7/25/2019 Tesis Roberto Lopez Formato Ver1
1/43
Resumen
El constante incremento en el uso de las nuevas tecnologas de informacin por las
empresas ha ocasionado una gran dependencia de las mismas, a causa de ello, por diversas
razones, principalmente empleados descontentos, datos importantes para las empresas se
pierden, generando prdidas econmicas. Existen diversas tcnicas de informtica forense
que ayudan en la recuperacin de datos perdidos, incluso softare especializado en
informtica forense que puede ayudar a las empresas a evitar prdidas o en la recuperacin
de datos y por lo tanto, evitar prdidas econmicas.
7/25/2019 Tesis Roberto Lopez Formato Ver1
2/43
!a"la de contenidoResumen............................................................................................................. 1
Lista de Figuras...................................................................................................4
Lista de tablas..................................................................................................... 5
Introduccin........................................................................................................ 6
#ostos asociados a la seguridad de la informacin en las empresas...................................$
%&u es la informtica forense'..........................................................................................(
)rincipios del forensics.......................................................................................................*
+erramientas tecnolgicas................................................................................................-
+erramientas de informtica forense de hardare y softare..........................................-
#ausas de daos................................................................................................................/Recuperando informacin de la computadora................................................................../
Justifcacin....................................................................................................... 13
Objetio !eneral............................................................................................... 13
Objetios "s#ec$fcos........................................................................................13
%reguntas de inestigacin............................................................................... 14
&escri#cin del contenido.................................................................................14
0ntroduccin a la informtica forense 12forensics34..........................................................5
'(u) es *+orensics,-...................................................................................15
'u/les son los objetios de *+orensics,-...................................................15
0sos de *+orensics,.....................................................................................16
6istincin entre documentos electrnicos y documentos impresos 154..........................$
!cnicas de 2forensics2.....................................................................................................(
%#mo se puede recuperar evidencia "orrada'.................................................................7
Funcionamiento de los dis#ositios de almacenamiento............................1
"scritura de datos en dis#ositios de almacenamiento..............................1
Lectura de datos en dis#ositios de almacenamiento................................21
)roceso de 2forensics3......................................................................................................//
Identifcacin de la eidencia digital...........................................................23
7/25/2019 Tesis Roberto Lopez Formato Ver1
3/43
"traccin #reseracin del material in+orm/tico....................................24
n/lisis de datos.........................................................................................26
File lac7 819: 21;....................................................................................... 26
rcindo=s 819: 21;.............................................................2?
0nallocated fle s#ace 819: 22;...................................................................29
+erramientas de 2forensics3............................................................................................./7
@erramientas #ara la recoleccin de eidencia..........................................29
@erramientas de monitoreo Ao control de com#utadoras..........................33
Belogger 825;............................................................................................33
@erramientas de marcado de documentos819;..........................................34
@erramientas de
7/25/2019 Tesis Roberto Lopez Formato Ver1
4/43
>ista de ;iguras
;ig. )rincipales ru"ros de costos asociados a la seguridad de la informacin en su
organizacin1>opez, /--$4.....................................................................................................(
;ig. /. Etapas de una investigacin 1#am"r?n, /--*4...........................................................*
;ig. 8 @na ca"eza de escritura1Ascar >opez, /--/4............................................................/-
;ig. 9 Escri"iendo datos en un medio de almacenamiento1Ascar >opez, /--/4................./
;ig. 5 >eyendo datos desde un medio de almacenamiento1Ascar >opez, /--/4.................//
;ig. $ Betodologa de tra"aCo para anlisis de datos1Dcosta onzalo, /--(4...................../8
;ig. ( Elementos para la identificacin de evidencia.1Dcosta onzalo, /--(4.................../9
;ig. 7 Elementos para la preservacin de evidencia1Dcosta onzalo, /--(4....................../5
;ig. * Elementos para el anlisis de evidencia.1Dcosta onzalo, /--(4............................./$
;ig. - #ategoras generales de incidentes1)ino, /--(4......................................................9
7/25/2019 Tesis Roberto Lopez Formato Ver1
5/43
>ista de ta"las
Eabla 1 eguridad en algoritmos de
7/25/2019 Tesis Roberto Lopez Formato Ver1
6/43
0ntroduccin
#on la adopcin cada vez ms frecuente de las tecnologas de informacin por las
empresas, la dependencia de la informacin digital es cada vez mayor y por lo tanto se
tienen que preparar y utilizar recursos para proteger dichos datos e inclusive recuperar
algunos de esos datos que pueden llegar a perderse por distintos motivos principalmentepor la accin de virus informticos1Richardson F 6irector, /--(4. En algunos casos la
perdida de informacin se de"e a empleados descontentos que realizan fraudes y en esos
casos se pueden llegar a acciones penales contra ellos, sin em"argo para o"tener las prue"as
necesarias para proceder legalmente, es necesario el uso de tcnicas y herramientas tanto de
softare como de hardare 16avis, )hilipp, F #oen, /--54 para o"tener dichas prue"as,
aunque dichas tcnicas y herramientas pueden ser usadas con otros propsitos como la
proteccin de los datos para evitar su prdida o recuperar datos que fueron "orrados
accidentalmente y que son crticos para la empresa, ya que sta depende directamente de la
informacin que generan sus sistemas de informacin1>opez, /--$4.
#ostos asociados a la seguridad de la informacin en las empresas.
Es difcil elegir o dar prioridad a solo algunos ru"ros que intervienen en los costos que
implica la seguridad de la informacin. D continuacin se presenta un mapa mental para
tratar de deCar ver un panorama general de la informacin.
;ig. )rincipales ru"ros de costos asociados a la seguridad de la informacin en su
organizacin1>opez, /--$4
#on el grfico anterior se puede decir que si se tiene una especial importancia por las
7/25/2019 Tesis Roberto Lopez Formato Ver1
7/43
!ecnologas de 0nformacin 1!04.
>a prdida de informacin sin una correcta planificacin e implementacin de medias de
seguridad, podra requerir de una alta inversin en tiempo e incluso dinero para su
recuperacin, y eso siempre y cuando sea posi"le ya que no siempre lo es, o por lo menos
no totalmente. En un entorno empresarial esto es aun ms grave ya que la disponi"ilidad de
la informacin es fundamental para el correcto desarrollo de su actividad diaria.1#erpa,
/--*4
%&u es la informtica forense'
Existen m?ltiples definiciones a la fecha so"re el tema forense en informtica. @na primera
revisin nos sugiere diferentes trminos para aproximarnos a este tema, dentro de los cuales
se tienenG computacin forense, digital forensics 1forensia digital4, network forensics1forensia en redes4, entre otros. >a informtica forense se puede definir entonces como la
disciplina cientfica y especializada que entendiendo los elementos propios de las
tecnologas de los equipos de computacin ofrece un anlisis de la informacin residente en
dichos equipos.1#ano, /--$4
>a informtica forense se ocupa de la utilizacin de los mtodos cientficos aplica"les a la
investigacin de los delitos, no solo informticos y donde se utiliza el anlisis forense de las
evidencias digitales, en fin toda informacin o datos que se guardan en una computadora o
sistema informtico. En conclusin diremos que la informtica forense es 2la ciencia
forense que se encarga de la preservacin, identificacin, extraccin, documentacin y
interpretacin de la evidencia digital, para luego sta ser presentada en una corte de
Custicia3.1)ino, /--(4
:i "ien la informtica forense est encaminada a la resolucin de casos de ndole penal, las
tcnicas y herramientas de las que hace uso, se pueden usar con otros fines, como la
proteccin y recuperacin de datos informticos. )ara ello se tienen que tener en claro las
partes que pudieran estar involucradas en la prdida de informacin, para este propsito se
han creado categoras a fin de hacer una necesaria distincin entre el elemento material de
un sistema informtico o hardare 1evidencia electrnica4 y la informacin contenida en
este 1evidencia digital4.1)ino, /--(4
7/25/2019 Tesis Roberto Lopez Formato Ver1
8/43
)rincipios del forensics
Existen un gran n?mero de principios "sicos que son necesarios independientemente de si
ests examinando un ordenador o un cadverG
. Evitar la contaminacin.En televisin salen los examinadores forenses ataviados
con "atas "lancas y guantes, tomando las prue"as con pinzas y ponindolas en
"olsas de plstico selladas. !odo ello es para prevenir la 2contaminacin3.1Hiles,
/--942. Actuar metdicamente. En cualquier cosa que se haga, si se tuviera que ir a un
Cuicio, se necesitara Custificar todas las acciones que se hayan realizado. :i se
actuara de manera cientfica y metdica, tomando cuidadosas notas de todo lo que
se hace y como se hace, esta Custificacin sera mucho ms fcil.1Hiles, /--943. Cadena de evidencias. :ignifica que, en cualquier momento del tiempo, se pueda
Custificar quien ha tenido acceso y donde ha sido, eliminando as la posi"ilidad de
que alguien haya podido sa"otearlo o falsificarlo de alguna manera.1Hiles, /--94
;ig. /. Etapas de una investigacin 1#am"r?n, /--*4
7/25/2019 Tesis Roberto Lopez Formato Ver1
9/43
+erramientas tecnolgicas
6e forma glo"al, las herramientas tecnolgicas que hay son muchas a nivel mundial. :u
funcionalidad como se menciono anteriormente viene a ser la de ayudar al perito que
realiza una investigacin a encontrar meCores prue"as y de una forma ms exacta y precisa,
y que a la postre, sirva como evidencia clara para el de"ido proceso penal.1Drias #haves,
/--$4
Dlgunas de las herramientas que con frecuencia son utilizadas en procesos de informtica
forense sonG
E
7/25/2019 Tesis Roberto Lopez Formato Ver1
10/43
#ausas de daos
>a perdida de informacin ocurre por diversos motivos, de acuerdo a una encuesta
realizada en /--7 a diversas organizaciones, los incidentes por virus ocurren cada vez ms
frecuentemente, teniendo casi la mitad de las respuestas 1un 9*J4, el segundo incidente
ms com?n son los a"usos de redes con un 99J, seguidos por el ro"o de laptops y otros
dispositivos mviles.1Richardson F 6irector, /--(4
Recuperando informacin de la computadora.
)ara entender cmo funciona la recuperacin de datos perdidos, primero hay que entender
que la informacin se guarda en medios fsicos por lo tanto no existe como tal sino mas
"ien se encuentra latente como una forma 2metafsica3 por lo cual puede ser accedida de
alguna manera. >os discos duros guardan la informacin de forma magntica y los datos se
van so"rescri"iendo, utilizando algunas tcnicas especializadas, es posi"le acceder a2historiales magnticos3 de los datos "orrados y recuperarlos.1
7/25/2019 Tesis Roberto Lopez Formato Ver1
11/43
Kustificacin
#on el gran auge de las tecnologas de informacin, cada vez es ms com?n la perdida de
datos por parte de los usuarios, ya sea de una forma accidental o deli"erada, lo cual, para
las empresas, es una perdida principalmente de recursos econmicos, desgraciadamente
esto es muy com?n en las promesa, ya sea por errores de captura, o lo ms frecuente,empleados descontentos.1Lacca, /--54
>a prdida de informacin sin una correcta planificacin e implementacin de medidas de
seguridad, podra requerir de una alta inversin en tiempo e incluso dinero para su
recuperacin, y eso siempre y cuando sea posi"le ya que no siempre lo es, o por lo menos
no totalmente. En un entorno empresarial esto es a?n ms grave ya que la disponi"ilidad de
la informacin es fundamental para el correcto desarrollo de su actividad diaria.1#erpa,
/--*4
Existen diferentes herramientas que ayudan en la recuperacin de datos, el anlisis de
intrusos, proteccin de atacantes, entre otras que, con el conocimiento adecuado permitiran
a las )ymes recuperar informacin perdida o incluso prevenir que suceda dicha perdida.
1#asey, /--/4A"Cetivo eneral
Dnalizar los "eneficios del uso de tcnicas y herramientas de 2forensics3 para apoyar a en
la recuperacin y prevencin de prdida de datos en pequeas y medianas empresas.
A"Cetivos Especficos
6eterminar cules son las diferentes herramientas de 2forensics3 que existen en el
mercado.
Dnalizar las diferencias entre las herramientas de 2forensics3. 6eterminar cul es el giro empresarial ms afectado por la prdida de informacin en
6urango.
)reguntas de investigacin.
%#ul sector de empresas sera el ms "eneficiado al implantar tcnicas y herramientas de
2forensics3'%Es necesario personal especializado para implantar las tcnicas de 2forensics3'
%#on que frecuencia se pierden datos en las empresas'
6e los datos perdidos, %qu cantidad es imprescindi"le para la empresa'%&u consecuencia trae consigo la perdida de informacin digital'
+iptesis
7/25/2019 Tesis Roberto Lopez Formato Ver1
12/43
7/25/2019 Tesis Roberto Lopez Formato Ver1
13/43
0ntroduccin a la informtica forense 12forensics34
>a informtica forense est adquiriendo cada vez ms importancia en el rea de la
informacin electrnica, esto de"ido al aumento del valor de la informacin as como al uso
que se le da a sta, al desarrollo de nuevos lugares donde es usada 1por EC. 0nternet4, y alextenso uso de computadoras por parte de las compaas de negocios tradicionales 1por EC.
"ancos4. Es por esto que cuando se realiza un crimen, muchas veces la informacin queda
almacenada en forma digital. :in em"argo, existe un gran pro"lema, de"ido a que las
computadoras guardan la informacin de informacin forma tal que no puede ser
recolectada o usada como prue"a utilizando medios comunes, se de"en utilizar mecanismos
diferentes a los tradicionales. Es de aqu que surge el estudio de la computacin forense
como una ciencia relativamente nueva.
%&u es 2forensics3'
Existen diversos conceptos acerca de 2forensics3, sin em"argo todos ellos van enfocados
hacia la adquisicin, preservacin, y presentacin de datos que han sido procesados y
guardados en un medio electrnico. Dunque el propsito inicial de 2forensics3 est
orientado hacia aspectos legales las tcnicas y herramientas en las que se "asa 1Moung,
/--54 pueden ser usadas con otros fines y dependiendo de por quin sean usadas, puede
resultar en "eneficio de las empresas yNo particulares.
%#ules son los o"Cetivos de 2forensics3'
>os o"Cetivos de 2forensics3 como tal, son los siguientesG1iovanni Ouccardi, /--$4
. >a compensacin de los daos causados por los criminales o intrusos.
/. >a persecucin y procesamiento Cudicial de los criminales.
8. >a creacin y aplicacin de medidas para prevenir casos similares.
:in em"argo, para los efectos de la presente investigacin se tomara como o"Cetivo
primordial de 2forensics3 el punto n?mero 8 2>a creacin y aplicacin de medidas para
7/25/2019 Tesis Roberto Lopez Formato Ver1
14/43
prevenir casos similares3, ya que lo que se "usca es disminuir al mximo los riesgos de
prdida de informacin en las empresas.
@sos de 2forensics3
2;orensics3 no est ligado ?nicamente hacia aspectos legales sino que puede a"arcar varios
aspectos generales entre ellos se pueden mencionar los siguientesG
)rosecucin #riminal
>itigacin #ivil
0nvestigacin de :eguros
!emas corporativos
Bantenimiento de la ley
#omo se puede o"servar, los diversos usos de 2forensics2 pueden ser desde aspectos
simples como la perdida de informacin empresarial hasta casos graves como estafas
"ancarias, es por ello que se pueden usar las tcnicas y herramientas que usa 2forensics2 en
varios escenarios.
6istincin entre documentos electrnicos y documentos impresos 10. R. >inda Lolonino,
/--4
#uando se piensa en nuevas tecnologas 1tales como documentos electrnicos4 en trminos
de tecnologa 2antigua3 1)apel y tinta4, no se pueden apreciar las caractersticas y
potenciales distintivos. M esto se de"e principalmente a la resistencia que tienen laspersonas al cam"io, por eCemplo, cuando la electricidad se invento y los focos vinieron a
reemplazar a las lmparas de gas, la gente cam"ia"a muy rpido los focos para que la
electricidad no 2goteara3 so"re el soc=et. :e tuvieron que poner anuncios so"re los focos
para que la gente los leyera 2Este cuarto est equipado con la luz elctrica Edison.
7/25/2019 Tesis Roberto Lopez Formato Ver1
15/43
intente encenderla con un cerillo. :implemente encienda el apagador que est en la pared
cerca de la puerta3. !odo esto se de"e a la resistencia que tenan las personas en aquellos
tiempos al cam"io, esta"an tan acostum"rados a utilizar lmparas de gas, cerillos y dems
accesorios que cuando llego aquel descu"rimiento tan innovador, lidiaron contra sus
actividades cotidianas para dar paso a algo nuevo y "enfico. #on los documentos
electrnicos y los documentos 2tradicionales3 pasa lo mismo, la resistencia que tenemos
para utilizar algo 2nuevo3 es muy grande, ya que se pueden pensar cosas comoG
%#mo se compartirn mis documentos'
%#mo van a firmar mis documentos'
%#mo almacenar mis documentos'
:i tengo todos mis documentos en la computadora cualquier persona podr verlos,
es preferi"le mantenerlos "aCo llave en el archivero.
>a principal causa de los puntos antes mencionados es el desconocimiento del potencial de
las nuevas tecnologas las cuales hacen de los documentos electrnicos una herramienta
muy poderosa, y es por ello que las empresas han optado por cam"iar paulatinamente hacia
las nuevas tecnologas y deCar atrs los esquemas tradicionales de tra"aCo.
!cnicas de 2forensics2
>as tcnicas forenses son aquellas que surgen de una investigacin metdica para
reconstruir una secuencia de eventos. >as tcnicas de forense digital son el arte de recrear
que ha pasado en un dispositivo digital. Existen dos aspectos principales so"re los cuales
tra"aCarG1Dcosta onzalo, /--(4
>o que hace un usuario en su equipo, Recuperacin de archivos eliminados
6esencriptacin elemental
H?squeda de cierto tipo de archivos
H?squeda de ciertas frases
7/25/2019 Tesis Roberto Lopez Formato Ver1
16/43
A"servacin de reas interesantes del computador
>o que hace un usuario remoto en otro equipo,
>eer archivos de registro
Reconstruir acciones Rastrear el origen
Dnlisis de conexiones desde o hacia el host
2Forensics hace uso de diversas tcnicas especializadas as como herramientas
sofisticadas para ver informacin que no puede ser accedida por usuarios comunes. Esta
informacin pudo ha"er sido "orrada por el usuario meses o incluso aos antes de que se
sucediera la investigacin o incluso pudo nunca ha"er sido guardada, pero puede aun existiren parte del disco duro.1+assell, /--94
6ependiendo de la naturaleza de la investigacin, puede ser recomenda"le la creacin de
una imagen del disco, para as analizar ?nicamente la imagen y evitar la so"reescritura de
informacin por el sistema operativo ya que en ocasiones el propio sistema operativo
realiza actualizaciones so"re archivos automticamente. )or eCemplo, en un sistema
Pindos, ms de $- alteraciones son realizadas a los archivos cuando la computadora es
encendida. 6ichos cam"ios no son visi"les para el usuario, pero los cam"ios que pueden
ocurrir pueden alterar o incluso "orrar evidencia.1+assell, /--94
%#mo se puede recuperar evidencia "orrada'
El sistema operativo de una computadora utiliza un directorio que contiene el nom"re y
lugar de cada archivo en el disco. #uando un archivo es "orrado, varios eventos toman
lugar en una computadora. @n marcador de estatus de archivo es activado para mostrar que
el archivo ha sido "orrado. @na marca de estatus de disco es colocada para mostrar que el
espacio est disponi"le para otro uso. #on esto el usuario no podr ver el archivo listado en
un directorio, sin em"argo no se ha realizado ning?n cam"io al archivo mismo. Qste
espacio nuevo es llamado li"re o sin asignar y hasta que sea escrito por otro archivo, el
especialista forense puede o"tener dicho archivo sin pro"lema.
7/25/2019 Tesis Roberto Lopez Formato Ver1
17/43
En muchos casos, incluso cuando el usuario ha desfragmentado o reformateado un disco, la
evidencia aun se puede recuperar. Buchos datos no son alterados por desfragmentar un
disco, porque muchos documentos contienen informacin interna que descri"e fechas,
usuarios y otros datos histricos que pueden ser ?tiles. Bientras que formatear un disco
reconstruye el sistema de archivos, no elimina la informacin que previamente exista en el
disco.
;uncionamiento de los dispositivos de almacenamiento
>a mayor parte de los dispositivos de almacenamiento actuales, se "asan en el principio
magntico que se de"e a los siguientes fenmenos fsicosG
@na corriente elctrica produce un campo magntico.
Dlgunos materiales se magnetizan con facilidad cuando son expuestos a un campo
magntico d"il. #uando el campo se apaga, el material se desmagnetiza
rpidamente.
En algunos materiales magnticos suaves, la resistencia elctrica cam"ia cuando elmaterial es magnetizado. >a resistencia regresa a su valor original cuando el campo
magntico es apagado.
Atros materiales se magnetizan con dificultad, pero una vez que se magnetizan,
mantienen su magnetizacin cuando el campo se apaga.
Estos cuatro fenmenos son explotados por los fa"ricantes de ca"ezas gra"adoras
magnticas, que leen y escri"en datos, para almacenar y recuperar datos en unidades dedisco. Dplicndolos en los siguientes puntosG 1Ascar >opez, /--/4
#a"ezas de escrituraG Escri"en "its de informacin en un disco magntico giratorio.
#a"ezas de lecturaG >een "its de informacin.
7/25/2019 Tesis Roberto Lopez Formato Ver1
18/43
Bedios de almacenamientoG son magnetizados de forma permanente en una
direccin determinada por el campo de escritura.
Escritura de datos en dispositivos de almacenamiento
En la siguiente figura se muestra un esquema simplificado de una ca"eza de escritura. >a
vista superior de una ca"eza de escritura 1izquierda4 muestra un rollo espiral, envuelto entre
dos capas de material magntico suaveG a la derecha est un corte transversal de esta ca"eza
vista de lado. En el extremo inferior, hay un espacio entre las capas, y en el extremo
superior, las capas estn unidas. >as capas superior e inferior de material magntico se
magnetizan con facilidad cuando fluye una corriente elctrica en el rollo espiral, de tal
forma que estas capas se vuelven los polos opez, /--/4
>as computadoras almacenan los datos en un disco giratorio en forma de "its transmitidos a
la unidad de disco en una secuencia de tiempo correspondiente a los dgitos "inarios uno ycero. Estos "its son convertidos en una onda de corriente elctrica que es transmitida por
medio de ca"les al rollo de la ca"eza de escritura tal como se muestra en la siguiente figura.
En su forma ms simple, un "it uno, corresponde a un cam"io en la polaridad de la
corriente, mientras que un "it cero corresponde a la ausencia de cam"io en la polaridad de
la corriente de escritura. En otras pala"ras los unos almacenados aparecen en donde ocurre
7/25/2019 Tesis Roberto Lopez Formato Ver1
19/43
una inversin en la direccin magntica en el disco y los ceros residen entre los unos.
;ig. 9 Escri"iendo datos en un medio de almacenamiento
;uenteG1Ascar >opez, /--/4
@n reloC de regulacin esta sincronizado con la rotacin del disco y existen celdas de "it
para cada tic de reloCG algunas de estas celdas de "its representaran un uno y otras
representaran ceros. @na vez escritos, los "its en la superficie del disco quedan
magnetizados permanentemente en una direccin hasta que nuevos patrones sean escritos
so"re los vieCos.1Ascar >opez, /--/4
>ectura de datos en dispositivos de almacenamiento
En la actualidad, las ca"ezas de lectura leen datos magnticos mediante resistores
magnticamente sensitivos llamados Vlvulas Spin que explotan el efecto BR1;isher,
/--$4. Estas ca"ezas BRNLlvula :pin son situadas muy cerca del disco de
almacenamiento magntico rotatorio exponiendo el elemento BR a los campos
magnticos de "it previamente escritos en la superficie del disco. :i la ca"eza BR se aleCa
ligeramente del disco la intensidad del campo cae por fuera de un nivel ?til y los datos
magnticos no pueden ser recuperados fielmente. El proceso de lectura incluyendo el ruido,
presente en cualquier dispositivo elctrico se esquematiza en la siguiente figuraG
7/25/2019 Tesis Roberto Lopez Formato Ver1
20/43
;ig. 5 >eyendo datos desde un medio de almacenamiento1Ascar >opez, /--/4
)roceso de 2forensics3
El xito de 2forensics3 es el anlisis de discos duros, discos extra"les, #6, discos :#:0 y
otros medios de almacenamiento. Este anlisis no solo "usca archivos potencialmenteincriminatorios o perdidos sino tam"in otra informacin valiosa como contraseas, datos
de acceso y rastros de actividad en internet.
7/25/2019 Tesis Roberto Lopez Formato Ver1
21/43
;ig. $ Betodologa de tra"aCo para anlisis de datos1Dcosta onzalo, /--(4
Existen muchas formas de "uscar evidencia en un disco, mas aun cuando los usuarios no
tienen la mas mnima idea de cmo funcionan las computadoras y por lo tanto no hacen un
mayor esfuerzo para "orrar archivos.
0dentificacin de la evidencia digital
0dentificar la evidencia digital representa una tarea caracterizada por distintos aspectos.
Entre ellos podemos mencionar el factor humano, que realiza los secuestros de material
informtico, en muchos casos la identificacin y recoleccin de potencial evidencia digital
es realizada por personal que no cuenta con los conocimientos adecuados para llevar a ca"o
las tareas en cuestin.
>a omisin de algunos aspectos tcnicos puede llevar a la perdida de los datos o a la
imposi"ilidad de analizar cierta informacin digital.
7/25/2019 Tesis Roberto Lopez Formato Ver1
22/43
;ig. ( Elementos para la identificacin de evidencia.1Dcosta onzalo, /--(4
Extraccin y preservacin del material informtico.
Extraer y preservar el material informtico durante los 2secuestros de informacin3 implica
considerar la fragilidad de los medios de almacenamiento de datos y la volatilidad de la
informacin. :o"re este aspecto ca"e destacar que existe una gran falencia en lo que se
conoce como 2cadena de custodia3 cuyo o"Cetivo consiste en mantener el registro de todas
las operaciones que se realizan so"re la evidencia digital en cada uno de los pasos de
investigacin detallados. :i al realizar un anlisis de datos se detecta que la informacin
original ha sido alterada, la evidencia pierde su valor pro"atorio.
En cuestiones del transporte de la informacin digital, es muy com?n que los elementos
informticos lleguen sin los ms mnimos resguardos, lo cual puede ocasionar roturas en el
equipamiento, o que la temperatura am"iente no sea la optima para preservar la
informacin, incluso en algunos casos toparse con campos electromagnticos queimposi"ilitaran el anlisis de informacin.
7/25/2019 Tesis Roberto Lopez Formato Ver1
23/43
;ig. 7 Elementos para la preservacin de evidencia1Dcosta onzalo, /--(4
)or ?ltimo los aspectos tcnicos relativos a la no alteracin de la evidencia original. >a
utilizacin de alg?n softare que genere un valor hash a partir de un conCunto de datos es
de gran ayuda de tal manera que el experto en 2forensics3 puede estar seguro que tra"aCa
con la informacin exacta y no corrupta.
!a"la :eguridad en algoritmos de hash 1>yle, /--4
Al!oritmo de hash "ro#a#ilidad de colisin
#R#$ en 8/($7#R#8/ en /9(978$97B65 1/7 "its4 en (-9789$-9$*/8(8$7(8-8(5779-5(/7:+D en /5*
:+D/5$ en //55
7/25/2019 Tesis Roberto Lopez Formato Ver1
24/43
Dnlisis de datos.
Dnalizar involucra aquellas tareas referidas a extraer evidencia digital de los dispositivos de
almacenamiento, sin em"argo dicha operacin puede ser un tanto tediosa, ya que se tienen
que tomar en cuenta diversos factores, tales como el sistema operativo so"re el que se est
tra"aCando, la estructura del sistema de archivos y la cantidad de documentos con los que
cuenta el sistema. Es por ello que las herramientas de 2forensics3 incorporan un sistema de
"?squeda a travs de pala"ras clave, o a travs de fechas, incluso la aplicacin de filtros
para determinados tipos de archivos.
;ig. * Elementos para el anlisis de evidencia.1Dcosta onzalo, /--(4
Entre los recursos que un experto en 2forensics3 puede hacer uso para recuperar
informacin de un dispositivo de almacenamiento, se encuentran los siguientesG
;ile :lac= 1;olgueras Barcos, Dlva !ello, RuizBezcua, F arcia #respo, /--S Ascar
>opez, /--/4
>os archivos son creados en varios tamaos dependiendo de lo que contengan. Dlgunos
sistemas operativos almacenan los archivos en "loques de tamao fiCo llamados
cl?ster, en los cuales raramente el tamao de los archivos coincide perfectamente
con el tamao de uno o muchos cl?steres.
7/25/2019 Tesis Roberto Lopez Formato Ver1
25/43
El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final
del cl?ster se llama 2file slac=3. >os tamaos de los cl?steres varan en longitud
dependiendo del sistema operativo involucrado y en el caso de Pindos, tam"in del
tamao de la particin lgica implicada.
@n tamao ms grande en los cl?steres significan mas file slac= y tam"in mayor prdida
de espacio de almacenamiento. :in em"argo esta de"ilidad de la seguridad de la
computadora crea ventaCas para el experto en 2forensics3 ya que el file slac= es una fuente
significativa de evidencias y pistas.
!a"la / Drea del file slac= 1Moung, /--54
Drchivo sap de Pindos 1;olgueras Barcos, et al., /--S Ascar >opez, /--/4
>os sistemas operativos Bicrosoft Pindos utilizan un archivo especial como un
2cuaderno de apuntes3 para escri"ir datos cuando se necesita memoria de acceso aleatorio
adicional, a estos archivos se les conoce como archivos :ap o archivos de intercam"io.
>os archivos de intercam"io pueden ser muy grandes y la mayora de los usuarios no sa"en
que existen, su potencial es contener archivos so"rantes del tratamiento de procesadores de
texto, los mensaCes electrnicos, la actividad en internet 1coo=ies, archivos temporales,
entre otros4, log de entradas a "ases de datos y casi cualquier tra"aCo que se haya eCecutado
7/25/2019 Tesis Roberto Lopez Formato Ver1
26/43
en las ?ltimas sesiones. !odo esto genera un pro"lema de seguridad por que al usuario
nunca se le informa que es lo que est pasando ya que el proceso es transparente.
>os archivos sap de Pindos proporcionan a los expertos en 2forensics3 pistas esenciales
con las cuales investigar ya que ?nicamente en este archivo se encuentra la informacin yno se podra conseguir de otra manera.
@nallocated file space 1acenga, #atersteel, !oleman, F !anS Ascar >opez, /--/4
#uando los archivos son "orrados o suprimidos, el contenido de los archivos no es
verdaderamente "orrado, a menos que se utilice alg?n softare especial que ofrezca un alto
grado de seguridad en el proceso de eliminacin, los datos 2"orrados3, permanecen en un
rea llamada espacio de almacenamiento no asignado 1unallocated file space4. 0gual sucedecon el file slac= asociado al archivo antes que este fuera "orrado. #onsecuentemente siguen
existiendo los datos, escondidos, pero presentes y pueden ser detectados mediante
herramientas de softare para el anlisis de 2forensics3.
+erramientas de 2forensics3
Existen una gran cantidad de herramientas so"re las que los expertos en 2forensics3 1alup
F 6attero, /--4 pueden valerse para utilizar las tcnicas antes mencionadas y realizar unproceso forense en una o varias computadoras, dichas herramientas pueden ser clasificadas
en cuatro grupos principales para su meCor comprensinG
+erramientas para la recoleccin de evidencia.
Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas
sofisticadas se hace necesario de"ido aG
. >a gran cantidad de datos que pueden estar almacenados en una computadora.
/. >a variedad de formatos de archivos, los cuales pueden variar enormemente,
aun dentro del contexto de un mismo sistema operativo.
7/25/2019 Tesis Roberto Lopez Formato Ver1
27/43
8. >a necesidad de recopilar la informacin de una manera exacta, y que permita
verificar que la copia es exacta.
9. >imitaciones de tiempo para analizar toda la informacin.
5. ;acilidad para "orrar archivos de computadoras.
$. Becanismos de encriptacin o de contraseas.
Entre las herramientas para la recoleccin de evidencia, se pueden mencionar Iazeon
1.=azeon.com4, 6igital 0ntelligence 1.digitalintelligence.com4, TPays Pin+ex
1.xays.netNinhex4, TPays ;orensics 1.xays.netNforensics4, )ara"en
1.para"en.com4, En#ase 1.guidancesoftare.com4, ;!I 1.accessdata.com4,y opez, /--/S softare4
Copiado comprimido de discos fuente. Emplea un estndar sin prdida para crearcopias comprimidas de los discos origen. >os archivos comprimidos resultantes
pueden ser analizados, "uscados y verificados de manera semeCante a los originales.
Esta caracterstica ahorra cantidades importantes de espacio en el disco de la
computadora donde se realizara el anlisis.
Bsqueda y anlisis de mltiples partes de arcivos adquiridos! )ermite al experto
"uscar y analizar m?ltiples partes de la evidencia. Buchos expertos involucran una
gran cantidad de discos duros, discos extra"les, y otros dispositivos de
almacenamiento. #on Encase se pueden analizar todos los posi"les dispositivos a la
vez, ahorrando tiempo.
"iferente capacidad de almacenamiento! >os datos pueden estar en diferentes
unidades 1discos duros, #6, @:H, etc.4. Encase permite copiar de forma
7/25/2019 Tesis Roberto Lopez Formato Ver1
28/43
comprimida todos esos datos a un solo #6RAB manteniendo la integridad del
equipo original.
Varios campos de ordenamiento# incluyendo estampillas de tiempo! )ermite al
especialista ordenar los archivos de acuerdo a diferentes campos incluyendo cuando
se cre, ultimo acceso, ultima escritura, nom"res de archivos, firma de archivos y
extensiones.
$nlisis compuesto del documento! )ermite la recuperacin de archivos internos y
metadatos con la opcin de montar directorios como un sistema virtual.
Bsqueda automtica y anlisis de arcivos de tipo %ip y attacments de e&mail
Firmas de arcivos# identificaci'n y anlisis! >a mayora de las grficas y de los
archivos de texto comunes contiene una pequea cantidad de "ytes en el comienzo
del sector los cuales constituyen una firma del archivo. Encase verifica dicha firma
para cada archivo contra una lista de firmas conocidas de extensiones de archivos, si
existe alguna discrepancia, como en el caso de que se haya renom"rado un archivo,
se detecta automticamente la identidad del archivo.
$nlisis electr'nico del rastro de intervenci'n! :ellos de fecha, sellos de hora,
registros de accesos y la actividad del comportamiento reciclado son puntos crticos
de una investigacin por computadora. Encase proporciona los ?nicos medios
prcticos de recuperar y documentar dicha informacin de una manera no invasora y
eficiente.
Soporte de mltiples sistemas de arcivo! Encase reconstruye los sistemas de
archivos forense en 6A:, Pindos, Bacintosh, >inux, @
7/25/2019 Tesis Roberto Lopez Formato Ver1
29/43
!am"in muestra el :lac= ;ile con un color roCo despus de terminar el espacio
ocupado por el archivo dentro del clister.
.ntegraci'n de reportes!Encase genera el reporte del proceso de la investigacin
forense como un estimado. En dicho documento se realiza un anlisis y una
"?squeda de resultados, en donde se muestra el caso incluido, la evidencia
relevante, los comentarios del investigacin, favoritos, imgenes recuperadas,
criterios de "?squeda y tiempo en que se realizaron las "?squedas.
Visuali/ador integrado de imgenes con galer0a! Encase ofrece una vista
completamente integrada que localiza automticamente, extrae y despliega muchos
archivos de imgenes como .gif y .Cpg del disco.
7/25/2019 Tesis Roberto Lopez Formato Ver1
30/43
!a"la 8 #aractersticas de los principales softare de UforensicsU
$om#re Descri%cin&%en 'ource
Comercial
'istema
&%erativo
EnhancedVloop"ac=
6uplicado forense y utilizacin comodisco rgido
Apen source >inux
#ononerWs tool=it
inux
!he :leuth Iit Recuperacin de archivos "orrados Apen source >inux Pindos
Encase
#opiado comprimido de discos fuente
H?squeda y anlisis de m?ltiples partes
de archivos adquiridos
6iferente capacidad de almacenamiento
Larios campos de ordenamiento,
incluyendo estampillas de tiempo
Dnlisis compuesto del documento;irmas de archivos, identificacin y
anlisis
Dnlisis electrnico del rastro de
intervencin
:oporte de m?ltiples sistemas de archivo
Lista de archivos y otros datos en el
espacio @nallocated
0ntegracin de reportes
Lisualizador integrado de imgenes con
galera
#omercial Pindos
7/25/2019 Tesis Roberto Lopez Formato Ver1
31/43
$om#re Descri%cin&%en 'ource
Comercial
'istema
&%erativo
;orensic !ool Iit
)ermite principalmente analizar la
informacin relevada de un sistema.
BaneCo de imgenes de ;ile systems
Pindos 1inux 1ext/,
ext84 realizadas con Encase, :mart,
:nap"ac=, :afe"ac= y 664.
Dnlisis de archivos comprimidos
1inzip, p=zip, rar, gzip, tar4.
Dnlisis de correo electrnico,
0dentificacin de archivos tpicos del filesystem y programas, de evidencia,
hashsets, etc.
eneracin de reportes, acceso y
desencriptado de datos protegidos y de
registros.
#omercialPindos
>inux
)uente* 1Dcosta onzalo, /--(4
+erramientas de monitoreo yNo control de computadoras
En algunas ocasiones es necesario o"tener informacin acerca del uso que se ha tenido en
una determinada computadora, existen algunas herramientas que monitorean el uso de las
computadoras para poder o"tener informacin. Existen algunos programas simples como
=ey loggers o recolectores de pulsaciones de teclado, que guardan informacin so"re las
teclas que son presionadas hasta otros que guardan imgenes de la pantalla que ve el
usuario de la computadora, incluso existen algunos casos en los que la computadora se
controla de forma remota. 1Ascar >opez, /--/4
Ieylogger 1rem"ergen et al.4
Ieylogger es un eCemplo de herramientas de monitoreo yNo control de computadoras.Es
una herramienta que puede ser ?til cuando se quiere compro"ar actividad sospechosaG
guarda los eventos generados por el teclado, por eCemplo, cuando el usuario teclea la tecla
7/25/2019 Tesis Roberto Lopez Formato Ver1
32/43
de retroceder, esto es guardado en un archivo o enviado por email. >os datos que se
generan son complementados con informacin relacionada con el programa que tiene el
foco de atencin, con anotaciones so"re las horas y con los mensaCes que generan algunas
aplicaciones.
+erramientas de marcado de documentos
Estas herramientas ayudan en la recuperacin de documentos ro"ados, ya que 2marcan3 los
documentos y realizan una "itcora de accesos a ellos permitiendo sa"er al experto en
2forensics3 que acciones se realizaron so"re los archivos. 1Ascar >opez, /--/4
+erramientas de hardare 1Ascar >opez, /--/4
6e"ido a que el proceso de recoleccin de evidencia de"e ser preciso y no de"e modificar
la informacin, se han diseado varias herramientas como 60H: 2)orta"le Evidence
Recovery @nit3.
6ificultades del experto en 2forensics31Ascar >opez, /--/4
El investigador forense requiere de varias ha"ilidades que no son fciles de adquirir, es por
esto que el usuario normal se encontrar con dificultades como las siguientesG
. #arencia de softare especializado para "uscar la informacin en variascomputadoras.
/. )osi"le dao de los datos visi"les o escondidos, a?n sin darse cuenta.
8. :er difcil encontrar toda la informacin valiosa.
9. Es difcil adquirir la categora de 2experto3 para que el testimonio personal sea
vlido ante una corte.
5. >os errores cometidos pueden costar caro para la persona o la organizacin que
representa.
$. 6ificultad al conseguir el softare y hardare para guardar, preservar y presentar
los datos como evidencia.
(. ;alta de experiencia para mostrar, reportar y documentar un incidente
computacional.
7. 6ificultad para conducir la investigacin de manera o"Cetiva.
7/25/2019 Tesis Roberto Lopez Formato Ver1
33/43
*. 6ificultad para hacer correctamente una entrevista con las personas involucradas.
-. Reglamentacin que puede causar pro"lemas legales a la persona.
Es por esto que, antes de lanzarse a ser un investigador forense, se necesita "astante estudio
y experiencia, entre otras cosas, y si no se cumple con los requisitos, en caso de un
accidente es aconseCa"le llamar a uno o varios expertos.
'e!uridad forense en ne!ocios. (+ertolin, 200
En el m"ito de los negocios es muy frecuente el uso de 2forensics3 para identificar y
seguir la pista deG ro"osNdestruccin de propiedad intelectual, actividad no autorizada,
h"itos de navegacin por internet, reconstruccin de eventos, inferir intenciones, vender
ancho de "anda de una empresa, piratera de softare, acoso sexual, reclamacin de
despido inCustificado.
-uin utili/a la se!uridad forense. (+ertolin, 200
2;orensics3 es utilizada por un colectivo cada vez mayor de personas entre otrosG
>as personas que persiguen delincuentes y criminales. :e "asan en las evidencias
o"tenidas de la computadora y redes que el investigador sospecha y utiliza como
evidencia.
>itigios civiles y administrativos. >os datos de negocios y personas descu"iertos en
una computadora se pueden utilizar en casos de acoso, discriminacin, divorcio,
fraude, etc., o para meCorar la seguridad.
#ompaas de seguros. >as evidencias digitales descu"iertas en computadoras se
pueden utilizar para compensar costos 1fraude, compensacin a tra"aCadores,
incendio provocado, etc.X.
#orporaciones privadas. >as evidencias o"tenidas de las computadoras de los
empleados pueden utilizarse en casos de acosos, fraude y desfalcos.
)olicas que aplican las leyes. :e utilizan para respaldar rdenes de registro y
manipulaciones postincautacin.
#iudadanos privados. A"tienen los servicios de profesionales en 2forensics3 parasoportar denuncias de acosos, a"usos, despidos improcedentes de empleo, o para
meCorar la seguridad.
7/25/2019 Tesis Roberto Lopez Formato Ver1
34/43
)ases de la se!uridad forense1Hertolin, /--4
>as fases de 2forensics3sonG
. Ddquisicin o recogida de datos de evidencias. :e trata de o"tener posesin fsica o
remota de la computadora, todas las correspondencias de red desde el sistema y
dispositivos de almacenamiento fsico externo. :e incluye la autenticacin deevidencias, la cadena de custodia, la documentacin y la preservacin de evidencias.
2. 0dentificacin y anlisis de datos. 0dentificar que datos pueden recuperarse y
recuperarlos electrnicamente eCecutando diversas herramientas de 2forensics3. :e
realiza un anlisis automatizado con herramientas. El anlisis manual se realiza con
experiencia y formacin.
3. Evaluacin. Evaluar la informacin recuperada para determinar si es ?til para los
fines que se requieran.
. )resentacin de los descu"rimientos. )resentacin de evidencias descu"iertas de
manera que sean entendidas por cualquier persona no tcnica. )uede ser una
presentacin oral o escrita.
Dlgunas de las de"ilidades del proceso forense sonG
En el proceso de recogida de datos. :i se identifica una cadena de custodia o
recogida de datos incompleta.
En la fase de anlisis de datos. :i se utiliza una metodologa, formacin o
herramientas inadecuadas
En la fase de presentacin de los descu"rimientos. :i existe facilidad para sem"rar
la duda en los hallazgos presentados.:e trata entonces de actuar y explotar vulnera"ilidades en las tres reas.
7/25/2019 Tesis Roberto Lopez Formato Ver1
35/43
Retos de 2forensics31Hertolin, /--4
>a informacin y datos que se "uscan despus del incidente y se recogen en la
investigacin de"en ser maneCados adecuadamente. Estos pueden serG
. 1nformacin voltil.!antoG
a. 0nformacin de red. #omunicacin entre el sistema y la red.". )rocesos activos. )rogramas actualmente activos en el sistema.
c. @suarios logeados. @suarios y empleados que actualmente utilizan el sistema.
d. Drchivos a"iertos. >i"reras en uso, archivos ocultos, troyanosNroot=it cargados
en el sistema.
/. 1nformacin no voltil. :e incluye informacin, datos de configuracin, archivos del
sistema y datos del registro que son disponi"les despus del rearranque.
0ncidentes de seguridad 1)ino, /--(4
#uando se est a cargo de la administracin de seguridad de un sistema de informacin ouna red, se de"e estar familiarizado con las "ases de 2forensics3, esto en razn de que
cuando ocurre un incidente de seguridad, es necesario que dicho incidente sea reportado y
documentado a fin de sa"er qu es lo que ocurri.
7/25/2019 Tesis Roberto Lopez Formato Ver1
36/43
>a seguridad informtica puede ser dividida en seis componentesG
'e!uridad fsicaG es aquella que tiene relacin con la proteccin de la computadora
en si evitando cualquier tipo de dao fsico.
'e!uridad de datosG Es la que seala los procedimientos necesarios para evitar el
acceso no autorizado, permite controlar el acceso remoto de la informacin.
+ac4 u% recu%eracin de datos* )roporciona los parmetros "sicos para la
utilizacin de sistemas de recuperacin de datos y respaldos de los sistemas
informticos.
'e!uridad normativa* #onCunto de normas y criterios "sicos que determinan lo
relativo al uso de los recursos de una organizacin cualquiera. :e deriva de los
principios de legalidad y seguridad Curdica.
Anlisis forense* :urge como consecuencia de la necesidad de investigar los
incidentes de seguridad informtica que se producen en las entidades. )ersigue la
identificacin del autor y del motivo del ataque, igualmente trata de hallar la manera
de evitar ataques similares en el futuro.
>os incidentes de seguridad en un sistema de informacin pueden caracterizarse modelando
el sistema como un fluCo de mensaCes de datos desde una fuente, como por eCemplo un
archivo o una regin de la memoria principal, a un destino, como por eCemplo otro archivoo un usuario. @n incidente no es ms que la realizacin de una amenaza en contra de los
atri"utos funcionales de un sistema informtico.
7/25/2019 Tesis Roberto Lopez Formato Ver1
37/43
;ig. - #ategoras generales de incidentes1)ino, /--(4
#omo se puede o"servar en la figura anterior, los incidentes pueden ser clasificados en
cuatro categoras.
1nterru%cin. @n recurso del sistema es destruido o se vuelve no disponi"le. :e trata de un
ataque contra la disponi"ilidad.
1nterce%cin. @na entidad no autorizada consigue acceso a un recurso. Este es un ataque
contra la confidencialidad.
6odificacin. @na entidad no autorizada no solo consigue acceder a un recurso, sino que
es capaz de manipularlo. Es un ataque contra la integridad.
)a#ricacin. @na entidad no autorizada inserta o"Cetos falsificados en el sistema. Es un
ataque contra la autenticidad.
7/25/2019 Tesis Roberto Lopez Formato Ver1
38/43
;orensia en redes 1inda Lolonino, /--74
>a forensia en redes es un escenario aun ms compleCo, ya que es necesario comprender la
manera como los protocolos, configuraciones e infraestructuras de comunicaciones se
conCugan para dar como resultado un momento especifico en el tiempo y un
comportamiento particular. Esta conCuncin de pala"ras esta"lece un profesional que
entendiendo las operaciones de las redes de computadoras, es capaz de esta"lecer losrastros, los movimientos y acciones que un intruso ha desarrollado para concluir su accin.
D diferencia de la definicin de 2forensics3, este contexto exige capacidad de correlacin
de evento, muchas veces disyuntos y aleatorios, que en equipos particulares, es poco
frecuente.1#ano, /--$4
>as redes son conexiones de un gran volumen de trfico lo que las hace un verdadero reto
para los especialistas. Encontrar la herramienta adecuada para una situacin en especfico
puede ser difcil, ms no imposi"le. El tra"aCar con herramientas de 2netor= forensics3 es
un proceso compleCo pero hacen el tra"aCo ms fcil al automatizar la mayor parte de las
tareas de adquisicin de datos.
7/25/2019 Tesis Roberto Lopez Formato Ver1
39/43
Dpendice G Encuesta Realizada
7/25/2019 Tesis Roberto Lopez Formato Ver1
40/43
6ecanismos de identificacin autenticacin
/. %Existe un procedimiento de 0dentificacin y Dutenticacin'//. %Est "asado en contraseas'/8. %>as contraseas se asignan de forma automtica por el servidor'/9. %Existe un procedimiento de cam"io de contraseas'
Controles de acceso/5. %Existen controles para el acceso a los recursos'/$. %Existen ficheros de log o similares que registren los accesos autorizados y los
intentos de acceso ilcitos'/(. @na vez pasados los filtros de identificacin, %se han separado los recursos a los
que tiene acceso cada usuario'9irus
/7. %!iene cuentas de correo electrnico de 0nternet'/*. %!iene antivirus corporativo'8-. %)rotege su antivirus los correos electrnicos y la descarga de archivos va
Pe"'8. %Dctualiza regularmente el antivirus'8/. %+a tenido alguna vez pro"lemas con alg?n virus en su sistema'"lanes de se!uridad contin!encias
88. %:e ha ela"orado un plan de seguridad'89. %Existe un responsa"le o responsa"les que coordinen las medidas de seguridad
aplica"les'85. %Existe un plan de contingencias'8$. %Existe un presupuesto asignado para la seguridad en la empresa'8(. %:e ha ela"orado un plan de seguridad'
87. %:e han incluido en el mismo los aspectos relacionados con lascomunicaciones'8*. %Realiza el seguimiento del plan de seguridad personal de la empresa'9-. %Existe un contrato de mantenimiento en el que se priorice la seguridad y el plan
de contingencias'9. %6ispone de personal informtico involucrado directamente con la seguridad
informtica'Acceso a internet
9/. %Existe una poltica definida para los accesos a 0nternet'98. %:e ha explicado claramente a los tra"aCadores de la empresa'99. %Existe un acceso a 0nternet corporativo'95. %Est limitado el acceso por departamento yNo por usuario'9$. %Existen controles so"re las pginas accedidas por cada departamento o
usuario'9(. %Existen controles so"re intrusiones externas en nuestro sistema de
informacin'"rdida de informacin
7/25/2019 Tesis Roberto Lopez Formato Ver1
41/43
97. En el ?ltimo semestre %#untas veces ha sufrido de prdida de informacin'
a4 Benos de 5 veces "4 Entre 5 y - veces c4 Bs de - veces d4 a prdida de informacin fue un desencadenante para la prdida de recursos
monetarios'58. %6e ha"er perdido recurso monetario, aproximadamente cual fu el monto'
a4 menos de Y5--- "4 entre Y5--- y Y---- c4 entre Y---- y Y/---- d4ms de Y/----59. %#mo se llev a ca"o la recuperacin de datos'
a4
7/25/2019 Tesis Roberto Lopez Formato Ver1
42/43
Referencias
Dcosta onzalo, D. D., Rodriguez a"riel, Rossi Eduardo. 1/--(4. 0nformatica forense.
Drias #haves, B. 1/--$4. )anorama general de la informtica forense y de los delitos
informaticos en #osta Rica..nterSedes1 2evista de las Sedes 2egionales# 31/4,
959.Hertolin, K. D. 1/--4. :eguridad forense, tcnicas antiforenses, respuesta a incidentes y
gestin de evidencias digitales.
Hiles, :. 1/--94. 6igital forensics.4acker 4igscool174.
#am"r?n, B. H. 1/--*4.$nlisis Forense .nformtico1 $utomati/aci'n de procesamiento
de -videncia "igital. )aper presented at the Dutomatizacin de procesos en anlisis
forense informtico, Bontevideo.
#ano, K. K. 1/--$4. 0ntroduccin a la informtica forense. S.S,-5$S# 67#$9(8.
#asey, E. 1/--/4.4and8ook of computer crime investigation1 forensic tools and
tecnologyG Dcademic )r.
#erpa, K. K. 1/--*, 7NN/--4. %#omo prevenir la prdida de informacin' ZHlog dedicado
a temas de seguridad de informacion, proteccion de datos, seguridad de informtica,auditorias y peritaCes informaticos e informtica forense[. Retrieved from
httpGNNCcerpa."logspot.comN/--*N-*Ncomoprevenirlaperdidadeinformacion.html6avis, #., )hilipp, D., F #oen, 6. 1/--54.4acking exposed computer forensics1 secrets
9 solutionsG Bcra+ill As"orne Bedia.;isher, #. a. 1/--$4. Banage digital assets ith 0!0>G 0mprove product configurations and
service management.:ournal of "igital $sset 5anagement# ;14, 9-9*. doiG-.-5(Npalgrave.dam.8$9--(
;olgueras Barcos, D., Dlva !ello, K. #., RuizBezcua, H., F arcia #respo, D. 1/--4.6etection of :trategies in 0! Arganizations !hrough an 0ntegrated 0! #ompliance
Bodel..nternational :ournal of .,194, 9-55.
acenga, ;., #atersteel, D., !oleman, B., F !an, P.g. Por=ing )apers on 0nformation
:ystems Beasuring the )erformance of :ervice Arientated 0! Banagement.
>>1/-4.
alup, :. 6., F 6attero, R. 1/--4. D ;ive:tep Bethod to !une Mour 0!:B )rocesses.
.nformation Systems 5anagement# ;31/4, 5$$(. doiG
-.-7-N-57-58--8$75//-iovanni Ouccardi, K. 6. . 1/--$4. 0nformtica ;orense.
rem"ergen, P. L., +aes, :. 6., #atersteel, D., #usac=, H., Oealand, inda Lolonino, 0. R. 1/--4. ediscovery for dummies
http://jcerpa.blogspot.com/2009/09/como-prevenir-la-perdida-de-informacion.htmlhttp://www.expertlaw.com/library/forensic_evidence/computer_forensics_101.htmlhttp://jcerpa.blogspot.com/2009/09/como-prevenir-la-perdida-de-informacion.htmlhttp://www.expertlaw.com/library/forensic_evidence/computer_forensics_101.html7/25/2019 Tesis Roberto Lopez Formato Ver1
43/43
>inda Lolonino, R. D. 1/--74. Computer forensics for dummies.>opez, K. 1/--$4. %#?ales son los principales ru"ros de costos asociados a la seguridad de la
informacin en su organizacin' S.S,-5$S#85.>yle, K. 1/--4. Lerification of digital forensic tools.