Curso de Derecho Informtico y Peritaciones Judiciales

22

www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

Captulo 1: Introduccin a la Informtica Forense

1.1 Qu es la Informtica Forense? 1.2. Importancia y Objetivos de la Informtica Forense 1.3. Evidencia Electrnica 1.4. Metodologa para la realizacin de un Peritaje Informtico 1.5. Herramientas de Informtica Forense.

www.antpji.com

23

Curso de Derecho Informtico y Peritaciones Judiciales

Cuando empec de manera profesional a esta nueva profesin, el presentarme como Perito

Informtico Forense, implicaba que me mirasen como un Friki, como una especie de cientfico loco o similar y tuviese en mis bolsillos herramientas para descuartizar aparatos. Hoy da, gracias al esfuerzo de muchos, un perito informtico es respetado y es el enemigo

de los ciberdelincuentes que utilizan la tecnologa para cometer todo tipo de infracciones y delitos, eludiendo la accin de la justicia, gracias a un limbo jurdico probatorio. Los operadores de la justicia en general estn mermados en sus actuaciones por la falta de

recursos tecnolgicos, capacitacin, legislacin aplicable a estas nuevas infracciones y un completo desconocimiento de la volatilidad de la evidencia electrnica y su tratamiento. Los hbitos de las personas han cambiado con las TICs, que con su avance meterico en

productos, aparatos, aplicaciones y programas, han cambiado nuestra vida social y personal, pero que tambin han sabido aprovecharlas los nuevos delincuentes tecnolgicos, donde no es necesario grandes inversiones econmicas, oficinas, personal o cualquier otra infraestructura para cometer delitos informticos, ya que cuentan con el amparo del anonimato y el escudo de una pantalla de ordenador. Muchos de ellos cometen sus delitos desde su habitacin con una bata y en zapatillas y el alcance de sus fechoras alcanza una talla mundial, comprometiendo a muchos equipos informticos y telemticos. Es cierto que los delitos son los mismos, pero han cambiado, se han profesionalizado y son

ms letales porque no hay fronteras, ni lmites, ni regulacin apenas; y eso lo saben estos delincuentes sin escrpulos que se aprovechan de los ms dbiles, y realizan todo tipo de ataques como los pornogrficos, robo de intimidad, fraudes informticos, malwares. El Ciber Crimen mueve billones de euros y es una de las prioridades en las agendas de los

dirigentes de muchos pases. Desde el comercio, entidades financieras, fabricas, e infraestructuras criticas y hasta el ciudadano base son blanco de ataques cibernticos con el objetivo principalmente econmico, pero restando credibilidad al sistema y fomentando el debilitamiento institucional sufrido por las entidades afectadas. Antao, todos los que empezamos en la informatica, tenamos una vena de hacker, pero era

un hacker romntico, que buscaba el reconocimiento de la comunidad informtica, por entrar en

24

www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

equipos informticos o hacer cosas que no eran conocidas por la inmensa mayora, no haba una contraprestacin econmica en las acciones y no tenamos la vena de mercenarios. Hoy da estos hackers, son padres de familia, tienen hipotecas y sus conocimientos son

ms adelantados, con lo que si hay un captulo importante como es el tema econmico que influye de manera notable, al conocer el limbo jurdico que existe en la materia. Muchos delincuentes e incluso organizaciones de criminales, estn utilizando hoy da, la

tecnolgica para cometer infracciones y eludir a las autoridades, los ataques, se han vuelto ms profesionales, ms sofisticados y ms persistentes en sus ataques; logrando sus objetivos, porque conocen que el eslabn de la cadena ms dbil es la persona humana. Ante estos hechos, las Fuerzas y Cuerpos de Seguridad del Estado, se han capacitado y

especializado en las TICs, en esta materia y la informatica forense se convierte en herramienta necesaria a favor de la Justicia para perseguir el delito y detener al ciberdelincuente. Es necesario que nuestros dirigentes, contraten profesionales, en vez de amigos en este

tema tan serio, que no les preocupa porque muchos de ellos son vctimas de la breca digital, saben que los delitos son los mismos, pero ahora tienen ms poder, tienen ms alcance, y el seguimiento del mismo es ms complicado. Los ciberdelincuentes, realizan toda clase de ataques y fraudes, en la mayora de los casos

de manera impune, ante la falta de profesionales que evidencien sus actos, sabiendo que hay un problema probatorio y siguen actuando impunemente comprometiendo al mayor nmero de equipos informticos, con un alcance casi gratuito y con un alcance que llega a todos los rincones del planeta. Los operadores de justicia, lo tienen ms complicado siendo dos causas prioritarias : - La colaboracin internacional es complicada en materia tecnolgica. - La falta de capacitacin y recursos para formacin es vital y no llega La comisin de los Ciberdelitos, ha escalado puestos en las agendas de los grandes diri-

gentes tanto estatales, como de empresas pblicas y privadas y van entendiendo que los delitos informticos han causado y siguen causando perdidas econmicas millonarias en los sectores co-

www.antpji.com

25

Curso de Derecho Informtico y Peritaciones Judiciales

mercial y bancario que es donde hay denuncias constatadas, pero siguen sin entender que este tipo de conductas, va ganando adeptos y el terreno va amplindose a todos sectores y en los gobiernos hacen perder credibilidad y consiguen un debilitamiento institucional, sin entender que el control de la red de redes, puede establecerse como el poder meditico mas poderoso que cualquier de los conocidos. Estamos creando unos pilares slidos para que esta ciencia, tenga en el futuro un mtodo

estandarizado que no sea cuestionado en un proceso judicial, estableciendo normas legales y de procedimiento para realizar una metodologa sin fisuras. La combinacin de profesionales informticos y operadores de justicia, es un tndem im-

prescindible para combatir la cibercriminalidad, ya que si conocemos su modus operandi, el funcionamiento de los equipos y redes informticas y las leyes procesales, eliminaremos la mayora de los delitos que se estn cometiendo por las taras existentes. El avance de las TICs, y los nuevos aparatos tecnolgicos, han mejorado nuestra calidad

de vida y nos han hecho cambiar nuestros hbitos, con lo que llegamos a tener en muchos casos dependencia de estos aparatos. En el lado oscuro, estn los ciberdelincuentes que tambin se capacitan, aprenden, actan

y cometen delitos de manera continua, gracias al acceso y las herramientas que estn en la red, porque conocen que esta nueva forma de comunicacin, no le es costosa, y le facilita mucas oportunidades por el analfabetismo digital existente. Muchos pases se han puesto en marcha con proyectos de Ciberdefensa, pero ni hay una

unin de pases ante estas amenazas, ni compromisos, ni fronteras, ni acuerdos estratgicos, porque aqu todo vale. Es por todo esto porque nuestra profesin est en alza y adquiere gran importancia nuestra

ciencia, que no tiene un mtodo estandarizado ni a nivel nacional, europeo o internacional. Es cierto mi afirmacin en un curso en la universidad cuando dije que eran necesarios 10.000 expertos informticos en informtica forense y no solo para trabajar como Peritos Informticos, sino para proteger entidades que cuenten con ms de 20 ordenadores. 26 Es necesario por parte de la Administracin en general y sobre todo la de Justicia, contar www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

con peritos informticos forenses, para que junto con los operadores de justicia, creen sinergias de desarrollo conjunto, uniendo conocimientos y experiencias y elaborar patrones de pensamiento de los ciberdelincuentes y su modus operandi.

1.1 Qu es la Informtica Forense?

Segn el diccionario, la palabra informtica, significa: Conjunto de conocimientos cientficos y tcnicos que se ocupan del tratamiento automtico de la informacin por medio de ordenadores y la palabra forense: Se aplica al mdico que est encargado por un juez de sealar el origen de las lesiones sufridas por un herido, o, especialmente, de determinar las causas que han provocado el deceso de una persona y asiste en las actuaciones judiciales y tribunales de justicia como perito en lo criminal y lo civil.

Sistema Informtico: Es todo dispositivo fsico o lgico utilizado para crear, generar, enviar, recibir, procesar, comunicar o almacenar, de cualquier forma, todo tipo de datos.

Con lo que el termino de informtica forense se podra denominar como Es la ciencia que se encarga del conjunto de habilidades cientficas y tcnicas que identifica, analiza, extrae e investiga la evidencia electrnica (informatica y telemtica) interpretando y determinando el origen de la causa de incidentes en medios tecnolgicos (informticos y telemticos) de los datos potenciales y relevantes, los cuales mediante una cadena de custodia, preservamos y que presentados mediante un informe o dictamen; estas evidencias son muy validas y sirven para el esclarecimiento de una causa o litigio judicial o una negociacin extrajudicial.

www.antpji.com

27

Curso de Derecho Informtico y Peritaciones Judiciales

La informatica forense es sistemtica y se basa en unos hechos premeditados para recabar

evidencias electrnicas, para posteriormente analizarlas. El protocolo de identificacin, recoleccin, extraccin, anlisis y estudio sirve para localizar y presentar de forma adecuada, los hechos realizados. No hay muchos antecedentes de esta ciencia incipiente y cambiante, ya que todo lo relacio-

nado a incidentes tecnolgicos estaba basado en seguridad y auditora forenses con una estndares que hoy da son nulos, ya que el investigador forense necesita unos parmetros bsicos de actuacin, para el procesamiento de datos con el fin de analizar registros, recabar informacin y anlisis del trafico y movimiento de los datos. Un incidente de seguridad como se define en el Glosario de seguridad de Internet, RFC

2828, es un evento del sistema relevante para la seguridad en el que el sistema de la poltica de seguridad se desobedece o no violada. Un poco de historia Las primeras evidencias electrnicas extradas de un ordenador, se admitieron a prueba

en un juicio en los aos 70, aunque a mi hasta los aos 97 no me admitan ni un simple correo electrnico, porque se consideraban los ordenadores simplemente dispositivos para almacenar y reproducir registros de papel, adems las versiones impresas de registros de contabilidad eran aceptadas como el equivalente de expedientes de negocio conservados en mano o escritos a mquina, pero no se contaba con los datos almacenados en la computadora. El anlisis forense de computadoras (Computer Forensics) es una ciencia relati-

vamente nueva, por lo que an no hay estndares aceptados. Sus orgenes se remontan a los Estados unidos a mediados de los aos 80. Empiezan apareciendo delitos relacionados con los ordenadores y EEUU, empieza a desarrollar programas de respuesta, adiestramiento y empiezan con una infraestructura, capaz de responder ante estas amenazas y dejando unos patrones para fabricantes, desarrolladores y operadores de la red. Se crean centros como SEARCH, Federal Law Enforcement Center (FLETC), y el National

White Collar Crime Center (NW3C). 28 En 1985 se crea el FBI Magnetic Media Program, que ms tarde pasar a ser el www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

Computer Analysis and Response Team (CART) En 1990, el Laboratorio de Inspeccin Postal de los Estados Unidos se traslada a

una nueva instalacin en Dulles, Virginia, y entre 1996 y 1997 establece una unidad de Informtica Forense. Trabaja junto con el FBI durante muchos aos en el desarrollo de sus habilidades en informtica forense. En 1993 se celebra la primera conferencia anual sobre evidencias de ordenadores (First International Conference on Computer Evidence). En 1994, el juicio de O.J. Simpson expuso muchas de las debilidades de la inves-

tigacin criminal y la ciencia forense. La investigacin fue entorpecida desde el inicio con colecciones de evidencias, documentacin y preservacin de la escena del crimen incompletas. Como resultado de estos errores iniciales, cientficos forenses especializados estaban confundidos y sus interpretaciones solo incrementaron la duda de los miembros del jurado. La controversia que rondaba este caso puso de manifiesto que investigadores y cientficos forenses no eran fiables como previamente se crea, socavando no solo su credibilidad sino tambin su profesin. Esta crisis motiv a muchos laboratorios y agencias de investigacin a revisar sus procedimientos, mejorar su entrenamiento y hacer otros cambios para evitar situaciones similares en el futuro. Se fund la Organizacin Internacional de Evidencias de Computadoras a mediados

de los 90 que anunci asegurar la armonizacin de mtodos y prcticas entre naciones y garantizar el uso de evidencias digitales de un estado en las cortes de otro estado. En Espaa se crea en 1995 la Brigada de Investigacin Tecnolgica, perteneciente al Cuer-

po Nacional de Polica. Comenzaron con 3 agentes de polica. En 1997, los pases del G8 declararon que la polica debe estar adiestrada para ha-

cer frente a delitos de alta tecnologa en el Comunicado de Mosc de diciembre. En Marzo del ao siguiente, el G8 designa al IOCE para crear principios internacionales para los procedimientos relacionados con la evidencia digital. Ese mismo ao se crea el Grupo de Delincuencia Informtica de la Guardia Civil, que pas

a llamarse Grupo de Investigacin de Delitos de Alta Tecnologa antes de tomar su nombre www.antpji.com 29

Curso de Derecho Informtico y Peritaciones Judiciales

actual de Grupo de Delitos Telemticos. Los directores del Laboratorio Federal de Crmen en Washington, DC, se reunieron dos ve-

ces en 1998 para discutir asuntos de inters mutuo. Se form lo que es ahora conocido como el Scientific Working Group Digital Evidence (SWGDE). El concepto de encontrar evidencias latentes en una computadora se pas a llamar infomtica forense. El concepto de evidencia digital, que incluye audio y video digital se llev ante los directores del laboratorio federal el 2 de Marzo de 1998, en un encuentro albergado por Servicio de Inspeccin Postal de los Estados Unidos y la Divisin de Servicios Tcnicos. La primera discusin se centraba principalmente en la fotografa digital. El resultado de esa reunin fue que se necesitaba personal experto para abordar el tema, por lo que e12 de Mayo de ese ao se reunieron de nuevo con expertos del FBI y de otros grupos especializados en el tema. De ese encuentro surgi la formacin de otro Grupo de trabajo tcnico para tratar los asuntos relacionados con la evidencia digital. El 17 de Junio de 1998, el SWGDE celebra su primer encuentro, dirigido por Mark Pollitt,

agente especial del FBI y Carrie Morgan Whitcomb, del departamento forense del Servicio de Inspeccin Postal de los Estados Unidos. Como laboratorios forenses invitados estuvieron los del Departamento de Alcohol, Tabaco y Armas de Fuego(ATF), el Departamento de Control de Drogas(DEA), Inmigracin(INS), Hacienda(IRS), la NASA, los Servicios Secretos(USSS) y el servicio de Inspeccin Postal. Decidieron algunos procedimientos administrativos y desarrollaron documentos relevantes. Se establece que La evidencia digital es cualquier informacin de valor probatorio que es almacenada o transmitida en formato binario. Ms tarde binario cambi a digital. La evidencia digital incluye hardware, audio, video, telfonos mviles, impresoras, etc. Ese mismo ao se celebra el primer Simpsium de ciencia forense de la IN-

TERPOL. al G8. En el ao 2000 se establece el primero laboratorio de informtica forense regional del FBI. En 1999, la carga de casos del FBI CART excede los 2000 casos, habiendo examina-

do 17 terabytes de datos. El IOCE presenta un borrador con estndares sobre informtica forense

En 2001, se realiz el primer taller de investigacin forense digital -Digital Forensics Research Work Shop (www.dfrws.org)-, reuniendo a los expertos de universidades, militares 30 www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

y el sector privado para discutir los retos principales y buscar las necesidades de este campo. Este taller tambin impuls una idea propuesta muchos aos atrs, provocando la creacin de la Publicacin Internacional de Evidencias Digitales -International Journal of Digital Evidence (www. ijde.org)-. El rpido desarrollo de la tecnologa y los crmenes relacionados con equipos informaticos

crean la necesidad de especializacin: First Responders (Tcnicos de escena de crimen digital): expertos en recogida de datos

de una escena del crimen. Deberan tener entrenamiento bsico en manejo de evidencias y documentacin, as como en reconstruccin bsica del crimen para ayudarles a ubicar todas las fuentes posibles de evidencias. - Investigadores digitales: analizan todas las evidencias presentadas por los dos anteriores para construir un caso y presentarlo ante los encargados de tomar las decisiones. Estas especializaciones no estan limitadas solamente a los agentes de la ley y se han desa- Analistas de Evidencias Digitales: procesan la evidencia adquirida por los anteriores

para extraer todos los datos posibles sobre la investigacin.

rrollado tambin en el mundo empresarial. An cuando una sola persona sea responsable de recopilar, procesar y analizar las evidencias digitales, es til considerar estas tareas por separado. Cada rea de especializacin requiere diferentes habilidades y procedimientos; tratndolos por separado hace ms fcil definir el adiestramiento y los estndares en cada rea. Entendiendo la necesidad de estandarizacin, en 2002, el Scientific Working Group for Digital Evidence (SWGDE) public unas lineas generales para el adiestramiento y buenas prcticas. Como resultado de estos esfuerzos, la American Society of Crime Laboratory Directors (ASCLD) propuso requerimientos para los analistas forenses de evidencias digitales en los laboratorios. Hay adems algunos intentos de establecer estndares internacionales (ISO 17025; ENFSI 2003). A finales del ao 2003 y respondiendo al creciente inters del anlisis forense de in-

trusiones en computadoras, se propone el primer Reto de Anlisis Forense por parte de Rediris, en el cual se publica la imagen de un disco duro que ha sufrido un incidente de seguridad y se reta a responder a las siguientes preguntas: www.antpji.com 31

Curso de Derecho Informtico y Peritaciones Judiciales

- Quin ha realizado el ataque ?, (direccin IP de los equipos implicados en el ataque ) - Com se realizo el ataque ? (Vulnerabilidad o fallo empleado para acceder al sistema ) - Qu hizo el atacante ? (Que acciones realizo el atacante una vez que accedo al sistema,

por qu accedi al sistema ?). Al final 14 personas enviaron el informe a Rediris de los casi 500 que se presenta-

ron, y los ganadores se llevaron licencias y manuales de software de Anlisis Forense (valorados entonces en miles de dlares). En 2004 los Servicios de Ciencia Forense del Reino Unido planean desarrollar un registro de

expertos cualificados, y muchas organizaciones Europeas, incluyendo la Red Europea de Institutos de Ciencia Forense publicaron lneas bsicas para investigadores digitales. Adems, Elsevier comenz la publicacin de una nueva revista llamada Digital Investigation: The International Journal of Digital Forensics and Incident Response (http://www.compseconline.com/digitalinvestigation/). A comienzos del 2005 se celebra el Reto Rediris v2.0, junto con la Universidad Au-

tnoma de Mxico. Se presentaron casi 1000 participantes y los premios fueron cursos de anlisis forense y licencias de software. En Espaa se constituye la Asociacion Nacional de Tasadores y Peritos Informaticos en el

ao 2011 y realizan el primer curso de de Perito Informatico en el ao 2012. Entre las causas que hay para que sigas con esta lectura estn: - Trabajar sobre el campo de la informtica forense y pericial, tan de moda hoy en da debido a la expansin de Internet. - Investigar un rea novedosa en la seguridad informtica, poco documentada en espaol y sobre la que apenas existen estndares como es el anlisis forense de equipos tecnolgi- - Contribuir con una aplicacin de utilidad para tu trabajo profesional futuro. - Expandir tu lenguaje y vocabulario cientfico-tcnico. De todas maneras, nuestro objetivo es que perfecciones tus tcnicas de Anlisis Forense,

cos.

que es la aplicacin de mtodos cientficos en investigaciones criminales. Es un campo novedo32 www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

so, nico de estudio que deriva de todas las reas de la ciencia, con el nico objetivo de resolver un misterio. Esto levanta una gran expectacin para el pblico en general. Gracias a las series de TV, millones de personas estn familiarizadas con series como CSI, en donde los investigadores en un minuto son capaces, de localizar a una persona, sus datos personales, tarjeta de crdito y saber su ubicacin en el momento, con tan solo el reflejo de su cara en un vaso de vino. La realidad es un poco mas complicada. En el Anlisis Forense de Ordenadores, estudiaremos como estn involucrados los equipos

informticos en la realizacin de crmenes como: fraude, contable, chantaje, robos de identidad, pornografa infantil o las intrusiones de un hacker black-hat en un sistema. Siempre tenemos que saber la mxima de que esos equipos que llamamos cajas tontas,

registran todo lo que realizan y el disco duro, la memoria y algunos componentes tienen evidencias electrnicas que son determinantes para la deteccin de un crimen y el autor del mismo. Es cada vez mas habitual el anlisis de discos duros y el trazado y rastreo de correos elec-

trnicos y las redes sociales. As pues el anlisis forense de equipos informticos es el proceso de examinar disposi-

tivos metdicamente (discos duros, disquetes, etc.) en busca de evidencias electrnicas. Nuestra labor no es preventiva y siempre actuamos despus de que se ha cometido un ciberdelito o un incidente tecnolgico y procedemos a examinar, averiguar, analizar y encontrar las pistas de lo que ha pasado. Podemos trabajar para el Estado como agentes de la Ley, o para una causa privada, pero la

estrategia, metodologa y procedimiento es la misma para los dos casos, con algunas salvedades. En este ultimo ao ha habido una explosin del inters sobre el estudio de evidencias electrnicas. Este crecimiento, necesita de algunos patrones para unificar periciales, terminologa, definiciones, herramientas, tica profesional, capacitacin Segn la obra con la que nos documentemos, tendremos una opinin muy particular, y no hemos de olvidar que no hay un mtodo exacto que nos permita tener la verdad cientfica para todos los casos. Cdigo deontolgico, buenos profesores, variados puntos de vista y unas buenas prcticas; junto con el networking que se fomente con profesionales, servir para sumar fuerzas y conocimientos y el resultado ser de una multiplicacin de saberes especializados, que beneficiaran a todas las partes.

www.antpji.com

33

Curso de Derecho Informtico y Peritaciones Judiciales

1.2. Importancia y Objetivos de la Informtica Forense

La importancia y el objetivo de la informatica forense, es precisar las causas y el origen de los incidentes tecnolgicos de manera comprensible para los no entendidos en la materia, preservar las evidencias, analizarlas, ayudando a detectar pistas sobre ataques informticos, robo de informacin, conversaciones o pistas de emails, chats. Estas tcnicas incluyen reconstruir el bien informtico, examinar datos residuales, autenticar

datos y explicar las caractersticas tcnicas del uso aplicado a los datos y bienes informticos. No solo est el uso de tecnologa punta para analizar estos datos, preservar las evidencias

y procesar las evidencias, sino que requiere una especializacin y unos conocimientos avanzados y continuos en materia informatica y telemtica que abarcan desde software, hardware, redes, seguridad, hacking, pen-test, cracking, recuperacin de datos, virus, troyanos. La informtica forense ayuda al poder mantener su integridad ya que la evidencia digital o

electrnica es sumamente frgil y voltil, con una duracin determinada. El simple hecho de darle doble clic a un archivo modificara la ltima fecha de acceso del mismo. Cuando somos convocados para la realizacin de una pericial, la mayora de los casos es

para recuperar la informacin que no es accesible por medios convencionales, se perdieron por un fallo tecnolgico de hard y/o soft, borraron por un fallo humano intencionado o no, corrompieron las estructuras internas del software del sistema de archivos o por cualquier otra causa similar. El cliente nos da su versin de los hechos, en donde encontramos errores, fallas, y verdades

a medias, muchas veces recordemos no es que nos mienta, sino que no tiene los conocimientos ni los datos adecuados, al igual que intentos de recuperacin, anlisis o escrituras de datos recientes. Hemos de aplicar nuestro conocimiento y experiencia para recuperar la informacin, descubrir la falla, si hubo error humano en donde se busca adulterar, ocultar, si se da fsicamente o borrado con el objeto de que pase desapercibida; sabiendo que estas alteraciones de informacin pueden constituir un delito o un crimen. Este servicio es de utilidad a empresas que llevan adelante juicios laborales, civiles y mer-

cantiles, con sus empleados, o con sus asociados por conflictos de intereses, a estudios jurdicos que necesitan recabar informacin ya sea para presentarla frente a un tribunal o bien para negociar 34 www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

con las partes un acuerdo extrajudicial de resarcimiento, renuncia, etc. Es de utilidad a los organismos judiciales y policiales que buscan evidencias de todo tipo de ciberdelitos, ya que las evidencias electrnicas es un componente indispensable en litigios con componentes tecnolgicos. Nosotros somos conscientes del 84% de los ciberdelitos se producen desde dentro de la organizacin, que el 97% de la informacin que manejamos se genera y almacena de manera electrnica, que las evidencias son frgiles, voltiles; que se pueden alterar y modificar, perdiendo una autenticidad por no preservarse o asegurar la custodia. La Informatica Forense no tiene una parte preventiva, no se encarga de prevenir delitos; ya que para eso est la seguridad y auditoria informatica.

www.antpji.com

35

Curso de Derecho Informtico y Peritaciones Judiciales

1.3. Evidencia Electrnica (Digital y telemtica)

Antes de manipular una evidencia electrnica, hay muchas cosas que se deben considerar. Una de ellas es que estemos seguros de que nuestra bsqueda no va a violar ninguna ley o dar lugar a responsabilidades legales. Las evidencias electrnicas son datos que de manera digital se encuentran almacenados o fueron transmitidos mediante equipos informticos y que son recolectados mediante herramientas tcnicas especializadas empleadas por un perito informtico en una investigacin. Tienen la funcin de servir como prueba fsica (por encontrarse dentro de un soporte) de carcter intangible (no modificables) en las investigaciones informticas. Implicaciones jurdicas Por la importancia que una prueba supone, los peritos informticos que se encuentran en-

cargados de recabar las evidencias electrnicas estn obligados a respetar los principios la normativa vigente UNE 197001:2011(Una norma es un documento de aplicacin voluntaria que contiene especificaciones
tcnicas basadas en los resultados de la experiencia y del desarrollo tecnolgico.Las normas son el fruto del consenso entre todas las partes interesadas e involucradas en la actividad objeto de la misma. Adems, deben aprobarse por un Organismo de Normalizacin reconocido.Las normas garantizan unos niveles de calidad y seguridad que permiten a cualquier empresa posicionarse mejor en el mercado y constituyen una importante fuente de informacin para los profesionales de cualquier actividad econmica.)y

que

la Organizacin Internacional de Evidencia en Ordenadores (IOCE) propone: 36 1. Las acciones llevadas a cabo para adquirir la evidencia electrnica no deben modificarla. 2.Las personas que accedan a la evidencia electrnica original deben estar especializadas para tal efecto. 3. Toda aquella actividad referente a la adquisicin, acceso, almacenamiento o transferen- cia de la evidencia electrnica, debe ser totalmente documentada, almacenada y debe es- tar disponible para su revisin. 4. Un individuo es responsable de todas las acciones que sean llevadas a cabo respecto a la evidencia electrnica, mientras sta, est se encuentra en su poder. 5. Cualquier organismo que sea responsable de la adquisicin, acceso, almacenamiento o transferencia de la evidencia electrnica deber cumplir estos principios. Legislacin Aplicable Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal. www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Ca- rcter Personal. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y de Comercio

Electrnico. Diferencia entre ley, decreto, resolucion y norma. Una ley es una regla o norma elaborada y aprobada por el poder legislativo. Su incumpli-

miento conlleva a una sancin. Un decreto es elaborado y emitido por el poder ejecutivo. Es una disposicin dictada por la

Autoridad en asuntos de su competencia.Es un tipo de acto administrativo emanado habitualmente del poder ejecutivo y que, generalmente, posee un contenido normativo reglamentario, por lo que su rango es jerrquicamente inferior a las leyes.Esta regla general tiene sus excepciones en casi todas las legislaciones, normalmente para situaciones de urgente necesidad, y algunas otras especficamente tasadas. Existe tambin el decreto legislativo, el cual puede utilizar el Gobierno para dictar normas en materia delegada por las Cortes, sobre materias que no necesiten ser reguladas por ley orgnica. Finalmente esta el decreto ley, el cual es una delegacin expresa y especial del Poder legislativo, ante circunstancias excepcionales, a favor del Poder ejecutivo. Una resolucin es un fallo o providencia de una autoridad. Una resolucin judicial es el acto procesal proveniente de un tribunal, mediante el cual resuelve las peticiones de las partes, o autoriza u ordena el cumplimiento de determinadas medidas. Una norma jurdica es una regla u ordenacin del comportamiento humano dictado por la autoridad competente del caso, con un criterio de valor y cuyo incumplimiento trae aparejado una sancin. Generalmente, impone deberes y confiere derechos. La ley es un tipo de norma jurdica, pero no todas las normas son leyes, pues son normas jurdicas tambin los reglamentos, rdenes ministeriales, decretos y, en general, cualquier acto administrativo que genere obligaciones o derechos.

www.antpji.com

37

Curso de Derecho Informtico y Peritaciones Judiciales

En derecho procesal, la evidencia electrnica es la certeza clara, manifiesta y tan perceptible que nadie puede dudar de ella y para ello ha de ser: Admisible: debindose ajustar a ciertas normas legales que puedan ser presentadas ante un tribunal. Autntica: Debe ser posible vincular positivamente probatoria material al incidente. Completa: Debe contar toda la historia y no slo un en particular perspectiva, indicando procedimiento, herramientas, aplicaciones y herramientas utilizadas. Confiable: No debe haber nada acerca de cmo la evidencia ha sido recogida, cadena de custodia, extrada, analizada, investigada y tratada; sin que arroje ninguna duda sobre su autenticidad y veracidad. Creble: Debe ser creble y comprensible por un tribunal. Si la recopilacin de pruebas se hace correctamente, es mucho ms til en aprehender el

atacante, y destaca una mayor posibilidad de ser admisible en el caso de un proceso judicial. Toda infraestructura informtica puede ser analizada ya que cualquier componente contiene

una memoria y puede albergar datos, pudindose analizar como ejemplo: Disco duro de un ordenador o Servidor, Logs de seguridad, Informacin de Firewalls, IP, redes, Software de monitoreo y seguridad, Credenciales de autentificacin, Trazo de paquetes de red, Telfono Mvil, Smartphones, consolas, televisiones con conexin a red, Agendas Electrnicas (PDA), Dispositivos de GPS, Impresora, Memoria USB

1.4. Metodologa para la realizacin de un Peritaje Informtico

Identificacin,Clasificacin, Clonacin, Cadena de custoda, Analsis de la Informacin,
Preservacin y Presentacin

Antes de empezar un anlisis forense se recomienda describir cmo se va a realizar la reco-

leccin de evidencias. Si es posible tener acceso a alguien que est ntimamente relacionado con el ordenador, obtener informacin general como el tipo de ordenador, sistema operativo, si est en una red LAN, en Internet, etc. Adems puede que necesitemos algunas herramientas como CDs 38 www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

Forenses, contenedores adecuados para transportar el hardware, y otras herramientas. Para la elaboracin de un informe o dictamen pericial informtico, es necesario confeccionar

una gua para no liarnos en el proceso, ya que la obtencin de evidencias electrnicas de los equipos electrnicos, tanto los que existen como los que han sido borrados o eliminados que pueden ser relevantes en el procedimiento al que nos han solicitado nuestra pericia. No debemos de olvidar el Cdigo Deontologa de nuestra Asociacin, las buenas prcticas,

el secreto profesional de los datos que pudiramos conocer, respetar la LOPD, y presentar tan solo los ficheros por los que nos han solicitado nuestra pericia que pueden tener una relevancia jurdica informando de su contenido y no otros. Es muy importante adems de ser profesional, parecerlo. Cuando nos presentamos para la

realizacin de una pericia informtica tanto judicial como extrajudicialmente, debemos de presentarnos con pulcritud, utilizando un lenguaje no tcnico y anotando cada paso del protocolo realizado con lo que llevaremos un maletn de trabajo con un mnimo de materiales como: Ordenador porttil, para comprobar si hay wifi y verificar si hay amenazas de robo de red Cmara digital de fotos con grabadora Agenda y bolgrafos Discos pticos CDs, DVDs , vrgenes y rotulador de discos Grabadora de DVDs externa Destornilladores variados y de precisin Discos HDD, de 2.5 y 3.5 nuevos Grabadores en software, grabadora de discos duros, Donking station Guantes de ltex, Bolsas antiestticas, Grabadora de audio En nuestra intervencin, deberemos de seleccionar los elementos relevantes, descartando

los dems equipos tecnolgicos, previo examen inicial. Detallar al notario, todos los pasos en nuestra intervencin al igual que el uso de programas y herramientas que utilicemos en nuestra pericia. Cuando localizamos los ficheros, se imprimen y se realizan transcripciones escritas No alterar los elementos informticos originales, trabajando con copias clnicas.

www.antpji.com

39

Curso de Derecho Informtico y Peritaciones Judiciales

En nuestra intervencin, deberemos de seleccionar los elementos relevantes, descartando

los dems equipos tecnolgicos. Previo examen inicial, detallar los pasos en nuestra intervencin al igual que el uso de programas y herramientas que hemos utilizado en nuestra pericia. Realizar el informe pericial, repasndolo varias veces, antes de la entrega al cliente, analizando todos los posibles errores en su confeccin. Cuanto ms claro e irrefutable sea el dictamen, la ratificacin en juicio ser menor, aunque muchas veces sea preciso nuestra presencia en el juicio. Identificacin La primera toma de contacto es muy importante para poder identificar los actores, el peticionario, la empresa, conocer la problemtica que nos indica el cliente, los antecedentes, el alcance de la pericial, situacin actual y el proceso que se quiere seguir para poder tomar la mejor decisin con respecto a las bsquedas y la estrategia de investigacin. Incluye muchas veces la identificacin del bien informtico, su uso dentro de la red, el inicio Puede haber diferentes motivos por los cuales nos toque realizar una pericial informatica: Por parte del Juzgado Por estar en el turno de periciales de la Asociacin o Colegio Profesional en que ests dado de alta Por contactos personales o profesionales. Cuando localizamos los ficheros, se imprimen y se realizan transcripciones escritas No se

han de alterar los elementos informticos originales, trabajando con copias clnicas.

de la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia), la revisin del entorno legal que protege el bien y del apoyo para la toma de decisin con respecto al siguiente paso una vez revisados los resultados. En esta fase es cuando debemos de valorar al cliente, ya que en nuestra segunda cita he-

mos de llevar el presupuesto detallado de la pericial, estimando algunos factores que no tengamos recabados de esta toma de contacto, el contrato de confidencialidad y la provisin de fondos que ha de ser como mnimo del 50% del importe que hayamos calculados; ya que no es la primera vez que los resultados de arroja el perito informtico que es asptico al resultado de las evidencias 40 www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

electrnicas, no sean del agrado del cliente o no sean la persona que espera. Clasificacin Lo primero es un examen visual de la situacin, para poder clasificar los elementos que pue-

dan intervenir en la pericial, debiendo estar atentos a lo que haya a vuestro alrededor en el primer anlisis en frio que realicis, en la primera intervencin, a) quien maneja los equipos informticos, b) empleados, c) personal externo, d) proveedores, e) identificar al informtico o responsable del departamento informtico, f) quien es el encargado de la seguridad informtica, g) cuantas personas acceden a la empresa desde la red como el web mster, proveedores de servicios, comerciales, directivos Hay muchos productos tecnolgicos que pueden tener evidencia, como telfonos, disposi-

tivos inalmbricos, PDAs, Routers, Firewalls, dispositivos de red, dispositivos de almacenamiento masivo como disquetes, cds, cintas magnticas, pen drives, memory cards, etc. Especial atencin a los aparatos y equipos tecnolgicos como: Equipos informticos, tanto

equipos de sobremesa como porttiles, Servidores, Smartphones, Tablet, Agendas electrnicas, E-Book, PDA, Pen drives, Discos Duros, Reproductores, MP3, Dispositivos USB, Grabadores de Tarjetas Magnticas, Discos pticos CDs y DVS, eliminando los grabados por los fabricantes, Programas de instalacin, Telfonos mviles, Impresoras, Fotocopiadoras Es de vital importancia, conocer el alcance de la pericial en cuanto a aparatos tecnolgicos a

analizar, ya que no tardaremos el mismo tiempo en realizar un clonado a un equipo informtico, que a un departamento con cinco equipos de sobremesa, dos porttiles, cinco telfonos, un servidor, cuatro pendrives y un disco duro. Para estos casos es mejor contar con la ayuda de otros compaeros, porque en este trabajo

el factor tiempo es importante y nos ahorramos que algn iluminado tenga tiempo de alterar mediante un dispositivo electrnico, alguna evidencia vital. Tengamos algunas referencias puntuales y seguirlas aunque sea muy repetitivo, y anotarlas

en las periciales, s por experiencia que no tenemos una segunda oportunidad de nuestra actuacin. Adheriros a la poltica de seguridad de su sitio y coloque las incidencias de manera adecuada.

www.antpji.com

41

Curso de Derecho Informtico y Peritaciones Judiciales

Realizar todas las capturas de imgenes posibles, durante el anlisis en fro. Documente

cada paso, tome notas detalladas de todo lo que este en vuestra visual, el nombre del notario, actores, quien estaba all, que haca, lo que han observado, como han reaccionado, equipos informticos, serialesapuntar fechas y horas y si es posible generar una transcripcin automtica. Notas e impresiones deben estar firmadas y fechadas. Ojo, con la diferencia entre el reloj del sistema y la hora UTC. Para cada uno indicacin de la hora prevista, se indicar si se utiliza UTC o como hora local. No sabrs cuando te tocara ratificarte en el juzgado y es probable que pase un tiempo, con lo que los detalles anotados y las notas detalladas sern vitales para tu defensa del informe. Cuando nos enfrentamos a una eleccin entre la recoleccin y el anlisis debes hacer prime-

ro recopilacin y el anlisis posterior. Se metdico y enfoca cada dispositivo segn las directrices que establezcas en el primer examen visual y poder incluso realizar un trabajo en paralelo, pero paso a paso. No olvidis la volatilidad de algunas evidencias. Empezando por el registro, cach, tabla de enrutamiento, cach arp, tabla de procesos, estadsticas del kernel, memoria, los sistemas de archivos temporales, disco duro, registro y seguimiento de los datos que son relevantes, topologa de red y medios de archivo. Cuando se eliminan vas externas para el cambio, tengan en cuenta que simplemente

desconectar o filtrar la red puede desencadenar Interrupcin y equipo muerto que se detecta cuando se esta fuera de la red y borra la evidencia. Clonacin El Clonado o la Imagen Forense, llamada tambin Espejo (en ingls Mirror), es una copia

bit a bit de un medio electrnico de almacenamiento. En la imagen quedan grabados los espacios que ocupan los archivos y las reas borradas incluyendo particiones escondidas. Existen muchos programas informticos que realizan esta labor, pero si se combina con una grabadora de discos el resultado es ms fiable, ya que hemos de recordar, que no podremos volver a la situacin en la que nos encontramos ahora en un futuro. Todos los equipos han de ser fotografiados e inventariados en nuestra agenda con la resea

y ficha del sealando en el momento que fueron encontrado en el lugar de la intervencin y con las caractersticas tcnicas de cada elemento, tanto si estn en funcionamiento como apagados. 42 www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

Equipo Marca Modelo Nmero de Serie Es importante que nadie en el momento de nuestra intervencin, manipulen los equipos con

el objeto de que alguien introduzca algn archivo que invalide el peritaje y si se ha de proceder al apagado de algn equipo, retiraremos la corriente elctrica, para no perder ficheros temporales significativos. De esta manera no dar lugar a conjeturas acerca del proceso de la cadena de custodia en el peritaje inicial. Nuestra actuacin en los equipos relevantes y sin apagarlos ni dejar que el monitor se apague consistir en la copia de los discos duros, memorias y similares mediante las docking station de grabacin y utilizando las herramientas y programas forense que utilizamos normalmente. Si en nuestra intervencin, normalmente judicial hay que intervenir los equipos, deberemos de realizar un inventariado anotando y firmando cada elemento intervenido, procediendo de la siguiente manera: Ordenadores de sobremesa: Comprobamos si las lectoras tienen algn disco ptico, si

hay algn pendrive, tarjeta de memoria u otro dispositivo usb conectado y procedemos al apagado el ordenador, desenchufando directamente de la corriente para no perder archivos que pueden ser relevantes, desconectamos los cables y extraemos todos los discos duros Ordenadores Porttiles: comprobamos si hay algn disco ptico en la lectora, si hay algu-

na tarjeta o pendrive u otro dispositivo usb y desenchufamos el cargador, la batera y procedemos a la extraccin del disco duro, sabiendo que algunos equipos porttiles tienen dos discos duros. Discos pticos: anotaremos el nmero de serie que est en el orificio central Todos los discos tanto rgidos como pticos han de ser firmados y guardados en bolsas an-

tiestticas Todos los dems equipos tecnolgicos de la intervencin debern inventariarse, firmarse y guardarse en bolsas antiestticas por separado, con sus cargadores correspondientes.

www.antpji.com

43

Curso de Derecho Informtico y Peritaciones Judiciales

Errores a evitar 1. No parar hasta haber completado la recopilacin de pruebas. Muchas pruebas se pueden perder y el atacante pudo haber alterado la inicio / scripts / servicios para destruir la evidencia de apagado. 2. No fiarse de los programas en el sistema. Ejecuta sus pruebas rene los programas de los medios de comunicacin debidamente protegidas. 3. No ejecute programas que modifican el tiempo de acceso de todos los archivos de sistema (por ejemplo, tar o xcopy).

Cadena de Custodia. La documentacin es esencial en todas las fases del manejo y procesamiento de la eviden-

cia electrnica. Documentando quien adquiere y maneja evidencias en un momento dado es algo imprescindible para mantener la Cadena de Custodia. Esto no es algo inusual para alguien que maneja una evidencia para posteriormente presentar las conclusiones ante un juicio. La continuidad de la posesin o Cadena de Custodia debe ser establecida para que la evidencia sea admitida como vlida, aunque frecuentemente todas las personas involucradas en la adquisicin, transporte y almacenamiento de evidencias son llamadas para testificar en un juicio. De modo que, para evitar confusiones y mantener el control completo de la evidencia en cada momento, la Cadena de Custodia debera estar obligada a cumplir un mnimo. As que, debera anotarse cuidadosamente cuando se adquiere la evidencia, de donde y por quien. Por ejemplo, si la evidencia se copia en un disquete, deberamos anotar en la etiqueta del mismo y en la cadena de custodia la fecha y hora actuales, las iniciales de la persona que hizo la copia, como hizo la copia y la informacin relativa al contenido del disquete. Adicionalmente, los valores MD5 o SHA de los archivos originales deberan ser notados antes de copiarse. Yo aconsejo sin lugar a dudas contar con un fedatario pblico, ya sea notario, secretario judi-

cial o secretario publico habilitado, cuando realizo una pericial con el objetivo de mantener segura la cadena de custodia evitando la nulidad de la prueba.

44

www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

Cuando empezamos nosotros, tan solo se aseguraba la identidad de las personas que ma-

nejan la evidencia en el tiempo del suceso y la ltima revisin del caso, siendo responsabilidad del perito que maneja la evidencia asegurar que los artculos son registrados y contabilizados durante el tiempo en el cual estn en su poder, y que son protegidos, llevando un registro de los nombres de las personas que manejaron la evidencia o artculos con el lapso de tiempo y fechas de entrega y recepcin. Nosotros fuimos pioneros en incorporar la figura del fedatario pblico (Notario o Secretario

Judicial) en las periciales informticas, con lo que es l quien identifica a los actores y sus equipos tanto informticos como terminales mviles, les informa de lo que se va a realizar con todas las garantas y les solicita los datos de acceso a su equipo o lo que sea necesario. La guardia y custodia se realiza tambin a travs de l, una vez identificado el soporte, mar-

cado e introducido en un sobre donde constan todos los datos. Esto es necesario, si creemos que puede haber alguna manipulacin del dispositivo por otra persona del entorno o que pueda acceder mediante un remoto. Anlisis de la informacin obtenida. Aconsejo la utilizacin de una cmara videograbadora que nos servir a nosotros para saber

todo el proceso que hemos realizado, y nos ayudara a corregir los errores habituales. Nuestra mesa de trabajo a de estar asptica y contar con las herramientas, programas y ordenadores que tendrn diferentes sistemas operativos. El perito informtico debe ser capaz de describir claramente cmo se encontr la evidencia,

la forma en que se manej y todo lo que pas con l y tener las respuestas adecuadas para responder: Dnde, cundo y por quin fue la evidencia descubierta y recogida? Dnde, cundo y por quin fue la evidencia manejada o examinado? Quin tena la custodia de la evidencia, durante qu perodo? Cmo se custodi? Cuando la evidencia cambi la custodia, cuando y cmo lo hizo el envo ?(incluir nme ros de envo, etc.) www.antpji.com 45

Curso de Derecho Informtico y Peritaciones Judiciales

Procederemos a las lecturas de los discos rgidos, pticos, pendrives y dems elementos;

con los distintos soportes operativos, ordenadores, docking station y elementos que componen nuestro laboratorio forense informtico. Realizaremos una recuperacin de posibles archivos borrados, para localizar archivos po-

tenciales o relevantes, al igual que las grabaciones y hay que recalcar el fichero borrado y recuperado en el informe, explicando el mtodo por el que se ha obtenido, indicando los programas y las herramientas. Aquellos archivos que no podamos leer por tener archivos daados, encriptacin, dao fsico

o similar se enviaran a la cmara de vaco de los laboratorios de recuperacin de datos. . Escribiremos todo el proceso realizado, indicando los programas y herramientas utilizadas, etiquetando por separado en CDs cada archivo que pueda ser relevante para el caso y cerrados para evitar la manipulacin futura. Cada archivo ha de examinarse por separado y verificar los metadatos del mismo. Verificar Para la localizacin de archivos en los discos clonados, necesitaremos discos limpios y sis-

temas auto arrancables para no alterar ningn dato que pudiera invalidar la prueba pericial

con detenimiento carpetas y subcarpetas, y antes de la eliminacin de cada uno de ellos, mirar las propiedades y su peso, ya que pueden estar ocultos o encriptados. Adems de la transcripcin escrita, indicando la ruta completa del archivo, fecha de creacin del fichero, usuario del equipo informtico y su localizacin, hay que imprimir un pantallazo, con indicacin nica del archivo, carpeta o dato encargado en la pericia. Es habitual el uso de remotos para la realizacin de actos delictivos, con lo que si en los ar-

chivos aparece la manipulacin de archivos desde otra ip distinta al ordenador de la pericia, resear la ip manipuladora. Cuando intentamos abrir un archivo y no tenemos el programa en nuestro laboratorio con el que se habra normalmente, es recomendable el block de notas o utilizar un sistema independiente como Linux. Durante este proceso hemos de aplicar tcnicas cientficas y analticas a los medios duplica-

dos por medio del proceso forense para poder encontrar pruebas de ciertas conductas. Se pueden 46 www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

realizar bsquedas de cadenas de caracteres, acciones especficas del o de los usuarios de la mquina como son el uso de dispositivos de USB (marca, modelo), bsqueda de archivos especficos, recuperacin e identificacin de correos electrnicos, recuperacin de los ltimos sitios visitados, recuperacin del cach del navegador de Internet, etc. Hay que recordar realizar una copia en el laboratorio de las evidencias a analizar, es muy

comn el fallo de introducir algn programa, herramienta o aplicacin que altere la evidencia o un archivo digital, creando bases de datos de informacin errneas. Mediante un anlisis detallado de correos o archivos descubiertos, es necesario crear una base de datos de informacin relacionada al archivo (metadatos, etc..), consistente entre otras cosas en la firma del archivo o hash (indica la integridad del archivo), autor, tamao, nombre y ruta, as como su creacin, ltimo acceso y fecha de modificacin. Preservacin Este paso incluye la revisin y generacin de las imgenes forenses de la evidencia para

poder realizar el anlisis. Dicha duplicacin se realiza utilizando tecnologa punta para poder mantener la integridad de la evidencia y la cadena de custodia que se requiere. Al realizar una imagen forense, nos referimos al proceso que se requiere para generar una copia bit-a-bit de todo el disco, el cual permitir recuperar en el siguiente paso, toda la informacin contenida y borrada del disco duro. Para evitar la contaminacin del disco duro, normalmente se ocupan bloqueadores de escritura de hardware, los cuales evitan el contacto de lectura con el disco, lo que provocara una alteracin no deseada en los medios.

www.antpji.com

47

Curso de Derecho Informtico y Peritaciones Judiciales

Informe pericial El informe pericial es una primera valoracin por el perito que se entrega generalmente al

consejero jurdico del cliente, para poder examinar las evidencias electrnicas halladas y dirimir como se va a llevar el proceso en vista a las pruebas obtenidas. Se realiza un informe tipo en donde se hace constar de manera clara y con un lenguaje no tcnico de los datos obtenidos. Dictamen con conclusiones Cuando recibimos la contestacin del asesor legal y el visto bueno del cliente que nos ha-

realizado la provisin de fondos y ha firmado el contrato de servicio pericial nos dedicamos a la emisin de un dictamen de la pericia encargada con las conclusiones finales. En dicho dictamen, se indican qu componentes informticos, se han encontrado los ficheros relevantes y el resumen de su contenido de la evidencia digital, referencindose en el informe como evidencia electrnica relevante. Todos los dictmenes han de tener una excelente caligrafa con lo que el ordenador es una opcin recomendable, cuidando la revisin de faltas ortogrficas, no escatimando en cuanto a la presentacin, numero de hojas ni discos pticos en donde estn las evidencias electrnicas vinculantes al esclarecimiento del caso. En nuestro dictamen tiene que constar: Nombre y Apellidos del cliente Nmero de diligencias y Juzgado Objeto de la Pericia Identificacin del Perito (En los peritajes penales, es mejor omitir los datos personales, identificndose con el carnet profesional) Si pertenece a alguna Organizacin o Colegio Profesional Inventario de los equipos analizados con sus fichas tcnicas y la procedencia de los

mismos Ratificacin Cuando el juez acuerde nuestra presencia en el procedimiento, nos citar con antelacin

suficiente para poder refrescar la pericial realizada con lo que conviene tener todos los datos ordenados y enumerados. 48 www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

Nuestra actuacin en el juicio es bsicamente la de ratificarnos en el dictamen realizado,

pudiendo las partes realizar preguntas sobre el proceso del mismo o las evidencias electrnicas halladas. Con lo que es muy importante la presentacin de un dictamen con la letra legible, con indicacin de todo el protocolo y la enumeracin de equipos en los que hemos realizado la pericia y los pasos realizados; ya que el juez no tiene que tener ninguna duda al or el dictamen aportado. Un informe mal realizado, puede llevarnos a una contra pericial con lo que el trabajo se multiplica y mermara nuestra reputacin. Recordar que el dictamen pericial, sus conclusiones u observaciones no son definitivos, ni

concluyentes; la valoracin jurdica del dictamen pericial queda a criterio del Juez o Tribunal, quienes pueden aceptarlo o no con el debido sustento o motivacin.

1.5. Herramientas de Informtica Forense para el anlisis de dispositivos electrnicos, digitales y telemticos
Nuestro informe ha de ser imparcial en cuanto a las evidencias electrnicas obtenidas, describiendo desde la recepcin de equipos hasta la obtencin de las evidencias electrnicas relevantes, describiendo el protocolo utilizado en la cadena de custodia, copias y obtencin de datos, detallando las caractersticas de los equipos que forman la pericia, enumerando los equipos informticos y los ficheros y datos enumerados. No olvidaros de firmar el dictamen con vuestros datos profesionales y telfono de contacto.

Se devuelven todos los materiales informticos intervenidos y guardamos una copia del dictamen pericial que nos servir de archivo y de refresco para una posible ratificacin de nuestra pericia en un juicio. Tambin es conveniente realizar una copia de los discos pticos relevantes y los discos rgidos. En el mercado hay multitud de aplicaciones, programas, equipos y herramientas Forenses

que os pueden ser tiles durante la investigacion; pero no hay que olvidar que en la ANTPJI tenemos los mejores y no podemos olvidar a la FOCA FORENSE www.informatica64.com de nuestro compaero Chema Alonso que nos soluciona todos los datos en cuanto a los metadatos y 101 utilidades forenses que compartimos con vosotros, utilidades que debe de tener un perito informtico cuando tiene un caso o intervencin en un cliente.

www.antpji.com

49

Curso de Derecho Informtico y Peritaciones Judiciales

Esto es solo un recopilatorio personal, pero cada uno tiene que analizar y valorar las que le

interesen y recordar que estamos en un proceso cambiante, donde cada da hay ms novedades y ms en informatica forense. Estn ordenadas alfabticamente pero no las he categorizado dado que muchas hacen lo mismo y valen tanto para analizar ordenadores como dispositivos mviles, buscar malware o encontrar evidencias. Espero que os sean de utilidad. Programa Advanced Pretech Analyser Agent Ransack analyzeMFT Fabricante Hallan Hay Mythicsoft David / Kovar Descripcin Lee los ficheros prefetch de Windows. Busca multiples ficheros usando Peri Regex. Permite realizar Parses de MFT en sistemas NTFS con objeto de analizarlos con otras herraAudit Viewer Autopsy Mandiant Brian Carrier mientas. Visualizador utilizado en combinacin con Memoryze Reconocida herramienta grfica para entornos Linux con muy buen sabor y experiencia en entorBacktrack Bitpim Caine Chrome Analysis Chrome Cache View Backtrack nos forense. Suite de Penetration testing y seguridad para la

realizacin de auditoras de seguridad. Bitpim Analiza dispositivos mviles University of Mode- Live CD, con numerosas utilidades y herramienna e Reggio Emilia Forensic Software Nirsoft tas Herramienta que permite el anlisis del historico de internet del famosos Google Chrome Lee los ficheros de la cache de Google Chrome u visualiza en una lista lo que se encuentra almacenado. Convierte varios tipos de fechas y tiempos. Detecta ficheros multimedia en espacios unallocated Framework que permite el anlisis de volumenes, sistemas de ficheros, aplicaciones de usuario, extraccin de metadatos, ficheros borrados y ocultos.

DCode Defraser Digital Forensics Framework

Digital Detective Varios ArxSys

50

www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

Programa Dumplit

Fabricante MoonSols

Descripcin Realiza un volcado de la memoria a fichero. Funciona en 32 y 64 bits se puede ejectutar desde un USB. Visualiza (pero no exporta) ficheros Outlook sin utilizar Exchange Server Potente herramienta y la mejor de su especie. De reconocido prestigio internacional. Vale para todo en el mbito Forense. Econmicamente muy elevada pero muy recomendable. Comprueba discos fsicos en busca de ficheros o volmenes cifrados con TrueCrypt PGP o Bitlocker. Extrae datos (metadatos) Exif de fotografas digitales Uno de los ms rapidos en copiar y/o borrar, permite utilizar SHA-1. Habilita la capacidad de almacenamiento de discos formateados en FAT32 Herramienta para fingerprinting e information gathering en trabajos de auditora web. Especial para el tema de metadatos. Visor de varios formatos con posibilidad de extraer metadatos Exif o datos de geolocalizacin GPS. Extrae informacin relacioanada con los usuarios en Windows utilizando los ficheros SAM, Software y SYSTEM hives tambin desencripta hashes LM/ NT Herramienta que permite el anlisis del historico de internet de firefox Herramienta para adquirir, montar y analizar de forma bsica imgenes de equipos. Tambin es capaz de volcar la memoria a fichero. Obtiene de ficheros HTML informacin que se ha cacheado al utilizar artefactos de gmail www.antpji.com 51

EDB Viewer EnCase

Lepide Software Guidance

Encrypted Disk Detector Exif Reader FastCopy FAT32 Format FOCA

JAD Software

Ryuuji Yoshimoto Shirouzu Hiroaki Ridgecrop Informatica 64

Forensic Image Viewer ForensicUserInfo

Sanderson Forensics Woanware

FoxAnalysis FTK Imager

forensic-software AccesData

Gmail Parser

Woanware

Curso de Derecho Informtico y Peritaciones Judiciales

Programa HashMyFiles Highlighter IECacheView IECookiesView IEHistory View IEPassView KaZalyser Live View LivecontactsView Mail Viewer

Fabricante Nirsoft Mandiant Nirsoft Nirsoft Nirsoft Nirsoft Sanderson Forensics CERT Nirsoft MiTec

Descripcin Calcula hashes MDS y SHA Examina ficheros log usando texto, grficos o histogramas Lee los ficheros de la cache de Internet Explorer y lo visualiza en una lista Extrae detalles de las cookies de Internet Explorer Extrae las visitas recientes de las URL`s de Internet Explorer Extrae las passwords de Internet Explorer en las versiones 4 a 8 Extrae informacin del famosos programa P2P KAZA Permite al analista examinar y arrancar imagenes en formato dd y VMware. Visor que permite exportar los contactos y otros detalles de Windows Live Messenger Visor de Outlook Express, Windows Mail, Windows Live Mail, Mozilla ThunderBird y ficheros basados en ficheros EML Adquiere y analiza imagenes RAM. Permite analizar el fichero pagefile en sistemas vivos. Muestra y decodifica contenidos extrados en ficheros MTF Ejecuta un ISO linux desde windows sin tener que reiniciar. Basado en QEMU. Ayuda a utilizar servidores FTP sin tener que tocar windows. Recoge todos los datos posibles desde el telfono mvil, a continuacin, genera un amplio informe que se puede almacenar o imprimir. Soporta la mayora de los mviles. Flash & Backup - actualiza el firmware y M-explorer - administrador de archivos pequeos, fciles de usar y gratis Lee los ficheros de la cache de Mozilla y visualiza en una lista lo que se encuentra almacenado

Memoryze MFTview MobaliveCD

Mandiant Sanderson Forensics Mobatek

MobilEdit

MobilEdit

Motorola Tools

MozillaCacheView

Nirsoft

52

www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

Programa MozillaCookieView MozillaHistoryView MyLastSearch

Fabricante Nirsoft Nirsoft Nirsoft

Descripcin Extrae detalles de las cookies de Mozilla Herramienta que permite el anlisis del histrico de internet de Mozilla Extrae bsquedas utilizadas en los buscadores ms populares (Google,Yahoo y MSN) tambin en redes sociales (Twitter, Facebook, MySpace) Analizador de red y detector de intrusiones Analizador de paquetes de red. Programa de captura con el fin de detectar los sistemas operativos, las sesiones, los nombres de host, puertos abiertos, etc. Jams volvers a utializar el clsico notepad despues de esta versin. Lee los ficheros de la cache de Opera y visualiza en una lista lo que se encuentra almacenado. Desencripta las password del fichero wand.dat de Opera Analiza todos los datos disponibles de un mvil. Realiza montajes virtuales de unidades y de imgenes. Permite Montar remotamente discos, captura de trfico de red, de RAM, utilidades de bsqueda, etc. Recoge todos los datos posibles desde el telfono mvil, a continuacin, genera un amplio informe que se puede almacenar o imprimir. Extrae usuario y contraseas almacenadas en Mozilla Firefoz Examina los procesos Windows y permite hacer un seguimiento en tiempo real del registro y accesos a disco. Abre y visualiza ( No Exporta) ficheros PST sin necesidad de Outlook Suite de utilidades en modo Comando www.antpji.com 53

Netdetector Netwitness Investigator NetworkMiner

Niksun Netwitness Netresec

Notepad** OperaCacheView OperaPassView Oxygen P2 eXplorer P2 Shuttle Free

Notepad** Nirsoft Nirsoft Oxygen Paraben Paraben

Paraben Forensics

Paraben

PasswordFox Process Monitor

Nirsoft Microsoft

PST Viewer PsTools

Lepide Software Microsoft

Curso de Derecho Informtico y Peritaciones Judiciales

Programa recuva Registry Decoder RegRipper Regshot

Fabricante Piriform Digital Forensics Solutions Harlan Carvey Regshot

Descripcin Excelente para recuperar tus ficheros en Windows Adquisicin, anlisis e informe del contenido del registro Herramienta de coleccin y extraccin de evidencias forenses del registro. Realiza snapshots del registro con objeto de comparar y ver los cambios que se producen. Ideal para ver que hace un malware. Es una suite de software de recuperacin de datos que puede recuperar archivos de FAT (12 32) NTFS, NTFS 5 * HFS / HFS, FFS, UFS/UFS2 (*BSD, SOLARIS), ext2/ext3 (LINUX). Visualiza y extrae ficheros de copias shadow VMware Appliance de SANS configurado con mltiples herramientas para el anlisis forense Analizador del famoso Skype El ms verstil y magnfico detector de intrusos. add-on en Firefox que permite ver contenidos de bases de datos SQLite. Busca contenido de texto en ficheros Visualiza y maneja estructuras basadas en ficheros MS OLE. Magnifica suite de herramientas forenses para el montaje de discos virtuales, imgenes y recuperacin y anlisis de datos. Herramienta indispensable para el anlisis forense de IPHONE Gua para usar con Unbuntu live con objeto de utilizar recuperacin de particiones, ficheros, etc. Es el sistema ms completo que combina la extraccin lgica y fsica, la recuperacin de clave de acceso y extraccin del sistema de archivos de mltiples dispositivos mviles. Detecta procesos raros este es tu software

Rstudio

Shadow Explorer SIFT SkypeLogView Snort SQLite Manager Strings Structred Storage Viewer Suite Getdata

Shadow Explorer SANS Nirsoft Snort Mrinal Kant, Tarakant Tripathy Microsoft MiTec getdata

Triana Tools Ubuntu guide UFED

Informatica64 How-To Geek Cellebrite

Unhide

Security By Default

54

www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

Programa Fabricante USB Device Forensics Woanware USB Write Blocker USBDeview UserAssist DSi Nirsoft Didier Stevens

Descripcin Detalles de las unidades USB que se han conectado a un equipo. Habilita la posibilidad de escribir o bloquear Habilita la posibilidad de escribir o bloquear Muestra una lista de programas que se han ejecutado incluyendo ltima ejecucin , nmero de veces y fechas y horas. Convierte discos e imgenes al formato VHD que se puede montar en Windows desde el administrador de discos. Produce miniaturas de ficheros de video con objeto de apreciar imgenes o movimientos perdidos en la pelcula. Framework que se compone de una coleccin de herramientas para la extraccin de ficheros RAM. Maravillosa herramienta para la deteccin de Malware. Magnifica herramienta que rene las anteriores y permite de los navegadores ms utilizados obtener el histrico de navegacin. Otra maravillosa suite para analizar ficheros thumbs.db, Prefetch, INFO2 y .lnk. Guia de Brett Shavers para crear y trabajar con un CD que arranque un Windows (Similar a windows PE).

VHD Tool

Microsoft

VideoTriage

QCC

Volatility Framework

Volatile Systems

Web Historian

Mandiant

Windows File Analyzer Windows Forensic Environment Wireshark Xplico OSforensics Responder

MiTeC Troy Larson

Wireshark Xplico OSforensics HBgary

Entorno grfico para poder entender y visualizar el contenido de ficheros PCAP. Una forma rapida de investigar el contenido de ficheros borrados, ltimo acceso Convierte la memoria RAM a disco y reconstruye todas las estructuras de datos subyacentes de hasta 6 gigabytes de RAM.

www.antpji.com

55

Curso de Derecho Informtico y Peritaciones Judiciales

Programa Liveview

Fabricante Liveview

Descripcin Es una herramienta basada en Java que crea una mquina virtual de VMware de una imagen de

disco sin procesar (dd-style) o un disco fsico. Herramientas para el anlisis de discos duros AccessData Forensic ToolKit (FTK) Guidance Software EnCase Herramientas para el anlisis de correos electrnicos Paraben AccessData Forensic ToolKit (FTK) Herramientas para el anlisis de dispositivos mviles AccessData Mobile Phone Examiner Plus (MPE+) Herramientas para el anlisis de redes E-Detective - Decision Computer Group SilentRunner - AccessData Herramientas para filtrar y monitorear el trfico de una red tanto interna como a internet USBDeview SilentRunner - AccessData Otras aplicaciones: 56 Sleuth Kit (Forensics Kit) Py-Flag (Forensics Browser) Autopsy (Forensics Browser for Sleuth Kit) Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey) dcfldd (DD Imaging Tool command line tool and also works with AIR) foremost (Data Carver command line tool) Air (Forensics Imaging GUI) md5deep (MD5 Hashing Program) netcat (Command Line) cryptcat (Command Line) NTFS-Tools Hetman software (Recuperador de datos borrados por los criminales) qtparted (GUI Partitioning Tool) regviewer (Windows Registry) Viewer www.antpji.com

Curso de Derecho Informtico y Peritaciones Judiciales

X-Ways WinTrace X-Ways WinHex X-Ways Forensics R-Studio Emergency (Bootable Recovery media Maker) R-Studio Network Edtion R-Studio RS Agent Net resident Faces Encase Snort Helix

www.antpji.com

57