Escuela Colombiana de Carreras Industriales. Toquica Cesar, Murcia Manuel. Informe Computacin Forense.

Computacin Forense Aspectos Generales

Toquica Csar Augusto Murcia Manuel Sebastin Cdigo: 20101770024 Cdigo: 2009270020 Escuela Colombiana de Carreras Industriales

Resumen En el presente documento se pretenden

mostrar los aspectos generales de la computacin o informtica forense, donde se resalta en primer lugar su importancia, los objetivos y usos. Adicionalmente se hace una breve explicacin del concepto de evidencia informtica y de los detalles tcnicos de como se almacena la informacin en medios magnticos y como eliminarla de acuerdo a las tcnicas de manera segura. Se mencionan algunos de los tipos de programas y de las herramientas que usan los investigadores forenses, las dificultades a las que se expone el investigador forense, cuales son los delitos informticos mas frecuentes y se identifica un caso, y finalmente se nombran algunos consejos prcticos de seguridad para el computador y recomendaciones en el uso del Internet

ndice de TrminosInformtica Forense, Perito,

Evidencia, Delitos, Seguridad.

I. INTRODUCCIN Actualmente la informtica esta avanzando en grandes pasos, y con ella la forma en que todos la utilizamos. Toda la informacin es almacenada en los computadores y si es posible en un Servidor de manera automtica, donde comparamos y nos diferenciamos de pocas anteriores en donde la informacin se almacenaba de manera manual y en papel. Esto genera cierto tipo de ventajas y desventajas. Las ventajas se pueden evidenciar, mayor facilidad en el manejo de la informacin, rapidez en la recoleccin y anlisis de la misma, alta disponibilidad del tiempo. Sin embargo, las desventajas y riesgos en los que se incurre no son muy obvios. Entre estos, la vulnerabilidad de la informacin a ser borrada, la fcil duplicacin de la informacin, el robo o utilizacin de la informacin por la vulnerabilidad en el sistema. Adicionando todos estos riesgos que se corren al manejar informacin debemos de tener una forma de protegernos y de proteger a las dems personas

de las que mantenemos informacin. Debido a esto para poder garantizar la seguridad y la proteccin de la informacin y las tecnologas que facilitan la gestin de la informacin surge la Computacin o Informtica forense. La computacin forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrnicamente y guardados en un medio computacional. La informtica forense consiste en hacer investigacin en sistemas de informacin con el fin de hallar y detectar evidencias de vulnerabilidad. La finalidad de la computacin forense, para quien la requiera, es perseguir unos objetivos preventivos, es decir anticiparse al posible problema y unos objetivos correctivos para dar una solucin para tomar acciones una vez que la vulnerabilidad y las infracciones ya se han producido. En conclusin la informtica forense tiene un papel en primer lugar, de ser un sistema preventivo que sirve para verificar, mediante el uso de diferentes tcnicas que los sistemas de seguridad instalados cumplen con algunas de las condiciones bsicas de seguridad. Los resultados de las verificaciones servirn para poder corregir los errores encontrados y poder mejorar el sistema. As mismo permite lograr la elaboracin de polticas de seguridad y el uso de los sistemas para mejorar el rendimiento y la seguridad de todos los sistemas de informacin. En segundo lugar, s el sistema ha sido invadido, la informtica forense permite realizar un rastreo de la intervencin para poder descubrir mediante el uso de herramientas informticas el dao realizado como la recopilacin de evidencias electrnicas, detectar el origen del ataque o las posibles alteraciones realizadas al sistema (perdida de informacin, fuga o manipulacin de datos), para que posteriormente se utilicen todas las evidencias encontradas, en la denuncia y captura de los criminales que atacaron el sistema, y se proceda de
Bogot, Noviembre 2012

ECCI, Telemtica III - IX Semestre I/E

Escuela Colombiana de Carreras Industriales. Toquica Cesar, Murcia Manuel. Informe Computacin Forense.

manera legal segn las regulaciones de nuestro pas.

2. Litigacin Civil: Casos que tratan con fraude, discriminacin, acoso, divorcio, pueden ser ayudados por la informtica forense. 3. Investigacin de Seguros: La evidencia encontrada en computadores, puede ayudar a las compaas de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. 4. Temas corporativos: Puede ser recolectada informacin en casos que tratan sobre acoso sexual, robo, mal uso o apropiacin de informacin confidencial o propietaria, o an de espionaje industrial. 5. Mantenimiento de la ley: La informtica forense puede ser usada en la bsqueda inicial de rdenes judiciales, as como en la bsqueda de informacin una vez se tiene la orden judicial para hacer la bsqueda exhaustiva. V.

II. INFORMTICA FORENSE Qu es la Informtica Forense? La Informtica forense permite la solucin de conflictos tecnolgicos relacionados con seguridad informtica y proteccin de datos. Gracias a ella, las empresas obtienen una respuesta a problemas de privacidad, competencia desleal, fraude, robo de informacin confidencial y/o espionaje industrial surgidos a travs de uso indebido de las tecnologas de la informacin. [1] Disciplina de las ciencias Forenses, que de acuerdo con las tareas propias asociadas con la evidencia, procura descubrir e interpretar la informacin en los medios informticos para establecer los hechos y formular las hiptesis relacionadas con un caso o delito informtico. [2] III. OBJETIVOS DE LA INFORMTICA FORENSE La informtica forense tiene 3 objetivos, a saber: 1. La compensacin de los daos causados por los criminales o intrusos. 2. La persecucin y procesamiento judicial de los criminales. 3. La creacin y aplicacin de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, entre ellas, la principal es la recoleccin de evidencia. IV. USOS DE LA COMPUTACIN FORENSE [4] Existen varios usos de la informtica forense, muchos de estos usos provienen de la vida diaria, y no tienen que estar directamente relacionados con la informtica forense: 1. Prosecucin Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crmenes, incluyendo homicidios, fraude financiero, trfico y venta de drogas, evasin de impuestos o pornografa infantil.

LA INVESTIGACIN TECNOLGICA

Existe una gran cantidad de tcnicas para descubrir evidencia, incluyendo herramientas de software que automatizan y aceleran el anlisis computacional. Evidencia Digital: La evidencia computacional es nica, cuando se la compara con otras formas de evidencia documental. Grabacin en Medios Magnticos: En general, los medios de almacenamiento magnticos se basan directamente en cuatro fenmenos fsicos (Escribiendo y Leyendo datos). Anlisis de Discos: En la computacin forense la clave es el anlisis de los discos duros, disco extrables, CDs, discos SCSI, entre otros medios de almacenamiento extrables como memorias USB. Este anlisis no slo busca archivos potencialmente incriminatorios, sino tambin otra informacin valiosa como passwords, logins y rastros de actividad en Internet. VI.

ELIMINACIN DE DATOS

ECCI, Telemtica III - IX Semestre I/E

Bogot, Noviembre 2012

Escuela Colombiana de Carreras Industriales. Toquica Cesar, Murcia Manuel. Informe Computacin Forense.

Eliminacin de Datos en un Medio Magntico: Borrar de manera definitiva los datos en un medio magntico tiene toda una problemtica asociada, la informacin es escrita y leda aprovechando las caractersticas de magnetizacin de un material determinado. Eliminacin de Datos en CDs: Los datos de un CD estn almacenados en la parte superior del CD por medio de una capa reflectiva que es leda por un lser. Los CDs ofrecen buenas alternativas para almacenar informacin por largos periodos de tiempo, pero puede ser necesario destruirlos. VII.
RECOLECCIN DE EVIDENCIAS [5]

informtico, se debe realizar el anlisis de stas. Esto involucra una multitud de labores, como lo son el anlisis de logs, la reconstruccin de informacin destruida, la recuperacin de informacin oculta, el anlisis se debe llevar a cabo siguiendo una metodologa rigurosa y cientfica, que permita la posterior reconstruccin de los pasos seguidos y que siempre conduzca al mismo resultado. Es imperativo preservar la integridad de la informacin que se est analizando, preferiblemente trabajando sobre una copia de sta y no sobre el original para evitar alteraciones que podran invalidar la evidencia como una prueba aceptable ante las autoridades competentes. VIII.

Para cada pas el procedimiento para la recoleccin de evidencia vara, y por lo tanto un anlisis exacto y completo est fuera de los alcances de este documento. Sin embargo, existen unos lineamientos bsicos que pueden ayudar en una investigacin forense. Lineamientos Generales: Un aspecto bien importante en el momento de recolectar evidencia, es la preservacin de la integridad de sta; en el caso particular de la informacin almacenada en medios magnticos, la naturaleza voltil de sta hace que dicha labor sea particularmente difcil. Hay dos opciones cuando se recolecta evidencia digital copiar todo, o slo copiar la informacin necesaria. Cuidados en la Recoleccin de Evidencia: La recoleccin de evidencia informtica es un aspecto frgil de la computacin forense, especialmente porque requiere de prcticas y cuidados adicionales que no se tienen en la recoleccin de evidencia convencional. Se debe proteger los equipos del dao, la informacin contenida dentro de los sistemas de almacenamiento y ser imposible reconstruir la evidencia (o el equipo que la contiene), si no se tiene cuidado de recolectar todas las piezas que se necesiten. Anlisis de Evidencias: Una vez que se cuenta con todas las posibles evidencias de un crimen
ECCI, Telemtica III - IX Semestre I/E

HERRAMIENTAS DE LA INVESTIGACIN FORENSE [3]

RECOLECCION DE EVIDENCIA:

Actualmente existe una gran cantidad de herramientas para recuperar evidencia, el uso de herramientas sofisticadas se hace indispensable debido a: 1. La gran cantidad de datos que pueden estar almacenados en un computador. 2. La variedad de formatos de archivos, los cuales pueden variar enormemente, an dentro del contexto de un mismo sistema operativo. 3. La necesidad de recuperar la informacin de una manera exacta, y que permita verificar que la copia es exacta. 4. Limitaciones de tiempo para analizar toda la informacin. 5. Facilidad para borrar archivos de computadores. 6. Mecanismos de encriptacin, o de contraseas. EnCase: Es un ejemplo de herramientas de este tipo, la cual fue desarrollada por Guidance Software Inc. (http://www.guidancesoftware.com), permite asistir al especialista forense durante el anlisis de un crimen digital. Algunas de las caractersticas ms importantes de EnCase se relacionan son: -Copiado Comprimido de Discos Fuente - Bsqueda y Anlisis de Mltiples partes de archivos adquiridos - Campos de Ordenamiento, Incluyendo Estampillas de tiempo - Anlisis Compuesto del Documento
Bogot, Noviembre 2012

Escuela Colombiana de Carreras Industriales. Toquica Cesar, Murcia Manuel. Informe Computacin Forense.

- Bsqueda Automtica y Anlisis de archivos de tipo Zip y Attachments de E-Mail - Firmas de archivos, Identificacin y Anlisis - Anlisis Electrnico del Rastro de Intervencin - Soporte de Mltiples Sistemas de Archivo - Vista de archivos y otros datos en el espacio Unallocated - Integracin de Reportes - Visualizador Integrado de imgenes con Galera EnCase es un software costoso, actualmente se encuentran promocionando su versin 7.05
HERRAMIENTAS PARA MONITOREO Y CONTROL DE COMPUTADORES: Algunas veces se necesita

informacin sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar informacin, como KeyLogger que es una herramienta que puede ser til cuando se quiere comprobar actividad sospechosa, y guarda los eventos generados por el teclado Existen dos versiones: la registrada y la de demostracin.
HERRAMIENTA DE MARCADO DE DOCUMENTOS:

3. Ser difcil encontrar toda la informacin valiosa. 4. Es difcil adquirir la categora de 'experto' para que el testimonio personal sea vlido ante una corte. 5. Los errores cometidos pueden costar caro para la persona o la organizacin que representa. 6. Dificultad al conseguir el software y hardware para guardar, preservar y presentar los datos como evidencia. 7. Falta de experiencia para mostrar, reportar y documentar un incidente computacional. 8. Dificultad para conducir la investigacin de manera objetiva. 9. Dificultad para hacer correctamente una entrevista con las personas involucradas. 10. Reglamentacin que puede causar problemas legales a la persona. Antes de postularse para ser un investigador forense, se necesita bastante estudio y experiencia entre otras cosas, y si no se cumple con los requisitos, es recomendable llamar a un experto.

X. DELITOS FRECUENTES EN COMPUTACIN FORENSE

Un aspecto interesante es el marcado de documentos; en los casos de robo de informacin, es posible, mediante el uso de herramientas, marcar software para poder detectarlo fcilmente Debido a que el proceso de recoleccin de evidencia debe ser preciso y no debe modificar la informacin se han diseado varias herramientas como DIBS (Portable Evidence Recovery Unit)
HERRAMIENTAS DE HARDWARE:

Actualmente existen innumerables delitos en la informtica forense de los cuales se pueden destacar los siguientes: Delitos de Violacin a la Intimidad, Pornografa infantil. Delito de Hurto agravado por Transferencia Electrnica de Fondos, telemtica en general y empleo de claves secretas. Delito de Falsificacin de Documentos Informticos. Delito de suplantacin de bienes informticos (IP). Delito contra los derechos de autor de software, etc. Delito de Fraude en la administracin de personas jurdicas en la modalidad de uso de bienes informticos.
XI. LAS PYMES SON EL OBJETIVO DE LOS HACKERS EN 2012

IX.

DIFICULTADES DEL INVESTIGADOR FORENSE

Un investigador forense requiere de varias habilidades que no son fciles de adquirir, debido a esto es que el usuario normal se encontrar con dificultades como las siguientes: 1. Carencia de software especializado para buscar la informacin en varios computadores. 2. Posible dao de los datos visibles o escondidos, an sin darse cuenta.
ECCI, Telemtica III - IX Semestre I/E

De acuerdo a informacin del personal contra delitos informticos de la Polica DIJIN las
Bogot, Noviembre 2012

Escuela Colombiana de Carreras Industriales. Toquica Cesar, Murcia Manuel. Informe Computacin Forense.

Pequeas y Medianas Empresas (PYME) no protegen sus equipos e informacin porque creen errneamente que los delincuentes informticos solo atacan a las grandes empresas y por esta razn no implementan medidas adecuadas para proteger la informacin que manejan a travs de sus redes. XII.
CONSEJOS PRCTICOS DE SEGURIDAD PARA EL COMPUTADOR

Se debe tener especial atencin en el tratamiento de su correo electrnico, ya que es una de las herramientas ms utilizadas para llevar a cabo estafas e introducir virus, por estas razones se deben tener en cuenta estas recomendaciones: -No abra mensajes de correo de remitentes desconocidos. -Desconfe de aquellos correos entrantes en los que entidades bancarias, compaas de subastas o sitios de venta online, le solicitan contrasea e informacin confidencial. -No enve nuevamente aquellos mensajes de correo con contenido dudoso donde expresamente le solicitan ser enviados a todos sus contactos, este tipo de mensajes, conocidos como hoaxes, pretenden avisar de la aparicin de nuevos virus, transmitir leyendas urbanas o mensajes solidarios, o difundir noticias impactantes. Estas cadenas de emails se suelen crear con el objetivo de captar las direcciones de correo de los usuarios a los que posteriormente se les enviarn mensajes con virus, phishing o todo tipo de spam. -Utilice algn tipo de software Anti-Spam para proteger su cuenta de correo de mensajes no deseados. XIV.

ACTUALIZAR REGULARMENTE OPERATIVO Y SOFTWARE: Se debe

SISTEMA

poner especial atencin a las actualizaciones de su navegador web, porque algunas veces los sistemas operativos presentan fallas, que pueden ser aprovechados por los delincuentes informticos. Frecuentemente aparecen actualizaciones que solucionan estas fallas, estar al da con las actualizaciones, as como aplicar los parches de seguridad recomendados por los fabricantes le ayudaran a prevenir una posible intrusin de hackers y la aparicin de nuevos virus.
INSTALAR ANTIVIRUS:

Adicional a la instalacin de debe actualizar con frecuencia, se deben analizar con su antivirus todos los dispositivos de almacenamiento de datos que utilice y todos los archivos nuevos, especialmente aquellos archivos descargados de internet Es tambin llamado Cortafuegos y se sugiere la instalacin con el fin de restringir accesos no autorizados de Internet. Es recomendable tener instalado en el equipo algn tipo de software anti-spyware, para evitar que se introduzcan en su equipo programas espas destinados a recopilar informacin confidencial sobre el o los usuarios.
INSTALAR FIREWALL:

CONCLUSIONES

Si miramos de cerca, en la actualidad el valor de la informtica continuo crecimiento, y por esto debemos de preocuparnos ms por protegerla. La informtica forense nace a partir de esta preocupacin, buscando tanto la prevencin como la reaccin y correccin de los problemas que pueden afectar los sistemas de informacin. Para hacer una correcta y buena aplicacin preventiva de la informtica forense es necesaria la realizacin de verificaciones continuas en los dispositivos informticos que usualmente usamos ya sea a nivel personal o empresarial, y realizar o asesorarse para realizar la correccin de los errores encontrados en los mismos.

XIII.

RECOMENDACIONES AL UTILIZAR EL INTERNET Y EL CORREO ELECTRNICO

Se debe ser cuidadoso al utilizar programas de acceso remoto, a travs de internet y mediante estos programas, es posible acceder a un ordenador desde otro situado a kilmetros de distancia. Aunque esto supone una gran ventaja, puede poner en peligro la seguridad de su sistema.
ECCI, Telemtica III - IX Semestre I/E

Bogot, Noviembre 2012

Escuela Colombiana de Carreras Industriales. Toquica Cesar, Murcia Manuel. Informe Computacin Forense.

Se deben establecer polticas de seguridad para los usuarios y para el uso de los sistemas de informacin, con el fin de minimizar la posibilidad de infiltraciones por alguna negligencia por parte de los usuarios o por las fallas que se puedan cometer en los procedimientos. En cuanto a la parte de reaccin de la computacin forense se necesita hacer el uso de programas para la deteccin de intrusos en el sistema de informacin y los cambios realizados a la en la misma (manipulacin o borrado), as como un equipo multidisciplinario para poder cubrir de manera efectiva las reas que fueron intervenidas durante el ataque informtico y poder rastrear los daos y al atacante. Todos los pasos realizados de ben acompaarse por la experiencia en la informtica forense para que sean exitosos, es necesario verificar las regulaciones jurdicas locales que permiten la penalizacin a los atacantes y que puedan ser sentenciados por los crmenes cometidos. Nuestro pas necesita reconocer el valor de la informacin de sus habitantes y poder protegerlos mediante las leyes, pero por el momento contamos con las herramientas para tratar de protegernos nosotros mismos, mientras a futuro se educa en forma general a la poblacin de manera que todos los crmenes informticos no queden impunes.

[5] Casey, Eoghan. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. (Tercera Ed. Published by Elsevier Inc, USA, Junio 2011) AUTORES: A. Cesar Augusto Toquica nacido en Bogot (Cundinamarca), Colombia, el 29 de Agosto de 1976. Se gradu como Tcnico Electronico-ECCI-2001, Tcnico ElectricistaSENA-2007 y actualmente se encuentra cursando IX Semestre de Ingeniera Electrnica en la ECCI B. Manuel Sebastin Murcia nacido en Bogot (Cundinamarca), Colombia, el 20 de Mayo de 1989. Se gradu como Tcnico Profesional en Electrnica y TelecomunicacionesINSUTEC-2008 y actualmente se encuentra cursando IX Semestre de Ingeniera Electrnica en la ECCI

REFERENCIAS

[1] Elena Prez Gmez, de la empresa Cohaerentis Consultores (2012, Octubre 18) http://www.microsoft.com/business/eses/content/paginas/article.aspx?cbcid=121 [2] Jeimy J, Cano M Computacin Forense Descubriendo los rastros informticos (Primera Ed. Alfaomega Grupo Editor, Mxico, Julio 2009) [3] Information Technology (2012, Octubre 30) http://www.fbi.gov/about-us/itb [4] Best Practices. http://www.isfs.org.hk/publications/ComputerForen sisc/ComputerForensisc_part2.pdf (2012, Octubre 30)

ECCI, Telemtica III - IX Semestre I/E

Bogot, Noviembre 2012