Escolar Documentos
Profissional Documentos
Cultura Documentos
Ciberseguridad
Informática Forense
Informática Forense
Conceptos básicos
DIPLOMADO CIBERSEGURIDAD
• Robo de identidad
• Espionaje empresarial
• Ransomware
• Fraudes bancarios
• Manipulación en BD*
• Hurtos y estafas informáticas
• Otras manipulaciones (contabilidad otros)
• Fuga de información
Retos y actuales desafios
IOT – INTERNET DE
LAS COSAS DATOS ESTRUCTURADOS
Y OTROS NO
TÉCNICAS ANTIFORENSES
ALMACENAMIENTO
ECOSISTEMA DIGITAL
EN LA NUBE
CIFRADO Y
CRIPTOANÁLISIS REDES SOCIALES
SISTEMAS
MALWARE
VIRTUALIZADOS
Delitos Económicos
Lavado de Activos
Enriquecimiento Ilícito
Corrupción
Otros Ámbitos
TESTIGO/PERITO
• Believable
• Admissible
• Reliable
• Complete
• Authentic
Tomado: Building Computer Forensics Laboratory
ANÁLISIS
CORREOS ELECTRÓNICOS
ARCHIVOS OFIMÁTICOS-USUARIO
ARCHIVOS DE REGISTRO-LOGS
REGISTROS DE NAVEGACIÓN
ARCHIVOS DE REDES SOCIALES
OTROS
Características legales de la evidencia
CONFIABLE
• Autenticidad
Cn • Confiabilidad
• Completitud o Suficiencia
• *Conformidad con las leyes y regulaciones
de la admon de justicia
CONFORMIDAD*
http://www.pmsommer.com
A Cm
International Organization on Computer
Evidence (IOCE)
AUTÉNTICA COMPLETA
Modelo Clásico : Evidencia Digital
SERVICIOS CLOUD
CONEXIONES ARCHIVOS EJECUTABLES
Correo, Storage, WebSite LAN, WIFI, VPN, BLUETOOTH .EXE .MSC
INTERCAMBIO DE PAQUETES
• Estructura orgánica
• Cargos y perfiles
• Políticas TI
• Arquitectura de los
• Gerente sistemas
• Roles
• Estructura organizacional vs infraestructura TI • Encargado TH • Servicios-aplicaciones
• Responsable TI • Servicios Tercerizados
• Asesor Jurídico
ENTREVISTAS
• Outlook
• Correos electrónicos : Archivos .pst .eml
• Thunderbird
C:windows/archivos de programa • Lotus
AUTENTICACIÓN HASH
AMBIENTES VIRTUALIZADOS
• Logs del servidor (s)
• Preservación (administrador): Citrix-
Vmware
• .pst …
• Archivos de usuarios/ interés : Archivos planos .txt .rar .doc .xls .mdb
AUTENTICACIÓN HASH
Modelo Clásico : Evidencia digital en la práctica
Tipos de Servicios
Herramientas de Visualización
Forensics Data Analysis F.D.A.
ACL- IDEA- ARBUTUS
CELLEBRITE
OXYGEN
PARABEN
Técnicas Antiforenses
10 +
Procedimientos forenses
10 +
Otros
Procedimientos forenses
3. PREPARE SU EQUIPO DE HERRAMIENTAS FORENSES
www.e-fense.com
www.forwarddiscovery.com PERMITE:
www.sumuri.com
PALADIN 4.0
10 +
Procedimientos forenses
10 +
Procedimientos forenses
5. IDENTIFIQUE Y FIJE LA EVIDENCIA DIGITAL
• Fotografía: Numerador, señalador, testigo métrico
• Estampado cronológico
10 +
Lógico :
Procedimientos forenses
Datos volátiles
6. Siempre preserve la data volátil
• RAM RANDOM ACCESS MEMORY
10 +
• OPCIÓN CAPTURE MEMORY FTK IMAGER
Los "Datos Volátiles", son
aquellos que desaparecen
cuando un sistema se apaga
o se reinicia, por lo que
extraer la máxima
información de estos datos,
puesto que es muy
Procesos, historial de comandos importante a la hora de
Direcciones IP, Conexiones recopilar pruebas cuando un
Puertos Abiertos sistema ha sido
Contraseñas comprometido
Información del sistema, usuarios
Procedimientos forenses
?
•Software de digitalización de imagen
•Disco de origen= sospechoso o víctima
•Disco de destino= Mayor tamaño y Wipping
•Bloqueadores= Software o Hardware de bloqueo escritura-lectura
•Equipo del experto
Procedimientos forenses
Bloqueador
Software de
digitalización
Disco destino
Procedimientos forenses
10
Procedimientos forenses
www.md5summer.org
Procedimientos forenses
10
Identificación, Preservación,
Recolección de la Evidencia
Digital: Tutoriales
• Hashing
• Imaging
• Wiping
DIPLOMADO CIBERSEGURIDAD
Damos clic en
Download
3 Descargamos la última versión
Sobre el archivo descargado damos clic
4 derecho y extraemos el contenido (en
cualquier parte)
6 Ejecutamos el archivo *.exe
Seleccionamos la carpeta que contiene el archivo al
7 cual le deseemos generar el hash y damos clic en
Create sums.
Se elige el nivel de
compresión, en
este caso el más
rápido
Por ultimo finalizar
Damos clic en “Start”
Esperar…
Podemos observar el sumario de la imagen y la
verificación de resultados, este recuadro se
genera automáticamente al finalizar
Se genera la imagen, y un archivo de texto
que es el reporte. Si se hubieran generado
varios archivos por el tamaño de la unidad
(es decir, varias particiones de la imagen),
siempre se monta en el programa forense el
archivo con el “icono distintivo” para su
respectivo análisis.
En el archivo de texto
se observa el reporte
completo y detallado
de la imagen forense.
Teniendo en cuenta
la verificación
realizada por el
software lo cual nos
garantiza su
originalidad a través
de los hash “MD5” y
“SHA1”.
Ahora vamos a montar la
imagen forense que creamos
en “FTK Imager”
Vamos a montar la imagen que
creamos de la USB o unidad de
almacenamiento. Por lo tanto
seleccionamos “Image File”
Seleccionamos la imagen
que vamos a montar
Listo, ya se puede observar la información
contenida en la imagen. Ya sea en modo
automático (es decir, vista normal), texto
o hexadecimal.
ASPECTOS LEGALES DE LA
EVIDENCIA DIGITAL
LEY 1273/09 LEY 906/04
DIPLOMADO CIBERSEGURIDAD
• Acceso ilícito
Budapest Nov/2001 •Interceptación ilícita
•Ataques a la integridad de los datos
•Ataques a la integridad del sistema
•Abuso de los dispositivos
Delitos informáticos
• Falsificación informática
• Fraude informático
Convenio de Cibercriminalidad
Aspectos legales
Tentativa y complicidad
Convenio de Cibercriminalidad
Aspectos legales
Colombia 1er Intento
ARTÍCULO 195. El que abusivamente se introduzca en un sistema
informático protegido con medida de seguridad o se mantenga
contra la voluntad de quien tiene derecho a excluirlo, incurrirá en
multa. Texto original Ley 599 /00
Ley 1288 de 2009 “incurrirá en pena de prisión de cinco (5) a ocho (8) años”.
http://www.secretariasenado.gov.co/senado/basedoc/cc_sc_nf/2010/c-913_1910.html#1
Aspectos legales
ABC de Ley de delito informático 2009
Crea un nuevo bien jurídico tutelado - denominado
“de la protección de la información y de los datos”
(Alusión al convenio de cibercriminalidad)
Datos informáticos en su
origen, destino o en el Sniffer
ARTÍCULO 269C: interior de un sistema Hombre en el
INTERCEPTACIÓN DE informático, o las Medio
DATOS
Intercepte
emisiones Escritorio
INFORMÁTICOS.
electromagnéticas Remoto
provenientes de un Keylogger
sistema informático
Destruya,
Datos informáticos, o un
dañe,
sistema de tratamiento
ARTÍCULO 269D: borre,
DAÑO INFORMÁTICO.
de información o sus
deteriore,
partes o componentes
altere o
lógicos
suprima
Tipologías del Delito informático Aspectos legales
Ley 1273/09 Conducta Otros Aspectos Tipología
Códigos
Obtenga, compile,
personales, datos
sustraiga, ofrezca, Skimming
personales
ARTÍCULO 269F: venda, intercambie, Ingenieria
contenidos en
VIOLACIÓN DE DATOS envíe, compre, Social
PERSONALES. ficheros, archivos,
intercepte, Tráfico de
bases de datos o
divulgue, modifique datos
medios
o emplee
semejantes.
Aspectos legales
Tipologías del Delito informático
Ley 1273/09 Conducta Otros Aspectos Tipología
Páginas
ARTÍCULO 269G: Diseñe, desarrolle, Phishing
SUPLANTACIÓN DE electrónicas,
trafique, venda, Spear
SITIOS WEB PARA enlaces o
CAPTURAR DATOS ejecute, programe Phishing
ventanas
PERSONALES. o envíe
emergentes
El que, con
ánimo de
lucro y
ARTÍCULO 269J: Transferencia no
valiéndose de Phishing Mula
TRANSFERENCIA NO consentida de
CONSENTIDA DE
alguna
cualquier activo en
ACTIVOS. manipulación
perjuicio de un tercero
informática o
artificio
semejante
Tipologías del Delito informático Aspectos legales
Ley 599/00 Conducta Otros Aspectos Tipología
Fotografíe, filme,
grabe, produzca, Alimente con Grooming
ART. 218. PORNOGRAFÍA divulgue, ofrezca, pornografía infantil Morphing
CON PERSONAS venda, compre, bases de datos de Sexting
MENORES DE 18 AÑOS posea, porte, Internet, con o sin Sextorsión
almacene, trasmita fines de lucro
o exhiba
Entorno Digital
CENUDMI
1. 51/162 de 1996
1 2 3 4 5
Información Información Documentos Datos Evidencia
Electrónica Digital No Estructurados Digital
2. Comunidad Andina
Ley 527/99
3. Dcto. 2364/2012
Doc. Electrónico – Equivalencia Funcional
Validez
Electrónica
Comercio
Electrónico
Comercio
Físico
Venta mecánica Gestión del Papel Factura Electrónica Mensaje Datos/ Doc Equivalencia Funcional
CONFIABILIDAD
¿Los procedimientos efectuados sobre los dispositivos tecnológicos han sido previamente probados?
¿Se conoce la tasa de error de las herramientas forenses informáticas utilizadas?¿Se han efectuado
auditorias sobre la eficacia y eficiencia de los procedimientos y herramientas utilizadas para adelantar
el análisis forense informático?
SUFICIENCIA
· ¿Se ha priorizado toda la evidencia recolectada en el desarrollo del caso, basado en su apoyo a las
situaciones que se deben probar?
· ¿Se han analizado todos los elementos informáticos identificados en la escena del crimen?
· ¿Se tiene certeza que no se ha eliminado o sobrescrito evidencia digital en los medios analizados?
DIPLOMADO CIBERSEGURIDAD
DIPLOMADO CIBERSEGURIDAD