Informatica Forense

CONCEPTOS FUNDAMENTALES DE
INFORMATICA FORENSE
INFORMATICA
La informática o computación es una ciencia
que está centrada en el tratamiento, uso y
automatización de la información.
Se encarga de analizar e investigar el hardware,
las redes de datos y el software, ya que son
partes imprescindibles para automatizar los
datos y conseguir los objetivos de esta ciencia.
A raíz de la aparición de la informática, se automatizaron procesos, consiguiendo automatizar tareas,
reduciendo presupuesto y tiempo para su puesta en práctica.
La informática se ha aplicado a numerosos campos:

• Robótica
• Economía
• Diseño de juegos electrónicos
• Negocios
• Área de salud
• La ingeniería
• Diseños e investigaciones
• Control de procesos laborales
Entre otros sectores…

INFORMATICA
FORENSE
El cómputo forense, también llamado informática
forense, computación forense, análisis forense digital o examen
forense digital es la aplicación de técnicas científicas y analíticas
especializadas a infraestructuras tecnológicas que permiten identificar,
preservar, analizar y presentar datos válidos dentro de un proceso legal.
Dichas técnicas incluyen reconstruir elementos informáticos, examinar

datos residuales, autenticar datos y explicar las características técnicas
del uso de datos y bienes informáticos.
AMBITO PROBATORIO
Todo hecho en el que un sistema informático este involucrado,
tanto si es el fin o un medio, puede ser objeto de estudio y análisis,
y por ello, puede llevarse a juicio como un medio probatorio.
NORMAS FUNDAMENTALES:
1. Preservar la evidencia original

2. Establecer y mantener la cadena de custodia
3. Documentar todo hecho
La informática forense ayuda a detectar pistas sobre
ataques informáticos, robo de información,
conversaciones o evidencias en correos electrónicos y
chats.
La evidencia digital o electrónica es sumamente frágil, de

ahí la importancia de mantener su integridad; por
ejemplo, el simple hecho de pulsar dos veces en un
archivo modificaría la última fecha de acceso del mismo.
Dentro del proceso del cómputo forense, un examinador forense digital puede llegar a
recuperar información que haya sido borrada desde el sistema operativo.
El informático forense debe tener muy presente el Principio de intercambio de Locard por su
importancia en el análisis criminalístico para hacer admisibles las pruebas presentadas por
el perito forense en un juicio.
PRINCIPIO DE INTERCAMBIO:
• Cada contacto deja un rastro
• Siempre que dos objetos entran en contacto, transfieren parte del material que incorporan al otro
objeto.
• En el momento en que un criminal cruza una escena del crimen o entra en contacto con una victima, la
victima se queda con algo del criminal pero este a su vez se lleva algo a cambio.
OBJETIVOS DE LA INFORMATICA FORENSE
La informática forense tiene tres objetivos:
• La compensación de los daños causados por los intrusos o criminales.

• La persecución y procesamiento judicial de los criminales.
• La creación y aplicación de medidas para prevenir casos similares.
Estos objetivos se alcanzan de varias formas, siendo la principal la

recopilación de evidencias.
Es importante mencionar que quienes se dedican a esto deben ser

profesionales con altos niveles de ética, pues gracias a su trabajo se
toman decisiones sobre los hechos y casos analizados.
EVIDENCIA DIGITAL
Los discos duros, las memorias USB y las impresoras (entre otros elementos) se pueden
considerar evidencias en un proceso legal al igual que las huellas digitales o las armas.
Las evidencias digitales son las que se extraen de un medio informático.
CARACTERÍSTICAS
Estas evidencias comparten una serie de características que dificultan el ejercicio de

la computación forense:
1. Volatilidad (riesgo de perder datos si se cierra)

2. Anonimato
3. Facilidad de duplicación
4. Alterabilidad
5. Facilidad de eliminación
CATEGORIAS
Estas evidencias se pueden dividir en tres categorías:
1.- Registros almacenados en el equipo de tecnología

informática (ej. imágenes y correos)
2.- Registros generados por equipos de tecnología informática
(ej. transacciones, registros en eventos)
3.- Registros parcialmente generados y almacenados en los
equipos de tecnología informática (ej. consultas en bases de
datos)
DISPOSITIVOS A ANALIZAR
Toda aquella infraestructura informática que tenga una memoria es susceptible de análisis:
• Disco duro de una Computadora o Servidor

• Documentación referente al caso.
• Tipo de sistema de telecomunicaciones.
• Dirección MAC.
• Inicios de sesiones.
• Información de los cortafuegos.
• IP, redes Proxy, host, conexiones cruzadas, pasarelas.
• Software de supervisión y seguridad.
• Credenciales de autentificación.
• Rastreo de paquetes de red
• Teléfonos móviles o celulares (telefonía móvil)
• Agendas electrónicas (PDA)
• Dispositivos de GPS
• Impresoras
• Memorias USB
PERSPECTIVA DE 3 ROLES
En el análisis de un caso en el que sea necesario
el cómputo forense, hay tres roles principales
que son importantes y se deben tener en cuenta:
• El intruso
• El administrador y la infraestructura de la seguridad
informática
• El investigador
 INTRUSOS
El intruso es aquel que ataca un sistema, hace
cambios no autorizados, manipula contraseñas o
cambia configuraciones, entre otras actividades que
atentan contra la seguridad de un sistema.
La intención de los intrusos es un punto clave para

poder analizar el caso, ya que no se puede comparar
un intruso cuya motivación es el dinero con otro cuya
motivación es la demostración de sus habilidades.
El modelo del atacante para realizar su
procedimiento se explica conceptualmente por tres
fases:
• Fase de reconocimiento
• Fase de ataque
• Fase de eliminación
• FASE DE RECONOCIMIENTO:
Se busca reconocer y recolectar información. De esta manera, el atacante puede saber cómo
puede actuar y los riesgos posibles, para así poder avanzar.
• FASE DE ATAQUE:
Se compromete el sistema, avanzando hasta el nivel más alto, teniendo el control del sistema
atacado.
Esta etapa usualmente se maneja de manera discreta, y es por eso que es más difícil
identificar al intruso. Usualmente, la vanidad del intruso y la falta de discreción ayudan al
investigador a resolver el caso con mayor facilidad.
• FASE DE ELIMINACION:
Se altera, elimina o desaparece toda la evidencia que pueda comprometer al intruso en algún
caso judicial. Del cuidado con el que el atacante proceda en esta fase depende el proceso del
informático forense y del caso.
 ADMINISTRADORES Y LA INFRAESTRUCTURA
DE LA SEGURIDAD INFORMATICA
El administrador del sistema es el experto encargado de la

configuración de este, de la infraestructura informática y de la
seguridad del sistema.
Estos administradores son los primeros en estar en contacto con

la inseguridad de la información, ya sea por un atacante o por una
falla interna de los equipos.
Son quienes primero deberían reaccionar ante un ataque, y deben

proporcionar su conocimiento de la infraestructura del sistema
para apoyar el caso y poder resolverlo con mayor facilidad.
 INVESTIGADOR
Es un nuevo profesional que actúa como perito, criminalista digital, o
informático. Comprende y conoce las nuevas tecnologías de la información, y
analiza la inseguridad informática emergente en los sistemas.
El perfil del investigador es nuevo y necesario en el contexto abierto

informático en el que vivimos. Por lo tanto, es necesario formar personas que
puedan trabajar como investigadores en la disciplina emergente de la
criminalística digital y el cómputo forense.
Estas prácticas emergentes buscan articular las prácticas generales de la

criminalística con las evidencias digitales disponibles en una escena del
crimen.
El trabajo del informático es indagar en las evidencias,
analizarlas y evaluarlas para poder decidir cómo estas
evidencias pueden ayudar a resolver el caso.
Por lo tanto, es ideal que un investigador conozca al menos

sobre las siguientes áreas:
• Justicia criminal
• Auditoría
• Administración y operación de tecnologías de Información
En un proceso de investigación forense en informática hay
ocho roles principales en un caso:

• El líder del caso
• El propietario del sistema
• El asesor legal
• El auditor/ingeniero especialista en seguridad de la información
• El administrador del sistema
• El especialista en informática forense
• El analista en informática forense
• El fiscal
Usualmente, entre todos estos roles, los informáticos forenses pueden tomar los siguientes cuatro
roles:
• LÍDER DEL CASO:

Es aquel que planea y organiza todo el proceso de investigación digital. Debe identificar el lugar en
donde se realizará la investigación, quienes serán los participantes y el tiempo necesario para esta.
• AUDITOR/INGENIERO ESPECIALISTA EN SEGURIDAD DE LA INFORMACIÓN:
Conoce el escenario en donde se desarrolla la investigación. Tiene el conocimiento del modelo de
seguridad en el cual ocurrieron los hechos y de los usuarios y las acciones que pueden realizar en
el sistema. A partir de sus conocimientos debe entregar información crítica a la investigación.
• ESPECIALISTA EN INFORMÁTICA FORENSE:
Es un criminalista digital que debe identificar los diferentes elementos probatorios informáticos
vinculados al caso, determinando la relación entre los elementos y los hechos para descubrir el
autor del delito.
• ANALISTA EN INFORMÁTICA FORENSE:
Examina en detalle los datos, los elementos informáticos recogidos en la escena del crimen con el
fin de extraer toda la información posible y relevante para resolver el caso.
RETOS Y RIESGOS DE
INFORMATICA FORENSE
Al estar en un escenario que evoluciona constantemente, cada vez surgen más retos y
riesgos en el área de la computación forense.
Entre ellos:
• La formación de informáticos forenses

• La confiabilidad de las herramientas
• La facilidad de la destrucción de las evidencias
• Las amenazas estratégicas y tácticas que plantea el ciberterrorismo
• Las tecnologías emergentes como la nube
• Las tecnologías móviles
• Las redes sociales
FORMACION DE
INFORMATICOS FORENSES
Los criminales informáticos son una nueva generación de delincuentes, en este
contexto, es necesario desarrollar un nuevo tipo de investigadores:
los informáticos forenses.
En este momento es un desafío encontrar personas que tengan este perfil, ya que no
existen suficientes programas que realicen este tipo de formación.
Adicionalmente, en este momento, las personas del común ignoran la importancia de

los informáticos forenses porque ignoran la dimensión del cibercrimen.
Usualmente se cree que no es algo tan grave y se le da mayor importancia a otro tipo
de crímenes.
CONFIABILIDAD DE LAS
HERRAMIENTAS
Las herramientas existentes disponibles para el cómputo forense

presentan otro reto.
Las herramientas licenciadas exigen a los investigadores inversiones

altas (tanto en hardware, como en software), al adquirirlas y para
mantenerlas.
Adicionalmente, como las herramientas están avanzando

constantemente requieren técnicos y usuarios que estén constantemente
aprendiendo de sus actualizaciones, modificaciones y posibles errores.
INFORMATICA FORENSE
EN LA INVESTIGACION
DE DELITOS
¿FUNCIONA?
En los últimos años, múltiples casos fueron resueltos con colaboración de
esta disciplina.
Personas inocentes pudieron demostrar su ausencia de delito gracias al

análisis de sus dispositivos, y muchos culpables fueron capturados por los
patrones de escritura, mensajes o videos que había en sus dispositivos.
En los procedimientos legales de hoy, no es extraño leer que se usan los

dispositivos de los acusados para resolver los detalles pertinentes
o aportar la evidencia necesaria para la
resolución.
Cuando se ha producido un ataque cibernético, la recopilación de todas las
pruebas relevantes es de suma importancia.
Sin embargo, ten en cuenta que el investigador forense está

particularmente interesado en una evidencia en particular, que se conoce
específicamente como “datos latentes“.
En el mundo de la Ciberseguridad, este tipo de datos (también conocidos como
“datos ambientales“) no se pueden ver ni acceder fácilmente a primera vista en la
escena de un ataque cibernético.
En otras palabras, se necesita un nivel mucho más profundo de investigación por

parte del experto en informática forense para desenterrarlos.

Informatica Forense

Cargado por

Copyright:

Formatos disponibles

Informatica Forense

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informatica Forense

Cargado por

Copyright:

Formatos disponibles

CONCEPTOS FUNDAMENTALES DE

La informática se ha aplicado a numerosos campos:

Entre otros sectores…

Dichas técnicas incluyen reconstruir elementos informáticos, examinar

1. Preservar la evidencia original

La evidencia digital o electrónica es sumamente frágil, de

La informática forense tiene tres objetivos:

• La compensación de los daños causados por los intrusos o criminales.

Estos objetivos se alcanzan de varias formas, siendo la principal la

Es importante mencionar que quienes se dedican a esto deben ser

Estas evidencias comparten una serie de características que dificultan el ejercicio de

1. Volatilidad (riesgo de perder datos si se cierra)

1.- Registros almacenados en el equipo de tecnología

• Disco duro de una Computadora o Servidor

La intención de los intrusos es un punto clave para

El administrador del sistema es el experto encargado de la

Estos administradores son los primeros en estar en contacto con

Son quienes primero deberían reaccionar ante un ataque, y deben

El perfil del investigador es nuevo y necesario en el contexto abierto

Estas prácticas emergentes buscan articular las prácticas generales de la

Por lo tanto, es ideal que un investigador conozca al menos

• LÍDER DEL CASO:

• La formación de informáticos forenses

Adicionalmente, en este momento, las personas del común ignoran la importancia de

Las herramientas existentes disponibles para el cómputo forense

Las herramientas licenciadas exigen a los investigadores inversiones

Adicionalmente, como las herramientas están avanzando

Personas inocentes pudieron demostrar su ausencia de delito gracias al

En los procedimientos legales de hoy, no es extraño leer que se usan los

Sin embargo, ten en cuenta que el investigador forense está

En otras palabras, se necesita un nivel mucho más profundo de investigación por

También podría gustarte