1.Qué Es La Informatica Forense.pdf

8/16/2019 1.Qué Es La Informatica Forense.pdf

1/14

SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO


2/14

Curso de informática forense

¿Qué es y como funciona?

El propósito de las técnicas informáticas forenses, es buscar, preservar y analizar

información en sistemas de ordenadores para buscar evidencias potenciales de un delito.

Muchos de las técnicas usadas por detectives en escenarios de crimen, tiene su contrapartida digital en la informática forense, aunque hay algunos aspectos únicos en la

investigación basada en ordenadores.

Por ejemplo, simplemente abrir un archivo, cambia ese archivo – el ordenador recuerda la

hora y fecha en el que fue accedido. Si un detective coge un ordenador y comienza a abrir

archivos y ficheros, no habrá manera de poder decir si cambiaron algo. Si un caso de

piratería informática llegara a juicio, no tendría validez como prueba al haber alterado y

modificado el estado del sistema informático.

Algunas personas creen que usar información digital como una evidencia, es un mala idea.

Si es tan fácil cambiar datos en un ordenador, ¿Cómo puede usarse como una prueba

fiable? Muchos países permites pruebas informáticas en juicio y procesos, pero esto podría

cambiar si se demuestra en futuros casos que no son de confianza. Los ordenadores cada

vez son más potentes, por lo que los campos dentro de la informática forense tienen que

evolucionar constantemente.

En lo tempranos días de la informática, era posible para un solo detective, navegar a través

de los ficheros de un equipo ya que la capacidad de almacenamiento era mucho más baja.

Hoy en día, los discos duros de un ordenador pueden contener gigabytes o incluso terabytes

de información, por lo que la tarea de investigación puede ser compleja. Los expertos en

informática forense deben encontrar nuevas maneras de buscar evidencias, sin tener que

dedicar demasiados recursos en el proceso.

Daniel Ricardo Torres [email protected]

www.seqrityinfforense.es.tl


3/14


4/14

Conceptos básicos de la informática forense

El campo de la informática forense es relativamente joven. Hace muchos años, las cortes

consideraban las evidencias encontradas en los ordenadores, no muy diferentes a las

evidencias convencionales. Según los ordenadores fueron avanzando, mejorando y siendo

más sofisticados, se dieron cuenta que estas evidencias podían ser fáciles de corromper,

destruir o cambiar.Los investigadores pensaron que había una necesidad de desarrollar herramientas

específicas y procesos para buscar evidencias de delito en un ordenador, sin afectar a la

propia información que hubiera almacenada. Los expertos en esta tecnología, se aliaron con

científicos especializados en computadoras para discutir los procedimientos y herramientas

apropiadas que se podrían utilizar para esta tarea. Poco a poco, se fueron asentando las

bases para crear la nueva informática forense.

Normalmente, los detectives informáticos usan una orden para hacer búsquedas en

ordenadores de gente sospechosa. Esta orden debe incluir donde pueden buscar los

detectives, y que clase de pruebas están buscando. En otras palabras, no pueden

simplemente dar pedir una orden y buscar todo lo que quieran para cualquier cosa. Esta

orden no puede ser demasiado general. Muchos jueces requieren que se sea lo más

específico posible cuando se pide una de estas garantías.

Por esta razón, es importante para los detectives informáticos saber todo lo posible sobre el

sospechoso antes de pedir una orden. Considera este ejemplo: Un investigador informático

pide una orden par investigar un ordenador portátil de un sospechoso. Llega a la casa del

sospechoso y le entrega la orden. Mientras está en la casa, se da cuenta que hay un

ordenador de sobremesa. El investigador no puede legalmente hacer una búsqueda en ese

PC porque no estaba en la orden original.

Cada línea de investigación en un ordenador es de algún modo única. Algunas puede llevar

solo una semana, pero otras puede llevar meses. Aquí hay algunos factores que pueden

impactar lo extenso de la investigación:La experiencia de los investigares informáticos. El número de ordenadores que se están

investigando. La cantidad de información que se debe clasificar a través de los discos duros,

DVDs, CDs, u otros métodos de almacenamiento. Si los sospechosos han intentado o no

ocultar o borrar la información. La presencia de archivos encriptados o ficheros protegidos

por contraseñas.

Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-www.seqrityinfforense.es.tl


5/14



6/14

Fases en una investigación de informática forense

El científico en computadoras y experto reconocido en informática forense, Judd

Robbins, nos da una lista de los pasos que deberían seguir los investigadores para recuperar

evidencias en un ordenador sospechoso de tener pruebas delictivas. Por supuesto, cada

grupo de investigadores, dependiendo del cuerpo y el país, tendrán variaciones sobre los

métodos a utilizar, pero el método de Robbins está mundialmente reconocido:

Asegurar el sistema informático para mantener el equipo y los datos a salvo. Esto significa

que los investigadores deben asegurarse de que individuos no autorizados puedan acceder

al ordenador, o a los dispositivos de almacenamiento dentro de la investigación. Si el

sistema informático se conecta a Internet, dicha conexión debe ser cancelada. Se debe

encontrar todos los ficheros y archivos del sistema, incluyendo aquellos que están

encriptados, protegidos con contraseña, escondidos o borrados, pero que no estén todavía

sobrescritos. Los investigadores deben hacer una copia de todos los archivos del sistema.

Con esto queremos decir, tanto del disco duro como todos los demás dispositivos que

puedan almacenar información. Al poder alterar un archivo cuando accedemos a el, es

importante para los investigadores trabajar solamente con copias mientras se busca

evidencias. El sistema original debe permanecer intacto. Hay que recuperar toda la

información borrada que se pueda, usando aplicaciones que pueden detectar dicha

información y hacerla disponible de nuevo para su visionado. Se debe revelar el contenido

de ficheros y archivos ocultos, con programas

espacialmente diseñados para esta función. Desencriptar y acceder a información

protegida. Analizar áreas especiales de los discos del ordenador, incluyendo las partes que

normalmente no están accesibles. En términos de informática, el espacio no usado en los

discos de un ordenador, se llama espacio no localizado. Dicho espacio podría contener

archivos o partes de ficheros que son relevantes al caso. Hay que documentar cada paso del

procedimiento. Es importante para los investigadores mostrar pruebas de que sus

investigaciones han preservado toda la información del sistema informático sin cambiar o

dañar nada. Puede pasar años entre una investigación y el juicio, y sin la documentación

apropiada, puede que las pruebas no sean admisibles. Robbins dice que la documentación

no solo debería incluir los archivos y los datos recuperados del sistema, sino también un

informe de la condición física del sistema, y si algún dato estaba encriptado u oculto.

Todos estos pasos son importantes, pero el primero es crítico. Si los investigadores no

pueden probar que han asegurado su sistema informático, las evidencias encontradas

podrían no valer de nada. Es un trabajo complejo. En los primeros años en la historia



7/14


8/14

del ordenador, el sistema podía incluir solo un PC y unos cuantos disquetes. Hoy en día,

puede incluir varios ordenadores, discos, dispositivos externos de almacenamiento,

periféricos, y servidores Web.

Los que comenten delitos informáticos, han encontrado maneras de hacer más difícil el

seguimiento de los investigadores para que puedan encontrar información. Usan programas

y aplicaciones conocidas como anti-forenses. Los investigadores deben conocer estas herramientas de software, y saber como deshabilitarlas sin quieren tener éxito accediendo a

la información. En la siguiente sección de este curso rápido sobre informática forense,

veremos en qué consisten estos programas anti-forenses.

Herramientas anti forensics

Este tipo de herramientas puede ser la pesadilla de un investigador

de delitos informáticos. Los programadores diseñan las herramientas anti forenses para

hacer difícil o casi imposible recuperar información durante una investigación.

Esencialmente, las técnicas anti forensics se refieren a cualquier método, artilugio o

software designado para frustrar una investigación informática.

Hay docenas de maneras para que la gente oculte la información. Algunos programas pueden engañar a los ordenadores cambiando la información en las cabeceras de los

archivos. Una cabecera de archivo es normalmente invisible a las personas, pero es

extremadamente importante - le dice al ordenador a qué tipo de fichero está asociado el

archivo. Para poner un ejemplo, si renombras un archivo avi con una extensión de fichero

.JPG, el ordenador todavía sabrá que el archivo es realmente un avi por la información en la

cabecera. Como se ha dicho, algunos programas permites cambiar datos en la cabecera

para que el ordenador crea que es otro tipo de fichero. Los investigadores buscando algún

tipo de archivo en particular, pueden saltarse evidencias importantes porque parecía que no

era relevante.

Otros programas pueden dividir archivos en pequeñas secciones, y esconder cada sección al

final de otros archivos. Los archivos suelen tener espacio no usado, y con el software adecuado se pueden esconder archivos aprovechándose de este espacio libre. Es realmente

complicado recuperar y volver a unir toda esta información diseminada en partes.

Es también posible esconder un archivo en otro. Los ficheros ejecutables – que son ficheros

que el ordenador reconoce como programas – son particularmente problemáticos.

Programas llamados empaquetadores pueden insertar estos ejecutables en otros tipos de

archivos, mientras que hay otras aplicaciones que pueden fundir múltiples ejecutables en

uno solo.



9/14



10/14

La encriptación es otro modo de ocultar los datos. Cuando encriptas datos, se usa un

completo conjunto de reglas llamado algoritmo para hacer los datos incomprensibles. Por

ejemplo, un algoritmo de este tipo puede hacer que un fichero de texto se convierta en un

cúmulo de números y símbolos sin sentido. Una persona que quiera leer los datos,

necesitará una “llave” o clave para volver a convertir esos números y símbolos en texto

leíble de nuevo. Sin las claves de desencriptación, los investigadores necesitarán programas

especiales designados para romper el algoritmo de encriptación del archivo. Cuanto más

sofisticado sea el algoritmo, mas tiempo se tardará en hacer la desencriptación.

Otras herramientas anti forensics pueden cambiar las etiquetas anexionadas a los archivos.

Estas etiquetas o metadata, incluyen información como por ejemplo, cuando se creo un

fichero o fue alterado. Normalmente no puedes cambiar esta información, pero cierto

software si permite alterar estas etiquetas. Imagina que se descubre un fichero y descubrir

que no va a existir hasta los próximos dos años, y que fue accedido por última vez en el

siglo pasado. Si estas etiquetas se ven comprometidas, hace más difícil que se pueden

utilizar como pruebas.

Algunas aplicaciones de ordenador borrarán datos su un usuario no autorizado intenta

acceder al sistema. Algunos programadores han examinado como funcionan los programas de informática forense, y han intentado crear otras aplicaciones que bloquean o atacan a

esos mismos programas. Por este motivo, los investigadores de evidencias informáticas

deben ir con cuidado para recuperar datos.

Hay gente que usa este tipo de herramientas para demostrar lo vulnerable y poco fiable que

los datos de un ordenador pueden ser. Si no puedes estar seguro de cuando se creo un

archivo, cuando se accedió a el por última vez, o incluso si a llegado a existir, ¿como se

puede justificar en un juicio que es una evidencia o prueba? Mientras que esta pregunta es

complicada, muchos países aceptan evidencias informáticas en juicios, aunque los

estándares cambian de un país a otro.

Herramientas en la informática forenseLos programadores han creado muchas aplicaciones para la informática forense. En

muchos casos, su uso dependo de los presupuestos que tenga el departamento que esté

haciendo la investigación y la experiencia que se tiene. A continuación mostraremos unos

cuantos programas y dispositivos que hacen posible el análisis de un sistema informático en

caso de un supuesto delito:

El software de imagen de disco graba la estructura y contendido de un disco duro. Con este

software, no solo es posible copiar la información del disco,



11/14



12/14

sino preservar la manera en que los ficheros están organizados y su relación con los otros

archivos del sistema. El software o hardware de escritura, copian y reconstruyen los discos

duros bit a bit. Tanto las herramientas software como hardware eluden cambiar cualquier

información. Algunas herramientas requieren que los investigadores retiren los discos duros

del ordenador del sospechoso antes de hacer una copia. Las herramientas de hashing hacen

comparaciones de los discos duros originales a las copias. Analizan los datos y las asignan

un número único. Si los números encriptados del original y la copia coinciden, la copia es

una réplica perfecta del original.

Los investigadores utilizan programas de recuperación de archivos para buscar y restaurar

datos borrados. Estos programas localizan los datos que el ordenador a marcado como

eliminados pero que aun no han sido sobrescritos. Algunas veces esto resulta en un archivo

incompleto, lo cual puede ser mucho más difícil de analizar. Hay varios programas

diseñados para preservar la información en la memoria RAM de un ordenador. De forma

distinta a un disco duro, los datos en la RAM dejan de existir cuando alguien apaga el

ordenador. Si el software adecuado, esta información puede perderse fácilmente. El

software de análisis revisa toda la información en el disco duro buscado contenido

específico. Al poder los ordenadores modernos, tener mucha capacidad de almacenamiento,

es difícil y tedioso buscar archivos manualmente. Por ejemplo, algunos programas de

análisis buscan y evalúan las cookies de Internet, lo cual pueden decir al investigador cosas

sobre la actividad del sospechoso en la red. Otros programas permiten a los investigadores

buscar un tipo determinado de contenido que los investigadores estén buscando. El software

decodificador de información encriptada y los famosos programas para craquear

contraseñas son muy utilizados y útiles para acceder a los datos protegidos. Los

investigadores utilizan varios programas de este tipo, los cuales se actualizan cada poco

tiempo.

Estas herramientas son útiles siempre y cuando los investigadores sigan los procedimientos

correctos. De otra manera, un abogado podría sugerir que cualquier evidencia encontrada

en un equipo informático no es fiable. Por supuesto, hay gente que dice que ninguna de estas pruebas son fiables al cien por cien.



13/14

This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of


14/14

Win2PDF is for evaluation or non-commercial use only. This page will not be added after purchasingWin2PDF.

1.Qué Es La Informatica Forense.pdf

Documents

Transcript of 1.Qué Es La Informatica Forense.pdf