INFORMATICA FORENSE

PERICIAS INFORMATICAS
Ingeniero en Sistemas
Informticos
Eduardo J. Piro

Temas a desarrollar

Aseguramiento de pruebas informticas Constataciones

notariales y judiciales Cmo peticionar las medidas
Cmo constatar una pgina WEB.
Pruebas periciales informticas Obtencin de evidencias y
cmo resguardarlas. Tcnicas de hashing Medidas de
seguridad.
Mails El mail como prueba mbito de aplicacin de la
ley de delitos informticos Autenticacin de mails.
Polticas de uso de herramientas informticas. Cuentas de
usuarios Contraseas Polticas de confidencialidad.
Licenciamiento de Software Intimaciones.

Pericias Informticas - Introduccin

El peritaje informtico, las tcnicas informticas utilizadas en la

obtencin de datos tiles que, potencialmente, podran convertirse
en evidencia o prueba en un proceso judicial.

El campo de la pericias informticas involucra la identificacin,

extraccin, documentacin y preservacin de la informacin
almacenada o transmitida de forma electrnica o magntica (o sea,
evidencia digital).

Dado que este tipo de evidencia es intangible y puede ser

fcilmente modificada sin dejar rastros, la evidencia digital debe ser
manejada y controlada cuidadosamente.

Informtica Forense - Metodologas

Las tres A:
Adquirir evidencia sin modificaciones o
corrupciones
Autenticar que la evidencia recuperada
es la misma que la que originalmente se
incauto
Analizar los datos sin ninguna alteracin

Proceso de investigacin
Identificacin (detectar los eventos o delitos)
Recoleccin (recuperar datos, recolectar evidencia)
Preservacin (almacenar/conservar, cadena de

custodia, documentacin)

Examen (rastrear, filtrar, extraer datos ocultos)

Anlisis (analizar la evidencia)
Presentacin (reporte de investigacin)
Decisin (dictamen)

Pericias Informticas
Para que una pericia informtica cumpla con la finalidad por la cual fue solicitada en un
juicio, los que la solicitaron, deben tener en cuenta que tienen que cumplir con
algunas caractersticas especficas:

Tiene que derivarse de un proceso que sea vlido legalmente, la coleccin

de datos a brindarle al perito, para que este los verifique en el proceso pericial.

Al ser tan sofisticada y con desarrollos y modificaciones constantes, la informtica,

debe preverse que los archivos necesarios para resolver el problema deben
ser resguardados manteniendo determinados requisitos, ya que de no
efectuarse de sta manera, puede quedar contaminada la evidencia.

No siempre es verificable y se puede demostrar cabalmente una situacin ocurrida

por medios informticos, por lo cual todas las evidencias, por ms
insignificantes que parezcan deben resguardarse.

Aseguramiento de pruebas

Ante la posibilidad de desaparicin de determinados elementos probatorios durante el

transcurso del proceso, es necesario que stos queden adquiridos antes de que ese
riesgo se produzca.

El hecho de que se solicite una medida cautelar, se justifica por el denominado peligro
en la demora, ya que el futuro demandado con solo apretar una tecla del equipo
de sus computadoras hara desaparecer todos los archivos o mails que se
encuentren almacenados en sus computadoras.

En caso de no efectuarse la constatacin judicial -mediante una medida cautelarpodran darse supuestos de imposibilidad y/o frustracin de pruebas.

CELERIDAD en obtencin de la prueba

Aseguramiento de pruebas

Cmo obtenemos la prueba?

Se deber analizar cada caso en particular
Medidas cautelares judiciales (perito de oficio) o
Constataciones Notariales (perito de parte. El
escribano slo deja constancia de sus
manifestaciones)

Aseguramiento de pruebas

Puntos periciales
Terminologa tcnica a utilizar
Ser muy precisos / concretos / puntuales con lo que
solicita (ejemplo)
Saber que tipo de hardware (computadoras, servidores,
etc) y software (sistemas operativos, aplicaciones, etc)
se utilizan
Asesorarse por un profesional informtico
Costos de los elementos necesarios (discos rgidos,
software,etc)
Error muy comn de solicitar pericial contable

Aseguramiento de pruebas: Solicita

Que a vengo solicitar que si las computadoras en las cuales
constan los datos pedidos requieran algn tipo de
contrasea, y la misma no fuera suministrada, o las
computadoras no estuvieran funcionando o por cualquier
motivo no pudiera accederse a los archivos o documentos
requeridos deber realizarse una copia completa o
secuestrarse el o los discos rgidos de aquellas, previo a
ser embalados y precintados, colocada una faja de
seguridad firmada por el Sr. Oficial de Justicia,
nombrndose un depositario judicial y se fijar da y hora
para abrirla, autorizndose a la empresa XXXX a nombrar
un delegado tcnico que controle la pericia.

Constatacin de Pginas Web

ISP (Proveedor de Servicios de Internet)

Direccin IP pblica
Comandos ping / tracert / nslookup
NIC (Dominios) Hosting (IP de la pgina)
Impresin
Grabacin en medio magntico u ptico
Cdigo fuente
Cuidados con los proxy server

Qu es una direccin IP?

Las direcciones IP (Internet Protocol) son un nmero

nico e irrepetible con el cual se identifica un
dispositivo (generalmente una computadora)
conectado a una red que corre el protocolo TCP/IP.
Una IP es un conjunto de cuatro nmeros del 0 al
255 separados por puntos. Por ejemplo,
200.36.127.40
Hay casi cuatro mil trescientos millones de
direcciones IP posibles.

Qu es una direccin IP? Clasificacin

Clases: A, B o C
(10.0.0.0 / 172.16.0.0 / 192.168.0.0 )

Pblicas o Privadas
Estticas (Fijas) o Dinmicas
La IP identifica a ese dispositivo unvocamente y
puede permanecer invariable en el tiempo o cambiar
cada vez que se reconecte a la red. Una direccin IP
es esttica cuando no vara, y es direccin IP
dinmica cuando cambia en cada reconexin.

Qu es una direccin IP? Clasificacin

Por lo general los servidores (computadoras) que
alojan sitios web poseen direcciones IP fijas, de esta
manera son identificables en todo momento, con
facilidad y, especialmente, de forma nica. Por
ejemplo, nosotros podramos acceder a un sitio web
especfico con cualquier navegador sabiendo su
direccin IP, pero recordar tantos nmeros es
complicado y difcil de manejarlos; por lo tanto se
usan direcciones ms sencillas como podra ser
miempresa.com.ar. Dicha direccin est asociada a
una direccin IP y permite as identificar qu
servidor es el encargado de mostrarnos este sitio.

Hashing
Qu es hashing? El hashing es una tcnica que consta de
datos de entrada, una funcin hash y un cdigo de salida.
Esta funcin calcula un cdigo especfico para los datos de entrada
(ejemplo toda la informacin contenida en el disco rgido). El valor
calculado puede parecer aleatorio, pero no lo es, ya que las
operaciones para obtener el cdigo de salida son siempre las
mismas.
La funcin hash asocia siempre la misma salida para una
entrada determinada. Por consiguiente cualquier variacin
realizada en los datos del disco sera detectada porque el
cdigo hash resultara diferente.

Hashing

hash(Mara) = 1082358727484

Ejemplo de herramientas: md5

El hash es la nica manera de preservar la

integridad de la informacin para saber si
el contenido fue modificado.

prueba

Secuestros de equipos o discos

Los equipos secuestrados pueden contener informacin o datos
trascendentales o muy importantes. Su prdida o modificacin puede
causar daos irreparables al dueo de los equipos. Adems no es
necesario secuestrar todo el equipo, con solo hacer una copia de los
discos rgidos de los mismos se obtiene la evidencia para su posterior
anlisis y se evita posibles roturas de los equipos.
Como se debe realizar un secuestro de un equipo, PC o notebook:

Realizar una copia bit-stream del o los discos rgidos que contienen los equipos.
De esta manera se preserva la informacin contenida por una posible prdida o
dao provocado por el traslado de los mismos.
Se debera obtener de cada disco el hash. De esta manera se preserva la
integridad de la informacin contenida para saber si el contenido fue
modificado.

Cuidados en el embalaje y precintado.

Secuestros de CDs / DVDs

Acta. Tambin se procede al secuestro de diecinueve (19) CD-R
conteniendo programas apcrifos de Microsoft y dos (02)
leyendas con Nro de Series de Windows.

NO se constat el contenido o los datos almacenados en los

CDs. No se realizaron impresiones del contenido. No sabemos
como determinan que contienen programas apcrifos.
NO se deja constancia ni de la marca ni de los nmeros de
serie de los CDs secuestrados.
NO se realiz el hash de cada CD.
NO se tuvieron cuidados en el embalaje y precintado.

Resguardo fsico de la prueba

Consideraciones a tener en cuenta en el momento de un
aseguramiento de pruebas

Cuando se van a realizar grabaciones se deben utilizar dispositivos nuevos

(embalaje original cerrado). CDs, pendrives, rgidos, etc.

Se deben separar las personas que trabajen sobre los equipos informticos lo
antes posible y no permitirles volver a utilizarlos. Desconectar equipos de la red.

Fotografiar la pantalla / equipo / ubicacin. Fotografiar una toma completa del

lugar donde se encuentren los equipos informticos.

Hacer una imagen de los discos del equipo para preservar la integridad de los
originales y comprobar la integridad de la imagen para asegurarse de que la
misma sea exacta.

Resguardo fsico de la prueba

Consideraciones a tener en cuenta en el momento de un
aseguramiento de pruebas

Apagar el sistema de una forma segura, de acuerdo con el sistema operativo

que utilice. Para evitar la destruccin de archivos se recomienda que se
desenchufe el equipo directamente, sin realizar la operacin de cierre. Tambin
para evitar programas de autodestruccin o borrado. Si son notebooks es
necesario quitarles la o las bateras.

Transportar las piezas sensibles en una bolsa antiesttica y asegurarse de

mantenerlas alejadas de fuentes de calor y electromagnticas. Si no se cuenta,
pueden utilizarse bolsas de papel madera. Evitar el uso de bolsas plsticas, ya
que pueden causar una descarga de electricidad esttica que puede destruir los
datos.

Los elementos informticos son frgiles y deben manipularse con cautela.

Resguardo fsico de la prueba

Consideraciones a tener en cuenta en el momento de un
aseguramiento de pruebas

Tomar las medidas necesarias para resguardar la informacin voltil (la contenida en
almacenamientos temporales, tales como memoria RAM, memoria cach,etc.) Una vez
que el equipo o dispositivo se apaga la informacin contenida en este tipo de
almacenamiento se destruye.

Precintar cada equipo informtico en todas sus entradas elctricas y todas las partes
que puedan ser abiertas o removidas.

Identificar correctamente toda la evidencia. Rotular el hardware con los siguientes

datos:
Para computadoras, notebooks, palms, celulares, etc.: N del Expediente Judicial,
Fecha y Hora, Nmero de Serie, Fabricante, Modelo.
Para DVDs, CDs, Diskettes, discos Zip, etc: almacenarlos en conjunto en un sobre
antiesttico, indicando N del Expediente Judicial, Tipo (DVDs, CDs, Diskettes,
discos Zip, etc.) y Cantidad, marca y nro de serie.

LOG
Que es un log? Es un archivo que registra
movimientos y actividades de un
determinado programa y es utilizado como
mecanismo de control y estadstica. Es un
registro de eventos durante un periodo de
tiempo en particular. Es usado para registrar
datos o informacin sobre quien, que,
cuando, donde y por que un evento ocurre
para un dispositivo en particular o aplicacin.

Indexdat

Correo electrnico Tipos de servidores

El SMTP (Simple Mail Transfer Protocol) es el proceso de transferencia de archivos

ms usado y utiliza TCP/IP como medio de transporte, abre una conexin con el
destino, le informa al otro servidor para quin es el mensaje y lo transfiere. Es el
servidor de correo saliente.

El POP es un protocolo que est diseado para permitir al usuario, de manera

personalizada, leer el correo electrnico almacenado en un servidor.

Con las cuentas POP3, el usuario tiene control fsico de sus archivos de correo y
puede bajar ese correo a travs de un cliente del tipo Outlook. Tambin suelen
tener asociado un servicio de webmail, que permite chequear la casilla de correo
desde cualquier computadora. Hay incluso sitios que permiten hacer esto desde el
browser, ingresando la direccin de e-mail y la contrasea para acceder a ella.

Esto es diferente de las cuentas IMAP (Interactive Mail Access Protocol), en donde
su correo siempre permanece en el servidor. Un ejemplo de IMAP. sera algo como
el Hotmail, donde el usuario se conecta a travs de un buscador. La diferencia con
las POP3 es que los mensajes se almacenan en las unidades del servidor y no en las
del usuario.

Correo electrnico - Clasificacin

Mails pagos y gratuitos

Mails POP3 y Webmail (IMAP)

Mails con dominio propio y sin dominio propio

Clientes de correo

Outlook (.pst)
Outlook Express (.dbx)
Windows Live Mail

Como Preconstituir pruebas con correo electrnico

La mejor prueba de que se envo un mail, es que el destinatario

nos conteste el mismo mail, en el cual recibimos por lo general el
texto original en la parte inferior del mismo en nuestra bandeja de
entrada constituyndose en una especie de acuse de recibo.
Configurar el programa de correo para que solicite confirmacin de
la recepcin del mensaje, para lo cual deberamos archivar con
fines probatorios, tanto el mensaje enviado, como la confirmacin
de recepcin y lectura del mensaje, que son dos mails diferentes.

La Parte negativa de este mtodo, es que la solicitud de

confirmacin de correo puede no ser aceptada a propsito por el
receptor del mail

Como Preconstituir pruebas con correo electrnico

Si existen otros mensajes de datos, esto podr ser

utilizado para indicar autora y uso de una cuenta
determinada.
Incluir en los contratos la validez de notificaciones
va correo electrnico identificando las cuentas de
correo determinadas para que contractualmente se
reconozca la identidad del usuario de la cuenta de
correo.

Autenticidad de un mail
Debemos analizar cada caso en particular
Cmo podemos saber si un mail es autntico o
desde que PC fue enviado?
Por medio de los llamados
encabezados de Internet

Correo electrnico Encabezados de Internet

Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: (qmail 16943 invoked from network); 25 May 2008 23:23:58 -0000
Received: from unknown (HELO postino2.prima.com.ar) (200.42.0.133)
by cumeil14.prima.com.ar with SMTP; 25 May 2008 23:23:58 -0000
Received: (qmail 31787 invoked by alias); 25 May 2008 23:23:58 -0000
Delivered-To: [email protected]
Received: (qmail 31778 invoked from network); 25 May 2008 23:23:57 -0000
Received: from blu0-omc1-s14.blu0.hotmail.com (65.55.116.25)
by postino2.prima.com.ar with SMTP; 25 May 2008 23:23:57 -0000
Received: from BLU134-W16 ([65.55.116.9]) by blu0-omc1-s14.blu0.hotmail.com with Microsoft
SMTPSVC(6.0.3790.3959); Sun, 25 May 2008 16:23:55 -0700
Message-ID: <[email protected]>
Return-Path: [email protected]
Content-Type: multipart/alternative;
boundary="_c86d9dff-9a67-4ff8-8763-8ec1614119c6_"
X-Originating-IP: [190.189.0.140]
From: "Ing. Eduardo Piro" <[email protected]>
To: Eduardo Piro <[email protected]>
Subject: Esto es una prueba
Date: Sun, 25 May 2008 23:23:55 +0000
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 25 May 2008 23:23:56.0034 (UTC) FILETIME=[66F33E20:01C8BEBE]

Caractersticas necesarias para la admisibilidad y eficacia

probatoria del documento electrnico

Inalterabilidad. Debe revestir el carcter de permanente. El temor sobre la

posibilidad de reutilizacin de los soportes informticos disminuye su seguridad y
confiabilidad.

Autenticidad e integridad. Un documento es autntico cuando no ha sufrido

alteraciones tales que varen su contenido.

Durabilidad. Se refiere al soporte. Que sea estable en el tiempo, y que no pueda ser
alterada por una intervencin externa sin dejar huella.

Identidad de las partes autoras de los mensajes. La firma como elemento de

seguridad documental.

Ley de firma digital, firma electrnica y documento digital. Se sancion la ley 25506 de
Firma Digital, necesaria para validar la autenticidad, integridad y el no repudio del llamado
documento electrnico, reglamentada en decreto 2628/2002.
Uno de los aspectos ms trascendentes es la equiparacin entre "firma manuscrita" y
"firma digital". El art. 3 reza textualmente: "Cuando la ley requiera una firma manuscrita,
esa exigencia tambin queda satisfecha por una firma digital. Este principio es aplicable a
los casos en que la ley establece la obligacin de firmar o prescribe consecuencias para su
ausencia".

Vinculacin a lo Laboral Seguridad Informtica

QUE ES SEGURIDAD DE LA INFORMACION

La seguridad informtica consiste en asegurar todos los
recursos informticos (material fsico e informticos,
programas, etc.) de una organizacin de la manera que
se decidi en las polticas y que el acceso a la
informacin solo sea posible a las personas que se
encuentre acreditadas y que estn dentro de los limites
de autorizacin.
No es lo mismo seguridad, auditoria o pericias informticas.
Un experto en seguridad no lo es en pericias.

Vinculacin al Derecho Laboral Factores de control

1) Disponibilidad de la informacin: La disponibilidad implica que la

informacin debe ser accesible en todo momento para aquellos que estn
expresamente autorizados. Los controles que aseguran la disponibilidad de
la informacin son polticas y procedimientos de respaldo, planes de
contingencia, tecnologas de redundancia y alta disponibilidad.
2) Integridad de la informacin: La informacin debe mantenerse
protegida de modificaciones no autorizadas tanto de usuarios como
procesos autorizados como no autorizados, de tal manera que sea
consistente tanto externa como internamente. Los controles que permiten
mantener la integridad de la informacin son sistemas antivirus, registros
de auditora (logs), softwares de encripcin y desencripcin, etc.
3) Confidencialidad de la informacin: Implica que solo aquellos
usuarios o procesos explcitamente autorizados acceden a los activos de
informacin cuando ellos lo requieran. Algunos controles y tecnologas que
se pueden mencionar son: firewalls, listas de control de acceso, etc.

Ley 26388: Delitos Informticos

Ahora, el Cdigo Penal contempla los siguientes tipos de delitos:

Distribucin y tenencia con fines de pornografa infantil

Violacin de correo electrnico
Acceso ilegtimo a sistemas informticos
Dao informtico y distribucin de virus
Dao informtico agravado
Interrupcin de comunicaciones
Esta Ley NO regula el Spam que ya era ilegal bajo el art. 27 de la Ley
25.326 de Habeas Data. Eventualmente un envo masivo de correos
que obstruya un sistema informtico podra llegar a ser considerado
como delito (interrupcin de comunicaciones).

Ley 26388: Delitos Informticos

Ser reprimido con prisin de quince (15) das a seis (6) meses el que abriere
o accediere indebidamente a una comunicacin electrnica, una carta, un
pliego cerrado, un despacho telegrfico, telefnico o de otra naturaleza, que no
le est dirigido; o se apoderare indebidamente de una comunicacin
electrnica, una carta, un pliego, un despacho u otro papel privado, aunque
no est cerrado; o indebidamente suprimiere o desviare de su destino una
correspondencia o una comunicacin electrnica que no le est dirigida.
En la misma pena incurrir el que indebidamente interceptare o captare
comunicaciones electrnicas o telecomunicaciones provenientes de cualquier
sistema de carcter privado o de acceso restringido. La pena ser de prisin
de un (1) mes a un (1) ao, si el autor adems comunicare a otro o publicare el
contenido de la carta, escrito, despacho o comunicacin electrnica. Si el
hecho lo cometiere un funcionario pblico que abusare de sus funciones,
sufrir adems, inhabilitacin especial por el doble del tiempo de la condena.

Vinculacin al Derecho Laboral - Login

Cada usuario de un sistema se identifica con un nombre o
palabra nico. Esta palabra o nombre desde el punto de vista
tcnico es denominado Login, el cual, es como una especie de
pseudnimo electrnico.
La asignacin de logins para cada usuario, tiene la finalidad de
poder identificar quien, como, donde y cuando se realizaron
actividades en un sistema, lo cual es fundamental a la hora de
establecer responsabilidades sobre hechos jurdicos informticos
El reconocimiento por escrito de la asignacin de logins de
usuario, establece la conexin entre la identidad legal del usuario y
la identidad electrnica o virtual, facilitando las dems pruebas de
los hechos jurdicos informticos.

Vinculacin al Derecho Laboral

Acuerdos de confidencialidad

Login (responsabilidades sobre el uso de mi cuenta de usuario)

No divulgar cualquier informacin, guardar absoluta reserva
Toda informacin a la que se acceda es de propiedad de la Organizacin
Se considera informacin confidencial (procedimientos, rutinas, cdigos
fuentes, e-mail, archivos electrnicos, programas, sistemas, software,
documentos en cualquier soporte, etc.)

Normativa sobre la utilizacin de los recursos

Correo electrnico (mensajes con sexo, racismo, creencias, etc., correos

masivos, cadenas, etc.)
USB o Diskettes (infectar con virus, copia de informacin, etc)
Internet (descargas, virus, navegacin excesiva, pginas desconocidas,
juegos, facebook, msn, etc.)
Telefona fija y mvil (duracin conversaciones, mensajes de texto, etc)

Vinculacin al Derecho Laboral Recomendaciones

Utilizar los recursos nicamente para fines laborales.

Toda informacin almacenada y/o transmitida utilizando los equipos u
otros medios provistos por la Empresa, es propiedad de sta y est
sujeta a revisin y/o control en cualquier momento.
El correo electrnico podr ser archivado para futuras referencias o
destruido a discrecin del administrador.
Dejar en claro que todas las actividades de los usuarios en los sistemas
pueden ser monitoreadas y auditadas.
Se recomienda utilizar cuentas de correo por funciones o sectores:
[email protected], info, ventas, administracin, etc.
Las funciones de cada dependiente en el rea de informtica (como en
el resto de las reas), deben estar claramente estipuladas y definidas, y
los equipos deben ser de uso restringido a uno solo, por perodo de
tiempo, de forma tal que quede evidente quien es el responsable
cuando ocurre un incidente.

Constataciones de Software

Software legal
Intimaciones:

BSA (Business Software Alliance)

Mail
Telefnicas
Correo
Auditoras

Aseguramiento de pruebas / Orden de allanamiento

Microsoft

mbito penal y civil

Licenciamiento de software

Tener adquiridas licencias no implica de tener en regla

o licenciados los equipos
Evitar multas por desinstalacin de software
Realizar una auditora de los equipos / servidores
Asesorarse por especialistas en licenciamiento

Que tipo de licencias conviene adquirir (OEM / OLP / etc)

Utilizacin de software libre (Linux / OpenOffice / etc)
Limpieza de los equipos (temporales, log, registro de windows)
Busqueda de instaladores, cracks, keygen, seriales, etc.
Papelera en orden

INFORMATICA FORENSE
PERICIAS INFORMATICAS
Ing en Sistemas Informticos
Eduardo J. Piro
www.ejpinformatica.com.ar
[email protected]
Cel: 156911550

Preguntas