Coordinacin General de Servicios Periciales Direccin General de Ingenieras Forenses Departamento de Informtica Telecomunicaciones y Electrnica Definicin de Investigacin Forense Aplicada a TICs
Rama de la Criminalstica que se aplica en la bsqueda, tratamiento,
anlisis y preservacin de indicios relacionados a una investigacin en donde tanto equipo de cmputo y/o de telecomunicaciones ha sido utilizado como fin o medio para realizar una accin presuntamente delictiva.
Objetivo
Auxiliar a la autoridad solicitante en el descubrimiento de la verdad
histrica de los hechos relativos a un presunto acto delictuoso en donde han sido utilizados como medio o fin: equipo y programas de cmputo, dispositivos digitales de almacenamiento de datos, equipo electrnico y/o, equipo o dispositivos de telecomunicaciones con la finalidad de identificar a l o a los autores del hecho. Importancia del tratamiento adecuado de la Evidencia Digital La evidencia digital es muy delicada. Si no se trata adecuadamente se puede alterar, destruir o inhabilitar para su uso en un posible caso. Si no se adquiere a tiempo y adecuadamente, la evidencia digital puede dejar de existir por si sola. Acciones a Tomar en Cuenta.
Antes de una intervencin.
Durante una Intervencin. Despus de una Intervencin. Antes de una intervencin Tipo de equipo que se puede encontrar Servidores, computadoras de escritorio Porttiles, USB, discos portables. Sistemas operativos. UNIX, Windows, OSX, Linux. Antes de una intervencin Preparar medios de almacenamiento. Guantes. Material para embalaje. Formatos de cadena de custodia. Duplicadores. Herramientas para Informtica Forense Bloqueadores y Duplicadores. Probar las Herramientas!!! Durante una Intervencin Fijacin de los elementos tal cual se encontraron. Adquisicin de la evidencia. (En algunas ocasiones solo hay una oportunidad de hacer la adquisicin). Identificacin de Evidencia digital Identificacin de Evidencia digital Si el equipo esta encendido no lo apague, si esta apagado no lo encienda. Adquiero los datos voltiles o no? Atencin especial a servidores. Verificar encriptacin. Verificar maquinas virtuales. Verificar conexiones remotas. Verificar conexiones de red. Verificar si existen sistemas RAID conectados. Realizar las adquisiciones segn la norma que apliquemos en cada laboratorio, por seguridad deben ser 2 copias. Documentar y etiquetar todo. Llenar los respectivos formatos de cadena de custodia. Una vez que se han adquirido toda la evidencia digital, verificar si los equipos que la contienen pueden : Ser aislados de la red(en caso de estar conectado a una). Pueden Apagarse. Pueden ser llevados al laboratorio. Embalar los indicios de manera adecuada. Cuidar que los indicios de origen digital sean trasportados lejos de: Fuentes de calor excesivo. Fuentes de magnetismo, (bocinas, radios, etc.). Humedad. Que no estn expuestos al medio ambiente. Despus de una Intervencin Ya que se realizo el aseguramiento de los elementos sujetos a anlisis o la adquisicin de las imgenes forenses. Hay que cuidar la transportacin de los elementos, la evidencia digital es muy frgil y es sujeta a daos por electricidad esttica o campos magnticos muy fuertes. Una vez que se han transportado los elementos de estudio al laboratorio. Es importante almacenarlos en un lugar seguro, lejos de condiciones adversas que puedan alterar o daar la evidencia o los elementos de almacenamiento donde se resguarda dicha evidencia. Documentar todo el proceso de anlisis y manejo que se haga de las imgenes forenses y/o los elementos asegurados. Seleccionar el programa forense adecuado, para realizar el anlisis que deseamos. Utilizar las medidas de seguridad adecuadas, guantes de ltex, pulsera antiesttica, bloqueadores de escritura. Resumen. Fijar los elementos en el lugar de los hechos. Documentar todas las acciones llevadas a cabo. Recabar datos voltiles. Verificar encriptado. Verificar maquinas virtuales. Verificar conexiones remotas. Esta encendido no lo apague, esta apagado no lo encienda. Adquirir en vivo cuando sea necesario. CONTACTO Ing. Victor Javier Ramrez Topete victor.ramirezt@pgr.gob.mx