Introduccin al anlisis forense

[1.1] Cmo estudiar este tema?

[1.2] Qu es la informtica forense?

[1.3] Objetivos de un anlisis forense

[1.4] Etapas de un anlisis forense

[1.5] Cadena de custodia de las evidencias digitales

[1.6] Delitos de falsedad en la pericia

TEMA
TEMA 1 Esquema

Esquema
Introduccin al anlisis forense

Qu es la
Objetivos de un Etapas de un Delitos de falsedad
informtica Cadena de custodia
anlisis forense anlisis forense en la pericia
forense?

Asegurar NO El perito es
Investigacin Qu? Recolectar
alteracin un experto
2
Universidad Internacional de La Rioja, S. A. (UNIR)

Integridad Dolo
Evidencias Cmo? Preservar Autenticidad imprudencia o
Trazabilidad falta de celo

Anlisis Forense Informtico

Medio de Documentacin
Quin? Analizar
prueba y hash

Presentar
 Anlisis Forense Informtico

Ideas clave

1.1. Cmo estudiar este tema?

Para estudiar este tema lee los siguientes documentos, adems de las Ideas clave:

El artculo Qu es la informtica forense o Forensic?, publicado por Microsoft en:

http://www.microsoft.com/business/es-es/content/paginas/article.aspx?cbcid=121

Tambin es interesante la lectura del artculo Recovering and Examining Computer

Forensic Evidence, publicado por el FBI, especialmente, la introduccin y la
definicin de informtica forense que en l aparecen. El artculo est disponible en:
http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/oct2000/computer.htm

En cuanto a las evidencias digitales, es recomendable la lectura del artculo Digital

Evidence, publicado por la New Mexico Tech University. Este artculo introduce el
concepto de evidencia digital, adems de algunas de las caractersticas deseables de
la misma. Est disponible en:
http://infohost.nmt.edu/~sfs/Students/HarleyKozushko/Papers/DigitalEvidencePaper.pdf

Del artculo 458 al 462 del Captulo VI (Del falso testimonio) del Ttulo 20 del
Cdigo Penal espaol.

Otro artculo que habra es el titulado como Admisibilidad de la evidencia digital:

de los conceptos legales a las caractersticas tcnicas. Durante la lectura de este
artculo hay que tener en cuenta que fue escrito pensando en las leyes y
procedimientos judiciales colombianos. El artculo est disponible en:
http://www.inegi.gob.mx/prod_serv/contenidos/espanol/bvinegi/productos/integraci
on/especiales/BoletinSNEIG/2005/bolsneig1.pdf

Este primer tema de la asignatura pretende ser un tema introductorio al mundo del
anlisis y la informtica forense. Con este tema se pretenden conseguir unos
conocimientos mnimos sobre los que posteriormente se asentar el resto de la
asignatura. Los objetivos de este primer tema son:

Conocer qu es la informtica forense y qu se considera una evidencia digital.

Tener una visin de cules son los objetivos de un anlisis forense.

TEMA 1 Ideas clave Universidad Internacional de La Rioja, S. A. (UNIR)

3
 Anlisis Forense Informtico

Saber identificar cada una de las etapas de un anlisis forense.

Conocer la importancia de la cadena de custodia en el mbito de trabajo de un
analista forense.
Conocer los delitos que, como peritos, podemos cometer durante el ejercicio de
nuestra labor.
Conocer a quin se puede considerar perito segn la legislacin espaola.

1.2. Qu es la informtica forense?

El Inteco1 (Instituto Nacional de Tecnologas de la Comunicacin) define la informtica

forense como:

El proceso de investigacin de los sistemas de informacin para detectar toda evidencia

que pueda ser presentada como medio de prueba fehaciente para la resolucin de un
litigo dentro de un procedimiento judicial.

De la definicin anterior hay que sacar dos ideas clave, que la informtica forense es un
proceso de investigacin y que las evidencias que obtengamos deben de poder ser
presentadas como medio de prueba en un procedimiento judicial.

Otros autores (Brown, 2010) definen la informtica forense como The art and science
of applying computer science knowledge and skills to aid the legal process.

Brown cataloga a la vez a la informtica forense como arte y como ciencia. Porque,
como comenta el autor, aunque la informtica forense se base en procedimientos ya
definidos o en el uso de herramientas que ayuden al investigador, los buenos
investigadores forenses tienen la habilidad de ir un paso ms all en la
investigacin y llegar a pensar como el autor al que se est intentando encontrar.

Un buen analista forense, tiene que disfrutar de su trabajo siendo a la vez un gran
profesional.

1 http://cert.inteco.es/glossary/Formacion/Glosario/Informatica_forense_glosario

TEMA 1 Ideas clave Universidad Internacional de La Rioja, S. A. (UNIR)

4
 Anlisis Forense Informtico

Desde un punto de vista ms empresarial (Qu es la informtica forense o Forensic?),

podramos ver la informtica forense como un fin:

La informtica forense permite la solucin de conflictos tecnolgicos relacionados con

seguridad informtica y proteccin de datos. Gracias a ella, las empresas obtienen una
respuesta a problemas de privacidad, competencia desleal, fraude, robo de informacin
confidencial y/o espionaje industrial surgidos a travs de uso indebido de las
tecnologas de la informacin. Mediante sus procedimientos se identifican, aseguran,
extraen, analizan y presentan pruebas generadas y guardadas electrnicamente para
que puedan ser aceptadas en un proceso legal.

Otro concepto relacionado con la informtica forense y que tambin debemos de

conocer es el concepto de evidencia digital. La evidencia digital se define como:

Todo elemento que pueda almacenar informacin en formato electrnico, de

forma fsica o lgica y que permita constatar un hecho investigado o el
esclarecimiento del mismo.

Algunos ejemplos de evidencias digitales seran:

Documento electrnico de texto Archivo de imagen o vdeo

Archivos temporales de navegacin Cookies del explorador

Registros de eventos del sistema operativo Ficheros de logs

Registros del trfico de red del equipo Etc.

1.3. Objetivos de un anlisis forense

El fin ltimo de toda investigacin forense es el esclarecimiento de los hechos ocurridos

de acuerdo a las evidencias recogidas en la escena del crimen.

Para ello, deberemos responder estas tres preguntas:

1 Qu se ha alterado?

2 Cmo se ha alterado?

3 Quin ha realizado dicha alteracin?

TEMA 1 Ideas clave Universidad Internacional de La Rioja, S. A. (UNIR)

5
 Anlisis Forense Informtico

Para responder a la primera de las preguntas, hay que ser capaz de detectar los
accesos o cambios no autorizados que se han realizado en el sistema. Estos
cambios no tienen que consistir nicamente en la alteracin fsica de un fichero,
modificndolo o eliminndolo, tambin hay que ser capaces de saber qu ficheros
fueron accedidos, aunque solo se trate de la lectura y/o copia de los mismos.

Un ejemplo de acceso no autorizado, podra ser el acceso a la informacin del

telfono mvil de una persona, cmo ha sucedido con el telfono de algunos
famosos, en los que un atacante accede a los datos contenidos en el mismo, sin
alterarlos.
Con la pregunta Cmo se ha alterado?, lo que se busca es reconstruir los pasos
dados por el autor de los hechos para llegar a comprender cmo hizo lo que hizo, y
ser capaces de evitar en un futuro que el mtodo utilizado para realizar la alteracin se
repita.

La ltima de las preguntas plantea el reto de saber quin fue el autor material de
los hechos. Quin ha realizado las modificaciones que han sido detectadas.

En otros mbitos de la investigacin forense, como pueden ser el anlisis dactiloscpico

(anlisis de las huellas dactilares) o el de ADN, es posible identificar plenamente a la
persona autora de los hechos; en el anlisis forense no se puede llegar a ser tan
precisos.

Cuando se realiza un anlisis forense, la conclusin ms concreta a la que se va a llegar

va a ser el usuario (local o remoto) que realizo las modificaciones y/o la direccin IP
o MAC de la mquina desde la cual dichas modificaciones fueron realizadas. Por lo que
tenemos que ayudarnos de otras tcnicas de investigacin si se quiere dar con la
persona fsica autora de los hechos.

1.4. Etapas de un anlisis forense

Las etapas de un anlisis forense son (NIST 2006):

Recolectar Preservar Analizar Presentar

TEMA 1 Ideas clave Universidad Internacional de La Rioja, S. A. (UNIR)

6
 Anlisis Forense Informtico

La recoleccin de las evidencias es el primer paso que se da a la hora de realizar un

anlisis forense. Consiste en obtener las evidencias que consideremos de inters de
manera que posteriormente puedan ser analizadas. Asemejando el hecho al mbito
forense tradicional, la recoleccin de las evidencias sera algo as como la recogida de
una muestra de sangre dentro de la escena de un crimen. La diferencia es que nuestra
escena del crimen no es la habitacin de un domicilio, si no que es un equipo
informtico y la sangre que tenemos que recoger puede ser desde un sencillo archivo de
logs, hasta el disco (o discos) duro completo.

Como hemos nombrado anteriormente, algunos ejemplos de evidencias digitales

podran ser: un documento electrnico de texto, un archivo de imagen o vdeo, los
archivos temporales de navegacin, etc. Incluyendo tambin otro tipo de evidencias
como pendrives, DVDs, discos duros externos, etc.

En definitiva, habra que recolectar cualquier elemento generado o almacenado en un

sistema de la informacin, y que pueda ser utilizado como prueba en un proceso legal.

La recoleccin de las evidencias tiene que hacerse con medios que aseguren, en la
medida de lo posible, la no modificacin de las mismas:

Artculo 482.3 de la Ley de Enjuiciamiento Criminal (LECrim). [] el Juez o quien lo

represente adoptar las precauciones convenientes para evitar cualquier alteracin en la
materia de la diligencia pericial.

Siendo necesaria la documentacin de los cambios que tengamos que haber

realizado en el equipo para la recoleccin, si no ha sido posible evitar su modificacin.

Artculo 479 de la LECrim. Si los peritos tuvieren necesidad de destruir o alterar los
objetos que analicen, deber conservarse, a ser posible, parte de ellos a disposicin del
Juez, para que, en caso necesario, pueda hacerse nuevo anlisis.

La preservacin de las evidencias tiene por objetivo el garantizar que lo que se

analiza es lo mismo que previamente se ha recolectado cumpliendo as con el
procedimiento de cadena de custodia, requisito indispensable para que una evidencia
tenga validez judicial.

En el mbito del anlisis forense, el hecho de realizar una imagen o clonado de un

dispositivo (como puede ser un disco duro, o un pendrive) con medios certificados para

TEMA 1 Ideas clave Universidad Internacional de La Rioja, S. A. (UNIR)

7
 Anlisis Forense Informtico

ello (clonadoras hardware como la Logicube Forensic Talon o la Tableau Imager, entre
otras, han sido testeadas y aprobadas por el Departamento de Justicia de Estados Unidos),
ya es una garanta de que lo que se copia es imagen fiel y exacta de lo que se ocupa; pero
dada la relativa facilidad de modificacin de la evidencia y/o de la copia, se debe garantizar
la integridad a lo largo de todos los procesos a los que estas sean sometidas.

Puedes encontrar ms informacin sobre las herramientas testeadas y aprobadas por el

Departamento de Justicia de Estados Unidos en:
http://nij.ncjrs.gov/App/publications/Pub_search.aspx?searchtype=basic&category=9
9&location=top&PSID=55

Para ello, se hace uso de funciones resumen hash (como MD5 o SHA1). El
procedimiento (que ser explicado ms detalladamente en posteriores temas) consiste
en realizar un resumen digital a la evidencia original y a la copia, de manera que si
ambos resmenes coinciden, se asegura que el contenido de la evidencia original y el de
la copia son exactamente iguales.

Posteriormente, y a lo largo de todos los procesos que se realicen, se puede verificar que
se est analizando lo que en su momento se ocup realizando nuevamente un
resumen digital y comparando el resultado con el primer resultado obtenido.

El anlisis de las evidencias es la etapa en la que se intenta responder a las tres

preguntas mencionadas:

Qu se ha alterado?
Cmo se ha alterado?
Quin ha realizado dicha alteracin?

Durante el anlisis, las evidencias que han sido recolectadas y preservadas previamente
se estudian, con el fin de concluir si los hechos objeto de la investigacin son ciertos o no.

TEMA 1 Ideas clave Universidad Internacional de La Rioja, S. A. (UNIR)

8
 Anlisis Forense Informtico

La presentacin es la ltima etapa de un anlisis forense y consiste en la

realizacin de un informe pericial en el que se detallen (Artculo 478 de la
LECrim.):

1 La descripcin del equipo informtico o dispositivo objeto del mismo.

2 Los procedimientos realizados por los peritos y sus resultados.

Las conclusiones a las que los peritos han llegado en base a los resultados
3
obtenidos.

1.5. Cadena de custodia de las evidencias digitales

Como se ha comentado al principio del tema, las evidencias que obtengamos de un

anlisis forense deben de poder ser presentadas como medio de prueba en un
procedimiento judicial. Pero, para que un elemento pueda servir como elemento
probatorio en un procedimiento judicial se tiene que poder asegurar que dicho
elemento no ha sido alterado desde el momento de su recoleccin hasta su anlisis y
presentacin. Para ello se utiliza la cadena de custodia.

La cadena de custodia es el proceso mediante el cual la evidencia es transmitida

sin modificacin alguna, desde quien la ocupa, hasta quien la analiza. Los
objetivos que se a conseguir mediante el uso de la cadena de custodia son:

Garantizar la integridad de la evidencia, impidiendo que se realice cualquier

1
cambio sobre la misma.

2 Garantizar su autenticidad, permitiendo contrastar su origen.

Garantizar la posibilidad de localizacin, permitiendo saber en cualquier

3
momento dnde se encuentra una evidencia.

4 Garantizar la trazabilidad de los accesos a la evidencia.

5 Garantizar su preservacin a largo plazo.

En el mbito del anlisis forense, el mantenimiento de la cadena de custodia se suele

llevar a cabo mediante la documentacin de las personas custodiantes de la
evidencia y el uso de funciones hash que garanticen la integridad de la misma.

TEMA 1 Ideas clave Universidad Internacional de La Rioja, S. A. (UNIR)

9
 Anlisis Forense Informtico

As mismo, se ha de llevar un registro de las personas que realicen cualquier

operacin con la evidencia, indicando la operacin realizada, la fecha en que dicha
operacin ha sido realizada (inicio y finalizacin) y la persona que la ha realizado.

1.6. Delitos de falsedad en la pericia

La figura del perito se corresponde con la de un experto (no requiere titulacin) en

alguna materia (artstica o cientfica) en la cual el juez no tiene los conocimientos
suficientes. De esto se desprende que un perito puede ser cualquier persona,
siempre y cuando sea un experto en la materia sobre la cual pretenda realizar la pericia.

La responsabilidad penal del perito, no solo se da por la realizacin del hecho con
dolo, sino tambin por la imprudencia o falta de celo a la hora de realizar la
pericial. Por ello tenemos una serie de artculos del cdigo penal dedicados en exclusiva
a castigar este tipo de actos; los artculos 458 y siguientes del Captulo VI (Del falso
testimonio) del Ttulo 20 del Cdigo Penal de los cuales se pueden extraer los
siguientes fragmentos de inters:

Artculo 458.1: El testigo que faltare a la verdad en su testimonio en causa judicial, ser
castigado con las penas de prisin de seis meses a dos aos y multa de tres a seis meses.

Artculo 459: Las penas de los artculos precedentes se impondrn en su mitad superior a
los peritos o intrpretes que faltaren a la verdad maliciosamente en su dictamen...

Artculo 460: Cuando el testigo, perito o intrprete, sin faltar sustancialmente a la verdad,
la alterare con reticencias, inexactitudes o silenciando hechos o datos relevantes que le
fueran conocidos...

TEMA 1 Ideas clave Universidad Internacional de La Rioja, S. A. (UNIR)

10
 Anlisis Forense Informtico

Material complementario

Lecciones magistrales

La cadena de custodia

En esta leccin magistral se explica ms en profundidad qu es la cadena de custodia

y los motivos por los cuales es tan importante. Adems de presentar algunos casos en
los que por deficiencias en la cadena de custodia se invalid el trabajo de los peritos
forenses.

La clase magistral est disponible en el aula virtual.

TEMA 1 Material complementario Universidad Internacional de La Rioja, S. A. (UNIR)

11
 Anlisis Forense Informtico

No dejes de ver

Entrevista a Juan Martos, ex responsable del rea de informtica forense

de la empresa Recovery Labs

El vdeo contiene una entrevista realizada por la cadena autonmica TV3 al ex

responsable (cuando le fue realizada la entrevista todava responsable) del rea de
informtica forense en la empresa Recovery Labs, Juan Martos, en la que habla sobre la
labor del perito forense. Aunque el principio del vdeo se encuentra en valenciano, la
entrevista esta realizada ntegramente en castellano.

El vdeo completo est disponible en el aula virtual o en la siguiente direccin web:

http://www.youtube.com/watch?v=5-u34bW2jNU
http://www.youtube.com/watch?v=Mtudnh-79jE

TEMA 1 Material complementario Universidad Internacional de La Rioja, S. A. (UNIR)

12
 Anlisis Forense Informtico

What is Digital Forensics?

El vdeo presenta a Bill Dean, director de Informtica forense de la empresa Sword &
Shield Enterprise Security, contestando a una serie de preguntas bsicas relacionadas
con el mbito de la informtica forense. El vdeo est ntegramente en ingls.

El vdeo completo est disponible en el aula virtual o en la siguiente direccin web:

http://www.youtube.com/watch?v=nYrLwbBl_sE

Webgrafa

Informtica forense

Para comenzar en el mundo de la informtica forense, aqu tenis algunas direcciones

de pginas web especficas donde podris encontrar multitud de recursos relacionados
con el mundo forense.

Un informtico en el lado del mal (http://www.elladodelmal.com/)

Forensics Focus (http://www.forensicfocus.com/)
Computer Forensics World (http://www.computerforensicsworld.com/)
Forensics Magazine (http://www.forensicmag.com/)
SANS (http://www.sans.org/)
Cert (http://www.cert.org/)
National Criminal Justicie Reference Service (https://www.ncjrs.gov/)
National Institute of Justice (http://nij.gov/)
FBI: Cyber Crime (http://www.fbi.gov/about-us/investigate/cyber/cyber/)

TEMA 1 Material complementario Universidad Internacional de La Rioja, S. A. (UNIR)

13
 Anlisis Forense Informtico

Bibliografa

Brown, C. L. T. (2010). Computer evidence. Collection and preservation. Boston:

Course Technology PTR.

NIST. (2006). Performing the Forensic Process. En Guide to integrating forensic

techniques into incident response.

TEMA 1 Material complementario Universidad Internacional de La Rioja, S. A. (UNIR)

14
 Anlisis Forense Informtico

Test

1. Cules de las siguientes definiciones se corresponden con la definicin de

informtica forense?
A. La informtica forense es un proceso de investigacin.
B. Las evidencias que obtengamos de un anlisis forense deben de poder ser
presentadas como medio de prueba.
C. Algunos autores catalogan la informtica forense como un arte.
D. Todas las anteriores son correctas.

2. Una evidencia digital

A. No almacena informacin en formato electrnico, ya que lo almacena de forma
fsica.
B. Permite constatar un hecho investigado o ayuda a su esclarecimiento.
C. No almacenan informacin en ningn formato.
D. Almacena informacin en formato electrnico de forma fsica o lgica.

3. Cul de estos NO es un objetivo de un anlisis forense:

A. Averiguar qu se ha alterado.
B. Descubrir por qu se ha realizado la alteracin.
C. Saber cmo se ha realizado la alteracin.
D. Descubrir quin ha realizado la alteracin.

4. Cuando intentamos responder a la pregunta Quin ha realizado la alteracin?...

A. Tenemos que descubrir a la persona fsica responsable de la alteracin.
B. Podemos llegar a descubrir el usuario que realiz la modificacin.
C. Podemos obtener la direccin IP o MAC del equipo desde el que se realiz la
alteracin.
D. Las respuestas B y C son correctas.

5. Las etapas de un anlisis forense son:

A. Recolectar, reservar, analizar y presentar.
B. Recolectar, preservar y analizar.
C. Recolectar, preservar, analizar y presentar.
D. Recolectar, preservar y presentar.

TEMA 1 Test Universidad Internacional de La Rioja, S. A. (UNIR)

15
 Anlisis Forense Informtico

6. Durante la etapa de recoleccin, lo que se busca es:

A. Garantizar que lo que se analiza es lo que se ha recolectado.
B. Obtener las evidencias que son consideradas de inters.
C. Responder a la pregunta Cmo se ha alterado?.
D. Ninguna de las anteriores es correcta.

7. La recoleccin de las evidencias

A. Tiene que hacerse con medios que aseguren, en la medida de lo posible, la no
modificacin de las mismas.
B. Es necesario documentar los cambios que se hayan tenido que realizar en el
equipo si no ha sido posible evitar su modificacin.
C. Es el primer paso que se da a la hora de realizar un anlisis forense.
D. Todas las anteriores son correctas.

8. Durante el anlisis de las evidencias

A. Se intenta responder a la pregunta Qu se ha alterado?, el resto de
preguntas se responden durante la recoleccin.
B. El anlisis de las evidencias es el paso previo al estudio de las mismas.
C. Se estudian las evidencias que han sido recolectadas y preservadas
previamente.
D. Ninguna de las anteriores.

9. En un informe pericial se tienen que detallar:

A. El equipo informtico objeto del mismo. Si en lugar de un equipo, es cualquier
otro dispositivo, no se detalla.
B. Los procedimientos realizados por los peritos. Los resultados obtenidos se han
de comentar en el acto del juicio oral.
C. Los procedimientos realizados por los peritos y sus resultados.
D. Ninguna de las anteriores.

10. Los objetivos de la cadena de custodia son:

A. Garantizar la integridad de la evidencia.
B. Garantizar la posibilidad de localizacin de la evidencia.
C. Garantizar la trazabilidad de los accesos a la evidencia.
D. Todas las anteriores son correctas.

TEMA 1 Test Universidad Internacional de La Rioja, S. A. (UNIR)

16