Você está na página 1de 25

Análisis forense sobre

Evidencias Digitales
como elemento de
convicción al incorporar
hechos informáticos al
proceso judicial.
¿Qué es la computación
forense?
 Computación forense es la captura,
preservación, análisis y preservación
de evidencia computacional.

 Evidencia es “algo” que intenta


probar o desaprobar un hecho.
El primer ejemplo práctico
 Una empresa de construcción baterías es
la número 1 en el mercado, construyendo
productos únicos e innovadores
 Desde hace algunos meses un nuevo
competidor aparece en el mercado,
diseñando las mismas baterías y los
mismos productos que la empresa líder
había hecho por años
 Al mismo tiempo, los clientes de la
empresa líder van migrando a la nueva
empresa.
Veamos qué sucedió …
Veamos qué sucedió …
 Fuga de Información Confidencial
 Esteganografía

 Ejemplo de Esteganografía
¿Qué hace un hacker?

Explotación
Reconocimiento Exploración
del Sistema

Mantenimiento Cubrir las trazas


del acceso y huellas
Cronología de un Ataque
(Despistaje)

Atacante

Víctima
Curva de Conocimientos vs. Daño
Ocasionado Daño Ocasionado

Conocimientos Requeridos

tiempo (t)
Principios Forenses
 Los cuatro principios forenses para el
éxito:
• Minimizar la pérdida de los datos
• Almacenar y guardar todo
• Analizar todos los datos recolectados
• Reportar los hallazgos
Orden de Volatilidad
 El orden de volatilidad de la
evidencia es el orden en el cual la
evidencia es más susceptible al
cambio:
• Memoria
• Swap Space o page file
• Estados de la red y conexiones
• Procesos corriendo
• Discos duros
• Discos removibles
Segundo Ejemplo Práctico
 Se encontraron 3 archivos
sospechosos durante el allanamiento
a una residencia, presuntamente
vinculada con venta de drogas
 Analicemos este disco y
determinemos si existen archivos
que se vinculen con algún delito
Veamos qué sucedió …
Veamos qué sucedió …
 Modificación de entradas en el
sistema de archivos
 Modificación de la estructura de los
archivos
¿Qué es necesario conocer para
realizar análisis forense?
 Muchísimos conocimientos
técnicos
• Networking: TCP/IP
• Sistemas de archivos: FAT, NTFS, ExFAT,
Ext2/3, etc.
• Manejo de varios sistemas operativos:
Microsoft Windows, Linux, etc.
• No solo interfaces gráficas, muchas veces
requerimos combinar binarios bajo línea de
comandos
• Manejo de lenguajes de programación: C++,
Perl, etc.
Hardware necesario en análisis
forense
 Hardware
• Podemos hacer análisis forense sobre
cualquier dispositivo que almacene 0’s y
1’s (ipod, celulares, computadores, etc).
• Lo ideal es un computador con gran
capacidad de almacenamiento (Disco 
Gigabytes, Terabytes) y gran capacidad
de procesamiento (CPU)
Software necesario en análisis
forense
 Múltiples Sistemas Operativos (Linux y
Windows al menos)

 Herramientas gratuitas (algunas de código


abierto)
• The Sleuth Kit y Autopsy, Cygwin, Helix, Backtrack,
perl scripts.

 Herramientas Comerciales
• EnCase, FTK Imager, DiskExplorer, R-Studio, RAID
Reconstructor, WinHex, X-Ways Forensics, etc
Recuperación de Datos
Recuperación de Datos
Recuperación de Datos
Recuperación de Datos
Recuperación de Datos
El presente y el futuro en análisis
forense
 Técnicas Antiforenses
El presente y el futuro en análisis
forense
 Discos Duros Tradicionales vs. SSD

Disco Duro Tradicional Disco de Estado Sólido (SSD)

Você também pode gostar