UNIVERSIDAD TECNOLGICA EQUINOCCIAL

FACULTAD DE CIENCIAS DE LA INGENIERA

INGENIERA EN INFORMTICA Y CIENCIAS DE LA COMPUTACIN

AUDITORA DE TECNOLOGAS DE LA INFORMACIN Y COMUNICACIN

TEMAS:
Adquisicin de evidencias
Mtodo hash
Cadena de custodia
Escena de delito
Riesgo: definicin, clasificacin, medicin, tratamiento
Matriz de calor


CURSO: 8VO

INTEGRANTES:
CARLOS TOTOY
WALTER VERGARA
ESTEBAN RUIZ







Quito, 16 de abril del 2014



RESUMEN
El campo de la seguridad informtica ha crecido enormemente en importancia e investigacin
en el campo ha aumentado en los ltimos tiempos. Esto debido al rpido crecimiento y
adaptacin de las empresas y sus clientes al uso de la tecnologa.


Es as, que la investigacin de delitos y fraudes a travs de medios electrnicos ha aumento
tambin en cantidad. Donde el mundo se ve obligado a la proteccin de la informacin, y a un
correcto manejo de los casos que involucren daos de cualquier tipo tanto a una organizacin
como a una persona comn.
1. Evidencia Digital
La evidencia digital es toda prueba, objeto u documento que implique informacin en el anlisis
de un caso de investigacin forense. Se debe tratar a la evidencia digital de igual manera que
cualquier tipo de evidencia comn, esto debido a la seriedad de los casos que se han
producido por medios informticos. (Zuccardi, 2006)


La evidencia digital se puede dividir en dos formas: Evidencia fsica y metadatos. La evidencia
fsica es todo medio de almacenamiento de informacin, sean discos duros, celulares, pen
drive, etc. Mientras los metadatos son toda la informacin y datos alojados en los dispositivos
fsicos, internet, etc.


2. Adquisicin de evidencias
Se puede necesitar al personal forense para asistir a la escena o pueden tener que dar
consejos a los dems asistentes a la escena y que se recuperan los datos. Deben ser
conscientes de las directrices jurisdiccionales pertinentes.


2.1. Precauciones contra la Contaminacin
Se deben tomar precauciones contra la contaminacin adecuadas para reducir al mnimo
cualquier posibilidad de contaminacin accidental de los objetos, que posteriormente se
requerira para otros exmenes de laboratorio, por ejemplo, huellas dactilares, ADN.


La consideracin de que precauciones contra la contaminacin se debe tomar debe basarse no
slo en los medios de pruebas digitales y dispositivos, sino tambin en los otros tipos de
evidencia que pueden estar potencialmente disponibles. Si estos incluyen materiales, que
puedan ser necesarios para el anlisis de ADN, debe ser tomado mucho cuidado debido a la
sensibilidad de las tcnicas de ADN actuales, incluyendo el uso de ropa de barrera como
escenario disponible de los trajes del crimen, guantes y mascarillas.


2.2. Buscando en la Escena
Todas las escenas, interiores, exteriores o las relativas a vehculos, deben ser protegidos lo
antes posible para reducir el riesgo de prdida, el movimiento o el dao a la evidencia digital.


2.3. Recoleccin de evidencia
Es de vital importancia que los temas para el examen forense se conservan de forma segura
tan pronto como sea posible despus de las prcticas jurisdiccionales correspondientes.


Siempre que sea posible, los elementos deben ser examinados en el laboratorio o espacio de
trabajo forense en lugar de en la escena.


2.4. Envasado , etiquetado y documentacin
Se debe hacer un registro, en el momento de la recoleccin de los objetos de la escena o del
sospechoso (s) o de la vctima (s), que describe la ubicacin exacta de donde se recuperaron
los artculos.


3. Mtodo HASH
Se refiere a una funcin o mtodo para generar llaves o claves que representen de manera
casi univoca a un documento, registro, archivo, resumir o identificar un dato a travs de la
probabilidad. (Konheim, 2010)
Es posible utilizar o codificar en hash cualquier tipo de informacin electrnica. Documentos,
imgenes, texto, etc.


3.1. Funcin
Resumir o identificar probabilsticamente un gran conjunto de informacin, dando como
resultado un conjunto imagen finito generalmente menor. Lo que implica una representacin de
la informacin a manera de identificador nico.

Concretamente, la funcin hash recibe un parmetro, lo procesa y devuelve un valor,
representado en forma hexadecimal.

http://cse.csusb.edu/tongyu/courses/cs330/notes/hash.php
3.2. Propiedades
Toda funcin hash debe cumplir con las siguientes propiedades para asegurar la credibilidad
de su proceso y la confiabilidad de la informacin:
Bajo Costo
Implica tanto costos en procesamiento de la informacin como en recursos utilizados,
tanto fsicos como lgicos.
Compresin
Asegurar que la longitud de los valores hash de salida sea menores al tamao original
de la entrada.
Uniforme
Una funcin has va a devolver siempre un valor para cualquier tipo de entrada a la
funcin.
Rango Variable
Es posible ajustar el rango de valores que devolver la funcin, como su longitud, en
cualquier instante del tiempo.
Inyectividad
A cada entrada le pertenece un valor hash diferente siempre. Es decir, para cada
entrada hay una salida.
Determinista
Cualquier tipo de documento sea del tipo que sea va a devolver el mismo valor hash
siempre.
Resistencia a Colisiones
Cualquier que sea el caso, la funcin hash siempre deber devolver un valor correcto.
Como para toda salida hay una y solo una entrada.
Normalizacin de Datos
Se puede despreciar diferencias sin relevantes, como el uso de maysculas y
minsculas tildes.
Continuidad
Un pequeo cambio en la entrada a la funcin, origina un pequeo cambio en el valor
de salida.


3.3. Utilidad
Encriptacin de contraseas
Longitud ajustable (bits)
Firma Digital
Integridad de la Informacin

4. Cadena de custodia
La cadena de custodia es todo el proceso que se cumple desde la recoleccin de evidencias
hasta la fase previa a la entrega de informe forense resultados de la investigacin.
Es decir todas las fases de manejo de la evidencia digital. Y se resume en el siguiente grfico:

Asociacin Nacional de Tasadores y Peritos Judiciales Informticos (Espaa)
5. Escena del delito
En una escena del delito los pasos a seguir son:

Observe y establezca los parmetros de la escena del delito: El primero en llegar a la
escena, debe establecer si el delito est todava en progreso, luego tiene que tomar nota
de las caractersticas fsicas del rea circundante.
Inicie las medidas de seguridad: El objetivo principal en toda investigacin es la
seguridad de los investigadores y de la escena. Si uno observa y establece en una
condicin insegura dentro de una escena del delito, debe tomar las medidas necesarias
para mitigar dicha situacin.
Facilite los primeros auxilios: Siempre se deben tomar las medidas adecuadas para
precautelar la vida de las posibles vctimas del delito, el objetivo es brindar el cuidado
mdico adecuado por el personal de emergencias y el preservar las evidencias
Asegure fsicamente la escena: Esta etapa es crucial durante una investigacin, se debe
retirar de la escena del delito a todas las personas extraas a la misma, el objetivo principal
es el prevenir el acceso no autorizado de personal a la escena, evitando as la
contaminacin de la evidencia o su posible alteracin.
Asegure fsicamente las evidencias: Este paso es muy importante a fin de mantener la
cadena de custodia de las evidencias, se debe guardar y etiquetar cada una de ellas. En
este caso se aplican los principios y la metodologa correspondiente a la recoleccin de
evidencias de una forma prctica. Esta recoleccin debe ser realizada por personal
entrenado en manejar, guardar y etiquetar evidencias.

Entregar la escena del delito: Despus de que se han cumplido todas las etapas
anteriores, la escena puede ser entregada a las autoridades que se harn cargo de la
misma. Esta situacin ser diferente en cada caso, ya que por ejemplo en un caso penal
ser a la Polica Judicial o al Ministerio Pblico; en un caso corporativo a los
Administradores del Sistema. Lo esencial de esta etapa es verificar que todas las
evidencias del caso se hayan recogido y almacenado de forma correcta, y que los sistemas
y redes comprometidos pueden volver a su normal operacin.
Elaborar la documentacin de la explotacin de la escena: Es Indispensable para los
investigadores documentar cada una de las etapas de este proceso, a fin de tener una
completa bitcora de los hechos sucedidos durante la explotacin de la escena del delito,
las evidencias encontradas y su posible relacin.

Riesgos
Riesgo: La posibilidad de que ocurra un acontecimiento que tenga impacto en el alcance de los
objetivos. El riesgo se mide en trminos de impacto y probabilidad. Por otro lado peligro es la
potencialidad de ocurrencia de un dao, prdida o lesin
Identificar Riesgos de TI.
Accesos ilegales a las Bases de Datos
Accesos no autorizados al programa aplicativo de ventas
Falta de Integridad de los Paquetes Comerciales
Alteracin, Destruccin y/o Prdida de informacin relevante para la empresa
Inundaciones e Incendios
Mal uso o destruccin de los reportes de trabajo
Falta de Inventario de las partes y/o piezas de los computadores del Dpto.
Ausencia de medidas de seguridad de los equipos del Dpto.
Ausencia de control en la destruccin de los activos del Dpto.
Clasificacin de los riesgos
Riesgos de Integridad: Este tipo abarca todos los riesgos asociados con la autorizacin,
completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas
en una organizacin. Estos riesgos aplican en cada aspecto de un sistema de soporte de
procesamiento de negocio y estn presentes en mltiples lugares, y en mltiples momentos en
todas las partes de las aplicaciones; no obstante estos riesgos se manifiestan en los siguientes
componentes de un sistema:

Interface del usuario: Los riesgos en esta rea generalmente se relacionan con las
restricciones, sobre las individualidades de una organizacin y su autorizacin de
ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una
razonable segregacin de obligaciones. Otros riesgos en esta rea se relacionan a controles
que aseguren la validez y completitud de la informacin introducida dentro de un sistema.
Procesamiento: Los riesgos en esta rea generalmente se relacionan con el adecuado balance
de los controles detectivos y preventivos que aseguran que el procesamiento de la informacin
ha sido completado. Esta rea de riesgos tambin abarca los riesgos asociados con la
exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de
negocio.

Procesamiento de errores: Los riesgos en esta rea generalmente se relacionan con
los mtodos que aseguren que cualquier entrada/proceso de informacin de errores
(Exceptions) sean capturados adecuadamente, corregidos y reprocesados con exactitud
completamente.

Interface: Los riesgos en esta rea generalmente se relacionan con controles preventivos y
detectivos que aseguran que la informacin ha sido procesada y transmitida adecuadamente
por las aplicaciones.
Administracin de cambios: Los riesgos en esta rea pueden ser generalmente
considerados como parte de la infraestructura de riesgos y el impacto de los cambios
en las aplicaciones. Estos riesgos estn asociados con la administracin inadecuadas
de procesos de cambios organizaciones que incluyen: Compromisos
y entrenamiento de los usuarios a los cambios de los procesos, y la forma de
comunicarlos e implementarlos.
Informacin: Los riesgos en esta rea pueden ser generalmente considerados como
parte de la infraestructura de las aplicaciones. Estos riesgos estn asociados con la
administracin inadecuada de controles, incluyendo la integridad de la seguridad de la
informacin procesada y la administracin efectiva de los sistemas de bases de datos y
de estructuras de datos. La integridad puede perderse por:
Errores de programacin (buena informacin es procesada por programas mal construidos),
procesamiento de errores (transacciones incorrectamente procesadas) administracin y
procesamiento de errores (Administracin pobre del mantenimiento de sistemas).
Riesgos de acceso: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos
e informacin.
Estos riesgos abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos
asociados con la integridad de la informacin de sistemas de bases de datos y los
riesgos asociados a la confidencialidad de la informacin.
Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la
seguridad de la informacin:
Procesos de negocio: Las decisiones organizacionales deben separar trabajo
incompatible de la organizacin y proveer el nivel correcto de ejecucin de funciones.

Aplicacin: La aplicacin interna de mecanismos de seguridad que provee a los
usuarios las funciones necesarias para ejecutar su trabajo.
Administracin de la informacin: El mecanismo provee a los usuarios acceso a la informacin
especfica del entorno.
Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso
inapropiado al entorno de programas e informacin.
Redes: En esta rea se refiere
. al acceso inapropiado al entorno de red y su procesamiento.
Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos.
Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo: Los
riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los
problemas ocurran.
Tcnicas de recuperacin/restauracin usadas para minimizar la ruptura de los
sistemas.
Backups y planes de contingencia controlan desastres en el procesamiento de la
informacin.
Riesgos en la infraestructura: Estos riesgos se refieren a que en las organizaciones no existe
una estructura informacin tecnolgica efectiva (hardware, software, redes, personas y
procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios
con un costo eficiente. Estos riesgos estn asociados con los procesos de la informacin
tecnolgica que definen, desarrollan, mantienen y operan un entorno de procesamiento de
informacin y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.). Estos
riesgos son generalmente se consideran en el contexto de los siguientes procesos
informticos:
Medicin de Riesgos









Proceso de gestin del riesgo en ISO/IEC 27005

Tratando Riesgos de Seguridad


6. Matriz de Calor

El anlisis de riesgos informticos es un proceso que comprende la identificacin de
activos informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos
as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los
controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Activo: Es un objeto o recurso de valor empleado en una empresa u
organizacin.
Amenaza: Es un evento que puede causar un incidente de seguridad en una
empresa u organizacin produciendo prdidas o daos potenciales en sus
activos.
Vulnerabilidad: Es una debilidad que puede ser explotada con la
materializacin de una o varias amenazas a un activo.
Riesgo: Es la probabilidad de ocurrencia de un evento que puede ocasionar
un dao potencial a servicios, recursos o sistemas de una empresa.
Anlisis: Examinar o descomponer un todo detallando cada uno de los
elementos que lo forman a fin de terminar la relacin entre sus principios y
elementos.
Control: Es un mecanismo de seguridad de prevencin y correccin
empleado para disminuir las vulnerabilidades






























BIBLIOGRAFIA
KONHEIM, Allan. Hashing in Computer Science: Fifty Years of Slicing and Dicing. John
Wiley & Sons, 2010.
ZUCCARDI, Giovanni. GUTIERREZ, Juan David. Informtica Forense. Recuperado el 4
de abril de 2014. Disponible en:
http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20
Forense%20v0.6.pdf. 2006.
IOCE. Guidelines for Best Practice in the Forensic Examination of Digital Technology.
Recuperado el 4 de abril de 2014. Disponible en:
http://www.ioce.org/fileadmin/user_upload/2002/ioce_bp_exam_digit_tech.html
ANTPJI. Sitio Organizacional: http://www.antpji.com/antpji2013/