UNIVERSIDAD INTERAMERICANA DE PANAM

Laureate International Universities

MAESTRA EN SISTEMAS GERENCIALES
ESPECIALIZACIN SEGURIDAD INFORMTICA


Curso de Computacin Forense
Facilitador: Antonio Jos Pernett Agnew

Trabajo
Retos y Riesgos Emergentes para la Computacin
Forense


Grupo No. 5


Integrantes:
Agustn Collins
Santiago Bsques
Rodrigo Ortiz
Juan Cedeo


Febrero 2012

I

Introduccin

Iniciaremos con una visin general de lo que es la formacin de especialistas de en
informtica forense, cmo nace?, A quienes combaten?, su formacin en s y los
contenidos que deben tener los programas de capacitacin de estos especialista.
Veremos las caractersticas de confiabilidad que deben tener las herramientas y software
que son usados en el mbito de la computacin forense y el conocimiento que debe tener
el investigador forense informtico con respecto al mundo tecnolgico, al igual que las
tcnicas anti forenses que no son ms que las utilizadas para contrarrestar las
investigaciones realizadas en el posible hecho delictivo informtico.
Se definirn e ilustrarn las diferentes formas en que se puede realizar la eliminacin de
evidencia y se definirn los conceptos de ciberterrorismo, cibercrimen y las diferentes
formas en que los ciberdelincuentes los llevan a cabo.







1

Objetivos

Revisar y analizar la formacin de especialistas en informtica forense.
Presentar algunos desafos propios de la confiabilidad de las herramientas
forenses en informtica.
Presentar avances en el desarrollo de las tcnicas antiforenses y sus implicaciones
para las investigaciones.
Analizar las tendencias emergentes, como el cibercrimen y el ciberterrorismo
Ilustrar algunos de los retos tecnolgicos ms sobresalientes para los
investigadores forenses en informtica.














2

5.1 LA FORMACIN DE ESPECIALISTAS EN INFORMTICA FORENSE
La evolucin actual de los negocios y de las posibilidades, que da a da se abren con el uso
de las tecnologas de informacin y comunicaciones, establece retos interesantes tanto
para las organizaciones como para los profesionales en telecomunicaciones e informtica.
En este contexto, esa evaluacin aprovechada de manera positiva ofrece a los ciudadanos
nuevas opciones y oportunidades para conectarse y compartir informacin, productos o
servicios de manera global.
Esto contrasta con la evolucin a su vez de la delincuencia tradicional y organizada ahora
en medios electrnicos.
Aparecen los delincuentes informticos que son una nueva generacin de criminales que
utilizan los medios electrnicos para cometer crmenes.
En este escenario, donde tenemos un enemigo que se mimetiza y es casi invisible, nace un
nuevo tipo de investigador que asume el reto que exige seguir un delincuente de medios
tecnolgicos, sabiendo que siempre estar un paso atrs del atacante.
El cibercrimen tiene elementos que lo hacen imperceptible y caracterstico de una
sorpresa predecible.
La gente piensa que eso es un invento de los paranoicos y que si pasara, no sera
tan grave.
Se tienen datos y noticias relacionados con este tema, pero dispersos y poco
difundidos.
Los gobiernos no tienen tiempo para mirar esto, porque existen otros temas ms
prioritarios para sus naciones.
La formacin de investigadores forenses en informtica requiere atencin especial para
establecer los referentes mnimos del plan de estudio.


3


Ilustracin 1 - Investigacin de crmenes de alta tecnologa
Por otra parte se establecen cuatro (4) componentes de excelencia que deben estar
presentes en programas de formacin en forensia digital, los cuales permiten que dichos
programas se desarrollen profesionalmente a los especialistas en estos temas. Los cuatro
componentes son:
Contenido multidisciplinario, este debe permitir la formacin no solo de un
analista tcnico en temas de tecnologa de informacin, sino que el conocimiento y
manejo de temas en criminalstica, criminologa, delitos informticos, seguridad de
informacin, cumplimiento de estndares y normas, entre otros.
Los ejercicios prcticos en laboratorios, con herramientas tecnolgicas, deben
procurar diferentes niveles de dificultad de anlisis de los especialistas.
Instructores calificados y con amplio conocimiento del tema , son pieza
fundamental de los programas en temas de forensia digital, dado que no existe
cuerpo de conocimiento formal, la experiencia de estos, su visin acerca de los
casos que han desarrollado, les permite ofrecer a los estudiantes un escenario de
anlisis y revisin que enriquece el contenido de las materias

4

Ejemplos del mundo real, buscan darle mayor autenticidad y profundidad al
aprendizaje planteado.

5.2 Confiabilidad de las herramientas forenses en informtica
Par al computacin forense, otro reto emergente son las herramientas tecnolgicas que
los investigadores utilizan para adelantar sus pericias. Las herramientas licencias exigen
importantes inversiones, tanto de hardware como en software, para darles formalidad y
certeza a las partes involucradas en un caso de la evidencia digital, y dichas inversiones no
slo son en la adquisicin, sino en mantenimiento y la actualizacin de las mismas.
Tambin se encuentran herramientas forenses de cdigo abierto, las cuales son
cuestionadas en muchos tribunales y poco se recomiendan su uso formal para presentar
audiencias.
Las pruebas que se realicen a los programas y dispositivos de hardware sern tiles para
dar cumplimiento a las exigencias propias del test de Daubert, prueba de referencia
generalizada para establecer la confiabilidad de las herramientas en computacin forense,
el cual es un conjunto de reglas extradas de la sentencia de la corte suprema de justicia
en el caso de Daubert versus Merrell Dow Pharmaceutics que especifica los estndares
que deben tener los jueces a la hora de admitir o no la evidencia la entrega por expertos
en un caso las cuales son:
- La tcnica o el programa utilizados han sido probados en condiciones y no slo
en laboratorios.

- La tcnica o el programa han sido sometidos a revisin de pares acadmicos o
cientficos y publicaciones especializadas.

- Se conoce el nivel de error potencial del programa o tcnica.

- Existe un estndar o un referente para el control y la revisin del programa o
tcnica.

- La tcnica o el programa son generalmente aceptados dentro de la comunidad
cientfica relevante a la misma.


Esto significa que los programas o las herramientas de computacin forense requieren
estudios y anlisis detallados para contar con un nivel de aceptacin de los mismos.

5



5.3. Tcnicas anti forenses y sus implicaciones para las investigaciones actuales y
futuras.
Los atacantes evolucionan tan rpido como la inseguridad de la informacin, ms nos
demoramos en la publicidad del mismo que lo que se le encuentra una vulnerabilidad.
Esto implica que tanto los especialidad en seguridad como los investigadores en
informtica forense deben avanzar e el reconocimiento de esa tecnologa y estudiar sus
ventajas y limitaciones.

Las tcnicas antiforenses genricas como las tcnicas forenses especificas en informtica,
evolucionan y se mejoran, por eso es que se necesitan una basen en la comprensin de los
sistemas de informacin ya que se vuelve critico para la formacin y la prctica de los
investigadores forenses, pues, si un conocimiento claro de los mismos, el atacante tendr
mayores oportunidades para confundir y distorsionar la realidad de los hechos. Por eso
que en esta evolucin, las tcnicas forenses necesitan una estandarizacin y ajuste para
estar tan cerca como las nuevas vulnerabilidad que se presenten tanto en sus
herramientas como en las infraestructuras de las empresas.
Para desarrollar un marco conceptual de anlisis de las estrategias anti forenses, una
definicin de esta sera: cualquier intento exitoso efectuado por un individuo o proceso
que impacte de manera negativa la identificacin, la disponibilidad, la confiabilidad y la
relevancia de la evidencia digital en un proceso forense.

6

Entonces, las estas estrategias aplicadas en la escena del posible ilcito o incidente buscan
como objetivo:
- Limitar la deteccin de un evento que hay ocurrido.

- Distorsionar la informacin residente en el sitio.

- Incrementar el tiempo requerido para la investigacin.

- Generar dudas en el informe forense.

- Engaar y limitar un ataque contra el investigador forense que realiza la pericia.

- Eliminar los rastros que pudiesen haber quedado luego de los hechos.


5.3.1 Destruccin de la evidencia
Este mtodo busca modificar fsicamente el objeto que contiene la evidencia requerida,
de tal forma que no sea posible conseguirla de manera confiable o real. Cuando se habla
de eliminar la fuente de la evidencia, significa neutralizar el sistema o la tcnica utilizada
por el sistema para dejar los rastros al controlar esta tcnica o proceso no existir la
evidencia y, por tanto, no habr trazas que seguir en una investigacin (dem).
Si el atacante no ha podido materializar los dos mtodos anteriores, puede optar por
esconder la evidencia o falsificarla. En la primera, la evidencia se dispersa en el medio que
la contiene, se oculta en el mismo, o en el sistema donde se encuentra, limitando los
hallazgos del investigador en su proceso. En la segunda, crea o invalida la evidencia que
adelante el investigador (dem).
A manera de resumen y como elemento de anlisis, un cuadro resumen y analtico de las
tcnicas antiforenses.






7

Propsito Tipo Nivel de esfuerzo
requerido
Destruccin
Lgica: borrado seguro de
datos
Bajo
Fsica: desmagnetizador
(degausser)
Alto
Ocultar
Aplicaciones: criptografa,
esteganografa, rootkits.
Media
Sistemas de archivos:
unidades de datos,
metadata, archivos
cifrados.
Media
Medios de
almacenamiento: HPA
(Host Protected Data)
Alto
Eliminar la fuente
Memoria Fsica Medio
Desactivar sistemas de
monitoreo
Medio
Falsificar
Sistema de archivos:
metadata
Medio
Sistema de logs y auditora Medio

La sobrescritura de datos y metadatos est asociada con la modificacin fsica de la
informacin residente en los medios de almacenamiento y sus sistemas, y sus sistemas de
archivos. Es una manera para dejar inconsistente una posible recuperacin de
informacin, o una forma de construir entradas falsas en las tablas de asignacin de
archivos que generen la aparicin de archivos inexistentes.

5.4 CIBERCRIMEN Y CIBERTERRORISMO: AMENAZAS ESTRATGICAS Y TCTICAS DE LAS
ORGANIZACIONES MODERNAS.

5.4.1 Ciberterrorismo
Segn Denning, el ciberterrorismo es la convergencia entre terrorismo y el ciberespacio,
una conjuncin de fuerzas que, utilizando las ventajas y capacidades del terrorismo fsico,
ahora basado en fallas y vulnerabilidades tecnolgicas logran intimidar o presionar a un
estado y sus ciudadanos.

8

Por otra parte, Nelson, Choi, Iacobucci y Gagnon, establecen que el ciberterrorismo est
asociado con las vulnerabilidades asociadas con las infraestructuras crticas de una nacin:
energa elctrica, produccin, almacenamiento y suministro de gas y petrleo,
telecomunicaciones, bancos y finanzas, sistema de suministro de agua, transporte,
servicios de emergencia y operaciones gubernamentales, aquellos sistemas que hacen
parte de la dinmica de la economa de una nacin y el bienestar de los ciudadanos. Si
bien las vulnerabilidades no son sinnimo de amenazas, dado que ellas son debilidades
que se presentan en un sistema, las amenazas requieren un actor con motivacin,
recursos y deseos de explotar la misma.
De igual forma, Gordon y Ford comentan que las acciones ciberterroristas son actividades
terroristas llevadas a cabo completamente (de manera preferente) en el mundo virtual. En
este contexto, los investigadores mencionados establecen un modelo base para
comprender el ciberterrorismo, como una extensin del terrorismo, para lo cual
establecen siete elementos de anlisis a saber:
Quin es el perpetrador?: un grupo o un individuo.
El sitio donde se adelanta la accin.
La accin misma realizada.
La herramienta o estrategia utilizada: violencia, secuestro, bomba, etc.
El objetivo de la accin: el gobierno, una organizacin particular.
La afiliacin a la que pertenece el perpetrador
La motivacin
El ciberterrorismo abarca cuatro variables que deben ser parte del anlisis de esta nueva
amenaza, la cual se confunde con las fallas mismas de los sistemas de informacin, y deja
sin argumentos tanto a los profesionales de la seguridad, como a los analistas de
inteligencia.
Las variables propias del ciberterrorismo son:
Ataques a la infraestructura de tecnologas de informacin TI.
Ataques a la informacin
Utilizacin de las TI para labores de coordinacin de los planes terroristas
La promocin y difusin de sus consignas ideas, as como del enfrentamiento de
sus grupos de accin.

9


Al estudiar como mnimo estas cuatro variables y las relaciones entre ellas, podernos ver
comportamientos emergentes que nos permitirn ver cmo las naciones, las
organizaciones y los individuos deben cerrar sus filas para que el terror en lnea no se
convierta en esa amenaza invisible y predecible que todos advertimos pero no queremos
enfrentar. Si esta tendencia actual persiste, estaremos allanando el camino para eventos
de mayor magnitud, que le permitirn al atacante demostrar que puede atemorizar a un
estado, que ha faltado a su deber de proteccin de ms ciudadanos ahora en un mundo
online.


5.4.2 Cibercrimen: viejos hbitos del mundo offline, nuevas armas en el mundo online.
Para la UIT, la ciberseguridad consiste en: () proteger contra el acceso no autorizado y
la manipulacin y destruccin de recursos y activos esenciales (), definicin que si bien
establece un lineamiento concreto para los gobiernos e interesados, limita un
entendimiento profundo del concepto de seguridad de la informacin, causante de los
riesgos identificados, como la enemiga de la sociedad.
La realidad de la inseguridad de la informacin y la materializacin de la delincuencia, en
medios electrnicos, nos debe llevar a mirar en perspectiva lo que la justicia requiere para
enfrentar el desafo de un atacante annimo, que se mimetiza en la red, que manipula
Ciberterrorismo
Ataques a la
infraestructura
Ataques a la
informacin
Promocin y
difusin
Facilitacin de las
tecnologas

10

evidencias, que elimina rastros y que conoce en los detalles las herramientas de apoyo y
soporte de investigaciones informticos.

Para perseguir la criminalidad informtica, la dificultad existente radica en varias razones,
como el entendimiento de las tecnologas y las vulnerabilidades inherentes por parte de
los cuerpos de seguridad del Estado y la administracin de justicia, la comprensin y el
anlisis de la evidencia digital y los rastros electrnicos, la informacin y su valor en los
mercados internaciones y la falta de precisin en el perfil de un delincuente tenolgico,
como elementos que exigen de la academia, el gobierno, la industria y las instituciones de
la justicia un esfuerzo conjunto para avanzar en las construccin de caminos que
confronten a los nuevos y organizados criminales.
5.4.3 Retos tecnolgicos para los investigadores forenses en informtica
Los atacantes establecen un reto para los investigadores forenses en informtica, por los
alcances y habilidades requeridas para alcanzar sus objetivos.
En este sentido, el atacante ha evolucionado, descubriendo en las tecnologas un incentivo
para materializar sus acciones, adicional de maniobras para evadir las investigaciones.
En razn a lo anterior, se requiere analizar algunos de los elementos emergentes que
pueden ser aprovechados por los criminales informticos para entorpecer las
investigaciones en curso.

Computer Abuse.
Parker 1978
El computador es el objeto, o los datos en el computador son los objetos, del
acto.
El computador crea un entorno nico o una nica forma para los activos.
El computador es el instrumento o herramienta del acto.
El computador representa un smbolo utilizado para la intimidacin o el
engao.
Computer Crime.
Taylor 2006
El computador es el objeto de la conducta.
El computador es el instrumento para cometer la conducta
El computador facilita la consumacin de la conducta
Conductas asociadas contra la industria informtica.

11

5.4.4 Archivos cifrados
Una de las tcnicas ms utilizadas por los atacantes, como parte de sus actividades
delictivas, es cifrar la informacin residente con algoritmos que utilizan llaves de cifrado.
Hasta la fecha los archivos cifrados representan un gran reto para la computacin forense,
pues, de lograr descifrar cualquier tipo de informacin cifrada, estaramos poniendo en
tela de juicio la formalidad de los algoritmos utilizados.
5.4.5 Estenografa en video
La estenografa es una tcnica a travs de la cual, manipulando la estructura interna de un
archivo, logramos esconder otro en ste.
Dicho engao tecnolgico ha sido ampliamente utilizado en la actualidad y ya existen
mltiples herramientas que buscan detectar el uso del mismo.
La tcnica consiste en manipular el flujo de video y lograr esconder la informacin, para
luego en el receptor interpretar la secuencia y extraer la informacin.
5.4.6 Rastros en ambientes virtuales
El rpido incremento de las plataformas virtuales nos muestra un futuro ms
demandante.
Los entornos virtualizados son escenarios de alta volatilidad, en el manejo de memoria y
archivos en disco. Si bien la virtualizacin busca aislar un sistema operativo de otro, siendo
estos ejecutados a la vez dentro de un mismo contenedor, es probable que comparta
segmentos de memoria en conjunto de otras instancias, lo cual puede hacerlo vulnerable
a una falla generalizada.
Hasta la fecha, los ambientes virtuales son uno de los referentes mas exigentes para la
computacin forense, ya que requiere de un mayor anlisis e investigacin.
5.4.7 Informacin almacenada electrnicamente en memoria voltil
La informacin que se halle en memoria es un insumo fundamental para cualquier
investigacin. Tal es la importancia de este hecho, que, por los general, se recomienda a
los investigadores no apagar la mquina, s la encuentran encendida, dado que la
informacin residente en memoria, es pieza clave de lo que pudo haber ocurrido.
Estudios recientes muestran que es posible capturar lo que hay en memoria de un
computador encendido, y que es viable exportar el resultado del mismo a un archivo para

12

su anlisis posterior. Sin embargo, por lo general, las herramientas disponibles para ello
pertenecen, como es natural, al proveedor del sistema operativo.
En este sentido, es necesario investigar sobre una manera forense vlida y consistente de
la informacin en memoria, de tal manera que pueda ser sujeto de revisin y as fortalecer
la idoneidad de la prueba que se presente.
5.4.8 Anlisis de sistemas en vivo
Cuando el investigador forense se enfrenta al anlisis de un sistema en vivo, sabe que la
modificacin de variables o de archivos en el sistema revisado siempre ser un riesgo a
mitigar.
En este contexto, las tcnicas que se utilicen para este trabajo debern considerar
procedimientos formales y probados que limiten la modificacin involuntaria de la escena
del crimen.
Las herramientas actuales disponibles tratan de evitar cualquier tipo de modificacin o de
contacto con los elementos del sistema analizado en vivo; sin embargo, la probabilidad de
modificacin de elementos en memoria o incluso de archivos abiertos en disco es alta, lo
que exige del investigador conocer con claridad los posibles cambios que se pueden dar
en la mquina analizada.
El anlisis de sistemas en vivo es, por tanto un reto tecnolgico crtico para los
investigadores forenses actuales, pues saben que un atacante informado y tan conocedor
como l, lo pondr a prueba para poner en duda sus procedimientos y el uso de sus
herramientas.

II

Conclusiones


Hemos visto que en este mundo actual en el que las empresas dependen ms de sus
sistemas de informacin es muy importantes tener profesionales en el rea para proteger
dicha informacin y a su vez tener personal capacitado que en caso de ocurrir una prdida
de informacin, los mismos puedan descifrar las causas, para proceder con las debidas
correcciones y en alguno de los casos proceder de manera legal contra los ejecutores de
aquellas faltas.

Las estrategias anti forenses crean un nuevo punto de vista en las ciencias forenses y la
seguridad de la informacin debido a que tienen vasto conocimiento de las
vulnerabilidades y de los procesos de investigacin aplicados hasta el momento que los
coloca un paso adelante de los investigadores. Al igual estos deben mantener una
capacitacin continua del mundo tecnolgico analizando las posibles vulnerabilidades
para que la brecha de conocimientos y herramientas entre las tcnicas forenses del
investigador y anti forenses del atacante sea cada vez mas angosta.


























III


Bibliografa



Luis J. Ruiz [en lnea]. [Fecha de consulta: 29 enero 2012]. Disponible en:
http://www.monografias.com/trabajos14/investigacion/investigacion.shtml