NDICE

PRLOGO..................................................................................................................................... XIII
PREFACIO..................................................................................................................................... XV
CAPTULO 1. ESTRUCTURA GENERAL....................................................................................
Orientacin para la lectura del manual......................................................................................

1
2

CAPTULO 2. LA PROBLEMTICA DE LA INFORMTICA FORENSE...................................

El surgimiento de la Informtica Forense, su insercin social, judicial y tecnolgica...........
Concepto de Informtica Forense..............................................................................................

5
7
9

CAPTULO 3. IMPLANTACIN PERICIAL CRIMINALSTICA................................................

Caractersticas destacables en la disciplina...............................................................................
Clasificacin por su relacin con el lugar del hecho.................................................................
Causas de alteracin del lugar del hecho...................................................................................

11
12
12
14

CAPTULO 4. IMPLANTACIN INFORMTICA....................................................................... 19

CAPTULO 5. IMPLANTACIN JUDICIAL................................................................................
El delito informtico propio e impropio....................................................................................
La reconstruccin del hecho.......................................................................................................
La reconstruccin metodolgica del hecho...............................................................................
El lugar del hecho virtual propio e impropio.............................................................................
Prueba documental clsica (bibliogrfica, foliogrfica y pictogrfica) e informtica............
Elemento probatorio pertinente y conducente.........................................................................
Prueba pericial informtico forense...........................................................................................
Relaciones con otras disciplinas.................................................................................................

23
25
25
27
28
33
34
34
35

CAPTULO 6. INFORMTICA FORENSE - LA PRUEBA DOCUMENTAL INFORMTICA....

Principios y relaciones periciales informtico forenses............................................................
La prueba documental informtica............................................................................................
Definicin y relaciones................................................................................................................
Inteligencia estratgica................................................................................................................
La entrevista..................................................................................................................................

37
37
38
38
39
39

CAPTULO 7. INSERCIN LEGAL DEL PERITO EN INFORMTICA FORENSE LA INSPECCIN JUDICIAL........................................................................................................

Generalidades...............................................................................................................................
Legalidad de la requisitoria pericial............................................................................................
Entorno legal del perito...............................................................................................................

47
47
49
49

errepar

manual de informtica forense

Formalidades de la aceptacin del cargo...................................................................................

Diligencias previas en el Juzgado................................................................................................
Requisitos legales y formales de la inspeccin judicial.............................................................
Artculos pertinentes del Cdigo de Procedimientos Penal de la Nacin (CPPN)..................
Responsabilidad legal del perito informtico forense: posesin, proteccin, anlisis, .
preservacin y devolucin de la prueba.....................................................................................
Legislacin de fondo, el perito como testigo y el falso testimonio...........................................
Legislacin de forma....................................................................................................................
Legislacin complementaria, leyes y proyectos........................................................................
Jurisprudencia..............................................................................................................................

50
51
52
52

CAPTULO 8. ACTIVIDADES PERICIALES COMPLEMENTARIAS.........................................

La aceptacin del cargo...............................................................................................................
El informe pericial informtico forense impreso y virtual........................................................
El prrafo de presentacin...........................................................................................................
El objeto de la pericia y los puntos de pericia (tarea transdisciplinaria).................................
Los elementos ofrecidos (equipos, programas, indicios y rastros)..........................................
Las operaciones realizadas..........................................................................................................
Las conclusiones..........................................................................................................................

61
61
63
64
65
68
70
70

CAPTULO 9. LA IMPUGNACIN..............................................................................................
Revisin legal................................................................................................................................
La relacin del perito con las partes y con los abogados de las mismas.................................
Control, revisin y exigencia de legalidad en las herramientas utilizadas..............................
Revisin cientfica, tecnolgica y tcnica...................................................................................
Revisin lgica..............................................................................................................................
Revisin formal.............................................................................................................................

73
73
74
78
79
80
81

CAPTULO 10. VALOR PROBATORIO DE LA PRUEBA INDICIARIA INFORMTICO

FORENSE......................................................................................................................................
Prueba documental informtica (recaudos procesales)...........................................................
Insercin de la prueba documental informtica.......................................................................
Pertinencia de la prueba documental informtica....................................................................
El acceso y resguardo de la documental informtica................................................................
La certificacin de la documental informtica..........................................................................
Recoleccin estratgica de la documental informtica............................................................
Prueba pericial..............................................................................................................................
En el delito informtica propio e impropio...............................................................................

83
83
84
85
89
89
91
92
92

54
55
57
58
58

CAPTULO 11. UN EJEMPLO DE DELITO INFORMTICO PROPIO (EL PHISHING).......... 93

Herramienta de anlisis del lugar del hecho real....................................................................... 100
Herramienta de anlisis del lugar del hecho virtual.................................................................. 100
CAPITULO 12. GUA PARA EJECUTAR LA RECOLECCIN DE LA DOCUMENTAL
INFORMTICA............................................................................................................................. 101
CAPTULO 13. MARCO TECNOLGICO PERICIAL (la pericia informtico forense
en la prctica)............................................................................................................................... 105
Listas de Control del Equipo del perito informtico forense.................................................... 106
Herramientas de hardware y software del perito informtico forense................................... 109
Elementos de hardware del laboratorio del perito informtico forense................................. 109
Equipo fijo de Laboratorio - Estacin de trabajo..................................................................... 110
Equipo mvil de Laboratorio...................................................................................................... 111
VI

mara elena darahuge - luis enrique arellano gonzlez

NDICE

Componentes de hardware de uso especfico...................................................................... 112

Laboratorios que trabajan para la Justicia y recuperan datos............................................. 112
Equipo para la autenticacin y duplicacin de evidencia del disco rgido........................ 113
Herramientas de software para Informtica Forense................................................................ 113
Conjunto de herramientas integradas en un solo paquete de software de arranque
en modo en vivo (live) disponibles para CD, DVD, Pendrive - Programas de
Software Libre.......................................................................................................................... 113
Conjunto de herramientas integradas en un solo paquete de software - Productos
Comerciales............................................................................................................................. 116
Herramientas individuales e integradas en paquetes de funcin especfica..................... 118
Herramientas de funciones especficas................................................................................ 121
Borrado seguro, limpieza y desinfeccin.............................................................................. 122
Duplicacin de discos............................................................................................................. 122
Duplicacin en forma remota................................................................................................ 123
Manejo de Particiones............................................................................................................ 123
RED.......................................................................................................................................... 123
Recuperacin de archivos eliminados.................................................................................. 123
En Windows............................................................................................................................. 124
Recuperacin de archivos con claves.................................................................................... 124
Recuperacin de archivos de la papelera de reciclaje.......................................................... 124
Telefona, Celulares, PDA, GPS.............................................................................................. 125
Herramientas para la elaboracin del informe pericial....................................................... 125
Clasificacin e identificacin de las pericias informtico forenses.................................... 126
Nomenclatura.................................................................................................................... 126
Ejemplos............................................................................................................................. 126
Etapas del Marco Tecnolgico Pericial.................................................................................. 127
Tarea a realizar en el Laboratorio........................................................................................... 127
I Etapa: Acceso a los recursos dubitados....................................................................... 130
II Etapa: Identificacin y registro................................................................................... 130
III Etapa: Autenticacin, duplicacin y resguardo de la prueba................................. 131
Procedimiento.............................................................................................................. 131
Duplicacin y autenticacin de la prueba................................................................. 132
Procedimiento para el resguardo de la prueba y preparacin para su traslado...... 134
IV Etapa: Deteccin, recoleccin y registro de indicios probatorios.......................... 134
Alternativa I, para el acceso con el equipo encendido.............................................. 135
En sistemas operativos Microsoft Windows......................................................... 144
Certificacin matemtica de los archivos............................................................. 144
Envo de la evidencia a travs de una conexin remota...................................... 144
Ejecucin de un intrprete de comando legtimo................................................ 144
Registro de la fecha y hora...................................................................................... 144
Descarga de la memoria RAM................................................................................ 145
Verificacin de los usuarios conectados al sistema y de los usuarios con
acceso remoto......................................................................................................... 145
Verificacin de las fechas y hora de acceso, creacin o modificacin de
todos los archivos.................................................................................................... 146
Verificacin de los puertos abiertos...................................................................... 147
Verificacin de las aplicaciones asociadas con los puertos abiertos.................. 148
Verificacin de los procesos activos...................................................................... 149
Verificacin de las conexiones actuales y recientes............................................. 150
Revisin de los registros de eventos o sucesos del sistema operativo................ 151
errepar

VII

manual de informtica forense

Verificacin de la base de datos del Registro del sistema operativo................... 152

Examinar los archivos de configuracin del sistema operativo.......................... 155
Verificacin y obtencin de las claves de los usuarios del sistema..................... 155
Verificacin de archivos relevantes....................................................................... 155
Herramientas................................................................................................................ 155
Descarga de los archivos temporales.................................................................... 155
Verificacin de los enlaces a archivos rotos.......................................................... 156
Verificacin de los archivos de navegacin por Internet..................................... 156
Verificacin y descarga de los archivos de correo electrnico............................ 157
Cliente de correo Outlook Express........................................................................ 158
Cliente de correo Microsoft Outlook..................................................................... 158
Cliente de correo Netscape Messenger................................................................. 158
Documentar los comandos utilizados durante la recoleccin de datos o en la
respuesta al incidente............................................................................................. 158
Generacin de un script o secuencia de comandos............................................ 159
Respuesta a incidentes........................................................................................... 159
Alternativa II, con el equipo apagado......................................................................... 161
Procedimiento......................................................................................................... 163
V - Anlisis e interpretacin de los indicios probatorios. Reconstruccin y/o .
simulacin del incidente................................................................................................... 163
Procedimiento para el anlisis e interpretacin de los indicios probatorios.......... 163
Elementos a examinar en el disco duro (Anexo - Lista de control de Anlisis
de discos)...................................................................................................................... 165
Discos rgidos de computadoras porttiles................................................................ 166
Aspectos a considerar de los sistemas de archivos de los sistemas operativos....... 167
Estructura del inodo..................................................................................................... 169
Niveles de almacenamiento en el sistema de archivos............................................. 171
Nivel fsico............................................................................................................... 172
Nivel de clasificacin de la informacin............................................................... 172
Esquema de particiones de BSD............................................................................ 173
Nivel de unidades de asignacin........................................................................... 173
Nivel de gestin del espacio de almacenamiento................................................ 173
Unidades de asignacin (FAT Clusters)................................................................. 174
Gestin del espacio de almacenamiento (Table FAT).......................................... 174
Entradas de directorios........................................................................................... 175
Nivel de clasificacin y almacenamiento del nivel de aplicacin....................... 175
Anlisis de particiones de los discos duros................................................................ 175
Herramientas................................................................................................................ 176
En Windows XP............................................................................................................. 177
En Windows.................................................................................................................. 180
Anlisis de los datos de las unidades de CD-R y CD-RW - DVD y dispositivos
con memoria flash........................................................................................................ 181
Visualizacin de diferentes tipos de archivos............................................................ 182
Bsqueda de texto y palabras claves........................................................................... 183
Anlisis del espacio no utilizado o no asignado........................................................ 183
reas del sistema de archivo que contienen datos borrados o eliminados............. 184
Espacio no asignado.................................................................................................... 184
Eliminacin o borrado de informacin en el disco rgido........................................ 185
Listar los directorios ocultos de la papelera............................................................... 186
Estructura de INFO2.................................................................................................... 187
Eliminacin segura de los datos.................................................................................. 188
Anlisis de datos ocultos.............................................................................................. 189
Tipo: Enmascaramiento............................................................................................... 191
VIII

mara elena darahuge - luis enrique arellano gonzlez

NDICE

Archivos protegidos con claves................................................................................... 193

Tipo: ocultamiento de informacin............................................................................ 194
Herramientas................................................................................................................ 194
Espacio no asignado, desperdiciado y libre............................................................... 195
Tipo: alteracin del entorno........................................................................................ 198
Herramientas................................................................................................................ 198
Cdigo malicioso o Malware....................................................................................... 198
Mtodos de invasin o ataque.................................................................................... 199
Modos de control de la invasin o ataque.................................................................. 199
Modo de distribucin o impregnacin....................................................................... 199
Objetivos del cdigo hostil.......................................................................................... 200
Anlisis del correo electrnico.................................................................................... 203
Caractersticas del encabezado de los mensajes.................................................. 205
Descripcin dle encabezado.................................................................................. 205
Aspectos importantes a considerar en el anlisis del encabezado del mensaje..... 208
Herramientas para el anlisis del encabezado de correo electrnico................ 209
Visualizacin de encabezados en diferentes clientes de correo electrnico........... 209
Verificacin de los archivos de impresin.................................................................. 210
Anlisis de cdigo malicioso....................................................................................... 210
Sitios de programas antivirus con la descripcin de los distintos tipos de
virus.......................................................................................................................... 210
Herramientas de Antivirus..................................................................................... 210
Herramientas de control remoto........................................................................... 211
Herramientas exploradoras de red y de vulnerabilidades................................... 211
Herramientas rastreadoras de la red o sniffers..................................................... 211
Herramientas detector de DDoS (denegacin distribuida de servicio)............. 212
Herramientas bombas lgicas y bombas de tiempo............................................ 212
Herramientas para el Registro de las acciones efectuadas por teclado y/o
mouse....................................................................................................................... 212
Herramientas para eliminacin de huellas........................................................... 212
Procedimiento......................................................................................................... 213
Anlisis de celulares, PDA, GPS............................................................................. 213
VI - Cotejo, correlacin de datos y conclusiones............................................................ 215
Tcnicas posibles a utilizar para el cotejo y correlacin de los datos...................... 215
Procedimiento para el cotejo y correlacin de los datos.......................................... 215
Procedimiento para la elaboracin de conclusiones................................................ 216
Elementos a cotejar y correlacionar........................................................................... 216
Fecha y hora.................................................................................................................. 216
Tablas de enrutamiento............................................................................................... 216
Tabla ARP...................................................................................................................... 217
Tabla de procesos activos............................................................................................ 217
Tipo de sistema operativo............................................................................................ 218
Sistemas de Archivos.................................................................................................... 218
Resguardo de herramientas de hardware y software utilizados en la pericia.......... 218
APNDICE 1: ESTUDIO DE UN CASO REPRESENTATIVO..................................................... 221
APNDICE 2: PROCEDIMIENTO ANTE LA REQUISITORIA PERICIAL................................ 229
APNDICE 3: EL MTODO SISTMICO (RESUMEN)............................................................. 235
Visin sistmica de la investigacin........................................................................................... 236
Entrevista previa o licitacin....................................................................................................... 237
Relevamiento de la informacin................................................................................................. 239
errepar

IX

manual de informtica forense

Seleccin de la metodologa de anlisis..................................................................................... 240

Generacin del modelo conceptual............................................................................................ 240
Generacin de los modelos complementarios.......................................................................... 241
Programacin y codificacin....................................................................................................... 241
Prueba y ejecucin en paralelo................................................................................................... 242
Capacitacin, supervisin y soporte de la aplicacin............................................................... 242
Retroalimentacin........................................................................................................................ 244
Sntesis.......................................................................................................................................... 244
APNDICE 4: INFORMACIN COMPLEMENTARIA............................................................... 247
Requisitoria pericial..................................................................................................................... 247
Ttulo VII - Participacin criminal....................................................................................... 249
Dibujo pericial complementario.............................................................................................. 252
Croquis ilustrativo................................................................................................................. 252
Condiciones esenciales.......................................................................................................... 253
Elementos................................................................................................................................ 253
Dibujos auxiliares.................................................................................................................... 254
Fotografas durante la inspeccin judicial.............................................................................. 259
APNDICE 5: MANUAL DE AUTOPSY..................................................................................... 261
Introduccin................................................................................................................................. 262
Emulador Cygwin......................................................................................................................... 262
Instalacin - Configuracin y Acceso......................................................................................... 262
Instalacin de Cygwin.................................................................................................................. 262
Ejecucin de Cygwin y acceso al intrprete de comandos (shell)............................................ 267
Instalacin de Sleuth Kit.............................................................................................................. 267
Instalacin de Autopsy................................................................................................................. 268
Descripcin General de Autopsy................................................................................................. 269
Ejecucin de Autopsy en Cygwin................................................................................................ 271
Creacin de un caso en Autopsy................................................................................................. 272
Opcin Analize- Analizar............................................................................................................. 275
Opcin Keyword Search Bsqueda de palabras claves.......................................................... 279
Comando grep (filtrar).............................................................................................................. 280
Opcin File Type Tipo de Archivo............................................................................................. 281
Image Details Detalles de la Imagen........................................................................................ 282
Opcin Meta Data - Metadatos................................................................................................... 283
Aclaraciones acerca de NTFS y FAT............................................................................................ 284
Opcin Data Unit Unidad de Datos......................................................................................... 284
Aclaraciones sobre el sistema de archive FAT............................................................................ 286
Timeline Mode Modo Lnea de Tiempo................................................................................... 286
Image Integrity Integridad de la Imagen................................................................................. 289
Event Sequencer - Secuencia de sucesos................................................................................... 289
Hash Database Base de datos de Hash.................................................................................... 289
Usos de las bases de datos - Database Uses............................................................................... 290
Configuracin en Autopsy........................................................................................................... 291
Referencias.................................................................................................................................... 291
Anexo I - Herramientas de Sleuth Kit......................................................................................... 292
Anexo II - Comando: sorter......................................................................................................... 292
APNDICE 6: RELACIONES CON LA PRUEBA INDICIARIA NO INFORMTICA................. 293
Expertos en Balstica................................................................................................................... 293
Armas....................................................................................................................................... 293
Proyectiles................................................................................................................................ 294
X

mara elena darahuge - luis enrique arellano gonzlez

NDICE

Ropas........................................................................................................................................ 295
Huellas plantares (Retrato del paso) y de vehculos................................................................ 295
Huellas dactilares........................................................................................................................ 295
Manchas de sangre..................................................................................................................... 296
Manchas varias (material fecal, meconio, calostro, semen, orina), pelos, fibras
naturales o artificiales................................................................................................................ 296
Documentos................................................................................................................................ 296
Suposiciones a priori.................................................................................................................. 296
APNDICE 7: LA ESTRUCTURA LGICA DEMOSTRATIVA EN LA LABOR PERICIAL........ 297
Demostracin lgica y tecnolgica de las conclusiones alcanzadas....................................... 297
APNDICE 8: LA REDACCIN FINAL....................................................................................... 301
Generacin del informe pericial................................................................................................. 302
Preparacin de la defensa escrita/oral....................................................................................... 303
Reglas para las citas...................................................................................................................... 305
La posredaccin........................................................................................................................... 305
Respecto de la presentacin........................................................................................................ 306
Respecto de la forma de presentacin........................................................................................ 306
Entrega formal del informe pericial............................................................................................ 307
APNDICE 9: LA DEFENSA ORAL.............................................................................................. 309
La defensa ante el tribunal.......................................................................................................... 309
Reglas de argumentacin generales............................................................................................ 315
Reglas para evaluar argumentaciones de los interlocutores.................................................... 316
Reglas para construir nuestras propias argumentaciones........................................................ 317
La defensa ortodoxa..................................................................................................................... 318
Las lagunas pasajeras................................................................................................................... 318
Las metforas................................................................................................................................ 319
Las respuestas estrictas................................................................................................................ 320
Consideraciones prcticas para la argumentacin oral............................................................ 320
APNDICE 10: GLOSARIO COMPLEMENTARIO BSICO...................................................... 321
APNDICE 11: RESUMEN DE LGICA PROPOSICIONAL..................................................... 325
APNDICE 12: LA INSPECCIN JUDICIAL.............................................................................. 329
Generalidades............................................................................................................................... 329
Situaciones posibles en la inspeccin judicial........................................................................... 331
Metodologa de trabajo............................................................................................................. 333
Acta de inspeccin o secuestro................................................................................................... 337
APNDICE 13: MISCELNEAS................................................................................................... 339
Listado de Claves BIOS - CMOS.................................................................................................. 339
Award....................................................................................................................................... 339
Ami........................................................................................................................................... 339
Phoenix.................................................................................................................................... 339
Otras......................................................................................................................................... 339
Varios fabricantes.................................................................................................................... 340
Toshiba..................................................................................................................................... 340
IBM Aptiva BIOS...................................................................................................................... 340
Listado de Puertos utilizados por Troyanos.......................................................................... 340

errepar

XI

manual de informtica forense

APNDICE 14: LA YAPA............................................................................................................... 355

ANEXO 1: DIAGRAMAS CONCEPTUALES................................................................................. 365
Marco cientfico investigativo.................................................................................................... 365
Esquema de investigacin........................................................................................................... 365
ANEXO 2: MODELO DE INFORME PERICIAL.......................................................................... 371
ANEXO 3: MODELOS DE NOTAS................................................................................................ 375
ANEXO 4: FORMULARIOS.......................................................................................................... 381
Lista de control de hardware en la inspeccin y reconocimiento judicial............................ 381
Formulario de registro de evidencia.......................................................................................... 382
Rtulos para las evidencias......................................................................................................... 383
Formulario Recibo de efectos.................................................................................................. 384
Formulario para la Cadena de Custodia................................................................................... 385
Lista de control de respuesta a incidentes................................................................................ 386
Lista de control de anlisis de discos......................................................................................... 387
BIBLIOGRAFA............................................................................................................................ 389
Libros............................................................................................................................................. 389
Jurdica..................................................................................................................................... 389
Informtica Forense............................................................................................................... 389
Sistemas operativos Protocolos y redes Seguridad informtica.................................. 390
Investigacin........................................................................................................................... 391
RFC Request for Comment................................................................................................. 392
Normas.................................................................................................................................... 392
Internet.......................................................................................................................................... 392
Fraudes, delitos informticos y crimen en el ciberespacio............................................... 392
Seguridad informtica........................................................................................................... 392
RFC y estndares.................................................................................................................... 393
Auditora.................................................................................................................................. 393
Cdigos de tica...................................................................................................................... 393
Jurdica..................................................................................................................................... 394
Colegio de abogados............................................................................................................... 394
Criminalstica.......................................................................................................................... 394
Grupos de discusin.............................................................................................................. 395
De inters general................................................................................................................... 395

XII

mara elena darahuge - luis enrique arellano gonzlez