• Author / Uploaded
• Ricardo Sanchez

Citation preview

Profesor: Ing. Franklin Morillo

Ricardo Sánchez C.I.: V-21.498.310 [email protected] Auditoría de Sistemas Sección 01 Informática Forense Un delito informático es un crimen genérico o crimen informático, que perjudica con operaciones ilícitas realizadas por medio de Internet o que tienen como objetivo destruir y dañar computadoras, medios electrónicos y redes de Internet. Los delitos informáticos están contemplados en la Ley Especial contra los Delitos Informáticos. Los cuerpos de investigación judicial, órganos y otros entes del estado venezolano cuando requieran, cuentan con el apoyo del Centro Nacional de Informática Forense (CENIF), el cual es un laboratorio de informática forense para la adquisición, análisis, preservación y presentación de las evidencias relacionadas a las tecnologías de información y comunicación. La informática forense es la aplicación de técnicas analíticas y científicas especializadas a infraestructuras tecnológicas que permiten realizar los procesos de preservación, colección, análisis y presentación de evidencia digital, de acuerdo a procedimientos técnico-legales preestablecidos, como apoyo a la Administración de Justicia en la resolución de un caso legal. Tiene como objetivo auxiliar a los abogados, fiscales y jueces a identificar, preservar y analizar datos almacenados en medios magnéticos y transacciones electrónicas en una disputa judicial o extrajudicial. Se considera la informática forense como disciplina fundamental que sirve de apoyo a las resoluciones legales mediante la presentación de evidencia digital sin alteraciones. Actualmente, debido al gran avance de las TIC, se establece un escenario informático en donde el número de ataques e intrusos informáticos es cada vez mayor y su relación con litigios o disputas legales. Cuando ocurre un delito informático, el especialista en informática forense va examinar la evidencia digital para recolectar pruebas. Éstas luego serán presentadas

ante el juez de un proceso civil o legal, según el carácter del delito. Los cuatro pasos que debe realizar el investigador son Identificación, Preservación, Análisis y Presentación. En la Identificación se examina el dispositivo tecnológico en busca de evidencias, pero antes, debe hacer copias maestras de todos los datos que considere relevantes, para no contaminar las pruebas. Una vez que tiene las copias de los originales va a proceder con el examen del material. El examinador puede incluso llegar a recuperar datos que fueron borrados desde el sistema operativo y abrir archivos encriptados. Una vez identificadas las pruebas y habiendo recabado la mayor cantidad de información posible, el especialista va a proceder a preservar el material. Si las pruebas son para presentar ante el juez, es muy importante que los procedimientos sean legalmente aceptables. Un peritaje informático debe guiarse por las normas del proceso legal. La tercera etapa es el análisis de los datos obtenidos y preservados, tomando una postura dictaminante ante los resultados. Por último, el investigador forense va a defender su peritaje ante el juzgado. Los investigadores de la computación forense usan gran cantidad de técnicas para descubrir evidencia, incluyendo herramientas de software que automatizan y aceleran el análisis computacional. Los aspectos más importantes y resaltantes de la evidencia digital son los siguientes:  La evidencia computacional es frágil.  Una copia de un documento almacenado en un archivo, es idéntica al original.  Realización de copias de seguridad no autorizadas de archivos, sin dejar rastro de que se realizó una copia. Esta situación crea problemas concernientes a la investigación del robo de secretos comerciales, como listas de clientes, material de investigación, etc.  Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben alterar de los originales del disco, porque esto invalidaría la evidencia; por esto los investigadores deben revisar con frecuencia que sus copias sean exactas a las del disco del sospechoso, para esto se utilizan varias tecnologías, como por ejemplo Checksums o hash MD5.

La clave de la computación forense es el análisis de discos duros, discos extraíbles, CDs, discos SCSI, y otros medios de almacenamiento. Este análisis no sólo busca archivos potencialmente incriminatorios, sino también otra información valiosa como passwords, logins y rastros de actividad en Internet. Los investigadores forenses, utilizan herramientas especiales que buscan archivos "suprimidos" que no han sido borrados en realidad, estos archivos se convierten en evidencia. Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas sofisticadas se hace necesario debido a:  La gran cantidad de datos que pueden estar almacenados en un computador.  La variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo.  La necesidad de recopilar la información de una manera exacta, y que permita verificar que la copia es exacta.  Limitaciones de tiempo para analizar toda la información.  Facilidad para borrar archivos de computadores.  Mecanismos de encriptación, o de contraseñas. Un ejemplo de herramientas de este tipo es: EnCase. Desarrollada por Guidance Software Inc. Permite asistir al especialista forense durante el análisis de un crimen digital. Las características más importantes de esta herramienta son:  Copiado comprimido de discos fuente.  Búsqueda y análisis de múltiples partes de archivos adquiridos.  Búsqueda automática y análisis de archivos de tipo Zip y archivos adjuntos en emails.  Análisis electrónico del rastro de intervención.  Análisis compuesto del documento. Otro ejemplo sería un Keylogger, esta herramienta es útil cuando se quiere comprobar actividad sospechosa; guardando los eventos generados por el teclado. Los datos generados son complementados con información relacionada con el programa que tiene el foco de atención, con anotaciones sobre las horas, y con los mensajes que generen algunas aplicaciones.