Concepto

El cmputo forense, tambin llamado informtica forense, computacin forense,

anlisis forense digital o examinacin forense digital es la aplicacin de
tcnicas cientficas y analticas especializadas a infraestructura tecnolgica que
permiten identificar, preservar, analizar y presentar datos que sean vlidos
dentro de un proceso legal. Recoge pruebas con extremo cuidado, respetando
la cadena de custodia de dichas evidencias.
Dichas tcnicas incluyen reconstruir el bien informtico, examinar datos
residuales, autenticar datos y explicar las caractersticas tcnicas del uso
aplicado a los datos y bienes informticos.
La informtica forense es una disciplina relativamente joven que empez a
practicarse en los aos 80 con el anlisis directo de los medios digitales.
Informtica forense: empleo del futuro
El manejo cientfico de los datos que archivamos en formato digital ha
alumbrado esta profesin con futuro, la del informtico forense. Su nombre
excita la imaginacin del asiduo consumidor de series policiacas como C.S.I., y
en la prctica su trabajo no dista mucho de lo que vemos en las pelculas de
espionaje. Igual que un forense analiza la escena de un crimen, as escrutan
estos analistas informticos los aparatos digitales.
"Un ordenador lo cuenta todo. Slo necesitamos hacer una copia del disco duro
y crear una lnea de tiempo de su uso para saber quin ha hecho qu en cada
momento, incluso si ha habido intentos de borrar las huellas", explica Daniel
Creus. Estos informes tienen validez como prueba para litigios judiciales en
situaciones como fugas de informacin corporativa a manos de empleados
despechados o en divorcios.
Los expertos en seguridad informtica aseguran que los telfonos mviles de
ltima generacin son nuestro principal semillero de rastros digitales, as como
el mayor boquete de seguridad informtica con el que convivimos. En la
prctica, los smart-phones son ordenadores de bolsillo, donde no solo
guardamos fotos personales, listas de contactos y archivos de trabajo, sino

tambin el correo, las contraseas y a veces hasta aplicaciones para

interactuar con el banco. Un simple hurto permite tener acceso a toda esa
informacin.
Objetivos
La Informtica forense permite la solucin de conflictos tecnolgicos
relacionados con seguridad informtica y proteccin de datos. Gracias a ella,
las empresas obtienen una respuesta a problemas de privacidad,competencia
desleal, fraude, robo de informacin confidencial y/o espionaje industrial
surgidos a travs de uso indebido de las tecnologas de la informacin.
Mediante sus procedimientos se identifican, aseguran, extraen, analizan y
presentan pruebas generadas y guardadas electrnicamente para que puedan
ser aceptadas en un proceso legal.
En un breve resumen podramos indicar los siguientes objetivos del peritaje
informtico:
* Describir de manera clara el incidente de seguridad
* Describir posibles consecuencias del mismo
* Identificar al autor del incidente de seguridad
* Valorar la defensa jurdica / actuacin de las Fuerzas del Estado
* Post-mortem anlisis forense como medida de mejora en la poltica de
seguridad actual.
Cuando una empresa contrata servicios de Informtica forense puede perseguir
objetivos

preventivos,

anticipndose

al

posible

problema

objetivos

correctivos, para una solucin favorable una vez que la vulneracin y las
infracciones ya se han producido.
El objetivo del anlisis forense de dispositivos electrnicos (ordenadores
personales, servidores, agendas electrnicas, telfonos mviles, etc.) es la
identificacin de rastros digitales que evidencien que cierto suceso ha ocurrido
en el dispositivo. Estas evidencias pueden ser usadas en un juicio.

El anlisis forense informtico permite obtener evidencias informticas de un

fraude garantizando que la fuente original de la informacin, el mvil, el
ordenador, el disco, etc... no se altera durante el proceso. Es fundamental que
en cuanto se tenga la menor sospecha de la comisin de un delito o de
actividades susceptibles de ser investigadas, efectuadas en el dispositivo
electrnico, ste deje de utilizarse, ni siquiera debe apagarse, y se contacte
con profesionales para evitar la destruccin no intencionada de la prueba.
Una de las primeras acciones del equipo forense ser la duplicacin exacta de
las fuentes de datos (discos, memorias, etc.) con el objetivo de preservar las
originales inalteradas y manipular nicamente las copias para el anlisis. Para
ello, se hace uso de distintas tcnicas y dispositivos hardware que bloquean
electrnicamente la escritura en el dispositivo origen evitando cualquier tipo de
alteracin no prevista del mismo.
Una vez disponemos de copias exactas de los dispositivos origen, se procede
al anlisis de los rastros en el mismo. Tratar de analizarse cualquier rastro que
pueda identificarse, memoria voltil, ficheros existentes, borrados, protegidos
con contrasea, ocultos mediante el uso de distintas tcnicas (caractersticas
del sistema de ficheros, criptografa, esteganografa), trfico de red, registros
del sistema, etc.
El equipo forense redactar, despus del anlisis de las evidencias, un informe
tcnico y un informe ejecutivo. En el informe tcnico se detallar el proceso de
anlisis con los resultados obtenidos desde el punto de vista tcnico mientras
que en el informe ejecutivo se mostrar un anlisis no tcnico que pueda ser
empleado por un tribunal.
El anlisis forense informtico es una prueba clave en numerosas ocasiones,
como por ejemplo:
- Revelacin de secretos, espionaje industrial y confidencialidad
- Delitos econmicos, societarios o contra el mercado o los consumidores
- Delitos contra la propiedad intelectual e industrial
- Vulneracin de la intimidad

- Sabotaje
- Uso indebido de equipos
- Amenazas, calumnias e injurias
- Cumplimiento de obligaciones y contratos
- Delitos contra la Propiedad Intelectual, en caso de Software Pirata o
documentos con el debido registro de derechos de Autor.
- Robo de Propiedad Intelectual y Espionaje industrial (que aunque no se crea,
s existe en nuestro pas).
- Blanqueo de Dinero, va transferencia de fondos por Internet.
- Acoso Sexual (va e-mail); Chantaje o amenazas (va e-mail).
- Acceso no autorizado a propiedad intelectual.
- Corrupcin.
- Destruccin de Informacin Confidencial.
- Fraude (en apuestas, compras, etc. Va e-mail).
- Pornografa en todas sus formas, inclusive en la ms devastadora:
Pornografa infantil.
No obstante, para un anlisis forense efectivo, la empresa debe tomar ciertas
medidas preventivas. Aqu recomendamos algunas de las ms relevantes:
- Identificar todos los dispositivos informticos de su empresa mediante
tcnicas de inventario: pegatinas o medios parecidos.
- Consultar con su departamento de Recursos Humanos / Asesora Laboral la
obligacin de que cada empleado firme un documento oficial de la empresa
que vincule su actividad con la estacin de trabajo y se defina de manera la
poltica de la empresa en dispositivos electrnicos citando claramente sus
derechos.

- Implementar un sistema de inicio de sesin seguro en las estaciones de

trabajo (DNI digital o sistema biomtrico).
- Valorar la posibilidad de vincular la entrada / salida del personal mediante
sistemas biomtricos o de ficha con control de horarios.
- Es CRUCIAL guardar de forma permanente toda la actividad de sus sistemas
informticos mediante LOGS (ficheros de actividad) dentro de las posibilidades
de cada organizacin. En este punto sera recomendable una consultora de
sistemas.
- Tener actualizada la documentacin respecto a la LOPD (Ley Organica
Proteccin de Datos) dentro de las posibilidades de la organizacin.
Procesos tcnicos de la informtica forense
Para obtener pruebas, los investigadores examinaban la "vida interior" de los
ordenadores con ayuda de las herramientas de administracin del sistema
(Sysadmin). No obstante, esa forma de proceder poda ocasionar la
modificacin de los datos, lo que a su vez poda dar lugar a alegaciones de
falsificacin de las pruebas.
Ello condujo a la adopcin de otro enfoque, el anlisis forense, que se
compone de tres pasos:
- Identificacin y preservacin de los datos con el fin de crear un duplicado
forense, es decir, una copia exacta de los datos de un soporte digital, sin
modificar los datos originales.
- Anlisis de los datos as protegidos por medio de un software especial y de
mtodos para la recopilacin de pruebas. Medidas tpicas son, por ejemplo, la
bsqueda de contraseas, la recuperacin de archivos borrados, la obtencin
de informacin del registro de Windows (base de datos de registro), etc.
- Elaboracin de un informe por escrito sobre las evidencias descubiertas en el
anlisis y en el que se incluyan tambin las conclusiones extradas del estudio
de los datos y de la reconstruccin de los hechos o incidentes.

Para preservar y analizar datos en el contexto de una investigacin se requiere

un software muy especializado. Los jueces deben poder confiar en que las
herramientas de anlisis forense empleadas en la investigacin son fiables y
satisfacen los requisitos.
En EE. UU. se emplea el estndar de Daubert para regular la admisibilidad de
las herramientas y procesos forenses. Este estndar exige que la tecnologa y
las herramientas de software empleadas en una investigacin sean sometidas
a una prueba emprica y comprobadas por especialistas, y que los resultados
obtenidos puedan ser reproducidos por otros expertos.
Los aspectos tcnicos de la informtica forense estn determinados tambin
por el tipo de soportes digitales que se investigue. Por ello, la informtica
forense se divide en varias ramas que se ocupan del anlisis de ordenadores,
redes, bases de datos y dispositivos mviles con fines forenses. sta ltima en
especial tiene que hacer frente a los desafos que se derivan de la naturaleza
propietaria de los aparatos mviles.
Metodologas en la Informtica forense
Las distintas metodologas forenses incluyen la recogida segura de datos de
diferentes medios digitales y evidencias digitales, sin alterar los datos de
origen.
Cada fuente de informacin se cataloga preparndola para su posterior anlisis
y se documenta cada prueba aportada. Las evidencias digitales recabadas
permiten elaborar un dictamen claro, conciso, fundamentado y con justificacin
de las hiptesis que en l se barajan a partir de las pruebas recogidas.

Procedimientos correctos
Todo el procedimiento debe hacerse tenido en cuenta los requerimientos
legales para no vulnerar en ningn momento los derechos de terceros que
puedan verse afectados. Ello para que, llegado el caso, las evidencias sean
aceptadas por los tribunales y puedan constituir un elemento de prueba
fundamental, si se plantea un litigio, para alcanzar un resultado favorable.

En resumen, estamos hablando de la utilizacin de la informtica con una

finalidad preventiva, en primer trmino.
Como medida preventiva sirve a las empresas para auditar, mediante la
prctica de diversas pruebas tcnicas, que los mecanismos de proteccin
instalados y las condiciones de seguridad aplicadas a los sistemas de
informacin son suficientes.
Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de
corregirlas. Cuestin que pasa por redactar y elaborar las oportunas polticas
sobre uso de los sistemas de informacin facilitados a los empleados para no
atentar contra el derecho a la intimidad de esas personas.
Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la
informtica forense permite recoger rastros probatorios para averiguar,
siguiendo las evidencias electrnicas, el origen del ataque (si es una
vulneracin

externa

de

la

seguridad)

las

posibles

alteraciones,

manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa

para determinar las actividades realizadas desde uno o varios equipos
concretos.
Herramientas Software
Aqu exponemos algunas utilidades prcticas empleando software, para
recuperar archivos y correos borrados, rescatar las contraseas, escarbar en
cachs e historiales, buscar documentos y adjuntos de correo, buscar clasificar
y recuperar imgenes, explorar disco duro y memoria, y alguna Suite:
OSForensics y Windows File Analyzer.

Recuperacin de Datos: Contraseas y Ficheros

Es evidente que las necesidades en la investigacin forense son distintas a las
del usuario o internauta comn. Lo que s es comn es la necesidad en
determinadas circunstancias de recuperar la informacin borrada, desaparecida
o destruida voluntaria o involuntariamente.

Como norma general existen recomendaciones previas. La mejor solucin ante

una prdida de datos es la PREVENCIN.
Ahora bien: es posible recuperar informacin de un disco duro formateado?
Los expertos lo tienen claro: el denominado borrado seguro impide el rescate
de datos. Eso s, mediante la aplicacin de tcnicas forenses informticas se
podra recuperar parte del contenido albergado en un disco duro de un
ordenador en caso de realizar un formateo.
Los expertos distinguen entre dos tipos de borrados: el formateo y el borrado
seguro, este ltimo resultara imposible a la hora de obtener material
anteriormente alojado.
Se habla de formateo cuando lo que se produce es eliminar el ndice de
donde estn almacenados los archivos. Si se borra solo el ndice, los archivos
permaneceran y una empresa de recuperacin de datos podra recuperarlos.
Sin embargo, si se realiza la opcin de borrado de forma segura (una
operacin

que

se

tendra

que

contar con

herramientas y

software

especializado), momento en el que se sobreescribe la informacin existente,

imposibilita la recuperacin de datos posteriormente porque se cambia el dato
almacenado.
Para entendernos. El sistema utilizado para este borrado realiza una pasada,
sector a sector a lo largo del disco duro marcando con un carcter distinto que
imposibilita la recuperacin.
El borrado seguro o irreversible est al alcance de cualquiera. El borrado
seguro es dejar el disco como un solar, pero es una forma burda de borrar
porque es entregar un disco totalmente vaco. Se podra realizar un borrado
selectivo pero demostrara que se ha manipulado el equipo, ya que dejara
rastro y un tcnico especializado en estas lides podra averiguar las fechas en
las que se produjeron los borrados, no as acceder al fichero en cuestin.
Habra que hacerlo muy bien y mediante tcnicas antiforenses para que no se
note.

Mucha gente cree que formateando el ordenador o borrando la papelera de

reciclaje se borran las cosas, pero no es as. Si el borrado es un borrado
seguro, que hace que se cojan todas las pginas del libro y se pone 'tippex' en
todas las palabras, se dejan todas las pginas en blanco, por lo que es
imposible recuperar ms que pequeas y minsculas trazas de informacin que
en muchas ocasiones no van a servir para nada. Pero para hacer un borrado
seguro se requiere de un mano experta, manifiesta Daniel O'Grady, director
tcnico de Har2bit.
La informacin borrada se puede recuperar en caso haber utilizado
herramientas habituales de usuario, pero los expertos advierten que no es
posible rescatar los datos si se han usado mecanismos ms avanzados de
tipo profesional. Cuanto ms tiempo pasa y est en uso ese ordenador, ms
informacin borrada se est perdiendo. Si han introducido nuevos datos se va a
perder gradualmente la informacin anteriormente contenida, pero eso no
quiere quiere que no se pueda recuperar nada, solo depende de la cantidad de
material que haya introducido posteriormente.
Segn Csar Garca Jaramillo, director general de Onretrieval, el protocolo de
actuacin indica que antes de realizar el borrado seguro se hace una copia de
seguridad. Las empresas guardan una copia de seguridad, aplicando la Ley
de Proteccin de Datos. Deben estar protegidas de terceros. Por experiencia,
las empresas que recurren a borrados permanentes suelen tener una copia de
seguridad porque saben que no hay vuelta atrs. Son procesos de borrado
completamente eficaces, insiste.
Aqu ofrecemos diversos consejos generales para garantizar sus datos ante
posibles desastres, antes de tener que optar por la recuperacin de datos:

Copias de seguridad
Anti-desastre
Filtros de corriente y sai's
Antivirus actualizado
Firewall
Filtro de correo antispam

Herramientas para recuperar contraseas.

La contrasea es un sistema de proteccin usado por muchos sitios web,

programas de mensajera y herramientas ofimticas. Recolectar las claves
existentes permite rescatar mucha informacin valiosa.
- BrowserPasswordDecryptor recupera todas las contraseas almacenadas en
los navegadores web
- MessenPass hace otro tanto con los usuarios y contraseas de Messenger,
ICQ, Yahoo!
- Mail PassView rescata las claves de las cuentas de correo locales (en
Outlook, Eudora, Thunderbird, etc.)
- BulletsPassView , ShoWin y AsteriskKey desvelan las contraseas ocultas
tras asteriscos
- WirelessKeyDump obtiene las contraseas de las redes WiFi
- FireMaster intenta recuperar la contrasea maestra de Firefox
Explorar el disco duro y la memoria
Al examinar un ordenador, necesitars una visin global de carpetas y archivos;
SpaceSniffer , Scanner o WinDirStat Portable ofrecen resmenes rpidos del
reparto de espacio en los discos duros. Para crear una base de datos de
carpetas, usa getFolder y FileLister.
Herramientas para recuperar datos: archivos y correos borrados.
El mercado ofrece un amplio elenco de herramientas que prometen recuperar
archivos borrados (accidentalmente, por virus u otras causas) de las unidades
de almacenamiento, sean discos duros, pendrives o unidades extrables de
smartphones o cmaras.
A menos que alguien lleve a cabo limpiezas peridicas del espacio vaco (por
ejemplo, con Disk Wipe ) o trabaje en entornos temporales (como Live-CD o
mquinas virtuales), recuperar los archivos borrados no solo es posible, sino
tambin muy sencillo, aunque, segn la herramienta y condiciones, quiz no
siempre con los resultados esperados.

Algunas de las herramientas ms eficaces para este cometido son DiskDigger,

Recuva, Pandora Recovery o TestDisk, que rescata incluso particiones
perdidas y sectores de arranque.
Keyloggers
El software keylogger, tambin conocido como Software de registro de
actividades del Computador o keylogger, es un programa que registra
secretamente todas las actividades que tuvo lugar en un equipo, en redes de
computadores, de manera individual o corporativa.
Y cuando se dice todas las actividades, se refiere a cada golpe de teclado
mecanografiados,

el

uso

del

internet,

los

sitios

web

visitados,

las

conversaciones de chat, palabras claves, documentos impresos, la creacin o

modificacin de archivos, imgenes, correos enviados y recibidos, que
dependiendo de la sofisticacin del software keylogger que es usado, permiten
realizar un anlisis de lo que ocurre en un computador de un empleado en
particular o en redes de computadoras en empresas de gran volumen.
Suites
OSForensics es una suite de informtica forense con una serie de utilidades
nicas: buscador de texto, ndice de contenidos del disco, analizador de
actividad reciente, bsqueda de archivos borrados o discordantes y visor de
memoria y disco.
La particularidad de OSForensics, adems de concentrar varias herramientas
en una sola ventana, es su gestor de casos, til para organizar los datos de
distintas investigaciones.
Auditora de Red
Security Analysis Tool for Auditing Networks -- SATAN (Security Analysis Tool
for Auditing Network, Herramienta de Anlisis de Seguridad para la Auditora de
Redes): Aplicacin creada por Farmer y Venema con objeto de detectar fallos
en la seguridad de las redes de comunicacin.

Peritaje informtico y Legislacin

En la publicacin del Cdigo Penal paraguayo 1997 ya previ varios hechos
punibles que atienden a la criminalidad informtica. Entre otros, artculos 174,
175, 188 y 248 del Cdigo Penal, versin ley 1160/97. Tanto las reglas ya
contenidas en el Cdigo Penal desde 1997, como las incorporadas a travs de
la Ley 4439 en el ao 2011 (catorce aos despus).
Las modificaciones posteriores del Cdigo Penal se refieren, dentro de la Ley
4439, a las manipulaciones informticas como una especialidad de estafas y
otros tipos.
Existe un cuerpo legislativo, fuera del mbito penal, que complementa a los
tipos penales y que pretende regular aspectos de la Sociedad de la Informacin
como

son

la

Ley

de

Comercio

Electrnico,

la

Ley

General

de

Telecomunicaciones, la Ley de Propiedad Intelectual o la Ley de Firma

Electrnica.

La facilidad para cometer un delito informtico con un click y para borrar las
huellas dejadas con otro click, hace de esta actividad un negocio muy lucrativo
y casi exento de riesgos al utilizar el anonimato suplantando personalidades,
usando de nicks o apodos, delinquiendo desde cibercafs, blogs, foros, chats,
etc., o empleando tcnicas propiamente dichas que la informtica ensea y que
prcticamente hacen annima su utilizacin, como pueden ser los proxys,
anonimizadores web, servidores de correo web, remailers, dialers, o tcnicas
de por s delictivas como cierto tipo de malware, como los keyloggers.
Frente a esta realidad, la aplicacin de la ley est limitada por las fronteras
fsicas de los pases a unas codificaciones legales del siglo pasado, con
parches poco consistentes que dejan desprotegidos a particulares y empresas.
Qu es el Peritaje Informtico?
El peritaje informtico es una disciplina que no es reciente, pero que
ltimamente ha experimentado un auge exponencial debido, como decimos, al
avance de Internet y de la informtica en general.
Si usted o su empresa est envuelto en un caso judicial relacionado con la
informtica es posible que necesite un perito informtico de parte que realice
una prueba pericial sobre las evidencias del caso. Un equipo de peritos
profesionales (Ingenieros Informticos Superiores y de Telecomunicaciones)
pueden ofrecerle un anlisis detallado y una explicacin clara y concisa de los
resultados.
Los peritajes informticos pueden ser judiciales o de parte. En los peritajes
judiciales, el perito informtico es nombrado por el juzgado, y en los de parte, el
perito va nombrado por una de las partes litigantes.
En los ltimos aos, el nmero de casos en juicios relacionados con la
informtica se ha multiplicado. En ocasiones, ni los abogados ni los jueces son
capaces, al no ser su especialidad, de entender los detalles de un caso,
detalles que cambian el escenario completamente. En estos casos, un perito
profesional, con los conocimientos necesarios en informtica y el lenguaje
propio de un juicio es capaz de aclarar a las partes la realidad sobre
determinadas evidencias.

Casos sobre:
- Revelacin de secretos, espionaje industrial y confidencialidad
- Delitos econmicos, societarios o contra el mercado o los consumidores
- Delitos contra la propiedad intelectual e industrial
- Vulneracin de la intimidad
- Sabotaje
- Uso indebido de equipos
- Amenazas, calumnias e injurias
- Cumplimiento de obligaciones y contratos
El peritaje informtico requiere de constante actualizacin y conocimiento
experto, reas que solo pueden ser cubiertas por un perito profesional.
Un equipo de peritaje informtico debera ser experto en recuperacin de datos
en sistemas daados:
- Recuperacin de ficheros borrados
- Acceso a datos en discos daados fsicamente
Adems deberan dar mximas garantas siendo colegiados y a ser posible
estando presentes en el Turno de Actuacin Profesional. Esto le permitir que
el dictamen pericial vaya adems visado por un colegio profesional. Por otro
lado sera deseable que estuvieran certificados como Auditores de Sistemas de
Informacin o equivalentes.

Qu es un Perito Informtico?
Las Nuevas Tecnologas avanzan vertiginosamente y, al mismo tiempo, esos
avances se integran cada vez ms en nuestra vida cotidiana. Crece la oferta de
medios y dispositivos desde los que, de forma sencilla, podemos interactuar
con infinidad de personas y aplicaciones en redes informticas, donde de forma
paralela cada da nacen nuevos Ciberdelincuentes: Profesionales de la estafa
ciberntica, que se amparan en el anonimato de la red y la brecha digital.
Esta situacin general requiere estar asesorado por Expertos Tecnolgicos y
poder actuar con garantas ante los posibles delitos informticos, cada vez mas
variados, que nos puedan afectar tanto a nivel profesional como particular.
Esos expertos son los Peritos Informticos, especializados en distintos campos
de la Ingeniera Informtica, que pueden auditar y ayudar a esclarecer las
incidencias ocurridas en el mbito de las TICs'. Como ejemplo podemos citar
casos de uso indebido del material informtico, demandas por incumplimiento
de contrato en la creacin de aplicaciones informticas, fraude a travs de las
redes de comunicaciones, deteccin de falsificaciones, proteccin de datos,
seguridad corporativa, tasacin y valoracin software/hardware, defensa
jurdica
Este nuevo perfil profesional tiene como principal objetivo asesorar al juez,
fiscal o abogados respecto a temas relacionados con la informtica, tras
analizar elementos (dispositivos, ficheros, datos) que puedan constituir una
prueba o indicio significativo para la resolucin de cualquier pleito para el que el

perito se haya requerido, aportando seguridad, conocimientos y demostrando

aquellos aspectos tecnolgicos que no estn obligados a conocer profesionales
del derecho o tribunales.
El Perito Informtico es un profesional que desarrolla su trabajo dentro del
campo de la ingeniera informtica. Tiene que haber realizado el curso oficial de
peritajes de su Colegio y estar colegiado en el mismo, en pleno ejercicio de su
actividad profesional (es decir, no haber sido apartado de la profesin por el
Colegio), y adems tiene que haber contratado un seguro de responsabilidad
civil.
Para ser perito informtico es necesario estar en posesin del ttulo de
ingeniero o ingeniero tcnico en informtica, colegiarse en un colegio
profesional de ingeniera o ingeniera tcnica en informtica y realizar el curso
de peritajes organizado por el Colegio. A partir de aqu, el perito ser incluido
en las listas de peritaje propias del Colegio al que est adscrito, y tambin en
las listas que dicho Colegio enviar a los juzgados de su comunidad autnoma.
El perito informtico es un investigador forense capaz de desarrollar
actividades diversas: puede decidir si un programa informtico ha sido plagiado
de otro, si se han revelado secretos de empresa, si material personal no
autorizado ha sido publicado y distribuido a travs de redes P2P o si ha habido
un incumpliento de contrato por parte de una empresa de servicios, entre otras.
Para esto cuenta con una excelente formacin universitaria en informtica que
le permite analizar todas las evidencias electrnicas y sacar las pertinentes
conclusiones que presentar ante el cliente y/o el juez.
Para poder ejercer se necesita la contratacin de un seguro de responsabilidad
civil que se haga cargo de las eventuales indemnizaciones civiles a las que sea
condenado el perito debido al ejercicio de su actividad.
Perfil del Perito informtico
Los delitos informticos nos conducen a la figura del Perito informtico y
Tecnolgico, en sus diferentes tipologas: Forense Informtico, de Gestin
(Management), Auditor, Tasador, Mediador; segn las distintas actividades que
se pueden realizar en funcin de su formacin, especializacin y experiencia.

En cualquiera de estas modalidades el trabajo del perito tecnolgico consiste

en un estudio de cmo ocurre un incidente informtico, quin lo ejecuta, por
qu y con qu objetivo. El anlisis se realiza siempre en base a la recoleccin
de Evidencias Digitales, que podemos definir como cualquier informacin
contrastable encontrada en un sistema informtico, con datos relevantes para
el proceso en estudio y que puede utilizarse como medio de prueba.
Para ejercer como Perito Judicial Informtico es indispensable una certificacin
homologada por una institucin reconocida, Asociacin y/o Colegio Profesional,
que acredite sus conocimientos y su pericia.
Esta certificacin, junto con su titulacin universitaria, (principalmente
ingeniero, licenciado o ingeniero tcnico en informtica), le acredita como
profesional experto con amplios conocimientos en el mbito informtico y de la
legalidad, para avalar cualquier prueba o hecho que pueda ser imputable como
delito.
Centrndonos en la jurisprudencia, el Perito Informtico o Tecnolgico es un
profesional que nombra la autoridad del proceso, con el fin de que a travs de
sus conocimientos tcnicos pueda dictaminar de forma objetiva y veraz sobre
aspectos determinados relacionados con los hechos en estudio.
Como conclusin, el trabajo del perito informtico no es distinto al de otros
peritos judiciales, y se basa, igualmente, en la recopilacin de informacin, su
anlisis para obtener y explicar aquello que el juez le ha solicitado y,
finalmente,

emitir

su

dictamen,

donde

deben

plasmarse

todas

las

determinaciones de su trabajo de investigacin.

Peritaje Informtico, Direccin IP, la huella digital telemtica del criminal.
En la Sentencia de Tribunal Supremo STS 8316/2012 resultaron absueltos dos
acusados por delitos de estafa realizada por medios telemticos. Lo interesante
de esta sentencia desde el punto de vista de peritaje informtico es que se
pone en clara duda que el hecho de que se pueda relacionar una operacin
fraudulenta a una direccin IP, por ello el propietario o usuario asignado a la
misma deba ser inequvocamente el delincuente y autor de la operacin.

Esta relacin unvoca aparentemente rotunda entre la direccin IP y el usuario

de la misma, puede presentar dudas razonables sobre la veracidad y certeza a
la hora de imputar la culpabilidad a un individuo (el propietario del dispositivo).
Para establecer esta duda razonable sera necesario actuar en dos frentes en
paralelo, por un lado en el aspecto tecnolgico, por el otro lado, en el perfil y los
aspectos circunstanciales del propio individuo.
Considerando los aspectos meramente tecnolgicos, se ha de ser consciente
que los delincuentes cibernticos poseen un repertorio de herramientas y
mtodos para hacerse con la identificacin y el uso de direcciones IP de
terceros y operar a travs de ellas, tales como:
- Sistemas Desactualizados o no protegidos.
- Puertos accesibles, vulnerabilidades del Sistema.
- Redes Wifis abiertas o protecciones WAP o WEP poco seguras.
- Malwares, Troyanos, backdoors, botnets, etc.
Por lo tanto para poder establecer una duda razonable sobre el propietario de
la direccin IP como presunto delincuente, se ha de analizar el PC y los
dispositivos en bsqueda de estas vulnerabilidades que permitiran al
ciberdelincuente la usurpacin y utilizacin ilegtima de la direccin IP para
cometer el delito.
Considerando el perfil y los aspectos circunstanciales del individuo acusado y
para ello se ha de focalizar en encontrar evidencias de:
- Ausencia de lucro personal en la operacin, por lo tanto ausencia de dolo
respecto al acusado. Normalmente de hecho ni tan siquiera sospecha que se
han realizado transacciones econmicas desde su equipo.
- La no posesin de conocimientos tcnicos necesarios e imprescindibles para
obtener claves bancarias y con ello la posibilidad de ejecucin de la estafa.
- El no hallazgo de indicios de realizacin de la operacin en el examen del
equipo personal del individuo.

Ninguno de estos elementos (ni tcnicos ni circunstanciales) por s mismos son

determinantes para el establecimiento de la duda razonable sobre la
culpabilidad del individuo, pero trabajando todas estas posibilidades desde un
punto global de conjunto se puede evidenciar ms all de la duda razonable si
el presunto culpable propietario de la direccin IP involucrada, es realmente un
delincuente, o lo que cabra esperar, una vctima ms de la estafa.
As pues desde el punto de vista del informe pericial y de la defensa del
individuo se ha de considerar las posibles vas expuestas.
Los correos electrnicos como medio de prueba judicial
En los tiempos que corren est generalizado como canal de comunicacin
habitual el uso del e-mail as como de otras formas de comunicacin
electrnica y, ms concretamente en el mbito empresarial y profesional, como
forma incluso de negociacin y cierre de muchas transacciones.
A tenor del artculo 3.5 de la Ley 59/2003 de Firma Electrnica (se suelen usar
de forma indistinta los trminos firma electrnica y firma digital), se considera
documento electrnico la informacin de cualquier naturaleza en forma
electrnica, archivada en un soporte electrnico segn un formato determinado
y susceptible de identificacin y tratamiento diferenciado. Por su parte, nuestra
Ley de Enjuiciamiento Civil en el artculo 299 admite aportar como medio de
prueba los medios de reproduccin de la palabra, el sonido y la imagen, as
como los instrumentos que permiten archivar y conocer o reproducir palabras,
datos, cifras.
Los medios de prueba son aquellos con los que las partes pueden demostrar al
rgano judicial la verdad de un hecho alegado. Por tanto, la primera conclusin
a la que podemos llegar es que los correos electrnicos pueden ser aportados
como prueba a juicio, si bien al no estar regulados legalmente este tipo de
medio probatorio, son de aquellos que el Juez valora conforme a su conviccin
o sana crtica y fija libremente su fuerza probatoria.
Es por ello que ser pues necesario aportar al Juez la mayor cantidad de
evidencias que acrediten que el e-mail ha sido enviado, a qu destinatario y
quien ha sido el emisor, su autenticidad, integridad y literalidad. A tales efectos,

en la actualidad ya existen sistemas de firma digital y empresas que se dedican

a prestar tales servicios.
En el supuesto de que el e-mail aportado no sea impugnado por la parte
contraria, como cualquier otro documento privado que es, legalmente tendr el
mismo valor probatorio que un documento pblico. Ahora bien, en caso de que
sea impugnado tendremos que recurrir a la prueba pericial oportuna la que
normalmente se centra en acreditar lo siguiente:
- El emisor del correo y la identidad de la direccin de correo.
- La identidad del quipo desde el que se emite el correo (Mac address).
- La identidad del servidor del correo saliente.
- La identidad del servidor del correo entrante.
- La fecha y hora de envo y recepcin.
- La cadena de custodia de las fuentes de informacin a analizar (la cabecera
del correo y metadatos de los correos adjuntados).
- Los servidores de correo.
En definitiva, si bien los correos electrnicos son un medio de prueba que se
puede perfectamente aportar en un proceso judicial, en caso de que sea
impugnado por la parte contraria, no tendremos ms remedio que acudir a una
prueba pericial siendo fundamental para que sean considerados por el rgano
Juzgador la conclusin del informe que emita el perito sobre si el e-mail
aportado ha sido manipulado o si por el contrario verifica que mantiene su
integridad respecto a su versin original.
Fotografia Digital HD (High Dfinition) Forense
Julio Verne, en la novela Los hermanos Kip, libra a sus dos protagonistas de
una acusacin de asesinato con uno de esos trucos en los que genialmente
mezclaba ciencia con ficcin: una fotografa del rostro del asesinado mostraba
la imagen de los verdaderos culpables fijada en la retina del muerto. Los
optogramas, como as bautizaron a este supuesto fenmeno, estuvieron tan de

moda a finales del siglo XIX que hasta Scotland Yard los hizo para intentar
capturar a Jack el Destripador.
Aunque todo era superchera propia de la pseudociencia de esa poca, la
fotografa digital puede darle una segunda oportunidad a los optogramas. Dos
investigadores britnicos han demostrado que se puede identificar lo que ve
una persona fotografiada haciendo zoom en la fotografa y, por fortuna, sin
necesidad de que est muerto.
Con una cmara digital de las buenas, con una resolucin de 39 megapxeles
(Mpx), Rob Jenkins, de la Universidad de York, y Christie Kerr, de la de
Glasgow, realizaron una serie de fotografas a dos grupos de voluntarios para
dos experimentos. En el primero, situaron en el campo de visin del
fotografiado a varias personas, unas conocidas y otras desconocidas para l y,
claro al fotgrafo, que era uno de los investigadores.
Las fotos, de tamao carn, tenan una muy buena resolucin, unos 12 Mpx de
media. Las fueron ampliando hasta llegar a la crnea de uno de los ojos del
fotografiado. Tras pasarlas por el PhotoShop, consiguieron localizar los rostros
de los presentes en la escena. Eran apenas tres centenares de pxeles por
rostro pero suficientes para que, al ponerlas junto a una imagen de mejor
calidad, los voluntarios pudieran reconocer a los conocidos en el 84% de los
casos e identificar a la mitad de los desconocidos.

En un segundo experimento con nuevos voluntarios de la facultad donde

Jenkins da clases, los sujetos tenan que identificarle en una serie de seis

imgenes donde las cinco restantes eran de personas ajenas a la universidad.

Pero esta vez no haba una foto buena con la que comparar. En el 90% de los
casos, los participantes reconocieron al profesor y slo un 10% dio un falso
positivo, es decir reconoci a alguno de los desconocidos.
La pupila es como un espejo negro. Para mejorar la imagen tienes que
ampliarla y ajustar el contraste. La imagen del rostro recuperada del reflejo en
el ojo del sujeto es unas 30.000 veces ms pequea que su cara, recuerda
Jenkins. Esto supone el 0,003% de la imagen. An as, nuestros resultados
destacan la gran capacidad que tenemos para reconocer rostros humanos y
destapa el potencial de la fotografa de alta resolucin, aade en una nota.
An a pesar de la escasez de pxeles y una resolucin psima, los humanos
podemos reconocer otros rostros y esa capacidad aumenta dramticamente si
no es la primera vez que lo vemos. Por eso, Jenkins y Kerr creen que este
trabajo, publicado en PloS ONE puede ser muy til para los forenses. En
muchos delitos, como el secuestro o la grabacin de pornografa infantil, las
imgenes podran llevar a hasta los autores.
Scotland Yard nunca pudo capturar a Jack el Destripador con los optogramas.
Pero ahora no se trata de recuperar su imagen de la pupila de las asesinadas
sino de descubrir al criminal en los ojos de la vctima fotografiada.
Qu es un Malware?
Malware (del ingls malicious software), tambin llamado badware, cdigo
maligno, software malicioso o software malintencionado, es un tipo de software
que tiene como objetivo infiltrarse o daar una computadora o Sistema de
informacin sin el consentimiento de su propietario.
El trmino malware es muy utilizado por profesionales de la informtica para
referirse a una variedad de software hostil, intrusivo o molesto.
El trmino virus informtico suele aplicarse de forma incorrecta para referirse a
todos los tipos de malware, incluidos los virus verdaderos.
El software se considera malware en funcin de los efectos que, pensados por
el creador, provoque en un computador. El trmino malware incluye virus,

gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware

intrusivo, crimeware y otros softwares maliciosos e indeseables.
Malware no es lo mismo que software defectuoso; este ltimo contiene bugs
peligrosos, pero no de forma intencionada.
Los resultados publicados por diversas compaas antivirus internacionales
sugieren que el ritmo al que se ponen en circulacin cdigos maliciosos y
otros programas no deseados podra haber superado al de las aplicaciones
legtimas. Segn un reporte de F-Secure, Se produjo tanto malware en un
ao como en los 20 aos anteriores juntos.
Segn Panda Security, durante 12 meses se pueden crear hasta 73.000
nuevos ejemplares de amenazas informticas por da, 10.000 ms como media
de crecimiento anual. De stas, el 73 por ciento son troyanos y crecen de forma
exponencial los del subtipo downloaders.

Propsito malware
Haciendo un poco de historia, algunos de los primeros programas infecciosos,
incluido el primer gusano de Internet y algunos virus del antiguo MS-DOS,
fueron elaborados como experimentos, como bromas o simplemente como algo
molesto, no para causar graves daos en las computadoras. En algunos casos
el programador no se daba cuenta de cunto dao poda hacer su creacin.
Algunos jvenes que estaban aprendiendo sobre los virus los crearon con el
nico propsito de demostrar que podan hacerlo o simplemente para ver con
qu velocidad se propagaban. Incluso en 1999 un virus tan extendido como
Melissa pareca haber sido elaborado tan slo como una travesura.
El software diseado para causar daos o prdida de datos suele estar
relacionado con actos de vandalismo. Muchos virus son diseados para
destruir archivos en discos duros o para corromper el sistema de archivos
escribiendo datos invlidos.

Algunos gusanos son diseados para vandalizar pginas web dejando escrito
el alias del autor o del grupo por todos los sitios por donde pasan. Estos
gusanos pueden parecer el equivalente informtico del graffiti.
Sin embargo, debido al aumento de usuarios de Internet, el software malicioso
ha llegado a ser diseado para sacar beneficio de l, ya sea legal o
ilegalmente. Desde hace ya ms de una dcada, la mayor parte de los virus y
gusanos han sido diseados para tomar control de computadoras para su
explotacin en el mercado negro y para el robo de datos y perfiles personales.
Estas computadoras infectadas ("computadoras zombie") son usadas para el
envo masivo de spam por email, para alojar datos ilegales como pornografa
infantil, o para unirse en ataques DDoS como forma de extorsin entre otras
cosas.
Hay muchos ms tipos de malware producido con nimo de lucro, por ejemplo
el spyware,el madware preocupante de Android, el adware intrusivo y los
hijacker tratan de mostrar publicidad no deseada o redireccionar visitas hacia
publicidad para beneficio del creador. Estos tipos de malware no se propagan
como

los

virus,

generalmente

son

instalados

aprovechndose

de

vulnerabilidades o junto con software legtimo como aplicaciones P2P.

Malware infeccioso: virus y gusanos
Los tipos ms conocidos de malware, virus, gusanos y troyanos, se distinguen
por la manera en que se propagan, ms que por otro comportamiento
particular.
El trmino virus informtico se usa para designar un programa que, al
ejecutarse, se propaga infectando otros softwares ejecutables dentro de la
misma computadora. Los virus tambin pueden tener un payload que realice
otras acciones a menudo maliciosas, por ejemplo, borrar archivos.
Por otra parte, un gusano es un programa que se transmite a s mismo,
explotando vulnerabilidades en una red de computadoras para infectar otros
equipos. El principal objetivo es infectar a la mayor cantidad posible de
usuarios, y tambin puede contener instrucciones dainas al igual que los virus.

Ntese que un virus necesita de la intervencin del usuario para propagarse

mientras que un gusano se propaga automticamente. Teniendo en cuenta esta
distincin, las infecciones transmitidas por e-mail o documentos de Microsoft
Word, que dependen de su apertura por parte del destinatario para infectar su
sistema, deberan ser clasificadas ms como virus que como gusanos.
Malware oculto: Backdoor o Puerta trasera, Drive-by Downloads, Rootkits
y Troyanos
Para que un software malicioso pueda completar sus objetivos, es esencial que
permanezca oculto al usuario. Por ejemplo, si un usuario experimentado
detecta un programa malicioso, terminara el proceso y borrara el malware
antes de que este pudiera completar sus objetivos. El ocultamiento tambin
puede ayudar a que el malware se instale por primera vez en la computadora.
Puertas traseras o backdoors
Un backdoor o puerta trasera es un mtodo para eludir los procedimientos
habituales de autenticacin al conectarse a una computadora. Una vez que el
sistema ha sido comprometido (por uno de los anteriores mtodos o de alguna
otra forma), puede instalarse una puerta trasera para permitir un acceso remoto
ms fcil en el futuro. Las puertas traseras tambin pueden instalarse
previamente al software malicioso para permitir la entrada de los atacantes.
Los crackers suelen usar puertas traseras para asegurar el acceso remoto a
una computadora, intentando permanecer ocultos ante una posible inspeccin.
Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u
otros mtodos.
Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de
ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte
tcnico a los clientes, pero no ha podido comprobarse con seguridad.
Drive-by downloads
Google descubri hace aos que una de cada 10 pginas web analizadas en
profundidad pueden contener los llamados drive by downloads, que son sitios

que instalan spyware o cdigos que dan informacin de los equipos sin que el
usuario se percate.
El trmino puede referirse a las descargas de algn tipo de malware que se
efecta sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al
revisar un mensaje de correo electrnico o al entrar a una ventana pop-up, la
cual puede mostrar un mensaje de error.
Sin ser su verdadera intencin, el usuario consiente la descarga de software
indeseable o de malware, y estas vulnerabilidades se aprovechan.
El proceso de ataque Drive-by Downloads se realiza de manera automatica
mediante herramientas que buscan en el sitio web alguna vulnerabilidad. Una
vez encontrada, insertan un script malicioso dentro del cdigo HTML del sitio
violado.
Cuando un usuario visita el sitio infectado, ste descargar dicho script en el
sistema del usuario, y a continuacin realizar una peticin a un servidor (Hop
Point), donde se solicitarn nuevos scripts con exploits encargados de
comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada,
intentando con ellas hasta que tienen xito, en cuyo caso se descargar un
script que descarga el archivo ejecutable (malware) desde el servidor.
En la mayor parte de los navegadores se estn agregando bloqueadores
antiphishing y antimalware que contienen alertas que se muestran cuando se
accede a una pgina web daada, aunque no siempre dan una total proteccin.
Rootkits
Las tcnicas conocidas como rootkits modifican el sistema operativo de una
computadora para permitir que el malware permanezca oculto al usuario. Por
ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de
procesos del sistema o que sus ficheros sean visibles en el explorador de
archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que
el ordenador esta infectado por un malware.
Originalmente, un rootkit era un conjunto de herramientas instaladas por un
atacante en un sistema Unix donde el atacante haba obtenido acceso de

administrador (acceso root). Actualmente, el trmino es usado mas

generalmente para referirse a la ocultacin de rutinas en un programa
malicioso.
Algunos programas maliciosos tambin contienen rutinas para evitar ser
borrados, no slo para ocultarse. Un ejemplo de este comportamiento puede
ser:
"Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada procesofantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva
instancia de este en cuestin de milisegundos. La nica manera de eliminar
ambos procesos-fantasma es eliminarlos simultneamente, cosa muy difcil de
realizar, o provocar un error el sistema deliberadamente."
Uno de los rootkits ms famosos fue el que la empresa Sony BMG Music
Entertainment, secretamente incluy, dentro de la proteccin anticopia de
algunos CD de msica, el software Extended Copy Protection (XCP) y
MediaMax CD-3, los cuales modificaban a Windows para que no lo pudiera
detectar y tambin resultar indetectable por los programas anti-virus y antispyware, actuaba enviando informacin sobre el cliente, adems abri la puerta
a otros tipos de malware que pudieron infiltrarse en las computadoras, ademas
de que s se detectaba no poda ser eliminado pues se daaba el sistema
operativo.
Mikko Hypponen, jefe de investigacin de la empresa de seguridad, F-Secure
con sede en Finlandia, considero a este rootkit como uno de los momentos
fundamentales de la historia de los malware.
Troyanos
Usado para designar a un malware que permite la administracin remota de
una computadora, de forma oculta y sin el consentimiento de su propietario, por
parte de un usuario no autorizado. Este tipo de malware es un hbrido entre un
troyano y una puerta trasera, no un troyano atendiendo a la definicin.
A grandes rasgos, los troyanos son programas maliciosos que estn
disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo

ocultando un software malicioso. Ese software, puede tener un efecto

inmediato y puede llevar muchas consecuencias indeseables, por ejemplo,
borrar los archivos del usuario o instalar ms programas indeseables o
maliciosos.
Los troyanos conocidos como droppers son usados para empezar la
propagacin de un gusano inyectndolo dentro de la red local de un usuario.
Una de las formas ms comunes para distribuir spyware es mediante troyanos
unidos a software deseable descargado de Internet. Cuando el usuario instala
el software esperado, el spyware es puesto tambin. Los autores de spyware
que intentan actuar de manera legal pueden incluir unos trminos de uso, en
los que se explica de manera imprecisa el comportamiento del spyware, que
los usuarios aceptan sin leer o sin entender.
Malware para obtener beneficios
Durante los aos 80 y 90, se sola dar por hecho que los programas maliciosos
eran creados como una forma de vandalismo o travesura. Sin embargo, en los
ltimos aos la mayor parte del malware ha sido creado con un fin econmico o
para obtener beneficios en algn sentido.
Esto es debido a la decisin de los autores de malware de sacar partido
monetario a los sistemas infectados, es decir, transformar el control sobre los
sistemas en una fuente de ingresos.
Mostrar publicidad: spyware, adware y hijacking
Los programas spyware son creados para recopilar informacin sobre las
actividades realizadas por un usuario y distribuirla a agencias de publicidad u
otras organizaciones interesadas. Algunos de los datos que recogen son las
pginas web que visita el usuario y direcciones de e mail, a las que despus se
enva spam.
La mayora de los programas spyware son instalados como troyanos junto a
software deseable bajado de Internet.

Otros programas spyware recogen la informacin mediante cookies de terceros

o barras de herramientas instaladas en navegadores web. Los autores de
spyware que intentan actuar de manera legal se presentan abiertamente como
empresas de publicidad e incluyen unos trminos de uso, en los que se explica
de manera imprecisa el comportamiento del spyware, que los usuarios aceptan
sin leer o sin entender.
Por otra parte los programas adware (Madware) muestran publicidad al usuario
de forma intrusiva en forma de ventanas emergentes (pop-up) o de cualquier
otra forma. Esta publicidad aparece inesperadamente en el equipo y resulta
muy molesta.
Algunos programas shareware permiten usar el programa de forma gratuita a
cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al
instalar el programa. Este tipo de adware no debera ser considerado malware,
pero muchas veces los trminos de uso no son completamente transparentes y
ocultan lo que el programa realmente hace.
Los hijackers son programas que realizan cambios en la configuracin del
navegador web. Por ejemplo, algunos cambian la pgina de inicio del
navegador por pginas web de publicidad o pornogrficas, otros redireccionan
los resultados de los buscadores hacia anuncios de pago o pginas de phishing
bancario.
Especial atencin al typosquatting, tcnica que los cibercriminales utilizan para
infectar ordenadores de usuarios mediante pginas web falsas y luego
utilizarlas para difundir su malware.
El pharming es una tcnica que suplanta al DNS, modificando el archivo hosts,
para redirigir el dominio de una o varias pginas web a otra pgina web,
muchas veces una web falsa que imita a la verdadera. Esta es una de las
tcnicas usadas por los hijackers o secuestradores del navegador de Internet.
Esta tcnica tambin puede ser usada con el objetivo de obtener credenciales y
datos personales mediante el secuestro de una sesin (Sidejacking).
Robo de informacin personal: keyloggers y stealers

Cuando un software produce prdidas econmicas para el usuario de un

equipo, tambin se clasifica como crimeware o software criminal, trmino dado
por Peter Cassidy para diferenciarlo de los otros tipos de software malicioso.
Estos programas estn encaminados al aspecto financiero, la suplantacin de
personalidad y el espionaje.
Los keyloggers y los stealers son programas maliciosos creados para robar
informacin sensible. El creador puede obtener beneficios econmicos o de
otro tipo a travs de su uso o distribucin en comunidades underground. La
principal diferencia entre ellos es la forma en la que recogen la informacin.
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan
para un posterior envo al creador. Por ejemplo al introducir un nmero de
tarjeta de crdito el keylogger guarda el nmero, posteriormente lo enva al
autor del programa y este puede hacer pagos fraudulentos con esa tarjeta.
Si las contraseas se encuentran recordadas en el equipo, de forma que el
usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los
stealers. La mayora los keyloggers son usados para recopilar contraseas de
acceso pero tambin pueden ser usados para espiar conversaciones de chat u
otros fines.
Los stealers tambin roban informacin privada pero solo la que se encuentra
guardada en el equipo. Al ejecutarse comprueban los programas instalados en
el equipo y si tienen contraseas recordadas, por ejemplo en los navegadores
web o en clientes de mensajera instantnea, descifran esa informacin y la
envan al creador.
Realizar llamadas telefnicas: dialers
Los dialers son programas maliciosos que toman el control del mdem dial-up,
realizan una llamada a un nmero de telfono de tarificacin especial, muchas
veces internacional, y dejan la lnea abierta cargando el coste de dicha llamada
al usuario infectado.
La forma ms habitual de infeccin suele ser en pginas web que ofrecen
contenidos gratuitos pero que solo permiten el acceso mediante conexin

telefnica. Suelen utilizar como seuelos videojuegos, salva pantallas,

pornografa u otro tipo de material.
Actualmente la mayora de las conexiones a Internet son mediante ADSL y no
mediante mdem, lo cual hace que los dialers ya no sean tan populares como
en el pasado, aunque an hay pases en vas de desarrollo que los utilizan.
Ataques distribuidos: botnets
Las botnets son redes de computadoras infectadas, tambin llamadas
"zombies", que pueden ser controladas a la vez por un individuo y realizan
distintas tareas.
Este tipo de redes son usadas para el envo masivo de spam o para lanzar
ataques DDoS contra organizaciones como forma de extorsin o para impedir
su correcto funcionamiento.
La ventaja que ofrece a los spammers el uso de ordenadores infectados es el
anonimato, que les protege de la persecucin policial.
En una botnet cada computadora infectada por el malware se loguea en un
canal de IRC u otro sistema de chat desde donde el atacante puede dar
instrucciones a todos los sistemas infectados simultneamente.
Las botnets tambin pueden ser usadas para actualizar el malware en los
sistemas infectados mantenindolos as resistentes ante antivirus u otras
medidas de seguridad.
Otros tipos: rogue software y ransomware
Los rogue software hacen creer al usuario que la computadora est infectada
por algn tipo de virus u otro tipo de software malicioso, esto induce al usuario
a pagar por un software intil o a instalar un software malicioso que
supuestamente elimina las infecciones, pero el usuario no necesita ese
software puesto que no est infectado.
Los ransomware

Tambin llamados criptovirus o secuestradores, son programas que cifran los

archivos importantes para el usuario, hacindolos inaccesibles, y piden que se
pague un "rescate" para poder recibir la contrasea que permite recuperar los
archivos.
InfoSpyware reporta en su blog que a partir de mayo del 2012, han existido 2
nuevas variantes del llamado "virus de la polica" "Virus Ukash", que es
producido por el troyano Ransom.ab, que con el pretexto de que se entr a
pginas de pornografa infantil, se les hace pagar una supuesta multa para
poder desbloquear sus equipos , actualmente tambin utilizando la propia
cmara Web del equipo hacen unas supuestas tomas de vdeo que anexan en
su banner de advertencia, para asustarlos ms al hacerlos pensar que estn
siendo observado y filmado por la polica, siendo Rusia, Alemania, Espaa y
Brasil los pases ms afectados la versin falsa del antivirus gratuito
"Microsoft Security Essentials" que dice bloquear el equipo por seguridad y que
para poder funcionar adecuadamente se ofrece un mdulo especial que se
tiene que pagar.
La Brigada de Investigacin Tecnolgica de la Polica Nacional de Espaa,
junto con Europol e Interpol, desmantelaron en febrero del 2013, a la banda de
piratas informticos creadores del "Virus de la Polica", responsables de estafar
alrededor de 1 milln de euros al ao.
Grayware o greynet
Los trminos grayware (o greyware) y graynet (o greynet) (del ingls gray o
grey, "gris") suelen usarse para clasificar aplicaciones o programas de cmputo
que se instalan sin la autorizacin del departamento de sistemas de una
compaa; se comportan de modo tal que resultan molestos o indeseables para
el usuario, pero son menos peligrosos que los malware.
Se incluyen: adware, dialers, herramientas de acceso remoto, programas de
bromas (joke programs), programas para conferencias, programa de
mensajera instantnea, spyware y cualesquiera otros archivos y programas no
bienvenidos que no sean virus y que puedan llegar a daar el funcionamiento
de una computadora o de una red.

El trmino grayware comenz a utilizarse en septiembre del 2004.

Vulnerabilidades usadas por el malware
Existen varios factores que hacen a un sistema ms vulnerable al malware:
- homogeneidad errores de software
- cdigo sin confirmar
- sobre-privilegios de usuario
- sobre-privilegios de cdigo
Una causa de la vulnerabilidad de redes, es la homogeneidad del software
multiusuario. Por ejemplo, cuando todos los ordenadores de una red funcionan
con el mismo sistema operativo, si se puede comprometer ese sistema, se
podra afectar a cualquier ordenador que lo use. En particular, Microsoft
Windows tiene la mayora del mercado de los sistemas operativos, esto permite
a los creadores de malware infectar una gran cantidad de computadoras sin
tener que adaptar el software malicioso a diferentes sistemas operativos.
La mayora del software y de los sistemas operativos contienen bugs que
pueden ser aprovechados por el malware. Los ejemplos tpicos son los
desbordamiento de bfer (buffer overflow), en los cuales la estructura diseada
para almacenar datos en un rea determinada de la memoria permite que sea
ocupada por ms datos de los que le caben, sobre escribiendo otras partes de
la memoria.
Esto puede ser utilizado por el malware para forzar al sistema a ejecutar su
cdigo malicioso.
Las memorias USB infectadas pueden daar la computadora durante el
arranque.
Originalmente las computadoras tenan que ser booteadas con un diskette, y
hasta hace poco tiempo era comn que fuera el dispositivo de arranque por
defecto. Esto significaba que un diskette contaminado poda daar la
computadora durante el arranque, e igual se aplica a CD y memorias USB.

Aunque eso es menos comn ahora, sigue siendo posible olvidarse de que el
equipo se inicia por defecto en un medio removible, y por seguridad
normalmente no debera haber ningn diskette, CD, etc, al encender la
computadora. Para solucionar este problema de seguridad basta con entrar en
la BIOS del ordenador y cambiar el modo de arranque del ordenador.
////////////////////grafico