Análisis Informático Forense

GTI. Elvin R. Castellanos

Distribución de puntos
• Investigación 20% (4 grupos de 3 y 1 grupo de 2)
• Examen Teórico 30% (15/15)
• Prácticas de laboratorio 20%

• Foros 10%
• Ejercicios en clase 10%
• Puntos Extra (5% Investigación propuesta por el alumno)

Auditoría Informática Forense 2

Temas de Investigación
1. P2 eXplorer (3) 1. NetworkMiner (para linux) (4)
2. SANS DFIR (1) 2. Xplico (3)
3. Osaf (4) 3. OSForensics (5)
4. FTK (1) 4. Plaso (1)
5. Bulk Extractor (2) 5. IEF - Internet Evidence Finder
(4)
6. AlientVault (5)
6. Encase forensic (2)
7. Shellbag Forensics (3)
7. CNWrecovery (2)

Auditoría Informática Forense 3

Definición
La Informática Forense es una disciplina criminalística que
tiene como objeto la investigación en sistemas informáticos de
hechos con relevancia jurídica o para la simple investigación
privada.

Para conseguir sus objetivos, la Informática Forense desarrolla

técnicas idóneas para ubicar, reproducir y analizar evidencias
digitales con fines legales.

Auditoría Informática Forense 4

Ámbito de actuación
Todo hecho en el que un sistema informático esté involucrado,
tanto si es el fin o un medio, puede ser objeto de estudio y
análisis, y por ello, puede llevarse a juicio como medio
probatorio.

En el entorno empresarial se puede utilizar para determinar si

un sistema ha sido accedido ilegalmente o violentado y esto se
convierte en causa justificable de despidos o proceso judicial
ante otra empresa.
Auditoría Informática Forense 5
Principios
• Adherirse a estándares legales
• Formación específica en técnicas forenses
• Investigación debe ser “Forensically sound”
• Obtener Permisos:
– Investigación/ recolección evidencias
– Monitorizar uso de ordenadores
• Control de Evidencias Digitales
– Cadena de Custodia de la evidencia

Auditoría Informática Forense 6

Cadena de Custodia de la evidencia digital CdC
Ejemplo: (Un caso de corrupción)
Cuando la policía y los investigadores entran en la casa del
sospechoso, resulta que encuentran un montón de
documentación en papel referente a contratos inflados
económicamente para estafar a la Administración Pública, por
tanto, el sospechoso tiene muchas posibilidades de ser
culpable.
Ahora imaginemos que el encargado de custodiar esas
evidencias es amigo íntimo del sospechoso y que no se lleva
ningún control de trazabilidad sobre las mismas.
Auditoría Informática Forense 7
Cadena de Custodia de la evidencia digital CdC
Cuando esas pruebas llegan al juez, todos esos contratos que antes
eran la prueba de un delito ahora son completamente normales y
responden a la más absoluta legalidad, por lo que el juez no tiene más
remedio que desestimar la acusación. Para evitar que estas situaciones
se produzcan en la realidad existe el concepto de Cadena de Custodia.

La CdC establece un mecanismo o procedimiento, que asegura a

quienes deben juzgar que los elementos probatorios (indicios,
evidencias o pruebas) no han sufrido alteración o contaminación
alguna desde su recolección, examen y custodia, hasta el momento en
el cual se presentan como prueba ante el Tribunal.
Auditoría Informática Forense 8
Cadena de Custodia de la evidencia digital CdC

Este procedimiento debe controlar dónde y cómo se ha obtenido

la prueba, qué se ha hecho con ella (y cuándo), quién ha tenido
acceso a la misma, dónde se encuentra ésta en todo momento y
quién la tiene y, en caso de su destrucción (por la causa que sea),
cómo se ha destruido, cuándo, quién, dónde y porqué se ha
destruido.

Este procedimiento de control debe ser absolutamente riguroso,

de manera que no pueda dudarse ni por un instante de la validez
de la prueba.
Auditoría Informática Forense 9
Sin embargo, la evidencia digital tiene ciertas peculiaridades con respecto
a otro tipo de evidencias, y es que la información que se puede presentar
como medio de prueba la podemos encontrar en diferentes estados:

• Almacenada estáticamente. Información que se encuentra almacenada

de manera persistente en un dispositivo a la espera de ser recuperada o
utilizada.
• Almacenada dinámicamente o en procesamiento. Información que se
encuentra almacenada de manera temporal en un dispositivo volátil y
que se perderá en el momento que el dispositivo deje de recibir
corriente eléctrica.
• En tránsito o desplazamiento. Información que se encuentra en
movimiento por la red en forma de paquete de información que puede
ser capturado y/o almacenado.
Auditoría Informática Forense 10
Cadena de Custodia de la evidencia digital CdC

En informática la cadena de custodia digital es el

protocolo de actuación relativo a la seguridad y
manipulación que ha de seguirse durante el
período de vida de una prueba, desde que ésta se
consigue o se genera, hasta que se destruye o
deja de ser necesaria.

Auditoría Informática Forense 11

Normas Fundamentales
1. Preservar la evidencia original
2. Establecer y mantener la Cadena de Custodia
3. Documentar todo hecho
4. NO EXTRALIMITARSE
1. Conocimientos personales
2. Leyes, Normas , Procedimientos

Riesgos: Corromper evidencias => No admitirse en juicio

Auditoría Informática Forense 12
Objetivos del Proceso
1. Identificar las posibles fuentes disponibles
2. Recoger diferentes tipos de evidencias
3. Analizar las evidencias encontradas
4. Confirmar por pruebas cruzadas

Así se establecen las bases para Probar que se han cometido

actos deshonestos o ilegales
Auditoría Informática Forense 13
Valor alcanzado en el proceso
Dirimir responsabilidades
Este proceso permite identificar al responsable del
comportamiento no deseado, haya actuado de mala fe o por
equivocación.

Detectar vulnerabilidades
Que deberán ser resueltas para mejorar la seguridad.

Auditoría Informática Forense 14

Pasos de la informática forense
El proceso forense utilizado en las investigaciones de la
informática forense consta usualmente de tres pasos:
1. Adquisición de datos.
2. Análisis de los datos.
3. Presentación de informes.

Auditoría Informática Forense 15

Adquisición de datos
Antes de poder examinar los medios digitales, estos deben ser
confiscados, respetando la cadena de custodia. En los casos penales esto
será realizado a menudo por agentes de la ley entrenados para asegurar
la preservación de las evidencias. En materia civil suele ser personal de
la empresa, a menudo sin formación. Varias leyes cubren la incautación
de material. En materia penal son aplicables las leyes relacionadas con
las órdenes de registro.

En los procedimientos civiles se supone que una empresa puede

investigar sus propios equipos sin una orden de registro, siempre que se
respete la privacidad y los derechos humanos de los empleados.
Auditoría Informática Forense 16
Adquisición de datos
Una vez que se han incautado los dispositivos, se crea un duplicado
exacto binario de los medios o imagen forense, generalmente
utilizando una duplicadora de disco duro o herramientas de creación de
imágenes de software, que dispongan de bloqueo de escritura.

La unidad original se devuelve a un almacenamiento seguro para evitar

la manipulación. La imagen adquirida se verifica utilizando funciones
hash, y se vuelve a verificar nuevamente en los puntos críticos del
análisis para asegurar que la evidencia está todavía en su estado
original

Auditoría Informática Forense 17

Análisis de los datos:
Después de la adquisición se analiza el contenido del archivo
imagen para realizar una búsqueda sistemática de pruebas
relacionadas con el supuesto delito. Durante el análisis, el
investigador utiliza diversas metodologías y herramientas, a
menudo comenzando con la recuperación de los datos
eliminados.
El tipo de datos recuperados incluyen correo electrónico,
registros de chat, imágenes, historial de Internet o
documentos.
Auditoría Informática Forense 18
Reporting:
Cuando se completa la investigación, los informes se envían a
los encargados de la investigación, como la agentes de la ley
(para los casos penales) o la empresa (en los casos civiles), que
luego decidirán si utilizar las evidencias en los tribunales. En
general, el informe consistirá en una conclusión por escrito de
los expertos acerca de las evidencias, así como en las propias
evidencias, presentadas a menudo en soportes digitales.

Los informes también pueden incluir información de auditoría

y otra meta-documentación. La información se reporta a
menudo en forma adecuada para personas no técnicas.
Auditoría Informática Forense 19
Principio de Intercambio de Locard
Edmond Locard (Francia, 1877-1966). Pionero de la criminalística.

Auditoría Informática Forense 20

Ejercicio en parejas
• Buscar en internet (fuente confiable) en qué consiste el
Principio de Intercambio de Locard hacer una presentación y
agregar dos ejemplos aplicados a la informática.

• Buscar en internet (fuente confiable) en qué consiste el

Principio de mismidad.

• De forma aleatoria un grupo pasará a exponer.

Auditoría Informática Forense 21
 Encuentre los valores de A y E

8 A 1 E 0
8 4 2 8
El primer grupo que demuestra la solución indicará el número de
grupo que expone.
Auditoría Informática Forense 22
 “Cada contacto deja un rastro”
El Principio de Intercambio de Locard en
general, hace referencia a que: “Siempre
que dos objetos entran en contacto
transfieren parte del material que
incorporan al otro objeto”.

En el momento en que un criminal cruza

una escena del crimen, o entra en contacto
con una víctima, la víctima se queda con
algo del criminal, pero este a su vez se lleva
algo a cambio.
Auditoría Informática Forense 23
Principio de Intercambio de Locard
El Principio de Locard tiene plena validez en el ámbito
informático y las evidencias electrónicas.

Hay que determinar el ¿Cómo? el ¿Dónde? podemos

encontrar las evidencias.

Determinar que, quien escribió un “.doc”, o quién envió un

email, es quien está acusado de ello.
Auditoría Informática Forense 24
 Historia de la informática forense
Agosto 1986. Caso Iran-Contras
Teniente Coronel Oliver North escribió unos correos
electrónicos que le involucraban en el caso
• Borro los correos de su ordenador
• No se percató que se hacían copias de respaldo de sus
mensajes
• Los mensajes se recuperaron de los servidores de respaldo

Fué encontrado CULPABLE!

Auditoría Informática Forense 25
 Historia de la informática forense
1991.- Caso Guttman
La esposa de Guttman apareció muerta con una nota de suicidio
sin firmar, escrita por ordenador con una impresora matricial, el
ordenador de Guttman NO contenía rastros del documento,
• Guttman tenía una amante.
• Se registró la casa de la amante.
• Encontraron un disco flexible de 5 ¼ cortado en pedazos
• Se reconstruyó físicamente el disco y se recuperaron los datos
con un programa llamado Anadisk
Fué encontrado CULPABLE!
Auditoría Informática Forense 26
 Historia de la informática forense
1995.- Caso MITNICK
Kevin Mitnick fue detenido en 1995 después de tres años de
persecuciones por parte del FBI Ya se le había procesado en 1981,
1983 y 1987 por diversos delitos electrónicos, se le acusó de haber
entrado en algunos de los ordenadores más seguros de EE.UU.
Se le pudo atrapar gracias a la participación de un experto
académico en seguridad, se le condenó a no hacer llamadas
telefónicas durante su encarcelamiento.

Fué encontrado CULPABLE!

Fue puesto en libertad en 2002

Auditoría Informática Forense 27
Conceptos

Auditoría Informática Forense 28

Metadato
Son datos que describen otros datos. En general, un grupo de
metadatos se refiere a un grupo de datos que describen el
contenido informativo de un objeto al que se denomina
recurso.​

El concepto de metadatos es análogo al uso de índices para

localizar objetos en vez de datos. Por ejemplo, en una
biblioteca se usan fichas que especifican autores, títulos, casas
editoriales y lugares para buscar libros. Así, los metadatos
ayudan a ubicar datos.
Auditoría Informática Forense 29
El perito informático
Es un perito judicial, que en su carácter de auxiliar de la justicia tiene como
tarea primordial la de asesorar al juez respecto a temas relacionados con la
informática. La función del perito informático consiste en el análisis de
elementos informáticos, en busca de aquellos datos que puedan constituir
una prueba o indicio útil para el litigio jurídico al que ha sido asignado.

El perito informático debe poseer un perfil definitivamente técnico, siendo

de vital importancia que el perito esté familiarizado con las técnicas de
análisis y recuperación de datos. Como elemento adicional, el perito debe
contar con amplios conocimientos legales que le permitan desarrollar su
tarea sin que la misma sea descalificada o impugnada durante su
presentación judicial.
Auditoría Informática Forense 30
Clonado forense de disco duro
El clonado forense de discos duros consiste en copiar todo el
contenido de un disco duro, bit a bit, en otro dispositivo de
almacenamiento o fichero de imagen obteniendo la firma
hash de los bits leídos durante el proceso.
Con ello se obtiene una copia exacta a bajo nivel de todo el
contenido del disco duro además de certificar su contenido
con una firma hash.

Auditoría Informática Forense 31

Firma HASH de un disco duro
La firma hash crea una cadena de firma en base a los bits leídos del
disco duro, sin tomar en cuenta la cantidad de bits sobre la que se
aplica el algoritmo. Este numero tiene una dependencia del contenido
evaluado por el algoritmo permitiendo que si se produjera un cambio
en los datos, el numero HASH cambiara.

Por ello la firma hash permite certificar que el contenido del disco duro
no se alterado durante la intervención del perito informático ni con
posterioridad por ninguna otra persona

Auditoría Informática Forense 32

File carving
Es una técnica para recuperar archivos borrados que consiste en
identificar una secuencia de caracteres que algunos archivos utilizan en
su comienzo y en su final. Esta técnica, trata de recuperar archivos de
computadora borrados en ausencia de los metadatos del sistema de
archivos, analizando los datos en bruto e identificando qué tipo de
archivo es (texto, ejecutable, PNG, MP3, etc.) buscando los
encabezados y tratando de identificar el comienzo y el final del
archivo.

Esta técnica es usada comúnmente para recuperar ficheros en la zona

no reservada del disco, el área de disco donde no hay nada almacenado
desde el punto de vista de las estructuras del Sistema de Archivos. En el
caso de dispositivos dañados esto será todo el espacio.
Auditoría Informática Forense 33
Muchas Gracias

Auditoría Informática Forense 34