Informática forense
Fase inicial: Resumen conceptos básicos
Morales Nova, Jesús Ángel
Universidad Nacional Abierta y a Distancia - UNAD
Bogotá D.C., Colombia
angelmornov@gmail.com ; jamoralesn@unadvirtual.edu.co
Resumen— La finalidad del presente documento es la de
realizar un trabajo en forma individual en la etapa inicial, fase 1,
del curso de “Informática forense”, que bajo los parámetros
planteados por la Universidad Nacional Abierta y a Distancia –
UNAD, el cual esta dividido en dos actividades, en la primera fase
se debe desarrollar una actividad consistente en un mapa mental,
donde se muestra la estructura del curso con palabras claves de
las unidades y en la segunda fase se debe elaborar un resumen de
los conceptos básicos de las unidades que componen el curo, con
el fin de conocer de forma general las definiciones y los posibles
roles en los que se puede desempeñar un especialista en seguridad
informática, de acuerdo al contenido del curso de informática
forense.
Palabras clave— Delito informático, escena, evidencia, fraude
informático, informática forense.
Abstract— The purpose of this document is to carry out a work
individually in the initial stage, phase 1, of the "Computer
forensics" course, that under the parameters set by the National
Open and Distance University - UNAD, which is divided into two
activities, In the first phase you must develop an activity consisting
of a mental map, where the course structure is shown with
keywords from the units and in the second phase a summary of the
basic concepts of the units that make up the course should be
prepared, in order to know in a general way the definitions and the
possible roles in which a specialist in computer security can play,
according to the contents of the forensic computer course.
Keywords— Cybercrime, scene, evidence, computer fraud,
computer forensics.
I. INTRODUCCIÓN
Todos los días vemos, escuchamos y leemos en los diversos
medios de comunicación, noticieros, programas de televisión,
de radio, periódicos, revistas, sobre ataques de hackers
planeados a través de organizaciones delictivas, hasta por
países, empresas o en forma individual, donde emplean diversas
metodologías y herramientas informáticas, para ingresar a
empresas, entidades gubernamentales, a personas, a nivel
nacional e internacional, donde estos delincuentes cibernéticos
están constantemente realizando penetraciones a las redes y
sistemas informáticos, con el fin de apoderasen de información
valiosa, estratégica para la toma de decisiones, de defensa, de
sistemas de armas, financiera, personal.
Pero muchas veces no hay una concientización sobre la
seguridad en las redes y en los sistemas de información, como
en el caso de la mayoría de las personas que somos usuarios
finales de tecnologías básicas como el computador y el celular,
por ejemplo el computador que tenemos en nuestro hogar en la
gran mayoría de casos no cuenta con un sistema operativo y
paquete de ofimática licenciado, y tenemos un antivirus de
prueba o gratuito, que no ofrece las mejores garantías de
seguridad y hemos instalado un sin número de programas o
aplicaciones que no sabemos qué tan seguros sean, en muchas
ocasiones abrimos los hipervínculos de correos electrónicos,
compartimos cadenas de información, imágenes, accedemos a
sitios web que no tienen la seguridad adecuada, descargamos
información, uso de las redes sociales, entre otras, aquí hay
muchos riesgos y vulnerabilidades y estamos facilitando las
cosas para que organizaciones o personas dedicadas a hackear
los sistemas informáticos accedan a nuestra información.
A nivel empresarial o gubernamental es más delicada la
situación sobre la perdida de la información, puesto que está en
riesgo muchos recursos físicos, financieros y hasta la seguridad
de una nación, donde hay muchos factores que pueden
aumentar las vulnerabilidades, la globalización permite el
acceso a la información, la adquisición excesiva de tecnología,
la fabricación de tecnología para muchos entornos, el
desarrollo de software y de infinidad de aplicaciones, páginas
web, tiendas virtuales, implementación de redes alámbricas,
inalámbricas, aumento de usuarios, entre otras, a pesar que en
muchas organizaciones adquieren tecnología, software, no es
suficiente para contrarrestar los incidentes, por lo que hay que
emplear metodologías adecuadas para el análisis y valoración
de vulnerabilidades.
El 5 de enero de 2009, el Congreso de la República de
Colombia promulgó la Ley 1273 “Por medio del cual se
modifica el Código Penal, se crea un nuevo bien jurídico
tutelado – denominado “De la Protección de la información y
de los datos”- y se preservan integralmente los sistemas que
utilicen las tecnologías de la información y las comunicaciones,
entre otras disposiciones”. Dicha ley tipificó como delitos una
serie de conductas relacionadas con el manejo de datos
personales, por lo que es de gran importancia que las empresas
se blinden jurídicamente para evita incurrir en alguno de estos
tipos penales [1].
Por lo tanto, existen grupos de expertos de empresas, de
sectores académicos, con años de experiencia en los Sistemas
de Gestión de Seguridad de la Información, que trabajan en
equipo y están encargados de la búsqueda y desarrollo de
nuevas metodologías y herramientas que permitan minimizar,
contrarrestar las vulnerabilidades que se puedan presentar en
los sistemas informáticos, redes de comunicación, que a través
de buenas prácticas, modelos de gobierno, normas y estándares
internacionales, se dedican a gestionar y controlar los riesgos
de la seguridad de la información dentro de cualquier
organización.
II. RESUMEN CONCEPTOS BÁSICOS INFORMÁTICA FORENSE
Delito informático: Son conductas en que el o los
delincuentes se valen de programas informáticos para cometer
delitos como implantación de virus, suplantación de sitios web,
estafas, violación de derechos de autor, piratería, daño
informático, violación de datos personales, hurto por medios
informáticos y semejantes, etc. Se podría decir que son todos
aquellos hechos que atenten contra la confidencialidad, la
integridad y la disponibilidad de los datos y de los sistemas
informáticos, Los cuales están tipificados en la ley 1273 de
2009.
Clasificación del delito informático
 Acceso abusivo a un sistema informático.
 Obstaculización ilegitima de sistema informático o red de
telecomunicación.
 Interceptación de datos informáticos.
 Daño informático.
 Uso de software malicioso.
 Violación de datos personales.
 Suplantación de sitios web para capturar datos
personales.
 Hurto por medios informáticos y semejantes.
 Transferencia no consentida de activos.
Mencionados delitos informáticos tienen ciertos agravantes,
dependiendo a si se realiza entidades estatales u oficiales del
sector financiero, nacionales o extranjeros, si lo hace un
servidor publico en ejercicio de sus funciones, con fines
terroristas, etc.
Hacking. Conducta de entrar a un sistema de información sin
autorización, violando barreras de penetración del sistema, las
personas dedicadas a esta actividad se les denomina hackers,
por lo regular acceden al sistema y borran los rastros, para ver
información, extraer copias o eliminarla.
Cracking: Alterar los contenidos de la información con el fin
de destruir el sistema, las personas dedicadas a esta actividad
se les denomina crackers, con el fin de dominar las barreras y
entrar ilegalmente al sistema.
En la figura 1 se pueden evidencias las diferencias mas
significativas sobre los anteriores términos.
Fig. 1. Diferencias hacker y cracker
Hacker Craker
Profesional en la sima de la Termino derivado del apalabra
excelencia en su profesión. “criminal hacker”
Personal apasionado por la seguridad Cualquier personal que viola la
informática. seguridad de un sistema informático.
Emplea la intrusión a un sistema Emplea la intrusión al sistema con
con fines benéficos o de trabajo. uso personal o dañino.
Sus inicios han sido alrededor de Inicia alrededor de finales de los 80 y
los años 80. principios de los 90.
Fuente: https://lssystems.wordpress.com/2013/
Hacktivismo: Es la unión entre el hackeo y el activismo; se
entiende normalmente la utilización “no-violenta” de
herramientas digitales o legalmente ambiguas para fines
políticos., por ejemplo, desfiguración de webs, redirecciones,
ataques de denegación de servicio, robo de información,
parodias, sustituciones virtuales, sabotajes virtuales y
desarrollo de software.
Ciberterrorismo: Operaciones de hackeo políticamente
motivadas con la intención d causar graves daños, como
pérdida de vidas humanas o severos daños económicos.
Phreaking: Acceder a las líneas telefónicas, con el fin de que
no sean facturados los costos del uso de estas, sea publica,
privada, IP o inalámbrica.
Carding: Fraudes informáticos mediante procedimientos
digitales para acceder a los beneficios de las tarjetas de crédito,
telefónicas, etc.
Se enfoca en el fraude online, a través de tarjetas de
crédito/debito, en la cual los delincuentes utilizan tarjetas
robadas para venderlas o utilizarlas en la compra de productos,
defraudando a los ciudadanos, equivalen al 68% de las
denuncias que afectan la ley 1273 de 2009.
Sexting: Difusión de contenido pornográfico o audiovisual
sexualmente explicito producido comúnmente por el mismo
remitente, utilizando para ello un celular u otro dispositivo
tecnológico, por lo regular la victima termia siendo
chantajeada, burla, amenaza o en sextorsión.
Fases de la informática forense
Las siguientes fases se podría decir que son fases genéricas,
puesto que el profesional en informática forense puede añadir
más criterios con el fin de mejorar el proceso y evitar
problemas relacionados con el trabajo desarrollado, así:
Fase de identificación
Desde el lugar de los hechos donde fue materializado el ataque
informático se debe rotular adecuadamente el dispositivo que
va a ser objeto del análisis forense, que pude ser cualquier
elemento que pueda contener información, memorias USB,
CDS, discos duros de los ordenadores de escritorio, portátiles,
de servidores, celulares, tables, etc.
Se debe recopilar la información necesaria para trabajar sobre
la fuente de datos presentada por el administrador del servicio,
de acuerdo con la solicitud del servicio forense, donde
debemos tener en cuenta los siguientes interrogantes, que
información se necesita, como aprovechar la información
presentada, en que orden ubico la información, realizar las
acciones de planeamiento necesarias, procesos para recuperar
evidencias, herramientas a utilizar, para realizar el análisis
forense.
Levantamiento de información
De acuerdo con la solicitud forense se debe a proceder con el
amaláis donde se deben tener en cuenta los siguientes
requerimientos.
Descripción del delito; (fecha, duración detalles del
incidente).
Información general; área, nombre de la dependencia,
responsabilidad del sistema afectado, nombre y apellidos,
cargo, email, teléfono, extensión, celular, fax.
Información sobre el equipo afectado; dirección IP,
nombre del equipo, marca, modelo, capacidad de memoria,
de disco duro, modelo procesador. Sistema operativo y
versión, función del equipo, tipo de información procesada,
información del incidente, evidencia digital, copias, o
imágenes de la escena del crimen.
Asegurar la escena
Asignar personal idóneo para llevar a cabo el proceso
forense, entendiendo la metodología.
Identificar las evidencias; es la evidencia presentada en la
escena dl crimen, sujeta al analís en todo el proceso y se
clasifica en:
Tipo de dispositivo: donde se encuentran, los sistemas
informáticos, redes, redes inalámbricas, dispositivos
móviles, sistemas embebidos, otros dispositivos.
Modo de almacenamiento: ya sean volátiles, no
volátiles,
Fase de validación y preservación de los datos adquiridos
Con las herramientas adecuadas realizar una copia idéntica de
la evidencia, creando códigos especiales, con el fin de que no
pueda ser manipulado, con el fin de proteger el elemento
analizado y realizar las copias de seguridad con el rigor para el
estudio y análisis, teniendo en cuenta que puede ser presentada
si es el caso apara iniciar un proceso legal, donde se deben
definir los métodos adecuados para almacenamiento y
etiquetado de las evidencias, las cuales se deben conservar ya
que son las posibles hullas del crimen., donde se deben seguir
los siguientes pasos.
Copias de la evidencia: realizar dos copias de la evidencia
obtenida de cualquier fuente, realizando una suma de
comprobación de la integridad, mediante el empleo de las
funciones como MD5 o SHA1, incluyendo estas firmas en la
etiqueta de cada copia sobre el medio de almacenamiento, CD
o DVD, con fecha hora de la creación de la copia, nombre.
Cadena de custodia: se establecen las responsabilidades y
controles a cada uno de los integrantes del equipo forense,
donde se deben registrar los datos de todos los encargados de
manipular la evidencia, el cual debe tener la siguiente
información; donde, cuando y quien examino la evidencia,
fechas, horas, toda la información del personal al detalle,
cuando se produce el cambio de custodia, la transferencia
quien la trasporta, etc.
Fase de análisis y descubrimiento de evidencia
Realizar una serie de pruebas de laboratorio, con as
herramientas adecuadas, analizando e indagando información
en varios niveles, detectar algún tipo o sospecha de ataque
informático, o manipulación de la información, buscar archivos
borrados, creados, accedidos o alterados dentro de periodos de
tiempo, renombramiento de archivos con otras extensiones,
textos en general, imágenes, mensajes de correo de chats,
modificación de información, etc. donde se crea un patrón del
comportamiento del usurario de acuerdo a parámetros
establecido para tal fin.
Con el fin de reconstruir con los datos posibles la línea
temporal del ataque, determinando la cadena de
acontecimientos, desde el inicio hasta su descubrimiento, se da
por terminado cuando se descubra como, quien, quienes, para
que se produjo el ataque.
Preparación del análisis:
Acondicionar el entorno de trabajo, trabajar con las imágenes
generadas, no con la información original, debe hacerse como
estaba en el sistema original, preparar estaciones de trabajo con
discos duros de respaldo, en uno instalar sistema operativo
como anfitrión para estudio de evidencias, en otro disco duro
instalar las imágenes del evidencia, manteniendo la estructura
de las particiones y del sistema de archivos como en el original
atacado, en otro equipo instalar sistema operativo configurado
igual al atacado, manteniendo también la estructura de las
particiones y ficheros en sus discos duros, utilizando este
equipo como equipo bajo prueba, para las verificaciones de
rigor, se pueden usar helamientos de software de acuerdo alas
necesidades.
Reconstrucción del ataque:
Crear línea temporal o timeline o sucesos, de acuerdo con la
recopilación de la siguiente información.
Marcas de tiempo MACD, ruta completa, tamaño en bytes, y
tipo de fichero, usuarios y grupos a quien pertenece, permisos
de accesos, si fue borrado o no, además ordenar ficheros por
fechas MAC, para analizarlos, con el fin de verificar ficheros y
directorios qua han sido creados, modificado o borrados o
instalaciones de programas posteriores al del sistema
operativos, verificar directorios temporales, etc.
Determinación del ataque
Cuando se tenga una cadena de acontecimientos de lo que se
ha generado, determinar la vía de entrada al sistema, establecer
que vulnerabilidad causo la inseguridad y que herramientas
fueron empleadas por el atacante.
Revisar los servicio y procesos abiertos que se recopilaron
como evidencia volátil, así como los puertos TCP/UDP y
conexiones que estaban abiertas cuando el sistema estaba
funcionando, analizar con el rigor del caso y verificar
vulnerabilidades documentadas y corrección de las mismas,
exploits, rootkit, reforzando las hipótesis empleando la
formulación causa efecto, probar sobre el equipo de pruebas
los exploits, que se encontró, los cuales pueden producir los
mismos efectos o eventos encontrados en las evidencias.
Identificación del ataque:
Una vez identificado como ingresaron al sistema, realizar
nuevamente algunas evidencias volátiles, revisar conexiones
abiertas, puertos y que direcciones IP las solicitaron, buscar
entre las entradas de los logs de conexiones, buscar posibles
hullas borradas, registros de conexiones de red, fragmentos de
evidencias volátiles, la memoria virtual o archivos temporales y
borrados, como restos de email, conexiones fallidas, etc.
Al tener una IP sospechosa se debe verificar y validar, teniendo
en cuenta que puede ser un equipo zombi, o IP falsificadas, etc.
Utilizar técnicas de ethical hacking, para identificar el atacante,
verificando que no se haya dejado una puerta trasera o troyano,
etc, se pueden utilizar herramientas como nmap.
Perfil del atacante:
Hackers: personas con conocimientos en técnicas de
programación, redes, sistemas operativos, internet. Con
motivaciones de tipo ideológico (pacifistas, ecologistas,
antiglobalización, anti-Microsoft, entre otros) o simplemente
como desafío intelectual.
Sciptkiddies: jóvenes con conocimientos aceptables en
programación e internet que emplean herramientas fabricadas y
probadas por atacantes, mediante el empleo de scripts y guías
disponibles en la web para ver qué pasa.
Profesionales: perdonas con avanzados conocimientos en
lenguajes de programación, redes, equipos de reses, internet,
sistemas operativos en general, suelen realizar ataque por
encargo, por su reputación, los cuales se dedican a dar grandes
golpes, sin dejar huellas.
Evaluación del impacto causado al sistema:
Investigar qué es lo que los atacantes hicieron una vez
accedieron al sistema, verificando que tanto fueron afectados
los equipos, los recursos de la red, los diversos servicios del
sistema, la información, de acuerdo con los siguientes tipos de
ataques.
Ataques pasivos: no se alteró la información, ni la operación
normal de la organización, solo se fisgoneo en el sistema.
Ataques activos: se alteró la información y en ocasiones la
capacidad de operación del sistema o de la organización en
general.
Fase de documentación, presentación pruebas, (informe)
Se realizan informes ejecutivos y técnicos con copia magnética,
de acuerdo con los formatos establecidos para tal fin, tomando
las medidas necesarias para que no pierda valides ante las
autoridades competentes, se debe llevar una minuta sobre todas
las actividades realizadas durante las diversas fases de la
informática forense.
Utilización de formularios de registro de incidente
Son muy importantes para la documentación final del proceso,
los cuales deben se diligenciados por todas las partes
comprometidas, algunos son, documento de custodia de
evidencia, identificación de equipos y componentes, incidencias
tipificadas, publicación del incidente, recogida de evidencias,
de discos duros, etc.
Informe técnico
Es un documento detallado, para personal del área del SGSI,
de seguridad informática, etc. donde se describe la
metodología, técnicas y hallazgos del equipo forense, debe
tener como mínimo la siguiente información: introducción,
antecedentes del incidente, recolección de datos, descripción
de la evidencia, entorno de análisis, descripción de las
herramientas, análisis de la evidencia, información del sistema
analizados, características del SO, aplicaciones, servicios,
vulnerabilidades, metodología, descripción de los hallazgos,
huellas de la intrusión, herramientas utilizadas por el atacante,
alcance de la intrusión, origen del atacante, cronología de las
intrusión, conclusiones, recomendaciones específicas,
referencias, anexos, etc.
Informe ejecutivo
Es un resumen del análisis efectuado, para el personal de la alta
gerencia y personal encargado de la toma de decisiones de la
organización, donde se da una explicación no técnica, con
lenguaje común, donde se exponen los hechos ocurridos en el
sistema analizado, debe tener como mínimo la siguiente
información: introducción, análisis, sumario del incidente,
principales conclusiones. Solución del incidente,
recomendaciones finales.
Acciones en la escena del fraude informático
Identificando las vulnerabilidades informáticas
Muchos delitos informáticos no están detectados o reportados,
debido a que los atacantes en la mayoría de las ocasiones no
son detectados, por lo tanto, es importante detectar ciertas
vulnerabilidades informáticas, algunos empleados violan las
políticas de uso de internet, virus, gusanos, troyanos,
monitoreo electrónico no autorizado, sniffers, eyloggers, web
suplantadas, vandalismo, accesos n autorizado a información,
herramientas automatizadas de escaneo, sabotaje, espionaje,
etc.
Preservar la escena del fraude
Identificando la posible causa del fraude es necesario cuidar los
dispositivos donde esta la evidencia del ataque, con el de que
no se dañe o evitar que se altere la información, a través de:
Aislamiento del sistema informático
Aislar la maquina afectada junto con los medios de
almacenamientos encontrados (cd, dvd, discos duros,
disquetes, USB), así como los documentos, notas escritas a
mano y los documentos próximos al equipo, se sugieren las
siguientes acciones:
El acceso a los elementos debe ser restringido totalmente, no
se debe permitir el contacto con ninguno de los medios de
almacenamiento.
Procedimiento apagado para preservar la evidencia
Documentar el estado inicial de la maquina y proceder a
apagarla sin modificar ningún archivo, no ejecutar ningún
programa, ya que cualquier visualización o manipulación se
pueden alterar fechas, hora ultimo accesos, etc.
Inspeccionar el sistema operativo
Es importante que durante el análisis forense prever el
suministro de energía de los equipos de cómputo, con el fin de
evitar que se apague bruscamente, lo que permite el daño de
los archivos de registros de inicio de sesión y de programas
que se estén ejecutando.
Es necesario en todos los sistemas operativos fotografías la
pantalla y anotar los programas en ejecución, retirando el cable
de alimentación d la red eléctrica.
La claridad de la evidencia
La evidencia digital es información de valor dentro del proceso
de la informática forense, hace parte de la evidencia física, pero
tiene como característica que se puede duplicar y copiada sin
alteraciones con respecto ala original, para garantizar su
validez debe cumplir los siguientes parámetros:
Autenticidad: Garantizar que sus contenidos no han sido
modificados, que proviene de la fuente identificada y que la
información externa a ella es precisa.
Precisión: Debe ser relacionada con el incidente, las
herramientas empleadas para su análisis deben ser confiables,
alguien debe explicar cómo fue el procedimiento.
Suficiencia: Debe, por sí misma y en sus propios términos,
mostrar el escenario completo, y no una perspectiva de un
conjunto particular de circunstancias o eventos.
Con el fin de garantizar su valides se deben tener en cuenta los
siguientes principios, según La organización Internacional de
Evidencia Computacional IOCE, Los principios fueron
presentados y aprobados en la Conferencia Forense
Internacional de crimen de alta tecnología, en octubre de 1999.
 En la incautación de la evidencia digital, las acciones
tomadas no deben cambiar la evidencia.
 Cuando es necesario para una persona acceder a la
evidencia digital original, esa persona debe ser
competente en ciencias forenses.
 Toda actividad relacionada con la incautación, acceso,
almacenamiento o transferencia de evidencia digital tiene
que estar completamente documentada, preservada y
disponible para revisión.
 Todo individuo es responsable de todas las acciones
tomadas con respecto a la evidencia digital mientras ésta
esté en su posesión.
 Cualquier organización que es responsable de incautar,
acceder, almacenar o transferir evidencia digital es
responsable de actuar conforme a estos.
Atributos
 Consistencia con todos los sistemas legales.
 Permitir el uso de un lenguaje común.
 Durabilidad.
 Habilidad para cruzar límites internacionales.
 Habilidad para infundir confianza en la integridad de la
evidencia.
 Aplicabilidad a toda la evidencia forense.
 Aplicabilidad en todos los niveles, incluido el individuo, la
organización y el país.
Formato de la evidencia en la escena
Es un archivo por lo regular de texto plano, necesario para ser
identificado dentro de una maquina computacional, ya sea que
de acuerdo con su formato se podrá almacenar, manipular y
borrar.
Cuidados de la evidencia en la escena
Después de realizar las inspecciones del caso, es necesario
tener cuidado con los equipos atacados, para lo cual se debe
tener en cuenta:
Esterilidad de los medios informáticos de trabajo
los medios informáticos empleados deben estar certificados,
que no hayan sido expuestos a variaciones magnéticas, ópticas
o similares, para que las evidencias que se ubique allí no se
contaminen.
Verificación de las copias en medios informáticos
Las copias efectuadas a los medios esterilizados deben ser
idénticas al original, la cual se debe comprobar a través de
métodos matemáticos, como firmas digitales, el software
empleado debe ser previamente probado por la comunidad
científica.
Documentación de los procedimientos, herramientas y
resultados sobre los medios informáticos utilizados
El investigador debe ser el custodio del proceso, los pasos
realizados, las herramientas utilizadas (sus versiones, licencias
y limitaciones), los resultados obtenidos del análisis de los
datos deben estar claramente documentados, de tal manera,
que cualquier persona externa pueda validar y revisar los
mismos, es necesario la aplicación del método científico y la
documentación de todo el proceso.
Mantenimiento de la cadena de custodia de las evidencias
digitales
La custodia de los elementos del sistema en poder del
investigador debe responder a una formalidad para documentar
los eventos que se han realizado con la evidencia en su poder.
Quién la entregó, cuándo, en qué estado, cómo se ha
transportado, quién ha tenido acceso a ella, cómo se ha
efectuado su custodia, etc. Esto debe ser claro para la
administración de las pruebas a su cargo.
Informe y presentación d resultados de los análisis de los
medios informáticos
Debe tener una adecuada presentación e información lógica por
lo que puede llevar a falsas expectativas o interpretación de los
hechos que pueden perjudicar al investigador. Por tanto, deben
desarrollarse acuerdo a la audiencia ya se el informe ejecutivo
o el técnico.
Administración del caso realizado
Los investigadores forenses en informática deben estar
preparados para declarar ante un jurado o juicio, por tanto, es
probable que en el curso de la investigación o del caso, lo
puedan llamar a declarar en ese instante o tiempo después. Por
lo que deben velar por proteger la información con los
controles necesarios.
Auditoria de los procedimientos
Es recomendable que el investigador forense en informática
mantenga un ejercicio de autoevaluación de sus
procedimientos, para contar con la evidencia de una buena
práctica de investigaciones forenses, de tal manera que el ciclo
de calidad: PHVA - Planear, Hacer, Verificar y Actuar, sea una
constante que permita incrementar la actual confiabilidad de
sus procedimientos y cuestionar sus prácticas y técnicas
actuales para el mejoramiento la práctica de la disciplina.
Análisis de las evidencias y herramientas computacionales
para informática forense
Estrategias para la recolección de pruebas electrónicas
Llevar un orden de recopilación de la información
Si la recolección de datos se realiza correctamente y de una
manera ordenada, es más útil para la posible detención del
atacante y pude ser admisible en un proceso judicial. El orden
de recopilación debe ser:
Buscar evidencia
Realizar una lista de chequeo de respaldo al proceso de
recolección, para comprobar todo lo que se está buscando este
en el sistema, pueda determinar dónde puede estar la evidencia
que se está buscando.
Determinar la relevancia de los datos
Cuando de detecte una evidencia se debe priorizar, se debe
recopilar toda la información, realizar todas las pruebas del
caso, sin perder tiempo.
Determinar la volatilidad de la información
Determinar que dispositivos son volátiles y pueden contener
información (un dispositivo volátil es el que funciona en un
instante determinado), por lo cual se debe actuar de manera
ágil mientras el dispositivo esté funcionando, por lo cual se
recomienda hacer una lista de elementos con prioridad.
Eliminar la interferencia exterior
No alterar los datos originales, es necesario impedir cualquier
contaminación, en algunos casos los atacantes pueden instalar
un interruptor que puede borrar evidencia una vez el equipo se
desconecta de la red o de Internet.
Recoger la evidencia
Se pueden emplear cualquier software especial para esta tarea,
ya sea libre o propietario, verificar elementos recogidos
anteriormente y revisar la lista de queque si falta alguno.
Documentar todas las acciones realizadas
Es importante conservar un registro de todo lo que se hace en
el proceso de recolección. Las marcas de tiempo, las firmas
digitales, y las declaraciones firmadas sirven para validar el
proceso.
Orientaciones para la recolección de evidencias
De acuerdo con la legislación nacional puede variar, lo más
importante es la preservación de la integridad de ésta; en el
caso de la información almacenada en medios magnéticos, la
naturaleza volátil de ésta hace que dicha labor sea más difícil.
Cantidad de Información recolectada
Es necesario priorizar y determinar los equipos para el analizar
ya que el investigador podría terminar siendo demandado por
dañar o alterar el sistema informático, aunque la severidad y la
categoría del crimen son las que determinan cuánta evidencia
digital se debe recolectar.
Cuidados al hardware
Los dispositivos que contengan hardware deben ser sometidos
a la recolección de evidencia, se recolecta información de
elementos de almacenamiento cd, dvd, cintas magnéticas,
diskettes, memorias flash que puedan contener evidencia,
interrogantes: ¿los equipos involucrados en una investigación
deben ser apagados o deben permanecer prendidos?,
En ocasiones apagar un equipo puede causar más daños que
beneficios, por ejemplo, si se trata de un servidor que presta
servicios a muchas personas que no necesariamente están
involucradas en una investigación, la mejor opción es utilizar
su buen juicio y sentido común para determinar las acciones a
seguir.
Volatilidad de la evidencia
Se debe examinar cada elemento con cuidado ya que pueden
presentar información que nunca se pueda recuperar si se ha
hecho alguna manipulación sobre los elementos, por lo cual se
debe tener en consideración las siguientes apreciaciones:
 La evidencia desaparece con el tiempo, ya sea como
resultado de la actividad normal del sistema o como
resultado de los actos de los usuarios.
 Cada paso podrá destruir la información, por lo que todas
las medidas que tome deben ser bien aplicadas la primera
vez o se puede perder mucha información.
 Es importante que no se busque información en áreas que
normalmente no tienen razón alguna para ser accedida
(como archivos personales) a menos que se haya
notificado al usuario.
En general, la evidencia informática debe ser
 Admisible
 Auténtica
 Completa
 Confiable
 Creíble y comprensible
Herramientas de software utilizadas en la informática
forense
Aplicaciones para informática forense
Estas herramientas se instalan en el ordenador afectado, y se
realiza la exploración al sistema de archivos y usuarios para la
exploración completa del mismo, los más populares son:
 EnCase
 Osforencis
 Access data forensic tool kit
 Forense toolkit
 Caine
Herramientas para el Monitoreo y/o Control de
Computadores
Existen algunos programas simples como key loggers o
recolectores de pulsaciones del teclado, que guardan
información sobre las teclas que son presionadas, hasta otros
que guardan imágenes de la pantalla que ve el usuario del
computador, o hasta casos donde la máquina es controlada
remotamente “KeyLogger” es un ejemplo de herramientas que
caen en esta categoría.
Herramientas de marcado de documentos
Se realiza mediante el uso de herramientas, de marcar software
para poder detectar el robo de información fácilmente.
Herramientas de hardware
Debido a que el proceso de recolección de evidencia debe ser
preciso y no debe modificar la información se han diseñado
varias herramientas como el DIBS “Portable Evidence
Recovery Unit”.
kit de herramientas de informática forense
Se puede hacer a través de una combinación de utilidades
freeware y/o shareware. Los siguientes son los tipos de
herramientas que deben ser incluidos la hora de realizar un
examen de informática forense básica:
 Una herramienta para capturar el tráfico de la red para el
análisis (por ejemplo, un rastreador de red).
 Una utilidad para crear imágenes de disco o clones a nivel
de bits.
 Una herramienta para crackear las contraseñas
  Una herramienta que informa sobre puertos TCP / IP
abiertos y detecte las procedencias de esos puertos
 Una herramienta para recuperar borrados (borrado) de
datos.
 Una utilidad para realizar copias de seguridad y editar el
Registro de Windows.
 Una utilidad para mostrar toda la actividad del sistema de
archivos en tiempo real.
 Una herramienta para analizar las propiedades del archivo
 Una herramienta de monitorización que muestra toda la
actividad del Registro en tiempo real.
 Una utilidad que muestra los recursos compartidos de red
tanto local y remota.
 Una herramienta de monitorización que muestra los
inicios de sesión, los cierres de sesión y el uso de
privilegios.
 Una herramienta que muestra los archivos abiertos, los
procesos de objetos, las claves de registro, archivos DLL
y los propietarios de los procesos de objetos.
Empleo de rastreadores de paquetes para reunir pruebas
También es importante en una investigación forense analizar el
tráfico de la red a través de herramientas para analizar el tráfico
en un segmento de red Ethernet escuchando el tráfico de red,
al ejecutar un sniffer en una red se pueden recoger pruebas de
intrusión en un sistema informático, hay muchos sniffers entre
los más reconocidos, están:
 Snort
 Ngssniff
 Ethereal
III. CONCLUSIONES
Por medio de este trabajo se pudo constatar que en ocasiones
no somos responsables en el uso de las TIC, donde instalamos
un sin número de programas o aplicaciones que no sabemos
qué tan seguros sean, abrimos hipervínculos de correos
electrónicos, compartimos cadenas de información, imágenes,
accedemos a sitios web que no tienen la seguridad adecuada, el
uso de redes sociales, entre otras, aquí hay muchos riesgos y
vulnerabilidades y estamos facilitando las cosas para que
accedan a nuestra información.
Además, se pudo evidenciar que a nivel empresarial o
gubernamental es más delicada la perdida de información, y
existen muchos más riesgos y factores que pueden aumentar las
vulnerabilidades, como la adquisición excesiva de tecnología, la
implementación de redes alámbricas, inalámbricas, aumento de
usuarios, el uso de tecnología, software e infinidad de
aplicaciones, páginas web, tiendas virtuales, y por lo regular no
es suficiente todas las medidas de seguridad que se hacen en las
organizaciones.
Se pudo conocer las definiciones mas significativas de la
informática forense, herramientas, aplicaciones y software
empleado para el desarrollo e las misma.
También se pudo tener una idea mas precisa sobre la diferencia
que existe entre un hacker y un cracker que en muchas
ocasiones es distorsionada.
III. REFERENCIAS
[1] Los delitos informáticos en Colombia. Delta asesores.
Abril 2019. [En línea]. Disponible:
https://www.deltaasesores.com/ley-de-delitos-
informaticos-en-colombia/
[2] H. E. Cabrera, Cursos de Informática forense. Pasto.
Colombia: Universidad Nacional Abierta y a Distancia -
UNAD. 2013.
IV. BIOGRAFÍA
AngeMorales nació en Colombia – Antioquia, el 17
de agosto de 1973. Se graduó de la Escuela de
Comunicaciones Militares, como Tecnólogo en
Electrónica y Comunicaciones, y culmino materias de
Ingeniería de Sistemas en la Universidad Nacional
Abierta y a Distancia – UNAD, institución donde está
de cursando 10 créditos de la Especialización de
Seguridad Informática, cuenta con diplomados en
apropiación social de las ciencias en la educación,
investigación formulación de proyectos de la ACAC,
diseño y fabricación de equipos electrónicos de la Universidad Sergio
Arboleda, Implantación efectiva de estrategias TIC de la USTA, Seguridad y
defensa Nacionales de la ESDEGUE, investigación y propiedad intelectual de
la UMNG, entre otros.
Su experiencia profesional está enfocada en la gestión y desarrollo de proyectos
en el área de electrónica, telecomunicaciones e informática, dentro de los
principales proyectos desarrollados se encuentra los bloqueadores de señales de
RF para evitar la activación de artefactos explosivos improvisados por parte de
grupos organizados al margen de la ley, Fundador y coordinador durante 6 años
del Centro de Investigación de electrónica, telecomunicaciones e informática
del Ejército Nacional, fundador y jefe durante 3 años del laboratorio de
electrónica para el análisis de artefactos explosivos improvisados, fundador y
líder durante 5 años de los semilleros de investigación de electrónica,
telecomunicaciones e informática de la ESCOM y fundador y líder durante 6
años del grupo de investigación de las comunicaciones militares, GICMIL, sus
principales logros son; premio de los Héroes 2013 categoría ciencia y
tecnología del Ejército Nacional, Distintivo de Investigación Científica del
Ejército Nacional, reconocimiento por parte de la corporación incubadora de
empresas de base tecnología Genesis por el compromiso para anudar esfuerzos
en apoyo a la Fuerza Publica en su labor de detección y destrucción de AEI,
como investigador principal del proyecto bloqueador de RF, presentado ante
COLCIENCIAS.