PROCEDIMIENTOS

GENERALES DE
INFORMATICA FORENSE
MsC. Ing. Oscar Ernesto Rodriguez Alfaro
ORGANIZACIÓN DEL CURSO

Unidades :
Unidad I: Definición de Informática Forense
Unidad II: Forense Procedimientos Generales
Unidad III: Seguimiento al Proyecto de Especialidad
 Del disco flexible a la
nube: pasado, presente
y futuro de la
Informática Forense
DEFINICIONES DE INFORMATICA FORENSE

4
DEFINICION DE INFORMATICA FORENSE

“ Es la ciencia de adquirir , preservar ,

obtener y presentar datos que han
sido procesados electronicamente y
almacenados o transmitidos a través
de un medio informático”

EVIDENCIA
INFORMATICA
5
INFORMATICA FORENSE, DEFINICION Y OBJETIVO

• La Informática Forense es una disciplina

criminalística que tiene como objeto la
investigación en sistemas informáticos de
hechos con relevancia jurídica o para la simple
investigación privada.
• Para conseguir sus objetivos, la Informática
Forense desarrolla técnicas idóneas para ubicar,
reproducir y analizar evidencias digitales con
fines legales. 6
 Muchas son las definiciones de informática forense que
podemos encontrar en gran número de publicaciones,
pero todas ellas de una manera u otra hacen hincapié en
unos puntos esenciales; así, de una forma simple,
podríamos definir la informática forense como un
proceso metodológico para la recogida y análisis de los
datos digitales de un sistema de dispositivos de forma
DEFINICION que pueda ser presentado y admitido ante los tribunales.
DE INFORMATICA De la definición vemos que se trata de un proceso,
FORENSE técnico y científico, que debe estar sujeto a una
metodología, tendente primero a la recogida y después
al análisis de los datos digitales que se pueden extraer
de un sistema o conjunto de dispositivos informáticos o
electrónicos, y todo ello con el propósito de ser
presentados ante un tribunal. El fin último y principal
objetivo que se deduce de la palabra forense, es su uso
en un procedimiento judicial.
INFORMATICA FORENSE: AMBITO DE ACTUACION

Todo hecho en el que un sistema

informático esté involucrado, tanto si es el
fin o un medio, puede ser objeto de estudio
y análisis, y por ello, puede llevarse a juicio
como medio probatorio.

8
 LAS CIENCIAS FORENSES
✔ CRIMINOLOGIA : Ciencia que estudia el comportamiento de los
criminales

✔ CRIMINALISTICA : Apoyo de la ciencia y tecnología en la resolución de

un Hecho –
Ciencias Forenses :
✔ Medicina Forense
✔ Quimica Forense
✔ Psicología Forense
✔ Balística Forense
✔ Mecánica Forense
✔ Arquitectura Forense 9
INFORMATICA FORENSE : PRINCIPIOS

• Adherirse a estándares legales

• Formación específica en técnicas forenses
• Investigación debe ser“Forensicallysound”
• Obtener Permisos:
• Investigación/ recolección evidencias
• Monitorizar uso de ordenadores
• ControldeEvidenciasDigitales
• Cadena de Custodia

10
 • Estafas y fraudes utilizando
como medio una
computadora
• Delitos de simulación de
DELITOS CON TI Vs. identidad
DELITOS • Violación de acuerdos de
INFORMATICOS confidencialidad
• Infracción a la ley de
propiedad intelectual
• Amenazas 11
INFORMATICA FORENSE : BREVE HISTORIA

Agosto 1986.- Caso Iran-Contras

• Tte. Coronel Oliver North escribió unos correos electrónicos
que le involucraban en el caso.
• Borro los correos de su ordenador.
• No se percató que se hacían copias de respaldo de sus
mensajes.
Los mensajes se recuperaron de los servidores de respaldo

CULPABLE

12
 INFORMATICA FORENSE : BREVE HISTORIA

1991.- Caso Guttman

• La esposa de Guttman apareció muerta con una nota de suicidio
sin firmar, escrita por ordenador con una impresora matricial
• El ordenador de Guttman NO contenía rastros del documento
• Guttmanteníaunaamante.
• Se registró la casa de la amante.
• Encontraron un disco flexible de51⁄4 cortado en pedazos
• Se reconstruyó físicamente el disco y se recuperaron los datos
con un programa llamado Anadisk
CULPABLE

13
 INFORMATICA FORENSE : BREVE HISTORIA

1995.- Caso MITNICK

• Kevin Mitnick fue detenido en 1995 después de tres años de
persecuciones por parte del FBI.
• Ya se le había procesado en 1981, 1983 y 1987 por diversos
delitos electrónicos.
• Se le acusó de haber entrado en algunos de los ordenadores
más seguros de EE.UU.
• Se le pudo atrapar gracias a la participación de un experto
académico en seguridad.
• Se le condenó a no hacer llamadas telefónicas durante su
encarcelamiento CULPABLE
• Fue puesto en libertad en 2002 .
• La comunidad hacker le considera un ¿HÉROE? 14
NORMAS FUNDAMENTALES DE INFORMATICA FORENSE

1. Preservar la evidencia original

2. Establecer y mantener la Cadena de Custodia
3. Documentar todo hecho
4. NO EXTRALIMITARSE
• Conocimientos personales
• Leyes, Normas , Procedimientos

• Riesgos:
Corromper evidencias No admitirse en juicio

15
INFORMATICA FORENSEA : OBJETIVOS DEL PROCESO

• Identificar las posibles fuentes disponibles

• Recoger diferentes tipos de evidencia
• Analizar las evidencias encontradas
• Confirmar por pruebas cruzadas

– Así se establecen las bases para Probar que se han

cometido actos deshonestos o ilegales

16
 LAS CIENCIAS FORENSES

PRINCIPIOS BASICOS DE
CRIMINALISTICA :
✔ El Fruto del Arbol Envenenado :Todo análisis
obtenido de un elemento alterado se considera nulo.
(Fundamental para la recolección de evidencia)

✔ Principio de Intercambio de Locard : Cada

Contácto deja un rastro. (Fundamental para el análisis de
evidencia)

17
 PRINCIPIO DE INTERCAMBIO DE LOCARD
Edmond Locard (Francia, 1877-1966). Pionero de la criminalística.

"Cada contacto deja un rastro“

• Siempre que dos objetos entran en contacto transfieren parte del

material que incorporan al otro objeto.

• En el momento en que un criminal cruza una escena del crimen, o entra

en contacto con una víctima, la víctima se queda con algo del criminal,
pero este a su vez se lleva algo a cambio.

18
 PRINCIPIO DE INTERCAMBIO DE LOCARD
Edmond Locard (Francia, 1877-1966). Pionero de la criminalística.

• El Principio de Locard tiene plena validez en el

ámbito informático y las evidencias electrónicas.
• Hay que determinar el ¿Cómo? el ¿Dónde? podemos
encontrar las evidencias.

• Determinar que quien escribió un “.doc”, o quién envió un

email, es quien está acusado de ello.

19
Ejemplo del principio de Locard aplicado a la Informática

Uso de dispositivos
removibles

20
 Visualizando el archivo LNK

Observando el Nombre del archivo , la unidad logica y el

nombre del volumen

21
Asociando el dispositivo – Prueba de conocimiento

22
 Etapas del Análisis Forense
“ Es la ciencia de adquirir , preservar , obtener y presentar datos que han
sido procesados electronicamente y almacenados o transmitidos a través
de un medio informático”

❖ Adquisición : Acceso al objeto de

estudio

❖ Preservación : Conservar el objeto

❖ Obtención : Análisis y búsqueda

❖ Presentación : Informe de 23
EVIDENCIA INFORMATICA
• EVIDENCIA INFORMATICA EVIDENCIA
DIGITAL EVIDENCIA ELECTRONICA

“...almacenados o transmitidos...”

MEMORIA DE ALMACENAMIENTO
• MEMORIA RAM

TRAFICO DE RED

24
 EVIDENCIA INFORMATICA

¿Que diferencia la evidencia informatica de

la evidencia tradicional ?

La capacidad de
La volatilidad
duplicacion

La cantidad de
La facilidad de
Metadatos que
alterarla
posee

25
EL ICEBERG DE LOS DATOS
Donde está la evidencia ?
Datos Obtenidos
con herramientas
del SO

Datos adicionales obtenidos

con herramientas forenses
(Borrados, Renombrados, Ocultos,
Dificiles de obtener…)

26
 ALGUNAS FUENTES DE METADATOS

• El proceso de almacenamiento y
borrado
• El acceso a Internet
• La ejecución de impresiones
• El sistema operativo de la
computadora
• Todas las aplicaciones… 27
 EJEMPLO

Movimiento bancario hallado en el

archivo de Intercambio de Windows

28
Que cosas podemos obtener del analisis forense de la evidencia ?

Con los datos visibles …

(accesibles)

• Documentos

• Correos electrónicos

• Fotos digitales
29
¿QUE COSAS PODEMOS OBTENER DEL ANALISIS FORENSE DE LA EVIDENCIA?

Con los datos no visibles o metadatos …

(Inaccesibles)
• Usuarios del sistema y sus claves
• Actividad en el sistema operativo
• Lineas de tiempo
• Actividad en Internet
• Ubicacion geografica de una computadora
• Webmail
• Impresiones realizadas
• Medios removibles conectados
• Fotos digitales y su relacion con camaras
30
 EJEMPLOS DE INFORMACION INACCESIBLE

• Archivos eliminados
• Renombrado del tipo de archivo
• Alteración de la ubicación de archivos
• Compactado
• Cifrado
• Esteganografía
• Combinaciones de las anteriores

31
 LEYES VINCULADAS A TI EN EL SALVADOR
LEY ESPECIAL CONTRA ACTOS DE TERRORISMO
DECRETO No. 108 LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR

Ella menciona protección de infraestructuras críticas para el país y eso incluye las telecomunicaciones
Delito informatico
Art. 12.- Será sancionado con pena de prisión de diez a quince años, el que para facilitar la comisión
de cualquiera de los delitos previstos en esta Ley:
a) Utilizare equipos, medios, programas, redes informáticas o cualquier otra aplicación informática
para interceptar, interferir, desviar, alterar, dañar, inutilizar o destruir datos, información,
documentos electrónicos, soportes informáticos, programas o sistemas de información y de
comunicaciones o telemáticos, de servicios públicos, sociales, administrativos, de emergencia o de
seguridad nacional, de entidades nacionales, internacionales o de otro país;
b) Creare, distribuyere, comerciare o tuviere en su poder programas capaces de producir los
efectos a que se refiere el literal a, de este artículo.

LEY DE REGULACIÓN DE SERVICIOS DE INFORMACIÓN

DECRETO No. 108 LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR
 ROLES EN INVESTIGACION INFORMATICA

❖ Investigación Judicial : Causas en todos los fueros (Civiles ,

comerciales , laborales , penales....) PERITO JUDICIAL EN
INFORMATICA

❖ Investigación Extra Judicial: Investigación de seguros .

Temas Corporativos : Comportamientos desleales . Espionaje
Industrial . Auditorías Internas . Preparaciones de casos .
Preconstitución de prueba. INVESTIGADOR O ANALISTA FORENSE
INFORMATICO

33
 INVESTIGACION INFORMATICA

❖ Investigación Judicial : Reglas de buena práctica . Códigos

Procesales ?

❖ Investigación Corporativa: Libre

CAMBIO DE ESCENARIO

CORPORATIVO A JUDICIAL

34
 EL INVESTIGADOR FORENSE INFORMATICO

Que hace falta para una investigacion Forense Informatica ?

1) Profesionales entrenados en TICs:

✔ Arquitectura de Computadoras
✔ Tecnología Informática
✔ Redes de computadoras
✔ Transmisión de Datos
✔ Programación
✔ Diseño de Sistemas
✔ Modelización
✔ Bases de datos
✔ ....

35
 EL INVESTIGADOR FORENSE INFORMATICO

Que hace falta para una investigacion Forense Informatica ?

2) Herramientas :
✔ Hardware
✔ Software (Libre Vs. Privativo)
validez judicial ?

Es fundamental el conocimiento de las herramientas y

su verificacion
36
 EL PERITO INFORMATICO

Debe reunir las siguientes

carácteristicas

❖ Idoneidad : Tecnica y juridica.

❖ Honestidad y ética : Penalmente responsable

❖ Independencia*

Según el rol
37
 ROL DEL INVESTIGADOR FORENSE INFORMATICO

▪ Conducción de investigaciones para la recolección ,

descubrimiento electrónico de evidencia digital y Análisis
forense

▪ Asesoramiento Técnico para la preparación de causas

judiciales

Perfil Profesional
Ingeniero , Licenciado , Técnico ó idóneo

38
 ROL DEL PERITO INFORMATICO

Los mismos del Investigador extrajudicial más :

Participación en actos procesales como
• Perito Permanente
• Perito Accidental
• Consultor Técnico / Perito de parte

Perfil Profesional
• Exclusivamente profesionales universitarios con
incumbencias en TI

39
 • El conocimiento del informático forense abarca el conocimiento
no solamente del software si no también de hardware, redes,
seguridad, hacking, cracking, recuperación de información. La
informática forense ayuda a detectar pistas sobre ataques
informáticos, robo de información, conversaciones o pistas de
Conocimiento emails, chats.
del • La importancia de éstos y el poder mantener su integridad se basa
en que la evidencia digital o electrónica es sumamente frágil. El
Informático simple hecho de darle doble clic a un archivo modificaría la última
fecha de acceso del mismo.
Forense
• Adicionalmente, un examinador forense digital, dentro del
proceso del cómputo forense puede llegar a recuperar información
que haya sido borrada desde el sistema operativo. Es muy
importante mencionar que la informática forense o cómputo
forense no tiene parte preventiva, es decir, la informática forense
no tiene como objetivo el prevenir delitos, de ello se encarga la
seguridad informática, por eso resulta imprescindible tener claro el
marco de actuación entre la informática forense, la seguridad
informática y la auditoría informática.
 • La compensación de los daños
Objetivos causados por los intrusos o
de la criminales.
• La persecución y procesamiento
Informática judicial de los criminales.
• La creación y aplicación de
Forense medidas para prevenir casos
similares.
 Dispositivos a analizar
Estos objetivos La infraestructura informática a analizar puede ser toda aquella que tenga
una Memoria (informática), por lo que se incluyen en tal pericia los
siguientes dispositivos:
son logrados de • Disco duro de una Computadora o Servidor
• Documentación referida del caso.
varias formas, • Tipo de Sistema de Telecomunicaciones
• Información Electrónica MAC address
entre ellas, la • Logs de seguridad.
• Información de Firewalls
principal es la • IP, redes Proxy. lmhost, host, Crossover, pasarelas
• Software de monitoreo y seguridad
colección de • Credenciales de autentificación
• Trazo de paquetes de red.
evidencia. • Teléfono Móvil o Celular, parte de la telefonía celular,

  • Agendas Electrónicas (PDA)

• Dispositivos de GPS.
• Impresora
• Memoria USB
• Bios
 
 DEFINICIONES

Cadena de Custodia: la identidad de personas que manejan la evidencia en el tiempo del suceso y la
última revisión del caso. Es responsabilidad de la persona que maneja la evidencia asegurar que los
artículos son registrados y contabilizados durante el tiempo en el cual están en su poder, y que son
protegidos, así mismo llevando un registro de los nombres de las personas que manejaron la evidencia
o artículos durante el lapso de tiempo y fechas de entrega y recepción

Imagen Forense: Técnica Llamada también “Espejeo” (en inglés “Mirroring”), la cual es una copia binaria
de un medio electrónico de almacenamiento. En la imagen quedan grabados los espacios que ocupan
los archivos y las áreas borradas incluyendo particiones escondidas.

Análisis forense digital: Metodología de estudio para el análisis posterior de incidentes, mediante el cual
se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños
ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis
postmortem. El proceso de análisis forense incluye la identificación, preservación, análisis y
presentación de pruebas digitales de una manera que sea legalmente aceptable en cualquier proceso
legal.

Prueba digital: Información almacenada o transmitida en formato binario que se puede presentar ante
un tribunal.

Evidencia: Información que un auditor recopila en el curso de la realización de una auditoría de un

sistema informático. La evidencia será relevante si pertenece a los objetivos de la auditoría y tiene una
relación lógica con los hallazgos y conclusiones en los que se basa.
 ALGUNOS ARTICULOS RELEVANTES DEL CPPN SV

Libertad probatoria
Art. 176.- Los hechos y circunstancias relacionados con el delito podrán
ser probados por cualquier
medio de prueba establecido en este Código y en su defecto, de la
manera que esté prevista la incorporación de pruebas similares, siempre
que se respeten las garantías fundamentales de las personas
consagradas en la Constitución y demás leyes.

Pertinencia y utilidad de la prueba

Art. 177.- Será admisible la prueba que resulte útil para la averiguación
de la verdad y pertinente
por referirse directa o indirectamente a los hechos y circunstancias objeto
del juicio, a la identidad y responsabilidad penal del imputado o a la
credibilidad de los testigos o peritos.
44
 ALGUNOS ARTICULOS RELEVANTES DEL CPPN SV

CAPÍTULO VIII AUXILIARES DE LAS PARTES

Consultores técnicos

Art.128.- Si alguna de las partes considera necesario ser asistida por

un consultor, en una ciencia, arte o técnica, lo solicitará al juez su
autorización. En las audiencias podrán acompañar a la parte con
quien colaboran y auxiliarla en los actos propios de su función. Los
peritos permanentes no podrán ser consultores técnicos.

45
 ALGUNOS ARTICULOS RELEVANTES DEL CPPN SV
CAPÍTULO IV PERITOS
Nombramiento de Peritos. Clasificación

Art. 226.- El juez o tribunal ordenará peritajes, cuando para descubrir o

valorar un elemento de prueba, sea necesario o conveniente poseer
conocimientos especiales en alguna ciencia, arte o técnica. En los actos
urgentes de comprobación que no requieran autorización judicial el fiscal
podrá disponer el auxilio de peritos.

Los peritos serán de dos clases: Permanentes o accidentales.

46
 ALGUNOS ARTICULOS RELEVANTES DEL CPPN SV
Son peritos permanentes:
a) Los nombrados por la Corte Suprema de Justicia en el Instituto de Medicinal Legal o en cualquier
otra dependencia de la misma.
b) Los técnicos y especialistas de la Policía Nacional Civil.
c) Los especialistas de las facultades y escuelas de la Universidad de El Salvador y de las
dependencias del Estado e instituciones oficiales autónomas.
d) Los Directores o jefes de los centros asistenciales del Estado o los que aquéllos designen.
e) Los miembros de cualquier asociación o institución cuya finalidad sea el estudio o análisis de la
medicina legal y de las ciencias forenses, que desempeñen algún cargo o empleo
público.

Son peritos accidentales los que nombre la autoridad judicial para una pericia
determinada.
En el caso de los peritos permanentes no será necesaria su juramentación o
protesta para la práctica de las diligencias; su salario habitual serán sus
honorarios y la instituciónpara la cual trabajan estará obligada a conceder
47 el
 ALGUNOS ARTICULOS RELEVANTES DEL CPPN SV
Calidad habilitante
Art. 227.- Los peritos deberán tener título en la materia a que pertenezca el punto
sobre el que han de pronunciarse, siempre que la profesión, arte o técnica estén
reglamentadas.
En caso contrario, podrá designarse a personas de idoneidad manifiesta.
También podrá designarse a un perito con título obtenido en el extranjero cuando
posea una experiencia o idoneidad especial.

Nombramiento y notificación -Facultad de proponer

Art. 231.- El juez o tribunal designará un perito, salvo que estime necesario
nombrar otros.La realización de la diligencia será notificada a las partes con la
indicación de los
puntos de pericia y del nombre del perito.
48
 ALGUNOS ARTICULOS RELEVANTES DEL CPPN SV
Dirección del peritaje
Art. 233.-El juez o fiscal que ordene la pericia formulará las cuestiones objeto del
peritaje, fijará
el plazo en que ha de realizarse y pondrá a disposición de los peritos las
actuaciones y elementos necesarios para cumplir el acto.

Conservación de objetos
Art . 234.-Al practicar la pericia se procurará que los objetos a examinar sean en
lo posible conservados, de modo que el peritaje pueda repetirse. Si es necesario
destruir o alterar los objetos o sustancias a analizarse o existe discrepancia sobre
el modo de realizar las operaciones, los peritos
informarán a quien ordenó la diligencia antes de proceder a su realización.

Ejecución
examen y deliberarán en sesión
49
Art. 235.- Siempre que sea posible y conveniente, los peritos practicarán
conjunta.
 ALGUNOS ARTICULOS RELEVANTES DEL CPPN SV
Dictamen -Art. 236.- El dictamen pericial se expedirá por escrito o se hará
constar en acta, y contendrá en cuanto sea posible:
1) La descripción de la persona, objeto, sustancia o hecho examinado, tal como han sido
observados.
2) Las cuestiones objeto del peritaje y una relación detallada de las operaciones, de su
resultado y la fecha en que se practicaron.
3) Las conclusiones que formulen los peritos.
4) Cualquier otro dato útil surgido de la pericia y las investigaciones complementarias que
recomienden la profesión, ciencia, arte u oficio, dentro de cuya especialidad se ha realizado.

Ampliación y aclaración del dictamen -Art. 237.-El Juez o Tribunal podrá

ordenar que el dictamen pericial sea ampliado o que se rinda con mayor claridad,
o que se expliquen ciertos conceptos que se consideren oscuros. Las partes
tendrán derecho a solicitar la ampliación o explicación referida, dentro de cinco
días de conocido el dictamen; el juez o tribunal resolverá sobre su procedencia.
Si los informes discrepan en puntos fundamentales, el juez o tribunal podrá
evalúen las conclusiones y, si es necesario, realicen otra vez el 41
nombrar uno o más peritos distintos, para que
 ALGUNOS ARTICULOS RELEVANTES DEL CPPN SV

Art. 239.- El perito guardará reserva de todo cuanto conozca con motivo de su
actuación. El juez o tribunal, mediante resolución fundada, procederá a sustituir
a los peritos encaso de mal desempeño de sus funciones.

Honorarios
Art. 240.- Los peritos accidentales tendrán derecho a cobrar honorarios
conformelos precios de plaza.

42