of 14
8/16/2019 1.Qué Es La Informatica Forense.pdf
1/14
SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO
8/16/2019 1.Qué Es La Informatica Forense.pdf
2/14
Curso de informática forense
¿Qué es y como funciona?
El propósito de las técnicas informáticas forenses, es buscar, preservar y analizar
información en sistemas de ordenadores para buscar evidencias potenciales de un delito.
Muchos de las técnicas usadas por detectives en escenarios de crimen, tiene su contrapartida digital en la informática forense, aunque hay algunos aspectos únicos en la
investigación basada en ordenadores.
Por ejemplo, simplemente abrir un archivo, cambia ese archivo – el ordenador recuerda la
hora y fecha en el que fue accedido. Si un detective coge un ordenador y comienza a abrir
archivos y ficheros, no habrá manera de poder decir si cambiaron algo. Si un caso de
piratería informática llegara a juicio, no tendría validez como prueba al haber alterado y
modificado el estado del sistema informático.
Algunas personas creen que usar información digital como una evidencia, es un mala idea.
Si es tan fácil cambiar datos en un ordenador, ¿Cómo puede usarse como una prueba
fiable? Muchos países permites pruebas informáticas en juicio y procesos, pero esto podría
cambiar si se demuestra en futuros casos que no son de confianza. Los ordenadores cada
vez son más potentes, por lo que los campos dentro de la informática forense tienen que
evolucionar constantemente.
En lo tempranos días de la informática, era posible para un solo detective, navegar a través
de los ficheros de un equipo ya que la capacidad de almacenamiento era mucho más baja.
Hoy en día, los discos duros de un ordenador pueden contener gigabytes o incluso terabytes
de información, por lo que la tarea de investigación puede ser compleja. Los expertos en
informática forense deben encontrar nuevas maneras de buscar evidencias, sin tener que
dedicar demasiados recursos en el proceso.
Daniel Ricardo Torres [email protected]
www.seqrityinfforense.es.tl
8/16/2019 1.Qué Es La Informatica Forense.pdf
3/14
8/16/2019 1.Qué Es La Informatica Forense.pdf
4/14
Conceptos básicos de la informática forense
El campo de la informática forense es relativamente joven. Hace muchos años, las cortes
consideraban las evidencias encontradas en los ordenadores, no muy diferentes a las
evidencias convencionales. Según los ordenadores fueron avanzando, mejorando y siendo
más sofisticados, se dieron cuenta que estas evidencias podían ser fáciles de corromper,
destruir o cambiar.Los investigadores pensaron que había una necesidad de desarrollar herramientas
específicas y procesos para buscar evidencias de delito en un ordenador, sin afectar a la
propia información que hubiera almacenada. Los expertos en esta tecnología, se aliaron con
científicos especializados en computadoras para discutir los procedimientos y herramientas
apropiadas que se podrían utilizar para esta tarea. Poco a poco, se fueron asentando las
bases para crear la nueva informática forense.
Normalmente, los detectives informáticos usan una orden para hacer búsquedas en
ordenadores de gente sospechosa. Esta orden debe incluir donde pueden buscar los
detectives, y que clase de pruebas están buscando. En otras palabras, no pueden
simplemente dar pedir una orden y buscar todo lo que quieran para cualquier cosa. Esta
orden no puede ser demasiado general. Muchos jueces requieren que se sea lo más
específico posible cuando se pide una de estas garantías.
Por esta razón, es importante para los detectives informáticos saber todo lo posible sobre el
sospechoso antes de pedir una orden. Considera este ejemplo: Un investigador informático
pide una orden par investigar un ordenador portátil de un sospechoso. Llega a la casa del
sospechoso y le entrega la orden. Mientras está en la casa, se da cuenta que hay un
ordenador de sobremesa. El investigador no puede legalmente hacer una búsqueda en ese
PC porque no estaba en la orden original.
Cada línea de investigación en un ordenador es de algún modo única. Algunas puede llevar
solo una semana, pero otras puede llevar meses. Aquí hay algunos factores que pueden
impactar lo extenso de la investigación:La experiencia de los investigares informáticos. El número de ordenadores que se están
investigando. La cantidad de información que se debe clasificar a través de los discos duros,
DVDs, CDs, u otros métodos de almacenamiento. Si los sospechosos han intentado o no
ocultar o borrar la información. La presencia de archivos encriptados o ficheros protegidos
por contraseñas.
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-www.seqrityinfforense.es.tl
8/16/2019 1.Qué Es La Informatica Forense.pdf
5/14
SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO
8/16/2019 1.Qué Es La Informatica Forense.pdf
6/14
Fases en una investigación de informática forense
El científico en computadoras y experto reconocido en informática forense, Judd
Robbins, nos da una lista de los pasos que deberían seguir los investigadores para recuperar
evidencias en un ordenador sospechoso de tener pruebas delictivas. Por supuesto, cada
grupo de investigadores, dependiendo del cuerpo y el país, tendrán variaciones sobre los
métodos a utilizar, pero el método de Robbins está mundialmente reconocido:
Asegurar el sistema informático para mantener el equipo y los datos a salvo. Esto significa
que los investigadores deben asegurarse de que individuos no autorizados puedan acceder
al ordenador, o a los dispositivos de almacenamiento dentro de la investigación. Si el
sistema informático se conecta a Internet, dicha conexión debe ser cancelada. Se debe
encontrar todos los ficheros y archivos del sistema, incluyendo aquellos que están
encriptados, protegidos con contraseña, escondidos o borrados, pero que no estén todavía
sobrescritos. Los investigadores deben hacer una copia de todos los archivos del sistema.
Con esto queremos decir, tanto del disco duro como todos los demás dispositivos que
puedan almacenar información. Al poder alterar un archivo cuando accedemos a el, es
importante para los investigadores trabajar solamente con copias mientras se busca
evidencias. El sistema original debe permanecer intacto. Hay que recuperar toda la
información borrada que se pueda, usando aplicaciones que pueden detectar dicha
información y hacerla disponible de nuevo para su visionado. Se debe revelar el contenido
de ficheros y archivos ocultos, con programas
espacialmente diseñados para esta función. Desencriptar y acceder a información
protegida. Analizar áreas especiales de los discos del ordenador, incluyendo las partes que
normalmente no están accesibles. En términos de informática, el espacio no usado en los
discos de un ordenador, se llama espacio no localizado. Dicho espacio podría contener
archivos o partes de ficheros que son relevantes al caso. Hay que documentar cada paso del
procedimiento. Es importante para los investigadores mostrar pruebas de que sus
investigaciones han preservado toda la información del sistema informático sin cambiar o
dañar nada. Puede pasar años entre una investigación y el juicio, y sin la documentación
apropiada, puede que las pruebas no sean admisibles. Robbins dice que la documentación
no solo debería incluir los archivos y los datos recuperados del sistema, sino también un
informe de la condición física del sistema, y si algún dato estaba encriptado u oculto.
Todos estos pasos son importantes, pero el primero es crítico. Si los investigadores no
pueden probar que han asegurado su sistema informático, las evidencias encontradas
podrían no valer de nada. Es un trabajo complejo. En los primeros años en la historia
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-www.seqrityinfforense.es.tl
8/16/2019 1.Qué Es La Informatica Forense.pdf
7/14
8/16/2019 1.Qué Es La Informatica Forense.pdf
8/14
del ordenador, el sistema podía incluir solo un PC y unos cuantos disquetes. Hoy en día,
puede incluir varios ordenadores, discos, dispositivos externos de almacenamiento,
periféricos, y servidores Web.
Los que comenten delitos informáticos, han encontrado maneras de hacer más difícil el
seguimiento de los investigadores para que puedan encontrar información. Usan programas
y aplicaciones conocidas como anti-forenses. Los investigadores deben conocer estas herramientas de software, y saber como deshabilitarlas sin quieren tener éxito accediendo a
la información. En la siguiente sección de este curso rápido sobre informática forense,
veremos en qué consisten estos programas anti-forenses.
Herramientas anti forensics
Este tipo de herramientas puede ser la pesadilla de un investigador
de delitos informáticos. Los programadores diseñan las herramientas anti forenses para
hacer difícil o casi imposible recuperar información durante una investigación.
Esencialmente, las técnicas anti forensics se refieren a cualquier método, artilugio o
software designado para frustrar una investigación informática.
Hay docenas de maneras para que la gente oculte la información. Algunos programas pueden engañar a los ordenadores cambiando la información en las cabeceras de los
archivos. Una cabecera de archivo es normalmente invisible a las personas, pero es
extremadamente importante - le dice al ordenador a qué tipo de fichero está asociado el
archivo. Para poner un ejemplo, si renombras un archivo avi con una extensión de fichero
.JPG, el ordenador todavía sabrá que el archivo es realmente un avi por la información en la
cabecera. Como se ha dicho, algunos programas permites cambiar datos en la cabecera
para que el ordenador crea que es otro tipo de fichero. Los investigadores buscando algún
tipo de archivo en particular, pueden saltarse evidencias importantes porque parecía que no
era relevante.
Otros programas pueden dividir archivos en pequeñas secciones, y esconder cada sección al
final de otros archivos. Los archivos suelen tener espacio no usado, y con el software adecuado se pueden esconder archivos aprovechándose de este espacio libre. Es realmente
complicado recuperar y volver a unir toda esta información diseminada en partes.
Es también posible esconder un archivo en otro. Los ficheros ejecutables – que son ficheros
que el ordenador reconoce como programas – son particularmente problemáticos.
Programas llamados empaquetadores pueden insertar estos ejecutables en otros tipos de
archivos, mientras que hay otras aplicaciones que pueden fundir múltiples ejecutables en
uno solo.
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-www.seqrityinfforense.es.tl
8/16/2019 1.Qué Es La Informatica Forense.pdf
9/14
SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO
8/16/2019 1.Qué Es La Informatica Forense.pdf
10/14
La encriptación es otro modo de ocultar los datos. Cuando encriptas datos, se usa un
completo conjunto de reglas llamado algoritmo para hacer los datos incomprensibles. Por
ejemplo, un algoritmo de este tipo puede hacer que un fichero de texto se convierta en un
cúmulo de números y símbolos sin sentido. Una persona que quiera leer los datos,
necesitará una “llave” o clave para volver a convertir esos números y símbolos en texto
leíble de nuevo. Sin las claves de desencriptación, los investigadores necesitarán programas
especiales designados para romper el algoritmo de encriptación del archivo. Cuanto más
sofisticado sea el algoritmo, mas tiempo se tardará en hacer la desencriptación.
Otras herramientas anti forensics pueden cambiar las etiquetas anexionadas a los archivos.
Estas etiquetas o metadata, incluyen información como por ejemplo, cuando se creo un
fichero o fue alterado. Normalmente no puedes cambiar esta información, pero cierto
software si permite alterar estas etiquetas. Imagina que se descubre un fichero y descubrir
que no va a existir hasta los próximos dos años, y que fue accedido por última vez en el
siglo pasado. Si estas etiquetas se ven comprometidas, hace más difícil que se pueden
utilizar como pruebas.
Algunas aplicaciones de ordenador borrarán datos su un usuario no autorizado intenta
acceder al sistema. Algunos programadores han examinado como funcionan los programas de informática forense, y han intentado crear otras aplicaciones que bloquean o atacan a
esos mismos programas. Por este motivo, los investigadores de evidencias informáticas
deben ir con cuidado para recuperar datos.
Hay gente que usa este tipo de herramientas para demostrar lo vulnerable y poco fiable que
los datos de un ordenador pueden ser. Si no puedes estar seguro de cuando se creo un
archivo, cuando se accedió a el por última vez, o incluso si a llegado a existir, ¿como se
puede justificar en un juicio que es una evidencia o prueba? Mientras que esta pregunta es
complicada, muchos países aceptan evidencias informáticas en juicios, aunque los
estándares cambian de un país a otro.
Herramientas en la informática forenseLos programadores han creado muchas aplicaciones para la informática forense. En
muchos casos, su uso dependo de los presupuestos que tenga el departamento que esté
haciendo la investigación y la experiencia que se tiene. A continuación mostraremos unos
cuantos programas y dispositivos que hacen posible el análisis de un sistema informático en
caso de un supuesto delito:
El software de imagen de disco graba la estructura y contendido de un disco duro. Con este
software, no solo es posible copiar la información del disco,
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-www.seqrityinfforense.es.tl
8/16/2019 1.Qué Es La Informatica Forense.pdf
11/14
SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO
8/16/2019 1.Qué Es La Informatica Forense.pdf
12/14
sino preservar la manera en que los ficheros están organizados y su relación con los otros
archivos del sistema. El software o hardware de escritura, copian y reconstruyen los discos
duros bit a bit. Tanto las herramientas software como hardware eluden cambiar cualquier
información. Algunas herramientas requieren que los investigadores retiren los discos duros
del ordenador del sospechoso antes de hacer una copia. Las herramientas de hashing hacen
comparaciones de los discos duros originales a las copias. Analizan los datos y las asignan
un número único. Si los números encriptados del original y la copia coinciden, la copia es
una réplica perfecta del original.
Los investigadores utilizan programas de recuperación de archivos para buscar y restaurar
datos borrados. Estos programas localizan los datos que el ordenador a marcado como
eliminados pero que aun no han sido sobrescritos. Algunas veces esto resulta en un archivo
incompleto, lo cual puede ser mucho más difícil de analizar. Hay varios programas
diseñados para preservar la información en la memoria RAM de un ordenador. De forma
distinta a un disco duro, los datos en la RAM dejan de existir cuando alguien apaga el
ordenador. Si el software adecuado, esta información puede perderse fácilmente. El
software de análisis revisa toda la información en el disco duro buscado contenido
específico. Al poder los ordenadores modernos, tener mucha capacidad de almacenamiento,
es difícil y tedioso buscar archivos manualmente. Por ejemplo, algunos programas de
análisis buscan y evalúan las cookies de Internet, lo cual pueden decir al investigador cosas
sobre la actividad del sospechoso en la red. Otros programas permiten a los investigadores
buscar un tipo determinado de contenido que los investigadores estén buscando. El software
decodificador de información encriptada y los famosos programas para craquear
contraseñas son muy utilizados y útiles para acceder a los datos protegidos. Los
investigadores utilizan varios programas de este tipo, los cuales se actualizan cada poco
tiempo.
Estas herramientas son útiles siempre y cuando los investigadores sigan los procedimientos
correctos. De otra manera, un abogado podría sugerir que cualquier evidencia encontrada
en un equipo informático no es fiable. Por supuesto, hay gente que dice que ninguna de estas pruebas son fiables al cien por cien.
Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-www.seqrityinfforense.es.tl
8/16/2019 1.Qué Es La Informatica Forense.pdf
13/14
This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of
8/16/2019 1.Qué Es La Informatica Forense.pdf
14/14
Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasingWin2PDF.