Taller de Auditoria Forense

Adrin Anguisaca

Luego de revisar la lectura indicada, por favor, desarrolle las siguientes

consultas.

1. Qu es un siniestro informtico?

Segn Miguel Antonio Cano C: El siniestro informtico implica actividades criminales

como robos, hurtos, falsificaciones, estafa, sabotaje, etc. Sin embargo, el uso de las

tcnicas informticas ha creado nuevas posibilidades del uso indebido de

computadoras lo que ha propiciado la necesidad de regulacin por parte del derecho.

2. Qu aspectos de la informacin viola un siniestro informtico?

La informacin puede ser robada, falsificada, estafa, sabotaje, afectando los activos de

la organizacin.

3. Identifique al menos 3 tipos de siniestros informticos y describa

en breve cada uno de ellos.

Bomba ilcita o cronolgica: Exige conocimientos especializados ya que

requiere programar la destruccin o modificacin de datos en el futuro. Su

activacin puede programarse para que cause el mximo de dao y para que

tenga lugar mucho tiempo despus de que se haya marchado el delincuente.

Piratas informticos o hackers: El acceso se efecta a menudo desde un lugar

exterior, recurriendo a uno de los diversos medios como son: Aprovechar la

falta de rigor de las medidas de seguridad para obtener acceso o puede

descubrir deficiencias en las medidas vigentes de seguridad o en los

procedimientos del sistema.

Robo de informacin: En principio, todos los computadores contienen alguna

informacin de inters para alguien. Por consiguiente, uno de los ataques ms

comunes est dirigido a extraer informacin confidencial de un sistema.

Destruccin de informacin: Existen mtodos indirectos que permiten

explorar los contenidos del disco duro. El cual alberga informacin que puede

ser importante para nosotros o nuestras organizaciones. Por estas razones es

muy importante que ninguna persona sea capaz de modificar ni mucho menos

destruir esta informacin.

4. Qu es y cul es la importancia de la Auditora Forense?

El trmino forense no se refiere a necropsia o autopsia. Es un trmino de origen

Greco-latino, que en la antigedad se utilizaba para denominar a un foro o forum la

reunin de notables o el conjunto de personalidades que discutan un tema ante el

pueblo y en muchos de los casos en estos forums tambin se aplicaba la ley con

ejecuciones publicas ejemplarizantes de los reos que haban sido previamente

juzgados y condenados. En nuestro mundo moderno la palabra forense se aplica para

determinar todo lo concerniente al derecho y la ley. O dicho de una manera mas

formal: Es una ciencia que permite descubrir, divulgar informacin financiera,

contable, legal, administrativa e impositiva, sobre fraudes y delitos perpetrados en el

desarrollo de las funciones pblicas y privadas

La auditoria forense surge como alternativa para combatir la corrupcin y

particularmente para atacar uno de los elementos que ms la favorecen: La

impunidad.

5. Cul es la principal forma de cumplir los objetivos que tiene la

auditora forense?

Los objetivos que tiene la auditoria forense pueden ser logrados de varias formas,

entre ellas, la principal es la recoleccin de evidencia

6. Complete: La Auditoria Informtica Forense puede definirse, como

la ciencia que

Se encarga de analizar sistemas informticos en busca de evidencia que colabore a

llevar adelante una causa judicial o una negociacin extrajudicial.

7. Describa brevemente las etapas de la metodologa de la auditora

forense

1. Definicin y reconocimiento del problema

En esta fase se determina si hay suficientes motivos o indicios, para investigar los

sntomas de un posible fraude. Se debe observar que un indicio no es una prueba,

ni siquiera representa una evidencia de que un fraude existe.

Antes de comenzar una investigacin formal, se debe obtener la aprobacin del

directorio de la organizacin ya que una auditoria de fraude es sumamente

complicada, controvertida, extenuante y puede ser perjudicial para miembros de

dicha organizacin

Despus del reconocimiento del problema, comenzamos a buscar las evidencias

relacionadas al fraude, siniestro o ataque, estas evidencias deben ser suficientes

para que garanticen el xito de la investigacin. Esta bsqueda se realiza

mediante diferentes tcnicas como: Indagacin, Observacin, Inspeccin, entre

otras.

2. Recopilacin de evidencias de fraude Un concepto importante que debemos definir es la evidencia computacional. La

evidencia computacional es nica, cuando se la compara con otras formas de

evidencia documental. Por ejemplo a diferencia de la documentacin en papel,

la evidencia computacional es frgil y un documento almacenado en un archivo es

idntica al original. Otro aspecto, es el potencial de realizar copias no autorizadas

de archivos, sin dejar rastro de que se realiz una copia. Esta situacin crea

problemas concernientes a la investigacin del robo de informacin digital

Otro concepto importante es la evidencia digital la misma que se trata de un tipo

de evidencia fsica. Esta construida de campos magnticos y pulsos electrnicos

que pueden ser recolectados y analizados con herramientas y tcnicas especiales.

Algunos ejemplos de evidencia digital suelen ser: Email, Images, chats, etc.

Por otro lado, Las evidencias escritaslas podemos clasificar en: Evidencia

demostrativa: Reconstruye la escena o incidente en cuestin y Evidencia de

documentacin: Documentos escritos que constituyen una evidencia

3. Evaluacin de las evidencias recolectadas o anlisis

Esta fase sirve para determinar si son suficientes y validas las evidencias

recolectadas como para comenzar a reportar eficazmente el fraude. La evidencia

deber ser evaluada para determinar si es completa y precisa, si es necesario seguir

recolectando mas evidencias

4. Elaboracin del informe final con los hallazgos

La fase final de la investigacin del fraude es presentar los resultados. Esto supone

un reto, ya que el informe de fraude normalmente es la evidencia primaria

disponible y en algunos casos nica sustentatoria de la investigacin realizada

5. Presentacin en la corte de la evidencia relacionada

El informe junto con toda la documentacin pertinente debe ser presentado ante

la Corte en el juicio establecido para el suceso respectivo.

8. Investigue: el autor Jeimy Cano clasifica la evidencia digital que

contiene texto en 3 categoras. Describa cada una y mencione al

menos dos ejemplos de cada categora.

Registros generados por computador: Estos registros son aquellos, que como

dice su nombre, son generados como efecto de la programacin de un computador.

o Almacenamiento de claves de ingreso al computador

o Actualizaciones del computador

Registros no generados en computadores pero almacenados en stos: Estos registros

son aquellos generados por una persona, y que son almacenados en el computador.

o Un documento realizado con un procesador de palabras.

o Una imagen alterada en algn programa de edicin de imgenes

Registros hbridos: Incluyen los generados por computador y almacenados en los

mismos. Los registros hbridos son aquellos que combinan afirmaciones humanas y

logs.

o Un script generado por una persona para que ejecute algn comando al

ingresar al sistema

o Un trigger generado para comprobar actualizaciones en una base de datos

9. En la etapa Recopilacin de evidencias de Fraude, Cul es la

norma recomendada para recolectar y archivar evidencia? Y

describa brevemente de que se trata.

La Norma es: Guidelines for Evidence Collection and Archiving

Es una gua de alto nivel para recolectar y archivar datos relacionados con

instrucciones. Muestra las mejores prcticas para determinar la volatilidad de los

datos, decidir que recolectar, desarrollar la recoleccin y determinar como

almacenar y documentar los datos. Tambin explica algunos conceptos relacionados a

la parte legal.

10.En la etapa Presentacin en la corte de la evidencia relacionada.

A qu se refiere con que la evidencia original debe mantenerse

de forma precintada?

Se refiere a que un examen forense no borra ni altera ningn dato en la evidencia

original, preservando los mismos de forma precintada, e independientemente de

quin lleve a cabo el examen, con qu herramientas y metodologas, debe siempre

llevar a los mismos resultados.

11.Referente al principio Locard, explique la analoga que presenta

en su versin segn Wikipedia y segn este docume nto.

Versin documento: Principio de Intercambio o transferencia de Locard, se usa

continuamente para relacionar un criminal con el crimen que ha cometido. Este

principio fundamentalmente viene a decir que cualquiera o cualquier objeto que entra

en la escena del crimen deja un rastro en la escena o en la vctima y viceversa.

Versin WikiPedia: Principio de Intercambio o transferencia de Locard, se suele

expresar as: "siempre que dos objetos entran en contacto transfieren parte del

material que incorporan al otro objeto"

Analoga: Los dos objetos (en este caso crimen y criminal) siempre estn relacionados,

donde el criminal, en la escena del crimen, siempre deja un rastro sobre la escena o en

la victima y viceversa

12.Por qu son importantes las herramientas en la Auditora

forense?

Las herramientas que se utilizan en la Auditoria Forense son de vital importancia en la

reestructuracin de la informacin recopilada de acuerdo al siniestro y/o fraude

suscitado.

13.Identifique las herramientas de auditora forense y describa al

menos 3 de cada una.( si no las encuentra en la lectura, por favor

investigue en internet. A excepcin de las Herramientas de

Marcado de documentos)

Herramientas de HW

o Un equipo portable F.R.E.D.D.I.E computador portable diseado para

la recuperacin de datos.

o Conjunto portable de duplicacin de discos, para duplicar discos duros.

o Soporte inalmbrico para todos los dispositivos del kit: es un requisito

importante, ya que estudia minuciosamente cada componente para

comprobar que dispona de soporte inalmbrico, (bluetooth, infrarrojos o

WiFi).

Herramientas de SW

o Software comercial, como Safeback, Norton Utilities y Forensic Toolkit

o Software Open Source, como:

TCT (The Coroners Toolkit): Suite de herramientas de Auditoria

Forense

TSK / Autopsy (The Sleuth Kit): Herramientas basadas en TCT

Foremost: Recuperacin de archivos segn sus cabeceras y pies.

o Software creado por la propia empresa

Herramientas para el monitoreo y control de computadores: Para tener informacin

sobre el usos de los computadores.

o Keylogger: para control de pulsaciones del teclado

o PRTG: para el monitoreo de redes

o Sybase: Para control de accesos a computadores

14.Investigue normas y estndares que existen para la auditora

informtica forense. Cita al menos 2 de ellos.

Declaracin Estndar de Auditoria No. 53 (SAS 53/1988) Responsabilidad

del auditor por detectar y reportar errores e irregularidades, es el primer

estndar profesional de auditora que identifica factores especficos de riesgo

que deben ser consideradospor el auditor cuando valora el potencial del

fraude administrativo.

SAS No. 82 de 1.997 -Consideracin del Fraude en una Auditoria -que

considera veinticinco factores de riesgo divididos en tres categoras:

caracterstica de la administracin e influencia sobre el ambiente de

control, condiciones de la industria y caractersticas de operacin y

estabilidad financiera

15.Describa uno de los delitos informticos que ms le interes, y

explique qu impacto gener en la sociedad y que siniestro

informtico aplic.

Tim Lloyd programador jefe de Omega (empresa proveedora de la NASA y de la

armada estadounidense) es despedido tras 11 aos en la compaa pero 10 das

despus de su despido, exploto una bomba lgica que destruye los programas y la

informacin de los empleados en el departamento de produccin, provocando ms de

10 millones de dlares en prdidas.

Como si de una pelcula se tratara, el agente especial Hoffman, de los Servicios

Secretos americanos, comienza una investigacin forense que durara 4 aos y que

acabara con Tim en la crcel, gracias sobre todo a la colaboracin de la empresa

Ontrack Data International Inc.

Lo ms interesante de este delito informtico es la simplicidad del ataque el cual fue

realizado mediante un programa que contaba tan solo con seis lneas de cdigo, un

programa muy simple pero que causo un gran impacto en la sociedad con perdidas

millonarias.