Introduccin al anlisis forense

[1.1] Cmo estudiar este tema?

[1.2] Qu es la informtica forense?
[1.3] Objetivos de un anlisis forense
[1.4] Etapas de un anlisis forense

TEMA

[1.5] Cadena de custodia de las evidencias digitales

TEMA 1 Esquema

Qu?

Cmo?

Quin?

Evidencias

Medio de prueba

Objetivos de un
anlisis forense

Investigacin

Qu es la
informtica forense?

Presentar

Analizar

Preservar

Recolectar

Etapas de un anlisis
forense

Introduccin al anlisis forense

Documentacin
y hash

Integridad
Autenticidad
Trazabilidad

Asegurar NO
alteracin

Cadena de custodia

Anlisis forense

Esquema

Anlisis forense

Ideas clave
1.1. Cmo estudiar este tema?
Para estudiar este tema lee los siguientes documentos, adems de las Ideas clave:
El artculo Qu es la informtica forense o Forensic?, publicado por Microsoft en:
http://www.microsoft.com/business/es-es/content/paginas/article.aspx?cbcid=121
Tambin es interesante la lectura del artculo Recovering and Examining Computer
Forensic Evidence, publicado por el FBI, especialmente, la introduccin y la
definicin de informtica forense que en l aparecen. El artculo est disponible en:
http://www.fbi.gov/about-us/lab/forensic-science-communications/fsc/oct2000/computer.htm

En cuanto a las evidencias digitales, es recomendable la lectura del artculo Digital

Evidence, publicado por la New Mexico Tech University. Este artculo introduce el
concepto de evidencia digital, adems de algunas de las caractersticas deseables de
la misma. Est disponible en:
http://infohost.nmt.edu/~sfs/Students/HarleyKozushko/Papers/DigitalEvidencePaper.pdf

Otro artculo que habra es el titulado como Admisibilidad de la evidencia digital:

de los conceptos legales a las caractersticas tcnicas. Durante la lectura de este
artculo hay que tener en cuenta que fue escrito pensando en las leyes y
procedimientos judiciales colombianos. El artculo est disponible en:
http://www.inegi.org.mx/inegi/contenidos/espanol/prensa/contenidos/Articulos/tecn
ologia/evidencia.pdf
Este primer tema de la asignatura pretende ser un tema introductorio al mundo del
anlisis y la informtica forense. Con este tema se pretenden conseguir unos
conocimientos mnimos sobre los que posteriormente se asentar el resto de la
asignatura. Los objetivos de este primer tema son:
Conocer qu es la informtica forense y qu se considera una evidencia digital.
Tener una visin de cules son los objetivos de un anlisis forense.
Saber identificar cada una de las etapas de un anlisis forense.
Conocer la importancia de la cadena de custodia en el mbito de trabajo de un
analista forense.

TEMA 1 Ideas clave

Anlisis forense

1.2. Qu es la informtica forense?

El Inteco1 (Instituto Nacional de Tecnologas de la Comunicacin) define la informtica
forense como:
El proceso de investigacin de los sistemas de informacin para detectar toda evidencia
que pueda ser presentada como medio de prueba fehaciente para la resolucin de un
litigo dentro de un procedimiento judicial.

De la definicin anterior hay que sacar dos ideas clave, que la informtica forense es un
proceso de investigacin y que las evidencias que obtengamos deben de poder ser
presentadas como medio de prueba en un procedimiento judicial.
Otros autores (Brown, 2010) definen la informtica forense como The art and science
of applying computer science knowledge and skills to aid the legal process.
Brown cataloga a la vez a la informtica forense como arte y como ciencia. Porque,
como comenta el autor, aunque la informtica forense se base en procedimientos ya
definidos o en el uso de herramientas que ayuden al investigador, los buenos
investigadores forenses tienen la habilidad de ir un paso ms all en la
investigacin y llegar a pensar como el autor al que se est intentando encontrar.
Un buen analista forense, tiene que disfrutar de su trabajo siendo a la vez un gran
profesional.
Desde un punto de vista ms empresarial (Qu es la informtica forense o Forensic?),
podramos ver la informtica forense como un fin:
La informtica forense permite la solucin de conflictos tecnolgicos relacionados con
seguridad informtica y proteccin de datos. Gracias a ella, las empresas obtienen una
respuesta a problemas de privacidad, competencia desleal, fraude, robo de informacin
confidencial y/o espionaje industrial surgidos a travs de uso indebido de las
tecnologas de la informacin. Mediante sus procedimientos se identifican, aseguran,
extraen, analizan y presentan pruebas generadas y guardadas electrnicamente para
que puedan ser aceptadas en un proceso legal.

http://cert.inteco.es/glossary/Formacion/Glosario/Informatica_forense_glosario

TEMA 1 Ideas clave

Anlisis forense

Otro concepto relacionado con la informtica forense y que tambin debemos de

conocer es el concepto de evidencia digital. La evidencia digital se define como:
Todo elemento que pueda almacenar informacin en formato electrnico, de
forma fsica o lgica y que permita constatar un hecho investigado o el
esclarecimiento del mismo.

Algunos ejemplos de evidencias digitales seran:

Documento electrnico de texto

Archivo de imagen o vdeo

Archivos temporales de navegacin

Cookies del explorador

Registros de eventos del sistema operativo

Ficheros de logs

Registros del trfico de red del equipo

Etc.

1.3. Objetivos de un anlisis forense

El fin ltimo de toda investigacin forense es el esclarecimiento de los hechos ocurridos
de acuerdo a las evidencias recogidas en la escena del crimen.

Para ello, deberemos responder estas tres preguntas:

1

Qu se ha alterado?

Cmo se ha alterado?

Quin ha realizado dicha alteracin?

Para responder a la primera de las preguntas, hay que ser capaz de detectar los
accesos o cambios no autorizados que se han realizado en el sistema. Estos
cambios no tienen que consistir nicamente en la alteracin fsica de un fichero,
modificndolo o eliminndolo, tambin hay que ser capaces de saber qu ficheros
fueron accedidos, aunque solo se trate de la lectura y/o copia de los mismos.
Un ejemplo de acceso no autorizado, podra ser el acceso a la informacin del
telfono mvil de una persona, cmo ha sucedido con el telfono de algunos
famosos, en los que un atacante accede a los datos contenidos en el mismo, sin
alterarlos.

TEMA 1 Ideas clave

Anlisis forense

Con la pregunta Cmo se ha alterado?, lo que se busca es reconstruir los pasos

dados por el autor de los hechos para llegar a comprender cmo hizo lo que hizo, y
ser capaces de evitar en un futuro que el mtodo utilizado para realizar la alteracin se
repita.
La ltima de las preguntas plantea el reto de saber quin fue el autor material de
los hechos. Quin ha realizado las modificaciones que han sido detectadas.
En otros mbitos de la investigacin forense, como pueden ser el anlisis dactiloscpico
(anlisis de las huellas dactilares) o el de ADN, es posible identificar plenamente a la
persona autora de los hechos; en el anlisis forense no se puede llegar a ser tan
precisos.
Cuando se realiza un anlisis forense, la conclusin ms concreta a la que se va a llegar
va a ser el usuario (local o remoto) que realizo las modificaciones y/o la direccin IP
o MAC de la mquina desde la cual dichas modificaciones fueron realizadas. Por lo que
tenemos que ayudarnos de otras tcnicas de investigacin si se quiere dar con la
persona fsica autora de los hechos.

1.4. Etapas de un anlisis forense

Las etapas de un anlisis forense son (NIST 2006):
Recolectar

Preservar

Analizar

Presentar

La recoleccin de las evidencias es el primer paso que se da a la hora de realizar un

anlisis forense. Consiste en obtener las evidencias que consideremos de inters de
manera que posteriormente puedan ser analizadas. Asemejando el hecho al mbito
forense tradicional, la recoleccin de las evidencias sera algo as como la recogida de
una muestra de sangre dentro de la escena de un crimen. La diferencia es que nuestra
escena del crimen no es la habitacin de un domicilio, si no que es un equipo
informtico y la sangre que tenemos que recoger puede ser desde un sencillo archivo de
logs, hasta el disco (o discos) duro completo.

TEMA 1 Ideas clave

Anlisis forense

Como hemos nombrado anteriormente, algunos ejemplos de evidencias digitales

podran ser: un documento electrnico de texto, un archivo de imagen o vdeo, los
archivos temporales de navegacin, etc. Incluyendo tambin otro tipo de evidencias
como pendrives, DVDs, discos duros externos, etc.
En definitiva, habra que recolectar cualquier elemento generado o almacenado en un
sistema de la informacin, y que pueda ser utilizado como prueba en un proceso legal.
La recoleccin de las evidencias tiene que hacerse con medios que aseguren, en la
medida de lo posible, la no modificacin de las mismas:
Artculo 482.3 de la Ley de Enjuiciamiento Criminal (LECrim). [] el Juez o quien lo
represente adoptar las precauciones convenientes para evitar cualquier alteracin en la
materia de la diligencia pericial.

Siendo necesaria la documentacin de los cambios que tengamos que haber

realizado en el equipo para la recoleccin, si no ha sido posible evitar su modificacin.
Artculo 479 de la LECrim. Si los peritos tuvieren necesidad de destruir o alterar los
objetos que analicen, deber conservarse, a ser posible, parte de ellos a disposicin del
Juez, para que, en caso necesario, pueda hacerse nuevo anlisis.

La preservacin de las evidencias tiene por objetivo el garantizar que lo que se

analiza es lo mismo que previamente se ha recolectado cumpliendo as con el
procedimiento de cadena de custodia, requisito indispensable para que una evidencia
tenga validez judicial.
En el mbito del anlisis forense, el hecho de realizar una imagen o clonado de un
dispositivo (como puede ser un disco duro, o un pendrive) con medios certificados para
ello (clonadoras hardware como la Logicube Forensic Talon o la Tableau Imager, entre
otras, han sido testeadas y aprobadas por el Departamento de Justicia de Estados Unidos),
ya es una garanta de que lo que se copia es imagen fiel y exacta de lo que se ocupa; pero
dada la relativa facilidad de modificacin de la evidencia y/o de la copia, se debe garantizar
la integridad a lo largo de todos los procesos a los que estas sean sometidas.

TEMA 1 Ideas clave

Anlisis forense

Puedes encontrar ms informacin sobre las herramientas testeadas y aprobadas por el

Departamento de Justicia de Estados Unidos en:
http://nij.ncjrs.gov/App/publications/Pub_search.aspx?searchtype=basic&category=9
9&location=top&PSID=55
Para ello, se hace uso de funciones resumen hash (como MD5 o SHA1). El
procedimiento (que ser explicado ms detalladamente en posteriores temas) consiste
en realizar un resumen digital a la evidencia original y a la copia, de manera que si
ambos resmenes coinciden, se asegura que el contenido de la evidencia original y el de
la copia son exactamente iguales.
Posteriormente, y a lo largo de todos los procesos que se realicen, se puede verificar que
se est analizando lo que en su momento se ocup realizando nuevamente un
resumen digital y comparando el resultado con el primer resultado obtenido.
El anlisis de las evidencias es la etapa en la que se intenta responder a las tres
preguntas mencionadas:
Qu se ha alterado?
Cmo se ha alterado?
Quin ha realizado dicha alteracin?
Durante el anlisis, las evidencias que han sido recolectadas y preservadas previamente
se estudian, con el fin de concluir si los hechos objeto de la investigacin son ciertos o no.
La presentacin es la ltima etapa de un anlisis forense y consiste en la
realizacin de un informe pericial en el que se detallen (Artculo 478 de la
LECrim.):

La descripcin del equipo informtico o dispositivo objeto del mismo.

Los procedimientos realizados por los peritos y sus resultados.

Las conclusiones a las que los peritos han llegado en base a los resultados
obtenidos.

TEMA 1 Ideas clave

Anlisis forense

1.5. Cadena de custodia de las evidencias digitales

Como se ha comentado al principio del tema, las evidencias que obtengamos de un
anlisis forense deben de poder ser presentadas como medio de prueba en un
procedimiento judicial. Pero, para que un elemento pueda servir como elemento
probatorio en un procedimiento judicial se tiene que poder asegurar que dicho
elemento no ha sido alterado desde el momento de su recoleccin hasta su anlisis y
presentacin. Para ello se utiliza la cadena de custodia.

La cadena de custodia es el proceso mediante el cual la evidencia es transmitida

sin modificacin alguna, desde quien la ocupa, hasta quien la analiza. Los
objetivos que se a conseguir mediante el uso de la cadena de custodia son:

Garantizar la integridad de la evidencia, impidiendo que se realice cualquier

cambio sobre la misma.

Garantizar su autenticidad, permitiendo contrastar su origen.

Garantizar la posibilidad de localizacin, permitiendo saber en cualquier

momento dnde se encuentra una evidencia.

Garantizar la trazabilidad de los accesos a la evidencia.

Garantizar su preservacin a largo plazo.

En el mbito del anlisis forense, el mantenimiento de la cadena de custodia se suele

llevar a cabo mediante la documentacin de las personas custodiantes de la
evidencia y el uso de funciones hash que garanticen la integridad de la misma.
As mismo, se ha de llevar un registro de las personas que realicen cualquier
operacin con la evidencia, indicando la operacin realizada, la fecha en que dicha
operacin ha sido realizada (inicio y finalizacin) y la persona que la ha realizado.

TEMA 1 Ideas clave

Anlisis forense

Lo + recomendado
Lecciones magistrales
La cadena de custodia
En esta leccin magistral se explica ms en profundidad qu es la cadena de custodia
y los motivos por los cuales es tan importante. Adems de presentar algunos casos en
los que por deficiencias en la cadena de custodia se invalid el trabajo de los peritos
forenses.

La clase magistral est disponible en el aula virtual.

No dejes de ver
Entrevista a Juan Martos, ex responsable del rea de informtica forense
de la empresa Recovery Labs
El vdeo contiene una entrevista realizada por la cadena autonmica TV3 al ex
responsable (cuando le fue realizada la entrevista todava responsable) del rea de
informtica forense en la empresa Recovery Labs, Juan Martos, en la que habla sobre la
labor del perito forense. Aunque el principio del vdeo se encuentra en valenciano, la
entrevista esta realizada ntegramente en castellano.

TEMA 1 Lo + recomendado

Anlisis forense

El vdeo completo est disponible en el aula virtual o en la siguiente direccin web:

http://www.youtube.com/watch?v=5-u34bW2jNU
http://www.youtube.com/watch?v=Mtudnh-79jE

What is Digital Forensics?

El vdeo presenta a Bill Dean, director de Informtica forense de la empresa Sword &
Shield Enterprise Security, contestando a una serie de preguntas bsicas relacionadas
con el mbito de la informtica forense. El vdeo est ntegramente en ingls.

El vdeo completo est disponible en el aula virtual o en la siguiente direccin web:

http://www.youtube.com/watch?v=nYrLwbBl_sE

TEMA 1 Lo + recomendado

Anlisis forense

+ Informacin
Webgrafa
Informtica forense
Para comenzar en el mundo de la informtica forense, aqu tenis algunas direcciones
de pginas web especficas donde podris encontrar multitud de recursos relacionados
con el mundo forense.
Un informtico en el lado del mal (http://www.elladodelmal.com/)
Forensics Focus (http://www.forensicfocus.com/)
Computer Forensics World (http://www.computerforensicsworld.com/)
Anti-Forensics (http://www.anti-forensics.com/blog/)
Forensics Magacine (http://www.forensicmag.com/)
SANS (http://www.sans.org/)
Cert (http://www.cert.org/)
National Criminal Justicie Reference Service (https://www.ncjrs.gov/)
National Institute of Justice (http://nij.gov/)
FBI: Cyber Crime (http://www.fbi.gov/about-us/investigate/cyber/cyber/)

Bibliografa
Brown, C. L. T. (2010). Computer evidence. Collection and preservation. Boston:
Course Technology PTR.
NIST. (2006). Performing the Forensic Process. En Guide to integrating forensic
techniques into incident response.

TEMA 1 + Informacin

Anlisis forense

Test
1. Cules de las siguientes definiciones se corresponden con la definicin de
informtica forense?
A. La informtica forense es un proceso de investigacin.
B. Las evidencias que obtengamos de un anlisis forense deben de poder ser
presentadas como medio de prueba.
C. Algunos autores catalogan la informtica forense como un arte.
D. Todas las anteriores son correctas.
2. Una evidencia digital
A. No almacena informacin en formato electrnico, ya que lo almacena de forma
fsica.
B. Permite constatar un hecho investigado o ayuda a su esclarecimiento.
C. No almacenan informacin en ningn formato.
D. Almacena informacin en formato electrnico de forma fsica o lgica.
3. Cul de estos NO es un objetivo de un anlisis forense:
A. Averiguar qu se ha alterado.
B. Descubrir por qu se ha realizado la alteracin.
C. Saber cmo se ha realizado la alteracin.
D. Descubrir quin ha realizado la alteracin.
4. Cuando intentamos responder a la pregunta Quin ha realizado la alteracin?...
A. Tenemos que descubrir a la persona fsica responsable de la alteracin.
B. Podemos llegar a descubrir el usuario (local o remoto) que realiz la
modificacin.
C. Podemos obtener la direccin IP o MAC del equipo desde el que se realiz la
alteracin.
D. Las respuestas B y C son correctas.
5. Las etapas de un anlisis forense son:
A. Recolectar, reservar, analizar y presentar.
B. Recolectar, preservar y analizar.
C. Recolectar, preservar, analizar y presentar.
D. Recolectar, preservar y presentar.

TEMA 1 Test

Anlisis forense

6. Durante la etapa de recoleccin, lo que se busca es:

A. Garantizar que lo que se analiza es lo que se ha recolectado.
B. Obtener las evidencias que son consideradas de inters.
C. Responder a la pregunta Cmo se ha alterado?.
D. Ninguna de las anteriores es correcta.
7. La recoleccin de las evidencias
A. Tiene que hacerse con medios que aseguren, en la medida de lo posible, la no
modificacin de las mismas.
B. Es necesario documentar los cambios que se hayan tenido que realizar en el
equipo si no ha sido posible evitar su modificacin.
C. Es el primer paso que se da a la hora de realizar un anlisis forense.
D. Todas las anteriores son correctas.
8. Durante el anlisis de las evidencias
A. Se intenta responder a la pregunta Qu se ha alterado?, el resto de
preguntas se responden durante la recoleccin.
B. El anlisis de las evidencias es el paso previo al estudio de las mismas.
C. Se estudian las evidencias que han sido recolectadas y preservadas
previamente.
D. Ninguna de las anteriores.
9. En un informe pericial se tienen que detallar:
A. El equipo informtico objeto del mismo. Si en lugar de un equipo, es cualquier
otro dispositivo, no se detalla.
B. Los procedimientos realizados por los peritos. Los resultados obtenidos se han
de comentar en el acto del juicio oral.
C. Los procedimientos realizados por los peritos y sus resultados.
D. Ninguna de las anteriores.
10. Los objetivos de la cadena de custodia son:
A. Garantizar la integridad de la evidencia.
B. Garantizar la posibilidad de localizacin de la evidencia.
C. Garantizar la trazabilidad de los accesos a la evidencia.
D. Todas las anteriores son correctas.

TEMA 1 Test