13

Informtica Forense
CAPITULO I
CONCEPTOS GENERALES SOBRE LA INFORMATICA FORENSE
1.1 Introduccin
Actualmente un medio ms para cometer infracciones y eludir a las autoridades es la
tecnologa. Esto ha creado la necesidad de que la Polica Nacional deba
especializarse y capacitarse en nuevas reas en donde las tecnologas de la
informacin y de la comunicacin respondan a favor de la Justicia.
En pases como Estados Unidos, Alemania, Inglaterra, Colombia, Argentina, etc., se
est utilizando la Informtica Forense con el fin de obtener pruebas y lograr
descubrir a los autores de dichas infracciones. Debido a la globalizacin de la
Sociedad de la Informacin, la informtica Forense est adquiriendo una gran
importancia.
El inters de la Polica Nacional del Ecuador es establecer la Informtica forense
para encontrar evidencias de los delitos informticos, crmenes tradicionales y de
esta forma podran ser utilizadas en cualquier proceso judicial como prueba del
ilcito. Se considera formalizar las tcnicas y los procedimientos para darle valor
probatorio a esas evidencias digitales.
En un crimen muchas veces las computadoras porttiles, de escritorio, medios fsicos
de almacenamiento como CDs, DVDs, memorias, telfonos celulares, dispositivos
de almacenamiento masivo, etc., son evidencias por lo tanto se requiere de

14
Informtica Forense
mecanismos para recuperar, interpretar y usarlas para que puedan servir como
pruebas.
La finalidad de este documento es analizar metodologas, tcnicas y proponer
herramientas a la Polica Nacional para que orienten y ayuden a manejar una escena
del delito en donde se vean involucrados sistemas de informacin o redes y la
posterior recuperacin de las evidencias digitales.
1
1.2 Informtica Forense
1.2.1 Definicin
Es la ciencia forense que se encarga de la preservacin, identificacin, extraccin,
interpretacin y presentacin de la informacin o datos que han sido procesados
electrnicamente y guardados en una computadora o sistema informtico, que servir
como evidencia digital.
La ciencia forense es sistemtica y se basa en hechos premeditados para recabar
pruebas que luego sern analizadas.
1.2.2 Objetivo de la Informtica Forense
Recobrar los registros y mensajes de datos existentes dentro de un equipo
informtico, y si es necesario reconstruir los mismos con la finalidad de obtener
informacin digital que pueda servir como prueba en un proceso judicial.

1
LPEZ DELGADO Miguel, Anlisis Forense Digital, Junio del 2007, CRIPORED Op. Cit

15
Informtica Forense
1.3 Computacin Anti Forense
Nadie puede disear un sistema, que alguien ms no pueda comprometer o
vulnerar. Esta frase nos advierte que las mejoras y acciones que se adelanten en las
herramientas forenses siempre estarn expuestas a nuevos desafos y pruebas por la
llamada informtica Anti-Forense. La cual nos permitir nuevos desarrollos y
estrategias para enfrentar la inseguridad de la informacin y los exigentes requisitos
legales, alrededor de la evidencia digital, que se demandan al participar en un
proceso judicial.
La computacin anti forense es un conjunto de mtodos de levantamiento de
evidencias con el objetivo de debilitar los resultados de la computacin forense,
utilizando ciertas herramientas con las cuales se obtiene informacin confiable para
crear insolvencias en la evidencia y el proceso forense.
Afectan los Datos (destruccin, ocultamiento, manipulacin, fabricacin),
herramientas (debilidades, fallas en los resultados), anlisis (inconsistencias).
2
Caractersticas
x Interrumpe el proceso de recoleccin de evidencias
x Incrementa los tiempos necesarios de dedicacin a un caso
x Genera dudas sobre un proceso forense o testimonio
x Afecta la ejecucin y utilizacin de las herramientas forenses
x Evita la deteccin de alguna clase de evento ocurrido
La informtica forense posee aspectos positivos y negativos tales como:

2
DELGADO BELTRN Carlos Anlisis Anti-Forense , Enero 2008 . Idem 3

16
Informtica Forense
Positivos
x Replantean y validan: procesos forenses, herramientas forenses y habilidades.
Negativos
x Pueden exonerar a un culpable.
x Pueden inculpar a un inocente.
x Afectar al proceso forense.
Clasificacin
Figura 1.1 Clasificacin de la Computacin Anti-Forense
A continuacin se detalla las caractersticas y algoritmos que se emplean en la
clasificacin de la computacin anti-forense:
x Prevenir que la evidencia sea encontrada, y en caso de ello, reducir su
utilidad.
x Desmantelar o inutilizar la evidencia dentro de un proceso forense.
x No busca hacer la evidencia inaccesible, busca que esta sea irrecuperable.
x Nivel fsico y lgico.
Fsica: a travs de campos magnticos (Deggauser), Guardian Dog (dispositivo
magntico).
Lgica: cambio de la composicin de los datos, sobrescribir datos (Metada, Data), a
ms de eliminar las referencias de los datos.

17
Informtica Forense
Wipe (Liberar): sobrescribir los datos mediante la utilizacin de algoritmos, a
continuacin se listan los mtodos utilizados para esto algoritmos y su nivel de
seguridad:
Mtodo Nivel de Seguridad
Borrado rpido Bajo
RCMP TSSIT OPS-II Medio
DoD Simple Medio
DoD 5220-22 M Medio
Gutman Alto
PRNG Stream Medio-Alto
Tabla 1.1 Nivel de Seguridad de Mtodos Anti-Forenses
El nivel de complejidad al usar estas herramientas es sencillo, y la recuperacin de
estos datos es casi imposible, una de las posibles soluciones ante este tipo de ciencia
Anti Forense es Anlisis Magntico.
Mtodos anti-forenses
Encriptacin, es uno de los mtodos ms usados para debilitar la computacin
forense.
Se puede dividir en tres tipos la encriptacin:
Simtrica: se realiza por medio de una contrasea que se introduce al momento de
encriptar el archivo negando de esta manera el acceso. Su desventaja es que si existe
alguna necesidad debemos enviar la informacin encriptada a otra persona, le
deberamos enviar la clave de la encriptacin.
Asimtrica: se utiliza una combinacin de llaves pblicas y privadas y de un
Presshared Key utilizado para comenzar el proceso de encriptacin.

18
Informtica Forense
Estenografa: Luego de la encripcin de datos, los mismos se almacenan bajo la
apariencia de otros archivos. Estos archivos contienen los datos ocultos y se los
denominan archivos portadores.
Borrado Seguro: Comnmente usada para eliminar datos almacenados en
dispositivos magnticos. Se realizan mediante aplicaciones como: Wiper, Erase,
PGP, WinHex, etc.
Esconder mensajes: el arte de esconder mensajes, es de tal forma que las personas
no pueden percibir que eso sucede, por ejemplo la tcnica ms usada es en imgenes
y archivos de audio, mediante la adicin de bits insignificativos, esta tcnica es
posible debido a la incapacidad que tienen los seres humanos de percibir variaciones
de sonido y calidad de imagen.
Es importante tener en consideracin, que las tcnicas Anti-Forenses pueden ser de
mucha utilidad para mejorar el proceso forense, debido a que permiten enfrentar y
descubrir las vulnerabilidades a las que la informtica forense est expuesta, y
controlar la destruccin de las evidencias y as evitar la culpabilidad de un criminal o
en el peor de los casos incriminar a un inocente.
1.4 Delitos Informticos
Los delitos informticos, son aquellos actos delictivos que en su realizacin hacen
uso de las tecnologas electrnicas ya sea como mtodo, medio o fin y los delitos en
que se daa estos equipos, redes informticas, o la informacin contenida en ellos,
vulnerando bienes jurdicos protegidos.
3

3
HUILCAPI PEAFIEL Arturo Oswaldo, CETID Opc.Cit

19
Informtica Forense
Los tipos de Delitos son:
Manipulacin de computadoras:
x Manipulacin de datos de entrada
x Manipulacin de programas
x Manipulacin de los datos de salida
x Daos o modificaciones de programas o datos computarizados
Falsificaciones informticas:
x Cuando se alteran datos de los documentos almacenados en forma
computarizada.
x Cuando se usan las computadoras para efectuar falsificaciones de
documentos de uso comercial.
Fraudes en Internet:
x Carding: uso de tarjetas de crdito ajenas o fraudulentas
x Ventas de productos que nunca llegan a entregarse
x Estafas, subastas ficticias
x Phising: redireccin mediante correo electrnico a falsas pginas
simuladas trucadas.
Seguridad Lgica:
x Sabotaje informtico mediante: virus, gusanos, ataques de denegacin de
servicio, sustraccin de datos, hacking, descubrimiento y revelacin de
secretos, suplantacin de personalidades, sustraccin de cuentas de correo
electrnico.
x Delitos de injurias, calumnias y amenazas a travs del e-mail, news, foros,
chats o SMS.

20
Informtica Forense
Propiedad Intelectual:
x Piratera de programas de ordenador, de msica y de productos
cinematogrficos
x Robos de cdigo.
Accesos no autorizados:
x Acceso no autorizado a servicios y sistemas informticos.
x Piratas informticos o hackers.
x Reproduccin no autorizada de programas informticos de proteccin
legal.
Otros delitos:
x A travs de Internet se pueden comprar drogas ilcitas, armas, productos
farmacuticos no regulados, documentos falsos.
x Pornografa infantil (produccin, distribucin y posesin)
1.5 Reglas de la Informtica Forense
A continuacin se presentan reglas generales para aplicar a cualquier proceso en la
informtica forense, su cumplimiento es fundamental para asegurar la aceptacin,
recepcin de cualquier evidencia en un juzgado. Dado que la metodologa que se
emplee ser determinada por el especialista forense, el proceso escogido debe
aplicarse de forma que no se vulneren las reglas bsicas de la informtica forense.
4
Esencialmente, las reglas de la informtica forense son:

4
CASEY, E. Digital Evidence and Computer Crime. Academic Press, 2000. Op.Cit.

21
Informtica Forense
Regla 1: Minimizar el Manejo del Original
La aplicacin del proceso de la informtica forense durante el examen de los datos
originales se deber reducir al mnimo posible. Esto se puede considerarse como la
regla ms importante en la informtica forense. Cualquier anlisis debe dirigirse de
manera tal que minimice la probabilidad de alteracin, esto se logra copiando el
original y examinando luego los datos duplicados.
La duplicacin de evidencia tiene varias ventajas:
x Asegurar que el original no ser alterado en caso de un uso incorrecto o
inapropiado del proceso que se aplique.
x Permitir al examinador aplicar diferentes tcnicas en casos dnde el mejor
resultado no est claro. Si durante tales ensayos los datos se alteran o se
destruyen, simplemente se recurre a otra copia.
x Permite a varios especialistas de informtica forense trabajar en los mismos
datos, o en partes de los datos, al mismo tiempo.
x Asegurar que el original se ha preservado en el mejor estado posible para la
presentacin en un juzgado.
Aunque hay ventajas al duplicar la evidencia, hay tambin desventajas.
x La duplicacin de evidencia debe realizarse de la mejor manera y con
herramientas, que aseguren que el duplicado es una copia perfecta del
original. El fracaso para autenticar el duplicado apropiadamente, producir
un cuestionamiento sobre su integridad, lo que lleva inevitablemente a
preguntar por la exactitud y fiabilidad del proceso del examen y los
resultados logrados.
x Duplicando el original, se est agregando un paso adicional en el proceso
forense, a mas de que la recreacin de este ambiente se torna una tanto difcil,

22
Informtica Forense
esto implica que se requieren ms recursos y tiempo extra para facilitar el
proceso de duplicacin, y la metodologa empleada debe extenderse para
incluir el proceso de la duplicacin.
Regla 2: Documentar los cambios
Cuando ocurren cambios ya sea en la evidencia original o duplicados durante un
examen forense, la naturaleza, magnitud y razn para ellos debe documentarse
apropiadamente, esto se aplica tanto a nivel fsico como lgico. Adicionalmente, el
perito debe ser capaz de identificar correctamente la magnitud de cualquier cambio y
dar una explicacin detallada de por qu era necesario el mismo, este proceso
depende directamente de las habilidades y conocimiento del investigador forense.
Durante el examen forense este punto puede parecer insignificante, pero se vuelve un
problema crtico cuando el examinador est presentando sus resultados en un juicio.
Aunque la evidencia puede ser legtima, las preguntas acerca de las habilidades del
examinador y conocimiento pueden afectar su credibilidad, as como la confiabilidad
del proceso empleado. Con una duda razonable, los resultados del proceso forense,
en el peor de los casos, se consideraran inaceptables. Aunque la necesidad de alterar
los datos ocurre pocas veces, hay casos dnde al examinador se le exige el cambio
para facilitar el proceso del examen forense.
Regla 3: Cumplir con las Reglas de Evidencia
Para la aplicacin o el desarrollo de herramientas y tcnicas forenses se deben tener
en cuenta las normas pertinentes de evidencia.
x Asegurar que el uso de herramientas y tcnicas no disminuye la admisibilidad
del producto final.

23
Informtica Forense
x Presentar la informacin de una manera que sea tan representativa del
original como sea posible. Es decir, el mtodo de presentacin no debe alterar
el significado de la evidencia.
Regla 4: No exceda su conocimiento
El especialista en informtica forense no debe emprender un examen ms all de su
nivel de conocimiento y habilidad. Es esencial que el perito sea consciente del lmite
de su conocimiento y habilidad. Llegado este punto, dispone de las siguientes
opciones:
x Detener cualquier examen y buscar la ayuda de personal ms experimentado.
x Realizar la investigacin necesaria para mejorar su propio conocimiento, para
que le permita continuar el examen y se alcance a obtener lo que se busca.
Es indispensable que el examinador forense puede describir correctamente los
procesos empleados durante un examen y explicar de la mejor manera la
metodologa seguida para ese proceso. El fracaso para explicar competentemente y
con precisin, la aplicacin de un proceso puede producir cuestionamientos sobre el
conocimiento y credibilidad del examinador.
Los anlisis complejos deben ser emprendidos por personal calificado y
experimentado que posea un apropiado nivel de entrenamiento. Adicionalmente,
dado que la tecnologa est avanzando continuamente, es importante que el
examinador reciba entrenamiento continuo.

24
Informtica Forense
1.6 Aspectos Legales
1.6.1 Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes de Datos
(Ley N2002-67)
En abril del 2002 se aprob el texto definitivo de la Ley de Comercio Electrnico,
Mensajes de Datos y Firmas Electrnicas, y en consecuencia las reformas al Cdigo
Penal que hacen referencia a los delitos informticos.
De acuerdo a la Constitucin Poltica de la Repblica del Ecuador, en su Ttulo X,
Captulo 3ro., al hablar del Ministerio Pblico, en su Art. 219 inciso primero seala
que el Ministerio Pblico prevendr en el conocimiento de las causas, dirigir y
promover la investigacin pre-procesal y procesal penal. Esto es en concordancia
con el Art. 33 del Cdigo de Procesamiento Penal que seala que: el ejercicio de la
accin pblica corresponde exclusivamente al fiscal. Es por tanto el Fiscal quien
deber llevar la voz en la investigacin de esta clase de infracciones de tipo
informtico para lo cual contara como seala el Art. 208 del Cdigo de
Procedimiento Penal con su rgano auxiliar la Polica Judicial quien realizar la
investigacin de los delitos de accin pblica y de instancia particular bajo la
direccin y control Ministerio Pblico, en tal virtud cualquier resultado de dichas
investigaciones se incorporan en su tiempo ya sea a la Instruccin Fiscal o a la
Indagacin Previa, esto como parte de los elementos de conviccin que ayudarn
posteriormente al representante del Ministerio Pblico a emitir su dictamen
correspondiente.
5
La Ley de Comercio Electrnico, Mensajes de Datos y Firmas Electrnicas regula
los mensajes de datos, la firma electrnica, los servicios de certificacin, la
contratacin electrnica y telemtica, la prestacin de servicios electrnicos, a travs
de redes de informacin, incluido el comercio electrnico y la proteccin a los
usuarios de estos sistemas. Tambin contempla un Captulo con cinco artculos con
referencia al medio de prueba, que los mensajes de datos, firmas electrnicas,
documentos electrnicos y los certificados electrnicos nacionales o extranjeros,

5
Dr. ACURIO DEL PINO Santiago, Introduccin a la Informtica Forense
Dr. BERNAL Geovanny , Informtica Jurdica, Enero 2008.

25
Informtica Forense
emitidos de conformidad con esta Ley, cualquiera sea su procedencia o generacin,
sern considerados medios de prueba, con una valoracin bajo los principios
determinados en la Ley y tomando en cuenta la seguridad y fiabilidad de los medios
con los cuales se la envi, recibi, verific, almacen o comprob si fuese el caso,
sin perjuicio de que dicha valoracin se efecte con el empleo de otros mtodos que
aconsejen la tcnica y la tecnologa. La valoracin de la prueba se someter al libre
criterio judicial, segn las circunstancias en que hayan sido producidos. El juez o
rbitro competente que conozca el caso deber designar los peritos que considere
necesarios para el anlisis y estudio tcnico y tecnolgico de las pruebas presentadas.
Las Reformas al Cdigo Penal de las Infracciones Informticas incluyen los ataques
que se producen contra el derecho a la intimidad, a la obtencin y utilizacin no
autorizada de informacin, sabotajes informticos, falsificacin electrnica, daos
informticos, apropiacin ilcita.
1.6.2 Ley de Propiedad Intelectual (May-98)
La Ley de Propiedad intelectual vigente en el Ecuador desde Mayo de 1998 se refiere
a las normas que garantiza el derecho de autor, inventor de la obra, invento o
descubrimiento correspondiente. Contempla los programas de ordenador (software).
Cuando se trata de software la proteccin es sobre los derechos de autor no como
invento o descubrimiento. Al ser producto de ingenio humano es considerado como
una obra literaria. El reconocimiento es independiente del objeto en el cual este
incorporada la obra, los derechos de autor se garantiza a pesar de no estar
incorporado en un ordenador e independientemente de su forma de expresin, es
decir sea legible para el hombre o para la mquina. Pueden ser diagramas de flujo,
planos, manuales de uso, programas operativos, aplicativos y todos los elementos
que conforman la estructura, secuencia y organizacin de un programa.
Los artculos 324 325 de la Ley de Propiedad Intelectual ha establecido las
sanciones a aplicarse en caso de violaciones contra estos derechos como la

26
Informtica Forense
publicacin, difusin, reproduccin, deformacin, modificacin, traduccin,
mutilacin, arreglo, adaptacin, etc., no autorizados por el autor.
LEY DELITO QUE SANCIONA ARTCULO
ECUADOR
Ley de Comercio
Electrnico, Firmas
Electrnicas y
Mensajes de Datos
Daos informticos y
sabotaje informtico
415.1-415.2
Cod. Penal
Falsificacin informtica 353.1
Cod. Penal
Apropiacin ilcita 553.1
Cod. Penal
Estafas y otras
defraudaciones
563
Cod. Penal
Infraccin CopyRight de base
de datos
415.1
Cod. Penal
Accesos no autorizados 202.1-202.2
Cod. Penal
Pornografa Infantil 528.7
Cod. Penal
Ley de Propiedad
Intelectual
Propiedad Intelectual 28 al 32
Tabla.1.2 Sanciones para los delitos informticos en el Ecuador
Para luchar contra la Delincuencia Informtica no slo es necesario contar con leyes
e instrumentos eficaces sino tambin con la infraestructura tanto tcnica como con el
recurso humano calificado para hacerle frente a este tipo de delitos cada vez ms
crecientes. En cumplimiento con el mandato constitucional el Ministerio Pblico
tiene la obligacin Jurdica de poseer un cuerpo especializado para combatir esta tipo
de criminalidad a fin de precautelar los derechos de las vctimas y llevar a los
responsables a juicio. Es preciso desarrollarse en las investigaciones tanto policiales
como del Ministerio Pblico especializadas en abordar cuestiones de la delincuencia
informtica e informtica forense.
Actualmente en la Polica Nacional est en proceso de aprobacin la implementacin
de una Unidad Especializada en Investigacin de Delitos Informticos con secciones
de Investigaciones e Inteligencia y de Anlisis Forense.
6

6
Ing. ARIAS MIO Gonzalo Mayor de Polica. Op.Cit