DAKs, DVD, D"9MH+ /i se eli)iese os ti(os e escenarios iferentes, se e#erá em(lear caa !na e las activiaes y re)istro e form!larios e forma se(araa+ Verificar el estao e la eviencia y nivel e la misma a car)o e los examinaores e eviencia i)italHB

o

o

/in a2os entonces se e#erá (rote)er a los e%!i(osH+ Da2os eval!ar con !n (orcenta$e, (ara (osterior análisisH+

"ecolectar los com(onentes electrónicos encontraos y toas las (iezas %!e se necesiten a car)o e los examinaores e eviencia i)italH+ o

o

características moelo, marca, tama2o, color, com(letoH+ n*mero e serie+

lasificar la 4viencia y ver %! ti(o e eviencia es constante o volátilH, a car)o e los examinaores e eviencia i)ital+

1H 4viencia Física /o(ortes e Almacenamiento -

.-,

-

Disettes,

-

D, DVD,

-

intas ma)nticas+

-

Discos D!ros+ ^Form!lario e ontrol e Análisis e Disco D!ros

-#icao en Q A(nice A _

Dis(ositivos 4lectrónicos

•

•

•

5elfonos cel!lares, A)enas, 9r)anizaores electrónicos+

Dis(ositivos e com!nicaciones e re -

"o!terKs,

-

/Eitc'Ks,

-

@!#Ks+

7H 4viencia 0ó)icaB

o

"e)istros )eneraos (or com(!taorB re)istros e eventos e se)!ria lo)sH+

o

"e)istros no )eneraos sino sim(lemente almacenaos (or o en com(!taores )eneraos (or !na (ersona, y almacenaos en el com(!taor+

o

"e)istros 'í#rios la !nión e los os anteriores+

Inventario el softEare instalao en el e%!i(o a car)o e los examinaores e eviencia i)italH+ o(ia e la (ieza o eviencia a (eritar encontraa en la escena el elito+ ^Form!lario el estao e la eviencia Q A(nice A_ -na vez realizaa la (rimera (arte e la )!ía se (rocee a efinir las acciones %!e se e#erán tomar e(enieno el ti(o e escenario+

A""io!e' 'e&! ipo de e'"e!ario

4stas acciones se e#en ser mane$aas (or los enominaos Investi)aores e Delitos Informáticos s! (erfil se menciona en ^a(+= : =+8+1_+

4scenario 1B /istemas e com(!tación a#iertos

Verificar el estao el sistema o e%!i(oB a(a)ao o encenio+ o

!scar eviencia volátil antes e a(a)ar el e%!i(o+

o

"ealizar co(ias #it:a:#it e iscos !ros y (articiones , safe#acH, la metoolo)ía (lanteaa (ara el mane$o e iscos !ros se e#erá se)!ir en el ^a(+ ; : ;+8+7_+

Definir el ti(o e (lataforma+ Ientificar el ti(o e información almacenaa en !n is(ositivo y el formato en %!e se )!ara+ No moificar los arc'ivos ni #orrarlos+ Inter(retar comanos en moo consola cm, #as'H+ 9#tener fec'a y 'ora el sistema ate, timeH+ 4n!merar (rocesos activos, a(licaciones %!e los lanzaron (s, (slistH+ onocer los (rocesos %!e se están e$ec!tano act!almente en el e%!i(o y c!ál e ellos cons!me más rec!rsos con !#icaciones (oco frec!entes en el sistema e arc'ivos+ !scar fic'eros oc!ltos o #orraos 'fin, !nrm, lazar!sH+

9renar los arc'ivos (or s!s fec'as, esto se e#e realizar e#io a %!e los arc'ivos tenrán la fec'a e instalación el sistema o(erativo+ !scar fic'eros y irectorios tem(oralesH %!e 'an sio creaos, moificaos o #orraos recientemente+ Determinar la r!ta com(leta el o los fic'eros, tama2o en #ytes+ Vis!alizar re)istros y lo)s el sistema re), !m(elH+ Vis!alizar la confi)!ración e se)!ria el sistema a!it(olH+ 4itar los arc'ivos e re)istro el sistema y lo)s en #!sca e entraas y avisos so#re fallos e instalación, accesos no a!torizaos, conexiones erróneas o fallias+ -tilizar 'erramientas %!e no moifi%!en el tiem(o e e$ec!ción e los arc'ivos+

4scenario 7B /istemas com!nicación

Verificar el estao el sistema o e%!i(o y atacanteB si el sistema contin!a conectao a la re se o#tiene mayor información (ero se corre el ries)o e %!e el atacante si)a en línea y (er$!i%!e en el (eor e los casos (or com(leto la eviencia i)ital+ .or ello en caso e %!e lo re%!iera, esconectar el móem+ Definir el ti(o e (lataforma+ Definir c!antos e%!i(os en re se enc!entran conectaos+ >1

4n!merar (!ertos 5. y -D. a#iertos y s!s a(licaciones asociaas, se e#e tomar en c!enta los (!ertos (or encima el 17; f(ort, lsoftH+ 0istar !s!arios conectaos local y remotamente al sistema+ 0istar los (ermisos e acceso e toos los !s!arios e la re+ 9#tener fec'a y 'ora el sistema ate, timeH+ 4n!merar (rocesos activos, rec!rsos %!e !tilizan, !s!arios o a(licaciones %!e los lanzaron (s, (slistH+ onocer (rocesos %!e manten)an conexiones e re en (!ertors 5. o -D. no 'a#it!ales+ 4n!merar las irecciones I. el sistema y ma(ear la asi)nación e irecciones físicas MA con ic'as I. i(confi), ar(, netstat, netH+ "ealizar !n ma(a ló)ico y físico e la re, e tal manera %!e se (!ea ientificar el l!)ar one se enc!entre caa e%!i(o con s! irección I.+ !scar fic'eros oc!ltos o #orraos 'fin, !nrm, lazar!sH+ Generar f!nciones 'as' e fic'eros sa'1s!m, m=s!mH+ Vis!alizar re)istros y lo)s el sistema re), !m(elH+ Vis!alizar la confi)!ración e se)!ria el sistema a!it(olH+ 0eer, co(iar y escri#ir a travs e la re netcat, cry(catH+

Analizar el tráfico e re tc(!m(, Ein!m(H+

"ealizar co(ias #it:a:#it e iscos !ros y (articiones , safe#acH+ 4itar los arc'ivos e re)istro el sistema y lo)s en #!sca e entraas y avisos so#re fallos e instalación, accesos no a!torizaos, conexiones erróneas o fallias+ Dentro e este escenario es e s!ma im(ortancia sa#er c!al es la f!ncionalia el e%!i(o atacao, ya %!e este (!ee ser !n servior y entro el mismo (!ee encontrarse !na ase e Datos, (ara la c!al se e#erán se)!ir las metoolo)ías (lanteaas en ^a(+ ; : ;+8+;_ y e esta manera o#tener mayor eviencia y claria !rante el (roceso forense+

4scenario 8 Dis(ositivos varios -na vez entro e este escenario se e#erá ientificar la eviencia electrónica, ya %!e esta (!ee ser, telfonos cel!lares, .DAKs, -/, D, DVD+ 4l res(onsa#le el De(artamento e 4st!io y A(oyo 5cnico el De(artamento e Delitos Informáticos e la .olicía Nacional, e#erá asi)nar !n es(ecialista enB o

4str!ct!ra física+

o

4str!ct!ra ló)ica+

De cómo se almacenan y f!ncionan estos meios, ya %!e s! análisis es más com(le$o y re%!iere e softEare es(ecializao+

Pre'e!ar la evide!"ia > re'%lado'

4n este (!nto los form!larios em(leaos anteriormente son e s!ma im(ortancia ya %!e los mismos (ermitirán (resentar las activiaes acti viaes realizaas en la caena e c!stoia y %!ienes f!eron res(onsa#les e ello+ .ara este (!nto el tra#a$o e caa miem#ro %!e forme (arte el e%!i(o en el (roceso e análisis forense informático

será reco(ilao con toos los (!ntos antes mencionaos y se concl!irá con la eviencia+

/e e#erá (resentar los si)!ientes form!lariosB Form!lario e control ante res(!estas a incientes+ testi)os en la escenaH Form!lario e "e)istro General+ Form!lario el 4%!i(o Desi)nao en la caena e c!stoia+ Form!lario e lista e control e análisis e isco+ Form!lario e recolección e incientes is(ositivos e reH Form!lario e Inventario e softEare y com(onentes+ Form!larios e re)istro e eviencia e la com(!taora+ Form!lario e estao e la eviencias, al mismo se le s!ma la forma en la %!e se co(ia caa (ieza o eviencia encontraa en la escena el elito, como se conserva la ori)inal y como se ase)!ran las (iezas+ Form Form!la !lari rioo e "es! "es!lta ltao oss e 4vi 4vien enci cia, a, se e#e e#erá rá a$! a$!nta ntarr los los (roceimientos, tcnicas !tilizaas (ara recolectar, la eviencia i)ital e(enieno e(enieno el o los ti(os e escenarios+

5oos los form!larios antes mencionaos se enc!entran en el A(nice A, (arte inferior e la )!íaH

A esto se s!ma los Informes 5cnico y 4$ec!tivo, (resentaos en ^a(+8 : 8+;+7 Informe 5cnico, 8+;+8 Informe 4$ec!tivo_+

.ara %!e !na )!ía (!ea ser llevaa e la me$or manera se re%!iere e so(orte a toos los invol!craos en el (roceso+

CAPÍTULO <

,ERRAMIENTAS + E=UIPOS PARA EL AN-LISIS FORENSE

<59 A!4li'i' 'obre la' Herra(ie!a' > eK%ipo' para la apli"a"i#! de la I!?or(4i"a Fore!'e para la Poli"$a Na"io!al

0a .olicía Nacional, act!almente se enc!entra mane$ano en (roceso e ace(tación el De(artamento e Delitos Informáticos en la ci!a e !ito, 'asta el momento las 'erramientas y la )!ía o (asos %!e se #e#en tomar en el acontecimiento e !n elito informático, no se enc!entran aec!aamente efinios, n!estra la#or es (ro(oner 'erramientas softEare li#reH y e%!i(os ó(timos %!e ay!en a la .olicía a realizar activiaes válias y certeras con la finalia e o#tener eviencias cont!nentes y ser (resentaas en la corte+ 0a investi)ación e caa !na e las 'erramientas %!e se (resentaran están #asaas en la si)!iente clasificación

71

orientaa a la informática forenseB

1H @erramientas (ara recolección e eviencias+ eviencias+ 7H @erramientas (ara el Monitoreo yo yo ontrol e om(!taores+ om(!taores+ 8H @erramientas e Marcao e oc!mentos+ ;H @erramientas e @arEare+

9 ,erra(ie!a' para re"ole""i#! de evide!"ia'1 4xisten !na )ran cantia e 'erramientas (ara rec!(erar eviencia+ 4l !so e 'erramientas sofisticaas se 'ace necesario e#io aB

71

0L.4 Lscar, INF9"MÁ5IA F9"4N/4B G4N4"A0IDAD4/, A/.459/ 5ZNI9/ 3 @4""AMI4N5A/ 5 >=

•

0a )ran cantia e atos %!e (!een estar almacenaos en !n com(!taor+

•

0a variea e formatos e arc'ivos, los c!ales (!een variar enormemente, a*n

•

entro el contexto e !n mismo sistema o(erativo+

•

0a necesia e reco(ilar la información e !na manera exacta, y %!e (ermita verificar %!e la co(ia es exacta+

•

0imitaciones e tiem(o (ara analizar toa la información+

•

Facilia (ara #orrar arc'ivos e com(!taores+

•

Mecanismos e encri(ción, o e contrase2as+

6 ,erra(ie!a' para el Mo!ioreo >o Co!rol de Co(p%adore' Al)!nas veces se necesita información so#re el !so e los com(!taores, (or lo tanto existen 'erramientas %!e monitorean el !so e las mismas, (ara (oer recolectar información+ 4xisten al)!nos (ro)ramas sim(les como ey lo))ers o recolectores e (!lsaciones el teclao, %!e )!aran información so#re las teclas %!e son (resionaas, 'asta otros %!e )!aran imá)enes e la (antalla %!e ve el !s!ario el com(!taor, o 'asta casos one la má%!ina es controlaa remotamente+

: ,erra(ie!a' de Mar"ado de do"%(e!o' -n as(ecto interesante es el e marcao e oc!mentos& en los casos e ro#o e información, es (osi#le, meiante el !so e 'erramientas, marcar softEare (ara (oer etectarlo fácilmente+ 0a se)!ria está centraa en la (revención e ata%!es+ Al)!nos sitios %!e mane$an información confiencial o sensitiva, tienen mecanismos (ara valiar el in)reso, (ero, e#io a %!e no existe naa como !n sitio 1 se)!ro, se e#e estar (re(arao (ara c!al%!ier ti(o e incientes+

; ,erra(ie!a' de ,ardare

De#io a %!e el (roceso e recolección e eviencia e#e ser (reciso y no e#e moificar la información se 'an ise2ao varias 'erramientas (ara ello+

<56 Co'o' de eK%ipo' > 'o?are para la apli"a"i#! de la I!?or(4i"a Fore!'e 0as 'erramientas %!e se (resentan serán eval!aas se)*n los si)!ientes factoresB •

/oftEare li#re+

•

"enimiento y esem(e2o+ .or meio e !na eval!ación Y alta, meia, #a$a+

ostos+

•

•

onfia#ilia ante la rec!(eración e eviencias+

.ara la (!esta en marc'a en el mane$o e eviencias i)itales el De(artamento e Delitos Informáticos e la .olicía Nacional, el forense o los forenses informáticos asi)naos a esta área, (!een a(oyarse en eterminaas 'erramientas %!e aemás e a!tomatizar tareas, tam#in le ay!aran a sec!enciar s!s (asos y a oc!mentar caa !no e ellos+ Así, se)*n la realia el De(artamento y las leyes vi)entes en el (aís en #ase a la )!ía %!e se 'a (lanteao (ara la .olicía Nacional, se (resenta meiante !n c!aro com(arativo y eval!ao, las 'erramientas %!e (oseen más c!aliaes %!e otras y son más recomena#les+

><


,erra(ie!a

Co'o

Cara"er$'i"a'

Plaa?or(a e! la' K%e rabaja!

Eval%a"i#!

+: 4sta colección e (ro)ramas sirve (ara realizar !na ba!to(siab so#re sistemas -NIT es(!s e %!e 'an bm!ertob com(letamente+ +: 4l f!ncionamiento e este softEare se #asa (rinci(almente en la reco)ia e )ranes cantiaes e atos (ara (roceer a s! análisis (osterior+ Al)!nos e s!s com(onentes son la 'erramienta blarón e t!m#asb %!e ca(t!ra informaciónH, los (ro)ramas (ara etectar arc'ivos bm!ertosb o bvivosb, así como blázarob, %!e resta!ra arc'ivos #orraos, y otra 'erramienta %!e resta!ra claves cri(to)ráficas ese !n (roceso activo o ese al)*n arc'ivo+ +: ontiene varias 'erramientas im(ortantes (ara el análisis forense+ 5'e oronerKs 5oolit

0i#re

Free/D 7:;+, 9(en/D 7+, /D9/ A(licaciones im(ortantesB 7:8+, /!n9/ ;:=+ y : )rave:ro##er : -na !tilia (ara ca(t!rar información so#re i:noes, (ara ser (rocesaa (or 0in!x 7++ el (ro)rama mactime el mismo toolit+ /-N /olaris : !nrm y lazar!s : @erramientas (ara la rec!(eración e arc'ivos #orraos lo)s, "AM, sEa(, etc+H+ 4stas a(licaciones ientifican y rec!(eran la información oc!lta en los sectores el isco !ro+ : mactime : 4l (ro)rama (ara vis!alizar los fic'erosirectorios s! timestam( MA Moification, Access, y 'an)eH+ +:/e e$ec!taa c!ano la eviencia encontraa, (osee !n /istema 9(erativo 0in!xH Descar)asB 'tt(B EE E+ fis '+comtct, o ese ' tt (BEEE +(orc! (ine+or)forensics+

>C

"e@at 0in!x

Meia

+: 4s !na interfaz )rafica %!e tra#a$a en con$!nto con la 'erramienta t'e sle!t' it !tilizaa (ara el análisis forense+ +: Analiza iscos y sistema e arc'ivos N5F/, FA5, -F/17, 4xt78H+ +: M!estra el etalle e información so#re atos eliminaos y estr!ct!ras el sistema e fic'eros+ +: .ermite el acceso a estr!ct!ras e arc'ivos y irectorios e #a$o nivel y eliminaos 5'e /le!t' Rit y

0i#re

-nix0in!x, PinoEs

Alto

0in!x

a$o

+: Genera la línea tem(oral e activia e los arc'ivos timestam(H+ +:.ermite #!scar atos entro e las imá)enes (or (ala#ras clave,

A!to(sy

+:.ermite crear notas el investi)aor e incl!so )enera informes y m!c'as tareas+ +:4s !na colección e 'erramientas+ +: -tiliza interfaz )rafica %!e facilita nota#lemente el tra#a$o+ +:/e e$ec!taa c!ano la eviencia encontraa, (osee !n /istema 9(erativo PinoEs0in!xH Descar)asB ' tt (B EE E+s le !t ' it+ or )a !to( sy  o En lo a +( ' ( +: "eco(ila información e fic'eros localizaos en !n sistema e fic'eros montao mo!nteH+ Mac:ro##er

0i#re

+: 0os atos o#tenios (!een ser !tilizaos (or la 'erramienta mactime, contenia en el /le!t' Rit, (ara ela#orar !na línea tem(oral e activia e los fic'eros+ +: 4stá #asao en )rave:ro##er contenio en 55H ex(licao anteriormente+ +: "e%!iere %!e el sistema e fic'eros est montao (or el sistema o(erativo, a iferencia e

+: Moificará los tiem(os e acceso a irectorios %!e están montaos con (ermisos e escrit!ra+ @erramientas %!e forman (arteB :.ascoB @erramienta (ara analizar la activia realizaa con el nave)aor Ee# Internet 4x(lorer e M/ + :GalletaB 4xamina el contenio el fic'ero e cooies e I4+ :"ifi!tiB 4xamina el contenio el fic'ero INF97 e la (a(elera e recicla$e e PinoEs+ Fo!nstone Forensic 5oolit

omercial

:VisionB 0ista toas los (!ertos 5. y -D. en esc!c'a a#iertosH y los ma(ea a las a(licaciones o (rocesos %!e se enc!entran etrás+

PinoEs

Alto

0in!x

a$o

:Forensic 5oolitB 4s !na s!ite e 'erramientas (ara el análisis e las (ro(ieaes e fic'eros 4xamina los fic'eros e !n isco en #!sca e activia no a!torizaa y los lista (or s! *ltima fec'a e acceso, (ermitieno realizar #*s%!eas en fran$as 'orarias, #*s%!ea e arc'ivos eliminaos, etc+ o(en so!rceH Descar)aB EE E+ fo! n sto ne +com

Foremost

G.0 (royecto a#ierto al (*#licoH

+: "ec!(era fic'eros #asánose en s!s ca#eceras+ +: .!ee tra#a$ar so#re arc'ivos e imá)enes, como los )eneraos con , /afe#ac, 4ncase, etc+ o irectamente so#re !n isco o (artición+ +: 0as ca#eceras (!een es(ecificarse a travs e s! arc'ivo e confi)!ración, (or lo %!e se (!ee es(ecificar #*s%!eas (ara formatos es(ecíficos+

+:@40IT está #asaa en RN9..IT+ +: 0ive D+ +: .osee !na variea e 'erramientas (ara realizar !n análisis forense tanto a e%!i(os como imá)enes e iscos+ +: .ara M/ PinoEs (osee !n con$!nto e 'erramientas e > M#, (ermitieno tra#a$ar con sistemas vivos, y rec!(erar información volátil+ +: 4n el entorno 0in!x, is(one e !n /istema 9(erativo com(leto, con !n n*cleo moificao (ara conse)!ir !na excelente etección e 'arEare+ +:No realiza el monta$e e (articiones sEa(, nin)!na otra o(eración so#re el isco !ro el e%!i(o so#re el %!e se arran%!e+ @elixFI"4

0i#re

+: 4s m!y #!eno (ara el análisis e e%!i(os m!ertos, sin %!e se moifi%!en las eviencias (!es montará los iscos %!e enc!entre en el sistema en moo sólo lect!ra+ +: ontiene más y n!evas versiones e /le!t'Rit y A!to(sy+ +: /! oc!mentación no es am(lia+ +: .ermite ele)ir entre !sar los ernels 7+;+7? o 7+?+=H+ +: 5iene !na excelente etección e 'arEare+ +: @40IT está (ensao es(ecíficamente (ara no realizar nin)*n ti(o e alteración so#re los sistemas en los %!e se !sa+ +: 5iene !na confi)!ración a!tor!n (ara PinoEs con 'erramientas (ara este /9+ Descar)aB ' tt ( B  EE E +e : fe n s e+c om ' el ix 

PinoEs, /olaris, 0in!x

Alto y recomena#le

+: 4s !na istri#!ción e !n *nico crom, (orta#le y #oota#le 0ive D+ .rovee 'erramientas aec!aas (ara !na act!ación rá(ia en casos e análisis forense+ +: "es(!esta ante incientes, rec!(eración e atos, ata%!e e vir!s+ +: ontiene )ran cantia e 'erramientas e análisis forense+ +: 4s !sa#le (ara análisis en caliente e sistemas, con lo %!e *nicamente montano el D se (!ee !sar+ +: @erramientas com(ilaas estáticamente sin necesia e realizar !n re#oot e la má%!ina+ +: .osee !na interfaz )rafica %!e 'ace fácil s! !so+ F+I+"+4 Forensic an Incient "es(onse 4nvironmentH

0i#re

+: No realiza nin)!na moificación so#re los e%!i(os en los %!e se e$ec!te, (or lo %!e (!ee ser !tilizao con se)!ria +: "ec!(era atos e (articiones a2aas+ +: F+I+"+4 (osee las si)!ientes 'erramientasB Ness!s, nma(, E'iser, '(in)7, '!nt, fra)ro!ter+ 4t'ereal, /nort, tc(!m(, etterca(, sniff, airsnort+ 'rootit, F:.ort 55, A!to(sy+ 5estis, fis, )(art+ //@ cliente y serviorH, VN cliente y serviorH Mozilla, ircII, mc, .erl, #ieE, fenris, ()(+ 5oos estos (ro)ramas serán comentaos #revemente, en el )losario+ • • • • • • •

Descar)aB ' tt (B fire + m zs+c om W se cti on Y ma in o ' tt (B#iatc'!x+mzs+com+

PinoEs, /olaris y FreeEare


+: 4s !na e las más conocias y a(reciaas istri#!ciones GN-0in!x +: 9c!(a el (!esto 87 en el famoso ránin) e Insec!re+or)+ +: /e (resenta como !n 0iveD no re%!iere e instalaciónH ac5rac

0i#re

+: .osee 8 'erramientas e too ti(o sniffers, ex(loits, a!itoría Eireless, análisis forense, etcH (erfectamente or)anizaas+

GN-0in!x


0in!x

a$o

PinoEs

a$o

+: 0a versión 7 recin (!#licaaH !tiliza !n ernel 7+?+7 con varios (arc'es e incl!ye so(orte (ara tar$etas inalám#ricas+ +: 0os (ro)ramas %!e trae este softEare ya vienen toos confi)!raos y listos (ara ser !saos, (or lo %!e no se e#e em(lear tiem(o en #!scarlos e instalarlos+ +: /im(lificar el (roceso e análisis e fic'eros e lo) en investi)aciones forenses+ F0AG Forensic an 0o) Analysis G-IH

0i#re (royecto a#ierto al (!#lico

+: 4stá #asao en Ee#, (or lo %!e (!ee instalarse en !n servior one se centralice toa la información e los análisis, e forma %!e (!ee ser cons!ltaa (or too el e%!i(o forense+ +: (yFla) es la im(lementación em(leaa act!almenteH en .yt'on+ 4s !na revisiónreescrit!ra com(leta e F0AG, más (otente, versátil y ro#!sta+ +: 4s !na a(licación on:line se)!ra y e fácil mane$o+ +: .ermite a los !s!arios rec!(erar los arc'ivos %!e 'ayan sio #orraos e !niaes e isco

4:"90

0i#re

!ro, !niaes I. y is%!etes, en toos los sistemas o(erativos e la familia Microsoft PinoEs+ +: "e)istra !na meia e más e 8= entraas iarias a s! (á)ina Ee#+

+: /oftEare e "ec!(eración e Datos se enc!entra is(oni#le (ara ser !tilizao en !na vasta )ama e sistemas o(erativos y arc'ivos e sistema+ +: "ec!(erar Arc'ivos .ro)rama e rec!(eración e arc'ivos an!laosB es ca(az e rec!(erar el cesto e PinoEs atos an!laos o (erios a ca!sa el formateo el isco !ro, e !na infección e vir!s, e !na re(entina caía el sistema o (or !n es(erfecto e softEare+ /tellar .'oenix

+: 4l softEare so(orta los arc'ivos e sistema FA5, N5F/

PinoEs >=, PinoEs >C, PinoEs M4, PinoEs N5, PinoEs

Meia

7, PinoEs 78

+: "re(arar y resta#lece arc'ivos i( y arc'ivo en formato Microsoft 9ffice arc'ivos e /erver e PinoEs T.+ Access, 4xcel, .oEer.oint y PorH corrom(ios o no accesi#les+ +: "e(ara Arc'ivos extrae las informaciones contenias en el y crea !n n!evo arc'ivo sin errores+ +: "ec!(era atos incl!so los #orraos+ +: Ientifica y so(orta varios sistemas arc'ivos+ Iloo

0i#re

+: Analiza f!nciones 'as+ +: asao en 0in!x+ +: "ec!(era toos los atos incl!io los e arc'ivos #orraos+ +: Asiste al investi)aor a #!scar etalles es(ecíficos+ +: "ec!(era atos corr!(tos en is%!etes, D, is(ositivos !s# o el (ro(io isco local+

0in!x, Pin7 PinT.  /erver 78

Meia

+:"ec!(erar too ti(o e arc'ivos, como (or e$em(lo oc!mentos, imá)enes, a(licaciones, a co(y

etc+ 1omercial

+:-tiliza !n sistema inteli)ente e rec!(eración e atos y isco, (ara el contenio e fic'eros d=

Pin>=>CN5M47 T.

Meio

ori)inales& (!ee leer el contenio e arc'ivos corr!(tos y en la mayoría e los casos rec!(erarlos, en too o en (arte, en el irectorio %!e se es(ecifi%!e+ +: /oftEare líer en el mercao y e mayor !so en el cam(o e análisis forense+

1omercial

4ncase

/ector (rivao

d 7;>=

+: 0os formatos e arc'ivos con extensión +ca contenios en D (ara e%!i(os e m*sica no son #ien reconocios (or 4nase+ PinoEs

+: M!y !saa en 44-- (or el FI+ +: No es m!lti(lataforma+ +: 4ncase (osee !na variea e f!nciones %!e se re%!iere e otro oc!mento (ara ex(licar caa !na e ellas+ ' tt ( B  )! i a nc e so ft E ar e +com

5a#la com(arativa =+7 @erramientas (ara la Informática Forense

Meio


<5659 Tooli para el Depara(e!o de Delio' I!?or(4i"o' de la Poli"$a Na"io!al

De$ano a(arte el softEare comercial, en el %!e se (!ee encontrar 'erramientas es(ecíficas como 4nase e la em(resa G!iance /oftEare, consierao !n estánar en el análisis forense e sistemas (ero no inis(ensa#le, nos centramos en 'erramientas e cói)o a#ierto 9(en /o!rceH m!c'os e estos

(oseen !na

colección e 'erramientas en !n solo softEare toolitH %!e (!een ser escar)aas li#remente ese las (á)inas e s!s corres(onientes a!tores o miem#ros el (royecto y %!e c!m(len similar f!ncionalia a las 'erramientas %!e son comerciales+ A más e ello 0in!x es !n entorno ieal en el c!al realizar tareas e análisis forense (ermite (roveer e !na )ran variea e 'erramientas %!e facilitan toas las eta(as %!e se e#en llevar a ca#o en la realización e !n análisis ex'a!stivo e !n sistema com(rometio+

Meiante el c!aro anterior las 'erramientas %!e son claramente más recomena#les y !tilizaas& en el toolit (ara el De(artamento e Delitos Informáticos en la .olicía Nacional sonB •

TCT es !na 'erramienta e cói)o a#ierto, es ecir no re%!iere la o#tención e licencia tiene !na eval!ación meia+

•

Fore!'i" Tooli forma (arte e la or)anizacion Fo!nstone, la misma esta orientaa a (lataformas PinoEs+

•

THe Sle%H Qi > A%op'> es !na 'erramienta altamente recomena#le e#io las f!nciones %!e (osee, es )rat!ita y m!lti(lataforma+ 0as metoolo)ías %!e se e#e se)!ir al !sar esta 'erramienta se a$!nta en ^Anexo 4_+

•

9tra e las 'erramientas recomena#les (ero (osee !na limitante es .a"Tra" , ya %!e solo f!nciona en /istema 9(erativo 0in!x, (ero tiene !n alto renimiento+

1?

•

0a si)!iente 'erramienta es EROL se le consiera con !na eval!ación #a$a e#io a %!e carece e las f!nciones %!e (oseen las 'erramientas antes mencionaas,

(ero (!ee

ser e !tilia, al enfrentarse con entornos

PinoEs (ara tomar inicios el ata%!e+

-no e los elementos más im(ortantes %!e !n informático forense e#e em(lear al momento e reca!ar eviencia i)ital, son los conocios 0ive DKs o DVDKs, %!e son !na colección e 'erramientas, %!e (ermiten realizar !n examen forense e imá)enes sin tener %!e eicar !n e%!i(o es(ecífico (ara ello y sin necesia e car)ar otro sistema o(erativo+ 4ntre los más recomena#les ellos tenemosB •

@elix (osee !na eval!ación alta, contiene !n sin n*mero e 'erramientas, entre !na e ellas el A!to(sy, es m!lti(lataforma, y o(en so!rce+

•

F+I+"+4 Forensic an Incient "es(onse 4nvironmentH, este 0ive D, es altamente recomena#le+ /i @elix contiene 'a A!to(sy, F+I+"+4+ contiene a las 'erramientas 55 y A!to(sy a más e !n sin n*mero e 'erramientas, *tiles (ara la recolección e eviencias, es m!lti(lataforma y )rat!ito+

Cla'i?i"a"i#! ,erra(ie!a' para re"ole""i#! de evide!"ia' •

TCT 0in!xH+

•

Fore!'i" Tooli PinoEsH+

•

THe Sle%H Qi > A%op'> -nix0in!x, PinoEsH5

•

.a"Tra"  0in!xH+

•

EROL PinoEsH+

•

,eli3 PinoEs, /olaris, 0in!xH+

•

F5I5R5E PinoEs, /olaris y FreeEareH+

,erra(ie!a' para el Mo!ioreo >o Co!rol de Co(p%adore'5

,o!e>po 4s !n softEare o con$!nto e com(!taores c!ya intención es atraer a cracers o s(ammers, sim!lano ser sistemas v!lnera#les o #iles a los ata%!es, (ermite reco)er información so#re los atacantes y s!s tcnicas, los mismos (!een istraer a los atacantes e las má%!inas más im(ortantes el sistema, y avertir rá(iamente al aministraor el sistema e !n ata%!e, aemás e (ermitir !n examen en (rof!nia el atacante, !rante y es(!s el ata%!e al 'oney(ot+ Al)!nos 'oney(ots son (ro)ramas %!e se limitan a sim!lar sistemas o(erativos no existentes en la realia y se les conoce como 'oney(ots e #a$a interacción y son !saos f!namentalmente como meia e se)!ria+ 9tros sin em#ar)o tra#a$an so#re sistemas o(erativos reales y son ca(aces e re!nir m!c'a más información& s!s fines s!elen ser e investi)ación y se los conoce como 'oney(ots e alta interacción+ 5am#in se llama 'oney(ot a !n Ee#site o sala e c'at, %!e se 'a creao (ara esc!#rir a otro ti(o e !s!arios con intenciones criminales+

Qe>Lo&&er 4s !na 'erramienta %!e (!ee ser *til c!ano se %!iere com(ro#ar activia sos(ec'osa& )!ara los eventos )eneraos (or el teclao, es ecir, c!ano el !s!ario teclea la tecla e benterb, esto es )!arao en !n arc'ivo o es enviao (or e:mail+ 4xisten os versionesB la re)istraa y la e emostración+ 0a (rinci(al iferencia es %!e en la versión re)istraa se (ermite correr el (ro)rama en moo esconio+ 4sto si)nifica %!e el !s!ario e la má%!ina no notará %!e s!s acciones están sieno re)istraas+

<5656 E!or!o' de Trabajo Fore!'e 'obre "o(p%a"i#! vir%al para la P oli" $a N a"i o! al

-na e las (ro(!estas, %!e es s!mamente interesante y facti#le (ara la .olicía Nacional es im(lementar !na ar%!itect!ra conformaa (or serviores virt!ales %!e (roveen servicios informáticos al (ersonal esi)nao al la#oratorio el De(artamento e Delitos Informáticos e la .olicía Nacional+

0a la#or (ericial emana el !so e istintos /istemas 9(erativos PinoEs, 0in!x, /olaris, etc+H como (lataforma e e$ec!ción e a(licaciones forenses+ .ara ello se (!ee im(lementar

(!estos e tra#a$o con má%!inas virt!ales, facilitano a los

investi)aores la !tilización e !n mayor n*mero e rec!rsos e softEare en forma sim!ltánea+

0a vir%ali2a"i#! se refiere a !na ca(a e a#stracción %!e se(ara el 'arEare el sistema o(erativo, o(timizano y flexi#ilizano e esta manera la !tilización e los rec!rsos com(!tacionales+ .ermite %!e m*lti(les má%!inas virt!ales con sistemas o(erativos 'etero)neos (!ean f!ncionar sim!ltáneamente en la misma com(!taora+ aa má%!ina virt!al tiene asi)nao !n con$!nto (ro(io e rec!rsos e 'arEare so#re el %!e (!een f!ncionar iferentes a(licaciones+ 0a vir%ali2a"i#! #rina la (osi#ilia e me$orar la infraestr!ct!ra informática en c!anto a escala#ilia, se)!ria y !na variea e moaliaes en la aministración e serviores+

0os #eneficios e la virt!alización (!een ser a(reciaos so#re tres as(ectos e alto im(acto (ara la aministración e sistemasB •

.articionamiento (ermite %!e m*lti(les a(licaciones y sistemas o(erativos (!ean com(artir el mismo 'arEareH+

•

Aislamiento e com(onentes si !na má%!ina virt!al falla esta sit!ación no afecta al f!ncionamiento e las restantesH+

•

4nca(s!lación(ermite %!e !na má%!ina virt!al (!ea almacenarse en !n sim(le arc'ivo facilitano el #ac!( e la misma, la co(ia, o el traslaoH+

Vir%ali2a"io! e! el Depara(e!o de Delio' I!?or(4i"o' 4n los (!estos e tra#a$o el la#oratorio (ericial informático se analiza la eviencia i)ital !tilizano a(licaciones forenses tales como 4nase, A!to(sy, etc+ 0as 'erramientas mencionaas no son m!lti(lataforma+ 4nase o(eran #a$o PinoEs y A!to(sy #a$o 0in!x, im(iieno !tilizarlas al mismo tiem(o en !n mismo e%!i(o+ Meiante la a(licación e virt!alización se (!een crear má%!inas virt!ales con iferentes sistemas o(erativos y e esta manera lo)rar %!e a(licaciones %!e no son m!lti(lataforma o(eren en (aralelo+

.or ello se (ro(one, como tema e a(licación en el la#oratorio (ericial informático, %!e caa (!esto e tra#a$o !tilice el softEare e virt!alización VMEare /erver como (lataforma e o(eraciones, f!ncionano so#re el sistema o(erativo anfitrión PinoEs T.+ /e c!enta con !na má%!ina virt!al con sistema o(erativo 0in!x, so#re la %!e es (osi#le e$ec!tar las a(licaciones A!to(sy entre otras+

0as venta$as e la virt!alización son evientes, ya %!e con esta (lataforma e o(eraciones es (osi#le efect!ar !na a%!isición remota e !n isco rí)io meiante !na 'erramienta estinaa (ara ello y l!e)o a#rir la ima)en forense (ara efect!ar al)!na o(eración en (artic!lar con el softEare res(ectivo, e$ec!tano so#re el sistema o(erativo anfitrión, sin necesia e cam#iar el entorno 'a#it!al e tra#a$o+

No se cree conveniente (oseer clonar el is(ositivo e almacenamiento ori)inal y l!e)o instalar esta co(ia en !n 'arEare e la#oratorio o incl!so so#re la com(!taora ori)inal 4ste (roceimiento no es m!y recomenao, ya %!e !s!almente se (resentan (ro#lemas e incom(ati#ilia con el 'arEare c!ano se !tiliza !na com(!taora e la#oratorio+

on la a(arición e 'erramientas e virt!alización como VMEare se (!ee recrear el entorno e tra#a$o el sos(ec'oso+ De#io a %!e act!almente 'a s!r)io en el mercao e informática forense la 'erramienta comercial VF , meiante la c!al es (osi#le crear !na ma%!ina virt!al e$ec!ta#le y l!e)o inicializarla con VMEare, e esta manera se (orá com#inar con el softEare estinao a la recolección e la eviencia i)ital+ 4n el ám#ito instit!cional el 4c!aor es 'a#it!al contar con rec!rsos financieros mínimos (ara la a%!isición e tecnolo)ía+ 4s (or ello %!e se (resenta la o(ción e tra#a$ar con serviores virt!ales a(licaos a la informática forense el De(artamento e Delitos Informáticos e la .olicía Nacional,

e tal manera %!e se a(rovec'e

eficientemente el e%!i(amiento informático y se e$e atrás al /istema 9(erativo como !n (!nto e inflexión (ara el a(rovec'amiento e rec!rsos informáticos en las activiaes (ericiales+

Per?il > "apa"ia"i#! para lo' (ie(bro' de la Poli"$a Na"io!al e! I!?or(4i"a Fore!'e

5.3

<5:59 Per?il de %! I!?or(4i"o Fore!'e

40 investi)aor forense (ara act!ar correctamente ante la escena e !n crimen e#e realizar !n (roceso formal, one s! conocimiento científico y tcnico e#e ser

s!ficiente (ara )enerar inicios 'acia el esc!#rimiento e eviencias y resolver !n caso+

.ara act!ar aec!aamente y e la me$or manera ante !n (roceso e análisis forense, caa miem#ro %!e forme (arte el e%!i(o e investi)ación en el De(artamento e Delitos Informáticos e la .olicía Nacional se le e#e asi)nar !n rol eterminao, con f!nciones es(ecíficas, a contin!ación se (resentan los roles (ara caa ti(o e investi)aor %!e forma (arte e este e%!i(oB

T@"!i"o' e! e'"e!a' del "ri(e! i!?or(4i"a' o Fir' Re'po!de 0as características el mismoB •

/on los (rimeros en lle)ar a la escena el crimen+

•

"ecolectan la eviencia+

•

Formación #ásica en el en el mane$o e eviencia y oc!mentación+

•

"econstr!yen el elito+

E3a(i!adore' de evide!"ia di&ial o I!?or(4i"a •

.rocesan la toa la eviencia i)ital o#tenias (or los 5cnicos en 4scenas el rimen Informáticos+

•

De#erán ser es(ecializaos en sistemas e informática+

I!ve'i&adore' de Delio' I!?or(4i"o' •

"ealizan la Investi)ación y la reconstr!cción e los 'ec'os e los Delitos Informáticos e forma )eneral+

•

De#erán (oseer !n entrenamiento )eneral en c!estiones e informática forense+

•

De#erán ser (rofesionales enB /e)!ria Informática+

•

A#o)ao+

•

.olicías+

•

•

4xaminaores Forenses+

Perio I!?or(4i"o .eritos son las (ersonas %!e (or is(osición le)al y encar)o J!icial o el Ministerio .*#lico a(ortan con s!s conocimientos los atos necesarios (ara %!e el J!ez, Fiscal o la .olicía J!icial a%!ieran conocimiento (ara eterminar las circ!nstancias en %!e se cometió !na infracción+

0as coniciones %!e e#e re!nir !na (ersona (ara ser (erito sonB aH .rofesional, es(ecializao y calificao (or el Ministerio .*#lico en !n res(ectivo cam(o y eterminaa materia+ #H Mayores e ea 1C a2osH+ cH @onraez, calia moral e (roceer ínte)ro y 'onrao en el o#rar+ H De#erá ser totalmente im(arcial+ eH onocimientos es(ecíficos en la materia (ara c!m(lir s! cometio+ 0a (ericia intenta o#tener !n ictamen f!nao en es(eciales conocimientos científicos, tcnicos, *til (ara el esc!#rimiento o valoración e !n elemento e (r!e#a+

<5:56 Capa"ia"i#!* C%r'o' > Ceri?i"a"io!e' 0os investi)aores forenses en informática c!entan con conocimiento tcnicos informáticos, los mismos e#en (re(ararse (ara esenvolverse en (roceimientos le)ales y tcnicamente válios con la finalia e esta#lecer eviencia en sit!aciones one se v!lneran o com(rometen sistemas, !tilizano mtoos y (roceimiento

científicamente (ro#aos y claros, (ermitieno esta#lecer (osi#les 'i(ótesis so#re el 'ec'o y contar con la eviencia re%!eria %!e f!namente ic'as 'i(ótesis+

.ara ello la .olicía Nacional e#erá constantemente ca(acitar al (ersonal e esta área, ya %!e inevita#lemente la tenencia e crecimiento, avances y alcance %!e tiene la tecnolo)ía es contin!a y con ello el a!mento e n!evas tcnicas (ara cometer ata%!es y (er$!icar sistemas informáticos tam#in se esarrollan a la (ar+ A mas e ello (ara !n aec!ao mane$o e eviencias caa (ersonal %!e forme (arte el De(artamento e Delitos Informáticos, e#erá c!m(lir f!nciones es(ecíficas e(enieno e s! área, e tal manera %!e el (roceso e análisis forense %!e se a(li%!e a la eviencia i)ital sea llevaa e la me$or manera y la eviencia sea cont!nente y clara en el (roceso $!icial+

A contin!ación (resentamos los ti(os e c!rsos y entrenamiento %!e e#erán a(licarse (ara el e%!i(o el De(artamento e Delitos Informáticos+ 4stas son os e las asociaciones %!e 'an esarrollao (ro)ramas e certificación forenses en informática, %!e (ermiten etallar las 'a#iliaes re%!erias y las ca(aciaes esea#les en los investi)aores informáticosB •

IAI/ : International Association of om(!ter Investi)ative /(ecialist 'tt(BEEE+ c o(s+or)H+

•

@5N : @i)' 5ec'nolo)y rime NetEo  't t (B EE E +'tcn+or)H+

IACIS 9frece la certificación internacional enominaa F4 om(!ter Forensic 4xternal ertificationH, ise2aa (ara (ersonas %!e no (ertenezcan a instit!ciones $!iciales o e (olicía+ osto e esta certificación es e -/ d17= con !na !ración e cinco meses, y se re%!iere e !na forma e a(licación con m*lti(les atos el as(irante, la misma es eval!aa (or el comit e IAI/+

/i el as(irante es ace(tao, se inicia el (roceso e eval!ación el c!al consiste en el análisis e seis isettes es(ecialmente (re(araos y !n isco !ro con !na is(osición es(ecial+ aa !no e los isettes esta#lece !n (ro#lema tcnico y forense (ara el a(licante el c!al e#e resolver correctamente, oc!mentar s!s 'allaz)os y (resentar !n re(orte one etalle s!s análisis+ Al final el (roceso, se efect*a !n examen so#re el (roceso y las concl!siones el investi)aor en caa !no e los e$ercicios, one el mismo e#erá emostrar s! com(etencia y claria (ara el esarrollo e las activiaes forenses+

La "eri?i"a"i#! CFEC , exi)e %!e los n!evos investi)aores forenses en informática certificaos (osean ex(eriencia y estreza enB •

Ientificación y recolección e eviencia en meios ma)nticos+

•

om(rensión y (ráctica en (roceimientos e revisión y análisis forenses+

•

om(rensión y (ráctica e los estánares e tica %!e ri)en las ciencias forenses en informática+

•

om(rensión e los as(ectos le)ales y e (rivacia asociaos con la a%!isición y revisión e meios ma)nticos+

•

om(rensión y (ráctica e mantenimiento e la caena e c!stoia e la eviencia c!ano se realiza !na investi)ación+

•

om(rensión e los iferentes sistemas e arc'ivos asociaos con sistemas o(eracionales, (artic!larmente FA5 e Microsoft+

•

on!cir e manera etallaa rec!(eración e atos e toas las (orciones e !n isco+

•

om(rensión e como tener acceso a los arc'ivos tem(orales, e cac', e correo electrónico, e Ee#, etc+

•

om(rensión e los as(ectos #ásicos e Internet+

•

om(rensión e tcnicas e rom(imiento e contrase2as+

•

om(rensión )eneral e los temas relacionaos con investi)aciones forenses+

Mencionaa certificación es avalaa y reconocia en iferentes tri#!nales y cortes el m!no, e#io a la seriea y ri)!rosia e (roceso e certificación, las (ersonas %!e o#tienen esta certificación re%!ieren act!alizarse (ermanente en las n!evos (roceimientos y formas (ara me$orar las tcnicas e se)!imiento y análisis, (ermitieno a los (rofesionales certificaos %!e se enc!entren act!alizaos y ca(acitaos (ara afrontar n!evas formas e análisis forense en informática+

,TCN 9frece iversas certificaciones en informática

forense, e manera (artic!lar

comentamos so#re el certificao I Q ertifie om(!ter rime Investi)aorH, %!e tiene la ense2anza e !n nivel e e!cación #ásico y avanzao+ 4l (ro(ósito e esta certificación es el esarrollar !n alto nivel e (rofesionalismo y entrenamiento contin!o en investi)aciones e crímenes e alta tecnolo)ía en la in!stria y las or)anizaciones+ osto e la certificación es e -/ d7=+ 4xisten os ti(os e niveles e certificaciones IB nivel #ásico y avanzao

CCCI Nivel b4'i"oB (ara este nivel se re%!iere lo si)!ienteB •

Dos a2os e ex(eriencia en investi)aciones en c!al%!ier isci(lina o (oseer !n )rao e est!io s!(erior+

•

/eis meses e ex(eriencia investi)ativa irectamente relacionaa con la isci(lina en %!e #!sca certificarse+

•

@a#er com(letao satisfactoriamente !n c!rso e ; 'oras so#re elitos informáticos o com(!tación forense (rovista (or !na a)encia, or)anización o em(resa+

•

Demostrar e manera satisfactoria conocimiento tcnico en la isci(lina e la certificación %!e se esee o#tener, a travs e !n examen escrito+

CCCI Nivel ava!2ado B (ara este nivel se re%!iere lo si)!ienteB •

Dos a2os e ex(eriencia en investi)aciones en c!al%!ier isci(lina o (oseer !n )rao e est!io s!(erior+

•

Dos a2os e ex(eriencia investi)ativa irectamente relacionaa con investi)aciones e elitos informáticos+

•

@a#er com(letao satisfactoriamente !n c!rso e C 'oras so#re elitos informáticos o com(!tación forense (rovista (or !na a)encia, or)anización o em(resa+

•

Demostrar e manera satisfactoria conocimiento tcnico en la isci(lina e la certificación %!e se esee o#tener, a travs e !n examen escrito+

0a .olicía Nacional e#e tomar m!y en c!enta %!e la la#or %!e (osee la investi)ación forense en informática re%!iere e m!c'o entrenamiento y formación, no solamente en las es(ecificaciones tcnicas sino tam#in en (roceimientos y 'a#iliaes %!e (ermitan al (rofesional %!e se certifi%!e, enfrentar la ifícil tarea e reconstr!ir escenarios, esta#lecer y reconocer eviencia i)ital, (rocesar y analizar atos (ara form!lar 'i(ótesis %!e orienten la investi)ación e !n elito informático , con el fin e esc!#rir y s!stentar las ca!sas y a!tores el mismo+ .or ello el (lanteamiento e estas certificaciones im(ortantes a nivel e Informática Forense+

CONCLUSIONES

•

La Policía Nacional en la actualidad no dispone de herramientas orientadas

específicamente

informático,

poseen un

a

la

investigación

de

un

delito

Sistema de dentificación decadactilar

automati!ado "#$S) %ue es utili!ado por el &epartamento

de

'riminalística directamente para resolver crímenes tradicionales, pero tam(in es usado como herramienta de apo*o en ciertas investigaciones de delitos informáticos+

•

La concienti!ación de la importancia %ue tienen

los delitos

informáticos ha surgido de la propia eperiencia de la Policía Nacional, al tener casos en %ue las investigaciones de(en

%uedar a

medias por%ue no se cuenta con los medios necesarios para poder cerrar el caso con la detención del atacante+

•

n el cuador eiste la Le* de Propiedad ntelectual %ue entró en vigencia en 1../ * la Le*

de 'omercio lectrónico * 0ensaes de &atos en el

2332, %ue se re4eren a las infracciones informáticas, aun%ue no es tan especí4ca en la sanción de los delitos informáticos por lo %ue resulta dificultoso sancionar al infractor de un delito+ # parte de %ue la ma*oría de los ciudadanos ecuatorianos desconocen la le* %ue eiste en nuestro país+

•

No eisten estándares esta(lecidos con respecto a la nformática $orense pero muchas organi!aciones tra(aan en esto+ l 5$' 6227 es una guía para tratar la videncia &igital * la 8' "nternational 8rgani!ation of 'omputer vidence) proponen lineamientos para la creación de una guía propia de cada institución seg9n su realidad+

•

Los casos %ue se han presentado en la Policía Nacional, han re%uerido de herramientas %ue recuperen la evidencia generalmente de discos duros * de memorias flash, %ue han formado parte dispositivos

en cadena de custodia * generalmente han necesitado

de herramientas de marcado de documentos, de monitoreo de computadoras para identificar casos de ro(o de información * de etorsión+

•

Los (eneficios %ue ofrece la nformática $orense a la Policía Nacional

son irremedia(lemente grandes *a %ue la Policía tiene

como o(etivo mantener el orden * la seguridad p9(lica * la 4nalidad del &epartamento de nvestigación de &elitos nformáticos es detectar e investigar conductas ilícitas re colectando evidencias digitales válidas para %ue se pueda dar la sentencia correcta al actor de dicho delito+

•

iste personal de la Policía Nacional %ue ha venido tra(aando en lo %ue se refiere a los &elitos nformáticos e nformática $orense * se está preparando * capacitando para poder responder al desafío de este tipo de infracciones+ Pero si eiste la falta de preparación en el orden tcnico tanto del 0inisterio P9(lico como de la Policía :udicial %ue no cuenta con la infraestructura necesaria como la(oratorios forenses especiali!ados, herramientas de soft;are * hard;are * todo el e%uipo necesario para el seguimiento de estos delitos+

RECOMENDACIONES

•

La Policía Nacional al tener un Pro*ecto de mplementación de un &epartamento de nvestigación de delitos informáticos con una sección de #nálisis $orense, es recomenda(le %ue se acople con herramientas 8pen Source *a %ue despus de un análisis comparativo con respecto a las comerciales, tienen algunas ventaas en sus características de rendimiento * la gran diferencia del costo, teniendo en cuenta %ue tanto herramientas comerciales como li(res tienen %ue ser herramientas avaladas

por instituciones autori!adas, para

%ue de esta manera se pueda dar credi(ilidad a la evidencia * pueda servir como prue(a contundente+

•

Para la optimi!ación de los recursos tecnológicos * un meor aprovechamiento de las herramientas %ue se implementen en la Policía Nacional es preferi(le utili!ar puestos de tra(ao con má%uinas virtuales %ue facilitarán a los investigadores la utili!ación de un ma*or n9mero de recursos de soft;are de forma simultánea+

•

Por parte de la Policía Nacional se ha dado *a el paso de plantear el Pro*ecto para poder cu(rir los delitos informáticos, si por los diversos recursos a9n no se da, se de(e insistir hasta lograr los o(etivos propuestos+ Se de(e tam(in dar a conocer a la ciudadanía el servicio %ue presta la Policía Nacional, de modo %ue la misma sea partícipe * cola(ore con las denuncias de sta categoría * de esta manera las investigaciones

puedan ser

desarrolladas

sin

inconvenientes

*

culminar con el 4n propuesto+

•

Se recomienda usar la guía de (uenas prácticas adunta en el 'apítulo <, *a %ue está (asada en los lineamientos de la 8' * el 5$' 6227, partiendo de una metodología pro(ada como es la inspección ocular, la guía

permite optimi!ar * agili!ar los pasos

dependiendo del caso de la investigación+

•

La Legislación del cuador puede ser meorada en cuanto a &elitos informáticos se re4ere, *a %ue se podría aclarar especi4caciones con respecto a las sanciones de los involucrados en estos delitos+

•

s importante instruir al 'uerpo Policial como a los :ueces * 0agistrados, %ue se contemple dentro de la 'apacitación #nual del Personal varios seminarios so(re delitos informáticos e informática forense+

= a los encargados del &epartamento en Pro*ecto eigir

especiali!aciones en sta área+

l >o(ierno tiene la o(ligación de

(rindar el apo*o para la formación del personal+

•

s necesario formar parte de 5edes nternacionales de nformática $orense *a %ue la cooperación de países con eperiencia será de mucha utilidad para el cuador, %ue está empe!ando en sta área+

.I.LIOGRAFÍA

•

'tt(BEEE+(orc!(ine+or)forensicsforensic:iscover y

•

'tt(BEEE+vir!s(rot+comcom(!taciF8n:anti:forense+'tm

•

EEE+alfa:rei+or)

•

'tt(B EEE+f#i+)ov'%la#fsc#aciss!a(ril7sE)e+'tm

•

•

•

'tt(B(!#licaciones+erec'o+or)rei 'tt(Berec'o+or)com!niacarlos(alaella Análisis Forense Di)ital, 0ó(ez Del)ao Mi)!el, J!nio el 7<, "I.9"4D

•

In)+ arlos Del)ao eltrán Análisis Anti:Forense O

•

Art!ro 9sEalo @!ilca(i .e2afiel 45ID

•

Di)ital 4vience an om(!ter rime+ A/43, 4+ Acaemic .ress, 7+

•

Dr+ /antia)o Ac!rio Del .ino Q Intro!cción a la Informática Forense

•

Dr+ Geovanny ernal Q A#o)ao

•

INF9"MÁ5IA F9"4N/4BG4N4"A0IDAD4/, A/.459/ 5ZNI9/ 3 @4""AMI4N5A/ A!tores B Lscar 0ó(ez, @aver Amaya, "icaro 0eón+

•

'tt(BEEE+forensics:intl+comevi)!i+'tml

4%!i(o

•

e

Investi)ación

e

Incientes

y

Delitos

PPP+4IIDI+9M •

Informática Forense Giovanni !ccari Q J!an Davi G!tirrez

•

Análisis Forense Di)ital Mi)!el 0ó(ez Del)ao

Informáticos+

•

Informática Forense B Generaliaes, as(ectos tcnicos y 'erramientas Lscar 0ó(ez, @aver Amaya, "icaro 0eón

IAI/ : 't t(BEEE+co(s+or )+

•

•

@5N : 't t (B  EE E +'tcn+o r ) +

•

'tt(BEEE+acfe+or) : Assoc+ ertifie Fra! 4xaminers+

•

'tt(BEEE+icsa+com : International Information /ystems /ec!rity Assoc+

•

'tt(BEEE+'tcia+or) : @i)' 5ec'nolo)y rime Investi)ation Association+

Glo'ario de T@r(i!o'

.i'1 -n #it es !n í)ito el sistema e n!meración #inario+ 0a "eal Acaemi a 4s(a2ola "A4H 'a ace(tao la (ala#ra #it con el (l!ral #its+ 4n el sistema e n!meración ecimal se !san iez í)itos, en el #inario se !san sólo os í)itos, el  y el 1+ -n #it o í)ito #inario (!ee re(resentar !no e esos os valores,  ó 1+

dd1 es !na e las 'erramientas más em(leaas en entornos -NIT0in!x, (ermite crear imá)enes e iscos #it a #it, aemás e ofrecer otras o(ciones como o#tención el 'as' MD= e la co(ia+

De&&a%'er1 sistema e #orrao e alta ener)ía, ise2ao (ara eliminar información resiente en iscos !ros o cintas ma)nticas+

DM1 zona esmilitarizaa o re (erimetral es !na re local s!#reH %!e se !#ica entre la re interna e !na or)anización y !na re externa, )eneralmente Int e rn e t+ 4l o#$etivo e !na DM es %!e las conexiones ese la re interna y la externa a la DM estn (ermitias, mientras %!e las conexiones ese la DM sólo se (ermitan a la re externa+

E3ploi'1 es el nom#re con el %!e se ientifica !n (ro)rama informático malicioso, o (arte el (ro)rama, %!e trata e forzar al)!na eficiencia o v!lnera#ilia e otro (ro)rama+

Fdi'1 es !n (ro)rama e com(!taora is(oni#le en varios sistemas o(erativos, el c!al (ermite iviir en forma ló)ica !n isco !ro, enominao este n!evo es(acio

como (artición+ 0a escri(ción e las (articiones se )!ara en la ta#la e (articiones %!e se localiza en el sector  e caa isco+

FPor1 'erramienta (ara ientificar (!ertos a#iertos y a(licaciones asociaas a los mismos+

Freeare1 es !n ti(o e softEare e istri#!ción sin costo y (or tiem(o ilimitao, s!ele incl!ir !na licencia e !so, %!e (ermite s! reistri#!ción (ero con al)!nas restricciones, como no moificar la a(licación en sí, ni venerla+ 5am#in (!ee esa!torizarse el !so en !na com(a2ía con fines comerciales o en !na entia )!#ernamental+

G%ardia! Do&1 mtoo (ara #orrar iscos !ros a travs e !n (otente imán en s! interior, no necesita electricia y tiene s!ficiente (otencia (ara s!(erar la (rotección e las c!#iertas e acero contra cam(os ma)nticos+ Destr!ye toos los atos el isco, incl!so los %!e se enc!entran en áreas %!e los orenaores no (!een leer, y (!ee #orrar c!al%!ier ti(o e !nia ma)nticaB cintas V@/, cintas DA5, iscos I. y similares, etc+

Qer!el1 es la (arte f!namental e !n sistema o(erativo 5

4l softEare es el

encar)ao e )estionar rec!rsos, a travs e servicios e llamaa al sistema+ omo 'ay m!c'os (ro)ramas y el acceso al 'arEare es limitao, el n*cleo tam#in se encar)a e eciir %! (ro)rama (orá 'acer !so e !n is(ositivo e 'arEare y !rante c!ánto tiem(o, lo %!e se conoce como m!lti(lexao+

Q!oppi31 es !na istri#!ción e GN-0in!x #asao en De#ian y %!e !tiliza RD4+ 4s !n 0iveD, (or lo tanto no re%!iere !na instalación en el isco !ro+ 4l sistema (!ee iniciarse ese !n D e < M 'asta la versión act!al e ;++1 en formato DVD e más e 8G#+

Ne"a1 'erramienta %!e (ermite enviar toa la información reco(ilaa a !n sistema se)!ro, como (or e$em(lo !n e%!i(o conectao en la misma re o !n (ortátil conectao irectamente al sistema afectao+

Ne''%'1 es !na 'erramienta %!e (ermite escanear v!lnera#iliaes en !na re e com(!taoras+

N(ap1 es !n (otente localizaor e v!lnera#iliaes %!e se (resentan en !na re e com(!taoras+

S!i??er'1 es !n (ro)rama %!e ca(t!ra atos entro e !na re e cóm(!to, los 'acers la !tilizan (ara o#tener nom#res e !s!arios y contrase2as, sta 'erramienta (ermite a!itar e ientificar (a%!etes e atos en !na re+ A los aministraores e re ay!a a ientificar los (ro#lemas e la re+

SS,1 /ec!re /'ell, es el nom#re e !n (rotocolo y el (ro)rama %!e lo im(lementa, sirve (ara acceer a má%!inas remotas a travs e !na re+ Meiante !n intr(rete e comanos (ermite mane$ar (or com(leto la com(!taora+ 5am#in (ermite co(iar atos en forma se)!ra, )estionar claves "/A (ara no escri#ir calves al conectar a las má%!inas y (asar los atos e c!al%!ier otra

a(licación (or !n canal se)!ro

t!nelizao+ VNC:

?irtual Net;or@ 'omputing, es un programa de soft;are li(re

(asado en una estructura cliente-servidor, el cual permite el control del ordenador servidor remotamente a travs de un ordenador cliente+ Permite %ue el sistema operativo en cada computadora sea distinto, es posi(le compartir la pantalla de una má%uina de cual%uier sistema operativo conectado desde cual%uier otro ordenador o dispositivo %ue disponga de un cliente ?N' portado+

Ap@!di"e A A95 E'K%e(a de Re'p%e'a del pro"e'o de I!"ide!e' A56 For(%lario'


E'K%e(a de Re'p%e'a del pro"e'o de I!"ide!e'

17<

Formulario de Control ante respuestas de Incidentes

3ugar#

Inicio

Feca " 1ora# Caso# Perito 2nformatico#

Datos del responsable del reporte del incidente Cedula de 2dentidad# /ombre " *pellido# Pais#

Ciudad#

Provincia# ireccion# 4elefono# Fax# Celular#

Correo 5lectronico# Feca " ora aproximada del incidente#

Descripcion del Incidente

Firma del Perito 6esponsible#

0ao A

17C

Formulario de Registros General Inicio Feca " 1ora#

3ugar#

Caso# elito# Perito# *compa7ante# Tipo de Escenario 4scenar io 1

/umero de componentes 4scenar io 7 4scenar io 8

/ombre de la evidencia 5stado de la 5videncia Cantidad

Física83ógica /um$ serie Características

!bservaciones

9 de :

0ao 

Formulario de Registros General

Encargados de Transportar la Evidencia

/úmero de 2dentificación

6esponsable quien mane0ará " tendrá acceso a la evidencia

Cargo

Firma del Perito#

: de :

Registro del E"uipo Designados en la Cadena de Custodia

Inicio Feca# Caso# Perito 6esponsable#

/úmero de 2dentif icación 6esponsable ; quien mane0a Seccion a la que pertenece evidencia

Firma del Perito 6esponsable#

dentro del departamento

Cargo

Firma

0ao A Formulario de Control de An#lisis de Discos Almacenamiento secundario fi$o % removible

6utina

S2

/<

Actividades Preliminares 9

5fectuar imagen del disco o medio de almacenamiento bit a bit

:

Generar la autenticación matemática de los datos a trav's del algoritmo de as

=

6egistrar la feca " ora del sistema

>

Generar una lista de palabras claves a buscar

Actividades en la Imagen del Disco ? 4raba0ar sobre la imagen del disco( utili+ar el algoritmo as @

*nali+ar en el disco# a$ 4ipo de Sistema
5valuar el espacio de intercambio

0$

6ecuperar arcivos eliminados

!$ ,uscar arcivos ocultos con las palabras claves en# 2$ 5spacio desperdiciado 22$ 5spacio no asignado 222$ 5spacio de intercambio 2A$ B,6 " tabla de particiones l$ 3istar todas las aplicaciones existentes en el sistema 2$

5xaminar programas e0ecutables sospecosos

9 de :

0ao  Formulario de Control de An#lisis de Discos Almacenamiento secundario fi$o % removible 6utina

S2

/<

m$ 2dentificar extensiones de arcivos sospecosos 2$ 5xaminar las extensiones de los arcivos " la coerencia con las aplicaciones que los e0ecutan n$ 5xaminar arcivos en busca de datos ocultos esteganografíaD( "a sean de tipo gráficos( imágenes( texto( comprimidos( o cualquier extensión$ o$ 5xaminar los arcivos protegidos con claves descifrando la clave previamenteD p$ 5xaminar el contenido de los arcivos de cada usuario en el directorio raí+ " si existen( en los subdirectorios q$ 5valuar el comportamiento del sistema operativo# 2$ 2ntegridad de los comandos 22$ 2ntegridad de los módulos r$ 5valuar el funcionamien to de los programas de aplicaciones s$ 6egistrar los alla+gos 2$ Capturar las pantallas t$ Generar la autenticación a trav's del algoritmo de as al finali+ar el análisis 2$ u$

Comparar resultados obtenidos de : " @$

Conservar copias del softEare utili+ado


: de :

Formulario Inventario de &oft'are Instalado % estado de componentes

Inicio

Feca# Caso# Perito#

Tipo de Escenario 4ipo de 5scenario# 4scenar io 1 4scenar io 7 4scenar io 8

/umero de componentes Componente

5stado del componente *pagado8 5ncendidoD

Firma del Perito#

SoftEare instalado

0ao A Formulario de Registros de evidencia de la computadora

Inicio

2nf-/ro#

Feca# 3ugar# Caso# u+gado# Perito#

Especificaciones de la computadora Barca8Bodelo

Bodelo

/ro$ e Serie

Placa Badre Barca8BoldeoD

Bicroprocesador Barca8BoldeoD

Bemoria 6*B

9 de :

Bemoria Cace

0ao  Formulario de Registros de evidencia de la computadora Almacenamiento secundario fi$o % removible Cantidad

4ipo is!etera-C-6
Barca8BoldeoD

Aelocidad8Capacidad

/ro$ Serie

Accesorios % Perifericos Cantidad 4ipo Placa de red( modem( cámara( tar0eta de acceso( impresora( etc

Barca8BoldeoD

Aelocidad8Capacidad

!bservaciones

Firma del Perito# ( de (

/ro$ Serie

Formulario de Estado de Evidencias

Inicio Feca#

1ora#

Caso# Perito#

/umero de evidencias


6esponsable mane0a evidencia


Código 5videncia

/ombre 5videncia

Copia de la 5videncia S8/D

onde se mantiene 3a original

Formulario de Resultados de Evidencias Inicio Feca#

Caso# Perito# Tipo de Escenario 4ipo de 5scenario# 4scena r io 1 4scena r io 7 4scena r io 8

/umero de componentes /úmero de 2dentificación



Cargo

4ipo del delito

/ombre 5videncia

SoftEare empleado

6esultado *8/D

4iempo en descubrirla

Ap@!di"e . Dib%jo' A%3iliare' para la I!ve'i&a"i#! de I!?or(4i"a Fore!'e

Ap@!di"e 91 Dib%jo' A%3iliare' > "o!"epo' "ri(i!al$'i"o' 4xisten !na !na serie e )ráficos )ráficos iferentes, iferentes, a!n%!e a!n%!e estos no sean sean

irectamente

a(lica#les al i#!$o (ericial, (ero son e m!c'a !tilia en el momento e 'acer !na re(resentación )ráfica y referirse a la misma+

95 E'K%i"io1 se refiere aB •

"e(resentación )ráfica e !na zona (e%!e2a el terreno, sin escala, o a escala a(roximaa, aclarara !n texto y reem(laza !na escri(ción lar)a y com(licaa+

•

"ealizaa 'a mano alzaa, las meias meias se a(reciarán a sim(le vista+

•

5oos 5oos los atos se anotan anotan en el mismo )ráfico (or ello no lleva referencias+ referencias+

•

"e)istrar e manera sim(le y rá(ia la sit!ación e !n l!)ar Fi)!ra 1+ 4s%!icio .anorámico

65 E'bo2o pa!or4(i"o1 .!ee reem(lazar a la foto)rafía (anorámica, en sit!aciones e carencia e elementos cámaraH o razones e visi#ilia escasa ne#linaH, etc+ /e re%!iere eB •

"e(resentación e (ers(ectiva e la zona el terreno, tal como a(arece ante el o$o el (erito+ Di#!$o a mano alzaa y sin meias estrictas+

•

"e)istrar la flec'a %!e inica el norte o el (!nto carinal 'acia el %!e realiza el es#ozo, (ermitieno orientar rá(iamente el i#!$o+

•

/e i#!$a sin escala, se i#!$ará !na re)la 'orizontal y !na vertical inicano las istancias y alt!ras relativas a(roximaasH+

•

-tilizar referencias y no escri#ir en el i#!$o+

:5 CroK%i'1 •

/e e#e re(resentar )ráficamente !na zona (e%!e2a, a escala+

•

.ara realizar el )rafico se e#e ser (aciente, metóica, metic!losa y orenaa+

•

"elacionar elementos is(ersos, creativia e inteli)encia, (ermitieno realizar !na la#or *til, (ara la inivi!alización (osterior e los elementos etectaos+

;5 Gr4?i"o1 4s la re(resentación e los elementos relacionaos con el 'ec'o investi)ao+ •

ontenrá toos los elementos (ro#atorios irectos o inirectos %!e el (erito consiere necesarios (ara investi)ar los 'ec'os+

•

/e realiza con omisión e la eificación y el mo#iliario, salvo en las áreas %!e se etecten o se enc!entre eviencia i)ital

<5 Mapa* "ara de 'i%a"i#! o pla!o del edi?i"io o ?i!"a1 #rina el so(orte necesario (ara a$!star a la escala (revia+ De ser (osi#le, es conveniente contar con a(roximaciones e mayor a menor %!e faciliten la ientificación el l!)ar el 'ec'o al lector+ 3a sea vista )eneral el #arrio estacano la manzanaH, am(liación e la manzana estacano la fincaH, (lano e la eificación estacano la 'a#itaciónH+

B Foo&ra?$a' d%ra!e la i!'pe""i#! o"%lar1 .rimero se foto)rafiará lo %!e se consiere conveniente oc!mentar y l!e)o se realizarán las emás (ericias, sec!estros, etc+ Generalmente, los instr!mentos !tilizaos (ara la cons!mación e elitos son e !so (ro'i#io, y (or lo tanto e#en ser sec!estraos y ecomisaos l!e)o e 'a#er servio como elementos e (r!e#a, sin em#ar)o en el caso es(ecífico e la (ericia informático forense, ic'os elementos (ro#atorios, no sólo son e !so le)al, sino %!e s!elen ser im(rescini#les (ara el f!ncionamiento normal e !na em(resa eterminaa+ .or eso se e#erá estar (re(arao (ara realizar co(ias en el l!)ar sin interferir+ 4l *nico %!e (!ee eterminar el sec!estro e !n elemento y s! traslao ese el l!)ar ins(eccionao es el $!ez e instr!cción o el fiscal e la ca!sa res(ectivamente acore a la $!risicción one se realiza la ins(ección+ on el fin e %!e no (!ean ser s!stit!ios (or otros, falsificánose e esa manera los meios e (r!e#a, (ero recoremos %!e la (r!e#a informático forense almacenaa en arc'ivos es intica al ori)inal+

No #asta, (ara %!e !n acta sea invália, e %!ien la reacte inc!rra en faltas e orto)rafía o em!estre fallas c!lt!rales, ya %!e ello afecta a la com(rensión e lo sentao en ic'o instr!mento /i !n form!lario no f!e firmao (or la (ersona en c!yo (oer f!eron 'allaos los elementos informáticos en la escena el crimen la ili)encia es n!la, ya %!e s! concorancia con otras (r!e#as no acreite s! realia y veracia+

Ap@!di"e C Ca'o Pr4"i"o

Caso Práctico

DelitoB Falsificación e oc!mentos e !n miem#ro e T instit!ción, el mismo emitía oc!mentos falsos %!e com(rometía a otras (ersonas (ara %!e estas le en al)o a cam#io ineroH+ •

.erito Asi)naoB Alexanra "ei#an+

•

"e)istro el 4%!i(o esi)nao en la caena e c!stoia+ Registro del E"uipo Designados en la Cadena de Custodia

Inicio Feca#

uev es 9> de Feb rer o de l :I IJ

Caso#

Fals i ficac ion de doc ume ntos *lexandra 6eiban

Perito 6esponsable#

/úmero de 2dentificación 6esponsable ; quien mane0a evidencia

Seccion a la que pertenece dentro del departamento

I9I>?@>JK:

amian 3ope+

*nalisis Forense

I9I>?@>>::

*ntonio Gu+man

*nalisis Forense


Cargo 4ecnico en escena de crimen 5xaminador de evidenia informatica

Firma

•

Acom(a2ante Desi)naoB Dr+ 5elmo /e)ovia

•

Form!lario General 0ao  Formulario de Registros General

Encargados de Transportar la E videncia


6esponsable quien mane0ará " tendrá acceso a la evidencia

I9I>?@>JK:

amian 3ope+

Cargo 4ecnico en escena de crimen

Firma del Perito#

•

5i(o e elito cometio so#orno y falsificación e oc!mentos+ oc!mentos+

•

Foto)rafías e la om(!taora om(!taora (ersonal y -/ encontraos en la escena+

•

Form!lario e control ante res(!estas e incientes+

Formulario de Control ante respuestas de Inci ncidentes

3ugar#

Inicio

Feca " 1ora#

Cuenca

ueves 9> de Febrero :IIJ

Falsificacion de documentos

Caso#

Perito 2nf ormat ormatico# ico#

*lexandra 6eiban

Datos del responsable del reporte del inci ncidente I9I>I?@:L9

Cedula de 2dentidad# Baria Galar+a

/ombre " *pellido# " *pellido#

5cuador

Ciudad#

Cuenca

Pais# Pais# *+ua"

Provincia# Provincia# Calle el Comercio =-::

ireccion#

:J@:K?K

4elefono#

-----------------

Fax#

IKJJKL@K?

Celular#

Correo 5lectronico#

mariagalar+aMotmail$com 9>-Febreo-:II J K#:I *BD

Feca " ora aproximada del incidente#

Descripcion del Incidente Falsificación de documentos " soborno a cambio de dinero( certificados falsos elaborados en documentos de Eord

Firma del Perito 6esponsible#

•

Form!lario e re)istro e softEare y com(onentes+ Formulario Inventario de &oft'are Instalado % estado de compone ponentes

Inic Inicio

Feca# Caso#

Peri to#

 uev es 9> de Febr ero er o del del :II J Falsi f f icacion t os icacion de documen tos *lexandra 6eiban 6eiban

Tipo de Escenario 4ipo de 5scenario # 4s cenar io 1

x

4sce nar io 7 4sce nar io 8

/umero de componentes

:

5stado del componente *pagado8 5ncendidoD

Componen te computadora

*pagado

S,

esconectado

SoftEare instalado NindoEs OP

-----------

Firma del Perito#

4scenario /istema e com(!tación a#iertoB om(!taora (ersonal y -/, eviencia física+ 4n vista a la información e inicios %!e se o#t!vieron al inca!tar estas eviencias, +: 4l e%!i(o com(!taorH y el is(ositivo -/ inca!tao le (ertenece aB Man!el Flores, el (res!nto estafaor+ : 4l is(ositivo -/ lleva s! nom#re Man!elH

: 4l com(!taor le (ertenece a el, la instit!ción one este inivi!o la#ora le asi)nó+ 4l nom#re e la com(!taora es ints1MH, nom#re re)istrao y asi)nao a este !s!ario (or el De(artamento e Informática e la Instit!ción+ +: 0a (rimera eviencia a ser analizaa será el -/, el estao e este is(ositivo esB vacío no (osee nin)*n ti(o e información, este estao e vació el is(ositivo es intri)ante, (or ello (ara escartarlo se lo analizara (rimero+ .ara (osteriormente analizar la eviencia más com(le$a, el isco !ro con$!ntamente con el /istema 9(erativo+ •

4stao e la 4viencia (ara (roceer al análisis+

Formulario de Estado de Evidencias

Inicio ueves 9> de Febrero :IIJ Feca#

9: PB

1ora#

Falsificacion de documentos

Caso#

*lexandra 6eiban

Perito#

/umero de evidencias

/úmero de 2dentificación I9I>?@>>:: I9I>?@>>::


Código 5videncia

amian 3ope+

C5I9

*ntonio Gu+man

C5I:


:

/ombre 5videncia Computadora de mesa

S,

Copia de la 5videncia S8/D

onde se mantiene 3a original

/<

epartamento de elitos

/<

epartamento de elitos

•

.lataforma PinoEs T.

•

4n este caso y (or el is(ositivo %!e se va analizar, se em(leara la 'erramienta ao(y, %!e (ermitirá rec!(erar los atos o arc'ivos #orraos meiante+ 4l com(onente %!e será analizao será el -/, e#io a las coniciones el is(ositivo y a los escartes (ara contin!ar (osteriormente con el Disco D!ro y /istema 9(erativo+

•

Meiante el Asistente %!e ofrece ao(y se e#erá tratar e o#tener la información+ /e e#e esco)er la eti%!eta el is(ositivo, y seleccionar el moo e reco#rar la eviencia+

Fi)!ra+ 1 aso .ráctico /elección el is(ositivo a ser analizaoH 0os arc'ivos %!e serán rec!(eraos (or esta 'erramienta, se listaran con nom#res tales comoB File 1, File 7, a%!í (arte el tra#a$o el Analizaor forense, el c!al e#erá #!scar min!ciosamente arc'ivos o oc!mentos sos(ec'osos, se)*n las fec'as en %!e se realizaron moificaciones a los mismos+

Fi)!ra+ 7 aso .ráctico nom#re e los arc'ivos rec!(eraosH

0os arc'ivos (!een ser rec!(eraos se)*n los formatos %!e se re%!ieran, así como oc!mentos e Por, 4xcel, etc+

+

Fi)!ra+ 8 aso .ráctico /elección el ti(o e formato a ser rec!(eraoH 4n vista el caso, se #!scaran solamente oc!mentos e Por, ya %!e las falsificaciones se las realiza#an (or meio e este (rocesaor e (ala#ras+

0os arc'ivos etectaos serán almacenaos, en !na ma%!ina el la#oratorio e Análisis Forense, en caso e servir serán (rote)ias y almacenaas, caso contrario se las escartaran+

Fi)!ra+ ; aso .ráctico 0ista e arc'ivos rec!(eraosH Meiante !na #*s%!ea min!ciosa (or (arte el Analizaor forense se etecto !n oc!mento File 7, entro el mismo se etecto información %!e (onía a en eviencia el elito cometio (or (arte el inivi!o (ro(ietario el -/B

Fi)!ra+ = aso .ráctico 0ista e los arc'ivos rec!(eraosH

Tesis Informatica Forense.desbloqueado

Recommend Documents