De Uso Público

Informática Forense

De Uso Público

Agenda● Evidencia Digital● Principios en la Informática Forense

● Inform tica Forenseá

● Laboratorio Forense● Proyecto CENIF● Herramientas

De Uso Público

Principio de Intercambio de Locard

"Siempre que dos objetos entran en contacto estos

transfieren parte del material que incorporan al

otro objeto"

De Uso Público

Evidencia Digital

Toda información digitalizada susceptible de ser analizada por un método técnico y de generar

conclusiones irrefutables en lo legal

De Uso Público

Característica de la Evidencia Digital

● No podemos “verla”● No se puede interpretar

sin conocimientos técnicos● Es sumamente volátil● Puede copiarse sin límites

De Uso Público

Característica de la Evidencia Digital

● Las copias son indistinguibles del original● Bueno para los peritos: ¡Se analiza la copia!● Malo para los juristas: el concepto de “original”

carece de sentido

De Uso Público

Delito Informático

Son crímenes que se enfocan en hacer uso de redes de computadoras con el objetivo de

destruir y dañar ordenadores o medios electrónicos, ocultamiento de información,

esquivar la detección de algún evento.

De Uso Público

Ejemplos de un Delito Informático

● Fraudes● Robo● Falsificación● Acceso Indebido● Sabotaje a Sistemas● Delitos Contra la Propiedad● Espionaje● Pornografía Infantil● Oferta Engañosa

De Uso Público

Principios Informática Forense

● Adherirse a estándares legales● Formación específica en técnicas forenses● Control de la evidencia digital● Reducir al mínimo la posibilidad de examinar la

evidencia original● Nunca exceder la base de conocimientos● Documentar cualquier cambio en la evidencia

De Uso Público

Principio Rectores de la IETFRFC 3227

Principios:● Respetar las leyes y aplicar las política de

seguridad.● Capturar la imágen de un sistema lo más

exacto posible.● Detallar fechas y horas, anotando la diferencia

entre la hora del sistema y la del UTC.● Estar preparado para testificar

(quizás años más tarde).

De Uso Público

Principio Rectores de la IETFRFC 3227

● Minimizar los cambios a los datos que se van a colectar

● Entre la colección y el análisis, prevalece primero la colección

● Por cada dispositivo se debe adoptar un criterio que debe ser aprobado

● Proceder de lo más volátil a lo menos volátil

De Uso Público

Base Legal y Sub-Legal

● Ley Especial Contra Los Delítos Informáticos● Ley Sobre Mensajes de Datos y Firmas

Electrónicas● Reforma de la Ley Sobre Mensajes de Datos y

Firmas Electrónicas● Código Orgánico Procesal Penal (COPP)● Estándares Internacionales: ISO, IETF, IEEE,

entre otros

Informática Forense

AnálisisAnálisisPresentaciónPresentación

Cadena de custodiaPreservación de

evidenciaDocumentación

Cadena de custodiaPreservación de

evidenciaDocumentación

ReconstrucciónAnálisisHerramientas

ReconstrucciónAnálisisHerramientas

Presentación oral y escrita

Lenguajes correctosSoportes adecuados

Presentación oral y escrita

Lenguajes correctosSoportes adecuados

ColecciónColección

De Uso Público

De Uso Público

Etapas de laInformática Forense

Cadena de Custodia

PreservaciónPreservaciónPreservaciónPreservación ColecciónColecciónColecciónColección AnálisisAnálisisAnálisisAnálisis PresentaciónPresentaciónPresentaciónPresentación

De Uso Público

Etapas de laInformática Forense

La Evidencia debe ser cuidadosamente colectada y Documentada● Debe existir una fuentes de poder

alternas● Evitar eliminar procesos extraños● Evitar alterar marcas de tiempo en los

archivos● Evitar aplicar parches antes de

colectar la información

PreservaciónPreservación

De Uso Público

Etapas de la Informática Forense

Autentique la Evidencia Preservada● Cree un Hash Electrónico de la Evidencia● Utilice MD5SUM, SHA1SUM o similar

Identifique y Etiquete la Evidencia● Número de Caso● Detalle la Evidencia● Firma del responsable de la Cadena de Custodia

De Uso Público

De Logs y registros: ● Routers, Firewalls, IDS, Impresión

De hipótesis y testimoniosCopias Forenses (Discos)Almacenamiento● Evidencia, equipo forense● Sitio aislado con condiciones de

operación estables● Accesos registrados

Etapas de laInformática Forense

ColecciónColección

De Uso Público

Lista de control de la evidencia evidencia en cualquier punto, desde la colección colección hasta la presentaciónhasta la presentación o destrucción que sirve para verificar que nunca fue alterada o borrada.Métodos Lógicos (firmas criptográficas MD5, SHA)Métodos Físicos (etiquetas, candados, bóvedas)

Etapas de laInformática Forense

Cadena de Custodia

De Uso Público

Proceso que utiliza el investigador para descubrir informaci n valiosaódescubrir informaci n valiosaó para la investigaci n. óLa b squeda y extracci n de ú ódatos relevantes.

Etapas de laInformática Forense

AnálisisAnálisis

AnálisisFísico

AnálisisLógico

De Uso Público

Etapas de laInformática Forense

PresentaciónPresentación

Debe contener: Contexto del incidente Listado de evidencias Hallazgos Acciones realizadas por el

investigador Documentación de la cadena de

custodia, conclusión.

¿Qué se necesita para montar un laboratorio forense?

● Asignación presupuestaria● Las estadísticas de años anteriores● Tener en cuenta el espacio requerido, el equipamiento

necesario, el personal, la formación, el software y el hardware.

● La naturalezanaturaleza de laboratorio forense es un factor determinante.

Laboratorio Forense

De Uso Público

Laboratorio Forense

De Uso Público

Laboratorio Investigación

Portafolio deProcedimientos

Peticiones

ResultadosFavorables

Laboratorio Forense

De Uso Público

Responsable

Portafolio Portafolio

Analista ForenseNivel I

Analista ForenseNivel II

Analista ForenseExperto

Crypto

Aplicaciones

Base de datos

Consultores(Investigadores)

Consultores(Investigadores)

De Uso Público

Es un laboratorio de informática forense para la colección, análisis, preservación y presentación de las evidencias relacionadas con las tecnologías de información, con el objeto de prestar apoyo a los cuerpos de investigación judicial órganos y entes del Estado que así lo requieran.

Objetivo

Hardware Forense

De Uso Público

Software Forense

De Uso Público

Software Forense

De Uso Público

De Uso Público

http://www.suscerte.gob.ve/

https://www.vencert.gob.ve/

@suscerte y @vencert

0212 – 578.5674 / 572.29210800 VENCERT

atencionalciudadano@suscerte.gob.vecenif@suscerte.gob.ve

info@vencert.gob.ve

GRACIAS POR SU ATENCIÓN...GRACIAS POR SU ATENCIÓN...