Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Aplicabilidad metodolgica de la
informtica forense en la
obtencin de resultados eficientes
en procesos judiciales argentinos.
Trabajo de Investigacin
07 de Diciembre del 2012
Carrera: Ingeniera en Sistemas
Alumno: Mariano Messina
Correo: Mariano.Messina@gmail.com
Indice
Introduccin ........................................................................................................................................ 4
Antecedentes .................................................................................................................................. 4
La informtica forense. .................................................................................................................... 7
Definicin de informtica forense. ................................................................................................... 8
Seguridad Informtica e Informtica Forense ................................................................................... 9
Relacin entre Hackers y Forenses. ................................................................................................ 10
Informtica forense el Cybercrimen y la ley de los delitos informticos ............................................. 11
Cadena de Custodia. ...................................................................................................................... 11
El Cybercrimen............................................................................................................................... 13
Delitos informticos:...................................................................................................................... 15
Evidencia Digital: ........................................................................................................................... 17
Proceso Forense ................................................................................................................................ 19
Etapas de la informtica forense: ................................................................................................... 19
Identificacin y documentacin de la evidencia: ............................................................................ 20
Adquisicin de Datos ..................................................................................................................... 26
Validacin y Preservacin de la Informacin: ................................................................................. 32
Anlisis y descubrimiento de evidencia .......................................................................................... 34
Confeccin del Informe Final.......................................................................................................... 40
Conclusiones ..................................................................................................................................... 43
Anexo I - Entrevista a Alessio Aguirre - Algunos interrogantes en la situacin actual de la informtica
forense Argentina: ............................................................................................................................. 44
Anexo II Modelo de Informe final .................................................................................................... 46
Referencias ........................................................................................................................................... 53
Mariano Messina
Abstract
El presente trabajo de investigacin procede a estudiar, analizar y exponer en qu
consiste la informtica forense, los conceptos que la definen, cul es su metodologa y
tambin, cuales son las mejores prcticas que permiten llevar a cabo una investigacin
forense digital de forma tal que sea posible la identificacin de los diferentes riesgos que
constituyen una amenaza a la validez de la evidencia que debe ser presentada ante un
tribunal de justicia.
Adems, se procede a abordar la metodologa de forma tal que el lector pueda conocer
diferentes controles preventivos que utilizan los peritos experimentados en los procesos,
los cuales evitan acciones que podran permitir que los distintos elementos probatorios,
involucrados en un proceso judicial, sean desestimados por alguna de las partes
intervinientes.
El objetivo principal del presente trabajo consiste en demostrar y concientizar que el
cumplimiento de la aplicacin metodolgica, de los estndares y de las mejores prcticas
de procesos forenses mitiga el riesgo de guiar a una investigacin hacia su invalidacin.
Mariano Messina
Introduccin
Antecedentes
Mariano Messina
Mariano Messina
Mariano Messina
Stuart, Keith: PlayStation 3 hack how it happened and what it means, 07 de Enero 2011,
http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3
10
La Nacin: Detienen en Salta a un hombre buscado por el FBI acusado de pedofilia, 29 de Agosto 2012,
http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbi-acusado-de-pedofilia
Mariano Messina
Un dato curioso es que de acuerdo con las cifras publicadas por el EC-Council11, alrededor del
85 porciento de las grandes empresas y del gobierno han detectado y reportado brechas de
seguridad.12
Tradicionalmente se conoce a un forense como aquella figura encargada de recolectar
informacin relevante a una investigacin de cualquier ndole, encontrndose ubicado en un
escenario en dnde se haya planteado un interrogante que debiera ser esclarecido. Un forense
informtico entonces, debe cumplir el mismo rol que un forense tradicional cundo el mbito
de una investigacin incluya medios digitales o elementos informticos cmo medio
contenedor de informacin.
Ec-Council: http://www.eccouncil.org/
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
13
Mariano Messina
Mariano Messina
10
adems tenga como resultado un acceso no autorizado, o la violacin de alguna ley, se hace
presente el concepto de Cracker, distinguindolo efusivamente al trmino Hacker.16
Creo entonces que, al considerar a un forense informtico como a una persona que se
encarga de realizar un proceso metdico, en dnde debe utilizar sus elevados conocimientos
tcnicos con el fin de poder dar respuesta ante un incidente provocado por un Cracker, no
existe una diferenciacin entre un Hacker y un Forense informtico sino que por el contrario,
creo que ambos comparten la misma esencia, la curiosidad.
Cadena de Custodia.
16
Mariano Messina
11
18
Mariano Messina
12
4. Traspaso de la misma, ya sea a los laboratorios para su anlisis, o a las diferentes fiscalas
para su custodia.
5. Custodia y preservacin final hasta que se realice el debate.
El Cybercrimen
22
Mariano Messina
13
23
Littlejohn Shinder, D.: Scene of the Cybercrime Computer Forensics Handbook, 2002.
InfoLeg: Informacin Legislativa: Ley Delitos Informticos:
http://www.infoleg.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm, sancionada el 24 de Junio
2008.
25
InfoLeg: Rgimen legal de la propiedad intelectual: http://www.infoleg.gov.ar/infolegInternet/anexos/4000044999/42755/texact.htm.
24
Mariano Messina
14
Delitos informticos:
Una primera idea respecto al delito informtico la seala Tllez Valds, quien lo conceptualiza
desde dos pticas. Nos dice que desde un punto de vista atpico son actitudes ilcitas en que
se tiene al computador como instrumento o fin, y desde uno tpico son conductas tpicas,
antijurdicas y culpables en que se tiene a las computadoras como medio o fin.26
La ley 26.388 de delitos informticos argentina tipifica27 cuales son las conductas ilcitas en las
cuales se utiliza algn elemento informtico para causar una accin que requiera una sancin.
Establece adems la pena que debe cumplir la persona tras desarrollar tales acciones.
La falta de tipificacin penal de muchas conductas delictivas an hoy en da produce que las
mismas queden impunes y no puedan ser sancionadas penalmente. Actualmente las ms
discutidas son: el grooming, phishing y la suplantacin de la identidad.
26
27
Mariano Messina
15
Si bien es verdad que se encuentran tipificados muchos de los delitos informticos en nuestra
legislacin y que el campo de accin se podra pensar que se encuentra circunscripto a la
informtica, la prctica forense se debe extender y considerar como un proceso mandatario
cuando se produce algn otro delito con el fin de lograr un entendimiento de los hechos que
Mariano Messina
16
Evidencia Digital:
Existen varias diferencias entre la evidencia digital y la fsica. Una particularidad es que la
evidencia digital es sumamente frgil: la informacin digital se puede crear, alterar, copiar y
borrar muy fcilmente. Otra particularidad es que la duplicacin de la informacin digital no
establece per se forma alguna de poder identificar qu datos son originales y cules son
resultantes de haber realizado un proceso de copiado de informacin, por lo tanto, y como
28
Mariano Messina
17
veremos ms adelante en el desarrollo del presente trabajo, la informtica forense debe contar
con un proceso metodolgico lo suficientemente slido como para evitar cometer errores que
afecten a la evidencia y a su integridad. 29
Otras consideraciones a tener en cuenta de la evidencia digital son:
Es voltil
Es annima
Duplicable
Alterable y modificable
Eliminable
Es bueno para los peritos ya que analizan la copia con el fin de encontrar evidencia.
Es malo para los Juristas ya que el concepto de original carece de sentido.
Bolvar Pinzn Olmedo, F.: Tesis: Identificacin de vulnerabilidades, anlisis forense y atencin de incidentes,
Abril 2007, http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip
30
Marcella, A. J., & Greenfield, R. S: Cyber Forensics: A Field Manual for Collecting, Examining, and Preserving
Evidence of Computer Crimes, 2002.
Mariano Messina
18
establece la importancia de no slo recolectar informacin digital, sino que, el perito debe
observar el ambiente en su totalidad, realizando una bsqueda de hojas con contraseas,
anotaciones escritas a puo y letra, manuales de herramientas o dispositivos informticos
(entre otros), y que las mismas deben ser documentadas teniendo en cuenta los mismos
lineamientos que la evidencia digital.31
Proceso Forense
Etapas de la informtica forense:
Anteriormente se ha hecho mencin que el proceso forense consta de diversas etapas para
lograr su objetivo, ellas comprenden: la Identificacin de la evidencia, adquisicin de datos,
validacin y preservacin de la informacin adquirida, anlisis y descubrimiento de la evidencia
y como ltima etapa, se encuentra la confeccin del informe que debe ser presentado a las
autoridades correspondientes.
Se debe destacar que resulta de gran importancia realizar la documentacin de todas las
acciones, hechos o evidencias que se hayan sido recolectadas y/o realizadas a lo largo del
proceso forense. Adems, es tambin es de gran importancia mantener una adecuada cadena
de custodia durante todas las etapas de la investigacin.32
31
National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,
http://nij.gov/nij/pubs-sum/219941.htm
32
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
19
33
Acurio del Pino, Santiago: Manual de Manejo de Evidencias Digitales y Entornos Informticos v 2.0, 7 de Julio
2009, http://www.oas.org/juridico/english/cyb_pan_manual.pdf
Mariano Messina
20
como por ejemplo, tarjetas de crdito, informes, impresoras, scanners, etc, sin embargo, en
casos como la pornografa infantil, se debe establecer nfasis en otros objetos, cmo por
ejemplo, en las cmaras digitales.34 Tambin es necesario, antes de comenzar con el proceso de
adquisicin de datos, tener en cuenta cul va a ser la informacin que se debe recolectar, ya
que si se decide copiar la totalidad de los datos cuando en realidad slo se necesita una porcin
del conjunto, se podra incurrir en una prdida innecesaria de tiempo, adems de aumentar el
riesgo a contaminar la evidencia.35
Los diferentes elementos que van a ser analizados, y que son material probatorio en un
proceso judicial, deben encontrarse claramente identificados con el fin de evitar la prdida de
la informacin. Poder identificar los diferentes elementos mitiga el riesgo de evitar confundir
los elementos que son copia de lo que es evidencia original as como tambin permite llevar un
registro de la ubicacin de cada uno de ellos. Es posible evitar este tipo de inconvenientes
mediante la realizacin de un proceso que asegure que todos los dispositivos se encuentren
correctamente etiquetados y que todos incluyan firmas para lograr identificar cules son los
diferentes elementos que componen el caso.36
Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD,
incluya tambin en el etiquetado la fecha y hora de creacin de la copia, nombre cada copia,
por ejemplo COPIA A, COPIA B para distinguirlas claramente del original. Traslade estos
datos a otra etiqueta y pguela en la caja contenedora del soporte, incluso sera conveniente
precintar el original para evitar su manipulacin inadecuada. (Delgado L., 2007)
34
Justice, U. D.: Forensic Examination of Digital Evidence: A Guide for Law Enforcement, Abril 2004,
http://nij.gov/nij/pubs-sum/199408.htm
35
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
36
Campos, Federico: La Relevancia De La Custodia De La Evidencia En La
Investigacin Judicial, 31 de Agosto 2010, http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
Mariano Messina
21
prctico utilizar cintas adhesivas de diferentes colores con el fin de reconocer fcilmente
diversos dispositivos y cables conectores durante todo el proceso.
Como consecuencia de largas jornadas de trabajo, con muchas personas merodeando la
escena, existe la posibilidad de que de forma accidental se desconecte algn conector
provocando la prdida de muchas horas de trabajo o, en el peor de los casos, que ocurra la
alteracin de la informacin almacenada en un contenedor digital. Durante el curso, han
demostrado cun relevante es forrar de manera completa los diversos conectores de los
dispositivos que van a ser analizados en el proceso forense, logrando mitigar el riesgo de
desconexiones accidentales.
Mariano Messina
22
37
The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital
Evidence for Courtroom Presentation, 12 de Diciembre 2003,
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf
Mariano Messina
23
Una vez que se ha tenido en cuenta los diferentes recaudos para evitar la desconexin de
algn medio que contenga evidencia segn corresponda, se debe realizar una preparacin del
ambiente de trabajo, mediante la creacin de una estructura de directorios en medios de
almacenamiento separados, en dnde se pueda extraer o recuperar archivos o informacin que
requieran ser analizadas y que resulte relevantes al caso.38
38
U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
Mariano Messina
24
Mariano Messina
25
Adquisicin de Datos
Luego de establecer los lmites de la adquisicin y de tener en claro cul debe ser el objetivo
de la investigacin forense, se procede a la segunda etapa del proceso, la cul se denomina
Adquisicin de datos. En esta etapa se realizan diferentes procedimientos que permiten copiar
de forma especial el contenido de la informacin almacenada en el sistema que se encuentra
en observacin hacia un medio dnde se pueda realizar un anlisis y manipulacin del
contenido del mismo. Una vez realizada la copia, se aplican algoritmos criptogrficos (Hash)
para determinar si la informacin copiada es un reflejo exacto de la original. Luego del clculo,
se debe trabajar sobre la informacin duplicada dejando intacto el contenedor original,
resguardndolo en un lugar controlado y seguro para evitar estropear la evidencia, actualizando
toda actividad en la cadena de custodia.
Si bien las situaciones que involucran componentes informticos podran resultar diferentes
segn la investigacin que se deba realizar, se debe tener ciertos recaudos para lograr proteger
la integridad de la informacin a recolectar. Si el perito forense se encuentra frente a un
escenario dnde el medio a analizar se encuentra encendido, resulta una buena prctica
documentar las acciones realizadas teniendo en consideracin lineamientos tales como:39
Documentar si originalmente el sistema se encontraba encendido o apagado.
Si se encontraba encendido, documentar o tomar fotografas de la informacin que se
encontraba visible en la pantalla, considerando que podran existir mltiples monitores
conectados a la misma computadora.
Documentar si se guard algn archivo.
Determinar el sistema operativo, si es posible.
Si se encuentra encendido, considerar recolectar informacin voltil.
Determinar el mtodo de apagado teniendo en cuenta si se va a realizar siguiendo el
mecanismo de apagado seguro provisto por el sistema operativo o desconectando el
cable de alimentacin, segn corresponda.
Documentar quin realiz el apague que sistema, el horario, el da y qu mtodo de
apague fue utilizado.
39
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
26
Figura 4: Tabla de sistemas operativos que pueden ser desconectados o que requieren un apagado seguro.
Hay que tener en cuenta que se producen diferentes eventos en la secuencia de arranque
(booting) de muchos dispositivos (como por ejemplo: en una computadora, o en un telfono
celular) y que los mismos podran producir diferentes tipos de modificaciones en cuanto a
fechas y tambin en cuanto al contenido de por lo menos algunos archivos del sistema;
tambin, las diferentes etapas de los procesos de arranque pueden producir una variacin en la
Mariano Messina
27
cantidad total de los archivos que conforman al sistema, aunque del mismo modo se pueden
originar otras consecuencias dependiendo del medio en observacin. Los mismos resultados se
pueden observar cuando se realiza la apertura de un archivo, aunque su nico propsito no sea
otro que el de slo su propia lectura o impresin.
Debido a estas particulares caractersticas de cmo se realizan modificaciones en los sistemas
por el mero hecho de ser inicializados y teniendo en cuenta el factor humano, que de forma
inadvertida podra realizar modificaciones a los datos almacenados, en esta etapa se debe
prestar especial cuidado de no realizar el proceso de arranque (booting) de los diferentes
dispositivos informticos involucrados en el anlisis de forma convencional, sino que se deben
implementar tcnicas de acceso a los volmenes que slo operen en modo de slo lectura.
Estas tcnicas o acciones deben asegurar que ni siquiera un byte de informacin sufra
alteraciones (Data Spoliation) desde el momento en que comienza la intervencin forense y
adems, deben lograr mantener la integridad de la informacin almacenada durante todo el
proceso de anlisis forense.40
Es posible bloquear la escritura en diferentes medios de almacenamiento a nivel de Software,
sin embargo, debido a la posibilidad de que se produzca una falla, es recomendable el bloqueo
de escritura a nivel de Hardware mediante por ejemplo, la utilizacin de dispositivos
bloqueadores de escritura Tableau. Si bien a nivel de Software se pueden realizar ciertas
modificaciones al Registro de Windows que podran permitir impedir la alteracin de la
informacin en los dispositivos USB y si bien existen sistemas operativos (como por ejemplo,
Linux) que permiten montar de cierta forma los volmenes que aseguren que la informacin
solamente pueda ser accedida como slo lectura, estas tcnicas, a nivel Software, se les deben
realizar una validacin continua teniendo en consideracin la metodologa a aplicar, el caso
particular, y deben demostrar ante un tribunal que las evidencias recabadas a lo largo del
proceso son copias fieles a la original que no han resultado contaminadas durante el proceso de
recoleccin.
Por ejemplo, en sistemas operativos Microsoft Windows XP SP2 o superior, se puede bloquear
la escritura en dispositivos USB mediante la creacin de la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\System\CurrentControlset\Control\StorageDevicePolicies
40
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
28
Existe otra consideracin a tener en cuenta cuando se debe realizar una adquisicin de
informacin de un dispositivo. Si se encuentra en un escenario dnde se debe reutilizar un
medio de almacenamiento que anteriormente fue empleado como parte de un proceso
forense, se debe aplicar con especial cuidado una metodologa slida con el fin de esterilizar los
contenedores que van a almacenar la informacin duplicada, si es que la copia forense no se va
a realizar bit a bit. La omisin de la esterilizacin del medio puede provocar que exista una
contaminacin de la evidencia y podra provocar que la misma sea descalificada por alguna de
las partes intervinientes.
Existe Hardware forense y herramientas de duplicacin de datos que esterilizan la informacin
en conjunto a la adquisicin de datos. Dichos equipos o herramientas generan Hashes de los
datos almacenados y luego escriben ceros (u algn otro carcter aleatorio) en el espacio
sobrante de los medios duplicados. Al final del proceso, comparan ambos Hashes para
determinar si se ha realizado una copia fiel a la original, logrando que su proceso mitigue el
riesgo de tener que dar explicaciones al Jurado por la contaminacin de la evidencia.42
41
42
Mariano Messina
29
Durante esta etapa se realiza la extraccin de informacin del disco a nivel fsico sin
considerar los archivos de sistema que se encuentren presentes. Las acciones que se podran
llevar a cabo son: la bsqueda de palabras claves, bsqueda de archivos y la extraccin de la
tabla de particiones y de espacio del disco fsico no utilizado.
30
activos, archivos que fueron eliminados, file slack (es el espacio de almacenamiento de datos
que existe desde el final de un archivo hasta el final del ltimo cluster que tiene asignado, en
otras palabras, el slack es considerado a la diferencia que existe cuando el tamao fsico de un
medio de almacenamiento supera a su tamao lgico)43 y el espacio en disco que an no ha
sido asignado.
Los pasos podran incluir:
Extraccin de informacin de archivos de sistemas que revelen caractersticas tales
como: la estructura de directorios, atributos de los archivos, nombre de archivos, fechas
y horas, tamao de archivos y ubicacin de los mismos.
La reduccin de datos podra permitir identificar y eliminar archivos conocidos mediante
la comparacin de Hashes de archivos pre calculados en relacin a los Hashes calculados
de los archivos presentes en el disco.
Extraccin de archivos pertinentes a la investigacin. Los mtodos que se utiliza para el
cumplimiento de esta tarea podran ser basados en la bsqueda de los nombres de
archivos y extensiones, revisin de los encabezados, el contenido del archivo y la
ubicacin de los mismos en el medio contenedor.
Recuperacin de archivos que fueron borrados.
Extraccin de archivos protegidos con contrasea, cifrados y con informacin
comprimida.
Extraccin del file slack.
Extraccin del espacio no asignado.
Analizar las llamadas que hayan sido aceptadas, perdidas y/o rechazadas.
Revisar los correos electrnicos almacenados en el dispositivo.
Revisar los mensajes almacenados en el dispositivo (Mensajes de Voz, MMS, SMS, etc)
Revisar el cach del dispositivo mvil.
Revisar las citas, notas y el calendario del dispositivo en bsqueda de eventos o de
informacin relevante a la investigacin.
43
Mariano Messina
31
En la entrevista, Alessio comenta que puede notar una gran diferencia entre el sector pblico
y el privado en esta etapa en particular. Declara que resulta muy complicado para el sector
pblico realizar la gestin de recursos para desarrollar la coleccin de datos, mientras que para
el privado, existen menos procesos burocrticos que evitan la demora en el comienzo de la
etapa.
45
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007
Mariano Messina
32
Funciones Hash:
Las funciones Hash utilizan algoritmos criptogrficos para crear un mensaje de los datos a los
cuales fueron aplicados. Los Hashes representan grandes volmenes de informacin en una
relativamente pequea porcin de datos y debido a que su utilizacin no altera la informacin
analizada, sino que la representan de una forma ms pequea, se las utilizan en la informtica
forense para comparar la informacin original con aquella resultante de haber aplicado un
proceso de duplicacin. Cuando los Hashes coinciden, significa que tanto la informacin
original, como su copia, son las mismas y no han sufrido alteraciones durante la manipulacin
y/o anlisis.46
A pesar de que se han encontrado mltiples fallas de seguridad en los Hashes tradicionales
MD5, CRC y SHA1, y hasta existen mtodos tericos prcticos de cmo vulnerarlos (en la
actualidad se encuentran disponibles en la web mltiples sitios que aducen realizar dicho
proceso de forma fcil y rpida), an se siguen utilizando como mtodo de control vlido en las
prcticas forenses, encontrndolos aceptados en los diferentes tribunales como mtodos de
validacin de la evidencia. 47 La razn por la cual an son vlidos dichos elementos es que al
utilizar la funcin hash como mtodo de reduccin de informacin a fines de lograr un control
efectivo, resultara imprctico poder modificar una porcin de un dato especfico de la
evidencia y aun as lograr generar el mismo hash de la evidencia original.48
Una vez que la informacin ha sido cotejada, se debe proceder a incluir la firma Hash en cada
uno de los medios alcanzados mediante un proceso de etiquetado. Este procedimiento habilita
a que la evidencia resultante de haber realizado un proceso de copiado, puedan ser a su vez
duplicados para establecer copias de seguridad que permitan a los auditores realizar la
bsqueda de elementos probatorios.
46
EC Council: Computer Forensics Investigating Network intrusions & Cyber Crime, 2010.
Athow, Desire: MD5 Algorithm Cracked Using Gaming Consoles, 05 de Enero 2009,
http://www.itproportal.com/2009/01/05/md5-algorithm-cracked-using-gaming-consoles/
48
Informtica Pericial: Consulta sobre colisiones MD5,
http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:consulta-sobrecolisiones-md5&catid=43:guias-para-peritos&Itemid=64
47
Mariano Messina
33
A continuacin se listan algunas precauciones que se deben tener en cuenta cuando se debe
preservar la evidencia:49
Mantener la evidencia en un lugar seguro.
Empaquetar la evidencia en un envoltorio sellado para restringir el acceso fsico.
Mantener la evidencia fuera de temperaturas extremas y de altas humedades.
Mantener la evidencia alejada de medios magnticos.
Mantener la evidencia alejada de ambientes con polvo o energa esttica.
Mantener la evidencia alejada de ambientes con excesivas vibraciones.
Mantener la evidencia con las etiquetas correspondientes.
No se debe doblar, plegar o rayar los diversos medios informticos, como por ejemplo,
los dvds.
Mantener siempre una cadena de custodia apropiada.
Mariano Messina
34
Durante una charla de informtica forense en la 8va edicin de Eko Party51 realizada en
Argentina, el ingeniero Gustavo Presman ha hecho mencin sobre la importancia de utilizar
herramientas que posibiliten el descubrimiento de la contrasea administrador del equipo
relevante a la investigacin, siempre teniendo recaudos de no realizar la contaminacin del
medio. Tambin ha manifestado que dicha importancia se debe a que podra existir la
implementacin de mecanismos de autenticacin Single Sign-on (SSO)52 que permitan el
acceso a sistemas internos. Los cuales a su vez podran contener informacin relacionada a la
investigacin en proceso.
En un intercambio de correos electrnicos con el profesor Luis Enrique Arellano Gonzlez,
dnde se ha tenido el agrado de debatir el proceso adivinatorio de contraseas, ha logrado
ampliar lo citado por Pressman:
La adquisicin de datos especficamente reservados por su propietario (hecho que se hace
evidente, simplemente porque utiliz una clave para protegerla), utilizando herramientas
invasivas (dejen o no trazas en la evidencia recolectada) es una potestad que slo puede
ordenar el Juez en uso de sus atribuciones de Magistrado. De ah que antes de hacer una cosa
por el estilo, se debe pedir autorizacin a S. Sa.. Este pedido por otra parte debe ser fundado y
preservando el resto de la informacin privada del propietario de los datos, en caso contrario
(siempre que el operador del derecho de turno y/o su consultor tcnico, se den cuenta) esa
prueba y toda la cadena probatoria subsiguiente es nula. (Arellano G., 2012)
Debido a que la persona que ha originado el incidente pudo haber considerado la eliminacin
de informacin que lo comprometa, o realizar alguna accin no convencional para lograr
ocultarla, se debe realizar un anlisis de los contenedores de informacin desde diferentes
niveles. Por ello, el departamento de Justicia de los Estados Unidos presenta algunas
consideraciones que pueden ser utilizados como lineamientos para realizar el anlisis de la
informacin adquirida.53 Las mismas comprenden:
51
Eko Party Security Conference 8va edicin: 19,20 y 21 de Septiembre 2012, http://www.ekoparty.org/.
The Open Group: Single Sign-On, http://www.opengroup.org/security/sso/
53
U.S. Department of Justice: Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
52
Mariano Messina
35
El anlisis del perodo de tiempo es til para determinar cuando ocurrieron los eventos sobre
un sistema informtico, con el fin de identificar y asociar quin ha utilizado el recurso en el
tiempo que han ocurrido los sucesos. Existen dos mtodos que se utilizan:
- Revisar la fecha y hora almacenada en la metadata54 del sistema (por ejemplo, la ltima
modificacin, la ltima vez que se accedi al archivo o el cambio de estado). El resultado que se
busca es establecer una relacin entre los archivos de inters y los tiempos relevantes a la
investigacin.
- Revisar los registros de eventos del sistema y de los aplicativos. Los registros que podran ser
analizados comprenden, eventos de error, instalacin, de conexin, eventos de seguridad, etc..
Por ejemplo, el anlisis del registro de eventos de seguridad podra indicar cuando se utiliz un
usuario y una contrasea para autenticarse a un sistema.
54
National Institute of Justice: Digital Evidence Analysis: Metadata Analysis and Extraction, 05 Noviembre 2010,
http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm
Mariano Messina
36
-Revisin del contenido de archivos (por ejemplo, una fotografa) en bsqueda de informacin
oculta. Este proceso de anlisis es conocido como estenografa.
-Revisin de host-protected area (HPA). El HPA es una seccin del disco duro que se encuentra
oculta del sistema operativo y de los usuarios pero que es utilizada por los proveedores de
discos duros para ocultar un sistema de mantenimiento y recuperacin. Sin embargo, esta
seccin puede ser alterable y utilizable para ocultar informacin.55
Realizar un anlisis de las aplicaciones y de los archivos que contemplan al sistema podra
brindar al forense informacin relevante a la investigacin y adems, podra permitirle lograr
una comprensin de la capacidad de los mismos. Algunos ejemplos incluyen:
- Revisin de los nombres de los archivos y establecimiento de patrones.
- Revisin del contenido de los archivos.
- Identificacin de la cantidad y tipo de sistemas operativos.
- Correlacin de archivos de aplicaciones.
- Revisin de relaciones entre archivos. Por ejemplo: relacionar archivos del historial del
navegador con archivos de correos o de cach.
- Identificacin de archivos desconocidos.
- Revisin de la configuracin de los usuarios.
- Revisin de las carpetas de los usuarios creadas por defecto.
- Revisin de metadata y de los archivos creados por los usuarios: generalmente se buscan
datos como: fechas de creacin, fecha de ltima modificacin, el autor del fichero y la ubicacin
de los mismos.
55
Mariano Messina
37
Durante la charla de Gustavo Pressman en la Eko Party tambin se ha hecho mencin que
podran existir volmenes TryeCrypt (software utilizado para el cifrado de informacin)
ubicados en el sistema que se encuentra siendo investigado, que podran contener informacin
relevante al caso. Adems, ha afirmado la dificultad en la que se encuentran los forenses para
reconocer dichos volmenes debido a que los mismos no poseen una extensin que los
identifique dentro del sistema operativo.
Hasta el momento, la nica caracterstica que podra guiar a un perito hacia la identificacin
de volmenes cifrados TrueCrypt almacenados en los medios, es considerar el tamao de los
diferentes archivos con extensiones desconocidas o ausentes y asumir que se trata de ficheros
TrueCrypt.
Otra dificultad que se presenta, por cmo se encuentran cifrados y construidos los volmenes,
es la de poder determinar si dentro de un contenedor TrueCrypt se encuentra almacenado otro
volumen cifrado.56
Hasta el momento se desconoce la existencia de herramientas que puedan identificar
volmenes dentro de volmenes TrueCrypt.
Posesin y propiedad:
Se debe analizar e identificar cuales son los usuarios que han creado, modificado o accedido a
archivos en el sistema debido a que puede resultar relevante en la investigacin. Tambin
podra ser relevante identificar el conocimiento y la posesin de dichos archivos teniendo en
cuenta los siguientes lineamientos:
- Analizar el nombre asignado a la computadora puede indicar fecha y hora de intervalos de
posesin o propiedad del sistema. (Ver Anlisis de intervalos de tiempo).
- Los archivos de inters pueden estar ubicados en carpetas que no son creadas por defecto
por el sistema operativo. (Ver anlisis de aplicaciones y de archivos).
56
Mariano Messina
38
-Los nombres de archivos podran indicar el contenido del archivo. (Ver anlisis de
aplicaciones y de archivos).
- Informacin oculta en el sistema podra dar indicios de alguna persona que evita ser
detectado. (Anlisis de datos ocultos)
- Cuando un archivo se encuentra protegido con contrasea y la misma ha podido ser
recuperada, podra indicar posesin o propiedad del archivo. (Ver posesin y propiedad)
- El contenido de un archivo podra indicar posesin o propiedad por contener informacin
especfica de un usuario. (Anlisis de aplicacin y de archivos)
Figura 2: Resumen del Proceso forense obtenido del grupo de informtica forense:
http://espanol.groups.yahoo.com/group/informatica-forense/
Mariano Messina
39
La quinta etapa representa uno de los aspectos ms cruciales en una investigacin forense y
corresponde la produccin de un informe que detalle el proceso que se ha desarrollado. El
documento debe ser escrito para comunicar el resultado del anlisis digital forense y deber
exponer una teora entendible de la investigacin de forma tal que, la persona encargada de
realizar un juicio sobre la misma cuente con la informacin necesaria de forma clara y concisa.57
La produccin de informes lgicos y bien estructurados aumenta la probabilidad de convencer
a un jurado de que se posee un entendimiento avanzado de lo que se est haciendo y de que la
evidencia presentada ante el tribunal, es vlida.
El propsito del informe es exponer hechos y la evidencia que ha sido identificada y, aunque
exista evidencia que se considere que no resulta de apoyo a la investigacin, debe ser
mencionada de todas formas en el informe final. En el reporte adems, debe constar cul es el
objetivo principal de la investigacin que se ha realizado.
La confeccin del reporte debe ser escrito de forma lgica y ordenada, de manera tal que
pueda exponer cul es el interrogante que debe ser esclarecido, presentar los resultados de la
investigacin y adems, declare conclusiones y recomendaciones. Para lograr una estructura
lgica y centrarse en la narracin del proceso, se puede proceder a la utilizacin de apndices
que puedan incluir calendarios, tablas u otra informacin relevante.
Si el informe debe ser presentado a un pblico variado, se debera considerar la creacin de
un glosario que abarque la definicin de los conceptos tcnicos. El glosario sirve como
herramienta de apoyo a quin lo debe leer con el objetivo de subsanar dudas tcnicas.
Un buen informe debe responder a: quin, qu, cuando, dnde y por qu. Adems, debe
documentar qu acciones fueron realizadas durante el proceso y el porqu de las mismas. 58
Durante la entrevista con Alessio, comenta que en varias oportunidades, cuando participaba
en casos judiciales, deba prestar especial cuidado de evitar declarar conclusiones acerca de los
hechos sino que lo que en realidad deba hacer es centrarse en narrar los mismos mediante la
57
The National Center for Forensics Science: Digital Evidence in the Courtroom: A Guide for Preparing Digital
Evidence for Courtroom Presentation, 12 de Diciembre 2003,
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in_courtroom.pdf
58
Kleiman, Dave: The Official CHFI Exam 312-49 Study Guide for Computer Hacker Forensics Investigators, 2007.
Mariano Messina
40
eleccin cautelosa de las palabras que iban a ser plasmadas en el informe final. El perito declara
que durante un juicio, se ha hecho mencin que un sonido provena de un hall de un hotel, a lo
que l siempre se ha preguntado cuales son las caractersticas acsticas que diferencian un hall
hotel, de una cancha de squash.
En el anexo II del presente documento se puede observar un modelo de informe final utilizado
por peritos argentinos. El material fue obtenido de un foro dnde diversos expertos en materia
forense comparten sus conocimientos, herramientas, dudas y diferentes modelos de informes,
al que se ha tenido el agrado de ser invitado a participar como miembro.
Una vez finalizadas todas las etapas de la investigacin forense digital y, una vez concluido y
presentado el informe a las autoridades pertinentes se debera resguardar toda informacin en
59
Visualizing: http://www.visualizing.org/about
ACM Queue: A Tour through the Visualization Zoo, 01 de Mayo 2010,
http://queue.acm.org/detail.cfm?id=1805128
60
Mariano Messina
41
un lugar seguro por si en algn momento futuro se decide volver a indagar en los elementos
intervinientes. 61
Se ha procedido a realizar una consulta en el foro de informtica forense solicitando
asesoramiento sobre las mejores prcticas de cmo almacenar los datos de forma tal que no se
perjudique con el transcurso del tiempo. En respuesta a mi pregunta, un perito forense de la
Polica Judicial de la ciudad de Crdoba comenta que ellos, por cuestiones de costos, realizan el
resguardo mediante la utilizacin de medios pticos, por duplicado. Adems, informa que lo
realizan mediante la utilizacin de envoltorios que permiten el sellado al vaco, teniendo en
consideracin el medio ambiente y evitando el roce entre los discos. El referente tambin
informa que dicho procedimiento le ha salvado decenas de veces, reflotando causas desde el
ao 2006.
Debatiendo dicha situacin con diversos peritos se ha logrado encontrar diversas opiniones,
algunas positivas, otras negativas. Las opiniones negativas fueron que durante el transcurso de
pocos aos, el medio de almacenamiento ptico podra estropearse, por ms que se tengan
recaudos cautelosos. Las positivas se encontraban arraigadas a cuestiones de costos.
Otros especialistas en informtica forense han comentado que prefieren la utilizacin de
medios magnticos o electrnicos, pero que por cuestiones de elevados costos, la utilizacin
de estos ltimos resultan hoy en da poco frecuentes.
61
National Institute of Justice: Electronic Crime Scene Investigation: A Guide for First Responders. Abril 2008,
http://nij.gov/nij/pubs-sum/219941.htm
62
NIST & Library of Congress: Optical Disc Longevity Study, Septiembre 2007,
http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf
Mariano Messina
42
Conclusiones
A travs del presente trabajo se ha logrado el objetivo planteado en cuanto a demostrar que
el cumplimiento de la aplicacin metodolgica de los estndares definidos, y de las mejores
prcticas en los procesos forenses, mitiga el riesgo de guiar una investigacin hacia su
invalidacin.
Adicionalmente, se concluye que para asegurar la calidad en el proceso forense es necesario
el cumplimiento metdico de las sucesivas fases que comprenden al proceso.
El marco metdico probado, utilizado y constantemente actualizado por forenses argentinos,
y tambin con la contribucin de peritos de diversos pases, ofrece en la evaluacin de
incidentes diversos mecanismos de mitigacin de riesgos. A su vez, logran prevenir la
invalidacin de los elementos probatorios a fin de brindar a las autoridades correspondientes
un instrumento til a la sociedad.
En lo que a la aplicacin metodolgica respecta, se concluye que para realizarla de forma
adecuada resulta imprescindible tener en cuenta la idoneidad del personal forense. Debido a
esto, se considera que la capacitacin constante y el mantener una amplia red de contactos
profesionales son puntos clave para mantenerse actualizado en materia forense digital.
Por otra parte, debido a que an hoy en da la informtica forense es considerada una ciencia
nueva, lo cul se considera que complica a personas fuera del mbito informtico en la
comprensin tcnica de diversos escenarios, se cree conveniente la utilizacin de diversas
tcnicas de capacitacin y de representacin de datos, como por ejemplo las de visualizacin de
informacin.
Las tcnicas de visualizacin resultan de gran utilidad al transmitir a las diferentes autoridades
un mensaje claro. Esto permite explicar problemas complejos mediante la abstraccin de
cuestiones tcnicas, logrando que dicha herramienta sea utilizada como base para el anlisis y
la toma de decisiones.
Por ltimo, destacar que el valor de utilidad que tiene la informtica forense radica en su
posibilidad de uso ante la respuesta de incidentes y en mayor grado, como medida preventiva
de incidentes en las diferentes organizaciones.
Mariano Messina
43
Alessio, en la actualidad, cul piensa que es el mayor desafo, o la mayor dificultad que
debe afrontar un perito forense a la hora de realizar una investigacin en la Argentina?
1.
Si es privado, tener asesoramiento legal para que no le impugnen la pericia (descartando que sabe
lo que hace a nivel tcnico, claro est). Si es estatal quiz el reto mayor ser logstico; el
almacenamiento y procesamiento de altos volmenes de datos requiere de forma dinmica una
cantidad grande de recursos que precio, el Estado tiende a no responder con dinamismo y pocas
veces destina recursos a los laboratorios forense de las distintas dependencias.
2.
Segn su experiencia en la prctica forense, en qu partes del proceso piensa que se debe
hacer hincapi? Por qu?
En la documentacin de todos los pasos. Uno deber prestar testimonio aos despus de lo que
ocurri y si no est todo bien documentado puede perderse todo el trabajo realizado. (esto
tambin dando por sentado que se utiliza hardware y software forense as como los mtodos
forense)
3.
Observando varios casos judiciales argentinos, de distinta ndole y dnde se involucran
diferentes elementos tecnolgicos como medio contenedor de datos, pude notar que existen muchos
que terminan en una invalidacin de la evidencia por alguna de las partes intervinientes en el
proceso. Por qu piensa usted que esto sucede?
Por impericia del perito. El perito debe contar con asesoramiento legal constante para que los
trabajos que realizan no puedan ser desestimados por la justicia. (hardware, software, cursos, etc)
4.
En lo que a la metodologa forense respecta, y teniendo en consideracin su amplia
experiencia laboral, considera que existe alguna diferenciacin entre el mbito pblico y el privado,
a nivel procedimientos y estndares, que se deba tener en cuenta con el fin de tratar de asegurar el
xito de una investigacin?
No; ambas se deben llevar a cabo de igual manera. La informtica forense naci en el Estado, se
potenci por la lucha contra la pornografa infantil y luego creci exponencialmente de la mano del
sector privado cuando se comenz a aplicar a IF en investigaciones y auditoras.
Mariano Messina
44
5.
A su parecer, en la actualidad, cmo considera que se encuentran los organismos pblicos
de seguridad en materia forense digital?
La ley que equipara los documentos digitales a los de papel tiene menos de diez aos. La justicia, y
el sistema judicial, tardarn un tiempo en adecuarse a la nueva normativa.
El Estado, salvo raras excepciones, es sabidamente lento en su tiempo de respuesta, cosa que
afecta mucho a los laboratorios forenses dado que estos dependen en gran medida de la
adquisicin de herramientas de ltima generacin y capacitacin.
Si bien muchos autores consideran a la informtica forense como una ciencia an nueva,
Considera que la aplicacin de la metodologa y de las buenas prcticas forenses existentes mitigan
el riesgo de que la evidencia sea susceptible a la invalidacin durante el proceso judicial?
6.
Cuando naci la papiloscopa el perito se apersonaba en el lugar del hecho y levantaba las huellas;
terminaban siendo las del Agente Gomez, el Cabo Lopez, el Principal Garrido, el subcomisario y el
comisario. La gente tard unos aos en comprender que la escena del crimen debe ser resguardada
y toda la comisara pasaba por el lugar de los hechos con la intencin de ayudar. . Lo mismo ocurrir
con la informtica forense. Sin duda que el perito deber tener el hardware, software y
capacitacin necesaria, pero hasta que no se capacite a todos los involucrados en la investigacin
de un delito, habr impugnaciones.
7.
En su opinin y para concluir con la entrevista, Cules son los aspectos que se deben tener
en cuenta a la hora de realizar el informe final, que debe ser presentado a las autoridades
correspondientes?
Narrar los hechos y en lo posible no sacar conclusiones. Nunca olvidar un informe que le en
Honduras, donde un perito de audio forense dice que en la grabacin se escucha una ampliacin
en el ruido de fondo, como si la grabadora hubiese salido de un pasillo y llegado al hall de un hotel.
Siempre me pregunt qu caractersticas acsticas tiene el hall de un hotel que no tenga el hall de
un museo, mansin, cancha de squash, etc.
Si el informe dice que se encontr una computadora cuyo sistema operativo indica como ltima
fecha de utilizacin medianoche de una fecha, quin lea el informe comprender las implicancias. Si
uno dice esta computadora fue encendida por ltima vez el X est asegurando algo que no tiene
manera de probar.
Mariano Messina
45
AL
SR. JUEZ NACIONAL DE PRIMERA INSTANCIA EN LO
CRIMINAL DE INSTRUCCIN DR. JORGE LAGUNA.
SECRETARA NRO 17 DR. FIDEL PINTOS
S
Mariano Messina
46
I.
OBJETO DE LA PERICIA:
II.
ELEMENTOS OFRECIDOS:
1.
Documentos recibidos en custodia: Especialmente el expediente
principal entregado al perito por aplicacin del artculo 260 del CPPN (o su
equivalente jurisdiccional) y en caso de existir, los cuadernos de prueba
(correspondientes a los Juzgados Civiles).
2.
Elementos
dubitados:
DiscoComputadora-Unidad
de
almacenamiento Documento Impreso Software Hardware Recursos
Humanos o Expertos consultados Laboratorio consultado Ver
ampliacin en el detalle tcnico.
3.
Elementos de comparacin: Herramientas que no forman parte
de la prueba dubitada (descripcin estricta de las mismas, incluyendo
versin y procedencia, en caso de software libre indicar que se trata de
Licencias GNU, en caso contrario incluir el nmero de licencia del producto
y sus especificaciones tcnicas en un anexo)- Informe realizado por otro
tcnico, laboratorio, empresa, etc. Reconstruccin del hecho en entornos
simulados como mquinas virtuales (VPC VMWare).
III. OPERACIONES REALIZADAS:
(Consta de dos partes principales:
1.
la primera secuencial, acorde al orden cronolgico de las actividades en su
totalidad, desde la recepcin del material o la inspeccin ocular, hasta las ltimas
operaciones de registro probatorio. Slo se describe la tarea con carcter
informativo y se la referencia al detalle tcnico de un anexo respectivo. Desde lo
metodolgico es la conversin metodolgica estricta de una proposicin -
Mariano Messina
47
2.
Una segunda parte que se conforma fuera de la pericia construyendo un
arbol demostrativo silogstico estricto, que define, estrucrtura y organiza la
justificacin de las conclusiones. A partir de dicho arbol probatorio ver metologa
lgica demostrativa- se construye la redaccin argumentativa, acorde a las
capacidades del perito, asimismo se debe utilizar para conoformar un discurso
tcnico claro, conciso, breve, tecnolgicamente fundamentado, acorde al nivel del
destinatario y especialmente ameno ver tcnicas de redaccin y oratoria)
A efectos de cumplimentar la requisitoria pericial encomendada se procedi a
realizar las siguientes operaciones periciales:
Mariano Messina
48
i.
ii.
iii.
ARGUMENTACIN DEMOSTRATIVA
Mariano Messina
49
IV.
CONCLUSIONES:
N Tarea
Mariano Messina
Actividad
Horas OBS
50
01 Gestin de expediente
Administrativa
Sede Judicial
02 Inspeccin Judicial
Tcnica/Pericial
Local Empresa
03 Reconocimiento Judicial
Tcnica/Pericial
Gerencia
04 Anlisis de Laboratorio
Tcnica/Pericial
13
Administrativa
TOTAL
39
Por lo expuesto a S. Sa, solicito: tenga por presentado este informe, por cumplida
la tarea pericial encomendada y regule mis honorarios profesionales acorde a la
magnitud de los estudios experiencias y demostraciones tcnicas efectuadas.
Mariano Messina
51
Siempre es conveniente que el informe pericial se presente en papel oficio (de tipo Tribunales)
escrito por ambos lados y conste de un nmero par de paginas. De esta manera el sello de recepcin
queda en la misma hoja que la diligencia de cierre y convalida el recibo, deslindando al perito de
responsabilidades, sobre la integridad o destino a posteriori de la prueba analizada
Mariano Messina
52
Referencias
Investigating Wireless Networks and Devices EC-Council | Press. (2010). Clifton Park, NY: Cengage
Learning.
Acurio del Pino, S. (2009, Julio 7). Manual de Manejo de Evidencias Digitales y Entornos Informticos.
Versin 2.0. Accedido en Agosto 21, 2012 , accedido desde Organization of American States:
http://www.oas.org/juridico/english/cyb_pan_manual.pdf
Aguilar Avils, D. (2012, marzo). Retrieved Mayo 10, 2012, accedido desde
www.eumed.net/rev/cccss/07/daa7.htm
Aldrovandi, M. G. (2012, Febrero). Accedido en Mayo 10, 2012, accedido desde
http://www.lanacion.com.ar/1446184-los-hackers-atacaron-una-de-cada-dos-empresasargentinas
Alessio, A. (2012). Informtica Forense. Accedido en Mayo 18, 2012, accedido desde Alessio Aguirre:
http://alessioaguirre.com/informatica_forense.html
Arellano G., L. E. (2012, Marzo 15). La accin penal, por delitos de accin pblica, en manos
exclusivamente privadas? (Parte 2). Accedido en Julio 12, 2012, accedido desde CXO Community
LATAM: http://cxo-community.com/articulos/blogs/blogs-metodologia-legislacion/4767-ilaaccion-penal-por-delitos-de-accion-publica-en-manos-exclusivamente-privadas-parte-2.html
Arnicelli, C. (2012, Septiembre 17). Virtualizacin de Imgenes Forense. Accedido en Septiembre 23,
2012, accedido desde MKit - IT & Security Solutions:
http://www.mkit.com.ar/blog/virtualizacion-de-imagenes-forense/
Ayers, R., Jansen, W., Moenner, L., & Delaitre, A. (2007, Marzo). Accedido en Mayo 15, 2012, accedido
desde National Institute of Standards and Technology:
http://csrc.nist.gov/publications/nistir/nistir-7387.pdf
Bocanegra C., C. A. (n.d.). Rincn del Vago. Accedido en Junio 12, 2012, accedido desde Rincn del Vago:
http://html.rincondelvago.com/impacto-de-la-tecnologia-y-la-informatica-en-losindividuos.html
Bolvar Pinzn Olmedo, F. (2007, Abril). Segu-Info: Seguridad de la Informacin. Accedido en Mayo 23,
2012, accedido desde Tesis: Identificacin de vulnerabilidades, anlisis forense y atencin de
incidentes: http://www.segu-info.com.ar/tesis/metodologia-analisis-forense.zip
Bunting, S. (2008). The official EnCase Certified Examiner Study Guide. Indianapolis, Indiana: Wiley
Publishing INC.
Mariano Messina
53
Campos, F. (2010, Agosto 31). Escuela Nacional de la Judicatura. Accedido en Junio 21, 2012, accedido
desde La Relevancia De La Custodia De La Evidencia En La Investigacin Judicial:
http://enj.org/portal/biblioteca/penal/la_prueba_proceso_penal/2.pdf
Cappiello, H. (2012, Febrero 23). Diario La Nacin. Accedido en Mayo 23, 2012, accedido desde La
invisibilidad de las pruebas de corrupcin: http://www.lanacion.com.ar/1450864-lainvisibilidad-de-las-pruebas-de-corrupcion
Carrier, B. (2005). File System Forensics Analysis. Upper Saddle River, NJ: Pearson Education.
Casey, E. (2000). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet.
Academic Press.
Council, E. . (2010). Computer Forensics - Investigating Network Intrusions & Cyber Crime. Clifton Park,
NY: Cengage Learning.
Craiger, P. J. (n.d.). National Center for Forensic Science. Accedido en Noviembre 01, 2012, accedido
desde Computer Forensics Procedures and Methods:
http://www.ncfs.ucf.edu/craiger.forensics.methods.procedures.final.pdf
Delgado L., M. (2007, Junio). Anlisis forense digital. Accedido en Agosto 22, 2012, accedido desde
Criminalistica.net: http://www.criminalistica.net/forense/descargas/2925780analisisforenseed2-criminalistica.net.pdf
Diario Clarn. (2011, Diciembre 22). La sugestiva y misteriosa accin de un espa privado. Accedido en
Septiembre 01, 2012, accedido desde Clarn: http://www.clarin.com/politica/sugestivamisteriosa-accion-espia-privado_0_613738660.html
Dutra, E. G. (2012, marzo). Accedido en Mayo 10, 2012, accedido desde
http://seguridadit.blogspot.com.ar/2012/03/crisis-de-identidad-gestion-parte-3.html
Eoghan, C. (2011). Digital evidence and computer crime. Waltham, MA: Elsevier INC.
Gomez, S. (n.d.). Consulta sobre Colisiones MD5. Accedido en Septiembre 23, 2012, accedido desde
Informtica Pericial:
http://periciasinformaticas.sytes.net/index.php?option=com_content&view=article&id=66:cons
ulta-sobre-colisiones-md5&catid=43:guias-para-peritos&Itemid=64
Goodin, D. (2012, 05 19). ARS Technia. Accedido en Mayo 22, 2012, accedido desde Confirmed: Flame
created by US and Israel to slow Iranian nuke program:
http://arstechnica.com/security/2012/06/flame-malware-created-by-us-and-israel/
Heer, J., Bostock, M., & Ogievetsky, V. (2010, Mayo 01). ACM Queue. Accedido en Septiembre 28, 2012,
accedido desde A Tour through the Visualization Zoo:
http://queue.acm.org/detail.cfm?id=1805128
Mariano Messina
54
Infobae. (2012, 06 25). Ratificaron la nulidad de la pericia sobre los mails de ex asesor de Jaime.
Accedido en Junio 25, 2012, accedido desde Infobae: http://www.infobae.com/notas/655431Ratificaron-la-nulidad-de-la-pericia-sobre-los-mails-de-ex-asesor-de-Jaime.html
InfoLeg: Informacin Legislativa. (n.d.). Accedido en Mayo 05, 2012, accedido desde Ley Delitos
Informticos: http://www.infoleg.gov.ar/infolegInternet/anexos/140000144999/141790/norma.htm
Johnson, T. A. (2005). Forensic Computer Crime Investigation. Boca Raton, FL: CRC Press.
Justice, U. D. (2004, April). Forensic Examination of Digital Evidence: A Guide for Law Enforcement.
Accedido en Junio 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubssum/199408.htm
Justice, U. D. (2008, April). Electronic Crime Scene Investigation:A Guide for First Responders. Accedido
en Mayo 19, 2012, accedido desde National Institute of Justice: http://nij.gov/nij/pubssum/219941.htm
Kleiman, D. (2007). The Official CHFI Exam 312-49 Study Guide for computer Hacking Forensics
Investigators. Burlington, MA: Elsevier INC.
La Nacin, Diario. (2012, Agosto 29). Detienen en Salta a un hombre buscado por el FBI acusado de
pedofilia. Accedido en Septiembre 02, 2012, accedido desde La Nacin:
http://www.lanacion.com.ar/1503531-detienen-en-salta-a-un-hombre-buscado-por-el-fbiacusado-de-pedofilia
Littlejohn Shinder, D. (2002). Scene of the Cybercrime Computer Forensics Handbook. Rockland, MA:
Syngress Publishing, INC.
Marcella, A. J., & Greenfield, R. S. (2002). Cyber Forensics: A Field Manual for Collecting, Examining, and
Preserving Evidence of Computer Crimes. Boca Raton London New York Washington , D.C.:
Auerbach Publications.
Ministerio Pblico Fiscal de la Provincia de Salta. (n.d.). Manual de Procedimientos del Sistema de
Cadena de Custodia. Accedido en Agosto 21, 2012, accedido desde Ministerio Pblico Fiscal de
la Provincia de Salta: http://www.mpfsalta.gov.ar/Files/Resolucion/197_I.pdf
Morrissey, S. (2012). iOS Forensic Analysis for iPhone, iPad and iPod touch. New York, NY: Springer
Science+Business Media.
Muoz Conde, F. (2002). Teora General del Delito Segunda Edicin. Bogot: Tirant Lo Blanch.
Nacin, P. J. (2010, Septiembre 22). Sala V, en autos V. C. W. E. s/infraccin ley 11723 (causa n
39.803). Accedido en Junio 11, 2012, accedido desde Poder Judicial de la Nacin:
http://www.pjn.gov.ar/02_Central/ViewDoc.Asp?Doc=40022&CI=INDEX100
Mariano Messina
55
National Institute of Justice. (2005, Noviembre 05). Digital Evidence Analysis: Metadata Analysis and
Extraction. Accedido en Agosto 24, 2012, accedido desde National Institute of Justice:
http://www.nij.gov/topics/forensics/evidence/digital/analysis/metadata.htm
Nist & Library of Congress. (2007, Septiembre). Nist & Library of Congress. Accedido en Octubre 08,
2012, accedido desde Optical Disc Longevity Study.:
http://www.loc.gov/preservation/resources/rt/NIST_LC_OpticalDiscLongevity.pdf
Philipp, A., Cowen, D., & Chris, D. (2010). Hacking Exposed Computer Forensics Second Edition. The
McGraw-Hill Companies.
Presman, G. D. (2008). Validez tcnica de evidencia digital en la empresa. In C. Community, El rol del
oficial de seguridad. Buenos Aires, Arg.: CXO Community.
Presman, G. D. (2009, 09 28). Accedido en Mayo 21, 2012, accedido desde
http://www.presman.com.ar/admin/archivospublicaciones/archivos/CXO2_20090828130325.p
df
Science, N. C. (2003, Diciembre 12). Accedido en Mayo 10, 2012, accedido desde Digital Evidence in the
Courtroom: A Guide for Preparing Digital Evidence for Courtroom Presentation:
http://www.classstudio.com/scaltagi/papers/grad_papers/forensics/Palmer/digital_evidence_in
_courtroom.pdf
Stuart, K. (2011, Enero 07). PlayStation 3 hack how it happened and what it means. Accedido en Julio
22, 2012, accedido desde
http://www.guardian.co.uk/technology/gamesblog/2011/jan/07/playstation-3-hack-ps3
Tllez Valds, J. (1996). Derecho Informtico. Mxico: McGraw-Hill.
The Cybercitizen Awareness Program. (n.d.). What is Cyber Crime? Accedido en Agosto 24, 2012,
accedido desde The Cyber Citizen Partnership:
http://www.cybercitizenship.org/crime/crime.html
The Open Group. (n.d.). Single Sign-On. Accedido en Septiembre 22, 2012, accedido desde The Open
Group: http://www.opengroup.org/security/sso/
TrueCrypt. (n.d.). TrueCrypt. Accedido en Septiembre 23, 2012, accedido desde Hidden Volume:
http://www.truecrypt.org/docs/?s=hidden-volume
Via Forensics. (2008, Noviembre 26). HOST PROTECTED AREA (HPA). Accedido en Septiembre 22, 2012,
accedido desde VIAFORENSICS: https://viaforensics.com/computer-forensic-ediscoveryglossary/what-is-host-protected-area.html
Zygier, A. (2012). En la era de internet, los jueces no cazan una. Accedido en Septiembre 28, 2012,
accedido desde Diario Judicial:
http://www.diariojudicial.com/contenidos/2012/09/11/noticia_0012.html
Mariano Messina
56
Mariano Messina
57