• Author / Uploaded
• Daniel Castellanos

• Categories
• Informática forense
• Evidencia (ley)
• Disco duro
• Disco compacto
• Archivo de computadora

Citation preview

INFORMÁTICA FORENSE Miguel Quintero

EJE 2 Analicemos la situación

Fuente: Designed by Creativeart/Freepik

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Evidencia digital, característica y manejo . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 La prueba digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Principios generales de la prueba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Ventajas de las pruebas digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Desventajas de las pruebas digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Diferencia entre prueba digital y evidencia digital . . . . . . . . . . . . . . . . . 8 Evidencia digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 La evidencia digital y su autenticidad . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Ciclo de la evidencia digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Proceso de recolección de evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Proceso de preservación de la evidencia . . . . . . . . . . . . . . . . . . . . . . . . 14 Sistemas y medios de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Dispositivos de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Buenas prácticas en el manejo de evidencia digital . . . . . . . . . . . . . . . . . . 18 Cadena de custodia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

ÍNDICE

Análisis de la evidencia digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Recolectando una evidencia digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Introducción

INTRODUCCIÓN

En el eje anterior realizamos una descripción de que es la informática forense, cuando usarla y la metodología empleada en la investigación de un delito informático, a lo largo del desarrollo de ese eje se habló mucho de la evidencia digital, se dio una explicación a grandes rasgos, entendiendo que la evidencia digital es la materia prima de cualquier investigación, debemos darle la importancia que tiene, por eso en este eje estudiaremos nuevos conceptos, que son necesarios tenerlos muy claros en una investigación forense. Día a día los delitos informáticos crecen más y más, los peritos forenses deben tener técnicas para el manejo de las pruebas digitales, conocer las leyes y la forma como pueden refutar su trabajo en un juicio si se comente algún error, frecuentemente en una investigación se pueden encontrar varios elementos probatorios, que no son tangibles, por el contrario en su mayoría son digitales, se encuentran en diferentes medios de almacenamiento electrónico, en la nube o internet, este tipo de información puede verse afectada o manipulada fácilmente, la tarea de los peritos forenses es poder recolectar estos datos, antes de que sufran alguna alteración o desaparezcan, tener clara la forma de presentarlos en un juicio, garantizando la cadena de custodia.

Delito informático

Son los delitos que se comente usando las tecnologías de la información.

Materia prima

Sustancia natural o artificial que se transforma industrialmente para crear un producto. Cosa que potencialmente sirve para crear algo.

Probatorio

Que sirve para probar algo.

Tangible

Es un adjetivo que indica que algo se puede tocar. También indica que se puede percibir de manera precisa. Esta palabra procede del latín tangibles. Algunos sinónimos son: palpable, perceptible, concreto y real.

Vivimos en un mundo que evoluciona constantemente, muchas de las actividades que realizamos como compras, pagos de facturas, créditos, expedición de certificados, programación de citas médicas, etc., de forma presencial, hoy en día las hacemos utilizando la red, esto quiere decir que en algún momento del día nuestros datos viajaran por la red, para realizar alguna de las actividades, saber que tratamiento le brinda las diferentes entidades que usamos a diario, a nuestros datos, que leyes nos protegen como consumidores digitales, es muy importante, y necesario.

Para poder alcanzar todos los objetivos de este eje los invito a que realicen las lecturas adicionales, desarrollen los diferentes talleres y tareas, las preguntas o dudas que tengan con gusto las pueden plantear en los encuentros sincrónicos.

Evidencia digital, característica y manejo

La prueba digital Para poder comenzar el tema de la prueba digital debemos primero definir que es un documento digital. Documento digital: son todos los documentos escritos por medio de un procesador de texto, comunicaciones, imágenes de cámaras o digitalizadas, dibujos, programas, audios, videos o cualquier otro tipo de información que se encuentre almacenada en algún medio electrónico. Con este concepto claro podemos decir que la prueba digital es toda la información generada por un usuario como por ejemplo: archivos, carpetas, envió de correos, imágenes, archivos de audio, videos, etc. o información no generada por los usuarios como archivos de logs de acceso a sistemas, bases de datos entre otros, que puede generar algún tipo de valor probatorio que se encuentra almacenada en algún tipo de dispositivo electrónico y puede ser transmitida de forma digital.

Digitalizadas

Convertir datos, imágenes o sonidos en un formato digital.

Trasmitir

Es la transferencia física de datos (un flujo digital de bits) por un canal de comunicación punto a punto o punto a multipunto.

El señor Stephen Mason, líder digital, en uno de sus artículos dijo: El punto esencial acerca de la evidencia digital, el cual no es entendido por muchos jueces y abogados, es la complejidad del tema, su naturaleza y características. Por no tener un conocimiento, si quiera mínimo del tema, los abogados y especialistas en evidencia digital responsables por investigar casos y de decidir si es necesario adelantar investigaciones penales contra un individuo, están en riesgo de cometer errores graves. Es por esta razón que jueces, abogados y académicos deben considerar que es de vital importancia que comiencen a entender qué es evidencia digital.

Esto nos demuestra la importancia que tiene la prueba digital a nivel jurídico, y lo cuidadosos y metódicos que debemos ser cuando estemos recolectando las pruebas, los peritos forenses siempre trabajaran en una línea muy delgada, un mal procedimiento puede dejar nula la prueba presentada. La prueba digital forma parte de miles de procesos judiciales, y las nuevas tecnologías día a día cogen más relevancia en el orden jurídico, las especializaciones en derecho informático, son más comunes en los bufetes de abogados y son los encargados de relacionar las nuevas tecnologías con las nuevas legislaciones.

Relevancia

Importancia o significación que destaca de algo.

Bufete de abogados

Son las denominaciones utilizadas para designar a empresas que brindan servicios jurídicos con una planta fija de letrados o abogados, integrados a la compañía mediante contrato o mediante acuerdo.

Informática forense - eje 2 analicemos la situación

5

Para tener una idea de la importancia que tienen las pruebas digitales vamos a revisar los resultados del informe de empresa Norton Norton Cyber Security Insights, que sostiene que en el año 2017 se vieron afectados 978 millones de usuarios, en más de 20 países, la suma de los robos ascendió a 172 millones de dólares. Estos datos van a seguir en aumento, porque cada vez son más los usuarios que consumen servicios utilizando internet, pero no aplican ninguna norma de seguridad, mantienen las mismas contraseñas, no se toman el tiempo de leer con detenimiento los correos que llegan, y lo más importante no se aseguran que sea una entidad legitima la que le solicita actualización de datos. Nuestro diario vivir cada día se desarrolla más en el ámbito digital, nos da la posibilidad de ahorrar tiempo, nos ayuda a conocer nuevas culturas, amplia nuestro enfoque del mundo, pero también trae nuevos problemas, nuevas formas de ser atacados, no físicamente, pero si digitalmente, y sus consecuencias pueden ser más graves que las reales. Principios generales de la prueba Es importante que un perito forense conozca cuales son los principios de una prueba, esto le ayudara a que sus investigaciones no se queden sin sustento. • Necesidad de la prueba: es indispensable que los hechos que originan una decisión judicial, estén demostrados por pruebas que pueden ser aportadas por cualquiera de las partes. • Eficacia jurídica y legal: las pruebas deben dar la certeza sobre los hechos, para que el juez sea capaz de determinar la culpabilidad o inocencia. • Unidad de la prueba: quiere decir que las pruebas forman una unidad y el juez las debe examinar y valorar como tal. • Adquisición de la prueba: la prueba después de que se aporta a un proceso no pertenece a ninguna de las partes, y debe servir para determinar si se cometió el delito. • Lealtad, probidad, veracidad y exactitud: el objetivo principal de la prueba es proteger el interés público y velar que se haga justicia. • Contradicción de la prueba: la parte acusada debe tener la posibilidad de conocer las pruebas y de tratar de refutarlas. • Igualdad de oportunidades para la prueba: las partes tiene las mismas oportunidades con las pruebas. • Publicidad de la prueba: las pruebas deben estar disponibles por las partes, las pueden analizar, objetarlas, deben conocer la decisión que tome un juez sobre la prueba. • Formalidad y legitimidad de la prueba: debe presentarse conforme a la ley, teniendo en cuenta el tiempo, modo y lugar, y su obtención debe estar conforme a las normas.

Informática forense - eje 2 analicemos la situación

6

• Legitimación de la prueba: cada parte puede aportar las pruebas que considere necesarias para probar los hechos y deben ser recibidas por personal idóneo. • Imparcialidad de la prueba: el concepto del juez debe estar orientado a averiguar la verdad, cuando valora las pruebas que le han aportado al proceso, además las partes deben gozar de las mismas oportunidades para presentarlas y pedir prácticas. • Originalidad de la prueba: la prueba debe hacer referencia al hecho que se trata de probar. • Concentración de la prueba: las pruebas deben analizase en la misma etapa del proceso, de lo contrario podría prestarse para difuminar la verdad. • Libertad probatoria: debe garantizar que las pruebas ayuden a probar el hecho. • Inmediación y de la dirección del juez en la producción de la prueba: este principio se refiere a la relacion que debe haber entre el juez, las partes y las pruebas.

Inmediación

Conjunto de derechos atribuidos al sucesor inmediato en una vinculación.

• Pertinencia, idoneidad y utilidad de la prueba: la prueba debe contribuir a la eficacia procesal, la pertinencia dictamina la relación entre la prueba y el hecho a probar, el valor de convicción hace referencia a la idoneidad, y la utilidad nos ayuda a demostrar legalmente el hecho por este medio, creando una relación entre la prueba y el hecho. • Naturalidad o espontaneidad y licitud de la prueba y del respeto a la persona humana: significa que los peritos forenses deben dar su evaluación de una manera espontánea y natural, nunca debe sentirse coaccionado por algunas de las partes. • Obtención coactiva de los medios materiales de prueba; brinda la facultad al juez, para pedir informaciones, como, libros de contabilidad, hacer compadecer a las partes involucradas a audiencias, expedir ordenes de allanamientos en propiedades o en archivos privado.

Coactiva

Que tiene fuerza de apremiar u obligar, o que implica o denota coacción.

• Inmaculación de la prueba: las pruebas que se aporten deben ser formales y legales. Estos son algunos de los principios más importantes que se deben tener en cuenta al momento de presentar una prueba en un proceso judicial. Ventajas de las pruebas digitales • Las pruebas digitales son, objetivas, claras, precisas y neutras. • La evolución tecnológica ha incrementado el uso de las pruebas digitales como uso clave en el desarrollo de procesos judiciales.

Informática forense - eje 2 analicemos la situación

7

• El proceso de recolección de las evidencias digitales para un perito forense es relativamente sencillo, aplicándoles su respectivo análisis son verídicas. • Las pruebas digitales están ayudando a agilizar los tiempos y a disminuir los recursos que se deben emplear en un proceso penal. Desventajas de las pruebas digitales

Verídica

Que se ajusta a la verdad.

Incertidumbre

Falta de seguridad, de confianza o de certeza sobre algo, especialmente cuando crea inquietud.

• Falta de normatividad que evite la incertidumbre jurídica de las pruebas digitales. • Falta de personal del sector judicial preparado para afrontar este nuevo tipo de delitos. • Se necesitan profesionales expertos en investigación forenses. • Su fácil manipulación y volatilidad. Diferencia entre prueba digital y evidencia digital Diferencia entre la prueba y la evidencia informática, es que la evidencia es el estado inicial de la prueba informática, pero no siempre la evidencia se convierte en prueba, la evidencia digital necesita ser sometida a los procesos de recolección, preservación, análisis antes de poder convertirse en una prueba digital.

Instrucción Le invitamos a la página principal del eje para revisar el recurso de aprendizaje: animación y a desarrollar la actividad de aprendizaje: práctica.

Evidencia digital “Cualquier dato que puede establecer que un crimen se ha ejecutado (commit) o puede proporcionar un enlace (link) entre un crimen y su víctima o un crimen y su autor”. “Cualquier información, que esté sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático”, definición del señor Eoghan Casey.

Informática forense - eje 2 analicemos la situación

8

La evidencia digital debe ser: • Admisible • Auténtica

Admisible

Que puede ser admitido.

• Completa • Confiable • Creíble y comprensible

La evidencia digital la podemos definir como cualquier archivo o registro almacenado en un sistema digital. Las evidencias pueden ser: • Correos electrónicos. • Archivos de logs. • Documentos (.doc, xls, ppt). • Imágenes. • Fotografías. Base de datos

• Códigos de programación.

Una base de datos es una colección de información organizada de forma que un programa de ordenador pueda seleccionar rápidamente los fragmentos de datos que necesite. Una base de datos es un sistema de archivos electrónico. Las bases de datos tradicionales se organizan por campos, registros y archivos.

• Bases de datos. • Cookies de navegación. • Procesos en ejecución.

Cookies de navegación

• Archivos temporales.

Es una pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del navegador.

• Restos de instalación de programas. • Discos duros, USB, CD, DVD. • Páginas de internet. • Conversaciones de redes sociales. • Teléfonos móviles.

O cualquier otro tipo de evidencia que pueda ser utilizado en un proceso judicial, estas evidencias al pasar por el proceso de adquisición, preservación y análisis se pueden convertir en: • Recuperación de archivos que han sido eliminados. • Detección de dispositivos externos como (USB, y discos duros), sin autorización. • Mensajes de texto, imágenes, fotografías, videos enviados por medio de WhatsApp, Instagram, Telegram, Twitter o Facebook.

Informática forense - eje 2 analicemos la situación

9

• Mensajes de texto (SMS) enviados o recibidos. • Mensajes de audio contenidos en grabadoras, teléfonos, DVD, etc. • Bases de datos comprometidas. • Metadatos de archivos (fecha de creación, modificación, último acceso, borrado, etc.). • Correos electrónicos enviados y recibidos. • Software instalado sin permiso. Para que una evidencia digital sea aceptada en un tribunal hay que determinar si es pertinente, autentica, si se acepta una copia o es necesario presentar el original y lo más importante si presenta algún valor relevante, la relevancia de una evidencia en términos legales es el aporte que hace en un proceso, las evidencias que no ayuden o carecen de valor probatorio pueden ser excluidas del proceso. Las evidencias digitales se catalogan como pruebas frágiles, por la facilidad de modificarlas o borrarlas, y esta es una de las desventajas, ya que cuando se presentan ante un juez, se debe garantizar que no han sido alteradas o modificadas para que las pueda considerar como admisibles. Clasificación de la evidencia digital • Registros generados por computadores: aquí encontramos los logs del sistema también conocidos como eventos de seguridad, por lo general son inalterables y muestran todo lo sucedido con un sistema desde que se inició hasta que ocurrió un evento. • Registros no generados sino simplemente almacenados: son todos los documentos que puede generar un usuario, en diferentes programas como por ejemplo una carta (utilizando Word), en este tipo de registros es importante poder demostrar el autor del documento y probar las afirmaciones cantidad en la evidencia. • Registros híbridos: son todos los registros que contiene registros generados por el sistema y los registros de los documentos generados por el usuario.

Inalterables

Que no se puede alterar o cambiar.

Hibrido

Que es producto de elementos de distinta naturaleza.

Informática forense - eje 2 analicemos la situación

10

La evidencia digital y su autenticidad Poder garantizar la autenticidad de la evidencia digital a lo largo de un proceso judicial es una tarea ardua y metódica, siemMetódica pre se debe garantizar la cadena de custodia, para lograr este Que se hace ordenada y sistemáticaobjetivo es necesario mantener un registro detallado cada vez mente, siguiendo un método. que la evidencia cambia de manos, por ejemplo: debe haber un registro de la persona encargada de TI, en una empresa que sufrió un ataque cuando le entrega el equipo al personal policial que atendió el hecho, y de la misma manera debe quedar un registro cuando el policía le entrega la evidencia a el perito forense, los registros se deben llevar por cada una de las personas que intervinieron en el tratamiento de la evidencia, si por algún motivo se identifica que la evidencia se perdió en algún momento, se puede considerar que la evidencia perdió su autenticidad y pudo sufrir contaminación o alteraciones. Para poder garantizar que las evidencias digitales no sufran daños y puedan usarse en un proceso judicial como peritos forenses digitales debemos solicitar a la empresa o persona afectada que no realice las siguientes acciones: • Que por ningún motivo apaguen el sistema. Por qué se podría perder información muy importante y volátil como por ejemplo toda la información contenida en la memoria RAM. • No desconectar el sistema de la red. • Que por ningún motivo se deben ejecutar programas, estos podrían sobrescribir los datos. • Evitar abrir Archivos ya que pueden cambiar su fecha y hora.

Ciclo de la evidencia digital Como todas las actividades que se realizan en seguridad informática y específicamente en informática forense, la evidencia digital necesita de procesos definidos que ayuden a mantener su integridad, podemos decir que debemos aplicar una metodología basada en buenas prácticas para garantizar que nunca pierda su valor y pueda ser usada en un proceso judicial.

Informática forense - eje 2 analicemos la situación

11

Figura 1. Ciclo de vida de la evidencia digital Fuente: Propia

Proceso de recolección de evidencia El trabajo de adquisición o recolección es bastante metódico, minucioso y específico, el objetivo es poder encontrar la mayor cantidad de evidencia digital para que podamos convertirlas en pruebas y nos ayuden a esclarecer los hechos, para lograr esto debemos inspeccionar todos los dispositivos que se encuentren en la escena del crimen, pero antes de todo debemos tener en cuenta:

Minucioso

Que hace las cosas con detenimiento y cuidando los más pequeños detalles.

• La cadena de custodia. • La fecha y hora. • Documentar todas las actividades se realicen y las personas que intervienen en esas actividades. La recolección o adquisición de evidencia debe tener un orden básico para que el proceso de los mejores resultados: • Buscar la evidencia. • Determinar la relevancia de los datos. • Determinar la volatilidad de la información. • Eliminar la interferencia exterior. • Recoger la evidencia. • Documentar todas las acciones realizadas.

Informática forense - eje 2 analicemos la situación

12

También debemos determinar a qué tipo de análisis nos enfrentamos: • Los equipos se encuentran apagados (post-morten): en este escenario los dispositivos se encuentran apagados, se puede presentar pérdida de información relevante, por ejemplo, la almacenada en la memoria RAM, que es un medio de almacenamiento volátil. Las actividades a realizar son las siguientes: -- Realizar un clon exacto del disco duro. -- Se debe obtener la función resumen (hash MD5 o SHA1), del disco duro, Archivos sospechosos o interesantes. -- Siempre se debe trabajar sobre la copia nunca se toca el original. -- Recuperar de datos perdidos.

Aleatorio

Que depende de algún suceso casual.

Bitácoras

En la actualidad, un cuaderno o publicación que permite llevar un registro escrito de diversas acciones. Su organización es cronológica, lo que facilita la revisión de los contenidos anotados.

-- Búsqueda de logs y bitácoras. -- Búsqueda de datos y archivos temporales. -- Búsqueda de datos del registro (Windows). -- Guardar los dispositivos como discos duros, USB, etc., En bolsas electroestáticas y bolsas de protección. -- Garantizar siempre que sea posible la integridad, confidencialidad u disponibilidad de la información. -- Almacenar la información adquirida en un lugar seguro. • Los equipos se encuentran encendidos (Análisis en vivo): en este escenario encontraremos los equipos encendidos y podremos recolectar información relevante como por ejemplo la que se encuentra en la memoria RAM, las actividades que se realizan son la siguientes: -- Utilizar herramientas que se puedan ejecutar desde una memoria USB, para evitar contaminar el disco duro, se recomienda que estas sean manejadas desde la línea de comandos. -- Reportar de forma precisa y minuciosa todas las actividades que se realicen en el sistema. -- Realizar volcado de memoria: es uno de los procesos más importantes cuando los equipos se encuentran encendidos, y la información que podemos encontrar

Informática forense - eje 2 analicemos la situación

13

cuando realizamos un volcado de memoria RAM es muy importante, lo que podemos obtener: procesos en ejecución en tiempo real, archivos abiertos, direcciones IP, puertos abiertos y usados, conexiones de red, unidades de red compartidas, permisos, usuarios activos, Shell remotas, conexiones remotas tipo VNC, RDP, SSH, entre otros.

Instrucción Lo invitamos a desarrollar la actividad Control de lectura.

Proceso de preservación de la evidencia Como todo lo que hacemos en informática forense debe tener un procedimiento o metodología para realizarse, la preservación de la evidencia digital no es la excepción, el RFC3227, es una guía de buenas prácticas aplicadas a la preservación de la evidencia.

Lectura recomendada Complemente la información con la siguiente lectura: RFC 3227, mejores prácticas para la recolección de evidencias https://www.ietf.org/rfc/rfc3227.txt La evidencia digital por sus características volátiles, puede en cualquier momento perder su integridad, por un mal procedimiento o por terceros, para evitar que esto suceda y quede inválida debemos darle un manejo adecuado y aplicarle seguridad, para lograr esto debemos tener en cuenta los siguientes aspectos: • Mantener la cadena de custodia y llevar sus registros bien detallados y actualizados. • Se debe asegurar físicamente, en lugares donde tengan controles físicos, controles de acceso y un registro de todas las personas que ingresan al lugar donde se almacena la evidencia.

Control de acceso

Es un sistema automatizado que permite de forma eficaz, aprobar o negar el paso de personas o grupo de personas a zonas restringidas en función de ciertos parámetros de seguridad establecidos por una empresa, comercio, institución o cualquier otro ente

Informática forense - eje 2 analicemos la situación

14

• Preferiblemente que la zona destinada para el almacenamiento de la evidencia cuente con CCT las 24X7X365 días. Evidencia volátil: se conoce como evidencia volátil a toda aquella que solo esta temporalmente disponible, y se puede perder si no se realizan los procesos de adquisición y preservación a tiempo, el ejemplo más claro de este tipo de evidencia es la información que se encuentra en la memoria RAM, para evitar perder este tipo de evidencia se aconseja tener en cuenta los siguientes aspectos: • No apagar los equipos, hasta que se dé por finalizada la actividad de recolección: la razón por la cual no se debe apagar el equipo es porque se perderían todos los datos volátiles, pero en caso de que los equipos estén apagados no debemos prenderlos, porque al iniciar el sistema sobrescribiría información que podría ser útil, además puede ser peligroso porque puede haber un código malicioso que destruya toda evidencia y borre los rastros del delincuente informático. • Recopilar las evidencias de mayor a menor volatilidad: cuando nos referimos a mayor volatilidad queremos decir que se puede perder más fácil y perderíamos información valiosa como contraseñas de usuarios, conexión activa, procesos en ejecución, malware que este en ejecución. • No confiar en los programas que están en ejecución, el atacante pudo haber dejado programas que se activan con la interacción del usuario para borrar sus huellas. • No se debe ejecutar ningún programa que pueda modificar los datos de fechas de los archivos o carpetas.

Instrucción Le invitamos a la página principal del eje para revisar el recurso de aprendizaje: videorresumen.

Sistemas y medios de almacenamiento Los sistemas utilizados en informática forense, básicamente son estaciones forenses que vienen con todo lo necesario para poder adquirir las evidencias digitales y copiarlas bis a bit, en la siguiente imagen veremos una estación forense.

Informática forense - eje 2 analicemos la situación

15

Figura 2. Estación Forense digital Fuente: https://www.ondata.es/img/forense/equipos/msab-office.png

Dispositivos de almacenamiento Discos duros: es un dispositivo cuya función es la de almacenar información digital, archivos, fotos, videos, etc. En la actualidad existen 5 clases: • Disco duro SAS. • Disco duro SCSI. • Disco Duro IDE, ATA y PATA. • Disco duro SATA I, II, III. • Disco de estado sólido.

Informática forense - eje 2 analicemos la situación

16

Dispositivos de almacenamiento extraíble: • Cintas magnéticas. • Discos ópticos (unidades de CD-ROM, DVD y Blu-ray). • Unidades Flash. • Discos duros extraíbles. • USB. • SD y Micro SD. Para realizar proceso de copia bit a bit se debe tener en cuenta las siguientes consideraciones: • El dispositivo donde se va a realizar la copia de la evidencia debe estar estéril y se le debe aplicar un borrado seguro. • La capacidad del dispositivo debe ser superior a la del disco original, es importante tener en cuenta esto porque cuando se hace el proceso de recuperación de un disco por ejemplo con capacidad de 500 GB, generalmente la cantidad de la información recuperada será superior a las 500 GB, esto se debe a que los usuarios nunca realizan un borrado seguro, solo hacen clic derecho eliminar, este proceso no elimina la información solo quita el apuntador con el cual el sistema operativo busca la información. Si no se cuenta con el espacio suficiente el proceso de copiado no se realizaría con éxito, además de que podemos perder información valiosa. • Después de generada la copia el original se debe almacenar aplicando todos los procedimientos que le aseguren que nadie sin autorización pueda afectar la evidencia, los peritos forenses deben comenzar a realizar el análisis sobre la copia o copias realizadas.

Lectura recomendada Para profundizar más en las etapas del ciclo de vida de las evidencias y sus fases les recomendamos la siguiente lectura. Ministerio de Tecnologías de la Información y Comunicaciones Evidencia Digital

Informática forense - eje 2 analicemos la situación

17

Instrucción Le invitamos a la página principal del eje para revisar el recurso de aprendizaje: galería.

Buenas prácticas en el manejo de evidencia digital Las buenas prácticas deben tener en cuenta los siguientes aspectos: • Integridad de los medios: los medios a usar deben estar estériles. Por ningún motivo debe contener algún tipo de información, esto podría afectar considerablemente el análisis, es recomendable que todos los discos hayan pasado por procesos de borrado seguros, que no hayan sido expuestos a variaciones magnéticas, ópticas o similares.

Estéril

Que se encuentra limpio.

Borrado seguro

El borrado seguro de discos o unidades de disco se refiere a los pasos necesarios para que la información que contienen sea inaccesible e ilegible.

Borrado seguro: es el proceso por el cual se hace irrecuperable la información contenida en un medio de almacenamiento, este proceso se realiza con software que se encarga de escribir secuencias de ceros o cadenas pseudoaleatorios sin sentido en todos los sectores de un disco duro. A continuación, se nombran las técnicas más usadas: -- Fast zero write: sobrescritura con un valor fijo (0x00) en cada sector. -- Super fast zero write: sobrescritura con un valor fijo (0x00) cada tercer sector. -- Zero write: sobrescritura con un valor fijo (0x00) en el área completa. -- Random write: sobrescritura con valores aleatorios. -- Random & zero write: método con 4 pasadas de sobreescritura, en la primera sobrescribe valores aleatorios, en la segunda sobrescribe valores fijos (0x00), en la tercera vuelve a escribir valores aleatorios y finalmente termina con escritura de valor cero.

Aleatorio

Que depende de algún suceso casual.

Sobreescritura

Escribir daros en un sector donde ya existe información.

Informática forense - eje 2 analicemos la situación

18

-- US navy, NAVSO P-5239-26-MFM: usado para discos con MFM (modified frequency modulation), escritura de un valor fijo (0xffffffff) sobre el soporte, después escribe un valor fijo (0xbfffffff) escritura de valores aleatorios y finalmente verificar la sobrescritura. • Verificar las copias realizadas: cuando se realiza una copia lo primero que debemos hacer es obtener el hash y compararlo con el original con esto aseguramos que es una copia exacta, saltarnos este paso podríamos ver seriamente afectada la investigación. • Documentación de todos los procedimientos y herramientas utilizadas: documentar todos lo que hacemos desde que llegamos hasta que nos vamos, las herramientas que utilizamos, los resultados que nos arrojan, los comandos que utilizamos y sus resultados es una tarea que se debe hacer de manera minuciosa y metódica, como investigadores siempre tendremos que asegurarnos de llevar un registro de todo lo que realicemos con la evidencia, ya que esta es manipulada por varias personas, y teniendo en cuenta lo fácil que puede perder su integridad debemos demostrar que nuestros procesos fueron claros y específicos. • Mantenimiento de la cadena de custodia: es llevar un registro ordenado y metódico de todas las personas que de una u otra manera tienen contacto con la evidencia bien sea para recolectarla, asegurarla, analizarla. Cadena de custodia Este término hace referencia al registro que debe llevarse de manera minuciosa, ordenada y controlada, de todas las personas que adquieren, preservan y analizan las evidencias digitales, mientras que dure la investigación. En la cadena de custodia hay que tener presente los siguientes aspectos: • Disposición final. • Detalle de personal, fechas, horas y procedimientos. La cadena de custodia se utiliza para el manejo de evidencia digital y evidencia física. la cadena de custodia de la prueba garantiza la integridad de la misma, es decir que la evidencia que es identificada, adquirida, preservada y analizada es siempre la misma, no ha sufrido alteración alguna desde que se inicia el proceso hasta que termina, conservar la cadena de custodia de una prueba, es tan frágil que solo basta con conectar el dispositivo donde se encuentre almacenada, en un equipo para que pueda alterarse de manera irreversible, esto provoca que todo el proceso se arruine y pierda la viabilidad de presentarla en un juicio.

Informática forense - eje 2 analicemos la situación

19

Figura 3. Cadena de custodia Fuente: https://ecriminalistica.files.wordpress.com/2018/03/10-cadena-de-custodia.png?w=825&h=510&crop=1

Importancia de la cadena de custodia: La cadena de custodia permite demostrar la autenticidad, integridad de las evidencias digitales recolectadas dentro de la investigación judicial, y puede ser un factor determinante para que esta evidencia pueda ser permitida por el juez. Inicio y fin de la cadena de custodia: la cadena de custodia inicia cuando se hace la recolección de las evidencias digitales y termina cuando el juez da por terminada la investigación determinando qué se debe hacer con las pruebas recolectadas durante el proceso. Quienes intervienen en la cadena de custodia: todas las personas, entidades públicas o privadas que en algún momento puedan tener contacto con las evidencias, o hayan colaborado en alguno de los procesos (adquisición, preservación, análisis y disposición final), se debe llevar un registro detallado de todas las personas por las cuales ha pasado la evidencia.

Informática forense - eje 2 analicemos la situación

20

Análisis de la evidencia digital Es una de las fases más importantes, aquí es donde los investigadores trataran de saber el cómo, por qué y para que se realizó el ataque, buscaran rastros que les ayuden a tratar de perfilar al atacante y si es posible poder establecer su localización.

Perfilar

Establecer claramente los aspectos particulares de una cosa para que sea más exacta y precisa.

Los aspectos más importantes que se deben tener en cuenta son: • Las técnicas a utilizar pueden variar dependiendo de la escena y el objetivo que se quiere alcanzar. • Las técnicas pueden cambiar dependiendo de si los equipos se encuentran encendidos (análisis directo) o los equipos se encuentran apagados (post mortem). • Hay que ordenar y clasificar los datos por relevancia. • Análisis de archivos: (fechas y horas) de creación, modificación, ultimo acceso. Además de identificar permisos, últimos usuarios que accedieron el archivo, localización física inicial, contenido, entre otros. • Análisis de capturas de red • Volcados de memoria: procesos, direcciones IP, archivos asociados, servicios de red, puertos, entre otros. Preparación para el análisis: para poder empezar la fase de análisis de las evidencias, debemos tener en cuenta las siguientes consideraciones: • Contar con un espacio dedicado para el análisis de pruebas digitales. • Se debe trabajar con las imágenes recopiladas (Copias), las imágenes deben montarse y verificar que hayan quedado tal cual como se encontraba el sistema operativo atacado, esto solo aplica para los análisis en vivo. • Disponer de recursos suficientes para realizar todas las pruebas que sean pertinentes a la evidencia digital. • Tener un sistema operativo anfitrión, en donde se encuentran instaladas todas las herramientas que se utilizaran en el proceso de análisis, además se debe contar con otro disco adicional que será donde se montaran las imágenes del sistema

Informática forense - eje 2 analicemos la situación

21

afectado, conservando siempre la estructura de las particiones. • Preferiblemente se debe tener otro equipo que tenga la misma configuración y sistema operativo, en el que se pueda realizar pruebas a medida que se van formulado hipótesis. • Reconstrucción del ataque. Después de realizar las actividades anteriores, se deben realizar los siguientes pasos: • Crear una línea temporal de los sucesos (Timeline). Timeline: el concreto de la línea del tiempo, es simple y muy importante, ya que ayuda a establecer unos filtros o parámetros, respecto a momentos en el tiempo, los cuales son relevantes para el proceso y ciclo de la investigación forense, y para la segmentación de información. • Ordenar los archivos por sus fechas. • Revisar detenidamente los logs del sistema y tratar de realizar una correlación entre ellos.

Segmentación

Técnica de dividir en pequeñas partes.

Correlación

Proceso de analizar los datos de eventos para identificar patrones, causas comunes y causas iniciales. La correlación de eventos analiza los eventos entrantes para estados predefinidos mediante reglas predefinidas y para relaciones predefinidas.

• Examinar los archivos donde se detecten conexiones a servicios como FTP. Cruce de variables: la experiencia del investigador forense y el conocimiento del caso le ayudaran a determinar a qué pruebas le presta más atención y a cuales menos, para tener fundamentos sólidos, realizar un análisis y plantear hipótesis que le ayuden a su justificación y reporte final.

Recolectando una evidencia digital Este es uno de los pasos más importantes en una investigación, y es cuando los peritos forenses deben tener mucho cuidado, porque un mal procedimiento podría dañar la evidencia, a continuación, realizaremos una recolección de memoria RAM en un equipo Windows 10 de 64 bits, para este proceso haremos uso de la herramienta FTK imager.

Informática forense - eje 2 analicemos la situación

22

Figura 4. Imagen software FTK imager Fuente: Propia

Escogemos la opción capture Memory, llegaremos al siguiente menú.

Figura 5. Imagen software FTK imager Fuente: Propia

Aquí seleccionamos el destino y si queremos le cambiamos el nombre y clic en capturar imagen.

Figura 6. Imagen software FTK imager Fuente: Propia

Informática forense - eje 2 analicemos la situación

23

Y comienza el proceso de captura, al final se obtendrá un archivo como el siguiente.

Este es un ejemplo de recolección de evidencia, el paso a seguir seria obtener la firma digital (hash), y comenzar a realizar su análisis.

Instrucción Le invitamos a la página principal del eje para revisar el recurso de aprendizaje: caso modelo.

La evidencia digital es la materia prima en todo el proceso de investigación, sin ella no se podría realizar ningún proceso judicial, porque no habría forma de poder determinar si se cometió un delito informático o no, todo el esfuerzo que pueda poner un perito forense en una investigación puede quedar en el piso si se comprueba que durante el proceso la evidencia perdió su integridad. La evidencia digital por sus características tiende a ser muy delicada, aplicarle un mal procedimiento seria perder toda la evidencia, la forma de evitar estos contratiempos, es garantizar la cadena de custodia, que es como el seguro de vida de la evidencia digital, siguiendo este proceso de forma detallada y metódica, actualizando los registros cada vez que cambia de investigador, le dará veracidad a las evidencias que después de pasar por todas las fases puede llegar a convertirse en una prueba digital, y será admitida y tenida en cuenta por el juez para dar su veredicto final.

Veredicto

Decisión final pronunciada por un jurado sobre la inocencia o culpabilidad de un acusado o sobre un hecho en litigio.

Informática forense - eje 2 analicemos la situación

24

Bibliografía

Abel, X. y Pico, J. (2011). La prueba electrónica. Instituto de Probática y Derecho Probatorio. Recuperado de http://bidig.areandina.edu.co/index.php/generalesy-multidisciplinarias-elibro. Ministerio de Tecnologías de la Información y Comunicaciones (MINTIC). (s.f.). Seguridad y privacidad de la información. Guía 13. Recuperado de https://www. mintic.gov.co/gestionti/615/articles-5482_G13_Evidencia_Digital.pdf.

BIBLIOGRAFÍA

Insa, F., y Lázaro, C. (2008). Pruebas electrónicas ante los tribunales en la lucha contra la cibercriminalidad: un proyecto europeo. Revista venezolana de información, tecnología y conocimiento. Recuperado de https://ebookcentral. proquest.com/lib/bibliotecafuaasp/reader.action?docID=3203840&query=Pru ebas+electr%C3%B3nicas+ante+los+tribunales+en+la+lucha+contra+la+cibercri minalidad%3A+un+proyecto+europeo Cano, J. (2010). Peritaje informático y la evidencia digital en Colombia. Capítulos I y II. Universidad de los Andes. Recuperado de https://ebookcentral.proquest. com/lib/bibliotecafuaasp/reader.action?docID=3201681&query=informatica+fo rense. Pinto, F., y Pujol, P. (2017). La prueba en la era digital. Capítulos I, III, y IV. Wolters Kluwer. Recuperado de https://ebookcentral.proquest.com/lib/ bibliotecafuaasp/reader.action?docID=5426590&query=informatica+forense#

Brezinski, D., y Killalea, T. (2002). RFC3227 Guía para preservación de evidencia digital. Recuperado de https://www.ietf.org/rfc/rfc3227.txt Fiscalía General de la Nación. (s.f.). Cadena de custodia. Recuperado de https://www. fiscalia.gov.co/colombia/wp-content/uploads/2012/01/manualcadena2.pdf

BIBLIOGRAFÍA