Manual de Investigaciones en Internet

Investigaciones
vinculadas a
Redes Informticas
e Internet
1
1.- Traduccin efectuada por ArCERT del documento Investigations Involving the Internet and
Computer Networks , desarrollado por el Grupo Tcnico de Tareas para la investigacin de
delitos de alta tecnologa de stados !nidos"
Agosto - 2007
ndice de Contenidos
Presentacin.................................................................................................................................... 2
Captulo 2. Rastreo de una Direccin P hasta su origen ................................................................3
Captulo 3. nvestigaciones relacionadas con el correo electrnico (E-Mail)..................................14
Captulo 4. nvestigaciones relacionadas con Sitios Web ..............................................................23
Captulo 6. nvestigaciones relacionadas con redes que comparten archivos ...............................28
Captulo 7. nvestigaciones sobre ntrusiones en la Red/Ataques de Denegacin de Servicio.......33
Apndice A. Glosario ..................................................................................................................... 38
Apndice C. Acceso a Encabezados Detallados en los Mensajes de Correo Electrnico .............41
Apndice D. Lista de Control Sugerida para la nvestigacin sobre Archivos Compartidos...........43
nvestigaciones vinculadas a Redes nformticas e nternet
Presentacin
Este documento es una traduccin del trabajo Investigaciones que involucran Internet y
otras redes informticas ("Investigations Involving the Internet and Computer Networks"),
desarrollado por el Grupo Tcnico de Tareas para la investigacin de delitos de alta tecnologa
(Technical Working Group for the nvestigation of High Technology Crimes) y publicados por el
nstituto Nacional de Justicia (National nstitute of Justice) de los Estados Unidos de Norte
Amrica. El documento orginal se encuentra disponible para su descarga en el siguiente enlace:
http#$$www"nc%rs"gov$pd&&iles'$ni%$(')*+,"pd&
Este documento se encuentra orientado a usuarios con conocimientos tcnicos o legales, que
deseen tener una idea bsica sobre cmo debe conducirse una investigacin ante un incidente
que involucre una red de computadoras.
El objetivo de este documento es introducir los distintos pasos que resultan tiles y necesarios a la
hora de realizar una investigacin que involucre a nternet o a redes de computadoras. Se
presentan tcnicas para realizar el rastreo de una direccin P y para obtener informacin til para
la investigacin, a partir de mensajes de correo electrnico, sitios web y redes para compartir
archivos. Por ltimo, se introduce la manera de proceder para realizar investigaciones sobre
intrusiones en la red o ataques de denegacin de servicio.
Cabe aclarar que se han traducido slamente aquellos captulos considerados relevantes o que
contengan informacin til para realizar investigaciones en la Repblica Argentina. En particular,
se omiti la traduccin de los captulos 5 y 9 y de algunas secciones dentro de los otros captulos
ya que hacan referencia a las normas legales vigentes en los Estados Unidos.
Adicionalmente, en algunos captulos especficos se incluyeron notas de ArCERT con el fin de
clarificar algunos puntos o bien, adaptar los contenidos a la realidad de nuestro pas.
ArCERT [http://www.arcert.gov.ar] Pgina 2 de 43
Captulo 2. Rastreo de una Direccin P hasta su
origen
As como cualquier casa tiene una direccin, cada computadora conectada a nternet tambin
tiene una direccin. A esta direccin se la denomina direccin de Protocolo de nternet (P
nternet Protocol). Este captulo explica cmo se asignan las direcciones P y cmo rastrear las
direcciones hasta su origen.
Al investigador tambin se le pueden presentar otros tipos de direcciones. Algunos ejemplos de
estas direcciones son las de correo electrnico y las de World Wide Web (direcciones de sitio
Web).
Tipo Ejemplo
Direccin E-mail alguien@nist.gov
Direccin sitio Web www.nist.gov
Direccin Protocolo
nternet 129.6.13.23
Todas estas direcciones pueden ser rastreadas para obtener indicios de la investigacin. Para
mayor informacin sobre direcciones de correo electrnico y sitio Web, referirse a los captulos
especficos. Antes de rastrear una direccin P, es importante comprender los siguientes
conceptos.
Direccin de Protocolo de nternet
Cada dispositivo
1
involucrado en una comunicacin va nternet requiere una direccin P.

Una
direccin P es una serie de cuatro nmeros que van del 0 al 255, separados por puntos. La
direccin identifica a la red y al dispositivo especfico. El siguiente es un ejemplo de direccin P:
129.6.13.23
Una analoga sera comparar una direccin P con la direccin de un departamento. (Ver Figura 1)
1

Por ejemplo, los dispositivos pueden ser computadoras, routers, asistentes digitales personales (personal
digital assistants - PDAs), etc.
Figura 1. Direccin P y direccin de un departamento
Secuencia de la Figura: Proveedor Mayorista, Proveedor Local, Red, Direccin P del dispositivo:
129.6.13.23
Calle, Edificio, Piso, Direccin de Unidad de Departamento: 16 Maple Apt. #2
ADV!"#$IA: La direccin P no denota una ubicacin fsica del dispositivo al momento en
que est conectado a nternet.
La asignacin de direccin P usa cuatro nmeros separados por puntos que permiten un total de
256
4
o 1.099.511.627.776 direcciones nicas. Este esquema de asignacin de direcciones se est
expandiendo para permitir un uso adicional de nternet. ndependientemente del esquema de
asignacin de direcciones usado, el mtodo de rastreo de direccin P seguramente seguir
siendo el mismo.
Direccin P Privada
Hay tres grupos de direcciones P especficamente reservados para el uso en redes privadas y
que no se encuentran visibles en la nternet pblica. La informacin para estas direcciones P
provienen del propietario de la red. Los rangos son:
10.0.0.0 a 10.255.255.255
172.16.0.0 a 172.31.255.255
192.168.0.0 a 192.168.255.255
Proveedores de Servicio de nternet
Los Proveedores de Servicio de nternet (SPs) pueden ser proveedores comerciales u
organizaciones, tales como una empresa o un organismo de gobierno. Ellos pueden reservar
bloques de direcciones P que pueden ser asignadas a sus usuarios.
Los SPs pueden registrar fecha, hora, informacin de la cuenta de usuario e Identi&icacin
-utom.tica de N/mero 0-NI 1 -utomatic Num2er Identi&ication3 o identificacin de llamada
entrante o la que inicia la llamada al momento de la conexin. Si se recuerdan los registros de
eventos (logs), stos se pueden mantener durante un tiempo limitado dependiendo de la poltica
establecida del SP. Actualmente, no existe ningn requerimiento legal general para la
conservacin de los registros de eventos; por lo tanto algunos SPs no almacenan registros de
eventos. En el caso que se requieran registros de eventos en particular para la investigacin, es
importante preparar y presentar una nota de solicitud de conservacin como se describe en el
Captulo 9
2
.
#ota Ar$!": En Argentina, en el caso que se requieran registros de eventos en el marco de una
causa judicial, a peticin de parte o de oficio, el juez solicitar al SP, mediante el libramiento de un
oficio, la informacin pertinente, no pudiendo el SP negarse a proveerla.

Direcciones de P dinmicas y estticas
Las direcciones de P Dinmicas se asignan temporalmente desde un conjunto de direcciones
disponibles registradas para un SP. Estas direcciones son asignadas a un dispositivo cuando un
usuario comienza una sesin online. Por este motivo, una direccin P de un dispositivo puede
variar de una sesin a la siguiente.
Las direcciones de P Estticas se asignan permanentemente a dispositivos configurados para
que siempre tengan la misma direccin P. Una persona, empresa u organizacin que mantiene
una presencia constante en nternet, tal como un servidor Web, generalmente requiere una
direccin P esttica.
#ota: Se debe determinar la fecha y la hora en que una direccin P fue asignada, para
relacionarla a un dispositivo especfico o cuenta de usuario. El SP puede mantener un historial de
2
Nota ArCERT: El Captulo 9 no se traducir ya que refleja las normas vigentes en Estados Unidos. Para
completar, ArCERT incluye algunas notas referentes a las normas legales vigentes en la Repblica
Argentina.
archivos de registros de eventos (log &iles) que relacionan estas direcciones P asignadas
dinmicamente con un suscriptor o un usuario en particular, en un momento en particular.
Paquete
Los datos enviados por nternet estn divididos en paquetes que son enrutados a travs de
nternet y rearmados en el destino. Cuando informacin tal como archivos, mensajes de correo
electrnico, documentos HyperText Markup Language (HTML), o pginas Web se envan de un
lugar a otro dentro de una red, su sistema operativo divide la informacin en trozos (chunks) de
un tamao eficiente para el ruteo. Cada uno de estos paquetes incluye la direccin de destino.
Cada paquete puede viajar por diferentes rutas a travs de una red. Cuando llegan todos los
paquetes, son rearmados nuevamente en el archivo original.
#ota: Capturar paquetes est ms all del alcance de este informe especial. Sin embargo, los
registros de transmisin de un paquete a travs del dispositivo de red pueden ser retenidos en los
registros de eventos (logs) de ese dispositivo. Puede ser necesario trabajar con el administrador
de la red para obtener estos archivos de registros de eventos.
Dispositivos y servicios de Red
Los dispositivos y servicios de red incluyen routers,

firewalls,

proxy servers/gateways,
Network Address Translation (NAT3,

y Dynamic Host Configuration rotocol (DHC!"
4
Por
diseo, estos dispositivos y servicios pueden tener o no una funcin 5ogging que captura
informacin sobre las direcciones P de la fuente y el destino, el nombre de login de usuario, y la
fecha y hora de los logins. Algunos o todos estos dispositivos y servicios de red pueden alterar o
enmascarar la verdadera direccin P de origen o de destino. Puede ser necesario trabajar con el
administrador de la red para determinar la verdadera direccin P fuente o de destino.
Servidores de Sistema de Nombre de Dominio (DNS servers)
Los servidores de Sistema de Nombre de Dominio (DNS) son las guas telefnicas de nternet.
Mantienen los directorios que combinan las direcciones P con los dominios registrados y
descifran el texto que la gente comprende (el nombre de domino) en un formato que los
dispositivos comprenden (la direccin P).
En la Figura 2, My PC enva el pedido para la locacin de www.nist.gov. El servidor DNS
responde con la direccin de P asignada de 129.6.13.23. My PC luego solicita que se muestren
los datos desde la direccin P 129.6.13.23, la computadora en nternet que alberga (hosts) el
sitio web nist.gov.
3
Las definiciones de router, firewall, proxy server/gateway, Network Address Translation (NAT) y Dynamic
Host Configuration Protocol(DHCP), se encuentran en el ANEXO A.
Figura 2. Sistema de Nombres de Dominio (Domain Name System) (DNS)
Registro de nombres de dominio
Una persona u organizacin puede registrar un nombre de dominio siempre y cuando no est ya
registrado. Los nombres de dominio estn registrados en la nternet Corporation for Assigned
Names and Numbers (CANN), una organizacin sin fines de lucro responsable de la asignacin
de la direccin de nternet y del manejo del servidor de nombre de dominio.
La informacin requerida para registrar un dominio consiste en: nombre, domicilio, nmero de
telfono, direccin de correo electrnico e informacin tcnica y administrativa de contacto.
Adems de esta informacin, puede estar disponible en el registro la fecha en la que el dominio
fue registrado. Aunque esta informacin puede suministrar indicios para la investigacin, el
investigador debera saber que la informacin es originada por la persona que registra el dominio
y puede ser ficticia.
Alteracin con fines fraudulentos, enmascarado y redireccionado
(spoofing, masking, and redirecting)
Los mtodos avanzados para ocultar acciones en nternet incluyen esconder/ocultar la direccin
P, pretender ser otra persona y enviar trfico a travs de otra direccin P.
Estos mtodos comnmente se denominan como masking (enmascarado)
4
,

spoofing (alteracin
con fines fraudulentos)
5
y redirecting (redireccionado)
6.
Se requiere de un entrenamiento
avanzado para investigar o identificar cundo se practicaron estas acciones. Por lo tanto, an
luego de completar el proceso legal, todava puede ser necesario usar los mtodos de
investigacin tradicionales para identificar al usuario final. En algunos casos el masking, el
spoo&ing o el redirecting pueden impedir la identificacin del usuario.
Rastreo (Tracing) de una direccin P o nombre de dominio
scenario
Una persona hace un reclamo aduciendo que mientras estaba navegando por nternet, se
encontr con un sitio Web que ella cree que debera ser revisado por una autoridad competente.
La persona da el nombre del sitio Web de www.nist.gov.
4
P masking: el enmascaramiento de P es un mtodo para esconder u obstruir la fuente verdadera de la
direccin P.
5

P spoofing: la alteracin de P es un mtodo para personificar (hacerse pasar por) la direccin P de otro
sistema.
6
P redirecting: el redireccionamiento de P es un mtodo para enviar o rutear el trfico de nternet a una
direccin P oculta.
%aso &' Determinar el nombre de dominio
El primer paso es resolver el nombre de dominio de www.nist.gov a una direccin P. Se dispone
de muchas herramientas de software comerciales para asistir al investigador en la tarea de
resolver los nombres de dominio a direcciones P. Adems, muchos sitios Web disponibles
pblicamente descifrarn los nombres de dominio. Algunos de los sitios Web ms comnmente
usados incluyen los siguientes:
www.network-tools.com
www.samspade.org
www.geektools.com
www.dnsstuff.com
#ota: Los sitios de arriba contienen ms de una herramienta.
Las caractersticas y el nivel de detalle disponible en los sitios de arriba mencionados pueden
diferir. Las utilidades comunes de estos sitios Web incluyen las siguientes funciones:
whois
(quin es)
Una funcin que busca en una base de datos que incluye
nombres de dominio, direcciones P, y puntos de contacto,
incluyendo nombres, direcciones postales, y nmeros de telfono.
nslookup
(bsqueda NS)
Una funcin que busca un servidor de nombre de dominio para un
nombre en particular y da direcciones P para un dominio en
particular. Precaucin: Las direcciones P pueden no ser devueltas
desde una fuente validada y por lo tanto podran ser errneas.
traceroute
(rastreo de ruta)
Una funcin que intenta rastrear el camino que un paquete toma
cuando viaja desde un dispositivo a otro. Traceroute (rastreo de
ruta) puede ayudar a focalizar la ubicacin geogrfica de un
dispositivo en particular.
#ota: Los investigadores deberan saber que las investigaciones realizadas sobre estos sitios
podran ser monitoreadas y registradas. Es importante conducir las investigaciones delicadas
desde una computadora que no pueda ser rastreada de manera tal que permita identificar la
agencia de investigacin.
%aso (' Determinar y registrar la inscri)cin*registracin del nombre de dominio
El paso siguiente es determinar y registrar la informacin sobre inscripcin/registro del nombre de
dominio. Se pueden usar los siguientes recursos para obtener informacin sobre el registro:
www.network-tools.com
www.samspade.org
www.geektools.com
www.apnic.net (Asia)
www.checkdomain.com
www.lacnic.net
www.ripe.net (Europa)
www.whois.com
www.dnsstuff.com
Figura 3. Registro del nombre de dominio
La Figura 3 muestra la informacin de inscripcin/registro para www.nist.gov y la descifra en la
direccin P 129.6.13.23. La informacin tpica brindada incluye:
Nombre y direccin del propietario registrado.
nformacin sobre facturacin.
Contacto administrativo.
Rango de direcciones P asociadas con el dominio.
nformacin de contacto tcnica.
Los contactos listados pueden brindar informacin adicional acerca de la computadora especfica
que se est buscando, incluyendo su ubicacin y la persona designada, para iniciarle el proceso
legal.
#ota: Se puede usar el mismo proceso para resolver una direccin P hacia un nombre de
dominio, para obtener la informacin de contacto.
+Dnde est la evidencia,
La informacin puede encontrarse en numerosos lugares, incluyendo:
La computadora del usuario.
El SP del usuario.
El SP de la vctima y/o sospechoso.
Los archivos de registro de eventos (logs) contenidos en los siguientes elementos de la
vctima y/o sospechoso
Routers.
Firewalls.
Servidores Web.
Servidores de correo electrnico.
Otros dispositivos conectados.
Ver la Figura 4 donde se muestra una representacin del flujo de la informacin.
Dados una direccin P y una fecha y hora (incluyendo la zona horaria), la mayora de los SPs
pueden identificar al usuario registrado que fue asignado a la direccin P en el momento
especificado, permitiendo al investigador requerir informacin adicional. Sin embargo, el
investigador puede necesitar el uso de mtodos de investigacin tradicionales para identificar a la
persona que estaba usando la cuenta en ese momento.
%aso -' Suministrar el servicio legal del )roceso
El tercer paso es determinar las partes apropiadas para contactar y/o para cumplir con el proceso
legal, dependiendo de los elementos de la investigacin como se trata en los captulos
subsiguientes. Tpicamente se requieran Autorizaciones Legales, rdenes del Tribunal o
Citaciones Legales para entregar a la autoridad informacin exacta sobre el usuario final. Muchos
de estos requerimientos estn gobernados por el Acta de Privacidad de las Comunicaciones
Electrnicas (Electronic Communications Privacy Act - ECPA) y otras leyes Federales y Estatales
aplicables. Una solicitud de conservacin de la in&ormacin puede ayudar a conservar la
informacin hasta que se cumplan los requerimientos legales correspondientes. Estas solicitudes
deberan especificar la direccin P y la fecha y hora, incluyendo la zona horaria. Se deber estar
al tanto de la necesidad de un servicio expedito de solicitudes de conservacin de la informacin
bajo 18 USC 2703(f) (apndice G). Referirse al captulo 9 para ms detalles sobre los
requerimientos legales y al apndice H para un lenguaje de muestra.
#ota Ar$!": Se considera una buena prctica realizar todos los requerimientos por escrito,
hacindole firmar a la entidad requerida una copia que quedar en nuestro poder como constancia
de dicha solicitud. Para el supuesto que la entidad no quiera suscribir copia alguna, se aconseja
realizar el requerimiento mediante el envo de una Carta Documento.
Estos recaudos son necesarios ya que la documentacin que uno vaya recabando en la
investigacin eventualmente ser presentada en sede judicial, resultando por consiguiente
necesario acreditar el diligenciamiento adecuado.
Respecto a la forma en que deber solicitarse la informacin, es importante que en la solicitud se
especifique claramente la direccin P y la fecha y hora en que se produjo el incidente, incluyendo
la zona horaria. Ello a fin de obtener exactamente la informacin requerida. Para el supuesto que
la investigacin derive en la apertura de causa judicial, adems de la informacin resultante de la
investigacin previa, el juez podr solicitar todo tipo de informacin adicional pertinente, de oficio o
a pedido de parte, en cuyo caso la entidad involucrada estar obligada a proveerla.
Es importante tener presente que el intercambio de informacin se encuentra regulado por
diversas normas, en particular por la Ley de Proteccin de Datos Personales, pudiendo por tal
motivo el SP negarse a entregarla en la etapa extrajudicial, no as en la judicial mediando orden
del juez competente.
La informacin que se puede obtener de un SP incluye:
Informacin del suscri)tor tal como propietario registrado, domicilio y forma de pago.
Informacin de transaccin tal como horas de conexin, fechas y direccin P usada.
Figura 4. Dnde encontrar informacin
u $ontenido tal como mensajes de correo electrnico, archivos de datos, y programas
almacenados.
Parte de la informacin utilizada en el rastreo de una direccin P o del usuario final puede ser
obtenida de los SPs o los administradores de red. Esta informacin tpicamente incluye
informacin sobre la cuenta, informacin sobre la direccin de correo electrnico, direccin P, y
nombre de dominio. Puede contener o no informacin acerca del propietario o usuario. En base a
la informacin recibida, se puede requerir informacin adicional. Se pueden requerir citaciones
legales, mandamientos, rdenes del tribunal y notas de conservacin de informacin adicionales
para cumplir con las entidades identificadas por el proceso legal previo. Por ejemplo, si la
direccin P original se descifra como BG-SP.com, se emiten procesos legales a BG-SP.com
para identificar al usuario de una direccin P en particular en una fecha y hora particular. La
respuesta identifica Medium-SP.com como el usuario de esa direccin P. (Una prctica comn
entre SPs ms pequeos es ceder bloques de direcciones P de SPs ms grandes.) En este
punto, se deber emitir un proceso legal adicional para Medium-SP.com. Este proceso contina
hasta que la informacin identifica al usuario registrado (logged in ) en esa direccin P en
particular para una fecha y hora especfica o hasta que todos los hilos de la investigacin sean
agotados.
#ota Ar$!": En el marco de una causa judicial, se puede requerir informacin mediante oficios,
citaciones legales, mandamientos de secuestro de equipos y medidas cautelares que procuren la
efectiva conservacin de informacin adicional.
.enguaje de muestra' Cuando se est requiriendo informacin -extrajudicial o judicialmente-, el
siguiente lenguaje de muestra puede ser til. Sin embargo, el SP puede requerir otro lenguaje
especfico

u Informacin de cuentas de IS%: (SP account information) Cualesquiera y toda
informacin del suscriptor relacionada con la cuenta de (Nombre) incluyendo pero no
limitado a la identificacin del usuario, informacin de la cuenta del usuario, nombres de
pantalla, estado de la cuenta, informacin de la cuenta de correo electrnico, registros de
facturacin detallada, identificacin de llamada entrante (caller line identification - AN),
notas de historial de mantenimiento de la cuenta, e historial P desde (Fecha) al
presente.
u Informacin de la direccin de correo electrnico: (E-mail address information)

Cualesquiera y toda informacin del suscriptor relacionada con el individuo que registr
y mantiene la direccin de correo electrnico (JonDoe@Email.com) incluyendo pero no
limitado a la identificacin del usuario, informacin de la cuenta del usuario, nombres de
pantalla, estado de la cuenta, informacin de la cuenta de correo electrnico, registros de
presente
u Informacin de direccin I%: (P address information) Cualesquiera y toda
informacin del suscriptor relacionada con la cuenta del individuo al que le fue asignada
la direccin P (Direccin P) el (Fecha) a las (Hola y Zona Horaria) y la direccin P de
(Direccin P) para (Fecha) a las (Hora y Zona Horaria) incluyendo pero no limitado a la
identificacin del usuario, informacin de la cuenta del usuario, nombres de pantalla,
estado de la cuenta, informacin de la cuenta de correo electrnico, registros de
presente.
u Informacin de nombre de Dominio: (Domain name information) Cualesquiera y

toda informacin relacionada con la identidad de quien registr y mantiene los nombres
de dominio de (www.xxxxxxxx.com) y (www.xxxxxxxx.org) incluyendo pero no limitado a
la informacin completa de la cuenta, registros de facturacin incluyendo nombre de
tarjeta de crdito y otra informacin sobre el pago, identidad del usuario, historial P, e
identificacin de la llamada entrante.

u Informacin de la )gina /eb: (Web page information) Toda informacin sobre el
individuo que cre y mantiene la pgina Web (nombre de la pgina Web) del (SP)
incluyendo pero no limitado a la identidad del usuario, informacin de la cuenta del
usuario, registros de facturacin, informacin sobre la cuenta de correo electrnico,
identificacin de llamada entrante, registros de eventos de uso, e historial P.
u %roveedores de sesin "elnet: (Telnet session providers) Cualesquiera y todo

historial P relacionado con el trfico de nternet (xxxxx.net) y registro de eventos de uso
de sesiones Telnet de (xxxx.net) para (Fecha) y (Fecha) incluyendo pero no limitado a la
identificacin del usuario, nombre del usuario, comando de usuario emitido, y direccin
de usuario.
u Informacin sobre %unto de %resencia (Point of Presence (POP) information):

Cualesquiera y toda informacin relacionada con la ubicacin del unto de resencia
06oint o& 6resence3 (ANS.NET y otro SP) que emiti el P (Direccin P) el (Fecha/Hora)
incluyendo pero no limitado a un nmero de telefnico para el acceso (dial1in access
phone num2er), direccin fsica, y (Compaa Telefnica) a quin el nmero de telfono
para el acceso est suscripto.
u !egistros telefnicos salientes: (Outgoing telephon records) Cualesquiera y toda

informacin incluyendo pero no limitada a la informacin del suscriptor y a la informacin
de facturacin para la direccin de (Direccin del Suscriptor). Cualquier y toda
informacin, pero no limitada a la informacin del suscriptor e informacin de facturacin
para el nmero de telfono de (Nmero de Telfono). ncluir un listado de cualquier
llamada saliente local realizada desde la direccin de arriba. ncluir la informacin de
arriba para cualesquiera y todos los nmeros de telfono listados para la direccin de
arriba para el perodo de (Fecha/Hora).
Resumen
Todas las comunicaciones en nternet y a travs de redes dependen de una direccin P para
alcanzar su destino. La clave para investigar los delitos relacionados con nternet y redes es
identificar la direccin P de origen y rastrearla a una fuente. Estas habilidades le permiten a un
investigador localizar fuentes de evidencia adicionales, corroborar las declaraciones de las
vctimas y testigos y potencialmente, localizar un sospechoso.

Captulo 3. Investigaciones relacionadas
con el correo electrnico (E-Mail)
Un e-mail puede ser el punto inicial o un elemento clave en muchas investigaciones.
Un e-mail es el equivalente electrnico de una carta o un memo y puede incluir
adjuntos. Al igual que el papel o un correo postal, un mensaje de correo electrnico
puede representar una evidencia en muchos tipos de investigaciones. El correo
electrnico ya no es exclusivo de las computadoras /ordenadores de escritorio, dado
que ahora se pueden intercambiar mensajes !cilmente usando muchos dispositivos
port!tiles tales como tel"onos celulares, asistentes digitales personales #$%A&s', y
radio-locali(adores #pagers'.
)mo unciona el correo electrnico
Un mensaje de correo electrnico puede ser generado por medio de diferentes dispositivos y
mtodos, pero, en general, un usuario escribe un mensaje en su propia computadora y luego lo
enva a su servidor de correo (mail-server). En este punto la computadora del usuario termina su
trabajo, pero el servidor de correo an tiene el mensaje para entregar. Un servidor de correo es
como una oficina de correo postal enva y recibe correo electrnico. La mayor parte del tiempo, el
servidor de correo est separado de la computadora donde se escribi el correo. (Ver Figura 5.)

$aso * $aso + ,ervidor de correo
Figura 5. Generacin de un e-mail
El servidor de correo del emisor entrega el mensaje buscando el servidor de correo del receptor y
enva el mensaje a ese sitio. El mensaje entonces, queda en ese segundo servidor de correo y
est disponible para el receptor. Al software que se utiliza para redactar y leer el mensaje de
correo electrnico se lo conoce como el cliente de correo electrnico. Dependiendo de cmo est
configurado el cliente de correo electrnico del receptor, se podra encontrar una copia del
mensaje en la computadora del receptor, otro dispositivo electrnico como un Ayudante personal
digital o PDA (ersonal Digital Assistant) PDA, y/o en el servidor de correo o sus cintas de
resguardo (backup). Tambin se puede encontrar una copia del mensaje en la computadora del
emisor (en la casilla de enviados o en la papelera), en el servidor del correo del emisor o en sus
cintas de backup. (Ver figura 6.)
Figura 6. Entrega de un e-mail
A medida que el mensaje de correo electrnico viaja a travs de la red de comunicacin, queda un
registro abreviado del trayecto del mismo en un rea del mensaje denominado el
enca"e#amiento ($eader!" A medida que el mensaje es ruteado a travs de uno o ms
servidores de correo, cada servidor agrega su propia informacin al encabezamiento del mensaje.
l investigador )uede alcan0ar a identificar las direcciones de %rotocolo de Internet 1I%2 a
)artir del encabe0amiento y usar esta informacin )ara determinar el emisor del mensaje
usando t3cnicas tratadas en el $a)4tulo (.
)omponentes b!sicos de un mensaje de correo electrnico
Se utilizan varios mtodos para crear y enviar un mensaje de correo electrnico. La apariencia de
un mensaje de correo electrnico depende del dispositivo o del software utilizado. Sin embargo,
tpicamente, un mensaje tiene un encabezamiento (header) y un cuerpo (body) y tambin puede
tener adjuntos (attachments).
El encabezamiento de un mensaje de correo electrnico contiene informacin sobre la direccin a
la que se enva y la ruta que el mensaje toma desde el emisor hasta el receptor. El cuerpo
contiene el contenido de la comunicacin. Los adjuntos pueden ser cualquier tipo de archivo tales
como fotos, documentos, sonidos, y video.
nicialmente, cuando se visualiza un mensaje de correo electrnico, puede mostrarse slo una
pequea porcin del encabezamiento. sta generalmente es informacin puesta en el mensaje
por el emisor, como se representa en la Figura 7.
-igura .. )omponentes de un e-mail
Sin embargo, el mensaje representado en la figura 7 no muestra toda la informacin disponible.
Se puede obtener informacin adicional asociada con el mensaje mirando con ms detalle el
encabezamiento, lo cual se puede hacer de diversas formas dependiendo del software que se
est usando. Referirse al apndice C para ver las instrucciones acerca de cmo revelar la
informacin detallada del encabezamiento para los clientes de correo electrnico comunes. Tener
en cuenta que no se han listado todos los clientes de correo electrnico y que las actualizaciones
de los clientes pueden cambiar la forma de obtener la informacin detallada del encabezamiento.
El trayecto del mensaje generalmente se puede reconstruir leyendo el encabezamiento del
mensaje desde la parte inferior a la superior. A medida que el mensaje pasa a travs de
servidores de correo adicionales, el servidor de correo agrega su informacin arriba de la
informacin previa del encabezado. 5na de las informaciones ms im)ortantes que el
investigador )uede obtener del encabe0ado detallado es la direccin I% de origen. En el
ejemplo, en la figura 8, la direccin P de origen es [165.247.94.223]

*+. /-0essage-1no2 3456o6-.7jEv8i%U.a5%9/x/+xdj(:c;
**. <eceived2 rom =eb**8>?.mail.yahoo.com #@+*8.*?8.*.+.AAB' by mcCC =ith 0icrosot
,05$,9)#A.>.+*DA.A8>>'E
0on, 7 ,ep +>>? *72A?2>. ->.>>
*>. 0essage-1%2 +>>?>D>D>*A?>?.+.C>C.qmailF=eb**8>?.mail.yahoo.com
D. <eceived2 rom @*8A.+C..DC.++?B by =eb**8>?.mail.yahoo.com via;55$E 0on, >7 ,ep +>>? *72A?2>? $%5
7. %ate2 0on, 7 ,ep +>>? *72A?2>? ->.>> #$%5'
.. -rom2 3ohn ,ender Gsendersname+>>?Fyahoo.comH
8. ,ubject2 5he $lanI
A. 5o2 <ecipientJameK*Fhotmail.com
C. 010E-9ersion2 *.>)ontent-5ype2 multipart/mixedE boundaryLM>-+>C*C*?>+D*>8?>.+?7?L2+87**N
?. <eturn-$ath2 sendersname+>>?Fyahoo.com
+. /-OriginalArrival5ime2 >D ,ep +>>? >*2A?2>..>7.? #U5)'-1PE510EL@*%Q%QD*>2>*)?.8.AB
*. -->-+>C*C*?>+D-*>8?>.+?7?L2+87**)ontent-5ype2 multipart/alternativeE boundaryLR>-
7.*CADA.+*>8?>.+?7?L2+87**R
-->-7.*CADA.+-*>8?>.+?7?L2+87**)ontent-5ype2 text/plainE charsetLus-ascii
<ecibS el paquete. Encontrame en el muelle del barco. 9er mapa adjunto y nTmeros de
cuenta.
Figura 8. Encabezado del e-mail
Para comprender las partes del encabezado del mensaje de correo electrnico de la figura 8,
dicho encabezado se ha reproducido ms abajo con una descripcin lnea por lnea. Observar que
el encabezado del mensaje est compuesto por dos reas generales, el enca2e7ado del so2re y
el enca2e7ado del mensa%e"
El enca2e7ado del so2re contiene informacin agregada al mismo por los servidores de correo
que reciben el mensaje durante su trayecto. Las lneas de Recibido: y la lnea del Message-D
son los componentes ms importantes del encabezado del sobre y generalmente, son los ms
difciles de alterar 0spoo&3" En el siguiente ejemplo, las lneas del 9 al 12 son parte del encabezado
del sobre.
El enca2e7ado del mensa%e contiene informacin agregada al encabezado por el cliente de correo
electrnico del usuario. Generalmente, sta es una informacin creada por el usuario y es la ms
fcil de alterar (spoof). Contiene el Para:, De:, Camino de Retorno:, Tema:, Tipo de Contenido:, y
la primera mencin de la Fecha y hora. En el ejemplo siguiente, las lneas del 2 al 8 son parte del
encabezado del mensaje.
&(' 678essage7Info9 :;"<o<F=>jv?iD5=a"DV*@6(@dj0AcB
5os enca2e7ados 8 no son est.ndar ni son esenciales para la entrega del correo" 5a utilidad
del enca2e7amiento 8 necesita ser e9plorada con el 6roveedor del :ervicio de Internet 0I:63"
&&' !eceived9 from Ceb&&?D-'mail'yaEoo'com 1F(&?'&-?'&=('GGH2 by mcI7fI CitE
8icrosoft S8"%SV$1G'D'(&JG'G?DD2K
8onL > Se) (DD- &>9G-9D= 7D=DD
;eceived#
0;eci2ido#3
sta lnea de ;eci2ido es la /ltima in&ormacin colocada en el enca2e7ado" s colocada por
el /ltimo servidor de correo en reci2ir el mensa%e e identi&icar. al servidor de correo desde el
cual &ue reci2ido" <2servar =ue la in&ormacin de &echa > hora est. generada por el servidor
de correo de recepcin e indica su salida desde %TC 01)*))3" n este e%emplo, el nom2re del
servidor de correo est. indicado" sto puede lograrse >a &uere por el servidor de recepcin
resolviendo la direccin I6 del /ltimo servidor de correo, o por el servidor de correo previo
=ue di&unde su nom2re"
&D' 8essage7ID9 (DD-DJDJD&G-D-'(=IDI'qmailMCeb&&?D-'mail'yaEoo'com
?essage1I@ 0Identi&icacin del
?ensa%e#3
s un identi&icador /nico asignado a cada mensa%e" Generalmente es asignado por el primer
servidor de correo > es una in&ormacin clave para el investigador" Contrariamente a la
direccin I6 de origen 0ver m.s a2a%o3, =ue puede dar in&ormacin del suscriptor, la
identi&icacin del mensa%e puede vincular el mensa%e al emisor si se mantienen los registros
0logs3 apropiados"
J' !eceived9 from F&?G'(I='JI'((-H by Ceb&&?D-'mail'yaEoo'com via B""%K 8onL D> Se)
(DD- &>9G-9D- %D"
;eceived#
0;eci2ido#3
5a /ltima lnea en ;eci2ido identi&ica la direccin I6 del servidor de correo originario" 6odra
indicar el nom2re del servidor, el protocolo utili7ado, > la &echa > hora programados 0settings3
en el servidor" <2servar los datos de 7ona horaria =ue se in&orman"
6;C-!CIAN# :i la &echa > hora asociados al e1mail son importantes para la investigacin,
considerar =ue esta hora de ;eci2ido registrada en el enca2e7amiento del e1mail proviene
del servidor de e1mail > puede no ser precisa"
>' Date9 8onL > Se) (DD- &>9G-9D- 7D=DD 1%D"2
@ate#
0Becha#3
sta &echa est. asignada por la m.=uina del emisor > puede no concordar con la &echa > hora
del servidor de correo" :i la &echa > hora de creacin del mensa%e son importantes para la
investigacin, considerar =ue el tiempo registrado en el enca2e7ado del mensa%e proviene de
la m.=uina del emisor > pude no ser preciso"
=' From9 :oEn Sender Nsendersname(DD-MyaEoo'comO
Brom#
0@e#3
sta in&ormacin generalmente est. con&igurada por el usuario en el cliente de correo
electrnico > puede no ser con&ia2le"
?' Subject9"Ee %lanP
:u2%ect#
0Tema#3
Csta es in&ormacin ingresada por el usuario"
G' "o9 !eci)ient#ameQ&MEotmail'com
To# 0-3#
Csta es in&ormacin ingresada por el usuario"
I' 8I87Version9 &'D
$ontent7"y)e9 multi)art*mi@edK boundaryRD7(DI&I&-D(J7&D?-D=(->-R9(?>&&
l propsito de estas dos lneas es darle al cliente de correo del receptor in&ormacin acerca
de cmo interpretar el contenido del mensa%e"
-' !eturn7%atE9 sendersname(DD-MyaEoo'com
;eturn16ath# 0Camino de ;etorno#3
Csta es in&ormacin generalmente con&igurada por el usuario en el cliente de correo > puede no
ser con&ia2le"
(' 67SriginalArrival"ime9 DJ Se) (DD- D&9G-9D='D>=- 15"$2
FI."I8RF&DTDTJ&D9D&$-=?=GH
5os enca2e7ados 8 no son est.ndar > no son esenciales para la entrega del correo" 5a utilidad
del enca2e7ado 8 re=uiere ser e9plorada con el 6roveedor del :ervicio de Internet 0I:63"D
&' 77D7(DI&I&-D(J7&D?-D=(->-R9(?>&&
In&ormacin del cliente de correo, no relevante para la investigacin"
5na ve0 que las direcciones I% estn identificadas en el encabe0ado se )ueden utili0ar los
)rocedimientos descri)tos en el ca)4tulo ( )ara rastrear el trayecto del mensaje' "ener en
cuenta que las direcciones I% )ueden ser creadas o alteradas 1s)oofed2 en un intento de
ocultar la verdadera identidad del emisor'
5ime stamping #,ello de 5iempo'
Los investigadores deben tener en cuenta que, cuando examinan los encabezamientos de los e-
mails, las horas pueden no ser consistentes. Se deben examinar los sellos de fecha y hora
relacionados con el encabezado debido a que esta informacin puede ser agregada por
diferentes servidores en distintas partes del mundo y en variadas zonas horarias y pueden no ser
consistentes. Adems, los relojes incorporados dentro de los equipos y que funcionan con pilas
especialmente aquellos dentro de las computadoras personalespueden no estar siempre
programados con precisin o pueden no mantener la hora correctamente, mostrando as una
hora incorrecta. Se debera dar consideracin especial a la bsqueda de informacin sobre la
zona horaria relacionada con la hora del mensaje.
La Figura 9 muestra una secuencia cronolgica de acciones con diferentes horas de relojes
involucrados en la transmisin de un e-mail.
;ora errnea ;ora ,tandard U5) ;ora Est!ndar ;ora ,tandard
Oriental de la 0ontaUa $acSico
Laptop del Servidor del Servidor de Servidor de mail Computadora
de
emisor emisor mail del proveedor local escritorio del
del servicio Internet receptor
Figura 9. Secuencia de hora de un e-mail
5emas a los que se debe prestar atencin
ncabe0amientos de e7mail alterados (spoofed). Todo lo que haya hasta la lnea superior de
Recibido: en el encabezado del mensaje puede ser alterado (spoofed), o falsificado (faked).
Compare la informacin del encabezado del mensaje con aquella del encabezado del sobre. Si no
concuerdan, existe la posibilidad de que el mensaje haya sido alterado.
Anonimi0adores 1Anonymi0ers2 (mtodos para lograr anonimato). Los anonimizadores son
servidores de correo electrnico que eliminan informacin de identificacin del mensaje antes de
reenviarlo. Aunque existen razones valederas para usar un servicio anonimizador, muchas
personas utilizan este servicio para ocultar su identidad. Si se utiliza un anonimizador, el
investigador tal vez no pueda rastrear el mensaje de correo electrnico hasta su origen debido a
que estos servicios generalmente no mantienen registros de eventos (logs).
.ugares remotos 1!emote .ocation2. Tener en cuenta que existen muchos lugares pblicos
donde se dispone de acceso a nternet, tales como bibliotecas, colegios, aeropuertos, hoteles y
c>2ers. Si se enva un mensaje de correo electrnico desde uno de estos lugares, puede resultar
difcil determinar el emisor real.
nv4o demorado. Muchos proveedores y clientes e-mail tienen la habilidad de permitir al emisor
programar la hora de envo de un mensaje de correo electrnico. Tambin, algunos servidores
envan mensajes a cierta hora pre-programada. Cualquiera de estas situaciones podra permitir a
una persona estar en otro lugar en el momento en que el mensaje es realmente enviado.
5bicacin del mensaje de correo electrnico. ndependientemente del tipo de cliente de correo
que se est utilizando, el mensaje puede ser almacenado en mltiples lugares. Considere
obtenerlo de todas las fuentes posibles. Por ejemplo, si el mensaje est almacenado en la Web
por un proveedor de servicio (por ej., Hotmail
, Yahoo!), el tiempo es esencial dado que muchas

de estas empresas tienen la poltica de purgar informacin luego de un cierto perodo de tiempo.
Una carta de preservacin emitida al proveedor podra ser una medida necesaria para prevenir la
purga de datos. En el captulo 9 puede encontrarse mayor informacin acerca de los pedidos de
preservacin de la informacin.
1nvestigacin orense
S!"#
Un investigador no debera intentar examinar un equipo o sistema si no ha recibido una
capacitacin especial en investigacin forense de computadoras.
El investigador debe seguir la poltica del organismo o contactar a un organismo con capacidad de
realizar una investigacin forense.
Una investigacin forense de un sistema informtico debera revelar informacin adicional, tal
como:
Otros mensajes de correo electrnico relacionados con la investigacin.
Otras direcciones de correo electrnico.
nformacin del emisor.
Contenido de las comunicaciones.
Direcciones P.
Fecha y hora de la informacin.
nformacin del usuario.
Adjuntos.
Contraseas (Passwords).
Registros de aplicacin que muestren evidencia de alteracin (spoofing).
)onsideraciones legales
#ota de "raduccin: Esta seccin no fue traducida debido a que hace referencia a normas
legales de EEUU y no posee aplicaciones prcticas en la Repblica Argentina.
<esumen
La informacin obtenida de un mensaje de correo electrnico puede ser una evidencia valiosa.
Este captulo muestra tcnicas para obtener una pieza del rompe cabezas de la investigacin. Sin
embargo, una vez que se identifica al suscriptor de una cuenta de correo electrnico, se deben
usar otras tcnicas de investigacin para localizar al individuo en el teclado al momento que el
mensaje fue enviado. Tener presente los procedimientos legales que se deben seguir para
asegurarse que la evidencia reunida pueda ser usada en un Tribunal.
Captulo 4. nvestigaciones relacionadas con Sitios
Web
Este captulo es una gua sobre los mtodos y prcticas para llevar adelante investigaciones
vinculadas a sitios Web. El investigador debera saber que el acceso a un sitio Web puede estar
monitoreado por el sujeto investigado. Este monitoreo puede revelar la identidad del investigador,
y de este modo comprometer la investigacin. Debera considerarse el uso de una computadora y
una cuenta confidencial/secreta de un Proveedor de Servicio de nternet (SP) u otros mtodos
secretos.
A"#$IU#: Las investigaciones no se deberan llevar a cabo usando la computadora del
sospechoso o de la vctima a menos que existan circunstancias que lo exijan, debido a que se
puede afectar la integridad de la evidencia.
Generalmente, un sitio Web es una coleccin de pginas Web o archivos relacionados (tales
como fotos, sonidos o texto) que est almacenada en un servidor Web. El lenguaje tpico de estas
pginas est escrito en HyperText Markup Language (HTML). Este lenguaje permite a los usuarios
navegar fcilmente entre pginas o archivos relacionados dentro de esa coleccin. Tambin
permite que una coleccin de pginas relacionadas se vincule a otra coleccin de pginas
relacionada. Dicho en forma simple, HTML permite vnculos entre sitios Web.
Un servidor Web es una computadora con un software especial que provee pginas Web a los
clientes a travs de nternet o una intranet. Un servidor Web puede alojar mltiples sitios Web,
muchos de los cuales pueden no estar relacionados con la investigacin que se lleva a cabo.
Adems, los archivos que conforman un nico sitio Web pueden existir en ms de un servidor
Web.
Se accede a una pgina Web tipeando un Uniform Resource Locator (URL) dentro de un
navegador de nternet tal como nternet Explorer
, Netscape

Navigator, o Mozilla. El URL es la
direccin de un recurso o archivo, disponible en nternet. El URL contiene el protocolo del recurso
(por ej., http://, https://), el nombre del dominio (domain) para el recurso y el nombre jerrquico
para el archivo (direccin o address). Por ejemplo, una pgina en nternet puede estar en el URL
http://www.nist.gov. La parte inicial, http://, provee el protocolo, la siguiente, www, es un puntero
(pointer) hacia un servidor Web y nist.gov es el dominio. Ver el captulo 2 para mayor informacin
sobre nombres de dominio y las direcciones P asociadas con ellos.
Los hipervnculos o enlaces (Hyperlinks o simplemente links) son atajos que permiten a los
usuarios navegar desde una pgina Web a otra pgina Web o a un archivo sin ingresar
manualmente la direccin URL completa. Los enlaces pueden estar ocultos en las pginas Web,
de forma tal que probablemente slo los usuarios que conocen dnde mirar encuentren los
enlaces. Los enlaces tambin pueden re-direccionar automticamente al navegador de nternet a
un sitio Web diferente.
Los investigadores deberan saber que a pesar de que las pginas Web tpicamente estn
escritas en HTML, tambin pueden estar escritas en lenguajes script. Estos lenguajes permiten
que la pgina Web muestre un contenido individualizado para cada usuario. El contenido puede
estar hecho a medida de acuerdo con la direccin de Procotolo de nternet (P), los sitios Web
visitados previamente, los cookies almacenados u otros criterios. Por lo tanto, puede ocurrir que
dos personas que navegan simultneamente hacia el mismo URL vean contenidos diferentes.
Vista de la fuente HTML (HTML source) de una pgina Web
El cdigo fuente HTML de una pgina Web es el texto que define el contenido y formato de una
pgina. Adems de la representacin grfica que se brinda al visualizador, la pgina puede
contener informacin adicional relacionada con su autor, cdigo de programacin, metadatos (*) y
otra informacin de identificacin que puede no ser mostrada en la vista de la pgina Web. Los
navegadores de nternet (ms comunes permiten a los usuarios ver el cdigo fuente HTML de la
pgina Web. La Figura 10 muestra la captura de una pantalla para el sitio Web www.nist.gov,
seguido por la informacin del cdigo fuente HTML. Para ver el cdigo fuente usando nternet
Explorer
, seleccionar view en la barra de herramientas y luego source en el men que se

despliega.
#ota: Existen tcnicas que pueden ocultar el cdigo fuente HTML mientras que al mismo tiempo
permiten ver la pgina Web en un navegador.
(*) Metadatos en este contexto es la informacin que describe los atributos o palabras claves que
han sido insertadas en el cdigo fuente de una pgina Web.
Captura de los datos de una pgina Web
Dependiendo de la naturaleza y alcance de la investigacin, puede resultar til capturar
informacin de una sola pgina Web o todos los contenidos de un sitio Web. Las tcnicas para
obtener esta informacin pueden incluir capturas de pantalla, el comando save as, herramientas
de captura del sitio Web, o la localizacin e incautacin (seizing) del servidor Web.
$a)tura de la )antalla
Existen varios mtodos para capturar una imagen de pantalla de una pgina Web. Un mtodo es
una funcin Windows
[Ctrl]+[PrntScrn], que capturar la pantalla completa copindola al

portapapeles 0clip2oard3 Windows
" Para preservar la imagen luego se la puede copiar ([Ctrl]+[v]

or Edit > Paste) dentro de otra aplicacin, tal como un programa de procesamiento de texto o un
editor de grficos. Otro mtodo es usar una aplicacin de software de terceros especficamente
diseada para capturar imgenes de pantallas o ventanas activas. Estos mtodos pueden
capturar slo el contenido mostrado en la ventana activa pero pueden no capturar el que est
fuera de la vista de la ventana activa. La fuente HTML no se podr capturar a menos que est
expuesta (displayed).
$omando Save as
Un mtodo simple para capturar informacin de una pgina Web que puede incluir el cdigo
fuente y los archivos insertados, es usar el comando save as dentro del navegador de nternet.
Este comando guardar la pgina Web en un lugar especificado de la computadora que el
investigador est usando. En la Figura 11, el comando save as se muestra a la izquierda, y el
destino de la captura de la pgina Web se muestra a la derecha.

Figura 10. Captura de Pantalla y fuente HTML para el sitio Web NST
Observar que, dependiendo del navegador de nternet utilizado, se pueden usar varias opciones
Save as type para capturar la pgina completa y todos sus archivos insertados. En la Figura 11,
la opcin Save as type dar por resultado que la pgina Web completa con todos los archivos
insertados sean guardados en una carpeta ubicada en el mismo directorio. Se recomienda como
buena prctica, probar y verificar la informacin que es capturada usando las distintas opciones
save as antes de usar esta tcnica de investigacin. Una vez que se finaliza con la captura, se la
debera verificar inmediatamente para asegurar que toda la informacin buscada qued guardada.
Figura 11. Comando Save as y captura de pgina Web
Herramientas de captura de sitio Web
Una forma de automatizar la captura de una coleccin de pginas dentro de un sitio Web es a
travs del uso de aplicaciones de terceros. Llevara mucho tiempo navegar y guardar
manualmente cada pgina Web en un sitio de gran tamao. Existen muchas herramientas
comerciales y gratuitas para capturar sitios Web. El uso de las herramientas especficas est
ms all del alcance de este documento. En general, estos programas estn diseados para
navegar hacia cada enlace en una pgina Web y capturar todos los contenidos, incluyendo
archivos insertados y cdigos fuente, de esos enlaces.
Es importante para el investigador saber que el contenido del sitio Web actual pudo haber
cambiado desde el inicio de la investigacin. Por lo tanto, la fecha y hora de las capturas del sitio
Web deben quedar documentadas. Se puede determinar el contenido previo de muchos sitios
Web usando sitios de archivo Web (por ej., la herramienta de bsqueda &ay"ack 'ac$ine,
http://www.archive.org) o sitios similares. Para obtener detalles sobre la forma en que trabajan
estos sitios, visitar y leer la documentacin del sitio.
#ota: Para sitios Web escritos en lenguajes de scripting (scripting languages), puede no ser
posible la captura de todo el contenido especfico de inters usando las herramientas de
captura de sitio Web.
Localizacin e incautacin del servidor Web
En algunas investigaciones en las cuales el sitio Web est siendo utilizado para perpetrar un delito
(por ej., distribucin de pornografa infantil), se debe considerar la localizacin e incautacin del
servidor Web. El servidor Web puede contener el contenido y los cdigos fuente, como as
tambin los registros de transaccin que muestran las direcciones P de los usuarios que se
conectan y bajan material del sitio Web. El servidor tambin puede almacenar nombres,
contraseas, formas de pago y otra informacin pertinente para la investigacin. Para localizar e
identificar al servidor Web, ser necesario obtener la direccin P y otra informacin de
identificacin y establecer la base legal necesaria para capturar y revisar el servidor Web. Ver el
captulo 2 para los detalles de cmo determinar la direccin P para los sitios Web a travs del
dominio.
Resumen
Durante el curso de una investigacin, el investigador puede necesitar determinar y preservar los
contenidos de un sitio Web. Preservar esta informacin puede ser tan simple como capturar la
imagen de una pantalla del material relevante, pero tambin se explican tcnicas para capturar el
cdigo fuente subyacente y los contenidos completos de una pgina Web. El investigador
debera saber que el contenido de una pgina es dinmico y puede cambiar frecuentemente.
Este captulo ofrece una fuente potencial para ver el contenido histrico de una pgina Web.
Captulo 6. nvestigaciones relacionadas con redes
que comparten archivos
Los investigadores progresivamente van encontrando nuevos mtodos que se utilizan para
compartir archivos que contienen datos obtenidos de forma ilegal. Un mtodo que va creciendo a
paso acelerado utilizado para cometer delitos en nternet son las redes que comparten archivos.
Los procesos ms populares para compartir archivos son los Protocolos de Transferencia de
Archivos [File Transfer Protocol (FTP)] y las redes entre pares [Peer-to-Peer (P2P)]. Este captulo
brinda una visin general de estas tecnologas. Para consejos sobre la investigacin, ver el
apndice D.
Protocolo de Transferencia de Archivo (File Transfer Protocol -
FTP)
FTP est basado en un modelo cliente-servidor que permite al usuario transferir archivos hacia y
desde otra computadora. Cualquier computadora puede actuar como cliente o como servidor. Los
sitios FTP se pueden configurar para permitir una conexin annima o para requerir un nombre de
usuario y contrasea. Algunos programas comunes de FTP cliente incluyen navegadores de
nternet, WS-FTP (Light Edition & Pro), War FTP Daemon, CuteFTP, BulletProof FTP, y FTP
Voyager. El modelo cliente-servidor es similar a un gabinete central de archivos en una oficina
donde la gente puede acceder a documentos. (Ver Figura 20.)
Figura 20. FTP

scenario F"%
Alfredo busca en los canales de chat y en grupos de noticias para encontrar las direcciones de
los servidores FTP que estn compartiendo msica. Usa un programa cliente FTP para
conectarse a la direccin de servidor FTP que encontr. Hace un repaso de la msica disponible
y si encuentra la cancin que le gusta, baja la cancin.
Redes Entre Pares(Peer-to-Peer - P2P)
Una verdadera red P2P comparte informacin directamente entre las computadoras y no requiere
un servidor. En las redes P2P que comparten archivos tales como Kazaa, Grokster, Morpheus, o
Blubster, los usuarios que estn buscando el archivo deseado hacen la bsqueda en un
directorio que est almacenado en un servidor. (#ota9 El servidor generalmente no mantiene
registros de auditoria de la actividad de transferencia de archivos.) El directorio dirige al usuario a
la computadora o mltiples computadoras donde est almacenado el archivo real. El usuario luego
baja el archivo directamente desde una o ms computadoras en una red P2P que contiene el
archivo. La estructura de una red P2P cambia cuando las computadoras entran y salen de la red,
por lo tanto una red P2P est en un estado de cambio constante. (Ver Figura 21.)
Existen muchas aplicaciones P2P; algunas de las aplicaciones ms populares incluyen Kazaa,
Grokster, Morpheus, Blubster, WinMX, iMesh, Filetopia, eDonkey, y Freenet.
#ota Ar$!": Actualmente, las redes ms utilizadas son edonkey y Bittorrent, y dentro de los
clientes, se destacan por su popularidad el emule, utorrent, azureus y shareaza.
Figura 21. Red P2P
scenario %(% sim)le
Alfredo quiere obtener pornografa infantil. Comienza la sesin de compartir un archivo Kazaa y
busca otros usuarios Kazaa para encontrar el trmino comn de pornografa infantil Lolita. Los
usuarios en la red Kazaa normalmente tienen un directorio de tems que comparten con la red.
Alfredo encuentra numerosos archivos que se corresponden con su bsqueda y los transfiere a su
computadora directamente desde la(s) fuente(s).
Consideraciones investigativas para las redes que comparten
archivos
Las redes que comparten archivos FTP y P2P tienen usos vlidos, pero tambin permiten que los
usuarios busquen, obtengan, posean y/o distribuyan muy fcilmente una variedad de contenido
ilegal. Un individuo que usa FTP o P2P puede tener una combinacin de material ilegal y de datos
obtenidos ilegalmente, tales como:
Pornografa infantil.
Material con derecho de autor (msica, pelculas, video juegos, fotografas, software).
Propiedades intelectual/secretos comerciales.
nformacin financiera (nmeros de tarjetas de crdito, informacin de cuentas bancarias).
nformacin de identificacin personal (nmero de seguridad social, fecha de nacimiento,
licencia de conducir).
A medida que los usuarios se van haciendo ms sofisticados, pueden desarrollar tcnicas para
enmascarar su verdadera identidad. Entre estas tcnicas est el uso de servidores proxy.
scenario %(% com)lejo V servidor )ro@y
Alfredo, que no quiere ser rastreado hasta su computadora de trabajo, busca en nternet servicios
proxy gratuitos. nicia un programa Kazza, lo configura para usar una direccin de Protocolo de
nternet (P) de servicio proxy gratuito, luego busca la palabra Lolita y comienza a transferir los
archivos a su computadora va el servidor proxy. Si un investigador trata de encontrar a Alfredo
rastreando la direccin P de l, slo podr rastrear la direccin P del servidor proxy. Sin
embargo, si el servidor proxy mantiene los registros de eventos (logs), hay posibilidad de que el
investigador obtenga informacin con la que pueda identificar la verdadera direccin P de Alfredo.
A veces, sin embargo, el servidor proxy puede estar ubicado en otro pas, o los registros de
eventos (logs) pueden no estar disponibles. (Ver Figura 22.)
Las investigaciones de delitos relacionados con las redes que comparten archivos pueden ser
complejas y requerir recursos y experiencia adicionales. El primer paso en estas investigaciones
es determinar la direccin P de la computadora bajo sospecha. Esta direccin P se puede
obtener a partir del Proveedor de Servicio de nternet (SP) del demandante, a travs de una
investigacin forense de la computadora del demandante o a travs del uso de tcnicas proactivas
confidenciales. Las tcnicas confidenciales estn ms all del alcance de este informe especial.
Algunas aplicaciones de archivos compartidos proveen anonimato por medio del uso de
redirectores 0redirectors3 y servidores proxy y pueden encubrir la ubicacin del usuario con
respecto a otros usuarios e investigadores.
Figura 22. Escenario de servidor proxy
Evidencia de examen forense
La evidencia que el investigador puede obtener a partir de un examen forense de una
computadora incluye:
Archivos que son obtenidos ilegalmente.
Archivos de configuracin que muestran informacin del servidor o del usuario, historial
de conexin, drives compartidos en una red, o sitios de nternet que ofrecen un espacio
remotos para el almacenamiento de datos (por ej., X-Drive, Yahoo! Briefcase, .Mac,
etc.).
Archivos de datos que muestran ubicaciones de archivos compartidos con los nombres
de usuarios, contraseas, palabras de bsqueda, listados de archivo, e informacin de
fecha y hora (.db, .dbb).
Archivos de registros de eventos (logs) que muestran transferencias y actividad en la red.
Correo electrnico almacenado que muestre una actividad importante del usuario.
Programas de transferencia de archivos.
Evidencia SP
Evidencia que el investigador puede obtener a partir del SP del sospechoso:
Firewall, Dynamic Host Configuration Protocol (DHCP), y (AD)%* logs, que pueden ayudar
a vincular al sospechoso con la actividad ilegal.
Registros de eventos del servidor de correo electrnico, registros de pagos e informacin del
suscriptor, que puede ayudar para la identificacin del sospechoso y para vincular al
sospechoso con la actividad ilegal.
5emas legales
<esumen
Este captulo introduce el concepto de redes que comparten archivos. Las redes FTP y P2P
permiten a los usuarios compartir archivos. Los programas de cliente FTP permiten a los usuarios
bajar archivos de un servidor central, mientras que los programas de cliente P2P permiten a los
usuarios intercambiar archivos directamente entre computadoras. Los usuarios de red FTP y P2P
pueden ocultar sus verdaderas direcciones P a travs del uso de servidores proxy, lo que significa
que deben obtenerse oportunamente aquellos registros de eventos del servidor.
Captulo 7. nvestigaciones sobre ntrusiones en la
Red/Ataques de Denegacin de Servicio.
Este captulo tiene por objetivo ser un recurso para la investigacin de una intrusin en la red o un
ataque de Denegacin de Servicio [Denial of Service (DoS)]. Dado que las intrusiones y los
ataques DoS son frecuentemente implementados por medio del uso de un virus+ gusanos
(worm!+ Troyanos (Tro,an! o scripst, se incluye una breve discusin acerca de estos programas.
Las investigaciones de una red pueden ser muy complejas y pueden requerir una experiencia
adicional que est ms all del alcance de este informe especial. Previo a encausar una
investigacin es muy conveniente obtener informacin del contacto para tales recursos. Sin
embargo, hay algunos pasos bsicos que se pueden tomar para identificar qu ocurri y para
preservar la evidencia para una posterior investigacin.
Qu es una red?
Una red en su nivel ms bsico son dos o ms dispositivos conectados de forma tal que usen
hardware y software para permitir que los dispositivos se comuniquen. Los dispositivos tales
como (pero no limitados a) computadoras, impresoras, routers, switches, dispositivos
inalmbricos, puntos de acceso, laptops, y asistentes digitales personales pueden ser nodos de
una o ms redes. Un nodo es un componente de una red que realiza funciones relacionadas con
sta y se lo trata como a una entidad independiente. Los medios de conexin entre nodos pueden
incluir cables (par trenzado, par no trenzado, coaxil), fibra ptica, inalmbrico, microondas,
infrarrojo o satlite. La forma en que est configurada una red en trminos de nodos y conexiones
es su arquitectura. La arquitectura de la red puede variar desde dos dispositivos conectados entre
s en un lugar o cientos de miles de dispositivos conectados, que se encuentran en localidades
geogrficamente dispersas. Cualquier nodo en una red puede ser una fuente importante de
evidencia cuando se investiga un delito basado en una intrusin en la red o un ataque de DoS.
Virus, gusanos, y Troyanos
Los virus, gusanos y Troyanos generalmente son programas malignos 0malware3 que provocan
una accin inesperada y frecuentemente no deseada sobre el sistema de la vctima. Un virus es
un archivo ejecutable diseado para extenderse a otras computadoras sin ser detectado. Puede
ser transmitido como un adjunto a un correo electrnico, como una descarga (download), o estar
presente en un diskette o CD. Un gusano es un tipo de virus que se auto-replica a travs de una
red, consumiendo los recursos del sistema y desacelerando o deteniendo el sistema. Un Troyano
es un cdigo maligno escondido dentro un programa aparentemente inofensivo que oculta su
verdadera funcin.
Scripts
Un script es un archivo que automatiza la ejecucin de una serie de comandos. Los
administradores de la red, a menudo, usan scripts para facilitar el cumplimiento de tareas tales
como la creacin de cuentas de usurario o la implementacin de actualizaciones de seguridad.
Los scripts se obtienen fcilmente, a menudo compartidos va nternet, y pueden ser usados por
personas con un conocimiento de computacin limitado. Los scripts pueden usarse para descubrir
y explotar las vulnerabilidades de una red.
ntrusin en la red
Una intrusin es el acceso no autorizado o el acceso con exceso de privilegios de un usuario en
una red. Una intrusin generalmente se lleva a cabo tomando ventaja de un sistema que no est
correctamente configurado, una vulnerabilidad conocida que no fue enmendada (patched), o una
implementacin de seguridad dbil, tal como una contrasea en blanco o fcilmente adivinable.
Una vez que se logr el acceso a la red, el(los) intruso(s) pueden explotar el sistema de varias
formas. Algunos ejemplos incluyen:
Recoleccin de informacin sobre inteligencia del sistema.
Determinacin de cuentas y contraseas de usuario.
Mapeo de la red.
Creacin de cuentas o puertas traseras 0"ackdoors3 para ser usados ms tarde.
Aumento de privilegios del usuario.
Uso de software sniffer para monitorear el trfico de la red.
Uso de recursos de la red para almacenar y/o compartir archivos.
Acceso a datos propietarios o confidenciales.
Hurto o destruccin de datos.
Uso de recursos para identificar y explotar otros sistemas vulnerables.
%enegacin de ,ervicio #%o,'
Un ataque de Denegacin de Servicio es una accin (o acciones) diseada/s para desestabilizar
la capacidad del sistema objeto del ataque, de brindar servicios de red e impedir que los usuarios
accedan a los recursos. Un ataque DoS comn genera un flujo de datos, imponiendo una
demanda abrumadora sobre los recursos de un sistema, de forma tal que ste no puede
responder a los pedidos legtimos. Aunque un DoS frecuentemente es intencional, tambin puede
ocurrir en forma no intencional a travs de un sistema mal configurado.
1nvestigacin de las intrusiones y ataques %o,
Uno de los primeros pasos que se toman en una investigacin es identificar los individuos que
tienen informacin relacionada con el incidente. En una investigacin de una red, estos individuos
pueden incluir:
Administradores de la red.
Empleados, actuales y anteriores.
Usuarios de la red.
Proveedores de Servicio de nternet (SP).
Consultores.
Administrador(es) de tecnologa de la informacin.
Recursos humanos.
Administradores de cuentas.
Atencin9 Tener en cuenta que cualquiera de los individuos listados arriba puede ser un
sospechoso potencial o puede no estar abierto o ser sincero en cuanto a brindar informacin
precisa.
La informacin adicional a recoger de una vctima incluye:
mpacto econmico del incidente.
Medidas de seguridad de la red implementadas en el momento del incidente.
1. La identificacin de la arquitectura de red es tambin importante. Generalmente, el
administrador de la red tambin podr brindar informacin sobre los dispositivos
conectados a la red, su ubicacin fsica y la forma en que estn conectados. Otros
recursos de la evidencia a considerar incluyen:
2.
Computadoras y servidores conectados localmente.
Usuarios y dispositivos remotos
Proveedores de servicio de red externos:
3. Almacenamiento remoto.
4. Proveedores de servicios de aplicaciones.
5. Proveedores de servicios de backup remoto.
#ota: Tener en cuenta que los dispositivos que contienen evidencia pueden estar en diferentes
edificios, estados o pases.
El administrador del sistema debera poder brindar informacin sobre cualquier herramienta de
administracin del sistema o de las medidas de seguridad que estaban implementadas al
momento del incidente o de los tipos de registros de eventos (logs) que se conservaban, y de los
registros de backup desde el momento del incidente. Ejemplos de informacin que se puede
obtener de los registros de eventos incluyen si:
Se agregaron cuentas.
Se agregaron, modificaron, copiaron o eliminaron archivos.
Se configuraron acciones de seguridad o se agregaron bacWdoors 1)uertas traseras2.
Se indica actividad de virus o Troyanos.
Se copiaron herramientas de intrusin y sniffer a la red.
Se registraron direcciones de Protocolo de nternet (P) de los responsables aparentes del
ataque.
Se detuvieron o iniciaron servicios.
Se cerraron o abrieron puertos.
Ocurri otra actividad relevante.
Atencin9 Si el registro de eventos no estaba conectado/habilitado, sugerir a la vctima que lo
habilite para recopilar cualquier evidencia potencial de hechos futuros.
Atencin9 En muchas investigaciones sobre una red, la entidad que informa es la vctima. El
investigador debera conocer las repercusiones de cualquier accin tomada en la recoleccin de la
evidencia. Dependiendo de la situacin, la respuesta de la investigacin podra ser tan simple
como reunir y examinar los archivos de registro de eventos, o tan compleja como incorporar un
experto forense en redes de computacin. Tener en cuenta que cerrar la red podra provocar la
prdida de ingresos.
Redes inalmbricas
Mientras que muchas redes usan algn tipo de conexin fsica para la comunicacin, se han
tornado muy populares las redes inalmbricas que usan seales de radio para comunicarse. Una
red inalmbrica es un mtodo simple y econmico de compartir recursos que no requieren una
conexin de cableado directo. Sin embargo, el uso de una red inalmbrica requiere que el usuario
est prximo al punto de acceso inalmbrico. La fortaleza de la seal inalmbrica que est siendo
transmitida determinar la distancia mxima a la que el usuario debe estar para usar los recursos
de la red.
Dependiendo de la configuracin, los usuarios deben poder conectarse a la red inalmbrica
sin conocimiento del propietario de la red simplemente estando lo suficientemente cerca de la
seal. Por ejemplo, war driving se refiere a la accin de buscar redes inalmbricas,
utilizando un dispositivo inalmbrico para detectar los puntos de acceso a dichas redes. Ahora
hay hot spots inalmbricos disponibles en muchos lugares pblicos tales como aeropuertos,
bares, bibliotecas y restaurantes de comidas rpidas.
La informacin a reunir durante una investigacin de una red inalmbrica puede incluir si:
El dentificador de Servicio [Service Set dentifier (SSD)] estaba siendo difundido/transmitido.
El SSD es un identificador incluido en los paquetes para permitir la diferenciacin entre redes
inalmbricas mltiples. Todos los puntos de acceso y todos los dispositivos que usan una red
inalmbrica especfica deben usar el mismo SSD.
La Wired Equivalent Privacy (WEP) estaba habilitada. WEP es una forma de cifrado que se
usa para proteger la comunicacin inalmbrica de escuchas secretas y para prevenir el
acceso no autorizado a la red inalmbrica.
#ota Ar$!": WEP no es considerado un mecanismo robusto, en lo posible se debe utilizar
WPA2.
El Protocolo de Configuracin Dinmica de Equipos [Dynamic Host Configuration Protocol
(DHCP)] estaba habilitado y si los registros de eventos (logs) estn disponibles. Cuando el
DHCP est habilitado, automticamente se configura y habilita un sistema para conectarse a la
red.
Se conservaron los registros de eventos (logs) de las conexiones inalmbricas establecidas.
Esta informacin ayudar a determinar el grado de vulnerabilidad que tena la red para una
intrusin. Si las medidas de seguridad arriba mencionadas estaban implementadas, un usuario no
autorizado hubiera requerido conocimiento y/o herramientas especiales para poder acceder.
#ota: Este captulo ofrece una introduccin para las investigaciones de redes. Por naturaleza,
este tipo de investigacin es tcnicamente compleja y hay probabilidad de que se requiera la
asistencia de expertos especializados en esta rea. Permanentemente se descubren
vulnerabilidades y abusos y la informacin sobre estos temas es divulgada por varias
organizaciones que incluyen a SANS (www.sans.org) y CERT (www.cert.org). Los productores de
software antivirus brindan informacin relacionada con virus, Troyanos y gusanos, tales como
Symantec (www.symantec.com), Computer Associates (www.ca.com), y F-Secure (www.f-
secure.com).
5emas legales
<esumen
Este captulo brinda detalles con respecto a los mtodos usados para llevar a cabo intrusiones en
la red y un ataque de Denegacin de Servicios (DoS). El concepto de redes que comparten
archivos cubre las redes de Protocolo de Transferencia de Archivo [File Transfer Protocol (FTP)] y
las redes Punto a punto (P2P). Los virus, gusanos y Troyanos generalmente son programas
maliciosos que pueden provocar una accin no esperada y frecuentemente no deseada sobre un
sistema. Un script es un archivo que automatiza la ejecucin de una serie de comandos y una
intrusin es el acceso no autorizado o el acceso con exceso de privilegios de un usuario en la red.
Se ofrecen consideraciones sobre las investigaciones de una red y se incluye informacin sobre
conexin con cable fsico y tambin sobre conexiones inalmbricas para comunicacin. Uno de los
primeros pasos a tomar en cualquier investigacin es identificar a los individuos que tienen
informacin relacionada con el incidente.
Ap"ndice A. 4losario
A#I: Ver Automatic #umber Identification (dentificacin Automtica de Nmero).
Automatic #umber Identification - dentificacin Automtica de Llamada: Un servicio que
proporciona el nmero de telfono de una llamada entrante.
TacWdoor (Puerta Trasera): Una puerta trasera generalmente evade los programas de
seguridad y brinda acceso a un programa, a un servicio online o a todo un sistema de
computacin. Puede ser autorizado o no autorizado, documentado o no documentado.
$lient - (Cliente): Una computadora o programa que se conecta o solicita servicios de otra
computadora o programa. Cliente tambin se puede referir al software que permite a la
computadora o al programa establecer una conexin.
$li)board (Portapapeles): Memoria temporaria de una computadora que permite al usuario
almacenar texto y grficos para un uso futuro.
DB$% - Ver Dynamic Bost $onfiguration %rotocol.
Dynamic Bost $onfiguration %rotocol Un servicio que automatiza la asignacin de
direcciones de Protocolo de nternet (P) en una red. DHCP asigna una direccin P cada vez que
una computadora se conecta a la red. DHCP usa el concepto de una cesin (lease) o cantidad
de tiempo que una direccin P dada ser vlida para una computadora especfica. El DHCP
puede reasignar direcciones P dinmicamente para redes que tienen un requerimiento de ms
direcciones P que las que estn disponibles.
FireCall (Corta Fuego): Un programa de software o dispositivo de hardware que protege del
acceso no autorizado a los recursos de una red. Un firewall filtra los paquetes de la red para
determinar si va a enviar los paquetes al destino requerido, permitiendo el acceso.
Fully qualified domain name - (Nombre de dominio totalmente calificado): El nombre jerrquico
de un host (servidor) individual incluyendo el nombre de host junto con la ruta de red hacia ese
host (por ej., adsl226.dyn996.pushme.nist.gov).
;ateCay: Un dispositivo para direccionar trfico entre redes. Tpicamente, un gateway est
fsicamente en el permetro de una red interna hacia nternet.
Beader - (Encabezado): nformacin de identificacin transmitida como parte del paquete de datos
o del mensaje de correo electrnico o informacin de ruta de un grupo de contacto o de discusin
(newsgroup).
8alCare: Programa malicioso, desarrollado para producir inconvenientes, destruccin, o violar la
poltica de seguridad
#A" - Ver #etCorW Address "ranslation
#etCorW Address "ranslation - Un servicio que permite que las computadoras en una red
privada tengan acceso a nternet sin requerir pblicamente su propia direccin de Protocolo de
nternet (P). NAT modifica los paquetes de la red que salen para que la direccin de retorno sea
un host de nternet vlido, protegiendo as las direcciones privadas de la vista pblica.
%acWet - (Paquete): Una unidad de transmisin que contiene datos y un encabezamiento que es
ruteado (routed) entre un origen y un destino en una red.
%oint of %resence 1%S%2 - (Punto de Presencia): Un Punto de Presencia es un lugar fsico que
alberga a los servidores, routers, conmutadores ATM, y otros dispositivos. No hay que confundirlo
con Post Office Protocol (Protocolo de Correo).
%ort - (Puerto): Un punto de acceso abierto por el software un sitio de conexin lgicapara
mover informacin hacia o desde una computadora. A cada servicio de comunicacin en una
computadora (por ej., FTP, e-mail, Web) se le asigna un nmero de puerto. Los puertos estn
numerados desde 0 a 65535. Los puertos 0 a 1023 estn reservados para ser usados para
ciertos servicios estndar.
%ost Sffice %rotocol 1%S%2 - (Protocolo de Correo): Un protocolo usado para recuperar correo
electrnico de un servidor de correo.
%rotocol - (Protocolo): Un conjunto estndar de reglas que gobiernan la forma en que las
computadoras se comunican o realizan una accin.
%ro@y server - (Servidor Proxy): Un servidor que acta como un intermediario entre un usuario de
una estacin de trabajo e nternet para facilitar la seguridad, el control administrativo y los
servicios de cache. Un servidor de proxy trabaja como un gateway que separa una red (interna)
de la red externa (nternet) y como un firewall que protege la red de la intrusin externa.
!ADI5S logs - (Remote Authentication Dial-n User Service); Mtodo para autenticar usuarios
remotos conectndose a una red. Los registros de un servidor RADUS proporcionarn la
direccin P (nternet Protocol) o un nmero de telfono del usuario que est solicitando
autenticacin para la red.
!edirector - (Redireccionador): Un dispositivo o comando utilizado para enviar o rutear trfico de
nternet a otra direccin de P; a veces es utilizado para ocultar la direccin fuente o de destino.
!outer - (Ruteador): Un dispositivo que determina el siguiente punto de la red al cual el paquete
de datos debe ser enviado para llegar a su destino. El router est conectado a por lo menos dos
redes y determina qu curso va a tomar cada paquete de datos basado en su conocimiento actual
del estado de las redes a las cuales est conectado.
Server (Servidor): Una computadora que proporciona archivos y servicios para uso por parte de
otras computadoras.
Sniffer (Husmeador): Software que monitorea los paquetes de red que pueden ser usados para
interceptar datos incluyendo contraseas, nmeros de tarjeta de crdito, etc.
S)oof (Alteracin con fines fraudulentos): Cambiar la informacin de identificacin a fin de
esconder la verdadera identidad.
"elnet -: Aplicacin de Protocolo de nternet para iniciar una sesin remota con una terminal.
"Ereads (Hilos - Tramas): Grupos de mensajes y respuestas asociados, generalmente
pertenecientes a un mismo tema de discusin.
"rojan (Troyano): Una aplicacin que abiertamente hace una cosa mientras que
encubiertamente hace otra.
5"$9 Coordinated Universal Time es el nuevo estndar de tiempo mundial basado en un reloj
atmico altamente preciso, utilizado en reemplazo de la Hora de Greenwich (Greenwich Mean
Time - GMT). El UTC, como el GMT, estn fijados en el grado 0 de longitud en el meridiano
principal.
Virus: Una aplicacin maliciosa que por su propio diseo, se propaga de una computadora a otra.
/aybacW 8acEine: Un archivo histrico del contenido de la World Wide Web que se encuentra en
www.archive.org.
/orm (Gusano): Un tipo de virus que se auto replica a travs de la red.
Apndice C. Acceso a Encabezados Detallados en los
Mensajes de Correo Electrnico
Software del cliente
de correo electrnico
Mostrar nformacin Detallada del Encabezamiento
AOL Seleccionar 8ail, seleccionar 8ail Settings, seleccionar
Advanced, luego seleccionar #ever 8inimi0e Beaders.
Claris Emailer Bajo 8ail, seleccionar SEoC .ong Beaders.
Eudora (antes
versin 3x)
Seleccionar "ools, seleccionar S)tions, seleccionar Fonts X
Dis)lay, luego seleccionar SEoC all Eeaders.
Eudora (ver. 3.x a
ver. 6x BM o
Macintosh)
Seleccionar el botn T.ABL T.ABL T.AB en el mensaje de
mail entrante.
GroupWise Hacer clic en actions and delivery'
HotMail Seleccionar S)tions en la barra de navegacin de Hotmail
a la derecha de la pgina. En la pgina de Options,
seleccionar %references. Bajar hasta 8essage Beaders, y
seleccionar Full.
Lotus Notes 4.6.x
Desde la barra de men, seleccionar Actions, luego
seleccionar Delivery Information.
Lotus Notes R5 Desde la barra de men, seleccionar Actions, seleccionar
"ools luego seleccionar Delivery Information.
Netscape 4.xx
Hacer doble clic sobre el mensaje de e-mail. Seleccionar
VieC Beaders, luego seleccionar All.
Outlook Hacer doble clic sobre el mensaje de e-mail en su bandeja de
entrada para abrir el mensaje. Seleccionar VieC, luego
seleccionar S)tions.
Outlook Express Abrir el mensaje de e-mail. Desde el men File hacia abajo
(drop-down men), seleccionar %ro)erties, luego seleccionar
la pestaa Details.
PNE
Activar la opcin de encabezamiento en setup, luego tipear
h para obtener los encabezamientos.
Algunos clientes de correo electrnico no cumplen con ninguno de los estndares de nternet (por
ejemplo, cc-Mail, Beyond Mail, VAX VMS) y por lo tanto no mantienen la informacin detallada del
encabezado. No ser posible obtener encabezados detallados desde estos mensajes de correo
electrnico.
Cuando se investiguen mensajes de correo electrnico enviados dentro de una intranet (red
interna), es necesario saber que en muchos casos no se generan encabezados de correo
electrnico. Amrica Online (AOL) acta como una intranet para los mensajes de correo
electrnico que se envan desde un miembro de AOL a otro miembro de AOL. Estos mensajes no
contienen una informacin de encabezados de mensaje de correo electrnico estndar. Sin
embargo an se puede disponer de una identificacin del mensaje de correo electrnico.
Apndice D. Lista de Control Sugerida para la
nvestigacin sobre Archivos Compartidos
Bay )resentes arcEivos*datos ingresados sin autori0acin o se cometi un delito
Confirmar jurisdiccin.dentificar al sospechoso.
dentificar cualquier nombre oculto (screen names) y cmo se conectan con el sospechoso.
dentificar el programa utilizado.
Detallar cmo se ubic al sospechoso.
Determinar si hay alguna evidencia exculpatoria presente (Troyano, virus, etc.).
Revisar la declaracin/entrevista/confesin.
Usar los mtodos y procedimientos de investigacin tradicionales.
Establecer el intento.
Consultar a un experto si fuere necesario.
$onsideraciones Snline
Nombres/nmeros de cuenta.
nformacin del servidor (host).
Contraseas.
Canal/sala.
Estaba el sitio FTP activoP era ruteable?
Servicio que est siendo usado.
Documentacin
Cronogramas.
Cadena de custodia-registros de eventos (logs)/archivos.
Resumen.
Glosario.
Ayudas Visuales.
Antecedentes del sospechoso en nternet
Notas positivas en cada etapa de la investigacin.
Apndice de evidencia.
Fotos/impresiones de pantalla.

Manual de Investigaciones en Internet

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual de Investigaciones en Internet

Enviado por

Direitos autorais:

Formatos disponíveis

Investigaciones

u Informacin de la direccin de correo electrnico: (E-mail address information)

u Informacin de nombre de Dominio: (Domain name information) Cualesquiera y

u %roveedores de sesin "elnet: (Telnet session providers) Cualesquiera y todo

u Informacin sobre %unto de %resencia (Point of Presence (POP) information):

u !egistros telefnicos salientes: (Outgoing telephon records) Cualesquiera y toda

, Yahoo!), el tiempo es esencial dado que muchas

, seleccionar view en la barra de herramientas y luego source en el men que se

[Ctrl]+[PrntScrn], que capturar la pantalla completa copindola al

" Para preservar la imagen luego se la puede copiar ([Ctrl]+[v]

Você também pode gostar