Estándares nacionales e internacionales

que puede seguir un perito informático

para realizar el análisis forense de una
evidencia y para la elaboración de un
peritaje informático
5 noviembre, 2016blog

Cuando un perito informático enfrenta la realización de un peritaje informático, es

interesante que pueda seguir ciertas guías o pautas que le permitan, por un lado, recolectar,
preservar y analizar una evidencia informática adecuadamente y, por otro, presentar un
informe pericial informático más claro. Existen numerosos estándares nacionales e
internacionales en el ámbito de la recolección, preservación y análisis de evidencias
informáticas y, desde hace relativamente poco tiempo, un estándar nacional en el ámbito de
la elaboración de un peritaje informático. Pese a la falta de regulación profesional a nivel
nacional, tanto de la Ingeniería en Informática como de la Ingeniería Técnica en
Informática, estos estándares nacionales e internacionales permiten al perito informático
disponer de una serie de guías que, si bien no es obligatorio cumplir, siempre serán de
ayuda para una mejor práctica forense y elaboración de un peritaje informático.

Existe numerosa bibliografía en Internet para realizar un pequeño resumen de las normas
más importantes del ámbito forense, en la que el profesional que suscribe se ha apoyado
para escribir el presente artículo, como el Trabajo de Fin de Grado de Ingeniería
Informática de Don Juan Miguel Tocados Cano. Así, el conjunto de los estándares más
importantes, tanto nacionales, como internacionales, que el perito informático tiene a su
disposición para analizar y preservar una evidencia informática, así como para realizar un
informe pericial informático, se detalla a continuación.

Estándares a nivel nacional

UNE 197010:2015

A nivel nacional, la norma UNE 197010:2015, de “Criterios generales para la elaboración

de informes y dictámenes periciales sobre Tecnologías de la Información y las
Comunicaciones (TIC)”, define la forma en que debe redactarse un informe pericial
informático. Esta norma está basada en la norma UNE 197001:2011, de “Criterios
generales para la elaboración de informes y dictámenes periciales”, siendo ésta una norma
de carácter genérico para la realización de informes periciales de cualquier disciplina,
tomada como base para elaborar la ya mencionada norma UNE 197010:2015.

La citada norma, publicada por AENOR, especifica los criterios que deben seguirse para la
realización de informes periciales informáticos. Así, la norma UNE 197010:2015 define
principalmente la tipología del documento del informe pericial, sin entrar a valorar ni el
aseguramiento de la escena, ni la recolección, ni la preservación, ni el análisis de las
evidencias.

UNE 71505:2013

También a nivel nacional, la norma UNE 71505:2013, publicada por AENOR, tiene como
objetivos los que se enumeran a continuación:

 Descripción y definición de los conceptos de seguridad relativos a la gestión de

evidencias informáticas.
 Identificación de las relaciones entre el Sistema de Gestión de Evidencias
Electrónicas (SGEE) y el Sistema de Gestión de la Seguridad de la Información
(SGSI).
 Especificación de los controles de seguridad que deben aplicarse a la gestión de
evidencias informáticas
 Descripción de los formatos de intercambio de las evidencias informáticas y de los
mecanismos técnicos aplicables para el mantenimiento de la confiabilidad de las
mismas.

Según establece la norma, los atributos que debe cumplir cualquier evidencia informática
para ser considerada confiable, son los siguientes:

 Autenticación e integridad
 Disponibilidad y completitud
 Cumplimiento y gestión

Asimismo, según la norma, el ciclo de vida de la evidencia informática comprende los

siguientes procesos:

 Generación
 Almacenamiento
 Transmisión
 Recuperación (extracción y exportación)
 Tratamiento (consolidación, agregación, correlación)
 Comunicación de las evidencias informáticas.

Los procesos del Sistema de Gestión de Evidencias Electrónicas que se describen en esta
norma, invitan a los usuarios a prestar atención a la importancia de:
  La comprensión de los requisitos de seguridad de la información de una
organización, en relación con las evidencias informáticas, así como la necesidad de
establecer una política de seguridad para dichas evidencias y sus objetivos.
 La implantación y la operación de los controles para administrar los riesgos de
seguridad de la información de una organización, en el marco de los riesgos de
negocio generales, en relación con las evidencias informáticas.
 La supervisión y la revisión del rendimiento y la eficacia del Sistema de Gestión de
las Evidencias Electrónicas.
 El aseguramiento de la mejora continua sobre la base de la medición objetiva.
 La comprensión y la decisión, así como el establecimiento e implementación, o no,
de su integración en un Sistema de Gestión de la Seguridad de la Información.

La norma UNE 71505:2013 se divide, a su vez, en tres normas, que se detallan a

continuación.

UNE 71505:2013-1: Vocabulario y principios generales

En esta primera parte se pueden consultar diversos términos y definiciones generales que
son comunes a toda la norma, es decir, tanto a ésta como a las dos partes restantes. También
se da una visión general del proceso de gestión y de la relación entre las partes. Esto se
consigue dando, en primer lugar, una descripción de términos y definiciones, seguido de
una descripción a alto nivel del proceso y de las tareas relacionadas con la gestión de
evidencias informáticas y, finalmente, una pequeña descripción de las dos partes restantes
que forman esta norma.

Entrando en las generalidades de la administración de evidencias informáticas, se puede

observar que la norma adopta un enfoque por procesos para la creación, implementación,
funcionamiento, supervisión, revisión, mantenimiento y mejora del SGEE de la
organización. Dentro de este enfoque, se debe destacar la importancia de la comprensión de
los requisitos de seguridad de la información de la organización y la necesidad de implantar
una política de seguridad de las evidencias informáticas, junto con sus objetivos. También
será importante implantar controles para administrar los riesgos de seguridad de la
información, a la vez que se supervisan el rendimiento y la eficacia del SGEE.

Por último, se decidirá si se va a integrar, o no, dicho SGEE en un SGSI.

UNE 71505:2013-2: Buenas prácticas en la gestión de las evidencias

electrónicas

En esta parte de la norma se establecen los controles y procesos que deben aplicarse a la
gestión de seguridad de las evidencias informáticas y su integración en el ciclo PHVA (que
será explicado más adelante), de gestión de la seguridad de la información de la
organización. Se ha de tener en cuenta, en primera instancia, la confiabilidad, es decir,
maximizar la veracidad y la exactitud de las evidencias informáticas que se posean,
basándose en sistemas, procesos y procedimientos confiables. Para esto se deberán cumplir
varias premisas:

 En primer lugar, se deben asegurar la autenticación y la integridad, que

garantizarán que la información no ha sido alterada. Se podría decir que una
evidencia informática auténtica es aquella que es lo que afirma ser y que ha sido
creada, almacenada y/o enviada en el momento en que se afirma, por la persona que
afirma haberla creado, almacenado y/o enviado. Por otra parte, la integridad se
refiere a la no alteración de la evidencia informática, que es necesario proteger
contra modificaciones no autorizadas.
 Seguidamente, deben asegurarse la disponibilidad y la completitud. La
disponibilidad consiste en la cualidad que permite que una evidencia informática
pueda ser localizada, recuperada, presentada e interpretada; mientras que la
completitud referencia la representación completa de la información que contiene la
evidencia. Asegurando estas dos cualidades, se garantizará el acceso y la utilización
a la evidencia en los tiempos requeridos.
 Finalmente, para asegurar la confiabilidad de una evidencia, deberán cumplirse
también los atributos de cumplimiento y gestión, que garantizarán que la evidencia
que se ha obtenido se ciñe a lo esperado después de haberse gestionado y
habiéndose utilizado los procedimientos que se planificaron previamente.

Para alcanzar la confiabilidad se deberá disponer de un SGEE cuyas generalidades ya

fueron expuestas en la primera parte de esta norma. La gestión de las evidencias
informáticas de una organización incluye:

 Establecimiento de políticas, estrategias, controles y procedimientos

 Asignación de responsabilidades y competencias
 Integración de la gestión de las evidencias informáticas en los sistemas y en los
procesos que dan soporte a la organización

La gestión de las evidencias proporciona una serie de beneficios, debido a que el SGEE
puede servir de ayuda en actividades posteriores o en una futura toma de decisiones.

Por otra parte, en esta norma se sigue el ciclo de mejora continua PHVA (Planificar, Hacer,
Verificar y Actuar), como se describe a continuación:

 Planificar (establecimiento del SGEE): establecer la política del SGEE, los

objetivos, los procesos y procedimientos correspondientes a la gestión de
riesgos y a la mejora de la confiabilidad de las evidencias informáticas, al objeto
de proporcionar unos resultados de acuerdo a los objetivos y políticas globales de la
organización
 Hacer (implantación y puesta en marcha del SGEE): implantar y poner en marcha la
política, controles, procesos y procedimientos del SGEE
 Verificar (control y revisión del SGEE): evaluar y, cuando aplique, medir el
comportamiento de los procesos de acuerdo a la política del SGEE, a los objetivos y
 a la experiencia práctica, así como informar de los resultados a la dirección para su
revisión
 Actuar (mantenimiento y mejora del SGEE): tomar medidas correctivas y
preventivas, basadas en los resultados de la auditoría interna del SGEE y de la
revisión por la dirección, o de otra información importante, para conseguir la mejora
continua del SGEE

Como ya se advirtió, se adopta un enfoque por procesos para el SGEE y esto requerirá que
las organizaciones comprendan los requisitos y la necesidad de establecer una política y
unos objetivos para gestionar correctamente las evidencias informáticas, diseñando e
implantando controles adecuados para la gestión de los riesgos globales del negocio en
relación con las evidencias. Las organizaciones también deberán controlar y revisar la
eficacia del SGEE adoptado y tratar mejorarlo continuamente.

El proceso de planificación consta de varias fases:

 Definición del alcance y análisis de riesgos: el alcance del SGEE podrá ser global
sobre la organización o bien sobre una parte de ésta. Una vez determinado el
alcance, éste deberá contener los elementos sobre los que se requiere evidencia y
aquéllas que forman parte del SGEE. Para dicho alcance, se deberá efectuar un
análisis de riesgos orientado a la seguridad de la información y considerando los
aspectos legales y operacionales relativos a las evidencias.
 Identificación de recursos y planificación de procesos: una vez se hayan definido
los objetivos, se deberá proceder con la identificación de los recursos, tanto
humanos, como de infraestructura y financieros, para la gestión del sistema, junto a
los roles y responsabilidades. Asimismo, se planificarán los procesos necesarios
para implantar el SGEE, que se corresponderán con los objetivos obtenidos a partir
del análisis de riesgos previo. A la hora de la implantación, se deben asignar
claramente las funciones y responsabilidades a cada integrante del SGEE. Estas
responsabilidades deberían asignarse asegurando una correcta separación de
funciones.

Es importante también, documentar todos los procesos de gestión de seguridad de las

evidencias informáticas. La documentación deberá detallar las actividades de la
organización y las evidencias informáticas que le corresponden, especificando los periodos
de conservación y qué acciones se tomarán para su eliminación, así como las instrucciones
necesarias para transferir las evidencias a otros medios de almacenamiento sin perder la
integridad o la confidencialidad de las mismas.

Se deberá tener en cuenta que el SGEE es tan solo una parte del sistema de gestión de la
organización, existiendo otros sistemas como por ejemplo el SGSI. Ante la existencia de
varios sistemas, será necesaria una correcta integración entre todos ellos, con fin de mejorar
la eficiencia y la eficacia del sistema global de la organización.

Como punto final a esta parte de la norma, existen dos anexos en los que se describen una
serie de buenas prácticas específicas para el SGEE, mencionando los controles a implantar
y también una matriz de funciones ejecutables por cada uno de los roles del SGEE.
UNE 71505:2013-3: Formatos y mecanismos técnicos

En la última parte de la norma, se definen el formato de intercambio de las evidencias

informáticas y de los mecanismos que ayudarán a mantener la confiabilidad de éstas, dentro
del entorno de la organización, así como al intercambio de dichas evidencias entre
organizaciones. La elección de un formato de intercambio normalizado garantizará la
interoperabilidad entre diferentes organizaciones y la confiabilidad del contenido de las
evidencias.

En cuanto a los mecanismos, normas y estándares de seguridad aplicados a la evidencia

informática, tendrán como objetivo garantizar su autenticidad e integridad para mantener su
valor probatorio ante un proceso judicial, de forma que un perito informático pueda analizar
y verificar, tanto la autenticidad como la integridad de las evidencias. Entre estos
mecanismos podemos citar la firma electrónica, cuya finalidad es probar la integridad y la
identidad de la evidencia a la que está asociada. Tiene diferentes variantes, como CMS,
XADES, CADES, PADES, etc. No obstante, carece de dos propiedades básicas, que son la
fiabilidad de la fecha de creación y la robustez de los algoritmos criptográficos, a largo
plazo, en los que está basada. El sello de tiempo proporciona a la firma electrónica la
propiedad de no repudio, garantizando que la clave de la firma estaba vigente en el
momento en que los datos fueron firmados.

Por otra parte, con la utilización de criptografía asimétrica, será más fácil garantizar la
confidencialidad. Algunos algoritmos válidos son 2TDEA, 3TDEA, AES-128, 192 o 256.
La elección del algoritmo a utilizar se deberá realizar en base al periodo de tiempo de
validez que se prevé que tendrá la evidencia. Teniendo esto en cuenta, la organización
establecerá una política de conservación a largo plazo. Llegando al formato de intercambio
de las evidencias informáticas, se citará la estructura general, que se divide en tres campos
diferentes:

 Cabecera: contendrá datos que aportarán contexto al contenido, a la estructura y a

las credenciales de seguridad de la evidencia informática, como el tamaño de la
propia cabecera, el creador, el número de archivo, los archivos totales, etc.
 Contenido: almacenará información principal de la evidencia informática.
 Credenciales de seguridad: datos de identificación para la autenticación y validación
de integridad de la evidencia informática, es decir, aquellos datos generados por los
mecanismos de firma electrónica y sello de tiempo.

Finalmente, existen una serie de anexos con información adicional útil, como los
algoritmos criptográficos válidos según la criticidad de la información y el periodo de
tiempo previsible de validez, información sobre cuál es la fuente legal de tiempo en España,
una relación de formatos de firma y sellos de tiempo admitidos, los requisitos para la
reproducción e impresión de las evidencias informáticas, así como un pequeño ejemplo del
formato de un fichero contenedor de la evidencia en XML.
UNE 71506:2013

Esta norma tiene como objetivo definir el proceso de análisis forense dentro del ciclo de
gestión de evidencias informáticas, según se describe en la UNE 71505,
complementándola. En ella se establece una metodología para la preservación, adquisición,
documentación, análisis y presentación de las evidencias informáticas.

Se ofrecen, en primer lugar, una serie de términos, definiciones y abreviaturas que, junto a
los proporcionados en la norma UNE 71505-1, serán de utilidad dentro del documento para
el perito informático. A continuación, se habla en detalle de las diferentes fases del proceso
de análisis forense, que serán explicadas en las secciones posteriores.

Finalmente, se encuentran una serie de anexos, que se detallan a continuación:

 El primer anexo es un modelo de informe pericial, en el que se toma como

referencia el modelo de informe propuesto por la norma UNE 197001, referenciada
al principio del artículo, debiendo incluirse los siguientes apartados:

1. Asunto
2. Evidencias/muestras recibidas
3. Resolución o estudios efectuados sobre las evidencias/muestras
4. Situación final de las evidencias/muestras
5. Conclusiones finales
6. Anexos del informe

 El segundo anexo trata genéricamente sobre las competencias con las que ha de
contar el personal involucrado en las diversas fases del análisis forense, separadas
en diferentes categorías, competencias técnicas, profesionales y personales.
 El último anexo descrito en la norma se refiere al equipamiento para el análisis
forense de las evidencias informáticas. Se debe contar con herramientas tanto
hardware como software reconocidas por la comunidad forense internacional, aun
no existiendo una normalización.

Preservación

En esta fase se pretende mantener en todo momento la validez y confiabilidad de las

evidencias originales, siempre teniendo en cuenta una serie de principios, como disponer de
protocolos que aseguren la integridad de las evidencias sometidas a estudio, de tal forma
que se eviten modificaciones intencionadas, la exposición a campos magnéticos o la
conexión accidental a redes inalámbricas. Los peritos informáticos que tengan el primer
contacto con las evidencias deberán almacenar, precintar y sellar éstas en los soportes
oportunos, a fin de preservar otro tipo de evidencias como pudieran ser huellas o restos
orgánicos que estén asociados con el ADN, etc., así como llevar la indumentaria adecuada
para evitar descargas electrostáticas y utilizar soportes aislados para evitar interferencias
externas.

Del mismo modo, el personal técnico deberá almacenar dichas evidencias en un

lugar seguro hasta que finalice el proceso pericial o, si no se dispone de dicho lugar, en una
caja fuerte en el mismo entorno de trabajo.

Adquisición

Se realizará aquí un clonado a bajo nivel de los datos originales, siguiendo un

procedimiento documentado para asegurar que el proceso de adquisición es reproducible y
repetible, calculando el código hash de cada evidencia.

Si el lugar del incidente está delimitado físicamente, se deben seguir una serie de
precauciones antes de proceder a la adquisición, que se detallan a continuación:

1. Alejar a todas las personas no autorizadas de la escena

2. Identificar al administrador de los sistemas en caso de necesitar apoyo técnico
3. Mantener el estado de los dispositivos, si están encendidos, no apagarlos y viceversa
4. Buscar posibles notas asociadas a las contraseñas o PINs de acceso a los equipos
5. Fotografiar la escena, para documentar el estado inicial y para una posible
reconstrucción posterior
6. Etiquetar dispositivos y cableado
7. Localizar equipos inalámbricos instalados y determinar los modos de conexión que
usan
8. No desconectar fuentes de alimentación cuando las evidencias estén almacenadas en
soportes volátiles
9. En los distintos dispositivos digitales, revisar la existencia de dispositivos de
almacenamiento adicionales introducidos en ellos

Es importante el estado en el que se encuentran los sistemas, de modo que el proceso de

adquisición no será el mismo en sistemas apagados que en sistemas encendidos, en los que
comprometer la integridad de las posibles evidencias es relativamente fácil.
Sistemas apagados

Si los sistemas están apagados, las recomendaciones básicas, para el perito informático, son
realizar un borrado seguro del soporte que va a contener el clonado forense y, una vez
realizado dicho borrado, utilizar dispositivos bloqueadores de escritura (hardware o
software) para garantizar la no alteración de los datos originales, calculando el resumen
hash tanto de la información contenida en el soporte original, como en el soporte copia
obtenido, comprobando que ambos resúmenes son idénticos.

En el caso de dispositivos móviles, si llevan la tarjeta SIM, se debería extraer la

información contenida en ésta. Por otra parte, en caso de que no se tuviera conocimiento
del número PIN o PUK, se debería solicitar este último a la operadora de telefonía mediante
una autorización judicial. El dispositivo también contendrá información en la memoria
interna, por lo que también debe realizarse una copia a bajo nivel de los datos allí
almacenados.

Es importante recordar que se deberá calcular el hash de toda para cada conjunto de
información extraída.
Sistemas encendidos

Cuando los sistemas están se encuentran en funcionamiento, se deberá proceder a su

adquisición según el orden de volatilidad, de mayor a menor volatilidad. El grado de
volatilidad posee, por lo general, dos niveles:

 Información de la memoria RAM, particiones y archivos de intercambio (swap),

procesos de red y del sistema operativo en ejecución.
 Información de los sistemas de ficheros y datos contenidos en los sectores de los
dispositivos por bloques.

En el caso de tratarse de entornos virtualizados, en los que cada una de las máquinas
virtuales estará formada por varios ficheros, como el de configuración del hardware del
equipo, el utilizado para la memoria y uno o varios discos físicos o virtuales. Aquí, la
información a obtener serán los discos duros virtuales y un volcado de la parte de la
memoria RAM utilizada por este entorno. De este modo, una vez obtenidos todos los
ficheros de configuración de la máquina virtual y de los discos virtuales, se deberá ser
capaz de reproducir el entorno original para su análisis.

Cuando se manipulan dispositivos móviles, éstos deberán ser aislados debidamente, de

forma que no entren en contacto con redes inalámbricas que puedan manipular
accidentalmente los datos contenidos dentro de ellos, para lo cual se utilizarán artilugios
conocidos como jaulas de Faraday.

La metodología de análisis a seguir, consiste en realizar un clonado de las partes accesibles

de la tarjeta SIM e introducir el clon de la tarjeta en el terminal. Una vez encendido el
terminal, se realizará una copia a bajo nivel de los datos contenidos en su memoria interna.
Si algún modelo específico de terminal no fuera soportado por las herramientas forenses
disponibles, se podrá trasladar al informe la información que se lea en la pantalla o
proceder como en el caso de los sistemas apagados.

Una vez se ha terminado con el proceso de análisis de los datos, no se deberá introducir de
nuevo ni la batería ni la tarjeta SIM original y se deberá, como siempre, calcular el hash de
toda la información extraída.

Documentación

Cualquier análisis forense requerirá un control sobre las evidencias que van a ser sometidas
a estudio. Por tanto, se documentará todo el procedimiento desde que se inicia el análisis
hasta que acaba, a través de la redacción del informe pericial a enviar al solicitante,
indicando todos los procesos y herramientas utilizadas y el momento en que fueron
ejecutados dichos procesos, siguiendo una secuencia temporal definida con vistas a elaborar
un registro auditable.

Consecuentemente, la cadena de custodia debe tener implementado un sistema de gestión

documental donde van a quedar reflejados todos los pasos llevados a cabo. Esta
gestión documental incluirá los siguientes documentos, entre otros:

 Documento de recepción de evidencias informáticas, pudiendo llevar así un control

de las peticiones de análisis y de las propias evidencias a estudiar.
 Registro de la documentación recibida, teniendo en cuenta que entre los documentos
que acompañarán a la evidencia, se puede encontrar una descripción de las
evidencias y de la cadena de custodia hasta que dichas evidencias llegan al entorno
de análisis, así como los estudios solicitados en dicho análisis y los permisos
necesarios para realizar dichos estudios.
 Registro de las evidencias, en el que se describirá detalladamente cada evidencia y
su estado, en el momento de la recepción de la misma.
 Registro del tratamiento inicial en el que se describirá el proceso de clonado
(volcado de datos o realización de la imagen).
 Registro de situación de evidencias, en el que se reflejarán las operaciones
practicadas a una evidencia, dónde se practicaron, por quién y en qué momento.
 Registro de tareas del análisis inicial.
 Registro de tareas del análisis de datos definitivo, junto a la expresión
temporal de los procesos llevados a cabo, así como la ubicación temporal de la
evidencia si se paralizara temporalmente su estudio.

Análisis

Durante la fase de análisis, se llevarán a cabo una serie de procesos y tareas que intentarán
dar respuesta a preguntas relacionadas con una intrusión, como su origen, la lista de
sistemas afectados, los métodos usados, etc. Todos estos procesos y tareas deberán
realizarse de forma metódica, auditable, repetible y defendible.

Al llegar las evidencias al laboratorio forense, deberán ejecutarse una serie de acciones
previas:

1. Comprobar que lo que se precisa estudiar está dentro de la competencia del

laboratorio.
2. Formar un mapa contextual de las evidencias, según la documentación adjunta, las
relaciones entre las mismas y de éstas con los distintos actores implicados.
3. Revisar la cadena de custodia previa a la llegada de las evidencias al laboratorio.
4. Solicitar las autorizaciones que se precisen para el estudio solicitado, según la
legislación vigente.
5. Comprobar que las evidencias no están deterioradas y que se pueden someter a
estudio.
6. Si aparecen nuevas evidencias no contempladas anteriormente, se generará un
nuevo proceso de gestión, custodia y trazabilidad siguiendo la norma UNE 71505,
previamente descrita, notificándose al solicitante.
 7. Revisar la hora de la BIOS del equipo sometido a estudio, de modo que
pueda ser comparada con la fecha del momento en que se active el análisis forense.
8. Establecer unos criterios de prioridades.

Teniendo estas premisas en cuenta, se describirán a continuación las acciones y procesos

que se llevarán a cabo, en líneas generales, durante la fase de análisis de las evidencias.
Recuperación de los ficheros borrados

Consiste en una recuperación total o parcial de los datos ubicados en áreas del disco no
asignadas por el sistema en ese momento y en el espacio del disco sin utilizar, así como
tratar de recuperar carpetas y archivos huérfanos, de los que se ha perdido su vinculación.
Asimismo, se buscarán también archivos completos o fragmentos de éstos a través de sus
cabeceras.

En el informe pericial se especificará claramente de dónde se ha extraído la información y

qué método se usó para dicha recuperación.
Estudio de las particiones y sistemas de archivos

Este proceso tendrá como finalidad estudiar las diversas estructuras de los contenedores de
almacenamiento de los dispositivos a estudiar (particiones, sistemas RAID, etc.).

El proceso incluirá una serie de tareas básicas:

 Enumeración de las particiones actuales y de las que hubieran existido

anteriormente.
 Identificar zonas del disco ocultas no visibles para el sistema operativo, como las
HPA o DCO.
 Identificar los sistemas de archivos en los contenedores o en las particiones, con la
identificación del contenedor que almacena el sistema operativo de inicio y el tipo
de arranque o selector multiarranque.
 Identificar también los sistemas de archivos de los discos compactos y los posibles
archivos cifrados y/o protegidos por contraseña.
 Proceder al montaje de los archivos contenedores de otros (comprimidos,
empaquetados, etc.), verificando las cabeceras de los distintos formatos y sus
resúmenes digitales.

Al realizar un análisis de la memoria RAM se estudiarán, para un momento temporal

concreto, los procesos activos, ficheros abiertos, puertos y tomas de corriente activas, así
como claves de acceso a programas o volúmenes cifrados del soporte de almacenamiento.
Estudio del sistema operativo

Se estudiará durante este proceso el sistema operativo instalado, la actividad de los usuarios
existentes en dicho sistema y su política de seguridad.

El proceso englobará ciertos pasos:

  Identificar el sistema operativo principal del equipo y su localización, así como
otros sistemas operativos utilizados, su fecha de instalación y sus actualizaciones.
 Identificar a los distintos usuarios junto a los privilegios y permisos de éstos dentro
del sistema operativo, así como las fechas de último acceso al equipo de cada uno
de los usuarios y su política de seguridad.
 Identificación de los dispositivos hardware y software reconocidos por el sistema
operativo o que pudieran haber estado instalados anteriormente.
Estudio de la seguridad implementada

La finalidad de este proceso será estudiar si las evidencias informáticas sometidas a estudio
han sido comprometidas. Con el mismo fin se intentará identificar el posible software
malicioso existente dentro de las distintas particiones identificadas, evaluando el grado de
intrusión en el sistema informático y qué archivos fueron los comprometidos.
Análisis detallado de los datos obtenidos

Se incluirá el análisis detallado de las evidencias, teniendo en cuenta los análisis previos.
Del mismo modo, se clasificarán los datos y opcionalmente se indexarán los mismos
utilizando palabras clave, con el fin de agilizar posteriormente las búsquedas de indicios.

Un análisis forense detallado contemplará los siguientes aspectos:

1. Hardware instalado, fecha, hora, datos de configuración regional, etc.

2. Dispositivos físicos conectados en algún momento al equipo.
3. Estudio del escritorio o pantalla principal y papelera de reciclaje.
4. Conexiones de red y tarjetas instaladas y su dirección MAC, los protocolos usados y
las direcciones IP.
5. Estudio de las comunicaciones llevadas a cabo desde el equipo.
6. Estudio del registro del sistema y de los logs de auditoría del sistema operativo.
7. Información contenida en los espacios no asignados en las particiones y en el
espacio no ocupado por los archivos lógicos.
8. Información contenida en los archivos de hibernación, paginación, particiones y
archivos de intercambio (swap), etc.
9. Análisis de la cola de impresión.
10. Enlaces a archivos y archivos accedidos recientemente.
11. Estudio de las carpetas de usuario.
12. Estudio de las aplicaciones instaladas.
13. Estudio de los metadatos, en caso de ser de interés.
14. Análisis de las aplicaciones de virtualización.
15. Estudio de las bases de datos instaladas y de sus sistemas gestores.
16. Estudio del software de cifrado y de los ficheros y particiones cifradas.
17. Estudio de la navegación por Internet (cookies, historial, etc.).
18. Análisis de correos electrónicos.
19. Análisis de registros de mensajería instantánea y conversaciones, junto a la lista de
contactos.
Presentación

Esta fase final consiste en plasmar toda la información obtenida durante el proceso de
análisis de las evidencias en un informe pericial, firmado por el perito informático, dirigido
al organismo o entidad que solicitó el estudio, teniendo en cuenta que este informe irá
dirigido muchas veces a un público sin conocimientos técnicos profundos dentro del campo
de la informática, por lo que deberá mantenerse un equilibrio entre la inteligibilidad y el
rigor de lo escrito en el informe. Una vez redactado, se debe remitir el informe al
organismo solicitante, junto al documento de control de evidencias, finalizando así el
proceso de custodia de las evidencias y aportando trazabilidad a dicho proceso.

Estándares a nivel internacional

ISO/IEC 27037:2012

El estándar ISO/IEC 27037:2012 “Information technology – Security techniques –

Guidelines for identification, collection, acquisition and preservation of digital evidence”,
es una norma para la identificación, recolección, adquisición y preservación de evidencias
digitales. El estándar ISO/IEC 27037:2012 proporciona directrices para actividades
específicas como la identificación, recolección, adquisición y preservación de potenciales
evidencias informáticas que pueden tener valor probatorio. Este estándar provee, al perito
informático, de guías con respecto al proceso de manejo de la evidencia digital, así como
orienta a las organizaciones en sus procedimientos de intercambio de evidencias digitales
entre jurisdicciones (por ejemplo, para que un juzgado pueda, a fin de ser analizada por un
perito informático, enviar una evidencia digital a otro, manteniendo la cadena de custodia
de dicha evidencia).

El estándar ISO/IEC 27037:2012 incluye directrices de conservación de la evidencia y la

cadena de custodia para dispositivos digitales de almacenamiento, como discos duros,
memorias USB, discos ópticos y magnéticos, teléfonos móviles, PDAs, tarjetas de
memoria, sistemas de navegación por satélite, cámaras de vigilancia (CCTV), ordenadores
con conexión a la red, redes basadas en el protocolo TCP/IP y similares, etc.

Los principios fundamentales de la norma son los siguientes:

 Metodología del proceso: la evidencia debe ser adquirida utilizando un método no

intrusivo o mínimamente intrusivo.
 Auditoría del proceso: el procedimiento seguido y la documentación generada
deben poder ser auditados por peritos informáticos ajenos a los que adquirieron las
evidencias, con una trazabilidad del proceso de recolección de las mismas.
  Reproducción del proceso: el procedimiento debe poder ser repetido por peritos
informáticos ajenos a los que lo ejecutaron por primera vez, partiendo de las mismas
premisas y obteniendo los mismos resultados.
 Defensa del proceso: el procedimiento debe poder ser defendido, demostrando la
adecuación de las herramientas utilizadas en el mismo.

Asimismo, el tratamiento de las evidencias para cada tipología de dispositivo, es el

siguiente:

 Identificación: localización de la evidencia, sea física o lógica

 Adquisición: recolección de la evidencia o de una copia forense de la misma, así
como de la documentación asociada a ésta
 Preservación: conservación de la evidencia como elemento inalterado, al objeto de
que pueda ser admitido como prueba, es decir, conservando su cadena de custodia

ISO/IEC 27042:2015

El estándar ISO/IEC 27042:2015 “Information technology – Security techniques –

Guidelines for the analysis and interpretation of digital evidence”, es una norma para el
análisis e interpretación de evidencias digitales. El estándar ISO/IEC 27042:2015
proporciona directrices sobre cómo un perito informático puede abordar el análisis e
interpretación de una evidencia digital en un incidente o en una intervención pericial, desde
su identificación (evidencia digital potencial), pasando por su análisis (evidencia digital),
hasta que es aceptada como prueba en un juicio (evidencia digital legal).

Las definiciones que proporciona la norma para su utilización en la realización de un

peritaje informático, son las siguientes:

 Evidencia digital potencial: información identificada como posible evidencia

digital, es decir, que aún no ha sido analizada, almacenada en un medio físico, o
transmitida a través de la red en formato binario.
 Evidencia digital: información identificada como evidencia digital, tras su
correspondiente análisis forense utilizando las herramientas adecuadas, almacenada
en un medio físico, o transmitida a través de la red en formato binario.
 Evidencia digital legal: información identificada como evidencia digital que ha sido
aceptada en un procedimiento judicial (prueba o pieza de convicción, según la
terminología jurídica).
 Investigación: aplicación de exámenes, análisis e interpretaciones sobre una
potencial evidencia digital hasta convertirla en una evidencia digital legal.
 Examen: conjunto de procedimientos que se aplican para identificar y recuperar una
evidencia digital potencial de una o varias fuentes.
 Análisis: evaluación de la evidencia digital potencial al objeto de valorar su posible
importancia en una investigación.
  Interpretación: síntesis o composición para explicar, dentro de su alcance, los
hechos llevados a cabo en los exámenes y análisis que componen una investigación.

El estándar habla, asimismo, de los modelos analíticos que pueden utilizar los peritos
informáticos, que se dividen en las siguientes categorías:

 Análisis estático: es una inspección de la evidencia digital potencial (contenido de

ficheros, datos borrados, etc.), a fin de determinar si puede ser considerada
evidencia digital. Debe examinarse en crudo y utilizarse procedimientos que eviten
la alteración de la evidencia digital potencial.
 Análisis en vivo: es una inspección de evidencias digitales potenciales en sistemas
activos, como memorias RAM, teléfonos móviles, tabletas, redes, etc. El análisis
debe realizarse en caliente. A su vez, el análisis en vivo, se divide en:
o Análisis en vivo de sistemas que no pueden ser copiados ni se puede obtener
una imagen de los mismos: el riesgo para el perito informático de analizar en
vivo este tipo de sistemas es evidente, ya que la potencial evidencia digital,
puede perderse al no poderse realizar una copia de la misma. Por tanto, es
muy importante minimizar el riesgo del análisis y llevar un registro de todos
los procedimientos ejecutados.
o Análisis en vivo de sistemas que pueden ser copiados o se puede obtener una
imagen de los mismos: este tipo de sistemas deben analizarse interactuando
con ellos directamente, prestándose sumo cuidado a la hora realizar
emulaciones de software o hardware y utilizando para ello máquinas
virtuales certificadas, o incluso los entornos reales para obtener unos
resultados más cercanos a la realidad.

Asimismo, la ISO/IEC 27042:2015, enumera ciertas indicaciones o guidelines que debe

incluir el perito informático en su informe pericial, a no ser que existan indicaciones
judiciales en su contra. Dichas guidelines son las siguientes:

 Calificaciones del perito informático

 Información inicial de que dispone el perito informático y su equipo
 Naturaleza del incidente que va a ser investigado por el perito informático
 Fecha, hora y duración del incidente
 Lugar del incidente
 Objetivos de la investigación
 Miembros del equipo de investigación supervisados por el perito informático
 Fecha, hora y duración de la investigación
 Lugar de la investigación
 Hechos sustentados por una evidencia digital y hallados durante la investigación
 Daños en la evidencia digital y sus implicaciones en los siguientes estadios del
proceso de investigación
 Limitaciones de todos los análisis realizados
 Detalle de procesos y herramientas utilizadas
 Interpretación de la evidencia digital por parte del perito informático
 Conclusiones
 Recomendaciones para futuras investigaciones
Por otra parte, la norma recalca que los hechos deben separarse totalmente de las opiniones
del perito informático, de tal forma que dichas opiniones deberán ser fundadas y estar
soportadas por los hechos que se desprendan de las evidencias digitales investigadas. El
perito informático no podrá incluir, por tanto, en el informe pericial, ningún tipo de juicio
de valor o afirmación que no se sustente en hechos puramente científicos.

Por último, el estándar concluye con determinadas indicaciones para los peritos
informáticos, que hablan sobre la formación y el mantenimiento de las habilidades
requeridas para ejecutar con la debida calidad las actividades conducentes a la gestión de la
evidencia digital. Así, estas indicaciones son:

 Definición de competencia profesional como habilidad para obtener un resultado a

partir de la aplicación del conocimiento.
 La incompetencia de una persona puede lastrar la investigación o, incluso, echarla a
perder.
 La competencia profesional de un perito informático debe ser medida e identificada
con métricas como: carreras universitarias, exámenes, certificaciones, currículum,
experiencia profesional, formación continua, asistencia a eventos formativos como
congresos, simposios o conferencias, etc. En España, según las Leyes de
Enjuiciamiento Civil y Criminal, el perito deberá estar en posesión de la titulación
oficial correspondiente a la materia del dictamen para el ejercicio de la profesión,
siendo el caso del peritaje informático, la Ingeniería o Ingeniería Técnica en
Informática.
 La competencia profesional de un perito informático deberá ser medida de forma
periódica y en periodos regulares, incluyendo nuevas áreas de conocimiento.
 Un perito informático será considerado competente, cuando de los análisis de sus
investigaciones se obtengan resultados equivalentes a los de otro perito informático.
 La competencia profesional deberá ser validada por terceros independientes del
profesional.

RFC 3227

La RFC (Request For Comments) 3227 es un documento que recoge las principales
directrices para la recolección y el almacenamiento de evidencias digitales, constituyendo
un verdadero estándar para la recopilación y almacenamiento de evidencias. La RFC 3227
define un proceso para la recolección de evidencias que ayuda al perito informático a
adquirir y catalogar las evidencias digitales.

Así pues, el proceso definido incide en la adquisición de una imagen del sistema que debe
adquirirse lo más fidedigna posible, realizando notas detalladas que incluyan fechas e
indicando si se está utilizando la hora local o el horario UTC, minimizando los cambios en
la información que se está recolectando (eliminando si es posibles los agentes externos que
pudieran ejecutar dichos cambios), priorizando la recolección sobre el análisis, recogiendo
la información por orden de volatilidad (es decir, recopilando primero la información de las
memorias cachés y de la memoria principal -RAM- y, posteriormente, recolectando la
información de la memoria secundaria -discos duros-, seguidamente de las memorias USB
y, finalmente, de las unidades ópticas, logs de sistemas y documentos.

El perito informático, según este estándar, deberá intentar por todos los medios que se
pierda la mínima información posible, tomando la mejor decisión con respecto a si se deben
extraer las evidencias de los ordenadores encendidos que han sido intervenidos (siempre
ante fedatario público o autoridad que levante acta del proceso), o desconectar la máquina
de la red a fin de evitar que se active cualquier programa informático diseñado para
eliminar la información de las unidades físicas conectadas al ordenador, bien a distancia
(botón de pánico), bien de forma programada. Es necesario señalar que esta desconexión
provocará la desmagnetización de las cachés y de la memoria principal, cuya información
se perderá irremediablemente, razón por la cual es necesario analizar y decidir in situ cuál
es la mejor opción en función de lo que el perito informático perciba en los diferentes
sistemas intervenidos.

Se deberán obviar también las informaciones proporcionadas por los programas del
sistema, ya que éstos pueden haberse visto comprometidos. Tampoco deben ejecutarse
programas que modifiquen los metadatos de los ficheros del sistema.

Asimismo, el perito informático deberá prestar especial atención a no vulnerar, bajo ningún
concepto, la privacidad de las personas, cumpliendo en todo momento con la Constitución,
que protege la privacidad del individuo en su artículo 18, así como con las leyes que
desarrollan dicho artículo. Es necesario prestar también especial cuidado sobre la
información comprometida de la organización, puesto que puede darse el caso que se hallen
almacenadas fórmulas, planos, o cualquier otro tipo de activos sometidos a las leyes de la
propiedad industrial.

Por tanto, la recolección de la evidencia debe seguir los principios de:

 Admisibilidad: la prueba debe ser admisible por un Tribunal de Justicia

 Autenticidad: debe ser posible vincular la prueba al incidente o delito
 Completitud: la prueba debe ser completa, no parcial
 Confiabilidad: no se debe poner en duda el proceso de recolección de la prueba, por
lo que debe conservarse de forma absolutamente escrupulosa la cadena de custodia,
al objeto de evitar que el Tribunal inadmita la prueba
 Credibilidad: la prueba debe ser fácilmente comprensible por el Tribunal que vaya a
evaluarla

El estándar define igualmente un procedimiento de recolección de evidencias, que debería

ser lo más detallado posible, inequívoco y reduciendo al mínimo la cantidad de toma de
decisiones necesaria durante el proceso de recolección. Así pues, se define que el proceso
debe ser transparente, de tal forma que todos los métodos utilizados para la recolección de
la prueba deben ser reproducibles, lo que significa que el procedimiento debe ser forense
(del latín forensis, “público y notorio”), así como el deber de la utilización de métodos
estándares.
Se debe crear un listado con todos los sistemas involucrados en el incidente, al objeto de
recoger posteriormente la prueba, estableciendo una relación de las evidencias que es más
probable que sean admitidas, pecando por exceso, en lugar de por defecto, si fuese
necesario, en la toma de precauciones para la recolección de la evidencia.

Para cada sistema informático, se debe obtener el correspondiente orden de volatilidad en

cada una de sus memorias, desconectando cada sistema del exterior para evitar alteraciones
en las evidencias, reuniendo posteriormente las evidencias con las herramientas forenses
necesarias. Es necesario, asimismo, registrar el grado de sincronización del reloj del
sistema y, a la vez que se van recolectando evidencias, indagar en la posibilidad de qué
otros elementos pueden llegar a considerarse evidencias. Además, es necesario documentar
cada paso y recoger en un documento las personas involucradas en el procedimiento,
tomando nota de quién estaba allí y de qué estaba haciendo cada uno, así como de sus
observaciones y reacciones. Finalmente, es necesario calcular los resúmenes o códigos hash
para cada una de las evidencias, sin alterar éstas, al objeto de iniciar un procedimiento de
cadena de custodia de las pruebas.

Por otra parte, el procedimiento de archivo de las evidencias define cómo deben
almacenarse las pruebas. La evidencia debe estar claramente protegida y, además,
debidamente documentada. Así pues, el perito informático necesitará, muy probablemente,
la ayuda de un fedatario público (en España, un notario o un secretario judicial), que
otorguen fe pública al acto de generación de la cadena de custodia mediante el cálculo del
código hash correspondiente a la prueba. Además, se debe generar documentación
conducente a la descripción clara de cómo se encontró la evidencia, cómo se manipuló y
quién tiene bajo la custodia de quién está la evidencia en cada momento, detallando los
cambios que se produzcan en la custodia de ésta.

El acceso a las evidencias almacenadas deberá ser limitado y deberán documentarse

también las personas que tendrán permiso para acceder a las mismas, así como los cambios
de custodia que se produzcan en las pruebas. Sería conveniente, asimismo, implementar un
mecanismo que detecte accesos no autorizados a las pruebas.

Todos los programas que el perito informático necesite para realizar el análisis forense de
las pruebas, deberá ser preparado con anterioridad en medios ópticos de “sólo lectura”,
como CDs o DVDs, debiendo incluir, al menos, un programa de cada una de las siguientes
tipologías:

 Un programa para el examen de los procesos

 Un programa para examinar el estado del sistema
 Un programa para realizar copias bit a bit
 Un programa para calcular sumas de verificación o códigos hash
 Un programa para la generación de imágenes básicas y para analizar éstas
 Una secuencia de comandos para automatizar la recopilación de pruebas.

Además, se deberá estar preparado para garantizar la autenticidad y fiabilidad de las

herramientas que se utilicen.
RFC 4810

La RFC 4810 define un estándar que debe seguirse para la preservación de la información
al objeto de que, la existencia de determinados archivos, creados en un determinado
momento del tiempo, pueda ser probada, así como su integridad desde el instante de su
creación hasta el momento en que es presentada como evidencia por un perito informático.
Igualmente, la RFC define qué tipo de sistemas de ficheros pueden dar soporte a este tipo
de escenarios y qué requisitos deben cumplir los mismos.

Finalmente, la RFC define la forma en que una firma digital debe poder ser verificada tras
haber transcurrido un tiempo indeterminado desde la generación de la misma.

RFC 4998

La RFC 4998 define un estándar que debe seguirse para la preservación de la información,
incluyendo información firmada digitalmente, al objeto de demostrar su existencia e
integridad durante un periodo de tiempo que puede ser indeterminado. La RFC define qué
tipo de sistemas de ficheros pueden dar soporte a estos escenarios y qué requisitos debe
cumplir un Registro de Evidencias, en el que se apoye un perito informático, para
garantizar la existencia de dicha información, al objeto de evitar que pueda ser repudiada.

RFC 6283

La RFC 6283 define un estándar para demostrar la existencia, integridad y validez de

información, incluyendo información firmada digitalmente, durante periodos
indeterminados de tiempo. La RFC define, además, la sintaxis en lenguaje extensible de
marcas XML, así como las reglas de procesado, que deben seguirse para la creación de
evidencias íntegras de información de largo periodo al objeto de evitar su repudio.