5

Índice de Contenidos

Título Página

Portada I

Autoría II

Dedicatoria III

Agradecimiento IV

Índice de Contenidos 5

Índice de Gráficos 10

Introducción. 11

Capítulo 1. Antecedentes. 13

1.1. ¿Qué es la Evidencia Digital? 13

1.2. Definición de Evidencia Digital. 13

1.3. Importancia de la Evidencia Digital. 14

1.4. Tratamiento de la Evidencia Digital. 14

1.5. Tipos de Evidencia Digital. 15

1.5.1. Evidencia Digital Constante. 15

1.5.2. Evidencia Digital Volátil. 15

6

Capítulo 2. Aspectos Técnicos Importantes. 16

2.1. Fuentes de la Evidencia Digital. 16

2.1.1. Sistemas de computación Abiertos. 16

2.1.2. Sistemas de Comunicación. 17

2.1.3. Sistemas Convergentes de Computación. 17

2.2. Características de la Evidencia Digital. 17

2.2.1. Es Volátil. 18

2.2.2. Es Anónima. 18

2.2.3. Es Duplicable. 18

2.2.4. Es alterable y Modificable. 18

2.2.5. Es Eliminable. 18

2.3. Categorías de la Evidencia Digital. 19

2.3.1. Registros Almacenados en el Equipo de Tecnología Informática.

19

2.3.2. Registros Generados por Equipos de Tecnología Informática.

19

2.3.3. Registros que Parcialmente ha sido Generados y Almacenados en Equipos de Tecnología Informática.

20

2.4. La Dinámica de la Evidencia Digital. 20

7

Capítulo 3. Factores que Afectan la Evidencia Digital. 22

3.1. Equipo de Emergencia. 22

3.2. Personal de Criminalista. 23

3.3. Acciones de la Victima. 23

3.4. El Sospechoso o Imputado Tratando de Cubrir sus Rastros. 24

3.5. Transferencia Secundaria. 24

3.6. Testigos. 24

3.7. Clima y la Naturaleza. 24

3.8. Descomposición. 24

Capítulo 4. Cadena de Custodia. 26

4.1. Metodologías del Análisis. 27

4.1.1. Identificar la Evidencia Digital. 27

4.1.2. Preservar la Evidencia Digital. 28

4.1.3. Analizar la Evidencia Digital. 33

4.1.4. Presentación de la Evidencia Digital. 36

4.2. ¿Por qué el Análisis Forense? 36

4.3. Metodologías de Trabajo. 37

8

4.3.1. Fases del Análisis. 38

4.3.2. Escenarios Típicos del Análisis Forense. 39

Capítulo 5. Identificar la Evidencia Digital. 40

5.1. Una Conversación Inicial. 40

5.2. Asegurar la Evidencia Digital. 40

5.2.1. Física. 41

5.2.1.1. Realizar imágenes de la Evidencia Digita encontrada.

42

5.2.1.2. Métodos para realizar Imágenes. 46

5.2.1.3. Software Aplicable. 46

5.2.2. Lógica. 47

5.2.2.1. Checksum 47

5.2.2.2. MD5 48

Capítulo 6. ¿Qué elementos se debe analizar? 49

6.1. ¿Qué es un sistema vivo y un sistema muerto? 61

6.2. Analizar Sistemas Vivos y Sistemas Muertos. 61

6.3. Software Aplicable para sistema vivo y un sistema muerto. 62

6.4. Examinadores de Evidencia Digital. 63

9

6.5. El reconocimiento de la Evidencia Digital como Formal y Valida. 63

Capítulo 7. Presentar la Evidencia Digital. 65

7.1. Normas Para la Presentación de la Evidencia Digital. 65

7.2. Presentación de la Evidencia. 65

Capítulo 8. Leyes Ecuatorianas Contra los Delitos Informáticos. 68

8.1. Extracto de las Leyes ecuatorianas sobre el Derecho Informático. 68

8.2. Extracto de las Normas ISO. 72

8.3. Recomendaciones desde el punto de vista técnico para mejorar las políticas ecuatorianas.

74

Conclusiones y Recomendaciones 76

Glosario de Términos. 80

Bibliografía. 83

Citas Bibliográficas. 86

10

Índice de Figuras

Título Página

Figura 2.4.1. Principio de Intercambio LOADCARD. 21

Figura 3.1.1. Equipo de Emergencia. 23

Figura 3.2.1.Personal de Criminalista. 23

Figura 4.1.2.1. Realizar copias a nivel de Bit del Sistema. 30

Figura 4.1.2.2. Generación de código MD5. 31

Figura 4.1.2.3.Código único. 31

Figura 4.1.2.4. Empaquetado de Equipos. 32

Figura 4.1.2.5. Fundas de Electroestática. 32

Figura 4.1.2.6. Transporte de la Evidencia. 33

Figura 4.1.2.7. Laboratorio de Análisis. 33

Figura 4.3.1. Metodología del Trabajo. 37

Figura 6.3.1. Software HELIX. 62

Figura 6.3.2. Software AUTOPSY 63

11

Introducción

Hoy en día estamos en un mundo que casi en su totalidad se encuentra automatizado y

computarizado. Se han generado procesos que mediante el computador facilite la vida

diaria de las personas y los des-complique de tareas tediosas, confusas y complicadas,

dichos procedimientos también han acortando grandes distancias geográficas.

Si bien la tecnología nos ayuda a solucionar problemas, también va de la mano nuevas

formas de delinquir, generando un mundo obscuro y casi inexplorado en nuestro medio,

por dichas razones aun los profesionales del derecho, incluso profesionales informáticos se

encuentran en conflictos cuando se presenta cosos que ameritan su estudio y posterior

sanción.

Vivimos y trabajamos hoy en el mundo de la conectividad global. La accesibilidad al

internet el empuje universal abre las nuevas oportunidades para el criminal sin escrúpulos.

Hasta hace poco tiempo, muchos profesionales de la tecnología de información pusieron

interés en el fenómeno del cibercrimen.

En este sistema de la seguridad del cibercrimen existe una unión entre dos jugadores muy

importantes la ley y el agente que realiza la investigación creando una lucha eficaz contra el

cibercrimen.

Como ya sabemos la Evidencia Digital, por su misma naturaleza, es frágil y puede

alterarse, dañarse o destruirse por un mal manejo. Por estas razones se debe tomar pre-

12

causaciones especiales para conservar este tipo de evidencias que son sumamente

importantes.

En esta investigación buscaremos una forma correcta, segura y confiable que nos permita la

incautación y preservación de las Evidencias Digitales que se obtienen en un proceso, así

también se dará las pautas para su posterior tratamiento y presentación de las mismas, sin el

menor rango posible de una alteración o contaminación de las evidencias.

En este trabajo investigativo se pretende dar soluciones a los profesionales del derecho, con

una visión informática.

13

CAPÍTULO I

1. ANTECEDENTES

1.1. ¿Qué es la evidencia Digital?

Es un término usado de una manera amplia para describir cualquier registro

generado o almacenado en un sistema computacional que puede ser usado como

evidencia en un proceso legal informático.

La evidencia digital es el proceso de identificación, preservación, análisis y

presentación de evidencias digitales en una forma que sea legalmente aceptable en

cualquier proceso judicial o administrativo.

1.2. Definición de Evidencia Digital.

Existen múltiples definiciones a la fecha sobre evidencia digital, para nuestro

estudio tomaremos la definición de acuerdo con el HB: 171 2003 Guidelines for the

Management of IT Evidence, que dice la evidencia digital es: “Cualquier

información, que sujeta a una intervención humana u otra semejante, ha sido

extraída de un medio informático.

También definimos la evidencia digital de una forma más comprensible diciendo

que son los movimientos realizados en los computadores y están registrados para

una posterior investigación.

14

1.3. Importancia de la Evidencia Digital.

En esta fase se establecen el valor de las evidencias de tal forma que se pueda

identificar las mejoras que permita presentar e identificar de forma clara y eficaz,

los elementos que se desee llevar ajuicio, es decir, redactar lo más importante para

la investigación.

El objetivo es que el ente que valore las pruebas aportadas observe que el análisis

forense aporta los objetivos de prueba más relevantes para el esclarecimiento de los

hechos en discusión, en otras palabras que sirva como prueba dentro de un juicio,

para dicho efecto se bebe tomar en cuenta:

o El valor probatorio.- establece que el registro tenga autenticidad.

o Normas de la evidencia.- hace referencia a que se sigan los procedimientos y

reglas para una adecuada recolección y manejo de las evidencias.

Tal vez este aspecto en un principio no es tomando muy en serio, pero es un aspecto

fundamental puesto que demuestra en grado en el que se encuentra los equipos y sus

contenidos.

1.4. Tratamiento de la Evidencia Digital.

Siendo la evidencia digital información de carácter trascendental en un proceso

judicial informático puede ser copiada con exactitud y compartida para ser revisada

por varios investigadores forenses especializados, y para que en posterior puedan

15

dar sus resultados de manera abierta, sin ocultar nada y todas las personas que estén

involucrados en el caso den su propia opinión sobre los resultados.

1.5. Tipos de Evidencia Digital.

La evidencia digital de acuerdo a su naturaleza y fragilidad se divide en dos grupos

que son:

1.5.1. Evidencia Digital Constante.

En un principio el tipo de la evidencia digital buscada en los equipos

informáticos es de tipo constante o persistente, es decir lo que está almacenado

en discos duros o en otro medio informático, y se mantenía preservada después

que el computador es apagado.

1.5.2. Evidencia Digital Volátil.

También la evidencia es de tipo volátil, es decir, la evidencia digital se

encuentra alojada temporalmente en la memoria RAM, o en el CACHE, son

evidencias que por su naturaleza inestable se pierde cuando se apaga el

computador, este tipo de evidencia debe ser recuperado casi de inmediato.

16

CAPÍTULO II.

2. ASPECTOS TÉCNICOS IMPORTANTES.

2.1. Fuentes de la Evidencia Digital.

En algunos casos se presta a confusiones los términos evidencia digital y evidencia

electrónica, dichos términos pueden ser usados como sinónimos, sin embargo es

necesario poder distinguirlos entre electrónicos que son aparatos como: PCs, 1Flash

memory, CD’s., DVD’s., y lo digital es la información que estos contengan,

clasificando la evidencia digital en tres grupos que son:

2.1.1. Sistemas de computación Abiertos.

Son aquellos que están compuestos por las computadoras de escritorio y todos

sus periféricos, computadores portátiles y los servidores, dado que los

servidores tienen una capacidad enorme para almacenar información en sus

discos duros, hace que se conviertan en una fuente de evidencia digital

importante.

1 Son de carácter no volátil, esto es, la información que almacena no se pierde en cuanto se desconecta de la corriente, una característica muy valorada para la multitud de usos en los que se emplea este tipo de memoria.

17

2.1.2. Sistemas de Comunicación.

Están compuestos por redes de telecomunicación, la comunicación

inalámbrica y el Internet, convirtiéndoles en una gran fuente de evidencia

digital e información.

2.1.3. Sistemas Convergentes de Computación.

Estos sistemas son los que están formados por los teléfonos, celulares, los

PDAs, las tarjetas inteligentes, las 2memory stick, el flash memory, y cualquier

aparato electrónico que posea convergencia digital y pueda contener evidencia

digital.

2.2. Características de la Evidencia Digital.

Una característica única de la evidencia computacional es la fragilidad, otra de las

características es la potencialidad al momento de realizar copias sin dejar rastros.

Cuando se dan los incidentes generalmente las personas involucradas intentan

manipular y alterar la evidencia digital, tratando de borrar algún rastro que de

prueba del daño, sin embargo este problema es mitigado con algunas características

que posee la evidencia digital, que a continuación se describen.

2 Es un formato de tarjeta de memoria extraíble

18

2.2.1. Es Volátil.

La evidencia digital se puede perder en cualquier momento. Ej., al momento

de apagar un equipo, de esta forma perderíamos la información que esta

almacenada en la RAM o CAHE del equipo.

2.2.2. Es Anónima.

No se puede saber con exactitud dónde está la evidencia digital.

2.2.3. Es Duplicable.

La evidencia digital puede ser duplicada de forma exacta y se puede sacar una

copia para ser examinada como si fuera la original, esto se hace comúnmente

para no manipular los originales y evitar el riesgo de dañar la evidencia.

2.2.4. Es alterable y Modificable.

Actualmente, con las herramientas existentes, es fácil de comprobar la

evidencia digital con su original y determinar si la evidencia digital ha sido

alterada o modificada, por mínimos o insignificantes que sean los cambios

realizados.

2.2.5. Es Eliminable.

La evidencia digital es muy fácil de eliminar, aun cuando un registro es

borrado del disco duro del computador, y este ha sido formateado por varias

ocasiones, es posible recuperarlo.

19

Cuando los involucrados en un crimen tratan de destruir la evidencia, existen

copias que permanecen en otros sitios.

2.3. Categorías de la Evidencia Digital.

Las categorías en las que se divide la evidencia digital, son tres, que se procede a

describirlas a continuación:

2.3.1. Registros Almacenados en el Equipo de Tecnología Informática.

Son aquellos que son generados por una persona y que son almacenados en un

computador, por ejemplo tenemos un documento realizado con un procesador

de palabras, imágenes, aplicaciones de 3ofimática, correos electrónicos, en

estos registros es importante poder demostrar la identidad de la persona que

genero y probar hechos o afirmaciones contenidas en la evidencia misma. Para

lo que hemos mencionado es importante demostrar que muestren que las

afirmaciones humanas contenidas en la evidencia son reales.

2.3.2. Registros Generados por Equipos de Tecnología Informática.

Estos registros son aquellos que como dice su nombre, son generados por

efecto de la programación de un computador.

Este tipo de registros son inalterables por una persona, se los llama registros de

eventos de seguridad (4logs) y sirven como prueba tras demostrar el correcto y

3 Equipamiento de hardware y software usado para idear y crear, coleccionar, almacenar, manipular y transmitir digitalmente la información en una oficina para realizar y lograr objetivos básicos. 4 Archivo de registro en el que se van grabando las conversaciones del canal o privadas.

20

adecuado funcionamiento del sistema o computador que genero el registro,

como ejemplos podemos mencionar registros de auditoría, registro de

transacciones, registros de eventos, etc.

2.3.3. Registros que Parcialmente ha sido Generados y Almacenados en

Equipos de Tecnología Informática.

A estos registros se les llama también como registros híbridos ya que

incluyen tanto registros generados por un computador como almacenado en

los mismos. Combinan afirmaciones humanas y los logs, para que los

mismos sirvan como prueba deben de cumplir las dos categorías antes

mencionadas.

2.4. La Dinámica de la Evidencia Digital.

La dinámica de la evidencia digital es la forma como se entiende y se describen los

diferentes factores que actúan sobre las evidencias, a fin de determinar los cambios

que producen sobre ellas.

Se afirma sin lugar a duda de que existen muchos agentes que intervienen sobre la

evidencia digital, aquí se aplica el principio de 5Locard se debe de reconocer la

forma de cómo estos factores puedan alterar la evidencia, y así tener la oportunidad

de manejarla de la manera apropiada, evitando su contaminación, daños y hasta una

perdida por completo.

5 Cuando una persona está en la escena del delito, esta deja algo de si mismo dentro de la escena y a su vez que cuando sale de ella esta se lleva algo consigo.

21

Los principios de criminalística de Locard y el 6mismisidad se deben de tener como

instrumento de investigación en escenas del crimen y escenas de delitos

informáticos.

A continuación se muestra la figura 2.4.1. que describe de forma grafica el

principio de intercambio.

Figura 2.4.1. Principio de Intercambio LOADCARD

Cuando en una escena del delito se tiene que trabajar en condiciones adversas, es

indispensable tomar medidas de seguridad necesarias para en primer lugar la

integridad física y luego incrementar procedimientos adecuados para incrementar

las posibilidades de recuperar las evidencias de la manera más completa.

6 Una cosa es igual a sí misma y diferente de las demás.

La interacción causa intercambio de datos

La interacción causa intercambio de datos

PRINCIPIO DE INTERCAMBIO

Objeto 1

Objeto 2

22

CAPITULO III

3. FACTORES QUE AFECTAN LA EVIDENCIA DIGITAL.

De lo que hemos dicho en los capítulos anteriores podemos manifestar que los

investigadores forenses nunca tendrán la oportunidad de revisar una escena del delito en

su estado original siempre habrá un factor que haga que haga que las escenas presenten

alguna anomalía o discrepancia.

A continuación se procede a exponer algunas de las posibles situaciones en donde se ve

afectada la escena del delito informático.

3.1. Equipo de Emergencia.

En el caso de un incendio, los sistemas informáticos pueden ser afectados por el

fuego y el humo, posteriormente se ven sometidos a una gran cantidad de agua al

tratar de apagar el incendio.

Esto va a provocar que los técnicos forenses no puedan determinar a ciencia cierta

si los sistemas informáticos encontrados en la escena estuvieron comprometidos,

fueron atacados o usados indebidamente.

En otras ocasiones los equipos de emergencia manipulan la escena cuando es

necesario para salvar la vida de una persona.

23

Figura 3.1.1. Equipo de Emergencia.

3.2. Personal de Criminalista.

En algunas ocasiones el personal de criminalística por accidente cambia, reubica o

altera la evidencia. Como un claro ejemplo tenemos en el caso de que quiera sacar

una muestra de sangre de una gota precipitada sobre un disquete o disco compacto

mediante el uso de escarpelo, esto puede comprometer accidentalmente los datos e

información almacenada en dichos soportes.

Figura 3.2.1.Personal de Criminalista.

3.3. Acciones de la Victima.

La víctima de un delito, pueden borrar correos electrónicos que le causen aflicción

o le provoquen alguna situación embarazosa.

24

3.4. El Sospechoso o Imputado Tratando de Cubrir sus Rastros.

Cuando el sospechoso o imputado deliberadamente borra o altera los datos,

registrados u otros mensajes de datos considerados como evidencia dentro de un

disco duro.

3.5. Transferencia Secundaria.

Hay ocasiones, en la que los sistemas informáticos usados en el sometimiento del

delito informático, son usados posteriormente por alguna persona de forma

inocente, causando con ello la destrucción y alteración de la evidencia.

3.6. Testigos.

Se puede dar que un administrador del sistema pueda borrar cuentas de usuario

sospechosas, las mismas que fueron creadas por un intruso, a fin de prevenir su

acceso y utilización futura.

3.7. Clima y la Naturaleza.

Los campos electromagnéticos pueden corromper la información guardada en los

discos magnéticos.

3.8. Descomposición.

La información que esta almacenada en discos magnéticos o en otros soportes en

algunos casos puede perderse o tornarse ilegible para los sistemas de información, a

causa del tiempo y de las malas condiciones de almacenamiento.

25

En resumen debemos entender que los factores humanos, de la naturaleza y los propios

equipos informáticos pueden alterar, borrar o destruir la evidencia. Debemos

comprender como estas variables actúan sobre la escena misma del delito, por tanto se

debe encaminar la investigación desde su etapa más temprana tomando en cuenta

dichos cambios a fin de adecuar el mejor método para adquirir, preservar y luego

analizar las evidencias obtenidas y así reducir de manera considerable los posibles

efectos de los factores que afectan la evidencia digital

26

CAPÍTULO IV

4. CADENA DE CUSTODIA

La cadena de custodia es la aplicación de una serie de normas tendientes a serrar,

embalar y proteger cada uno de los elementos probatorios para evitar su destrucción,

suplantación o contaminación, lo que podría implicar serios tropiezos en la investigación

de una conducta punible.

Por otra parte se define como el procedimiento establecido por las normatividad jurídica,

que tiene el propósito de garantizar la integridad, conservación e inalterabilidad de

elementos materiales de pruebas.

Así mismo se considera necesario mencionar, como elemento complementario para

aumentar la protección de la evidencia digital, el concepto de cadena de custodia.

Se debe aplicar la cadena de custodia a los elementos físicos materia de prueba, para

garantizar la autenticidad de los mismos acreditando su identidad y estado original, las

personas que intervienen en la recolección, envió, manejo, análisis y conservación de los

elementos, así mismo los cambios hechos en ellos por cada custodio.

”La cadena de custodia se inicia en el lugar donde se obtiene, encuentre o recaude el

elemento físico de prueba y finaliza por orden de la autoridad competente.”

27

Son responsables de la aplicación de la cadena de custodia todos los servidores públicos

y los particulares que tengan relación con estos elementos.

4.1. Metodologías del Análisis.

La cadena de custodia es el conjunto de pasos o procedimientos seguidos para

preservar la prueba digital que permita convertirla y usarla como evidencia digital

en el proceso judicial.

o No existe un estándar ampliamente reconocido de forma pública.

o Existen procedimientos reconocidos públicamente como robustos a la hora

de preservar la información digital.

o Existen diferentes procesos de estandarización en los que colaboran fuerzas

de la ley, investigadores y expertos.

4.1.1. Identificar la Evidencia Digital.

Es muy importante conocer los antecedentes, situación actual y el proceso que se

quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la

estrategia de investigación. Incluye muchas veces la identificación del bien

informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que

verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno

legal que protege el bien y del apoyo para la toma de decisión con respecto al

siguiente paso una vez revisados los resultados.

28

Es importante clasificar los conceptos y describir la terminología adecuada que nos

señale el rol que tiene un sistema informático dentro del 7 iter criminist. Esto a fin

de encaminar correctamente el tipo de investigación, la obtención de indicios y

posteriormente los elementos probatorios necesarios para sostener nuestro caso.

A continuación citamos un ejemplo para entender de forma correcta lo que es la

identificación de la evidencia digital.

El procedimiento de una investigación por homicidio que tenga que relación con

evidencia digital, será totalmente distinto al que utilice en un fraude informático,

por tanto el rol que cumpla el sistema informático determina, donde debe ser

ubicada y donde debe ser usada.

4.1.2. Preservar la Evidencia Digital.

Este paso incluye la revisión y generación de las imágenes forenses de la

evidencia para poder realizar el análisis. Dicha duplicación se realiza

utilizando tecnología de punta para poder mantener la integridad de la

evidencia y la cadena de custodia que se requiere. Al realizar una imagen

forense, nos referimos al proceso que se requiere para generar una copia “bit-

a-bit” de todo el disco, el cual permitirá recuperar en el siguiente paso, toda la

información contenida y borrada del disco duro. Para evitar la contaminación

del disco duro, normalmente se ocupan bloqueadores de escritura de hardware,

los cuales evitan el contacto de lectura con el disco, lo que provocaría una

alteración no deseada en los medios.

7 Camino del delito

29

Para la correcta preservación de la evidencia digital se debe seguir los

siguientes pasos, que a continuación vamos a detallar.

a) Si el dispositivo del cual tenemos que hacer una copia de su sistema

de almacenamiento esta encendido, extraerlo siempre que sea posible

y ponerlo en una estación de trabajo para la adquisición de datos.

b) Si por alguna circunstancia no es posible, arrancar el sistema donde

está dicho dispositivo con un sistema operativo auto arrancable,

desde CD o disquete, sin instalar nada en el sistema.

c) Toda evidencia digital guardada en dispositivos de almacenamiento,

y por otro tanto almacenamiento en ficheros, debe ser copiado

mediante procedimiento de software que no altere la evidencia.

d) Realizar una imagen a nivel de bit de sistema de almacenamiento del

dispositivo.

o Extraer el dispositivo origen a copiar

o Usar un dispositivo destino para el almacenamiento de la

información

o Usar una conexión de red, 8Ethernet, cable cruzado, para

transferir el contenido del disco al otro dispositivo de

almacenamiento.

8 Es un estándar de redes de computadoras de área local con acceso.

30

Figura 4.1.2.1. Realizar copias a nivel de Bit del Sistema.

e) Retención de tiempos y fechas.

o El tiempo y la fecha de creación o modificación de un fichero

puede ser un aspecto importante en un asunto de delito

informático.

o Los archivos puede que no sean correspondientes con la fecha

real.

o Para ello se debe anotar fecha y hora del sistema antes de

apagarlo.

f) Preservar datos de dispositivos de mano como PDAs, 9PocketPCs,

etc.

o Existen programas que duplican los datos que se están

ejecutando sobre el sistema operativo de los dispositivos de

mano.

o Estos programas crean una imagen completa de la memoria

del dispositivo, incluyendo las aplicaciones, datos de usuario

9 Se trata de un pequeño ordenador, diseñado para ocupar el mínimo espacio y ser fácilmente transportable que ejecuta el sistema operativo Windows CE de Microsoft entre otros, el cual le proporciona capacidades similares a los PCs de escritorio.

31

y datos de marcado para borrar (estos datos no se borran hasta

la siguiente sincronización de sesión).

g) Realizar los procesos de Checksum criptográfico de la copia y del

original

Existen dos métodos utilizados para la generación de hash, ejemplo:

la generación de código MD5.

Figura 4.1.2.2. Generación de código MD5.

h) Documentar quien preservo la evidencia, donde la preservo, como lo

hizo, cuándo y por qué.

i) Empaquetar los dispositivos que contienen las evidencias. Los

detalles mínimos que beben ser registrados, directos e

inequivocadamente atribuidos a cada paquete son:

o Identificador único.

Figura 4.1.2.3.Código único.

o Nombre de la persona y organización (fuerza de la policía,

departamento técnico, etc.), responsable de la recolección y

empaquetado del material.

o Breve descripción del material.

o Localización desde donde y a quien fue incautado.

32

o Día y hora de la incautación.

Figura 4.1.2.4. Empaquetado de Equipos.

j) Los dispositivos magnéticos u ópticos (cintas, CDs, discos duros,

disquetes, discos ZIP, 10JAZ) que expongan placas deben ser

primeramente introducidos en bolsas antiestáticas y después ponerla

en una caja cuyo interior podamos rellenarla con “plásticos con

burbujas” u otro material protector.

Figura 4.1.2.5. Fundas de Electroestática.

k) Documentación en papel (como manuales y libros) en bolsas de

plástico para proteger de daños.

l) Toda persona involucrada en un examen forense debería tomar las

precauciones necesarias para preservar las evidencias de factores

externos tales como electricidad estática, excesivo calor, excesiva

humedad documentando el hecho.

10 Antiguo dispositivo de almacenamiento que utiliza cartuchos que internamente

son muy parecidos a un disco duro.

33

m) Transportar los documentos que contienen las evidencias.

Figura 4.1.2.6. Transporte de la Evidencia.

n) Toda evidencia debe ser transportada a un lugar seguro y cerrado.

Figura 4.1.2.7. Laboratorio de Análisis.

o) La cadena de custodia se debe mantener durante el transporte

4.1.3. Analizar la Evidencia Digital.

Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por

medio del proceso forense para poder encontrar pruebas de ciertas conductas.

Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas

del o de los usuarios de la máquina como son el uso de dispositivos de USB

(marca, modelo), búsqueda de archivos específicos, recuperación e

identificación de correos electrónicos, recuperación de los últimos sitios

visitados, recuperación del caché del navegador de Internet, etc.

El investigador debe intentar contestar a las siguientes preguntas en el análisis

de la evidencia digital.

1) ¿Quién?

34

Reunir la información él/los individuo/s involucrados en el

compromiso.

2) ¿Qué?

Determinar la naturaleza exacta de los eventos ocurridos.

3) ¿Cuándo?

Reconstruir la secuencia temporal de los hechos.

4) ¿Cómo?

Descubrir que herramientas o 11exploits se han usado para cometer el

delito.

La evidencia almacenada debe ser analizada para extraer la información

relevante y recrear la cadena de eventos sucedidos.

Cualquier elemento enviado para su análisis debería ser en primer lugar

revisado para comprobar la integridad del paquete antes de empezar dicho

análisis.

Es importante que el cliente especifique que información es importante.

Analizar las evidencias digitales va a depender del tipo de datos a analizar, del

tipo de sistema en el cual se clasifique el dispositivo comprometido

(ordenadores, dispositivos móviles, etc.).

En el peor de los casos el investigador forense deberá analizar todas las

evidencias digitales que posea para resolver el caso.

Existen cuatro categorías de datos:

11 Es un programa o técnica que aprovecha una vulnerabilidad.

35

1) Datos lógicamente accesibles. Son los datos más comunes, las

dificultades que podemos encontrar en estos datos son:

o Que haya una gran cantidad de información a analizar (los

actuales dispositivos de almacenamiento pueden contener una

cantidad inimaginable de ficheros).

o Que estén cifrados, si están cifrados con programas como por

ejemplo Office que es el más fácil de romper la clave; en

otros casos como puede ser al usar PGP) es virtualmente

imposible romperlo.

o Que estén corruptos o que tengan trampa (por ejemplo código

12hostil que al producirse cierta situación puede hacerse que

se formatee el disco duro, etc.).

2) Datos que han sido eliminados. Si aun no han sido sobre escritos se

puede recuperarlos para un posterior análisis.

3) Datos en 13“ambient data” espacio no asignado, ficheros de

14swap/page file, espacio entre sectores, espacio entre particiones,

15datastreams alternativos, etc., este tipo de datos necesita software

especial para poder ser recuperados.

12 Troyanos, Virus, etc., que aceden a la PC para atacarla.

13 Datos en localizaciones no visibles de forma fácil en sistemas de ficheros.

14 Memoria Virtual.

15 Datos en flujo continuo.

36

4) Datos en 16estenografía Los forenses informáticos pueden usar

técnicas estenográficas para buscar información oculta en el sistema.

4.1.4. Presentación de la Evidencia Digital.

Es el recopilar toda la información que se obtuvo a partir del análisis para

realizar el reporte y la presentación a los abogados, la generación (si es el

caso) de una pericial y de su correcta interpretación sin hacer uso de

tecnicismos.

Si la prueba que se pretende hacer valer es el fundamento de la pretensión

principal dentro de un proceso es claro que entonces este debe incorporada al

momento de la presentación de la demanda o de la contestación de la misma

según sea el caso. Es claro así mismo, que aun si la parte no promueve la

evidencia si el juez del proceso conoce de la existencia de la misma este pude

de solicitar de oficio que esta sea decretada, siempre y cuando las considere

útiles para la verificación de los hechos relacionados con las alegaciones de las

partes.

4.2. ¿Por qué el Análisis Forense?

El análisis forense permite descubrir el origen del atacante, identificar

detalladamente las acciones realizadas, determinarlas herramientas y los métodos

16 Espacio no asignado por el cual se puede ocultar datos dentro del fichero.

37

utilizados, y lo más importante descubrir las vulnerabilidades que lo han hecho

posible.

Todo esto tiene el objetivo de poder fortificar el sistema ante futuros incidentes. De

este modo no solo se trata de proteger a la empresa de incidentes, también

podemos definir el alcance de los mismos y tomar las medidas oportunas.

4.3. Metodologías de Trabajo.

Se ha desarrollado una metodología propietaria de trabajo que garantiza la

validación y la preservación de los datos que se adquieren en el proceso de análisis

forense.

t

Figura 4.3.1. Metodología del Trabajo.

Identificar

Analizar

Presentar

Metodología del Trabajo

Preservar

38

Los pasos y acciones realizadas, incluyendo posibles modificaciones a cualquier

evidencia, se documentan detalladamente.

Las tareas de investigación se realizan sobre una copia de la información y nunca

sobre la evidencia original. De hecho la metodología contempla diversos métodos

de adquisición de datos como ejemplo tenemos: La duplicación de un disco duro.

4.3.1. Fases del Análisis.

Nos vamos a centrar en dos Fases a la hora de reconstruir los hechos:

1. El estudio del sistema informático (La victima). Engloba los diferentes

procesos necesarios para recopilar la evidencia de forma adecuada y

permitir su posterior análisis, se estudia por ejemplo:

o Recuperar información borrada,

o Buscar información sospechosa,

o Comprobar si han existido accesos no autorizados,

o Detectar los métodos de acceso de posibles intrusos,

o Detectar los posibles troyanos instalados,

o Crear un esquema temporal de incidentes de seguridad.

2. Escenario de la incidencia (Físico y Lógico). Engloba procesos externos al

sistema en cuestión, se estudia por ejemplo:

o Los log de los cortafuego,

o ID’s u otros dispositivos de red,

39

o Se revisa físicamente el sistema informático y red de comunicación.

4.3.2. Escenarios Típicos del Análisis Forense.

Los escenarios típicos para el análisis forense son:

o Filtraciones de documentaciones confidenciales,

o Accesos no autorizados,

o Comportamiento anómalo del sistema,

o Problemas nacidos del personal interno,

o Destrucción de datos,

o Uso no autorizado del material.

40

CAPITULO V

5. IDENTIFICAR LA EVIDENCIA DIGITAL

Para la correcta identificación de la evidencia digital se debe realizar los siguientes paso

se describen a continuación.

5.1. Una Conversación Inicial.

Es el primer paso de cualquier análisis forense, nos deben o debemos explicar con la

mayor exactitud posible qué ha ocurrido, qué se llevaron o intentaron llevar y

cuándo ocurrió, también tendremos que recoger información sobre la organización,

ya sea organización, casa, etc., recogeremos información sobre la tipología de red y

de gente directa o indirectamente implicada, también podríamos recoger

información sobre el tipo de escenario y el/los sistema/s afectado/s

5.2. Asegurar la Evidencia Digital.

El primer pasó en un proceso de investigación informática forense, al igual que en

cualquier otro proceso criminal, es 17asegurar la escena del delito informático.

Este primer módulo, idealmente, debería ser realizado por un cuerpo de seguridad

del Estado: Guardia Civil, Policía Nacional, etc. junto a un experto en Informática

Forense.

17 Restringir el acceso a la zona del delito para no modificar evidencias

41

Como esta situación es bastante ideal y el proceso de aseguramiento se debe hacer

lo más rápido posible, aunque la exactitud debe primar sobre la rapidez en todas las

fases, este módulo debe ser realizado por una persona “competente” de la

organización implicada que pueda explicar los pasos que ha realizado y la

implicación de sus acciones.

5.2.1. Física.

Normalmente los administradores de los sistemas informáticos serán los

primeros en tener contacto con la escena del delito y junto a equipo de

respuesta de incidentes realizarán los primeros pasos para “congelar” la

escena del delito.

El rol fundamental de las primeras personas en responder al delito es “no

hacer nada que pueda producir daño”.

A menos que se esté específicamente entrenado en respuesta a incidentes, la

persona que primero llegue a la escena no debería realizar nada de lo que no

esté seguro de sus consecuencias.

Es muy fácil que un astuto criminal informático inserte un troyano o código

hostil que destruya evidencias automáticamente al apagar el ordenador,

resetearlo, etc.

Es muy importante que una persona sea asignada con autoridad suficiente

para tomar decisiones finales que aseguren la escena del delito, conducir las

42

búsquedas de evidencias y preservar las mismas. Este rol normalmente debe

ser asumido por el jefe del equipo forense.

5.2.1.1. Realizar imágenes de la Evidencia Digital encontrada.

Esta es la fase más importante y crítica de la metodología, puesto que

una vez que se haya comprobado el delito informático la empresa o

institución dañada normalmente deseará llevar a un proceso judicial

al atacante.

Para ello es necesario poseer evidencias digitales preservadas de tal

forma que no haya duda alguna de su verosimilitud y siempre de

acuerdo a las leyes vigentes.

Este proceso de preservación se debe realizar tan pronto como sea

posible.

Siempre que sea posible hay que evitar los cambios en las evidencias

y si no se logra, registrarlo, documentarlo y justificarlo, siempre que

sea posible con testigos que puedan corroborar las acciones.

Recordemos que las primeras evidencias que hay que obtener son las

volátiles, que al guardarlas en ficheros se convertirán en evidencias

no volátiles.

Pasos para realizar imágenes de las evidencias digitales

encontradas:

43

- Si el dispositivo del cual tenemos que hacer copia de su sistema de

almacenamiento está encendido, extraerlo siempre que sea posible y

ponerlo en una estación de trabajo para la adquisición de datos. Si por

cualquier circunstancia no es posible, arrancar el sistema donde está

dicho dispositivo con un sistema operativo autoarrancable, desde

disquete o CD, sin instalar nada en el sistema.

- Toda evidencia digital guardada en dispositivos de almacenamiento,

y por tanto almacenado en un sistema de ficheros, debe ser copiado

mediante procedimientos software que no alteren la evidencia y que

sean admisibles en un tribunal de justicia. Para ello realizar una

imagen a nivel de bit del sistema de almacenamiento del dispositivo.

Una imagen a nivel de bits es una copia que registra cada bit que fue

grabado en el dispositivo de almacenamiento original, incluyendo

ficheros ocultos, ficheros temporales, ficheros corruptos, ficheros

fragmentados y ficheros borrados que todavía no han sido

sobrescritos. Estas imágenes usan un método CRC para validar que la

copia es la misma que el original.

- Formas para crear duplicados a nivel de bit de los discos de

almacenamiento de información.

o Extraer el dispositivo origen a copiar.

44

o Usar un dispositivo destino para el almacenamiento de la

información; se recomienda algún RAID ya que aseguran

redundancia y disponibilidad de los datos.

o Usar una conexión de red, conexión Ethernet, cable cruzado,

USB, etc., para transferir el contenido del disco al otro

dispositivo de almacenamiento.

Qué método usar dependen del equipamiento que se tenga a

mano. Lo mejor, aunque también lo más caro, es una estación de

trabajo portátil o un dispositivo de creación de imágenes.

Teniendo sistemas de almacenamiento de capacidad menor a 700

Mb se puede usar un CD que no sea regrabable para realizar la

imagen. Si esta capacidad es menor a 17 Gb se podría usar un

DVD no regrabable. Usando CDs o DVDs se asegura la

integridad de los datos, puesto que en estos dispositivos no puede

ser modificado.

- Retención de tiempos y fechas. El tiempo y fecha de creación o

modificación de un fichero puede ser un importante asunto en un

delito. Si el usuario puede tener el sistema sin configurar

apropiadamente el tiempo o deliberadamente cambiar las propiedades

de fecha y hora, los ficheros puede que no sean correspondientes con

la fecha real. Esto puede ser un problema si, por ejemplo, el sistema

de registro muestra que un fichero fue creado en una fecha concreta y

45

el sospechoso es capaz de probar que esa fecha no usó el ordenador.

Por ello se debe anotar hora y fecha del sistema antes de apagarlo,

documentando el hecho. Además puede ser prudente fotografiar la

pantalla mostrando el acceso a ficheros o tiempos de modificación

antes de abrir dichos ficheros. También tener en cuenta el desfase

horario que pueda haber entre el dispositivo que contiene la evidencia

y el horario real, documentado este desfase. Siempre que sea posible

trabajar con zonas de tiempo GMT. El delito puede involucrar varias

zonas de tiempo y usando GMT puede ser un punto de referencia que

haga el análisis de las evidencias más sencillo.

- Preservar datos de dispositivos de mano como PDAs, PocketPCs,

etc. Existen programas que duplican los datos que se están ejecutando

sobre el sistema operativo de los dispositivos de mano. Estos

programas crean una imagen completa de la memoria del dispositivo,

incluidas las aplicaciones, datos de usuario y datos marcados para

borrar (estos elementos no se borran hasta la siguiente sesión de

sincronización). También se ofrece información sobre la versión del

sistema operativo, información sobre el procesador, RAM, ROM, etc.

Si no se posee una herramienta otra forma de hacer imágenes de la

información es copiar los ficheros relevantes a una tarjeta de

memoria.

46

5.2.1.2. Métodos para realizar Imágenes.

El método que se recomienda para realizar imágenes de la evidencia

digital encontrada es generar los procesos de checksum criptográfico

de la copia y del original.

Mediante el método de checksum criptográfico, proceso de

generación de la integridad de un fichero, conjunto de ficheros o de

toda la información contenida en un dispositivo de almacenamiento,

se garantiza que la evidencia no será alterada en ni un solo bit.

5.2.1.3. Software Aplicable.

El software que se debe aplicar para la realización de imágenes de la

evidencia digital encontrada debe ser:

De preferencia software libre, caso contrario se debe disponer de las

licencias respectivas del uso del software.

El software no debe contaminar o modificar en lo mas mínimo la

evidencia.

Debe ser de fácil interpretación al momento de presentar las pruebas,

etc.

47

5.2.2. Lógica.

Datos lógicamente accesibles. Son los datos más comunes. Las dificultades

que podemos encontrar en estos datos son:

o Que haya una gran cantidad de información a analizar.

o Que estén cifrados.

o Que estén corruptos o que tengan trampas.

5.2.2.1. Checksum

El proceso es sencillo; generar el checksum significa generar un

18hash, valor único para un determinado conjunto de bytes, de la

evidencia. Esto es posible dado que los algoritmos criptográficos de

hash son cuidadosamente seleccionados para ser funciones de un solo

sentido, dado un determinado checksum criptográfico para un

mensaje, es virtualmente imposible adivinar qué mensaje produjo ese

checksum. Dicho de otra manera, no es posible hallar mediante

cómputos dos mensajes que generen el mismo checksum

criptográfico.

18 No es más que un número, hexadecimal generalmente, resumen; un compendio de bits que dependen bit a bit de un conjunto de bits original. Dicho conjunto de bits original puede ser un fichero, una cadena de texto, etc.

48

5.2.2.2. MD5

Gracias a determinado software especializado y algoritmos de

verificación de checksum (como MD5) se comprueba que si la

evidencia no se ha alterado, produce un hash idéntico al original.

También podemos usar firma digital para realizar el proceso de

autenticación de la copia y del original, puesto que debido a sus

características (única, no falsificable, fácil de autenticar, barata y

fácil de generar) es ideal para este proceso.

49

CAPÍTULO VI

6. ¿QUÉ ELEMENTOS SE DEBE ANALIZAR?

Los elementos que se deben analizar se muestran en la lista que se detalla a

continuación.

a) Sistemas informáticos.

o Sistemas Windows.

i. Registro del Sistema.

ii. Contenido de Sistema de Fichero Cifrados (EFS).

iii. FAT o MTF (Tablas de Metadatos de sistemas de ficheros

Windows).

iv. Fichero BITMAP (Fichero creado durante el formateo de volúmenes

NTFS para Windows NT y superiores).

v. Papelera de reciclaje.

vi. Ficheros de acceso directo.

vii. Active Directory (Windows 2000 y superiores).

viii. Log de visor de eventos.

50

o Sistemas Unix/Linux.

i. Listado descriptores de ficheros.

ii. Ficheros SUID/SGID.

iii. Trabajos planificados (schedule jobs).

iv. Ficheros del historial de la shell.

Localización común de evidencias en los sistemas mencionados anteriormente y

otros como pueden ser Solaris, SPARC, MVS, etc.:

o Evidencias volátiles.

o Mensajes de correo electrónico.

o Ficheros de trabajo de impresión.

o Archivos temporales de los browsers.

o Cache de los browsers.

o Historiales de los 19browsers.

o Favoritos de los browsers.

o Ficheros de 20cookies de los browsers. 19 Explorador de la web.

20 Las cookies son pequeños archivos de texto que son descargados automáticamente (si está permitido por las reglas de seguridad) al navegar en una página web específica.

51

o Logs del sistema operativo.

o Logs de aplicaciones.

o Logs de clientes de 21chat.

o Documentos de texto (cuyas extensiones pueden ser doc, wpd, wps, rtf, txt,

etc.).

o Hojas de cálculo (cuyas extensiones pueden ser xls, wgl, wkl, etc.).

o Ficheros gráficos (cuyas extensiones pueden ser jpg, gif, tif, bmp, etc.).

Otras localizaciones “no tan visibles” (conocido como “ambient data”) que

necesitan software especializado para poder ser obtenida la evidencia digital:

o FileSlack (Espacio entre el final de un fichero y el final del cluster en el que

se encuentra).

o Ficheros de intercambio (Swap File y Page File).

o Espacio no asignado (Unallocate space).

o Espacio entre sectores.

o Espacio entre particiones.

21 Recurso en Internet que permite comunicarse en forma de texto con otros usuarios

52

Otras evidencias (como por ejemplo imágenes que usen estenografía para ocultar otros

datos) pueden encontrase en los sistemas de ficheros de otros dispositivos distintos a los

anteriormente mencionados (como CDs, DVDs, etc.) o memorias o 22buffers propios de

otros dispositivos (escáneres, impresoras, cámaras de fotos digitales, cámaras de vídeo

digitales, etc.).

b) Redes

o Información proporcionada por la tarjeta de red (dirección MAC, dirección

IP.).

o Tabla de direcciones IP asignadas por el servidor DHCP.

o Cache de ARP.

o Logs del IDS.

o Memoria del IDS.

o Logs del 23firewall.

o Memoria del firewall.

o Logs de servidores (Web, FTP, de correo electrónico).

o Mensajes de correo electrónico almacenados en el servidor.

22 Memoria de almacenamiento temporal de información.

23 Herramienta de seguridad que controla el tráfico de entrada/salida de una red.

53

o Logs de24 modems.

o Información de 25routers:

o Logs del router.

i. RAM con información de configuración.

ii. Cache ARP.

o Datagramas almacenados cuando el tráfico es alto.

o Información de servidores 26DIAL-UP (Servidores ISP).

o Logs del servidor DIAL-UP.

o Memoria del servidor DIAL-UP.

o Logs del servidor de autentificación.

o Memoria del servidor de autentificación.

o Logs del servidor VPN.

o Memoria del servidor VPN.

24 Periférico de entrada/salida, que puede ser interno o externo a una computadora, y sirve para a conectar una línea telefónica con la computadora.

25 Dispositivo hardware o software para interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI.

26 Conexión a una red como Internet a través de un módem y una línea telefónica.

54

c) Redes inalámbricas.

Dentro de las redes inalámbricas debemos diferenciar 2 tipos:

o Redes LAN Inalámbricas (Wireless LAN):

i. Información proporcionada por las tarjetas inalámbricas de red

(direcciones MAC, direcciones IP, etc.).

ii. Puntos de acceso.

iii. Logs de modems wireless.

o Redes inalámbricas basadas en conmutación de:

i. OMC. Realiza tareas administrativas como obtener datos de la MSC

para propósitos de facturación y administra los datos de la HLR.

Además, proporciona una visión del estatus de operación de la red, la

actividad de red y las alarmas. A través de éste, es posible examinar

una o rastrear una llamada móvil particular en progreso.

ii. Registros de facturación CDR.

iii. Registros que contienen información para cada llamada realizada,

como número que se llamó, el día de la llamada, duración, entre

otros, organizados por clientes para efectos de facturación. Estos

registros son archivados y están disponibles en un periodo

55

aproximado de varios años, dependiendo de las políticas de la

operadora.

iv. HLR. Contiene información del subscriptor, referente a sus

capacidades móviles contratadas (clase de servicio), la identificación

de la unidad móvil, la ubicación actual de la misma ya sea en el área

de cubrimiento de la red proveedora o de otras redes celulares

(roaming), la información de autenticación, el nombre de la cuenta y

la dirección de facturación.

v. VLR. Almacena información física, electrónica y de radio, acerca de

todos los usuarios que están actualmente autenticados dentro de una

red particular del MSC. Dicha información incluye la localización

actual del dispositivo móvil y el estado del mismo (activo, en espera,

etc.).

d) Dispositivos móviles:

o Teléfonos móviles.

i. Log de llamadas (llamadas realizadas, recibidas, perdidas).

ii. Datos (logs de sesiones, números marcados, etc) contenidos en

dispositivos a los que se haya conectado el teléfono móvil

(computadoras de sobremesa, ordenadores portátiles).

56

iii. Ficheros con distinta información almacenada en la tarjeta del móvil

(SIM, código PIN, código PUK). Esta tarjeta es una Smart Card

iv. Chips de memoria Flash (Estas memorias contienen información

sobre el teléfono así como software interno del mismo).

v. Número IMEI.

vi. Números de teléfonos almacenados.

vii. Mensajes de texto.

viii. Configuraciones (lenguaje, día/hora, tono/volumen, etc).

ix. Grabaciones de audio almacenadas.

x. Programas ejecutables almacenados.

xi. Configuraciones de Internet, GPRS, WAP.

o Organizadores de mano (PDAs, Pockets PC, etc.)

i. RAM.

ii. ROM. Memoria en la que se encuentra el sistema operativo y las

aplicaciones base.

57

iii. 27FLASH-ROM. Memoria en la que podemos guardar aplicaciones y

datos que no queremos perder por un reseteo del dispositivo o porque

no tenga batería.

iv. Datos (de sincronización, contactos, tareas, etc.) contenidos en

dispositivos a los que se en dispositivos a los que se haya conectado

el teléfono móvil (ordenadores de sobremesa, ordenadores portátiles,

teléfonos móviles).

e) Sistemas embebidos.

o Memory sticks y memory cards (Smarts Card y Compact Flash).

Básicamente su recolección de datos es igual que la de un disco duro puesto

que se basan en sistemas de ficheros tipo FAT (normalmente).

Las estructuras de datos en las que se pueden analizar evidencias son:

i. CIS Área oculta que contiene información del fabricante.

ii. MBR En las tarjetas este sector está presente por razones de

compatibilidad y raramente se usará como arranque de un disco duro

(aunque los delincuentes, podría ocultar aquí información).

iii. Sector de arranque.

iv. Se usa junto al MBR para establecer la geometría del dispositivo.

27 Una memoria de semiconductor destinada a ser leída y no destructible.

58

v. FAT. Contiene la lista que describe los cluster ocupados por los

ficheros.

vi. El área de datos que contiene los datos de los ficheros actuales.

f) Otros dispositivos.

Normalmente la mayoría de estos dispositivos serán sistemas embebidos. Debido a

la exclusividad de cada uno de ellos, habrá que conseguir la documentación propia

del dispositivo (a través del fabricante, Internet, etc.) para saber donde puede

almacenar evidencias. Podemos hacer la siguiente clasificación:

o Sistemas de oficina.

i. Teléfonos fijos.

ii. Fax.

iii. Fotocopiadoras.

o Sistemas de comunicación.

i. Enlaces de radio y TV.

ii. Enlaces de satélite.

iii. Sistemas de llamadas.

o Sistemas de transporte.

59

i. GPS.

ii. Sistemas embebidos en coches, trenes, etc., como pueden ser airbag,

sistemas de navegación, cierres electrónicos, etc.

iii. Sistemas de monitorización.

iv. Sistemas de control de tráfico.

v. Sistemas de control de tráfico aéreo.

vi. Sistemas de radar.

o Equipamientos domésticos.

i. Alarmas contra robos.

o Sistemas de mantenimiento de edificios.

i. Sistemas de emergencia (UPS, etc.).

ii. Sistemas de control de acceso.

o Sistemas de registros.

i. Cámaras de circuito cerrado.

o Sistemas de producción.

i. Sistemas CAM.

60

ii. Sistemas CAD.

iii. Sistemas de control de energía (electricidad, agua, gas, etc.).

iv. Sistemas de producción de energía (electricidad, agua, gas, etc.).

v. Sistemas de registro de tiempo.

vi. Sistemas de simulación.

vii. Robots

o Bancos.

i. Cajeros automáticos.

ii. Sistemas de tarjeta de crédito.

o Sistemas médicos.

i. Equipo para imagen y procesamiento (radiografías, resonancias

magnéticas, etc.).

ii. Equipo cardiaco.

iii. Equipo de ventilación.

iv. Equipo de respiración asistida.

v. Equipo de anestesia.

61

vi. Equipo de esterilización.

vii. Equipo de desinfectación.

6.1. ¿Qué es un Sistema Vivo y un Sistema Muerto?

Los sistemas vivos son aquellos en los que se puede analizar cuando el sistema

operativo está funcionando,

Los sistemas muertos son aquellos que se analizan instalando la herramienta desde

otro sistema operativo.

6.2. Analizar Sistemas Vivos y Muertos.

Un análisis de sistema vivo ocurre cuando se está analizando el sistema sospechoso

mientras está funcionando. Este análisis se utiliza mientras que se está produciendo

el incidente y se analiza básicamente: procesos, memoria, ficheros, etc. Después de

que se confirme la amenaza, el sistema puede ser adquirido en una imagen para

conservarlo sin corrupciones posteriores y así realizar análisis de sistema muerto.

Un análisis de sistema muerto, en este caso se utiliza la herramienta desde otro

sistema operativo y con el sistema a investigar en su soporte sin cargar. En este

caso, los datos que se obtienen corresponden a la integridad de archivos, estructura

de ficheros, logs del sistema y datos borrados.

62

6.3. Software Aplicable para los sistemas vivos y los sistemas muertos.

Las herramientas que se utilizan para le analices de la evidencia digital depende

de:

o Licencias de Software,

o No contamine a la Evidencia

o Sean fiable los resultados.

Desde mi criterio recomiendo utilizar las siguientes herramientas:

o Para software Vivo

HELIX

Figura 6.3.1. Software HELIX.

63

o Para sistema Muerto

AUTOPSY

Figura 6.3.2. Software AUTOPSY.

6.4. Examinadores de Evidencia Digital.

Son los responsables de procesar toda la evidencia digital o infamación obtenida por

los técnicos en escenas del crimen informático.

Para estas dichas personas se requiere un alto grado de especialización en el área de

sistemas e información.

6.5. El reconocimiento de la Evidencia Digital como Formal y Valida.

Para que la evidencia digital sea reconocida como formal y valida debe cumplir las

siguientes reglas:

64

o Levantar toda evidencia física, siendo preferible pecar por exceso que por

defecto.

o Manejar lo estrictamente necesario, a fin de no alterarla o contaminarla.

o Evitar contaminarla con software que no garantice un proceso limpio.

o Trabajarla individuamente, procurando que se mantenga la integridad de su

naturaleza.

[BRUNGS, A y JAMIESON, R. 2003]. “La evidencia digital en la administración

de justicia en muchas partes del mundo continua siendo una situación problemática

por resolver.” Dada las características mencionadas previamente, se hace un

elemento que requiere un tratamiento especial, más allá de las características legales

requeridas, pues éstas deben estar articuladas con los esfuerzos de seguridad de la

información vigentes en las organizaciones.

65

CAPÍTULO VII

7. PRESENTAR LA EVIDENCIA DIGITAL

7.1. Normas Para la Presentación de la Evidencia Digital.

Para que la presentación de la evidencia digital sea reconocida hay que seguir los s

siguientes:

1. Demostrar con hechos y documentación que los procedimientos aplicados para

recolectar y analizar los registros electrónicos son razonables y robustos.

2. Verificar y validar con pruebas que los resultados obtenidos luego de efectuar el

análisis de los datos, son repetibles y verificables por un tercero especializado.

3. Auditar periódicamente los procesos de recolección y análisis de registros

electrónicos, de tal manera que se pone cada vez mejor formalidad y detalles en

los análisis efectuados.

4. Fortalecer las políticas, procesos y procedimientos de seguridad de la

información asociados con el manejo de la evidencia digital.

5. Procurar certificaciones profesionales y corporativas en temas relacionados con

computación forense.

7.2. Presentación de la Evidencia

Basándose en las fases anteriores, en toda la documentación disponible del caso y

basándose también en la cadena de custodia, la presentación y/o sustentación del

66

informe pericial es la fase de comunicar el significado de la evidencia digital, los

hechos, sus conclusiones y justificar el procedimiento empleado.

El propósito de la presentación de los informes es proporcionar al lector toda la

información relevante de las evidencias de forma clara, concisa, estructurada y sin

ambigüedad para hacer la tarea de asimilación de la información tan fácil como sea

posible.

La forma de presentación es muy importante y debe ser entendible por personas no

conocedoras del tema en discusión.

Es decisivo que el investigador presente las evidencias en un formato sencillo de

entender, acompañado de explicaciones que eviten la jerga y la terminología

técnica.

Durante un juicio la investigación debe presentar evidencias informáticas de una

manera lógica, precisa y persuasiva de forma que el jurado entenderá y que el

abogado de la parte opuesta no podrá contradecir.

Esto requiere que las acciones del experto forense puedan ser reconstruidas paso a

paso con fechas, horas, cuadros y gráficos (el uso de programas como Excel, Word,

PowerPoint, etc. puede ser de gran ayuda en este punto).

Si el abogado del sospechoso es capaz de levantar dudas sobre la integridad de la

prueba o si es capaz de demostrar que el investigador realizó algún procedimiento

no sustentable, todo el informe puede ser rechazado.

67

Es importante, más allá de lo que esté escrito en el informe pericial, que el

investigador sepa sustentar correctamente ante jurado cada tarea realizada en sus

investigación.

68

CAPÍTULO VIII

8. LEYES ECUATORIANAS CONTRA LOS DELITOS

INFORMÁTICOS

8.1. Extracto de las Leyes ecuatorianas sobre el Derecho Informático.

Libro II

Código Penal

Título II: Delitos contra las garantías constitucionales y la igualdad racial

Capítulo V: Delitos contra la inviolabilidad del secreto.

Art. 202 Literal A): “El que empleando cualquier medio electrónico, informático o

afín, violentare claves o sistemas de seguridad para acceder u obtener información

protegida, contenida en sistemas de información para vulnerar el secreto,

confidencialidad o reserva o simplemente vulnerar la seguridad, será reprimido con

prisión de seis meses a un año y multa de quinientos a mil dólares de los estado

Unidos de Norteamérica.

Si la información obtenida se refiere a seguridad nacional, o secretos

comerciales o industriales, la pena será de uno a tres años y multa de mil a mil

quinientos dólares de los Estados Unidos de Norteamérica.

69

La divulgación o la utilización fraudulenta de la información protegida, así como los

secretos comerciales o industriales serán sancionadas con pena de reclusión menor

de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de

Norteamérica

Si la divulgación o la utilización fraudulenta se realizan por parte de la persona o

personas encargadas de la custodia o utilización legitima de la información, estas

serán sancionadas con la pena de reclusión menor de seis a nueve años y multa de

dos mil a diez mil dólares de los Estados Unidos de Norteamérica.”

Art. 202 Literal B): Obtención y utilización no autorizada de información.- La

persona o personas que obtuvieren información sobre datos personales para después

cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de

su titular o titulares, serán sancionadas con pena de dos meses a dos años y multa de

mil a dos mil dólares de los Estados Unidos de Norteamérica.

Título III: De los delitos contra la administración pública.

Capitulo V: De la violación de los deberes de funcionarios públicos, de la

usurpación atributos y de los abusos de autoridad.

Art. 262: “Serán reprimidos con tres a seis años de reclusión menor, todo empleado publico

y toda persona encargada del servicio público, que hubiere maliciosa y

fraudulentamente, destruido o suprimido documentos, títulos, programas, datos,

bases de datos, información o cualquier mensaje de datos contenido en un

70

sistemas de información o red electrónica, de que fueren depositario, en su calidad de tales,

o que les hubiere sido encomendados sin razón de su cargo.”

Título IV: De los delitos contra la fe pública

Capítulo III: De la falsificación de los documentos en general.

Art. 353 Literal A): “Falsificación Electrónicas.- Son reos de falsificación

electrónica la persona que sin ánimo de lucro o para causar un perjuicio a un

tercero, utilizando cualquier medio; alteren o modifiquen mensajes de datos o la

información incluida en estos, que se encuentre contenida en cualquier soporte

material, sistema de información o telemática, ya sea:

1. Alterando un mensaje de datos en alguno de sus elementos o requisitos de

carácter formal o esencial;

2. Simulando un mensaje de datos en todo o en parte, de manera que

introduzca a error sobre su autenticidad;

3. Suponiendo en un acto de intervención de personas que no la han tenido o

atribuyendo a las que han intervenido en el proceso declaraciones o

manifestaciones diferentes de las que hubiere hecho.

4. Estos delitos serán sancionados de acuerdo aló dispuesto en este capítulo.”

71

Título V: De los delitos contra la seguridad pública.

Capítulo VII: Del Incendio y otras destrucciones, de los deterioros o daños.

Art. 415 Literal A) “Daños Informáticos.- El que dolosamente de cualquier modo o

utilizando cualquier método, destruya, altere, inutiliza, suprima o dañe, de forma

temporal o definitiva, los programas, datos, base de datos, información o cualquier

mensaje de datos contenido en un sistema de información o red electrónica, será

reprimido con prisión de seis meses a tres anos y una multa de sesenta a Ciento

cincuenta dólares de Norteamérica.

La pena de prisión será de tres a cinco anos y una multa de doscientos a seiscientos

dólares de Norteamérica cuando se trate de programas datos base de datos,

información cualquier mensaje de datos contenido en un sistema de

información o de red electrónica, destinada aprestar un servicio público o

vinculada con la defensa nacional.”

Art. 415 Literal B) “Si no se tratare de un delito mayor, la destrucción, la

alteración o inutilización de la infraestructura o instalaciones físicas necesarias para

la transmisión, recepción o procesamiento de mensajes de datos, será reprimida con

prisión de ocho meses a cuatro años y multa de doscientos a seiscientos dólares de

los Estados Unidos de Norte América.”

72

8.2. Extracto de las Normas ISO.

Normas ISO 17799 en su numeral 12.1.7.

12.1.7. Recolección de la Evidencia digital.

12.1.7.1. Reglas para la Recolección de la Evidencia Digital.

Es necesario contar con la adecuada evidencia para respaldar una acción contra una

persona u organización. Siempre que esta acción responda a una medida

disciplinaria interna, la evidencia, la evidencia necesaria estará descrita en los

procedimientos internos.

Cuando la acción implica la aplicación de una ley, tanto civil como penal, la

evidencia presentada debe cumplir con las normas de la evidencia establecidas en la

ley pertinente o en las normas especificadas del tribunal en el cual se desarrollará el

caso.

En general estas normas comprenden:

a. Validez de la Evidencia: si se puede o no utilizarse la misma en el tribunal;

b. Peso de la evidencia: la calidad y la totalidad de la misma;

c. Adecuada evidencia de que los controles han funcionado en forma correcta y

consistente (por ejemplo. Evidencia de control de procesos) durante todo el

periodo en que la evidencia a recuperar fue almacenada y procesada por el

sistema.

73

12.1.7.2. Validez de la Evidencia.

Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus

sistemas de información cumplan con los estándares o códigos de practica relativos

a la producción de evidencia valida.

12.1.7.3. Calidad y totalidad de la evidencia.

Para lograr la calidad y la totalidad de la evidencia es necesaria una sólida pista de

la misma. En general, esta pista puede establecerse si se cumple las siguientes

condiciones:

a. Para documentos en papel: el original se almacena en forma segura y se

mantienen registros acerca de quien lo halló, dónde se halló y quién

presenció el hallazgo.

Cualquier investigación debe garantizar que los originales no sean

alterados.

b. Para información en medios informáticos: se deben hacer copias de los

medios removibles y de la información en discos rígidos o en memoria

para garantizar su disponibilidad.

Se debe mantener un registro de todas las acciones realizadas durante el

proceso de copia y éste debe ser presenciad.

Se debe almacenar en forma segura de los medios y del registro.

c. Cuando se detecta un incidente puede no resultar obvio si éste derivará en

una demanda legal.

74

Por consiguiente, existe el riesgo de que la evidencia necesaria sea

destruida accidentalmente antes de que se advierta la gravedad del

incidente.

Es aconsejable involucrar a un abogado o la policía en la primera etapa de

cualquier acción legal contemplada y procurar asesoramiento acerca de la

evidencia requerida.

8.3. Recomendaciones desde el punto de vista técnico para mejorar las

políticas ecuatorianas.

El derecho tiene como finalidad normar la conducta humana. Los actos del hombre

cambian de acuerdo a la época, en la actualidad no existe institución, incluso hogar

en el que no se encuentra un ordenador o un sistema informático.

Hasta hace pocos años era imposible en una red de comunicación mundial como es

el Internet; por lo tanto es menester que todos los países del mundo unan sus

esfuerzos a fin de evitar la propagación de los delitos informáticos.

En el Ecuador, este tipo de actividad delictiva es 28incipiente, como incipiente en s

desarrollo tecnológico.

Últimamente se ha popularizado el uso del Internet, pero no existe regulación legal

acerca de la difusión de la información y transmisión de datos por esta vía, así

también como de su uso.

28 Naciente, primitivo o inicial.

75

Las recomendaciones desde el punto de vista técnico para mejorar las políticas

ecuatorianas son:

Tipificar esta nueva conducta ilícita, en el código penal del Ecuador.

La facilidad tecnológica permite en la actualidad la transferencia electrónica de

fondos, que se puede dar lugar defraudaciones millonarias sin su uso no normado

por la ley, pero en el Ecuador no existe ninguna reglamentación, referente a este

aspecto; así como también, tiene que ver en cuanto a la transferencia de datos.

Es necesario robustecer a las políticas de estado, generando sanciones mas fuertes

para los infractores.

Se debe crear un instituto o ente que se especialice y vigile este tipo de conductas

delictivas.

Además se debe capacitar de forma permanente a los jueces y magistrados, o formar

un grupo de especialistas en derecho informático, que sean capaces o competentes

cuando se presente un caso de estudio.

En nuestro país desde abril del año 2002, en el que los honorables diputados,

aprobaron la Ley de Comercio Electrónico, Mensaje de Datos y Firmas

Electrónicas, no se ha vuelto a tipificar en el código penal las sanciones a los nuevos

delitos informáticos que aparecen conforme avanza la tecnología.

76

9. CONCLUSIONES Y RECOMENDACIONES

10. CONCLUSIONES

o Las organizaciones deben desarrollar mayor conciencia sobre la evidencia digital

que deben generar fruto de sus operaciones.

o No existe claridad sobre el tiempo de retención de registros electrónicos.

o La carga probatoria de la evidencia digital actualmente recae sobre la experiencia

particular de peritos especializados.

o Es necesario un 29estándar a nivel nacional sobre la administración de evidencia

digital.

o Se requiere la integración a la administración de justicia de especialistas en

computación forense.

o En nuestro país no hay suficientes especialistas en la materia de manejo de la

evidencia digital.

o Los administradores de la justicia ecuatoriana no se han, ni se preocupan de los

delitos informáticos.

29 Lenguaje común

77

o No hay apoyo del estado a las pocas personas que nos preocupamos del la

delincuencia informática.

o No hay un control adecuado en nuestro país del uso del Internet en lugares públicos.

o En nuestro medio no existe un organismo que controle la información que es subida

a la Web.

o Las penas y sanciones tipificadas en el código penal ecuatoriano ya son obsoletas.

o No hay sanciones lo suficientemente severas para los delincuentes informáticos.

o Hay vulnerabilidades de seguridad en las páginas web que han sido creadas en

nuestro medio.

o En general no hay conciencia de los delitos informáticos.

78

11. RECOMENDACIO NES

o Crear un organismo que vigile y sancione de forma permanente los actos delictivos

informáticos.

o Capacitación permanente a los encargados de la justicia ecuatoriana, en materia de

derecho informático.

o Capacitar constantemente a los profesionales del derecho y a los profesionales

informáticos.

o Robustecer el código penal ecuatoriano.

o Restringir el libre acceso al Internet en lugares públicos.

o Crear un estándar para el manejo de evidencia digital.

o Robustecer la inseguridad en las páginas web.

o Generar conciencia de la gravedad de los delitos informáticos.

o Incentivar a las empresas, instituciones, etc., el uso de software legal, es decir,

impulsar y facilitar la compra de software legal.

o Crear programas para el uso adecuado de los recursos y tecnología informática.

o En las carreras afines al derecho y a la computación o informática, se debe crear

materias o seminarios referentes al derecho informático.

79

o Dar mayor apoyo a las personas que nos interesamos en los delitos informáticos.

o Crear más fuentes de información en materia de la informática forense.

80

12.

13. GLOSARIO DE TÉRMINOS

Término Significado

ARP Protocolo de Resolución de Direcciones.

BITMAP

La representación binaria en la cual un bit o conjunto de bits corresponde

a alguna parte de un objeto.

CACHE Conjunto de datos duplicados de otros originales.

CAD Diseño Asistido por Computadora.

CAM Fabricación Asistida por Computador.

CD Disco Compacto.

CDR Charging Detail Records.

CIS Card Information System.

DHCP Protocolo de Configuración de Host Dinámico.

DVD Disco de Video Digital.

EFS Contenido de Sistema de Fichero Cifrados.

FAT Tabla de Ubicación de Archivos

81

GB Giga Byts. Unidad de Medida.

GMT Hora de Referencia de Greenwich.

GPS Sistema de Posicionamiento Global.

HLR Registro de inicio de localización.

IP Protocolo de Internet.

IDS Sistema de detección de intrusos.

IMEI Equipo de Identificación International Móvil.

ISO Organización Internacional para la Estandarización.

ISP Protocolo de Servicio de Internet.

LAN Red de Área Local.

MAC Control de Acceso Medio.

MB Mega Byts. Unidad de Medida.

MBR Registro de Arranque Maestro.

MD5 General Packet Radio Service.

MSC Centro de Conmutación Móvil.

MTF Centro de Cambios de Fallos.

82

NT Nueva Tecnología.

NTFS Nueva Tecnología de Archivos del Sistema.

OMC Centro de Operación y Administración.

PC Computadora Personal.

PDAs Asistente Personal Digital.

PGP Privacidad Bastante Buena.

PIN Número de Identificación Personal.

PUK Clave Personal de Desbloqueo.

RAM Memoria de Acceso Aleatorio.

ROM Memoria de Solo Lectura

SIM Modulo de Suscripción de Identidad.

UPS Fuentes de Alimentación Ininterrumpida.

USB Bus Universal Serial.

VLR Visor de Localización de Registros.

VPN Red Privada Virtual.

WAP Protocolo de Aplicación Inalámbrica.

83

14. BIBLIOGRAFÍA

Ø Libros

o TITULO: Introducción a la Informática forense AUTOR: EIIDI.

o TITULO: Introducción a la Informática forense AUTOR: Dr. Santiago Acurio

del Pino.

o TITULO: Informática forense AUTORES: Juan David Gutierrez, Giovanni

Zuccardi.

o TITULO: Evidencia Digital: contexto, situación e implicaciones Colombianas.

AUTORES: José Alejandro Mosquera González, Andrés Felipe Certain

Jaramillo, Jeimy J. Cano.

Ø Códigos

o TÍTULO: Código Penal Ecuatoriano.

Ø Normas

o TÍTULO: Normas ISO 17799, Numeral 12.1.7.

Ø Guías

84

o TÍTULO: RFC 3227 “Guía para Recolectar y Archivar Evidencia (Guidelines

for Evidence Collection and Archiving)”. AUTORES: Dominique Brezinski, Tom

Killalea.

Ø Referencias de Internet

o www.eiidi.com [Pagina del Equipo de Investigación de Incidentes y Delitos

Informáticos]

o http://www.google.com.ec [Buscador de Internet]

o http://www.virusprot.com/Archivos/Eviden-GECTI03.pdf [Manejo de la

Evidencia Digital]

o http://www.desarrollador.org/2007/05/informtica-forense.html [Introducción a

Informática Forense, Parte I]

o http://www.alfa-redi.org/rdi-articulo.shtml?x=1304[Revista de Derecho

Informático]

o http://www.isecauditors.com/downloads/present/hm2k4.pdf [Informática

forense Teoría y Práctica]

o http://www.utpl.edu.ec/derechoinformatico/images/stories/docs/ponencias/javier

leon.pdf [Informática Forense]

o http://www.elhacker.net/ [Hacker y Cracker]

o http://rfc.net/rfc3227.html [Guía para Recolectar y Archivar Evidencia]

85

o http://www.alegsa.com.ar/Dic [Diccionario de Acrónimos Informáticos]

o http://vtroger.blogspot.com/2008/01/suite-completa-para-informtica-

forense.html [Guía para sistemas Muertos]

o http://www.tecnoseguridad.net/recoleccin-de-evidencias-forenses-sistema-

vivo/?wpcf7=json [Guías para sistemas Vivos]

86

15. CITAS BIBLIOGRÁFICAS

o Libro II del Código Penal del Ecuador. Delitos Informáticos.

o Normas ISO 17799 en su numeral 12.1.7. Normas ISO sobre la Evidencia Digital.

o [BRUNGS, A y JAMIESON, R. 2003]. Reconocimiento de la Evidencia digital

o HB: 1712003 Guidelines for the Management of IT Evidence. Evidencia Digital.