Procesos y Evolución de La Informática Forense
Procesos y Evolución de La Informática Forense
Procesos y Evolución de La Informática Forense
PROYECTO DE INVESTIGACIN
PROCESOS Y EVOLUCIN DE LA
INFORMTICA FORENSE
PRESENTA:
ABARCA BRAVO MIGUEL MATEO
FONSECA OROZCO ROBERTO CARLOS
HINOJOSA ITURBE YESSENIA
RAMON GONZLEZ OSVALDO EMMANUEL
MAYO-AGOSTO 2015
Contenido
RESUMEN ............................................................................................. Error! Marcador no definido.
Palabras clave: .................................................................................. Error! Marcador no definido.
ABSTRACT ............................................................................................. Error! Marcador no definido.
Key Words: ....................................................................................... Error! Marcador no definido.
Planteamiento del problema ............................................................... Error! Marcador no definido.
Justificacin .......................................................................................... Error! Marcador no definido.
Introduccin ......................................................................................... Error! Marcador no definido.
Objetivo General .................................................................................. Error! Marcador no definido.
Marco Terico ...................................................................................... Error! Marcador no definido.
Antecedentes de la informtica forense ............................................. Error! Marcador no definido.
CONCEPTOS Y TERMINOLOGA. ........................................................... Error! Marcador no definido.
Anlisis Forense. .................................................................................. Error! Marcador no definido.
Seguridad Informtica.......................................................................... Error! Marcador no definido.
Medida de seguridad (Salvaguarda, defensa). ..................................... Error! Marcador no definido.
Ciencia Forense. ................................................................................... Error! Marcador no definido.
Informtica Forense. ............................................................................ Error! Marcador no definido.
Cmputo Forense. ................................................................................ Error! Marcador no definido.
Forense Digital...................................................................................... Error! Marcador no definido.
Delito Informtico. ............................................................................... Error! Marcador no definido.
Clasificacin de los delitos informticos. ............................................. Error! Marcador no definido.
Evidencia Digital. .................................................................................. Error! Marcador no definido.
Cadena de Custodia.............................................................................. Error! Marcador no definido.
Lnea de Tiempo. .................................................................................. Error! Marcador no definido.
Perfil de un Informtico Forense ......................................................... Error! Marcador no definido.
Principios de la Informtica Forense. .................................................. Error! Marcador no definido.
Principio de intercambio de Locard. ................................................ Error! Marcador no definido.
Objetivos de la Informtica Forense .................................................... Error! Marcador no definido.
Usos de la Informtica Forense ........................................................... Error! Marcador no definido.
Modelos Forenses. ............................................................................... Error! Marcador no definido.
Modelo DFRWS (Digital Forensic Research Workshop). .................. Error! Marcador no definido.
El modelo de Reith, Carr y Gunsch. .................................................. Error! Marcador no definido.
El modelo de Ciardhuain. ................................................................. Error! Marcador no definido.
RESUMEN
En los ltimos aos el desarrollo de las Tecnologas de la Informacin y las
Comunicaciones (TICs) han evolucionado y permiten que sean hoy cada vez ms
las personas que poseen acceso a las mismas. El presente documento de
investigacin pretende mostrar una panormica general de la informtica forense,
resaltando en primer lugar sus antecedentes, su importancia, sus objetivos y usos.
A continuacin se muestran algunos de los tipos de programas y herramientas
usadas por los investigadores forenses, as como los diferentes modelos que
existen para el proceso de investigacin criminal. Para finalizar, se presentan
algunas de las dificultades encontradas por los investigadores forenses en la
actualidad, y se muestran algunas referencias a casos de investigacin de la vida
real.
Palabras clave:
Anlisis forense, Evidencia digital, Delito informtico, Hacker, Modelo forense.
ABSTRACT
In recent years the development of Information Technology and Communications
(ICT) have evolved and allow them to be today more and more people have access
to them.
This research paper aims to show an overview of computer forensics, highlighting
first of its background, its importance, objectives and uses. Some of the types of
programs and tools used by forensic investigators as well as the different models
that exist for the criminal investigation process is. Finally, are some of the difficulties
encountered by forensic investigators today, and some references to research cases
from real life is.
Key Words:
Forensic Analysis, Digital Evidence, Computer Crime, Hacker, Forensic Model.
5
Justificacin
Para dar solucin a los delitos cibernticos surge la Informtica forense, es por ello
que la presente investigacin ayudar a conocer los procesos, procedimientos y
tcnicas que sta realiza, as como las consecuencias legales que conlleva el
realizar un delito informtico. Lo cual beneficiara a las organizaciones y usuarios a
evaluar sus polticas de seguridad y desarrollar estrategias que permitan minimizar
los riesgos ante un ataque.
Introduccin
Objetivo General
Objetivos especficos:
Marco Terico
El presente permitir conocer los conceptos bsicos necesarios, mismos que
ayudaran al entendimiento del desarrollo de la presente investigacin.
Por ende, se partir de la definicin de informtica forense o anlisis forense de
sistemas de informacin, con el fin de que se comprenda la importancia que tiene
este tipo de tcnicas en la actualidad dentro de la investigacin sobre algn delito
informtico y del cmo fue realizado por el atacante.
Posteriormente se describir a lo que se refiere la seguridad informtica, as como
la definicin de malware y sus principales variantes que pueden contribuir a la
propagacin y/o ayuda de algn ataque informtico. De igual manera, se
nombraran y describirn algunas medidas de seguridad que pueden tomar las
empresas/usuarios para prevenir algn tipo de ataque, al igual que algunos de los
delitos informticos ms comunes en la actualidad.
Finalmente, se hablara sobre la definicin de delito informtico los tipos en los que
se dividen los mismos, se definir a la cadena de custodia y se describirn los
principales puntos que debe de cumplir este conjunto de procedimientos para poder
implementarla en algn momento, poder usarla como prueba en un proceso judicial.
De igual manera se har mencin de algunos de los modelos de anlisis forense
para el proceso de investigacin digital.
Con este marco terico se podr comprender el desarrollo de la investigacin que
se detalla ms adelante.
10
d. 1858-1946.
Albert
Osborn
fue
la
primera
persona
en
desarrollar
11
CONCEPTOS Y TERMINOLOGA.
Anlisis Forense.
El anlisis forense en un sistema informtico es una ciencia moderna que permite
reconstruir lo que sucedi en un sistema tras un incidente de seguridad. Este
anlisis puede determinar quin, desde dnde, cmo, cundo y que acciones ha
llevado a cabo un intruso en los sistemas afectados por un incidente de seguridad.
(Rif Pous, Serra Riuz, & Rivas Lpez, 2009, pg. 9)
Seguridad Informtica.
Cualquier medida que impida la ejecucin de operaciones no autorizadas sobre un
sistema o red informtica, cuyos efectos puedan conllevar daos sobre la
informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir
el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al
sistema. (Bradley & Harlan, 2007, pg. 32)
Medida de seguridad (Salvaguarda, defensa).
Cualquier medio empleado para eliminar o reducir un riesgo. (Gmez Vieites,
2013, pg. 22)
Ciencia Forense.
La Ciencia Forense nace en China en el siglo VII, gracias al mdico Ti Yen Chien,
quien ayudaba a indagar causas de muerte y, de esta manera esclarecer algunos
crmenes ocurridos en aquella poca. l y sus colaboradores estudiaban la escena
del crimen, examinaban pistas y entrevistaban sospechosos. (Pulso digital, 2015,
pg. 2)
La Ciencia Forense es el proceso de emplear el conocimiento cientfico en la
recoleccin, anlisis y presentacin de evidencia ante la corte. La palabra forense
significa traer a la corte.
La forensia toma el conocimiento cientfico y los mtodos y los combina con los
estndares legales para el propsito de recuperar y presentar ante la corte, la
12
evidencia relacionada con un crimen (Nolan, O Sullivan, Branson, & Waits, 2005,
pg. 4)
Informtica Forense.
La ciencia de la Informtica Forense es la disciplina de adquirir, preservar,
recuperar y de presentar los datos que se han procesado y almacenado en medios
magnticos (Ciardhui , 2004, pg. 5).
McKemish define a la Informtica Forense como el proceso de identificar,
preservar, analizar y presentar evidencia digital de una manera que sea legalmente
aceptable (McKenlish, 1999, pg. 15).
Para el FBI, la Informtica Forense es la Ciencia de adquirir, preservar, obtener y
presentar datos que han sido procesados electrnicamente y guardados en un
medio computacional (Lopez, Amaya, & Leon, 2002, pg. 12).
La informtica forense busca encontrar y reconstruir un ataque informtico, con el
fin de obtener que datos que pudieron haber sido manipulados durante el mismo y
lograr identificar el origen del ataque, con el fin de poder remediar el dao realizado
por el atacante y poder capturarlo para poder realizar un proceso judicial contra l
(Ramirez Rivera, 2010, pg. 26).
Del concepto de Informtica Forense se derivan dos trminos ms que se
encuentran intrnsecamente relacionados, estos trminos son Cmputo Forense y
Forense Digital.
Cmputo Forense.
El Cmputo Forense puede definirse como la recoleccin y anlisis de datos de
sistemas de cmputo, de manera tal, que pueda ser admitida en un proceso legal.
Es decir, se trata de una fusin de las disciplinas informticas y la ley (Nolan, O
Sullivan, Branson, & Waits, 2005, pg. 6).
El cmputo forense se refiere a la aplicacin de diversas tcnicas y procedimientos
orientados a la recoleccin y preservacin de informacin digital para analizarla y,
potencialmente emplear como evidencia digital para determinar lo que ocurri en
un sistema informtica.
13
a.
Como fin u objetivo. En esta categora se encuadran a las conductas que van
Voltil
Annima
15
Posibilidad de duplicarse
Alterable y modificable
tratamiento de evidencias.
b.
agentes.
d.
16
Sin el conocimiento acerca del orden en que los eventos se presentaron, una
organizacin podra tener dificultades para conocer cmo se obtuvo acceso no
autorizado a sus sistemas. Sin una cronologa exacta, la aplicacin de la ley no
podra trazar un mapa de las acciones realizadas por el sospechoso (Eiland E.,
2006, pg. 4).
Perfil de un Informtico Forense
La base del informtico forense se fundamenta en la aplicacin de conocimientos
tcnicos y procedimientos legales, en las situaciones donde los sistemas han sido
vulnerados, usando los datos recopilados para generar una hiptesis de los hechos,
y sustentndolo con la evidencia recolectada (Littlejhon, 2002, pg. 196). El llegar
a desarrollar una investigacin en informtica forense exige del investigador
caractersticas y conocimientos que se describen a continuacin.
En base a las necesidades y exigencias que presentan hoy en da los sistemas
informticos se puede decir que un investigador en informtica forense debe poseer
las siguientes caractersticas:
del delincuente.
un
gran
nmero
de
principios
bsicos
que
son
necesarios
18
19
a.
Litigacin civil. Casos que tratan con fraude, discriminacin, acoso y/o
ayudar a las compaas de seguros a disminuir los costos de los reclamos por
accidentes y compensaciones.
d.
recolectar informacin en casos que tratan sobe acoso sexual, robo, mal uso o
usurpacin de informacin confidencial o propietaria, o an de espionaje industrial.
e.
Modelos Forenses.
Existen diversos modelos de anlisis forense para el manejo del proceso de
investigacin digital. El propsito de los modelos de investigacin digital, es
informar, formar y estandarizar las investigaciones digitales, algunos de los modelos
forenses son:
20
especfico del sistema debe ser claramente redefinido para cada investigacin
particular.
El sistema est representado por una tabla, que incluye columnas para la clase de
actividad y un rengln para la tcnica a seguir. Estas tcnicas pueden realizarse en
persecucin de las metas de la clase de accin asociada.
El modelo de Ciardhuain.
El modelo propuesto por Ciardhuain est basado en modelos previos, pero expone
una arquitectura de cascada aumentada. Las clases de actividad del modelo estn
doblemente ligadas, de manera que la bsqueda de trabajo en una clase de
actividad, puede causar una iteracin de algunos o todos los trabajos en las clases
de actividad anteriores. La inclusin de estructuras conocidas como flujo de
informacin permite una comprensin ms profunda de la fuente de evidencias y
otros datos. Este flujo debe estar definido sobre una base organizacional, pero
puede aplicarse a diferentes investigaciones dentro de la misma organizacin.
Errores en configuraciones
El caso de las configuraciones, ya sean del sistema operativo o de las aplicaciones,
tambin constituye un punto sensible, dado que por ms seguro que sea un
software, una mala configuracin puede tornarlo tan maleable como un papel. Un
22
Errores en protocolos
Otro problema, tal vez ms grave pero menos frecuente con el que podemos
enfrentarnos, es que los errores estn directamente en los protocolos. Esto implica
que, sin importar la implementacin, el sistema operativo, ni la configuracin, algo
que se componga de dicho protocolo podra verse afectado. El problema ms grave
es que un error en el diseo de uno implica que las situaciones sean potencialmente
incorregibles, y que deben realizarse modificaciones a distintos niveles para
resolverlo, incluyendo a veces su variacin total o parcial, o su reemplazo por otro
ms seguro. (Jara, pg. 51)
Malware.
Termino general para hacer referencia a una gran variedad de programas
maliciosos. Incluye amenazas como virus, gusanos, caballos de Troya, spyware y
otros.
Virus.
Cdigo malicioso que se reproduce y que modifica archivos.
Gusano.
Programa malicioso que se duplica as mismo, a diferencia de los virus, estos no
modifican archivos.
Caballo de Troya.
Programa malicioso disfrazado de aplicacin normal. Estos programas no se
duplican como lo hacen los virus, pero se pueden propagar como adjuntos a un
virus.
23
Rootkit.
Conjunto de herramientas y utilidades que puede utilizar un hacker para mantener
el acceso una vez haya pirateado un sistema.
Bot/Zombie.
Un bot es un tipo de malware que permite a un atacante conseguir el control total
sobre el ordenador afectado. (Bradley & Harlan, 2007, pgs. 30-40)
24
Hiptesis
25
Metodologa de Investigacin
La metodologa elegida para el tema de investigacin permitir enriquecer el
conocimiento y formular respuestas concretas a la problemtica planteada, ya que
esta se basa en el mtodo cualitativo-participativo.
Para establecer esta, se contemplan los cuatro principios propuestos por los autores
Jos Luis Rivas Lpez, Helena Rifa Pous, Jordi Serra Ruiz en su libro Anlisis
forense de sistemas informticos.1
Segn los autores mencionados se llevan a cabo las siguientes fases:
Realizacin del informe. En esta fase se elabora el informe que ser remitido
a la direccin de la organizacin o empresa. Posteriormente, se podr usar
para acompaar la denuncia realizada a la autoridad competente. (Rif Pous,
Serra Riuz, & Rivas Lpez, 2009)
26
EN LA INVESTIGACION
Recopilacin
Estudio preliminar
RESULTADOS ESPERADOS
anlisis
de
investigacin.
de
encuestas,
cuestionarios
entrevistas.
principales
Adquisicin de datos
seguridad,
deficiencias
virus
de
ataques
Anlisis e investigacin
intervienen en la aplicacin de un
de investigacin.
anlisis
dentro
de
las
organizaciones.
resultados
investigacin.
obtenidos
en
la
informe
detallado,
sobre
los
27
Conclusiones
De acuerdo a los resultados obtenidos de la investigacin, se concluye lo siguiente:
Existe una gran falta de cultura en cuanto a seguridad informtica por parte
de las organizaciones y usuarios.
28
Recomendaciones
29
Cronograma de Actividades
30
31
Calendarizacin de Actividades
32
33
No.
de
registro:
1. Tipo de informe:
Parcial:
1.0
Final:
tcnico:
Abarca Bravo Miguel Mateo
4. Nombre
de
los
colaboradores:
de
los
6. Resumen
En los ltimos aos el desarrollo de las Tecnologas de la Informacin y las
Comunicaciones (TICs) han evolucionado y permiten que sean hoy cada vez ms
las personas que poseen acceso a las mismas.
El presente documento de investigacin pretende mostrar una panormica general
de la informtica forense, resaltando en primer lugar sus antecedentes, su
importancia, sus objetivos y usos. A continuacin se muestran algunos de los tipos
34
8. Palabras clave
Anlisis forense, Evidencia digital, Delito informtico, Hacker, Modelo forense.
9. Introduccin
El presente trabajo de investigacin supone un acercamiento a la narrativa de la
informtica forense que desde ya hace varios aos ha sido de gran utilidad para
poder garantizar la integridad de los sistemas de informacin de las empresas y los
datos que estos contienen, el objetivo fundamental es saber que herramientas
utilizan los informticos forenses para poder evitar que estas intrusiones sean
35
36
Realizacin del informe. En esta fase se elabora el informe que ser remitido
a la direccin de la organizacin o empresa. Posteriormente, se podr usar
para acompaar la denuncia realizada a la autoridad competente. (Rif Pous,
Serra Riuz, & Rivas Lpez, 2009).
APLICACIN DE LOS
RESULTADOS ESPERADOS
PRINCIPIOS EN LA
PRINCIPIOS
INVESTIGACION
Recopilacin y anlisis Informar a la poblacin en general
de
referida
Estudio
al
tema
investigacin.
hasta el momento.
preliminar
Recolectar informacin Mostrar a la poblacin en general,
por
medio
encuestas,
principales
cuestionarios
Adquisicin
y seguridad,
entrevistas.
deficiencias
virus
de
ataques
de datos
fases
Anlisis
e enfocado
investigacin especficamente
anlisis
dentro
de
las
al organizaciones.
tema de investigacin.
37
Realizar
detallado
un
la investigacin.
relevantes
obtenidos
en
la
investigacin.
12.
Discusin
apoyan
contradicen
los
resultados,
proporcionando
las
referencias
bibliogrficas.
13.
Conclusiones
Existe una gran falta de cultura en cuanto a seguridad informtica por parte
de las organizaciones y usuarios.
14.
Referencias bibliogrficas
39
Bradley, T., & Harlan, C. (2007). Proteccin del PC y seguridad en internet. Anaya.
Carrier, B. (2003). Defining Digital Foresics Examination Analysis Tools.
Ciardhui , S. (2004). Key Research issues for forensics computing.
criminalistica.
(12
de
Mayo
de
2015).
Obtenido
de
http://www.criminalistica.com.mx/index.php/articulos-dinteres/548/delitos/informaticos
Dixon D., P. (2005). An overview of computer forensics. Institute of electrical and
electronics engineers E.U.
Eiland E., E. (2006). Time Line Analysis in Digital Forensics. New Mexico.
Fernndez Pleda, D. (2004). Informtica forense teoria y prctica. Sevilla.
Gmez Vieites, A. (2013). Enciclopedia de la seguridad informtica. Mxico: Ra-Ma.
Gmez, J., & Baos, R. (2008). Anlisis forense en sistemas windows. Mxico,
Departamento de seguridad en computo UNAM/CERT: Ra-Ma.
Gonzalo. (s.f.). Informtica forense. Buenos Aires y acosta, Argentina.
ISO/IEC. (s.f.). ISO/IEC 27001.
Jara, h. (s.f.). Ethical Hacking. Buenos Aires: Users.
Littlejhon, D. (2002). Perfil de un informatico Forense. En La escena del crimen
(pgs. 196-197).
Littlejohn, D. (2002). En Scene of the Cybercrime (pgs. 136-139). Syngress.
Lopez, O., Amaya, H., & Leon, R. (2002). Informtica forence generalidades,
aspectos tcnicos y herramientas.
McKenlish, R. (1999). What is forensics computing. Australian Institute of
criminology.
Nolan, R., O Sullivan, C., Branson, J., & Waits, C. (2005). First Responders Gide
to Computer Forensics. Carnegie Mellon University: Hanscom.
40
Pulso
digital.
(12
de
Mayo
de
2015).
Obtenido
de
http://www.pulsodigital.net/2008/09/cundo-surgi-la-frense.html
Ramirez Rivera, G. A. (2010). Informtica forense. Universidad san carlos de
guatemala.
Rif Pous, H., Serra Riuz, J., & Rivas Lpez, J. L. (2009). Anlisis forense de
sistemas informticos. eureca media.
Roger, C. (2003). Digital Forensics. Barcelona, Espaa: esCERT-UPC.
15.
Productos obtenidos
16.
Anexo
41
Investigacin externa
Nivel de revisin: 01
42
Referencias Consultadas
(24 de Junio de 2015). Obtenido de http://www.it-analysis.com/article.php?articleid
A. Ray, D., & G. Brandford, P. (2007). Models of Models Digital Forensics and
Domain-Specific Languages.
Bishop, M., & Peisert, S. (2008). Computer forensics in forensis. Institute of electrical
and electronics engineers E.U.
Bradley, T., & Harlan, C. (2007). Proteccin del PC y seguridad en internet. Anaya.
Carrier, B. (2003). Defining Digital Foresics Examination Analysis Tools.
Ciardhui , S. (2004). Key Research issues for forensics computing.
criminalistica.
(12
de
Mayo
de
2015).
Obtenido
de
http://www.criminalistica.com.mx/index.php/articulos-dinteres/548/delitos/informaticos
Dixon D., P. (2005). An overview of computer forensics. Institute of electrical and
electronics engineers E.U.
Eiland E., E. (2006). Time Line Analysis in Digital Forensics. New Mexico.
Fernndez Pleda, D. (2004). Informtica forense teoria y prctica. Sevilla.
Gmez Vieites, A. (2013). Enciclopedia de la seguridad informtica. Mxico: Ra-Ma.
Gmez, J., & Baos, R. (2008). Anlisis forense en sistemas windows. Mxico,
Departamento de seguridad en computo UNAM/CERT: Ra-Ma.
Gonzalo. (s.f.). Informtica forense. Buenos Aires y acosta, Argentina.
ISO/IEC. (s.f.). ISO/IEC 27001.
Jara, h. (s.f.). Ethical Hacking. Buenos Aires: Users.
Littlejhon, D. (2002). Perfil de un informatico Forense. En La escena del crimen
(pgs. 196-197).
Littlejohn, D. (2002). En Scene of the Cybercrime (pgs. 136-139). Syngress.
43
Lopez, O., Amaya, H., & Leon, R. (2002). Informtica forence generalidades,
aspectos tcnicos y herramientas.
McKenlish, R. (1999). What is forensics computing. Australian Institute of
criminology.
Nolan, R., O Sullivan, C., Branson, J., & Waits, C. (2005). First Responders Gide to
Computer Forensics. Carnegie Mellon University: Hanscom.
Pulso
digital.
(12
de
Mayo
de
2015).
Obtenido
de
http://www.pulsodigital.net/2008/09/cundo-surgi-la-frense.html
Ramirez Rivera, G. A. (2010). Informtica forense. Universidad san carlos de
guatemala.
Rif Pous, H., Serra Riuz, J., & Rivas Lpez, J. L. (2009). Anlisis forense de
sistemas informticos. eureca media.
Roger, C. (2003). Digital Forensics. Barcelona, Espaa: esCERT-UPC.
44
ANEXOS
45
Investigacin Interna
Ilustracin 3. Biblioteca Central de la UAEM, equipo de investigacin Mateo, Osvaldo, Carlos, Yessenia, Edith
(De izquierda a derecha).
46
Investigacin externa
47
Investigacin directa
Ilustracin 9. Entrevista directa con el director General Guillermo Hernndez de la Empresa Hackz Corp.
48