procesos y evoluciÓn de la informÁtica forense

8/19/2019 PROCESOS Y EVOLUCIÓN DE LA INFORMÁTICA FORENSE

http://slidepdf.com/reader/full/procesos-y-evolucion-de-la-informatica-forense 1/48



2



3

ContenidoRESUMEN ............................................................................................. ¡Error! Marcador no definido.

Palabras clave: .................................................................................. ¡Error! Marcador no definido.

ABSTRACT ............................................................................................. ¡Error! Marcador no definido.

Key Words: ....................................................................................... ¡Error! Marcador no definido.

Planteamiento del problema ............................................................... ¡Error! Marcador no definido.

Justificación .......................................................................................... ¡Error! Marcador no definido.

Introducción ......................................................................................... ¡Error! Marcador no definido.

Objetivo General .................................................................................. ¡Error! Marcador no definido.

Marco Teórico ...................................................................................... ¡Error! Marcador no definido.

Antecedentes de la informática forense ............................................. ¡Error! Marcador no definido.

CONCEPTOS Y TERMINOLOGÍA. ........................................................... ¡Error! Marcador no definido.

Análisis Forense. .................................................................................. ¡Error! Marcador no definido.

Seguridad Informática. ......................................................................... ¡Error! Marcador no definido.

Medida de seguridad (Salvaguarda, defensa). ..................................... ¡Error! Marcador no definido.

Ciencia Forense. ................................................................................... ¡Error! Marcador no definido.

Informática Forense. ............................................................................ ¡Error! Marcador no definido.

Cómputo Forense. ................................................................................ ¡Error! Marcador no definido.

Forense Digital...................................................................................... ¡Error! Marcador no definido.

Delito Informático. ............................................................................... ¡Error! Marcador no definido.

Clasificación de los delitos informáticos. ............................................. ¡Error! Marcador no definido.

Evidencia Digital. .................................................................................. ¡Error! Marcador no definido.

Cadena de Custodia. ............................................................................. ¡Error! Marcador no definido.

Línea de Tiempo. .................................................................................. ¡Error! Marcador no definido.

Perfil de un Informático Forense ......................................................... ¡Error! Marcador no definido.

Principios de la Informática Forense. .................................................. ¡Error! Marcador no definido.

Principio de intercambio de Locard. ................................................ ¡Error! Marcador no definido.

Objetivos de la Informática Forense ....................................................¡Error! Marcador no definido.

Usos de la Informática Forense ........................................................... ¡Error! Marcador no definido.

Modelos Forenses. ............................................................................... ¡Error! Marcador no definido.

Modelo DFRWS (Digital Forensic Research Workshop). .................. ¡Error! Marcador no definido.

El modelo de Reith, Carr y Gunsch. .................................................. ¡Error! Marcador no definido.

El modelo de Ciardhuain. ................................................................. ¡Error! Marcador no definido.



4

El modelo Beebe y Clark. .................................................................. ¡Error! Marcador no definido.

Tipos de ataque .................................................................................... ¡Error! Marcador no definido.

Ataques al sistema operativo ........................................................... ¡Error! Marcador no definido.

Ataques a las aplicaciones ................................................................ ¡Error! Marcador no definido.

Errores en configuraciones .............................................................. ¡Error! Marcador no definido.

Errores en protocolos ....................................................................... ¡Error! Marcador no definido.

Malware. .......................................................................................... ¡Error! Marcador no definido.

Virus. ................................................................................................ ¡Error! Marcador no definido.

Gusano. ............................................................................................ ¡Error! Marcador no definido.

Caballo de Troya. .............................................................................. ¡Error! Marcador no definido.

Rootkit. ............................................................................................. ¡Error! Marcador no definido.

Bot/Zombie. ..................................................................................... ¡Error! Marcador no definido.

Hipótesis ............................................................................................... ¡Error! Marcador no definido.

Metodología de Investigación.............................................................. ¡Error! Marcador no definido.

Conclusiones ........................................................................................ ¡Error! Marcador no definido.

Recomendaciones ................................................................................ ¡Error! Marcador no definido.

Cronograma de Actividades ................................................................. ¡Error! Marcador no definido.

Calendarización de Actividades ........................................................... ¡Error! Marcador no definido.

INFORME TÉCNICO DE PROYECTO DE INVESTIGACIÓN ...................... ¡Error! Marcador no definido.

Referencias Consultadas ...................................................................... ¡Error! Marcador no definido.

ANEXOS ................................................................................................ ¡Error! Marcador no definido.

Investigación Interna ........................................................................ ¡Error! Marcador no definido.

Investigación externa ....................................................................... ¡Error! Marcador no definido.

Investigación directa ........................................................................ ¡Error! Marcador no definido.



5

RESUMEN

En los últimos años el desarrollo de las Tecnologías de la Información y las

Comunicaciones (TIC´s) han evolucionado y permiten que sean hoy cada vez más

las personas que poseen acceso a las mismas. El presente documento de

investigación pretende mostrar una panorámica general de la informática forense,

resaltando en primer lugar sus antecedentes, su importancia, sus objetivos y usos.

A continuación se muestran algunos de los tipos de programas y herramientas

usadas por los investigadores forenses, así como los diferentes modelos que

existen para el proceso de investigación criminal. Para finalizar, se presentan

algunas de las dificultades encontradas por los investigadores forenses en la

actualidad, y se muestran algunas referencias a casos de investigación de la vida

real.

Palabras clave:

Análisis forense, Evidencia digital, Delito informático, Hacker, Modelo forense.

ABSTRACT

In recent years the development of Information Technology and Communications

(ICT) have evolved and allow them to be today more and more people have access

to them.

This research paper aims to show an overview of computer forensics, highlighting

first of its background, its importance, objectives and uses. Some of the types of

programs and tools used by forensic investigators as well as the different models

that exist for the criminal investigation process is. Finally, are some of the difficulties

encountered by forensic investigators today, and some references to research cases

from real life is.

Key Words:

Forensic Analysis, Digital Evidence, Computer Crime, Hacker, Forensic Model.



6

Planteamiento del problema

En los últimos años el aumento en el uso de sistemas de información ha crecido de

manera significativa y por ende los delitos informáticos, destacando entre los más

comunes: suplantación de identidad, robo de datos bancarios, phishing, fhishing,

entre otros. El hecho de no contar con los elementos necesarios para obtener

pruebas legales que evidencien a los posibles atacantes dan lugar a las siguientes

cuestiones: ¿Cómo logran estas personas acceder a los datos personales de las

víctimas?, ¿Qué herramientas utilizan los criminales para sus ataques?, ¿Qué

sistemas son los más atacados frecuentemente?, ¿Qué métodos de detección

utiliza la informática forense?

Es por ello que surge la necesidad de aplicar la informática forense, como medio

que ayude a esclarecer hechos delictivos informáticos, contar con una guía de

procedimientos de análisis forense para detectar las vulnerabilidades en sistemas

informáticos, para tomar las medidas adecuadas y así minimizar dichos riesgos y de

igual manera descubrir a los involucrados en este tipo de ataques.



7

Justificación

Actualmente la información es el activo más valioso que se posee en la sociedad,

está es cada vez más importante para el desarrollo de las empresas y de negociosa través de la implementación de sistemas de información y redes de cómputo.

La multiplicación de redes y sistemas informáticos conllevan a existir en un mundo

en el cual se trabaja y se vive globalmente “conectado”, se pueden mantener

conversaciones, intercambiar correo o realizar transacciones monetarias con

prácticamente cualquier persona en cualquier parte del planeta de una forma rápida,

sencilla y económica. Las ventajas son evidentes, mayor facilidad en el manejo de

la información, rapidez en la recolección y análisis de la misma, alta disponibilidad

tanto en tiempo como en localidad. Sin embargo, así como las Tecnologías de

Información y Comunicaciones (TIC’s) han cambiado la forma tradicional de hacer

las cosas y representan una herramienta cada vez más importante en las

organizaciones, no obstante, este cambio ha traído consigo también, nuevas formas

de cometer delitos y por lo tanto se torna primordial hablar de seguridad en cuanto

a computación y redes se refiere. La seguridad de la información y de los sistemas

es un punto crítico en una sociedad en la que la información electrónica o digitalcada vez obtiene más seguidores.

Para dar solución a los delitos cibernéticos surge la Informática forense, es por ello

que la presente investigación ayudará a conocer los procesos, procedimientos y

técnicas que ésta realiza, así como las consecuencias legales que conlleva el

realizar un delito informático. Lo cual beneficiara a las organizaciones y usuarios a

evaluar sus políticas de seguridad y desarrollar estrategias que permitan minimizar

los riesgos ante un ataque.



8

Introducción

El presente trabajo de investigación supone un acercamiento a la narrativa de la

informática forense que desde ya hace varios años ha sido de gran utilidad parapoder garantizar la integridad de los sistemas de información de las empresas y los

datos que estos contienen, el objetivo fundamental es saber que herramientas

utilizan los informáticos forenses para poder evitar que estas intrusiones sean

hechas y/o bien si ya fueron hechas poder rastrear la causa y el causante de la

misma.

Las metas principales de la informática forense son: preservación, identificación,

extracción, documentación e interpretación de datos de computadoras. Existendistintas políticas y procedimientos que deben ser definidos en relación al cómputo

forense. A la vez que se debe ser capaz de garantizar la autenticidad de los datos.

Sin los procedimientos adecuados, los datos forenses pueden terminar siendo

inútiles en un juzgado.

El delito informático implica actividades criminales que, en un primer plano los

países han tratado de encuadrar en figuras típicas de carácter tradicional, tales

como robo o hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotaje, entreotros.

La informática forense, aplicando procedimientos estrictos y rigurosos puede ayudar

a resolver grandes crímenes apoyándose en el método creativo, aplicando a la

recolección, análisis y validación de todo tipo de pruebas digitales.



9

Objetivo General

Conocer y describir la evolución e importancia de los procesos realizados durante

la investigación de crímenes informáticos más comunes realizados con equipos decómputo.

Objetivos específicos:

- Conocer los puntos vulnerables más comunes de un sistema.

- Mencionar algunos de los principales delitos informáticos actuales.

- Conocer el impacto de que conlleva un análisis forense en un equipo de

cómputo.



10

Marco Teórico

El presente permitirá conocer los conceptos básicos necesarios, mismos que

ayudaran al entendimiento del desarrollo de la presente investigación.

Por ende, se partirá de la definición de informática forense o análisis forense de

sistemas de información, con el fin de que se comprenda la importancia que tiene

este tipo de técnicas en la actualidad dentro de la investigación sobre algún delito

informático y del cómo fue realizado por el atacante.

Posteriormente se describirá a lo que se refiere la seguridad informática, así como

la definición de malware y sus principales variantes que pueden contribuir a la

propagación y/o ayuda de algún ataque informático. De igual manera, se

nombraran y describirán algunas medidas de seguridad que pueden tomar lasempresas/usuarios para prevenir algún tipo de ataque, al igual que algunos de los

delitos informáticos más comunes en la actualidad.

Finalmente, se hablara sobre la definición de delito informático los tipos en los que

se dividen los mismos, se definirá a la cadena de custodia y se describirán los

principales puntos que debe de cumplir este conjunto de procedimientos para poder

implementarla en algún momento, poder usarla como prueba en un proceso judicial.

De igual manera se hará mención de algunos de los modelos de análisis forensepara el proceso de investigación digital.

Con este marco teórico se podrá comprender el desarrollo de la investigación que

se detalla más adelante.



11

Antecedentes de la informática forense

a. “1892-1911. Francis Galton realizó el primer estudio de huellas digitales para

atrapar criminales potenciales en crímenes, tales como asesinatos.

b. 1887-1954. Leone Lattes fue la primera persona en hacer uso de los

grupos sanguíneos para relacionar a posibles criminales con algun

crimen.

c. 1981-1955. Calvin Goddard fue el primero en llevar a cabo la comparación de

armas y municiones para resolver muchos de los casos pendientes en la corte.

d. 1858-1946.

Albert

Osborn

fue

la

primera

persona

en

desarrollar

características

esenciales

acerca

de

registrar

y

documentar

la

evidencia

durante el proceso de investigación.

e. 1847-1915. Hans Gross fue la primera persona en usar estudios

científicos para dirigir una investigación criminal.

f. 1932. El FBI estableció un laboratorio para proporcionar servicios forenses a

todos los agentes de campo y otras autoridades. En 1985 el FBI estableció el

primer laboratorio de análisis forense digital”. (Roger, 2003).



12

CONCEPTOS Y TERMINOLOGÍA.

Análisis Forense.

“El análisis forense en un sistema informático es una ciencia moderna que permitereconstruir lo que sucedió en un sistema tras un incidente de seguridad. Este

análisis puede determinar quién, desde dónde, cómo, cuándo y que acciones ha

llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.”

(Rifá Pous, Serra Riuz, & Rivas López, 2009, pág. 9)

Seguridad Informática.

“Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un

sistema o red informática, cuyos efectos puedan conllevar daños sobre la

información, comprometer su confidencialidad, autenticidad o integridad, disminuir

el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al

sistema.” (Bradley & Harlan, 2007, pág. 32)

Medida de seguridad (Salvaguarda, defensa).

“Cualquier medio empleado para eliminar o reducir un riesgo.” (Gómez Vieites,

2013, pág. 22)

Ciencia Forense.“La Ciencia Forense nace en China en el siglo VII, gracias al médico Ti Yen Chien,

quien ayudaba a indagar causas de muerte y, de esta manera esclarecer algunos

crímenes ocurridos en aquella época. Él y sus colaboradores estudiaban la escena

del crimen, examinaban pistas y entrevistaban sospechosos.” (Pulso digital, 2015,

pág. 2)

La Ciencia Forense es el proceso de emplear el conocimiento científico en la

recolección, análisis y presentación de evidencia ante la corte. La palabra forensesignifica “traer a la corte”.

“La forensia toma el conocimiento científico y los métodos y los combina con los

estándares legales para el propósito de recuperar y presentar ante la corte, la



13

evidencia relacionada con un crimen” (Nolan, O´ Sullivan, Branson, & Waits, 2005,

pág. 4)

Informática Forense.

“La ciencia de la Informática Forense es la disciplina de adquirir, preservar,recuperar y de presentar los datos que se han procesado y almacenado en medios

magnéticos” (Ciardhuái Ó, 2004, pág. 5).

McKemish define a la Informática Forense como “el proceso de identificar,

preservar, analizar y presentar evidencia digital de una manera que sea legalmente

aceptable” (McKenlish, 1999, pág. 15).

Para el FBI, la Informática Forense es la “Ciencia de adquirir, preservar, obtener y

presentar datos que han sido procesados electrónicamente y guardados en unmedio computacional” (Lopez, Amaya, & Leon, 2002, pág. 12).

La informática forense busca encontrar y reconstruir un ataque informático, con el

fin de obtener que datos que pudieron haber sido manipulados durante el mismo y

lograr identificar el origen del ataque, con el fin de poder remediar el daño realizado

por el atacante y poder capturarlo para poder realizar un proceso judicial contra él

(Ramirez Rivera, 2010, pág. 26).

Del concepto de Informática Forense se derivan dos términos más que se

encuentran intrínsecamente relacionados, estos términos son Cómputo Forense y

Forense Digital.

Cómputo Forense.

El Cómputo Forense puede definirse como “la recolección y análisis de datos de

sistemas de cómputo, de manera tal, que pueda ser admitida en un proceso legal.

Es decir, se trata de una fusión de las disciplinas informáticas y la ley” (Nolan, O´

Sullivan, Branson, & Waits, 2005, pág. 6).

El cómputo forense se refiere a la aplicación de diversas técnicas y procedimientos

orientados a la recolección y preservación de información digital para analizarla y,

potencialmente empleará como evidencia digital para determinar lo que ocurrió en

un sistema informática.



14

El American Heritage Dictionary define el término “forensics” como “el uso de la

ciencia y tecnología para investigar y establecer hechos en un juico civil o criminal”.

Como sea, forensics fue inicialmente derivado de su uso en el campo médico.

Las metas principales del cómputo forenses son: preservación, identificación,extracción, documentación e interpretación de datos de computadora. Hay varias

políticas y procedimientos que deben ser definidos en relación al cómputo forense.

Los datos deben ser recuperados y analizados sin que estos sufran daño alguno, a

la vez que debemos ser capaces de garantizar la autenticidad de los datos. Sin los

procedimientos adecuados, los datos forenses pueden terminar siendo inútiles en

un juzgado (Dixon D., 2005, pág. 27).

Forense Digital.Se define Forense Digital como el uso de métodos científicamente probados

orientados a la preservación, colección, validación, identificación, análisis,

interpretación, análisis, interpretación, documentación y presentación de la

evidencia derivada desde fuentes digitales con el propósito de facilitar la posterior

reconstrucción de los eventos determinados como criminales, o bien para ayudar a

anticipar acciones no autorizadas.

El término Forense Digital es usado de manera indistinta con cómputo forense, peroimplica la inclusión de otros dispositivos, además de los sistemas de cómputo de

uso general, tales como dispositivos de red, teléfonos celulares, dispositivos de

almacenamiento extraíble y otros con sistemas integrados. Sin embargo, en gran

parte, a excepción de los investigadores académicos en informática, se emplea el

término en relación a la ley. Muchos informáticos, simplemente emplean la palabra

“forense” como “un proceso de acceder, recolectar y auditar o analizar datos en una

investigación post hoc (Bishop & Peisert, 2008, pág. 6).

Delito Informático.

“El delito informático implica actividades criminales que, en un primer plano los

países han tratado de encuadrar en figuras típicas de carácter tradicional, tales

como robos o hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotaje, entre

otros. Sin embargo cabe destacar que el uso de las Tics ha creado nuevas



15

posibilidades del uso indebido de las computadoras, lo que ha propiciado a su vez

la necesidad de regulación por parte de Derecho.” (criminalistica, 2015, pág. 1)

Clasificación de los delitos informáticos.

a. “Como instrumento o medio. En esta categoría se tiene a aquellas conductasque se valen de las computadoras como método, medio o símbolo en la comisión

del ilícito.

b. Como fin u objetivo. En esta categoría se encuadran a las conductas que van

dirigidas en contra de la computadora, accesorios o programas como entidad física.”

(Ramirez Rivera, 2010, pág. 8)

Evidencia Digital.

“Es un tipo de evidencia física, está constituida de campos magnéticos y pulsos

electrónicos que pueden ser recolectados y analizados con herramientas y técnicas

especiales.

La evidencia computacional es única, si se compara con otras formas de “evidencia

documental”. A diferencia de la documentación en papel, la evidencia computacional

o digital es frágil y una copia de un documento almacenado en un archivo es idéntica

al original.

La evidencia en sí, es clasificada de la siguiente manera:

a. Evidencia inculpatoria. Es la evidencia que soporta una teoría dada.

b. Evidencia exculpatoria. Es la evidencia que contradice una teoría dada.

c. Evidencia de manipulación. Es la evidencia que no puede relacionarse a ninguna

teoría, pero muestra que el sistema fue modificado para evitar la identificación de

personas o sistemas que accedieron a la información

La evidencia digital posee entre otros, los siguientes elementos que la hacen un

constante desafío para aquellos que la identifican y analizan en busca de la verdad:

• Volátil

• Anónima



16

• Posibilidad de duplicarse

• Alterable y modificable

• Susceptible de ser eliminada.” (Carrier, 2003, pág. 4)

Algunos ejemplos de la evidencia digital pueden ser: el último acceso a un archivo

o aplicación, un log de un archivo, una cookie en un disco duro, la hora de encendido

de un sistema, un proceso en ejecución, archivos temporales, entre otros.

Cadena de Custodia.

“La cadena de custodia es el conjunto de pasos o procedimientos seguidos para

preservar la evidencia digital, de modo que permita convertirla y usarla como prueba

en un proceso judicial. La cadena de custodia debe:

a. Reducir al máximo la cantidad de agentes implicados en el manejo otratamiento de evidencias.

b. Mantener la identidad de las personas implicadas desde la obtención hasta

la presentación de las evidencias.

c. Asegurar la inmutabilidad de las evidencias en los traspasos de éstas entre

agentes.

d. Contar con registros de tiempos, firmados por los agentes, en losintercambios de evidencia entre estos. Cada uno de ellos se hará responsable de

las evidencias en cada momento.

e. Asegurar la inmutabilidad de las evidencias cuando las evidencias estén

almacenadas asegurando su protección.” (Fernández Pleda, 2004, pág. 20)

La cadena de custodia de la evidencia muestra quien obtuvo la evidencia, donde y

cuando fue obtenida, quien la protegió y quien ha tenido acceso a la evidencia.

Línea de Tiempo.

La línea de tiempo es una parte esencial del análisis forense, ya que permite

reconstruir la secuencia de acontecimientos relacionados con un incidente.



17

“Sin el conocimiento acerca del orden en que los eventos se presentaron, una

organización podría tener dificultades para conocer cómo se obtuvo acceso no

autorizado a sus sistemas. Sin una cronología exacta, la aplicación de la ley no

podría trazar un mapa de las acciones realizadas por el sospechoso” (Eiland E.,

2006, pág. 4).

Perfil de un Informático Forense

“La base del informático forense se fundamenta en la aplicación de conocimientos

técnicos y procedimientos legales, en las situaciones donde los sistemas han sido

vulnerados, usando los datos recopilados para generar una hipótesis de los hechos,

y sustentándolo con la evidencia r ecolectada” (Littlejhon, 2002, pág. 196). El llegar

a desarrollar una investigación en informática forense exige del investigador

características y conocimientos que se describen a continuación.

“En base a las necesidades y exigencias que presentan hoy en día los sistemas

informáticos se puede decir que un investigador en informática forense debe poseer

las siguientes características:

Poseer la habilidad de ser un excelente observador: poder ver aquellos

detalles que normalmente son imperceptibles para la mayoría.

Buena memoria: ordenar perfectamente las pistas que se van recolectando

en el transcurso dela investigación, debe tener la capacidad de recordar

sucesos, nombres lugares y fechas.

Documentar bien la información de la investigación en la cabeza, así que

debe ser muy preciso al documentar la investigación.

Objetividad: no debe generar prejuicios, ni inmiscuir sentimientos, que

afecten su capacidad de realizar una evaluación objetiva.

Conocimientos: un buen investigador debe poseer conocimientos legales,

reglas de evidencia, psicología criminal, conceptos y procedimientos de

investigaciones, y conocimientos científicos.

Habilidad de pensar como un criminal: esta habilidad le da al investigador la

facultad de realizar procesos mentales, hipótesis y predecir las actividades



18

del delincuente.

Imaginación constructiva: el investigador debe ser creativo para considerar

todas las posibilidades y sacar conclusiones.

Curiosidad: no quedar satisfecho con simplemente aclarar el caso. No es

suficiente con saber quién cometió el delito, es necesario saber porque y

exactamente como lo llevo a cabo.” (Littlejhon, 2002, pág. 197).

Principios de la Informática Forense.

Existe un gran número de principios básicos que son necesarios

independientemente de si se está examinando una computadora o un cadáver,

estos principios son:

“Evitar la contaminación. La esterilidad de los medios es una condición fundamental

para el inicio de cualquier procedimiento forense e informático, pues al igual que en

la medicina forense, un instrumental contaminado puede ser causa de una

interpretación o análisis erróneo de las causas de la muerte del paciente.

Actuar metódicamente. El investigador debe ser el custodio de su propio proceso,

por tanto, cada uno de los pasos realizados, las herramientas utilizadas, los

resultados obtenidos del análisis de los datos deben estar bien documentados, de

tal manera que cualquier persona externa pueda validar y revisar los mismos. Ante

una confrontación de la idoneidad del proceso, el tener documentado y validado

cada uno de los procesos, ofrece una importante tranquilidad al investigador, pues

siendo rigurosos en la aplicación del método científico, es posible que un tercero

reproduzca sus resultados utilizando la misma evidencia.

Controlar la cadena de custodia. La custodia de todos los elementos ligados al caso

y en poder del investigador, debe responder a una diligencia formalidad especial

para documentar cada uno de los eventos que se han realizado con la evidencia

en su poder, esto es, ¿Quién la entregó?,¿Cuándo?, ¿En qué estado?, ¿Cómo se

ha transportado?, ¿Quién ha tenido acceso a ella?, ¿Cómo se ha efectuado su

custodia?, entre otras preguntas que deben estar claramente resueltas para dar



19

cuenta de la adecuada administración de la evidencia.” (Lopez, Amaya, & Leon,

2002, págs. 22-23)

Principio de intercambio de Locard.

“Edmund Locard, provocó un giro en la metodología de investigación forens e,elevando a imprescindibles una serie de evidencias forenses que antes, o bien se

ignoraba su existencia o se desechaban por considerarse inútiles.

Independientemente del sistema operativo del equipo, cuando se realiza un análisis

forense a un sistema, es necesario y recomendable tomar en cuenta el Principio de

Intercambio de Locard, el cual establece:

Siempre que dos objetos entran en contacto transfieren parte del material que

incorporan al otro objeto

En criminalística, este principio se refiere a que todo criminal o delincuente siempre

deja algo en la escena o se lleva parte de ella. Traducido a sistemas

computacionales, significa que los intrusos de un sistema habrán dejado alguna

huella que permita determinar, por principio, si el equipo verdaderamente fue

comprometido y qué acciones se desarrollaron durante la intrusión.” (Gómez &

Baños, 2008, págs. 26,27).

Objetivos de la Informática Forense

“La informática forense tiene tres objetivos:

a. La compensación de los daños causados por los criminales o intrusos.

b. La persecución y procesamiento judicial de los criminales.

c. La creación y aplicación de medidas para prevenir casos similares” (Lopez,

Amaya, & Leon, 2002, pág. 30).

Usos de la Informática Forense

Existen varios usos de la Informática Forense, muchos de estos usos provienen de

la vida diaria, y no necesariamente están directamente relacionados con la

Informática Forense.



20

a. “Prosecución criminal. Evidencia incriminatoria puede ser usada para

procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico

y venta de drogas, evasión de impuestos o pornografía infantil.

b. Litigación civil. Casos que tratan con fraude, discriminación, acoso y/odivorcio pueden ser ayudados por la Informática Forense.

c. Investigación de seguros. La evidencia encontrada en computadoras puede

ayudar a las compañías de seguros a disminuir los costos de los reclamos por

accidentes y compensaciones.

d. Temas corporativos. La Informática Forense puede ser empleada para

recolectar información en casos que tratan sobe acoso sexual, robo, mal uso o

usurpación de información confidencial o propietaria, o aún de espionaje industrial.

e. Mantenimiento de la ley. La Informática Forense puede ser usada en la

búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una

vez se tenga la orden judicial para realizar una búsqueda exhaustiva.” (Ramirez

Rivera, 2010, págs. 27-30).

Modelos Forenses.

Existen diversos modelos de análisis forense para el manejo del proceso de

investigación digital. El propósito de los modelos de investigación digital, es

informar, formar y estandarizar las investigaciones digitales, algunos de los modelos

forenses son:

Modelo DFRWS (Digital Forensic Research Workshop).

“El sistema DFRWS fue desarrollado entre 2001 y 2003 en el Digital Forensic

Research Workshop. El sistema introduce “Clases de Acción en la InvestigaciónDigital”, las cuales sirven para clasificar las actividades de una investigación en

grupos. Este modelo no dicta que acciones en particular deben ser perseguidas, en

cambio proporciona una lista de técnicas, algunas de las cuales son requeridas. Lo



21

específico del sistema debe ser claramente redefinido para cada investigación

particular.

El sistema está representado por una tabla, que incluye columnas para la clase de

actividad y un renglón para la técnica a seguir. Estas técnicas pueden realizarse enpersecución de las metas de la clase de acción asociada.

El modelo de Reith, Carr y Gunsch.

El modelo presentado por Reith, Carr y Gunsch es muy similar al sistema DFRWS.

El modelo incluye Preservación, Recolección, Análisis y Presentación, clases

definidas en forma similar a las de DFRWS.

El modelo también agrega soporte para la preparación de herramientas y la

formulación dinámica de acercamientos de investigación. Este modelo también

soporta iteraciones libres de clases de actividad individuales.

El modelo de Ciardhuain.

El modelo propuesto por Ciardhuain está basado en modelos previos, pero expone

una arquitectura de cascada aumentada. Las clases de actividad del modelo están

doblemente ligadas, de manera que la búsqueda de trabajo en una clase de

actividad, puede causar una iteración de algunos o todos los trabajos en las clasesde actividad anteriores. La inclusión de estructuras conocidas como flujo de

información permite una comprensión más profunda de la fuente de evidencias y

otros datos. Este flujo debe estar definido sobre una base organizacional, pero

puede aplicarse a diferentes investigaciones dentro de la misma organización.

El modelo Beebe y Clark.

El modelo de Beebe y Clark proporciona la estructura para las actividades mediante

fases que consisten de múltiples sub fases, que van más allá que el agrupamientopor actividades. Las sub fases están basadas en objetivos, más que estrictamente

en actividades.

Las sub fases basadas en objetivos caen en una fase particular y consisten de una

jerarquía de actividades particulares que están subordinadas al objetivo particular.



22

Además, el modelo Beebe y Clark, incluye los principios de la investigación digital

sobre todas las fases y sub fases, lo cual afecta la forma en que éstas son llevadas

a cabo. Las últimas metas para cada sub fase, están representadas como objetivos,

más que como tareas específicas. Los objetivos son metas que espera alcanzar con

actividades de naturaleza similar relacionadas con un caso específico.” (A. Ray &

G. Brandford, 2007, págs. 27,28)

Tipos de ataque

“Como es de suponer, no todos los ataques son de la misma naturaleza. De hecho,

en este caso nos referiremos solamente a una clasificación particular desde el punto

de vista técnico; y en los sucesivos capítulos abordaremos en detalle otras

clasificaciones y métodos. En esta sección se abordaran los ataques al sistema

operativo, a las aplicaciones, a las configuraciones y a los protocolos.

Ataques al sistema operativo

Los ataques al sistema operativo constituyen un punto clásico de la seguridad.

Desde esta perspectiva, la búsqueda de fallas se realizará en lo concerniente al

propio sistema base de todo el resto del software, de tal modo que, muchas veces,

independientemente de lo que se encuentre por encima, se podrá explotar y tomar

control del sistema en caso de que sea vulnerable.

Ataques a las aplicaciones

En este caso, la variedad es mayor. Existen miles y miles de piezas de software y

programas de todo tipo y tamaño, disponibles en el mundo. Por supuesto, entre

tantos millones de líneas de código, necesariamente se producen errores. Para los

ataques a las aplicaciones también se tendrá en cuenta la masividad de uso.

Esto implica que un programa manejado por millones de personas para leer archivos

del tipo PDF será mejor objetivo que uno empleado por unos pocos para editar cierto

tipo de archivos específicos de un formato menos conocido por los usuarios.

Errores en configuraciones

El caso de las configuraciones, ya sean del sistema operativo o de las aplicaciones,

también constituye un punto sensible, dado que por más seguro que sea un

software, una mala configuración puede tornarlo tan maleable como un papel. Un



23

ejemplo muy elemental, como un antivirus: su configuración deficiente podría hacer

que cumpliera su función de manera poco efectiva, provocando que una buena

herramienta terminara por traducirse en una mala solución y, por ende, en una

brecha de seguridad. Aquí reside el peligro; ni siquiera las herramientas de

protección y seguridad son fiables en sí mismas solo por su función. Esto podría

producir algo muy grave, pero que suele darse con frecuencia tanto en el ambiente

corporativo como en el personal: una falsa sensación de seguridad.

Errores en protocolos

Otro problema, tal vez más grave pero menos frecuente con el que podemos

enfrentarnos, es que los errores estén directamente en los protocolos. Esto implica

que, sin importar la implementación, el sistema operativo, ni la configuración, algo

que se componga de dicho protocolo podría verse afectado. El problema más grave

es que un error en el diseño de uno implica que las situaciones sean potencialmente

incorregibles, y que deben realizarse modificaciones a distintos niveles para

resolverlo, incluyendo a veces su variación total o parcial, o su reemplazo por otro

más seguro”. (Jara, pág. 51)

Malware.

“Termino general para hacer referencia a una gran variedad de programas

maliciosos. Incluye amenazas como virus, gusanos, caballos de Troya, spyware y

otros.

Virus.

Código malicioso que se reproduce y que modifica archivos.

Gusano.

Programa malicioso que se duplica así mismo, a diferencia de los virus, estos no

modifican archivos.

Caballo de Troya.

Programa malicioso disfrazado de aplicación normal. Estos programas no se

duplican como lo hacen los virus, pero se pueden propagar como adjuntos a un

virus.



24

Rootkit.

Conjunto de herramientas y utilidades que puede utilizar un hacker para mantener

el acceso una vez haya pirateado un sistema.

Bot/Zombie.

Un bot es un tipo de malware que permite a un atacante conseguir el control total

sobre el ordenador afectado.” (Bradley & Harlan, 2007, págs. 30-40)



26

Metodología de Investigación

La metodología elegida para el tema de investigación permitirá enriquecer el

conocimiento y formular respuestas concretas a la problemática planteada, ya que

esta se basa en el método cualitativo-participativo.Para establecer esta, se contemplan los cuatro principios propuestos por los autores

José Luis Rivas López, Helena Rifa Pous, Jordi Serra Ruiz en su libro Análisis

forense de sistemas informáticos.1

Según los autores mencionados se llevan a cabo las siguientes fases:

Estudio preliminar. Se realiza un estudio inicial mediante entrevistas y

documentación entregada por el cliente con el objetivo de tener una idea

inicial del problema que nos vamos a encontrar.

Adquisición de datos. Obtención de datos e información esenciales para la

investigación. Se duplican o clonan los dispositivos implicados para un

análisis posterior. En esta fase habrá que tener cuidado en la adquisición de

datos puesto que existe la posibilidad de incumplir los derechos

fundamentales del atacante.

Análisis e investigación. Estudio con los datos adquiridos en la fase anterior.

También habrá que tener cuidado puesto que cabe la posibilidad de incumplir

los derechos fundamentales del atacante.

Realización del informe. En esta fase se elabora el informe que será remitido

a la dirección de la organización o empresa. Posteriormente, se podrá usar

para acompañar la denuncia realizada a la autoridad competente. (Rifá Pous,Serra Riuz, & Rivas López, 2009)

1 Ingenieros egresados de la Universidad Oberta de Catalunya (UOC), compañeros de investigaciónen informática forense.



27

PRINCIPIOS

APLICACIÓN DE LOS PRINCIPIOS

EN LA INVESTIGACION

RESULTADOS ESPERADOS

Estudio preliminar

Recopilación y análisis de

documentación referida al tema de

investigación.

Informar a la población en general

sobre los procesos y procedimientos

disponibles de un análisis forense

hasta el momento.

Adquis ic ión de datos

Recolectar información por medio

de encuestas, cuestionarios y

entrevistas.

Mostrar a la población en general,

mediante el juicio de expertos, las

principales deficiencias de

seguridad, virus y ataques

informáticos que se presentan en un

sistema de información.

Análisis e invest igación

Realizar un estudio con los datos

adquiridos en las fases anteriores

enfocado específicamente al tema

de investigación.

Mostrar a los usuarios de un sistema

de información los factores que

intervienen en la aplicación de un

análisis dentro de las

organizaciones.

Realización del informe

Realizar un informe detallado de los

resultados obtenidos en la

investigación.

Informar a los usuarios de un

sistema de información, con un

informe detallado, sobre los

resultados más relevantes obtenidos

en la investigación.

De acuerdo al cuadro anterior y siguiendo la metodología antes mencionada se

muestra el proceso para llevar a cabo un análisis forense adecuado cuando se tiene

una violación de seguridad en algún sistema de información y así llegar a un

resultado más rápido y confiable, lo cual beneficiara a las personas afectadas.



28

Conclusiones

De acuerdo a los resultados obtenidos de la investigación, se concluye lo siguiente:

La seguridad de las organizaciones depende de su tamaño y del presupuesto

con el que se cuente.

Existe una gran falta de cultura en cuanto a seguridad informática por parte

de las organizaciones y usuarios.

Los sistemas más vulnerables y atacados son aquellos que carecen de

parches de seguridad y/o actualizaciones de los mismos, así como los

equipos que tienen configuraciones por default.

Gran parte de las empresas que realizan un análisis después de haber

sufrido un ataque, solo solucionan el problema temporalmente en fracturasde seguridad puntuales.

El análisis forense ayuda a mejorar la seguridad de información de las

empresas siempre y cuando se tome en cuenta el resultado del mismo.

El análisis forense sirve para tomar decisiones puntuales y estratégicas a

largo plazo en la seguridad informática de la empresa.



29

Recomendaciones

Para obtener los resultados esperados de una investigación de este tipo, se

recomienda lo siguiente:

Los miembros de una organización y usuarios de los sistemas de cómputo a

los que se les realizara la entrevista deben poseer experiencia y

conocimientos acerca del tema, ya que esto permite profundizar y conocer

aspectos específicos de la investigación.

Para futuras investigaciones los objetivos de una investigación deben estar

bien definidos y establecidos por los miembros del equipo de investigación,

de forma que permita obtener los resultados esperados. El resultado de la investigación debe sustentar lo mejor posible la hipótesis

establecida, de esta forma se corroborara el resultado de la misma.



30

Cronograma de Actividades



31



32

Calendarización de Actividades



33



34

INFORME TÉCNICO DE PROYECTO DE INVESTIGACIÓN

Fecha de entrega: 15 Agosto 2015

No. deregistro:

1.0

1. Tipo de in forme:

(Indicar con una X)Parcial: Final: X

2. Título del proyecto: Procesos y evolución de la informática forense

3. Nombre del responsable

técnico:Roberto Carlos Fonseca Orozco

4. Nombre de los

colaboradores:

Abarca Bravo Miguel Mateo

Hinojosa Iturbe Yessenia

Ramón González Osvaldo Emmanuel

Sánchez González Edith Laurent

5. Nombre de los

participantes:

Ing. Alejandro Hernández

Ing. Guillermo Hernández Hernández.

6. Resumen

En los últimos años el desarrollo de las Tecnologías de la Información y las

Comunicaciones (TIC´s) han evolucionado y permiten que sean hoy cada vez más

las personas que poseen acceso a las mismas.

El presente documento de investigación pretende mostrar una panorámica general

de la informática forense, resaltando en primer lugar sus antecedentes, su

importancia, sus objetivos y usos. A continuación se muestran algunos de los tipos



35

de programas y herramientas usadas por los investigadores forenses, así como los

diferentes modelos que existen para el proceso de investigación criminal.

Para finalizar, se presentan algunas de las dificultades encontradas por los

investigadores forenses en la actualidad, y se muestran algunas referencias a casosde investigación de la vida real.

7. Abstract

In recent years the development of Information Technology and Communications

(ICT) have evolved and allow them to be today more and more people have access

to them.

This research paper aims to show an overview of computer forensics, highlighting

first of its background, its importance, objectives and uses. Some of the types of

programs and tools used by forensic investigators as well as the different models

that exist for the criminal investigation process is. Finally, are some of the difficulties

encountered by forensic investigators today, and some references to research

cases from real life is.

8. Palabras clave

Análisis forense, Evidencia digital, Delito informático, Hacker, Modelo forense.

9. Introducción

El presente trabajo de investigación supone un acercamiento a la narrativa de la

informática forense que desde ya hace varios años ha sido de gran utilidad para

poder garantizar la integridad de los sistemas de información de las empresas y los

datos que estos contienen, el objetivo fundamental es saber que herramientas

utilizan los informáticos forenses para poder evitar que estas intrusiones sean



36

hechas y/o bien si ya fueron hechas poder rastrear la causa y el causante de la

misma.

Para dar solución a los delitos cibernéticos surge la Informática forense, es por ello

que la presente investigación ayudará a conocer los procesos, procedimientos ytécnicas que ésta realiza, así como las consecuencias legales que conlleva el

realizar un delito informático. Lo cual beneficiara a las organizaciones y usuarios a

evaluar sus políticas de seguridad y desarrollar estrategias que permitan minimizar

los riesgos ante un ataque.

10. Materiales y métodos

La metodología elegida para el tema de investigación permitirá enriquecer el

conocimiento y formular respuestas concretas a la problemática planteada, ya que

esta se basa en el método cualitativo-participativo.

Para establecer esta, se contemplan los cuatro principios propuestos por los autores

José Luis Rivas López, Helena Rifa Pous, Jordi Serra Ruiz en su libro Análisis

forense de sistemas informáticos.2

Según los autores mencionados se llevan a cabo las siguientes fases:

Estudio preliminar. Se realiza un estudio inicial mediante entrevistas y

documentación entregada por el cliente con el objetivo de tener una idea

inicial del problema que nos vamos a encontrar.

Adquisición de datos. Obtención de datos e información esenciales para la

investigación. Se duplican o clonan los dispositivos implicados para un

análisis posterior. En esta fase habrá que tener cuidado en la adquisición de

datos puesto que existe la posibilidad de incumplir los derechos

fundamentales del atacante.

2 Ingenieros egresados de la Universidad Oberta de Catalunya (UOC), compañeros de investigaciónen informática forense.



37

Análisis e investigación. Estudio con los datos adquiridos en la fase anterior.

También habrá que tener cuidado puesto que cabe la posibilidad de incumplir

los derechos fundamentales del atacante.

Realización del informe. En esta fase se elabora el informe que será remitido

a la dirección de la organización o empresa. Posteriormente, se podrá usar

para acompañar la denuncia realizada a la autoridad competente. (Rifá Pous,

Serra Riuz, & Rivas López, 2009).

PRINCIPIOS

APLICACIÓN DE LOS

PRINCIPIOS EN LA

INVESTIGACION

RESULTADOS ESPERADOS

Estudio

preliminar

Recopilación y análisis

de documentación

referida al tema de

investigación.

Informar a la población en general

sobre los procesos y procedimientos

disponibles de un análisis forense

hasta el momento.

Adquis ic ión

de datos

Recolectar información

por medio deencuestas,

cuestionarios y

entrevistas.

Mostrar a la población en general,

mediante el juicio de expertos, lasprincipales deficiencias de

seguridad, virus y ataques

informáticos que se presentan en un

sistema de información.

Análisis e

investigación

Realizar un estudio con

los datos adquiridos en

las fases anterioresenfocado

específicamente al

tema de investigación.

Mostrar a los usuarios de un sistema

de información los factores que

intervienen en la aplicación de unanálisis dentro de las

organizaciones.



38

Realización

del informe

Realizar un informe

detallado de los

resultados obtenidos en

la investigación.

Informar a los usuarios de un sistema

de información, con un informe

detallado, sobre los resultados más

relevantes obtenidos en la

investigación.

De acuerdo al cuadro anterior y siguiendo la metodología antes mencionada se

muestra el proceso para llevar a cabo un análisis forense adecuado cuando se

tiene una violación de seguridad en algún sistema de información y así llegar a un

resultado más rápido y confiable, lo cual beneficiara a las personas afectadas.

11. Resultados

En la mayoría de las organizaciones su tamaño y el presupuesto con el que se

cuenta, representan una problemática dentro de las mismas, ya que influyen

demasiado para implementar altos niveles de seguridad, así mismo la falta de

cultura aplicada a la protección de sistemas informáticos y su información son

factores importantes los cuales definen qué tan propensos están a ser vulnerados

por un ataque externo o interno. Aunque en las empresas se tenga conocimiento

de los riesgos a los cuales se está expuesto, no se toman las medidas de

seguridad adecuadas respecto a los parches y configuraciones de sus sistemas;

sino que estas actividades son aplicadas después de haber sufrido un ataque, y

ante esto, el análisis forense tiene una influencia prioritaria la cual determina las

causas y posibles soluciones al percance. Es por ello que la práctica de esta

herramienta es esencial para salvaguardar la seguridad informática permitiendo

tomar decisiones puntuales y estratégicas para quienes la lleven a cabo.

12. Discusión

Análisis e interpretación de los hallazgos de la investigación, comparándolos con

los resultados de otras investigaciones que sirvieron de antecedentes o que



39

apoyan o contradicen los resultados, proporcionando las referencias

bibliográficas.

13. Conclusiones

De acuerdo a los resultados obtenidos de la investigación, se concluye lo siguiente:

La seguridad de las organizaciones depende de su tamaño y del presupuesto

con el que se cuente.

Existe una gran falta de cultura en cuanto a seguridad informática por parte

de las organizaciones y usuarios.

Los sistemas más vulnerables y atacados son aquellos que carecen deparches de seguridad y/o actualizaciones de los mismos, así como los

equipos que tienen configuraciones por default.

Gran parte de las empresas que realizan un análisis después de haber

sufrido un ataque, solo solucionan el problema temporalmente en fracturas

de seguridad puntuales.

El análisis forense ayuda a mejorar la seguridad de información de las

empresas siempre y cuando se tome en cuenta el resultado del mismo.

El análisis forense sirve para tomar decisiones puntuales y estratégicas a

largo plazo en la seguridad informática de la empresa.

14. Referencias bibliográficas

(24 de Junio de 2015). Obtenido de http://www.it-analysis.com/article.php?articleid

A. Ray, D., & G. Brandford, P. (2007). Models of Models Digital Forensics and

Domain-Specific Languages.

Bishop, M., & Peisert, S. (2008). Computer forensics in forensis. Institute of electrical

and electronics engineers E.U.



40

Bradley, T., & Harlan, C. (2007). Protección del PC y seguridad en internet. Anaya.

Carrier, B. (2003). Defining Digital Foresics Examination Analysis Tools.

Ciardhuái Ó, S. (2004). Key Research issues for forensics computing.

criminalistica. (12 de Mayo de 2015). Obtenido de

http://www.criminalistica.com.mx/index.php/articulos-d-

interes/548/delitos/informaticos

Dixon D., P. (2005). An overview of computer forensics. Institute of electrical and

electronics engineers E.U.

Eiland E., E. (2006). Time Line Analysis in Digital Forensics. New Mexico.

Fernández Pleda, D. (2004). Informática forense teoria y práctica. Sevilla.

Gómez Vieites, A. (2013). Enciclopedia de la seguridad informática. México: Ra-Ma.

Gómez, J., & Baños, R. (2008). Análisis forense en sistemas windows. México,

Departamento de seguridad en computo UNAM/CERT: Ra-Ma.

Gonzalo. (s.f.). Informática forense. Buenos Aires y acosta, Argentina.

ISO/IEC. (s.f.). ISO/IEC 27001.

Jara, h. (s.f.). Ethical Hacking. Buenos Aires: Users.

Littlejhon, D. (2002). Perfil de un informatico Forense. En La escena del crimen

(págs. 196-197).

Littlejohn, D. (2002). En Scene of the Cybercrime (págs. 136-139). Syngress.

Lopez, O., Amaya, H., & Leon, R. (2002). Informática forence generalidades,

aspectos técnicos y herramientas.

McKenlish, R. (1999). What is forensics computing. Australian Institute of

criminology.

Nolan, R., O´ Sullivan, C., Branson, J., & Waits, C. (2005). First Responders Gide

to Computer Forensics. Carnegie Mellon University: Hanscom.



41

Pulso digital. (12 de Mayo de 2015). Obtenido de

http://www.pulsodigital.net/2008/09/cundo-surgi-la-frense.html

Ramirez Rivera, G. A. (2010). Informática forense. Universidad san carlos de

guatemala.

Rifá Pous, H., Serra Riuz, J., & Rivas López, J. L. (2009). Análisis forense de

sistemas informáticos. eureca media.

Roger, C. (2003). Digital Forensics. Barcelona, España: esCERT-UPC.

15. Productos obtenidos

Estudio preliminar, Adquisición de datos, análisis e investigación y realización del

informe.

16. Anexo



42

Investigación externa

Ilustración 1. Biblioteca Central de Ciudad Universitaria de Morelos.

Investigación directa

Ilustración 2. Entrevista directa con el director General Guillermo Hernández de la

Empresa Hackz Corp.

Nivel de revisión: 01



43

Referencias Consultadas

(24 de Junio de 2015). Obtenido de http://www.it-analysis.com/article.php?articleid

A. Ray, D., & G. Brandford, P. (2007). Models of Models Digital Forensics and

Domain-Specific Languages.

Bishop, M., & Peisert, S. (2008). Computer forensics in forensis. Institute of electrical

and electronics engineers E.U.

Bradley, T., & Harlan, C. (2007). Protección del PC y seguridad en internet. Anaya.

Carrier, B. (2003). Defining Digital Foresics Examination Analysis Tools.

Ciardhuái Ó, S. (2004). Key Research issues for forensics computing.

criminalistica. (12 de Mayo de 2015). Obtenido de

http://www.criminalistica.com.mx/index.php/articulos-d-

interes/548/delitos/informaticos

Dixon D., P. (2005). An overview of computer forensics. Institute of electrical and

electronics engineers E.U.

Eiland E., E. (2006). Time Line Analysis in Digital Forensics. New Mexico.

Fernández Pleda, D. (2004). Informática forense teoria y práctica. Sevilla.

Gómez Vieites, A. (2013). Enciclopedia de la seguridad informática. México: Ra-Ma.

Gómez, J., & Baños, R. (2008). Análisis forense en sistemas windows. México,

Departamento de seguridad en computo UNAM/CERT: Ra-Ma.

Gonzalo. (s.f.). Informática forense. Buenos Aires y acosta, Argentina.

ISO/IEC. (s.f.). ISO/IEC 27001.

Jara, h. (s.f.). Ethical Hacking. Buenos Aires: Users.

Littlejhon, D. (2002). Perfil de un informatico Forense. En La escena del crimen

(págs. 196-197).

Littlejohn, D. (2002). En Scene of the Cybercrime (págs. 136-139). Syngress.



44

Lopez, O., Amaya, H., & Leon, R. (2002). Informática forence generalidades,

aspectos técnicos y herramientas.

McKenlish, R. (1999). What is forensics computing. Australian Institute of

criminology.

Nolan, R., O´ Sullivan, C., Branson, J., & Waits, C. (2005). First Responders Gide to

Computer Forensics. Carnegie Mellon University: Hanscom.

Pulso digital. (12 de Mayo de 2015). Obtenido de

http://www.pulsodigital.net/2008/09/cundo-surgi-la-frense.html

Ramirez Rivera, G. A. (2010). Informática forense. Universidad san carlos de

guatemala.

Rifá Pous, H., Serra Riuz, J., & Rivas López, J. L. (2009). Análisis forense de

sistemas informáticos. eureca media.

Roger, C. (2003). Digital Forensics. Barcelona, España: esCERT-UPC.



45

ANEXOS



46

Investigación Interna

Ilustración 3. Biblioteca Central de la UAEM, equipo de investigación Mateo, Osvaldo, Carlos, Yessenia, Edith(De izquierda a derecha).

Ilustración 4. Interior de la Biblioteca Central, equipo de investigación consultando ejemplares.



47

Investigación externa

Ilustración 5. Biblioteca Central de Ciudad Universitaria de Morelos.

Ilustración 6.Biblioteca de la Facultad de Contaduría, Administración e Informática del Estado de Morelos.

Ilustración 7. Entrada de la Biblioteca Central de la Universidad Autónoma del Estado de Morelos



Investigación directa

Ilustración 8. Entrevista en línea con el Ingeniero Alejandro Hernández de la Empresa IOActive.

procesos y evoluciÓn de la informÁtica forense

Documents