Escolar Documentos
Profissional Documentos
Cultura Documentos
Qu es y como funciona?
Por ejemplo, simplemente abrir un archivo, cambia ese archivo el ordenador recuerda la hora y fecha
en el que fue accedido. Si un detective coge un ordenador y comienza a abrir archivos y ficheros, no
habr manera de poder decir si cambiaron algo. Si un caso de piratera informtica llegara a juicio, no
tendra validez como prueba al haber alterado y modificado el estado del sistema informtico.
Algunas personas creen que usar informacin digital como una evidencia, es un mala idea. Si es tan fcil
cambiar datos en un ordenador, Cmo puede usarse como una prueba fiable? Muchos pases permites
pruebas informticas en juicio y procesos, pero esto podra cambiar si se demuestra en futuros casos que
no son de confianza. Los ordenadores cada vez son ms potentes, por lo que los campos dentro de la
informtica forense tienen que evolucionar constantemente.
En lo tempranos das de la informtica, era posible para un solo detective, navegar a travs de los
ficheros de un equipo ya que la capacidad de almacenamiento era mucho ms baja. Hoy en da, los discos
duros de un ordenador pueden contener gigabytes o incluso terabytes de informacin, por lo que la tarea
de investigacin puede ser compleja. Los expertos en informtica forense deben encontrar nuevas
maneras de buscar evidencias, sin tener que dedicar demasiados recursos en el proceso.
El campo de la informtica forense es relativamente joven. Hace muchos aos, las cortes consideraban
las evidencias encontradas en los ordenadores, no muy diferentes a las evidencias convencionales. Segn
los ordenadores fueron avanzando, mejorando y siendo ms sofisticados, se dieron cuenta que estas
evidencias podan ser fciles de corromper, destruir o cambiar.
Los investigadores pensaron que haba una necesidad de desarrollar herramientas especficas y procesos
para buscar evidencias de delito en un ordenador, sin afectar a la propia informacin que hubiera
almacenada. Los expertos en esta tecnologa, se aliaron con cientficos especializados en computadoras
para discutir los procedimientos y herramientas apropiadas que se podran utilizar para esta tarea. Poco
a poco, se fueron asentando las bases para crear la nueva informtica forense.
Normalmente, los detectives informticos usan una orden para hacer bsquedas en ordenadores de gente
sospechosa. Esta orden debe incluir donde pueden buscar los detectives, y que clase de pruebas estn
buscando. En otras palabras, no pueden simplemente dar pedir una orden y buscar todo lo que quieran
para cualquier cosa. Esta orden no puede ser demasiado general. Muchos jueces requieren que se sea lo
ms especfico posible cuando se pide una de estas garantas.
Por esta razn, es importante para los detectives informticos saber todo lo posible sobre el sospechoso
antes de pedir una orden. Considera este ejemplo: Un investigador informtico pide una orden par
investigar un ordenador porttil de un sospechoso. Llega a la casa del sospechoso y le entrega la orden.
Mientras est en la casa, se da cuenta que hay un ordenador de sobremesa. El investigador no puede
legalmente hacer una bsqueda en ese PC porque no estaba en la orden original.
Cada lnea de investigacin en un ordenador es de algn modo nica. Algunas puede llevar solo una
semana, pero otras puede llevar meses. Aqu hay algunos factores que pueden impactar lo extenso de la
investigacin:
DVDs, CDs, u otros mtodos de almacenamiento. Si los sospechosos han intentado o no ocultar o borrar
la informacin. La presencia de archivos encriptados o ficheros protegidos por contraseas.
El cientfico en computadoras y experto reconocido en informtica forense, Judd Robbins, nos da una lista
de los pasos que deberan seguir los investigadores para recuperar evidencias en un ordenador
sospechoso de tener pruebas delictivas. Por supuesto, cada grupo de investigadores, dependiendo del
cuerpo y el pas, tendrn variaciones sobre los mtodos a utilizar, pero el mtodo de Robbins est
mundialmente reconocido:
Asegurar el sistema informtico para mantener el equipo y los datos a salvo. Esto significa que los
investigadores deben asegurarse de que individuos no autorizados puedan acceder al ordenador, o a los
dispositivos de almacenamiento dentro de la investigacin. Si el sistema informtico se conecta a Internet,
dicha conexin debe ser cancelada. Se debe encontrar todos los ficheros y archivos del sistema,
incluyendo aquellos que estn encriptados, protegidos con contrasea, escondidos o borrados, pero que
no estn todava sobrescritos. Los investigadores deben hacer una copia de todos los archivos del sistema.
Con esto queremos decir, tanto del disco duro como todos los dems dispositivos que puedan almacenar
informacin. Al poder alterar un archivo cuando accedemos a el, es importante para los investigadores
trabajar solamente con copias mientras se busca evidencias. El sistema original debe permanecer intacto.
Hay que recuperar toda la informacin borrada que se pueda, usando aplicaciones que pueden detectar
dicha informacin y hacerla disponible de nuevo para su visionado. Se debe revelar el contenido de
ficheros y archivos ocultos, con programas
espacialmente diseados para esta funcin. Desencriptar y acceder a informacin protegida. Analizar
reas especiales de los discos del ordenador, incluyendo las partes que normalmente no estn accesibles.
En trminos de informtica, el espacio no usado en los discos de un ordenador, se llama espacio no
localizado. Dicho espacio podra contener archivos o partes de ficheros que son relevantes al caso. Hay
que documentar cada paso del procedimiento. Es importante para los investigadores mostrar pruebas de
que sus investigaciones han preservado toda la informacin del sistema informtico sin cambiar o daar
nada. Puede pasar aos entre una investigacin y el juicio, y sin la documentacin apropiada, puede que
las pruebas no sean admisibles. Robbins dice que la documentacin no solo debera incluir los archivos y
los datos recuperados del sistema, sino tambin un informe de la condicin fsica del sistema, y si algn
dato estaba encriptado u oculto.
Todos estos pasos son importantes, pero el primero es crtico. Si los investigadores no pueden probar que
han asegurado su sistema informtico, las evidencias encontradas podran no valer de nada. Es un
trabajo complejo. En los primeros aos en la historia del ordenador, el sistema poda incluir solo un PC y
unos cuantos disquetes. Hoy en da, puede incluir varios ordenadores, discos, dispositivos externos de
almacenamiento, perifricos, y servidores Web.
Los que comenten delitos informticos, han encontrado maneras de hacer ms difcil el seguimiento de
los investigadores para que puedan encontrar informacin. Usan programas y aplicaciones conocidas
como anti-forenses. Los investigadores deben conocer estas herramientas de software, y saber como
deshabilitarlas sin quieren tener xito accediendo a la informacin. En la siguiente seccin de este curso
rpido sobre informtica forense, veremos en qu consisten estos programas anti-forenses.
La evidencia digital
El ciclo de vida para la administracion de evidencia digital consta de seis pasos a saber:
1. Diseno de la evidencia
2. Produccion de la evidencia
3. Recoleccion de la evidencia
4. Analisis de la evidencia
5. Reporte y presentacion
6. Determinacion de la relevancia de la evidencia
Diseno de la evidencia
Con el fin de fortalecer la admisibilidad y relevancia de la evidencia producida por las tecnologias de
informacion, se detallan a continuacion cinco objetivos que se deben considerar para el diseno de la
evidencia digital:
Asegurese de que se ha determinado la relevancia de los registros electronicos, que estos se han
identificado, estan disponibles y son utilizables.
Los registros electronicos tienen un autor claramente identificado.
Los registros electronicos cuentan con una fecha y hora de creacion o alteracion.
Los registros electronicos cuentan con elementos que permiten validar su autenticidad.
Se debe verificar la confiabilidad de la produccion o generacion de los registros electronicos por parte
del sistema de informacion.
Algunas de las practicas asociadas para procurar lo establecido por esta primera fase son:
1. Clasificar la informacion de la organizacion, de tal forma que se pueda establecer cual es la evidencia
mas relevante y formal que se tiene. Para ello, las oficinas de archivo o documentacion en conjunto
con el area de tecnologia deben adelantar un estudio de las caracteristicas de la informacion que
soporta decisiones administrativas y sus medidas tecnologias de proteccion, almacenamiento y
recuperacion posterior.
2. Determinar los tiempos de retencion de documentos electronicos, la transformacion de estos (cambios
de formato) y la disposicion final de los mismos.
3. Disenar los registros de auditoria de las aplicaciones, como parte fundamental de la fase de diseno de
la aplicacion. Este diseno debe considerar la completitud y el nivel de detalle (granularidad) de los
registros.
4. Utilizacion de medidas tecnologicas de seguridad informatica para validar la autenticidad e integridad
de los registros electronicos.
5. Tecnologias como certificados digitales, token criptograficos, entre otras podrian ser candidatas en
esta practica.
6. La infraestructura tecnologica debe asegurar la sincronizacion de las maquinas o dispositivos que
generen la informacion, de tal manera que se pueda identificar con claridad la fecha y hora de los
registros electronicos.
Produccion de la Evidencia
Esta fase, de acuerdo con el estandar, requiere el cumplimiento de los siguientes objetivos:
Practicas
1. Desarrollar y documentar un plan de pruebas formal para validar la correcta generacion de los
registros de la aplicacion.
2. Disenar mecanismos de seguridad basados en certificados digitales para las aplicaciones de tal forma
que se pueda validar que es la aplicacion la que genera los registros electronicos.
3. En la medida de lo posible establecer un servidor de tiempo contra los cuales se pueda verificar la
fecha y hora de creacion de los archivos.
4. Contar con pruebas y auditorias frecuentes alrededor de la confiabilidad de los registros y su
completitud, frente al diseno previo de los registros electronicos.
5. Disenar y mantener un control de integridad de los registros electronicos, que permita identificar
cambios que se hayan presentado en ellos.
Recoleccion de la Evidencia
El objetivo de esta fase en el ciclo de vida de administracion de la evidencia digital es localizar toda la
evidencia digital y asegurar que todos los registros electronicos originales (aquellos disponibles y
asegurados en las maquinas o dispositivos) no han sido alterados. Para ello el estandar establece algunos
elementos a considerar como:
Analisis de la Evidencia
Una vez se ha recolectado la evidencia, tomado las imagenes de los datos requeridos y su debida cadena
de custodia, es tiempo para iniciar el ensamble, analisis y articulacion de los registros electronicos para
establecer los hechos de los eventos ocurridos en el contexto de la situacion bajo analisis o establecer si
hacen falta evidencias para completar o aclarar los hechos.
Practicas
1. Efectuar copias autenticadas de los registros electronicos originalessobre medios forenses esteriles
para adelantar el analisis de losdatos disponibles.
2. Capacitar y formar en aspectos tecnicos y legales a los profesionalesque adelantaran las labores de
analisis de datos. Para ver un posibleplan de formacion en estos temas ver.
3. Validar y verificar la confiabilidad y limitaciones de las herramientasde hardware y software utilizadas
para adelantar los analisis de los datos.
4. Establecer el rango de tiempo de analisis y correlacionar los eventos en el contexto de los registros
electronicos recolectados yvalidados previamente.
5. Mantener la perspectiva de los analisis efectuados sin descartar loobvio, desentranar lo escondido y
validando las limitaciones de las tecnologias o aplicaciones que generaron los registros electronicos.
Reporte y Presentacion
Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben alterar de los originales
del disco, porque esto invalidaria la evidencia; por esto los investigadores deben revisar con frecuencia
que sus copias sean exactas a las del disco del sospechoso, para esto se utilizan varias tecnologias, como
por ejemplo checksums o hash MD5.
El procedimiento para la recoleccion de evidencia varia de pais a pais, y por lo tanto, un analisis exacto y
completo esta fuera de los limites de este documento. Sin embargo, existen unas guias basicas que
pueden ayudar a cualquier investigador forense:
Hardware
El hardware es uno de los elementos que se deben tener en cuenta a la hora de la recoleccion de
evidencia, debido a que puede ser usado como instrumento, como objetivo del crimen, o como producto
del crimen (por Ej. contrabando o robo), es por eso que se deben tener consideraciones especiales. Lo
primero que se debe preguntar el investigador es que partes se deben buscar o investigar.
Bueno, y que entendemos por evidencia digital? Podemos entender evidencia como:
Restos de instalacion
Un disco duro, pen-drive, etc...En sintesis podemos definir a la evidencia digital como:
Cualquier dato generado o almacenado en medios computacionales que puedan ser llevado como
prueba dentro de cualquier causa legal
Cadena de custodia
La cadena de custodia es la aplicacion de una serie de normas tendientes a cerrar, embalar y proteger
cada uno de los elementos probatorios para evitar su destruccion, suplantacion o contaminacion, lo que
podria implicar serios tropiezos en la investigacion de una conducta punible.
Por otra parte se define como el procedimiento establecido por las normatividad juridica, que tiene el
proposito de garantizar la integridad, conservacion e inalterabilidad de elementos materiales de pruebas.
Identidad.
Estado original.
Condiciones de recoleccion.
Preservacion.
Embalaje.
Envio; como tambien los lugares y fechas que cada custodio haga.
La incidencia que tiene la cadena de custodia desde este punto de vista probatorio es que de ella
depende la prueba o lo que se tiene para probar el hecho, que este al alcance de la justicia al momento
de dictaminar una sentencia ya que esta protege cada elemento material probatorio para evitar su
destruccion, suplantacion y contaminacion, lo que podria evitar serios tropiezos en una investigacion.
El investigador digital forense debe estar preparado para actuar el cualquier parte de la cadena de
custodia pudiendo intervenir como observador de la escena del delito, en el embalaje y traslado de las
evidencias pero lo que es seguro que estaremos en la parte del analisis de las evidencias y deberemos
conservar la cadena de custodia de forma integra.
Veamos como debemos proceder en cada parte donde interviene la cadena de custodia de elementos
computacionales.
Que hacen 10 personas dentro de una escena del delito? Pues nada mas que echarla a perder y
entorpecer la labor de los investigadores.
Los buenos resultados de una investigacion dependen de la calidad con que se maneje la escena del
delito. Fiscales, policias e investigadores que trabajan a diario con esos delitos saben que de eso depende
que los casos queden o no impunes.
La mayor parte de las escenas son irrespetadas bien por la idiosincrasia de las personas, bien por simple
negligencia como ocurre muchas veces.
Pero lo bien o mal que se procese una escena depende tambien del fiscal (en casos judiciales) o del
investigador (en casos extrajudiciales), que es quien da
Cuando un investigador llega a la escena del delito debe tomar algunas pautas que detallamos a
continuacion:
1. Debemos establecer los parametros de la escena del delito, estableciendo si el delito esta todavia en
progreso, luego tomaremos en cuenta las caracteristicas fisicas del area en cuestion. Para los
investigadores forenses esta etapa debes ser extendida a todo sistema o res que se encuentren dentro
de la escena.
2. Debemos iniciar las medidas de seguridad, es una parte primordial para los investigadores, el
preservar su integridad, ya que hay muchos casos donde los intereses de por medio por parte de los
interesados son sumamente altos, por lo tanto si uno observa y establece una condicion insegura, debe
tomar las medidas necesarias para mitigar dicha situacion.
3. Aseguremos la escena del delito retirando a toda persona extrana que no tenga nada que hacer alli.
Evitando asi la contaminacion de las evidencias.
4. Debemos asegurar fisicamente las evidencias etiquetandolas cada una de las, este caso se aplica en el
secuestro del equipo, visto en el primer curso.
Para el cumplimento del punto numero 4 debemos saber que es lo que vamos a asegurar y reconocer la
evidencia, como veremos en la siguiente grafica deberemos saber que evidencia es sustancial dentro de
un caso en analisis.
Es muy importante clarificar los conceptos y describir la terminologia adecuada que nos senale que rol va
a cumplir un sistema informaticos dentro de un delito. Esto a fin de encaminar correctamente la
investigacion, la obtencion de indicios y posteriormente los elementos probatorios necesarios para
sostener nuestro caso. Asi por ejemplo, el procedimiento de una investigacion por homicidio que tenga
relacion con evidencia digital sera totalmente distinto al que se utilice en un fraude informatico, por
tanto el rol que cumpla el sistema informatico determinara donde debe ser ubicada y como debe ser
usada la evidencia.
Metodo Hash
Supongo que a estas alturas tendris claro que es un hash y para que se utiliza en el proceso del clonado
de dispositivos informticos. No obstante como en prximos artculos hablar de los problemas que nos
podemos encontrar, os hago un pequeo repaso para aquellos que an no lo sepan o tengan dudas.
Un resumen digital o hash forense es un proceso que utiliza una funcin matemtica de un nico sentido
y la aplica a todos los bits contenidos en un dispositivo (disco duro, pendrive, etc.). El valor hash de
resultado es un identificador nico del dispositivo que se adquiere (se dice que es similar a una secuencia
de ADN o una huella digital de los datos, aunque personalmente no me gusta mucho que se use este
smil.)
- El resultado con una longitud constante: 128 bits (32 caracteres hexadecimales en MD5), 160 bits
(40 caracteres en SHA1), 256 bits (64 caracteres en SHA256), etc.
Por ejemplo, si hacemos un resumen digital haciendo uso del algoritmo criptogrfico SHA1 a un disco de
80 GB que tiene 80.025.280.000 bytes obtendremos un resultado como este:
fea23101bf947e67d37ca059a7039c900272e3a2
Supongamos que nos mandan hacer el estudio de un disco duro para extraer una serie de documentos.
Bien, pues cogemos el disco duro original y protegindolo contra la escritura (ya sea con una clonadora,
un bloqueador de escritura hardware o mediante software) le hacemos un hash al contenido completo del
disco duro, dndonos el resultado X para los bytes totales que tenga ese disco.
Ahora procedemos a realizar una copia completa de todo ese disco en otro disco duro o hacemos una
imagen forense en formato Encase (e01) por ejemplo.
Una vez que tenemos la copia hecha, deberemos hacer de nuevo un hash al disco original, y para qu?
Pues para asegurar que durante el proceso de copiado no se ha alterado la informacin el disco. Si todo
ha salido correctamente deber dar el mismo resultado.
Y tras esto, deberemos hacer otra funcin hash al disco de destino para los bytes que ocupaba el disco
originaly si todo ha ido bien Qu resultado debe dar? Pues el mismo.
En el caso por ejemplo hagamos una imagen en formato Encase (e01) ese hash quedar guardado en la
metainformacin del archivo.
Y con esto que conseguimos? Pues asegurar que la copia que hemos hecho es idntica a la original.
Ahora el disco original lo dejamos en custodia de la autoridad de turno y nos ponemos a trabajar con
nuestra copia.
Hacemos todos los anlisis correspondientes, obtenemos la informacin de inters y presentamos nuestro
informe.
Vamos a suponer que una de las partes no est de acuerdo con los resultados de nuestro informe y pide
que se realice otro informe por otro perito.
Pues deber coger el disco original que est custodiado por la autoridad, y har exactamente el mismo
proceso que he mencionado anteriormente. Pero, qu resultado de hash debe obtener? (siempre y
cuando lo aplique correctamente) Si, lo has adivinado El mismo hash que obtuvimos nosotros.
Ahora abrimos el programa. Como ven es muy simple, Pulsamos en file name le damos la ruta del archivo
ISO que bajamos, en compare copiamos y pegamos (algo que muchos saben hacer muy bien) el hash MD5
original, y le damos COMPARE.
Ahora vemos lo que pasa. Como ven el programa muestra una preciosa (!) ventana con un ms hermoso
an sonido (!) avisando que el hash MD5 no coincide por lo que la imagen ISO que descargamos esta
corrupta, como varios polticos que hay dando vuelta.
1. Imagen link
2. Documento link