Tesisi Informtico

ESCUELA SUPERIOR POLITCNICA DELLITORAL
Facultadde Ingeniera en ElectricidadyComputacin
DISEO Y PLAN DE IMPLEMENTACIN DE UN LABORATORIO

DE CIENCIAS FORENSES DIGITALES
TESINA DESEMINARIO
Previa a la obtencin del Ttulo de:
INGENIERO EN CIENCIAS COMPUTACIONALES

ESPECIALIZACIN SISTEMAS DE INFORMACIN
INGENIERO EN CIENCIAS COMPUTACIONALES

ESPECIALIZACIN SISTEMAS DE INFORMACIN
INGENIERO EN CIENCIASCOMPUTACIONALES
ESPECIALIZACIN SISTEMAS MULTIMEDIA
Presentado por:
Ricardo Gregorio Caldern Valdiviezo.

Gisell Stephanie Guzmn Reyes.
Jessica Margarita Salinas Gonzlez.
Guayaquil-Ecuador
AO 2011
ii
AGRADECIMIENTO
A Dios en primer lugar por bendecirnos durante
este proceso, a nuestros padres y familiares por su
apoyo incondicional, a nuestros amigos por ser
partcipes de nuestra trayectoria universitaria.

iii
DEDICATORIA
A nuestra familia, maestros y amigos.
iv
TRIBUNAL DE SUSTENTACIN
Ing. Alfonso Aranda Ing. Ignacio Marn-Garca
Profesor de Seminario de Profesor Delegado del

Graduacin Decano de la FIEC
v
DECLARACIN EXPRESA
"La responsabilidad del contenido de este Trabajo de Graduacin, nos
corresponde exclusivamente; y el patrimonio intelectual de la misma a la
ESCUELA SUPERIOR POLITCNICA DEL LITORAL"
(Reglamento de graduacin de la ESPOL)
------------------------------------------------- --------------------------------------------------
Gisell Stephanie Guzmn Reyes Jessica Margarita Salinas Gonzlez
--------------------------------------------------
Ricardo Gregorio Caldern Valdiviezo
vi
RESUMEN
El crecimiento que han tenido en la actualidad las Tecnologas de la
Informacin y las Comunicaciones, ha dado lugar a que se tenga un acceso
casi ilimitado a las fuentes de consulta de informacin. El beneficio para las
empresas y personas naturales es notable cuando se aprovechan estas
tecnologas, los inconvenientes se generan cuando las personas la utilizan
para cumplir objetivos personales sin tica o utilizan la tecnologa para
causar daos a terceros, convirtindose en un delito informtico.
Se realiz, durante la elaboracin del proyecto, un breve anlisis de cmo se
proceda en el Ecuador ante este tipo de delitos, como se realizaban las
investigaciones, y cul era el trato que se le daba a la evidencia digital; en el
trabajo tambin se analizarn diferentes normas y estndares internacionales
para averiguar cual se ajusta mejor a las leyes y justicia Ecuatoriana.
En el trabajo se presentar el plan de implementacin de un laboratorio de
Ciencias Forenses Digitales donde se podr aplicar la metodologa para la
bsqueda y el anlisis de evidencias digitales, mediante la aplicacin de
tcnicas cientficas y analticas, conocimientos tecnolgicos y legales, para
identificar, obtener, reconstruir, analizar y presentar informacin que pueda

vii
ser vlida dentro de un proceso legal en donde haya ocurrido un delito
informtico.
La formacin de peritos de seguridad informtica y el equipo de investigacin
es parte fundamental en el proceso de rastreo de los orgenes del delito; en
este trabajo se buscar definir las funciones y mtodos que utilicen los
peritos para proceder a la recopilacin de datos, pruebas, bsqueda y
anlisis de evidencias de aplicacin en un asunto judicial, ya que para probar
un delito deben existir evidencias que relacionen al sospechoso del crimen
con el hecho.
viii
NDICE GENERAL
AGRADECIMIENTO ..........................................................................................................ii
DEDICATORIA ..................................................................................................................iii
TRIBUNAL DE SUSTENTACIN .................................................................................... iv
DECLARACIN EXPRESA...............................................................................................v
RESUMEN vi
NDICE GENERAL .......................................................................................................... v iii
NDICE DE ILUSTRACIONES ........................................................................................ xi i
NDICE DE TABLAS ....................................................................................................... xi ii
GLOSARIO ...................................................................................................................... xiv
INTRODUCCIN...........................................................................................................xxxi i
1. PLANTEAMIENTO DEL PROBLEMA .....................................................................33
1.1. ANTECEDENTES .............................................................................................33
1.2. OBJETIVOS .......................................................................................................34
1.2.1. OBJETIVOS GENERALES ..........................................................................34
1.2.2. OBJETIVOS ESPECFICOS .......................................................................35
1.3. SITUACIN ACTUAL ........................................................................................35
1.4. JUSTIFICACIN................................................................................................37
1.5. ALCANCE ..........................................................................................................38
2. DELITO INFORMTICO ..........................................................................................39
2.1. CONCEPTO DE DELITO INFORMTICO ......................................................39
2.2. TIPOS DE DELITOS INFORMTICOS ...........................................................40
3. LEGISLACIONES, CONVENIOS Y ORGANIZACIONES .....................................44
3.1. LEGISLACIN NACIONAL ..............................................................................44
3.2. EJEMPLOS DE LEGISLACIN INTERNACIONAL .......................................47
3.3. CONVENIOS INTERNACIONALES ................................................................50
3.4. ORGANIZACIONES INTERNACIONALES .....................................................51
4. ESTUDIO DE LA CIENCIA FORENSE DIGITAL ...................................................53
ix
4.1. CONCEPTO DE CIENCIAS FORENSES .......................................................53

4.2. CONCEPTO DE CIENCIA FORENSE DIGITAL ............................................54
4.3. FASES DEL ANLISIS FORENSE DIGITAL .................................................54
4.4. OBJETIVOS DEL ANLISIS FORENSE DIGITAL .........................................56
5. EVIDENCIA DIGITAL ...............................................................................................57
5.1. CONCEPTO DE EVIDENCIA DIGITAL ...........................................................57
5.2. CLASIFICACIN ...............................................................................................58
5.3. CRITERIOS DE ADMISIBILIDAD ....................................................................59
6. PERITOS INFORMTICOS .....................................................................................62
6.1. CONCEPTO DE PERITAJE INFORMATICO .................................................62
6.2. PERFIL DE UN PERITO INFORMTICO .......................................................63
6.3. FUNCIONES DE UN PERITO ..........................................................................67
6.4. ACREDITACIN PARA PERITOS ..................................................................67
6.5. CERTIFICACIONES PROFESIONALES ........................................................69
7. DEFINICIN DE LA METODOLOGA FORENSE DIGITAL .................................70
7.1. CADENA DE CUSTODIA .................................................................................71
7.1.1. Reco l eccin, clasif i cacin y emba l a j e de l a prueba.
.................................71
7.1.2. Emba l a j e de l a evidencia
.............................................................................74
7.1.3. Custod i a y traslado de l a evidencia.
..........................................................74
7.1.4. An li sis de l a evidencia
................................................................................76
7.1.5. Custod i a y preservacin f i na l hasta que se rea li ce e l debate.
.................78
7.2. PROCEDIMIENTOS TCNICOS .....................................................................78
7.2.1. Reco l eccin de evidencia d i g i.................................................................78
ta l
7.2.2. Ident i f i cacin de l as evidencias d i g ....................................................82
i ta l es
7.2.3. An li sis de l as evidencias d i g i ta l es
.............................................................83
7.2.4. An li sis de d i sposit i vos mvi..................................................................86
l es
7.2.5. Presentacin de resu l tados.........................................................................88
8. DISEO DEL LABORATORIO DE CIENCIAS FORENSES DIGITALES ...........90
8.1. INSTALACIONES ..............................................................................................90
8.1.1. Segur i dad fsica de l as i nsta l aciones
..........................................................91
x
8.1.2. Cond i ciones amb i enta .............................................................................92

l es
8.1.3. Desp li egue de i nfraestructura en e l i nter i or de l aborator io
.......................94
8.1.4. Especif i caciones genera l es de l as opciones de i nsta l aciones fsicas para
l a i mp l ementacin de l l aborator io
..............................................................100
8.2. EQUIPOS INFORMTICOS ...........................................................................104
8.3. SOFTWARE UTILIZADO ................................................................................106
8.4. MATERIALES DE REFERENCIA. .................................................................108
8.5. MANTENIMIENTO DE EQUIPO E INSTALACIONES. ................................109
8.6. POSIBLES UBICACIONES EN LA ESPOL .................................................111
8.7. OPCIONES DE IMPLEMENTACIN DEL LABORATORIO FORENSE
DIGITAL EN LA ESPOL ..................................................................................114
9. EJEMPLOS DE ESCENARIOS DE APLICACIN DE LA METODOLOGA .....118
9.1. CASO PORNOGRAFA INFANTIL CIFRADA ..............................................118
9.2. CASO RASTREO DE CORREOS OFENSIVOS ..........................................122
9.3. CASO DESARROLLO DE RETO FORENSE DIGITAL DE LA COMUNIDAD
DRAGONJAR. .................................................................................................125
CONCLUSIONES ...........................................................................................................127
RECOMENDACIONES ..................................................................................................130
ANEXO A: ENTREVISTA CON LA DRA. SANDRA MOREJN ................................132
ANEXO B: INGRESO DE EVIDENCIA AL LABORATORIO ......................................137
ANEXO C: INVENTARIO DE EVIDENCIA ...................................................................139
ANEXO D: ENTRADA Y SALIDA DE EVIDENCIA ALMACENADA ..........................141
ANEXO E: FORMULARIO ANLISIS DE EVIDENCIA ..............................................143
ANEXO F: ACTA DE RECOLECCION DE PRUEBAS ...............................................145
ANEXO G: INGRESO Y SALIDA DEL PERSONAL AL ALMACEN DEL
LABORATORIO ..........................................................................................147
ANEXO H: INGRESO DE VISITANTES AL LABORATORIO ....................................149
ANEXO I: PENALIDADES PARA INFRACCIONES INFORMTICAS ......................151
ANEXO J: CRIPTOGRAFA ..........................................................................................154
ANEXO K: ELEMENTOS A ANALIZAR SEGN EL TIPO DE SISTEMA .................170
ANEXO L: PRESUPUESTO INICIAL ADECUACIONES ............................................179
xi
ANEXO M: SOFTWARE FORENSE ............................................................................181

ANEXO N: OPCIONES DE IMPLEMENTACION ........................................................192
ANEXO O: DETALLE SOFTWARE DEFT-EXTRA .....................................................201
ANEXO P: ANLISIS DE CELULARES .......................................................................218
ANEXO Q: ARCHIVO CIFRADO ..................................................................................231
ANEXO R: RASTREO DE CORREO ELECTRNICO ...............................................234
ANEXO S: MQUINA COMPROMETIDA ....................................................................238
ANEXO T: RETO ANLISIS FORENSE DIGITAL ......................................................242
ANEXO U: LUGARES DONDE ENCONTRAR EVIDENCIA DIGITAL ......................301
ANEXO V: HARDWARE PARA EL LABORATORIO FORENSE ..............................303
BIBLIOGRAFA Y REFERENCIAS ...............................................................................307
xii
NDICE DEILUSTRACIONES
Ilustracin 4. 1 - Principio de intercambio de Locard............................................... 56

Ilustracin 8. 1 - Diseo del Laboratorio de Ciencias Forenses Digitales, opcin 1 . 97
Ilustracin 8. 2 - Diseo del Laboratorio de Ciencias Forenses Digitales, opcin 2. 98
Ilustracin 8. 3 - Diseo del Laboratorio de Ciencias Forenses Digitales, opcin 3. 99
xiii
NDICE DE TABLAS
Tabla 6. 1 - Certificaciones profesionales ............................................................... 69

Tabla 7. 1 - Matriz de referencia ............................................................................. 88
Tabla 8. 1 - Tabla comparativa de software .......................................................... 107
xiv
GLOSARIO
Archivo de intercambio.- Es un espacio enel disco duro usado como una

(1)
extensin de la memoria RAM de la computadora .
Archivo BITMAP.- Es el formato propio del programa Microsoft Paint, que

(2)
viene con el sistema operativo M Windows, extensin .BMP .
Bit SUID/SGID.- Es un procedimiento de asignacin de permisos de los
sistemas operativos basados en Unix, en el cual se le otorga al usuario o
grupo privilegios de root o administrador, para realizar una tarea especfica
dentro del sistema (3).
Blu-Ray.-Es unformatodediscopticodenuevageneracinquepermitela
grabacin de video de alta definicin y almacenamiento de grandes

(4)
volmenes de datos .
Bolsa antiesttica.- Bolsa o funda diseada para evitar el traspaso y la
generacin de electricidad esttica sea por friccin o induccin, al almacenar

(5)
o transportar hardware .
xv
Bomba lgica.- Software, rutinas o modificaciones de programas que
producen cambios, borrados de ficheros o alteraciones del sistema en un

(6)
momento posterior a aqul en el que se introducen por su creador .
Botnet.- Es una reddeequipos comprometidos, denominados zombies que
recibe la orden de enviar simultneamente trfico de red a los sitios web que
tienen por objetivo (7).
Bugs.- Son fallos o deficiencias en el proceso de creacinde software que

(8)
pueden ocasionar mal funcionamiento .
Bypass.- Es un sistema conformado por un enlace internacional, una
instalacin de equipos de telecomunicaciones y lneas telefnicas, lo cual
produce que una llamada de origen internacional sea registrada, y por lo

(9) (10)
tanto facturada, por la operadora telefnica como una llamada local .
Cookies.-Es unfragmentodeinformacinquesealmacenaeneldiscoduro
del visitante de una pgina web a travs de su navegador, a peticin del

(11)
servidor de la pgina .
Cibercriminal.-Personaquehacometidooprocuradocometeruncrimen, es
(12)
decir una accin ilegal, haciendo uso de medios informticos .
xvi
Ciberdelincuencia.- Se define como cualquier tipo de actividad ilegal que

(13)
utilice internet, una red pblica o privada o un sistema informtico .
Clonacin (tarjetas).- Consiste en la duplicacin de tarjetas de crdito o
dbito utilizando un dispositivo lector de bandas magnticas, sin el

(14)
consentimiento del dueo de la tarjeta .
Cortafuego.- Es una Herramienta de seguridad que controla el trfico de

(15)
entrada/salida de una red .
Criptografa.- Ciencia que estudia la manera de cifrar y descifrar los
mensajes para que resulte imposible conocer su contenido a los que no

(16)
dispongan de unas claves determinadas .
Directorio Activo.- Implementacin de Microsoft del servicio de directorios
LDAP para utilizarse en entornos Windows. Permite a los administradores
poder implementar polticas a nivel empresa, aplicar actualizaciones a una

(17)
organizacin completa y desplegar programas en mltiples computadoras .
Escner.-Es undispositivoqueseutilizaparaconvertir,atravsdelusode
(18)
la luz, imgenes o documentos impresos a formato digital .
xvii
Esteganografa.- Es la ciencia de ocultar mensajes u objetos dentro de
otros, llamados portadores, de modo que no se perciba su existencia a
simple vista (19).
Exploits.-Softwaremaliciosoqueseusaparatomarventajadebugs, fallas y
vulnerabilidades existentes en programas o sistemas (20) (21) .
Firewire.- Es untipodecanal de comunicaciones externocaracterizadopor
su elevada velocidad de transferencia, empleado para conectar ordenadores

(22)
y perifricos a otro ordenador, utilizando el Estndar IEEE 1394 .
Firma Digital.- Mtodo que asegurala autora del remitente en mensajes y

(23)
documentos a travs de una funcin criptogrfica .
Flujos alternativos de datos.- Una caracterstica del sistema de archivos
NTFS que permite almacenar informacin y metadatos de manera oculta en

(24)
un archivo .
Gusanos.-Es unsoftwaremaliciosoqueresideenlamemoriay quetienela
habilidad de duplicarse y propagarse por s mismo, sin la intervencin del
usuario, existiendo dos tipos: el que consume recursos en el computador y el

xviii
que se propaga por una red auto replicndose enviando copias de s mismo
(25)
a otros nodos .
Hacker.- Trmino para designar a alguien con talento y conocimiento,
especialmente relacionado con las operaciones de computadora, redes y
seguridad (26).
Hash.- Algoritmo para generar claves para identificar de maneranica a un

(27)
documento, registro o archivo .
Log.- Archivo que registra movimientos y actividades de un determinado
programa (28), usuario o proceso.
Malware.- Es una variedad de software que tiene como finalidad infiltrarse,
daar o causar un mal funcionamiento en un ordenador sin el consentimiento
de su propietario, los virus y gusanos son ejemplos de este tipo de software

(29)
.
MquinasVirtuales.-Es lasimulacindeuncomputadorrealcontodas sus

(30)
caractersticas y funcionalidades .
xix
Metadatos.-Sondatos quedescribenodefinenalgnaspectodeunrecurso
(31)
de informacin (como un documento, una imagen, una pgina web, etc.) .
Phishing.- Es una modalidad de estafa informtica que utiliza como medio
un mensaje de texto, una llamada telefnica, una pgina web falsa, una
ventana emergente o la ms usada el correo electrnico suplantando la
identidad de entidades o personas, con el objetivo de obtener de un usuario
sus datos, claves, nmeros de cuentas bancarias, nmeros de tarjetas de
crdito, identidades mediante el correo electrnico y servicios de mensajera

(32)
instantnea y usar estos datos de manera fraudulenta .
Phreaking.- Actividad de manipular sistemas telefnicos complejos por
personas que conocen el funcionamiento de telfonos de diversa ndole,
tecnologas de telecomunicaciones, funcionamiento de compaas
telefnicas, sistemas que componen una red telefnica y electrnica aplicada

(33)
a sistemas telefnicos .
Script.- sonunconjuntodeinstrucciones generalmentealmacenadas enun
archivo de texto que deben ser interpretados lnea a lnea en tiempo real para
su ejecucin, se distinguen de los programas, pues deben ser convertidos a

(34)
un archivo binario ejecutable para correrlos .
xx
Sistema Biomtrico.- Es un sistema de autenticacin para reconocimiento
nico de humanos, mediante huella digital, reconocimiento de rostro,

(35)
reconocimiento de voz, reconocimiento de iris (ojo), entre otros .
Software.-oprograma, es un conjunto decomponentes lgicos necesarios

(36)
que hacen posible la realizacin de tareas en una computadora .
Suma de Verificacin.- Es una medida de seguridad que permite verificar
que los datos no hayan sido modificados desde su publicacin. El proceso
consiste en sumar cada uno de los bytes y almacenar el valor del resultado.
Posteriormente se realiza el mismo procedimiento y se compara el resultado
con el valor almacenado, si ambas sumas concuerdan se asume que los

(37)
datos no han sido corruptos .
Virus.- Unvirus informticoes software malicioso que necesita de la
intervencin del hombre para propagarse, se adjunta a un programa o

(38)
archivo para replicarse a s mismo y continuar infectando el ordenador .
Vulnerabilidades.-Es unadebilidadenunsistema quepuedepermitiraun
atacante violar la confidencialidad, integridad, disponibilidad, control de

(39)
acceso y consistencia del sistema o de sus datos y aplicaciones .
xxi
ABREVIATURAS
ADS: Alternate Data Streams (Flujo Alternativo De Datos), son una
caracterstica del sistema de archivos NTFS de almacenar metadatos con un
fichero.
ADN: cido desoxirribonucleico, es una macromolcula que identifica de
manera nica a los seres vivos mediante la informacin gentica.
ARP:Address ResolutionProtocol(ProtocolodeResolucindeDirecciones),
protocolo de la capa de nivel de enlace que permite identificar una MAC a
partir de una direccin IP.
ASIC: Application-specific integrated circuit (Circuito Integrado para
Aplicaciones Especficas), circuito integrado hecho a medida para un uso
especfico.
ATA: Advanced Technology Attachment (Adjuntode Tecnologa Avanzada),
especificaciones de diseo del interfaz IDE para conectar dispositivos de
almacenamiento.
ATAPI: Advanced Technology Attachment Packet Interface (Interfaz de
Paquetes De Tecnologa Avanzada), estndar que designa los dispositivos
que pueden conectarse a controladoras ATA (IDE).

xxii
BSA: Business Software Alliance (Alianza de Software para Negocios), es
una asociacin que acta legalmente en contra de la piratera informtica en
el mundo.
CAT:Abreviaturautilizadaparaidentificarlacategoradelos cables dered.
CD: Compact Disc (Disco Compacto), es un medio de almacenamiento de
datos digitales como audio, imgenes, videos o texto plano.
CDMA: Code Division Multiple Access (Acceso Mltiple con Divisin de
Cdigo), trmino genrico para varios mtodos de multiplexacin o control de
acceso al medio basados en la tecnologa de espectro expandido.
CDR: ChargingDataRecord(Registro deInformacinparaFacturacin), es
el registro producido por una central telefnica que contiene detalles de una
llamada telefnica.
CIS: Card Information System (Sistema De Informacin de Tarjeta), es la
estructura de la informacin que se encuentra almacenada en la tarjeta de
memoria.
CONESUP: Consejo Nacional de Educacin Superior en Ecuador, es el
organismo planificador, regulador y coordinador del Sistema Nacional de
Educacin Superior.
xxiii
CRC: Cyclic Redundancy Check (Cdigo de Redundancia Cclica), convierte
una palabra binaria en un polinomio y utiliza un polinomio definido para la
divisin polinomial.
DDR3: Double DataRate Type 3(DobleVelocidadDe Datos Tipo3), es un
tipo de memoria RAM voltil, sncrona y dinmica que permite una alta
velocidad de transferencia de datos.
DHCP: Dynamic Host Configuration Protocol (Protocolo de Configuracin
Dinmica de Host), protocolo utilizada en redes que permite a los clientes de
una red IP obtener sus parmetros de configuracin automticamente.
DVD:Digital VersatilDiscDigital VideoDisc (DiscodeVideoDigital),es un
formato de almacenamiento digital de datos con mayor capacidad que los
CDs.
EIDE: Enhanced IDE (Extensin de IDE), es una extensin del IDE, una
interfaz usada en los computadores para la conexin de discos duros.
eSATA:ExternalSerialAdvancedTechnology Attachment (DispositivoSerial
De Tecnologa Avanzada Externo), extensin de interfaz SATA que permite
conectar dispositivos externos con el computador.
FAT: File allocation table (Tabla de Asignacin de Archivos), sistema de
archivos desarrollado para MS-DOS.
FTP:FileTransferProtocol(ProtocolodeTransferenciadeArchivos).
xxiv
GB: Gigabyte, esunaunidaddemedidadealmacenamiento deinformacin
equivalente a 10 9bytes.
GPRS: General Packet Radio Service (Servicio General de Paquetes Va
Radio), es extensin del GSM, para la transmisin de datos no conmutada.
GSM: Global System for Mobil Communications (Sistema Global para la
Comunicaciones Mviles), es un sistema estndar de telefona celular.
HLR:HomeLocationRegister(RegistrodeUbicacinBase),es unabasede
datos que almacena la posicin del usuario dentro de la red de telefona
mvil.
HTML: HyperText MarkupLanguage(Lenguaje de Etiquetas de Hipertexto),
es un lenguaje de etiquetas utilizado en pginas web para describir la
estructura y el contenido en forma de texto.
HTTPS: Hypertext Transfer Protocol Secure (Protocolo Seguro de
Transferencia de Hipertexto), es un protocolo que crea un canal de
comunicacin seguro con el servidor web mediante encriptacin.
IDE: Integrated Drive Electronics (Electrnica de Unidad Integrada), es un
estndar de interfaz para la conexin de los dispositivos de almacenamiento
masivo de datos y las unidades pticas.

xxv
IDS: Intrusion Detection System (Sistema de Deteccin de Intrusos), es un
programa usado para detectar accesos no autorizados a un computador o a
una red.
IEC: International Electrotechnical Commission (Comisin Electrotcnica
Internacional), es una organizacin de normalizacin en los campos elctrico,
electrnico y tecnologas relacionadas.
IEPI: Instituto Ecuatoriano de Propiedad Intelectual, es una institucin
comprometida con la promocin de la creacin intelectual y su proteccin de
acuerdo a la ley nacional, tratados y convenios internacionales vigentes.
IP (IP Address): Internet Protocol Address (Direccin de Protocolo de
Internet), es una etiqueta numrica que identifica de manera nica, lgica y
jerrquica a un computador en una red.
ISO: International Standarization Organization (Organizacin Internacional
para la Estandarizacin). Es la mayor organizacin que desarrolla y edita las
normas internacionales.
ISP: Internet Service Provider (Proveedor de servicios de internet), es una
empresa que brinda servicio de conexin a internet.
LAN: Local Area Network (Red de rea local), es una interconexin de
computadoras y dispositivos de red cuyo alcance se limita a un espacio
fsico, tiene un alcance aproximadamente de 200 metros.

xxvi
LDAP: Lightweight Directory Access Protocol (ProtocoloLigero deAccesoa
Directorios), un protocolo a nivel de aplicacin el cual permite el acceso a un
servicio de directorio para buscar informacin en un entorno de red.
MAC:MediaAccess Control (ControldeAccesoalMedio).Seempleanenla
familia de estndares IEEE 802 para definir la subcapa de control de acceso
al medio.
MBR: Master Boot Record (Registro de Inicio Maestro), es un sector al
principio del disco duro que contiene una secuencia de comandos necesarios
para cargar un sistema operativo.
MD2:Message-Digest Algorithm2(AlgoritmodeResumendeMensaje2), es
una funcin de hash criptogrfica, este algoritmo est optimizado para
computadoras de 8 bits. El valor hash de cualquier mensaje se forma
haciendo que el mensaje sea mltiplo de la longitud de bloque en el
computador (128 bits o 16 bytes) y aadindole un checksum.
MD4:Message-Digest Algorithm4(AlgoritmodeResumendeMensaje4),es
una funcin de hash criptogrfica que implementa una funcin criptogrfica
de hash para el uso en comprobaciones de integridad de mensajes. La
longitud del resumen es de 128 bits.
MD5: Message-Digest Algorithm5(AlgoritmodeResumendeMensaje5), es
un algoritmo de reduccin criptogrfico que fue desarrollado por Ronald

xxvii
Rivest en 1995 y est basado en dos algoritmos anteriores MD2 y MD4, este
algoritmo genera un nmero de 128 bits basado en el contenido de un fichero
que ha sido publicado en la web.
MSC: Mobile Switching Center (Centro de Conmutacin Mvil), es el nodo
principal para la prestacin de servicios GSM / CDMA.
NTFS: New Technology File System (Nueva Tecnologa De Sistema De
Archivos), es el estndar de sistema de archivos usada por Microsoft
Windows sustituye al FAT.
OEA:OrganizacindeEstados Americanos.
OMC: Operation and Maintenance Center (Centro de Operacin y
Administracin).
ONU:OrganizacindeNaciones Unidas.
PCI: Peripheral Component Interconnect (Interconexin de Componentes
Perifricos), bus de datos que sirve para conectar dispositivos de hardware a
un computador.
PDA:PersonalDigitalAssistant (AsistentePersonalDigital), dispositivomvil
que sirve como un gestor de informacin personal.

xxviii
PIN: Personal IdentificationNumber(Nmerode IdentificacinPersonal), es
un cdigo numrico utilizado en los dispositivos mviles para identificarlos u
obtener acceso a informacin.
PPTP:Point topointTunnellingProtocol(ProtocoloDe TnelPuntoaPunto),
mtodo para implementar redes virtuales privadas.
PUK:PersonalUnlockingKey (ClavePersonaldeDesbloqueo).
RAID: Redundant Array of Independent Disks (Conjunto Redundante De
Discos Independientes), es un sistema de almacenamiento de datos que usa
mltiples discos duros o SSD entre los que distribuyen o replican los datos.
SAS: Serie Attached SCSI (Interfaz de Transferencia de Datos en Serie),
interfaz que sirve para mover informacin desde y hacia un dispositivo de
almacenamiento.
SATA: Serial Advanced Technology Attachment (Dispositivo Serial de
Tecnologa Avanzada), estndar de conexin de discos duros.
SCSI: Small Computers System Interface (Sistema de Interfaz para
pequeas computadoras), interfaz estndar para la transferencia de datos
entre distintos dispositivos del computador.
SHA: Secure Hash Algorithm (Algoritmo Seguro De Hash), es una funcin
hash criptogrfica que fue diseado por la Agencia de Seguridad Nacional,

xxix
es similar en su forma de operacin al MD-5, pero produce un resumen con
un incremento de 160 bits.
SIM: Subscriber Identity Mode (Mdulo de Identificacin del Suscriptor), es
una tarjeta inteligente desmontable usada en telfonos mviles.
SSD: Solid state drive (Unidad de Estado Slido), dispositivo de
almacenamiento de datos.
SSL: Secure Sockets Layer (Protocolo de Capa de Conexin Segura),
protocolo criptogrfico que proporciona comunicaciones seguras por una red
TDMA: Time division multiple Access (Acceso Mltiple por Divisin de
Tiempo), es una tcnica que permite la transmisin de seales digitales.
TB: Terabyte, es una unidad de almacenamiento de informacin que
equivale a 1012 bytes.
TLC:TratadodeLibreComercio, es unacuerdocomercialregionalobilateral
para ampliar el mercado de bienes y servicios entre los pases participantes.
UNAM: Universidad Nacional Autnoma de Mxico, es la universidad con
mayor reconocimiento acadmico tanto en Iberoamrica, como en Amrica
Latina.
UPS / SAI: Uninterrupted Power System (Alimentacin Elctrica
Ininterrumpida).
xxx
URL: UniformResourceLocator(LocalizadordeRecursoUniforme), es una
secuencia de caracteres, de acuerdo a un formato modlico y estndar, que
se usa para nombrar recursos en Internet para su localizacin o
identificacin.
USB:UniversalSerialBus (Bus universalenserie).
VLR: Visitor Location Register (Registro de Ubicacin De Visitante), es una
base de datos voltil que almacena, para el rea cubierta por una central de
conmutacin mvil, los identificativos, permisos, tipos de abono y
localizaciones en la red de todos los usuarios activos en ese momento y en
ese tramo de la red.
VPN:VirtualPrivateNetwork (RedPrivadaVirtual), es unatecnologadered
que permite una extensin de la red local sobre una red pblica o no
controlada, como por ejemplo Internet.
WAP: Wireless Application Protocol (Protocolo de Aplicaciones
Inalmbricas), es un estndar abierto internacional para aplicaciones que
utilizan las comunicaciones inalmbricas, especifica un entorno de aplicacin
y de un conjunto de protocolos de comunicaciones para normalizar el modo
en que los dispositivos inalmbricos se pueden utilizar para acceder a correo
electrnico, grupo de noticias y otros.

xxxi
XML: Extensible Markup Language (Lenguaje de Etiquetas Extensible).
Separa la estructura del contenido en la creacin de pginas web.
XSL: Extensible StyleSheet Language (Lenguaje Extensible de Hojas de
Estilo). Especificacin para separar el estilo del contenido en la creacin de
pginas web.
xxxii
INTRODUCCIN
El uso de los medios tecnolgicos e informacin digital se ha incrementado,
creando nuevos nexos de comunicacin, enlaces entre las instituciones,
empresas y/o personas, facilitando el manejo y almacenamiento de
informacin. De la misma manera en que se puede aprovechar la tecnologa
positivamente, existen personas que utilizan estos medios con fines
delictivos.
Cuando se comete un delito que involucra medios tecnolgicos e informacin
digital, la manera de abordar la investigacin del caso, la recoleccin de
evidencias, o rastros dejados por el autor del delito, es diferente a la
tradicional, debido a ello, se deben aplicar metodologas especializadas en el
tratamiento de tecnologa informtica.
Por lo expuesto anteriormente, es necesario contar con un laboratorio de
Ciencias Forenses Digitales, el cual debe poseer el personal, la
infraestructura fsica y tecnolgica, y las herramientas informticas para el
anlisis de datos, todo ello con el fin de recolectar evidencia y darle validez
en un proceso judicial.
1. PLANTEAMIENTO DEL
PROBLEMA
1.1. ANTECEDENTES
Tal como expuso la Dra. Sandra Morejn (Anexo A), fiscal de la
Unidad de Delitos Informticos y Telecomunicaciones; los delitos
informticos que han sido denunciados por lo general no llegan a
culminar el proceso de anlisis de evidencia ya que las vctimas
retiran los cargos o simplemente no les interesa continuar con el
proceso porque creen que es una prdida de tiempo y dinero.
Tambin mencion que algunos de los tipos de delitos conocidos a
travs de la prensa y opinin pblica son el robo de informacin
personal en redes sociales, bypass, la clonacin de tarjetas de crdito
por medio de escneres y software, phishing.

34
En la Fiscala General del Guayas, la Unidad Miscelneos se
encargaba GH ODV GHQXQFLDV GH GHOLWRV LQIRUPiWLFRV Hasta ahora se
registran 221 indagaciones. De ese total, el 80% proviene de la
clonacin y robo de dinero a travs de tarjetas de crdito, como el
secuestro exprs. Sin embargo, estos casos se tratan como
DSURSLDFLyQ
LQGHELGD
SHQDOL]DGD
HQ HO &yGLJR
3HQDO,
fue la
declaracin al respecto de los casos de delitos informticos

(40)
registrados en la fiscala del Guayas .
Esta fiscala maneja una estructura que ha tenido que variar para
mejorar los procedimientos que se llevan a cabo al denunciar un
delito informtico, y as llevar un mejor control de las denuncias y
documentacin necesaria para un proceso judicial.
1.2. OBJETIVOS
1.2.1. OBJETIVOS GENERALES
Plantear el diseo de un Laboratorio de Ciencias
Forenses Digitales acorde a la situacin actual en el
Ecuador.
Definir metodologas para la bsqueda y anlisis de
evidencia digital.
35
1.2.2. OBJETIVOS ESPECFICOS
Determinar la situacin actual de Laboratorios de
Ciencias Forenses Digitales en el Ecuador.
Definir los procedimientos tanto tcnicos como operativos
para el anlisis de la evidencia digital.
Definir los conceptos fundamentales en la formacin de
peritos en seguridad informtica.
Plantear opciones de implementacin de un Laboratorio
de Ciencias Forenses digitales.
Analizar casos basados en hechos reales de delitos
informticos.
1.3. SITUACIN ACTUAL
EQ HO DxR IXH H[SHGLGD OD /H\ GH FRPHUFLR HOHFWUyQLFR ILUPDV

(41)
HOHFWUyQLFDV \ PHQVDMHV, la cualGHpretende
GDWRVdar proteccin
a los usuarios de sistemas electrnicos mediante la regulacin del
uso de la tecnologa y de estos medios, esta ley es de difcil
cumplimiento debido a que en Ecuador actualmente no existe un
laboratorio de Ciencias Forenses Digitales, no se cuenta con la
integracin de la tecnologa y el personal especializado para realizar
un anlisis exhaustivo de evidencia digital relacionada en un proceso
judicial (Anexo A).

36
La Fiscala del Guayas, a diferencia de la provincia del Pichincha que
ya contaba con una Unidad de Delitos Informticos, propuso la idea
de crear una unidad especializada para este tipo de casos. Esta
iniciativa tuvo aceptacin en la Fiscala General de Estado y tuvo
como consecuencia la creacin de la Unidad de Delitos Informticos y
Telecomunicaciones en el ao 2010, la cual tiene como misin
fundamental ,nvestigar, perseguir y prevenir todo lo relacionado con
la llamada criminalidad informtica en todos sus espectros y mbitos

(42)
, tal y como expresa en su artculo el Dr. Santiago Acurio del Pino.
La Unidad de Delitos Informticos y Telecomunicaciones se encarga
de llevar a cabo las investigaciones para rastrear al autor del delito
una vez que se haya presentado la denuncia respectiva, como parte
de la investigacin est la aplicacin de metodologas para recolectar
evidencias digitales y con esto comenzar a generar procesos
judiciales.
Para llevar una estandarizacin de las metodologas que se aplican
en la evidencia digital, el Dr. Santiago Acurio del Pino, Director
Nacional de Tecnologa de la Informacin, public en el ao 2009 el
0DQXDO GH 0DQHMR GH (YLGHQFLDV 'LJLWDOHV \

(QWRUQRV ,QIRUPiWLFRV
(43)
, el manual pretenda ser una gua para todo el personal que
37
interviniese en diferentes fases de las investigaciones y para el
personal de la Fiscala que estuvieren involucrados en la
investigacin de los casos, cuando en una escena de delitos se
encontrasen dispositivos Informticos o electrnicos. A pesar de la
existencia de este manual de evidencias digitales, ste no es aplicado
actualmente (Anexo A) y por ende no existe una metodologa
estandarizada.
1.4. JUSTIFICACIN
Debido a que en la actualidad no se cuenta con un laboratorio
especializado en anlisis de evidencia digital, las evidencias
recolectadas pierden su validez por un tratamiento inadecuado.
El proyecto busca plantear unos procedimientos en tratamiento de
evidencia con la implementacin de metodologa tcnica y operativa,
definicin del perfil y de los conocimientos que debe poseer un perito
informtico, con la finalidad de garantizar la validez y confiabilidad del
informe final posterior al anlisis de evidencia; el proyecto pretende
disear un laboratorio de ciencias forenses digitales que posiblemente
se pueda implementar en la ESPOL.

38
1.5. ALCANCE
Consolidar informacin de diferentes fuentes para generar un
referente en la implementacin de un Laboratorio de Ciencias
Forenses Digitales.
Analizar la legislacin Nacional con respecto a delitos
informticos, y realizar comparaciones con legislaciones y
convenios internacionales para determinar brechas legales.
Definir el perfil ideal de un perito informtico.
Definir las metodologas de tratamiento de evidencia que se
ajuste mejor a la situacin actual.
Realizar plan de factibilidad para la implementacin del
laboratorio de Ciencias Forenses Digitales en la ESPOL.

2. DELITO INFORMTICO
Los delincuentes informticos afectan a los usuarios de medios digitales
utilizando diferentes modalidades de delitos informticos, ampliando el
campo en el que incurren este tipo de delitos, por esto existen varios
enfoques y criterios al momento de definirlos y clasificarlos segn
organismos y expertos en el tema, analizaremos dichos aspectos en este
captulo.
2.1. CONCEPTO DE DELITO INFORMTICO
Existen varios puntos de vista al momento de definir lo que es un
delito informtico, lo cual dificulta la creacin de una definicin
universal, siendo as, se han creado conceptos o definiciones que
tratan de ajustarse a la realidad jurdica de cada pas. Un ejemplo de
esto es la aportacin de Wikipedia que define al delito informtico
como el crimen genrico o crimen electrnico, que agobia con
operaciones ilcitas realizadas por medio de Internet o que tienen

40
como objetivo destruir y daar ordenadores , medios electrnicos y

(44)
redes de Internet . Por contrapartida, el Convenio de
Ciberdelincuencia del Consejo de Europa define a los delitos
LQIRUPiWLFRV FRPR ORV DFWRV GLULJLGRV FRQWUD OD

FRQILGHQFLDOLGDG OD
integridad y la disponibilidad de los sistemas informticos, redes y
datos informticos, as como el abuso de dichos sistemas, redes y

(45)
GDWRV .
En todas estas definiciones queda claro que los delitos informticos
atentan contra la privacidad de la informacin y utilizan medios
tecnolgicos como el internet y las redes para cometer actos ilcitos.
2.2. TIPOS DE DELITOS INFORMTICOS
Presentaremos algunas formas de clasificacin de delito informtico,
segn la ONU y la opinin de algunos expertos, las mismas que
sern expuestas a continuacin:
(46)
La ONU (Organizacin de las Naciones Unidas) reconoce y
clasifica a los delitos informticos de la siguiente manera:
Fraudes cometidos mediante manipulacin de computadoras,
dentro de este tipo de delito se encuentran cuatro formas de llevarlos

41
a cabo. La manipulacin de los datos de entrada, ms conocida
como sustraccin de datos, se caracteriza porque es fcil de cometer
y difcil de descubrir, no requiere conocimientos tcnicos de
informtica, pudiendo ser realizado por cualquier persona que tenga
acceso a los datos. La manipulacin de programas, la cual
consiste en modificar o aadir programas y rutinas en los sistemas.
Se caracteriza por pasar inadvertido, es realizada por delincuentes
que tienen conocimientos concretos de informtica. La
manipulacin de datos desalida, que consiste en fijar un objetivo
al funcionamiento del sistema informtico, utilizando para ello
equipos y programas especializados para codificar informacin
electrnica falsificada en las bandas magnticas de tarjetas
bancarias y de crdito. Adems existe la manipulacin informtica
que es una tcnica que consiste en ir sacando transacciones
financieras apenas perceptibles de una cuenta y transferirlas a otra,
aprovechando repeticiones automticas de los procesos de cmputo.
Lasfalsificacionesinformticas,quepuedenserclasificadasdela
siguiente manera: como objeto , para la alteracin de datos de los
documentos almacenados en forma computarizada o como
instrumentos, donde se utilizan las computadoras para falsificar
documentos de uso comercial.

42
Los daos o modificaciones de programas o datos
computarizados, encasillados en este tipo de delitos encontramos:
el sabotaje informtico, el cual consiste en borrar, suprimir o
modificar sin los debidos permisos funciones o datos de un
computador con el fin de obstaculizar el funcionamiento normal,
utilizando para ello virus, gusanos y bombas lgicas o cronolgicas,
el acceso noautorizadoaservicios o sistemasinformticos, en
el cual se puede acceder a los sistemas aprovechando las
vulnerabilidades en las medidas de seguridad o en los
procedimientos del sistema. De la misma manera, la reproduccin
no autorizada de programas informticos significa una prdida
econmica sustancial para los propietarios legtimos.
Por otro lado existe tambin la clasificacin de los delitos
informticos segn la opinin de algunos expertos.
El Dr. Julio Tllez Valdez, investigador del Instituto de
Investigaciones Jurdicas de la UNAM, clasifica a los delitos

(47) (48)
informticos basndose en dos criterios : Como instrumento o
medio, queaplicanconductas criminales queusanlas computadoras
como mtodo, medio o smbolo para cometer un acto ilcito, como
por ejemplo la falsificacin de documentos digitalmente, la variacin

43
de la situacin contable y la intervencin de lneas de comunicacin
de datos o teleprocesos. Como fin u objetivo , donde las conductas
criminales van en contra de la computadora o programas como
entidad fsica como por ejemplo instrucciones que producen un
bloqueo parcial o total del sistema, la destruccin de programas por
cualquier mtodo y el atentado fsico contra la computadora, sus
accesorios o medios de comunicacin.
Finalmente, la Doctora en Derecho Mara Luz Lima, catedrtica de
Derecho Penal, Penitenciario y Criminologa en la Facultad de
Derecho de la UNAM y actualmente presidenta de la Sociedad
Mexicana de Victimologa y Vicepresidenta de la Sociedad Mundial

(47) (49)
de Victimologa , presenta una clasificacin diferente : Los
delitos informticos como mtodo , donde los individuos utilizan
mtodos electrnicos para llegar a un resultado ilcito, como medio
en los cuales para realizar un delito utilizan una computadora como
medio o smbolo, y como fin que son dirigidos contra la entidad
fsica del objeto o mquina electrnica o su material con objeto de
daarla.
3. LEGISLACIONES, CONVENIOS Y
ORGANIZACIONES
Existen mltiples y variadas legislaciones a nivel nacional e internacional
relacionadas con los delitos informticos y digitales. Entre ellas podemos
destacar como ejemplos:
3.1. LEGISLACIN NACIONAL
Ley Orgnica de Transparencia y Acceso a la Informacin

(50)
Pblica , lacualgarantizaelderechofundamentaldelas personas
para acceder libremente a la informacin de entidades del sector
pblico, las mismas que deben publicar informacin acerca de la
organizacin interna, directorio, remuneraciones, servicios que
ofrece, contratos colectivos, formularios, presupuesto anual,

45
auditorias, procesos de contratacin, incumplimiento de contratos,
crditos internos y externos, rendicin de cuentas, viticos y del
responsable de la informacin y adems mantenerla actualizada.
Leyde Comercio Electrnico, Firmas ElectrnicasyMensajede

(41)
Datos , lacualregulalos mensajes dedatos, lafirmaelectrnica,
los servicios de certificacin, la contratacin electrnica y telemtica,
la prestacin de servicios electrnicos, a travs de redes de
informacin, incluyendo el comercio electrnico y la proteccin a los
usuarios de estos sistemas.
(51)
Ley de Propiedad Intelectual , que garantiza y reconoce los
derechos de autor y los derechos de los dems titulares sobre sus
obras. El Instituto Ecuatoriano de Propiedad Intelectual (IEPI) es el
organismo que a nombre del Estado protege los derechos de
propiedad intelectual. El robo de informacin digital puede tratarse
como una violacin de la propiedad intelectual, ya que se tratara de
informacin personal y de gran importancia para su propietario.
(52)
Ley Especial de Telecomunicaciones , la cual tiene por objeto
normar en el territorio nacional la instalacin, operacin, utilizacin y
desarrollo de toda transmisin, emisin o recepcin de signos,

46
seales, imgenes, sonidos e informacin de cualquier naturaleza
por hilo, radioelectricidad, medios pticos u otros sistemas
electromagnticos.
(53)
LeydeControl Constitucional (HabeasData) , lacualestablece
que cualquier persona natural o jurdica sean nacionales o
extranjeras y quieran acceder a documentos, bancos de datos e
informes que estn en posesin de entidades pblicas, de personas
naturales o jurdicas privadas, conocer el uso y finalidad que se les
haya dado o se les est por dar, podrn interponer el recurso de
hbeas data para requerir las respuestas y exigir el cumplimiento de
las medidas tutelares prescritas en esta Ley, por parte de las
personas que posean tales datos o informaciones.
(54)
Cdigo Penal Ecuatoriano , en el cual no se encuentran
estipuladas sanciones especficas para delitos informticos, por lo
tanto no son sancionados adecuadamente o en relacin a la
gravedad del delito.

47
3.2. EJEMPLOS DELEGISLACIN INTERNACIONAL
Al igual que en Ecuador existen diversas legislaciones que puede ser
utilizadas para perseguir el delito informtico, a nivel internacional
podemos tambin encontrar otras entre las que destacamos:
Chile, porejemplo fueelprimerpas latinoamericanoenexpediruna

(55)
Ley contra los delitosel 28 deinformticos
Mayo de 1993, la cual
consta de cuatro artculos en los que se castig conductas ilcitas
como: la inutilizacin o destruccin de un sistema de tratamiento de
informacin o sus componentes afectando el correcto funcionamiento
del sistema, al igual que la interferencia, intercepcin o acceso a un
sistema de informacin con el fin de apoderarse de datos
almacenados en el mismo, tambin sancion el dao o destruccin de
datos, as como la revelacin o difusin de datos contenidos en un
sistema de una manera malintencionada.
(56)
En Argentina, en Junio del 2008 se promulg la Ley No 26388
con reformas al Cdigo Penal modificando delitos existentes e
incluyendo el alcance de los trminos documento, firma, suscripcin,
instrumento privado y certificado, y de esta manera contemplar el uso
de nuevas tecnologas. Esta reforma contempl los siguientes delitos:
La pornografa infantil mediante el uso de internet u otros medios

48
digitales, el robo y acceso no autorizado de informacin almacenada
digitalmente, fraude y sabotaje informtico, interferencias en
comunicaciones, entre otros.
En Colombia, el 5 de enero de 2009, el Congreso de la Repblica

(57)
promulg la Ley 1273
, la cual modific el cdigo penal
adicionando nuevas sanciones en casos relacionados con los delitos
informticos, buscando proteger la informacin y preservar los
sistemas de tecnologas de informacin y comunicaciones. Esta ley
contempla dos captulos: De los atentados contra la confidencialidad,
la integridad y la disponibilidad de los datos y de los sistemas
LQIRUPiWLFRV \ De los atentados informticos y RWUDV

LQIUDFFLRQHV.
(58)
En Estados Unidos, el Acta de fraude y abuso informtico fue
aprobada por el Congreso de los Estados Unidos en 1986 para
castigar los delitos federales relacionados con ordenadores, tambin
OD VHFFLyQ )UDXGH \ DFWLYLGDG UHODFLRQDGDV FRQ RUGHQDGRUHV
fue modificada en el 2001 por la Ley para unir y fortalecer a Amrica
proveyendo las herramientas apropiadas requeridas para interceptar y
obstaculizar el terrorismo (USA PATRIOT Act. 2001), esta
modificacin castigaba:
49
Al que con conocimiento de causa accede a una computadora
sin autorizacin o excediendo el acceso autorizado y obtiene
datos de seguridad nacional.
Al que intencionalmente accede a una computadora sin
autorizacin y obtiene datos de instituciones financieras,
informacin de cualquier departamento o agencia de los
Estados Unidos, informacin de computador protegido con
comunicacin interestatal o internacional.
Al que intencionalmente accede a una computadora no pblica
sin autorizacin del gobierno, entre otros delitos.
En Europa tambin existe legislacin al respecto por ejemplo,
Alemania adopt la Segunda Ley contra laCriminalidadEconmica

(59)
el 15 de mayo de 1986, la cual reform el Cdigo Penal para
contemplar los delitos de espionaje de datos, fraude informtico,
falsificacin de evidencia, alteracin de datos, sabotaje informtico,
etc.
(60)
En Austria , la Ley de Reforma del Cdigo Penal del 22 de
diciembre de 1987 sancion la destruccin de datos que incluye
datos personales, no personales y programas, y la estafa informtica
la cual sanciona a aquel que cause prejuicios a terceros alterando el

50
procesamiento automtico de datos ya sea por ingreso, borrado o
modificacin de los mismos.
(61)
Francia, a travs de la Ley No. 88-19 de 5 de enero de 1988
sobre el fraude informtico contempl: la intromisin fraudulenta para
suprimir o modificar datos, la obstaculizacin o alteracin de un
sistema de procesamiento de datos automticos, el sabotaje
informtico y la falsificacin de documentos informticos, como
delitos penados.
Espaa,posiblementeelpas quetienemayorexperienciaencasos
(62)
de delitos informticos en Europa , a travs del Cdigo Penal,
sancion el dao, alteracin o inutilizacin de datos, programas o
documentos electrnicos ajenos, violacin de secretos, espionaje
informtico, divulgacin de datos, estafas valindose de
manipulacin informtica.
3.3. CONVENIOSINTERNACIONALES
Debido a que muchos pases del mundo optaron por la informtica
para el continuo desarrollo de sus actividades, existen convenios
internacionales que tratan de regular y evitar que se lleven a cabo
delitos informticos.
51
(63)
El Tratado De Libre Comercio , que propugna la existencia de
"cRQGLFLRQHV GH MXVWD FRPSHWHQFLD entre las naciones participantes y
ofrece no slo proteger sino tambin velar por el cumplimiento de los
derechos de propiedad intelectual. Esto guarda relacin con los
delitos informticos, ya que afectan a la propiedad intelectual como
en el robo de informacin y quienes violan este derecho deben ser
sancionados.
(64)
El Convenio De Budapest , quees elnico acuerdointernacional
que cubre todas las reas importantes de la legislacin relacionadas
con la ciberdelincuencia, el derecho penal, el derecho procesal y la
cooperacin internacional. Fue adoptado por el Comit de Ministros
del Consejo de Europa en su sesin N 109 del 8 de noviembre de
2001, se present a firma en Budapest, el 23 de noviembre de 2001
y entr en vigor el 1 de julio de 2004.
3.4. ORGANIZACIONESINTERNACIONALES
Adems de la legislacin y convenios internacionales, existen
organizaciones que buscan limitar y proteger contra este tipo de
delitos como:
(65)
Business Software Alliance (BSA) , quees una asociacin que
acta legalmente en contra de la piratera informtica en el mundo,

52
acta para proteger los derechos de propiedad intelectual de los
miembros proveedores de software, hacer cumplir la legislacin
acerca del derecho de autor y fomentar su cumplimiento, adems
utiliza lo ltimo en tecnologa para rastrear las descargas ilegales de
software y la distribucin de software pirata en Internet a travs de
sitios de subastas.
(66)
Organizacin de Naciones Unidas (ONU) , que es una
asociacin de gobierno global que facilita la cooperacin en asuntos
como el Derecho Internacional, la paz y seguridad internacional, el
desarrollo econmico y social, los asuntos humanitarios y los
derechos humanos. Reconoce varios tipos de delitos informticos los
cuales son mencionados en el captulo 2.2.
(67)
Organizacin de los Estados Americanos (OEA) , que est
comprometida con el desarrollo e implementacin de la estrategia
Interamericana para combatir las amenazas a la seguridad
ciberntica. Esta estrategia reconoce la necesidad de que todas las
personas involucradas en las redes y sistemas de informacin sean
conscientes de sus funciones y responsabilidades con respecto a la
seguridad, con el fin de crear una cultura de seguridad ciberntica.

4. ESTUDIO DE LA CIENCIA
FORENSEDIGITAL
Para iniciar en la investigacin de casos de delitos informticos se
requiere conocer el concepto de ciencia forense digital, las fases del
anlisis forense digital que se presentan en la escena del crimen y en el
laboratorio, as como tambin conocer los objetivos que se deben
alcanzar con el anlisis, todos estos puntos se detallan en este captulo.
4.1. CONCEPTO DE CIENCIAS FORENSES
El Dr. Santiago Acurio del Pino, Director Nacional de Tecnologa de la
Informacin define D ODV FLHQFLDV IRUHQVHV FRPR Oa utilizacin de
procedimientos y conocimientos cientficos para encontrar, adquirir,
preservar y analizar las evidencias de un delito y presentarlas

(68)
apropiadamente a una corte de Justicia . Tambin se podra
definir a las ciencias forenses como los mtodos, tcnicas y

54
conocimientos aplicados para el anlisis y tratamiento de la evidencia
encontrada con el fin de darle la validez necesaria ante un proceso
legal.
4.2. CONCEPTO DECIENCIA FORENSE DIGITAL
Basndonos en las definiciones anteriores de Ciencias Forenses,
podemos extrapolar una definicin de Ciencia Forense Digital como:
Una investigacin minuciosa de medios digitales, datos procesados
electrnicamente, de toda evidencia digital encontrada con el fin de
que pueda ser utilizada en un proceso legal. As mismo, en la

(69)
SXEOLFDFLyQ ,QWURGXFFLyQ D OD ,QIRUPiWLFD
se define)RUHQVH
Ciencia Forense Digital como la forma de aplicar conceptos,
estrategias y procedimientos de la criminalstica tradicional en medios
informticos especializados, con el objetivo de esclarecer hechos que
puedan catalogarse como incidentes, fraudes o uso indebido de los
mismos ya sea en el mbito de la justicia especializada o en materia
de administracin de la seguridad informtica de las organizaciones.
4.3. FASESDELANLISIS FORENSEDIGITAL
El anlisis forense digital se compone de fases, que debido a la
naturaleza de los crmenes y conductas que investigan se pueden

55
presentar en dos lugares: Escena del crimen y Laboratorio Forense

(70) (71)
.
En la escena del crimen se encuentran normalmente las fases que
tienen como objetivo proteger el estado de la escena de tal manera
que no afecte la identificacin y recoleccin de evidencias. Se debe
asegurar la escena del crimen, ya que se encuentran las pruebas que
podran ser tomadas como evidencia digital, y por lo tanto se deben
tomar las precauciones necesarias para preservarlas y as evitar la
modificacin o destruccin de las mismas. Tambin es necesario
identificar los sistemas de informacin que posiblemente contengan
informacin relevante, todo tipo de dispositivo electrnico como un
computador, celulares, agendas electrnicas, dispositivos externos de
almacenamiento como memorias USB, discos duros, CDs y DVDs.
Para la recoleccin de pruebas se debe tratar en lo posible, minimizar
el impacto en la prueba original, realizando copias exactas de las
evidencias para que estas sean utilizadas en los anlisis forenses y la
evidencia original no sea alterada.
En el Laboratorio Forense se encuentran las etapas que realizan los
expertos en Ciencias Forenses Digitales, empezando por preservar
las evidencias realizando la documentacin de cada actividad y

56
procedimiento, realizando el anlisis siguiendo la metodologa forense
especializada para obtener resultados y presentando de manera
adecuada para que sean vlidas en un proceso judicial.
La recuperacin de las pruebas est basada en el Principio de
IntercambiodeLocard,criminalistafrancs,pioneroenestaciencia,
fundador del Instituto de Criminalstica de la Universidad de Lion, que
HVWDEOHFH HQ HVHQFLD TXH VLHPSUH TXH GRV REMHWRV HQWUDQ HQ
FRQWDFWR WUDQVILHUHQ SDUWH GHO PDWHULDO TXH LQFRUSRUDQ DO RWUR

REMHWR
(72)
.
Objeto A Interaccin Objeto B
Ilustracin 4. 1 - Principio de intercambio de Locard
4.4. OBJETIVOS DEL ANLISIS FORENSEDIGITAL
En un anlisis forense se busca descubrir si se produjo el delito, los
pasos que se llevaron a cabo para esclarecer cmo se produjo el
delito, adems se busca conocer cuando y donde se origin el
ataque, el o los bancos de ataque, as como tambin los activos de
informacin que se vieron afectados y la gravedad en que fueron
afectados. Con todos los rastros encontrados se pretende poder
identificar quien cometi el delito.

5. EVIDENCIA DIGITAL
La clave en un anlisis forense digital es la evidencia digital por lo cual
debemos conocer su definicin y clasificacin, as como tambin
principios bsicos, legales y constitucionales que se deben cumplir
para asegurar su admisibilidad en la investigacin y juzgamiento de un
caso.
5.1. CONCEPTO DE EVIDENCIA DIGITAL

(73)
Segn el Guidelines for the Management of IT Evidence , la
evidencia digital es "cualquier informacin, que sujeta a una
intervencin humana u otra semejante, ha sido extrada de un
medio informtico". Basndonos en este concepto, la evidencia
digital es cualquier informacin que ha sido generada, almacenada
o enviada en un sistema de informacin que se encuentre
comprometida con el cometimiento de un delito, sea directa o

58
indirectamente, y que una vez obtenida, esta informacin se
encuentra entendible para las personas o es capaz de ser
interpretada por personas expertas con la ayuda de programas
adicionales.
5.2. CLASIFICACIN
Todo investigador tiene que recordar que todo lo que se transmite,
procesa o almacena en un dispositivo digital como computadora,
celular, palm, queda registrado y pueden ser recuperados con la
ayuda de tcnicas y herramientas especficas, al ser manipulada
por personal experto en el trato de evidencia digital, respetando
normas y regulaciones legales esta informacin puede ser usada
como evidencia vlida dentro de un proceso judicial y es por ello
que sHJ~Q +% *XLGHOLQHV IRU WKH 0DQDJHPHQW RI ,7

(73)
(YLGHQFH , la evidencia digital puede ser dividida en tres
categoras:
En registros almacenados en el equipo de tecnologa
informtica, como por ejemplo correos electrnicos, archivos de
aplicaciones de ofimtica, imgenes. Tambin los Registros
generados por los equipos de tecnologa informtica, como
por ejemplo registros de auditora, registros de transacciones,

59
registros de eventos. Finalmente, los registros que parcialmente
han sido generados y almacenados en los equipos de
tecnologa informtica, como por ejemplo hojas de clculo
financieras, consultas especializadas en bases de datos, vistas
parciales de datos.
5.3. CRITERIOS DEADMISIBILIDAD
En Ecuador, el Dr. Santiago Acurio, Director Nacional de
Tecnologa de la Informacin, indica que la admisibilidad de la
evidencia digital est dada por varios factores como: (74)
Establecer un procedimiento de operaciones estndar como se
describe en el captulo 7, adems de esto, cumplir con los
principios bsicos reconocidos internacionalmente en el manejo de

(74)
evidencia digital, los cuales se mencionan a continuacin :
El funcionario de la Fiscala o de la Polica Judicial nunca
debe acudir solo al lugar de los hechos, es recomendable
que asistan un mnimo de dos funcionarios. El segundo
funcionario aporta con ms seguridad y ayuda a captar
detalles.
60
Ninguna accin debe tomarse por parte de la Polica
Judicial, la Fiscala o por sus agentes y funcionarios ya que
podran alterar la informacin almacenada en sistemas
informticos y medios magnticos, y perder validez ante un
tribunal. En casos excepcionales una persona capacitada
puede tener acceso a la informacin digital pero se debe
describir la manera en que se realiz dicho acceso, justificar
la razn y detallar las consecuencias de dicho acceso, se
debe llevar una bitcora de todos los procesos con
antelacin que se le aplicaron a la evidencia digital.
El fiscal del caso y/o el oficial encargado de la investigacin
son los responsables de garantizar el cumplimiento de la Ley
y de estos principios, los mismos que se aplican a la
posesin y acceso a la informacin almacenada en sistemas
informticos. De la misma manera, cualquier persona que
acceda o copie informacin deber cumplir con la ley y estos
principios.
Otro criterio es el cumplimiento de los principios constitucionales y
legales establecidos en Ecuador. Doctrina del rbol envenenado

(75)
, la cual hace referencia a una metfora para referirse a la
61
evidencia recolectada con ayuda de informacin obtenida
ilegalmente. Es decir si la fuente de la evidencia (el rbol) se
corrompe entonces la evidencia que se obtiene de la misma (el
fruto) tambin lo est, por lo tanto esta evidencia por lo general no

(76)
tiene validez ante tribunales. Secreto de la correspondencia ,
expresado en el artculo 23 de la Constitucin Poltica de la
Repblica del Ecuador, el cual garantiza la inviolabilidad y el
secreto de la correspondencia, estableciendo que la
correspondencia slo podr ser retenida, abierta y examinada en
los casos previstos en la ley. Secreto de las telecomunicaciones

(77)
expresado en la Ley 184 de Telecomunicaciones (Registro
Oficial No. 996) en el artculo 14, que garantiza el derecho al
secreto y a la privacidad de las telecomunicaciones, prohibiendo a
terceras personas interceptar, interferir, publicar o divulgar sin
consentimiento de las partes la informacin cursada mediante los
servicios de telecomunicaciones.
Finalmente, el personal encargado de la evidencia debe regirse al
procedimiento determinado en la Ley de Comercio Electrnico y el
Cdigo de Procedimiento Penal.

6. PERITOSINFORMTICOS
Las investigaciones realizadas para esclarecer un delito informtico son
llevadas a cabo por tcnicos expertos en el rea de tecnologa
informtica, a los cuales se denomina peritos informticos, quienes
obtienen la evidencia digital de las pruebas recolectadas en una escena
del crimen y quienes deben cumplir con requerimientos legales para ser
reconocidos como tales.
6.1. CONCEPTO DE PERITAJEINFORMATICO
Se puede definir al peritaje informtico como el estudio o
investigacin, que tiene como fin la obtencin de evidencias digitales
relevantes para que puedan ser usadas dentro de un proceso judicial
o extrajudicial y determinar la inocencia o culpabilidad de un

(78)
sospechoso autor de un delito .
63
El peritaje informtico debe ser usado en cualquier caso en el cual se
incluyan equipos o medios digitales como parte del delito, ya sea
como medio o fin, debe ser usado en casos civiles, en los delitos
contra la propiedad privada e intelectual, espionaje industrial,
proteccin de datos personales, fraudes, sabotajes, entre otros.
6.2. PERFIL DE UN PERITO INFORMTICO
El Cdigo de Procedimiento PHQDO HQ HO DUWtFXOR VHxDOD 6RQ
peritos los profesionales especializados en diferentes materias que
hayan sido acreditados como tales, previo proceso de calificacin del

(54)
Ministerio Pblico . As mismo Jeimy Cano, examinador
Certificado de Fraude (CFE) por la ACFE (Asociacin de
Examinadores de Fraude Certificados), miembro de la Red
Iberoamericana de Criptologa y Seguridad de la Informacin
(CriptoRED) y de la Red Latinoamericana de Especialistas en
Derecho Informtico, define a los peritos informticos como
SURIHVLRQDOHV TXH contando con un conocimiento de los

fenmenos
tcnicos en informtica, son personas preparadas para aplicar
procedimientos legales y tcnicamente vlidos para establecer
evidencias en situaciones donde se vulneran o comprometen
sistemas, utilizando mtodos y procedimientos cientficamente
probados y claros que permitan establecer posibles hiptesis sobre el

64
hecho y contar con la evidencia requerida que sustente dichas
KLSyWHVLV
D ORV FXDOHV ORV
WDPELpQ
OODPD
LQYHVWLJDGRUHV HQ
(79)
LQIRUPiWLFD
.
De todo lo anterior, se desprende que el perito deber estar
capacitado en las tcnicas y el uso de herramientas de recuperacin
de informacin, debido a que muchas veces las pruebas no estn en
condiciones ptimas y deben ser tratadas de tal forma que se pueda
obtener la mayor cantidad de informacin til para emitir criterios
dentro de un proceso judicial. El perito debe tambin poseer
conocimiento acerca de la legislacin nacional, internacional,
procedimientos y metodologas legales, tecnologas de informacin,
fundamentos de criminologa y criminalstica, o estar bien asesorado
en estos campos para que pueda presentar un informe vlido en un
proceso judicial. Las reas principales que debe cubrir para llegar a
ser un perito informtico integral son las siguientes.
rea de tecnologas de informacin y electrnica. Debe conocer
lenguajes de programacin, teora de sistemas operacionales y
sistemas de archivo, protocolos e infraestructuras de comunicacin,
fundamentos de circuitos elctricos y electrnicos y arquitectura de

65
computadores. Estos conocimientos son necesarios al momento de
realizar el anlisis y saber dnde buscar informacin.
Fundamento de bases de datos rea de seguridad de la
informacin. Los conocimientos principales en esta rea son los
principios de seguridad de la informacin, las polticas estndares y
procedimientos en seguridad de la informacin, el anlisis de
vulnerabilidades de seguridad informtica, el anlisis y administracin
de riesgos informticos, la recuperacin y continuidad de negocio, y la
clasificacin de la informacin.
Con respecto a los conocimientos sobre ataques informticos, el
perito debe conocer acerca de tcnicas de Hacking y vulneracin de
sistemas de informacin, mecanismos y tecnologas de seguridad
informtica, y concientizacin en seguridad informtica.
rea jurdica. Debe tener conocimientos en teora general del
derecho, formacin bsica en anlisis forense digital, proteccin de
datos y derechos de autor, convergencia tecnolgica, evidencias
digitales y pruebas electrnicas, el anlisis comparado de
legislaciones e iniciativas internacionales.

66
rea de criminalstica y ciencias forenses. El perito debe tener
nocin de conductas criminales, perfiles tcnicos, procedimientos de
anlisis y valoracin de pruebas, cadena de custodia y control de
evidencias, fundamentos de derecho penal y procesal, tica y
responsabilidades del perito, metodologas de anlisis de datos y
presentacin de informes.
rea de informtica forense. El perito debe conocer sobre
esterilizacin de medios de almacenamiento magntico y ptico,
seleccin y entrenamiento en software de recuperacin y anlisis de
datos, anlisis de registros de auditora y control, correlacin y
anlisis de evidencias digitales, procedimientos de control y
aseguramiento de evidencias digitales, y sobre verificacin y
validacin de procedimientos aplicados en la pericia forense.
Cabe resaltar que de no encontrar peritos avalados por la fiscala en
el rea especfica en que se llevara a cabo la investigacin, el cdigo
de procedimiento penal en su Art. 95 establece que el Fiscal deber
nombrar a personas mayores de edad, de honradez reconocida y que
posea conocimientos sobre el tema que deban informar.

67
6.3. FUNCIONES DE UN PERITO

(80) (81)
Un perito puede cumplir una lista larga de funciones como son:
Preservar la evidencia.
Identificacin y recoleccin de evidencias en medios digitales.
Recuperacin y anlisis de datos.
Presentacin de evidencia de una manera clara y entendible
Agente auxiliar del juez en aclaracin de conceptos para que
se pueda dictar sentencia.
6.4. ACREDITACINPARA PERITOS
El consejo de la judicatura es el organismo encargado de organizar y
controlar la asignacin de peritos en territorio Ecuatoriano, de
acuerdo al Cdigo Orgnico de la Funcin Judicial que en su Art. 264
QXPHUDO HVWDEOHFH TXH D pVWH yUJDQR OH FRUUHVSRQGH )LMDU

HO
monto de las tasas y establecer las tablas respectivas por informes
periciales, experticias y dems instrumentos similares necesarios en
la tramitacin de causas, as como sistematizar un registro de los
peritos autorizados y reconocidos por el Consejo de la Judicatura
como idneos, cuidando que stos sean debidamente calificados y

(82)
DFUHGLWHQ H[SHULHQFLD \ SURIHVLRQDOL]DFLyQ. VXILFLHQWH
68
Para obtener la acreditacin como perito, el Consejo de la Judicatura
en su normativa que rige Las Actuaciones y Tabla de Honorarios de

(82)
los peritos en lo civil, penal y afines, dentro de la funcin judicial ,
en su Art. 2 resolvi, que los interesados deben de cumplir con los
requisitos de ser mayor de edad, la cual en Ecuador se define al
cumplir 18 aos, una correcta tica profesional, seriedad e
imparcialidad para cumplir con las tareas asignadas y desvincularse
inmediatamente al concluir su trabajo, y presentar la documentacin
general solicitada por el organismo la cual consiste en :
Solicitud dirigida al Director Provincial del Consejo de la
Judicatura, respectiva, especificando la especialidad pericial.
Hoja de vida.
Cdula de identidad y papeleta de votacin, en original y copia.
Record policial actualizado.
Documentos que acreditan capacitacin y experiencias en las
materias.
Comprobante de pago de servicios administrativos.
Adems de lo anteriormente enumerado, en caso de ser peritos
profesionales se requiere que el ttulo haya sido registrado en el
CONESUP, en original y copia que acredite la formacin acadmica
en la especialidad que postula.

69
6.5. CERTIFICACIONESPROFESIONALES
Actualmente existen organizaciones con programas estructurados
para la formacin de profesionales en Ciencia Forense Digital, con el
fin de que los forenses que tengan esta certificacin cuenten con
conocimientos de metodologas aplicadas internacionalmente, a
continuacin detallamos certificaciones que ofrecen estas

(83) (84) (85)
organizaciones :
Tabla 6. 1 - Certificaciones profesionales
Certificacin Organizacin Detalle

Examinador digital certificado,
ACFE profesional que utiliza las
Certified Computer
Asociacin de tcnicas de investigacin y
Examiner - CCE
Examinadores de anlisis para poder
Fraude Certificados proporcionar pruebas digitales
IACIS Organizacin no lucrativa que

CFEC Computer Asociacin Internacional ofrece reconocimiento y una
Forensic External para Sistemas de certificacin a profesionales
Certification Computadoras de del anlisis forense
Informacin en medios digitales
CCCI Certified HTCN
Investigador de crmenes
Computer Crime High Technology Crime
informticos certificado
Investigator Network
EC-Council Prepara al personal para
CHFI Computer
Consejo Internacional llevar a cabo investigaciones
Hacking Forensic
de Consultores de usando tecnologa de
Investigator
Comercio Electrnico Forensia digital innovadora
ACFE
CFE Certified Asociacin de La ACFE provee capacitacin
Fraud Examiners Examinadores de y entrenamiento anti fraude
Fraude Certificados
7. DEFINICIN DE LA
METODOLOGA FORENSE
DIGITAL
La aplicacin de la metodologa orientada al anlisis de evidencia digital
en sus diferentes fases, procura mantener la integridad de la evidencia
original, de la misma manera que los resultados presentados al final sean
ntegros, confiables y precisos. Para esto se deben cumplir principios o
normas de carcter general al realizar el anlisis y bsqueda de
evidencias digitales, los cuales son: Evitar la contaminacin de la
evidencia, aplicar metodologas o procedimientos definidos como

(86)
estndares y controlar la cadena de evidencia .
71
7.1. CADENA DE CUSTODIA
La cadena de custodia es el procedimiento de control documentado
que se aplica a la evidencia fsica, para garantizar y demostrar la
identidad, integridad, preservacin, seguridad, almacenamiento,

(87)
continuidad y registro GH OD PLVPD . La cadena de custodia
comienza en el lugar donde se encuentra, obtenga o recolecta la
evidencia fsica y solo finaliza cuando la autoridad competente lo
ordene, durante este proceso se siguen varias etapas que

(88) (89)
presentamos a continuacin:
7.1.1. Recoleccin, clasificacin y embalajede la prueba.
La cadena de custodia empieza en la escena del delito por lo
cual es fundamental el aseguramiento de la misma con el fin de
evitar la contaminacin de la evidencia.
El personal encargado de la recoleccin de las pruebas en la
escena, no siempre es personal tcnico capacitado, sino
personal del departamento de polica quienes son los primeros
en llegar al lugar de los hechos, por esto se debe definir una
serie de procedimientos a seguir para evitar que la evidencia
digital se vea afectada en su integridad y/o admisibilidad, tales
como:
72
Aislar a los equipos informticos inmediatamente de
todo contacto con las personas que se encuentren en el
lugar de los hechos, impidiendo que estos equipos sean
utilizados nuevamente. Se debe de identificar y dejar
registrado en un acta la(s) personas que trabajen en los
equipos informticos disponibles o el dueo del equipo.
Si es posible, obtener en el lugar las contraseas de las
aplicaciones y dejarlas registradas en un acta de
allanamiento.
Registrar todos los elementos y fotografiarlos antes de
moverlos o desconectarlos. Fotografiar las pantallas de
cada uno de los equipos, si se encuentran encendidas,
que se encuentren en el lugar, as como una toma del
lugar completo.
Evitar el contacto directo de la piel con el material
informtico presente en el lugar, es necesario el uso de
guantes de ltex para realizar la recoleccin, ya que
puede existir muestras de ADN, huellas dactilares, etc.,
en las partes y dispositivos informticos, como teclado,
mouse, DVD, etc.

73
Si se encuentran equipos encendidos no se procede a
apagarlos inmediatamente, se procede como se indica
en el captulo 7.2.1 para poder obtener la evidencia y
trasladarla al laboratorio. Se debe documentar la hora y
la fecha del sistema antes de apagar el computador, ya
que puede ser de utilidad al momento de presentar
evidencias.
En el caso de encontrar equipos apagados se procede
nicamente a desconectarlos desde la toma del equipo
ya que al encontrarse en este estado no incurren en el
riesgo de prdida de informacin. Si se tratase de una
laptop se procede a quitarle la batera.
Identificar y clasificar la evidencia encontrada de
acuerdo a su naturaleza, al hacer la clasificacin se
debe rotular cada uno de los equipos y componentes
que se van a trasladar como evidencia, y llenar el acta
definida en el Anexo F.
Usar bolsas y/o envases especiales antiestticos
etiquetados o etiquetables, para el almacenamiento de

74
dispositivos susceptibles a la esttica tales como discos
duros, CDs, DVDs, y dispositivos de almacenamiento
con caractersticas electromagnticas, ya que la mnima
descarga de electricidad esttica puede llegar a daar
los dispositivos.
7.1.2. Embalaje de la evidencia
Se debe de registrar el nombre del oficial encargado del
embalaje, etiquetado y clasificacin de la evidencia encontrada
ya que l ser el encargado de su traslado hasta los almacenes
de custodia. En esta etapa se recomienda etiquetado y
rotulacin que permitan una fcil ubicacin e identificacin de la
evidencia.
7.1.3. Custodia y trasladode laevidencia.
El oficial que realiz el embalaje, clasificacin y etiquetado de la
evidencia ser el encargado de trasladarla al almacn del
laboratorio, y este permanecer en el lugar hasta que la
evidencia sea aceptada e ingresada por la persona encargada
de la custodia de la misma. En caso contrario, se documentar
el cambio de custodia.
75
Una vez ingresada al Laboratorio de Ciencias Forenses
Digitales, se procede a realizar el registro de entrada de la
evidencia digital completando el formulario Ingreso de Evidencia
mostrado en el Anexo B. Debe de quedar registrado el nmero
del caso al cual pertenece la evidencia, el estado en que llego al
laboratorio, el nombre de la persona que entrega la prueba en el
laboratorio.
Posteriormente se proceder a almacenar la evidencia en
recipientes especiales, con aislamiento y protegidos contra la
esttica que se puede generar en el medio, esta ser
almacenada en una habitacin con seguridades fsicas, a la
cual solo podr acceder personal del laboratorio que cuente con
la debida autorizacin.
Para las evidencias almacenadas en el laboratorio se debe
llevar un inventario llenando el formulario de Inventario
mostrado en el Anexo C, con el fin de controlar las evidencias
almacenadas.
Todo traslado de la evidencia dentro y fuera del laboratorio ser
registrado indicando el nombre de la persona encargada del

76
traslado de la evidencia, fecha y hora de entrega de la
evidencia, y se llevar un registro de la ubicacin de la
evidencia durante su transporte, para as no perder nunca el
rastro de la evidencia, este formulario de Entrada y Salida de
Evidencia se detalla en el Anexo D.
7.1.4. Anlisis de la evidencia
Para realizar el o los anlisis el perito encargado debe de
solicitar al almacn del laboratorio la prueba a la cual le va a
efectuar los anlisis, procediendo al llenado de las actas
respectivas de entrega de evidencia que se encuentran en el
almacn, y en las cuales se registrar el nombre de cualquier
elemento del laboratorio que tenga contacto directo con la
evidencia y el procedimiento y/o anlisis que va a realizar.
As mismo para evitar corromper y afectar la integridad de la
evidencia al momento de realizar el anlisis, es obligacin del
perito obtener el nmero de copias idnticas de la muestra,
necesarias para realizar los anlisis respectivos.
Toda persona que reciba una evidencia fsica por parte del
almacn debe de revisar el recipiente que la contiene antes de

77
registrar el recibido de la evidencia, y registrar las condiciones
en que encuentra la evidencia en el formato que maneja el
laboratorio. Esta evidencia podr ser sacada de su almacenaje
y podr ser abierta nicamente por el perito designado para su
anlisis.
El perito encargado del anlisis de la evidencia digital tiene la
obligacin de llevar una bitcora de anlisis como lo muestra el
Anexo E, en la cual se registrar cada uno de los
procedimientos que se realizan sobre la evidencia, as como la
justificacin del anlisis, las observaciones o inconvenientes
que se presenten durante el anlisis.
Posterior a la finalizacin del anlisis, toda evidencia debe ser
devuelta al almacn del laboratorio para su almacenaje, el
encargado del almacn debe de registrar el ingreso de la
evidencia y debe de etiquetarlas con una codificacin para que
sea posible su ubicacin para nuevos anlisis o para su
destruccin.
78
7.1.5. Custodia y preservacin final hasta que se realice el
debate.
La evidencia tendr que ser recibida por el personal encargado
del almacn del laboratorio, el cual debe de registrar la fecha y
hora de recepcin del material as como el nombre del perito
que hace entrega de la misma y verificar el estado en que fue
recibida y almacenarla siguiendo cdigos que faciliten la
localizacin para futuros anlisis y/o destruccin segn sea el
caso.
7.2. PROCEDIMIENTOSTCNICOS
Los procedimientos tcnicos aplicados a las evidencias digitales
deben ser implementados guardando la integridad y confiabilidad de
las evidencias digitales.
7.2.1. Recoleccin deevidencia digital
Se deben tomar decisiones y precauciones para mantener la
evidencia intacta y libre de contaminacin externa, una de las
primeras decisiones que se debe tomar es con respecto a un
computador encontrado en la escena de los hechos, ya que se
debe de tomar en cuenta que si es apagado inmediatamente

79
puede existir prdida de memoria RAM y si no se apaga
existira la posibilidad de que se ejecute una bomba lgica.
Para apagar el computador, que es evidencia se recomienda
seguir los siguientes pasos:
No apagar el equipo desde el botn que cumple esta
funcin.
Si el computador no se encuentra bloqueado, se debe
poner el computador en modo suspensin. En caso
contrario, desconectar el cable de alimentacin elctrica
desde la fuente del poder del computador, de esta
manera los datos pasan al disco duro.
Al finalizar el allanamiento, para el traslado de las pruebas se
procede como se indica en la seccin 7.1.1 de la cadena de
custodia para que una vez que las pruebas se encuentren en el
laboratorio se pueda proceder al anlisis.
Realizar copiasde laprueba original.
De los elementos donde se espera encontrar pruebas, se debe
realizar por lo menos una copia del original sobre la que se
trabajar.
80
La copia de las evidencias digitales como informacin en
archivos de texto, imgenes, entre otros que estn
almacenadas en discos duros debe ser realizada mediante
software especializado que no altere la evidencia y esta pueda

(90) (91)
ser aceptada en un proceso judicial .
La copia del contenido original incluye archivos ocultos,
registros, archivos corruptos, archivos borrados y que an no
hayan sido sobrescritos. Se utiliza el mtodo CRC para validar
que es fiel copia del original.
Para realizar la copia del contenido original del computador, se
debe extraer el disco duro siempre tomando las medidas de
seguridad adecuadas para proteger la evidencia. Si no es
posible extraer el disco duro, se debe modificar la secuencia de
arranque en el BIOS del sistema y arrancar con un sistema
operativo desde un CD, sin instalar nada en el sistema.
Para realizar la imagen del disco original se pueden tomar
varias alternativas, dependiendo del equipamiento del
laboratorio.
81
Opcin1:Sepuedeusaruncableconvertidor(IDEoSATA)a
USB, enclosure, conexin de red, conexin Ethernet, cable
cruzado, USB, etc., para transferir el contenido del disco
mediante software como el Encase (captulo 8.3).
Opcin 2: Se hace uso de la herramienta duplicador Forensic
Talon kit (captulo 8.2), que facilitara la obtencin de la imagen
del disco duro.
Desconectar el disco duro original y almacenarlo
adecuadamente, con las seguridades antiestticas.
Copia de informacin de dispositivos de mano como

(91)
celulares, PDAs y PocketPCs . Para crear una imagen de
estos dispositivos se utiliza software especializado que realiza
copias completas de la informacin almacenada en la memoria
de estos dispositivos, incluyendo aplicaciones, datos del
usuario, calendario y tareas.
De la misma manera se obtiene informacin del equipo, como
versin del sistema operativo, modelos del dispositivo, tipo de
tecnologa que utiliza y el fabricante.

82
(91)
Retencin de tiempos y fechas . Durante el anlisis,
siempre que sea posible se debe trabajar con zonas de tiempo
GMT o cualquier otro estandarizado. El delito puede involucrar
varias zonas de tiempo y usando una estandarizada puede ser
un punto de referencia que haga el anlisis de las evidencias
ms sencillo.
Generarlosprocesosdesumadeverificacincriptogrfico
(91)
de la evidencia digital (copia y original) . Se genera un
proceso de suma de verificacin de la evidencia original y de las
copias para garantizar que esta no ha sido alterada durante el
anlisis, para esto usamos el algoritmo de suma de verificacin
MD5.
7.2.2. Identificacin de las evidencias digitales
Debido a que en los sistemas de informacin es posible
encontrar evidencia digital heterognea, lo mejor es realizar una
clasificacin de las evidencias digitales en evidencias digitales
en medios voltiles y en medios no voltiles.
Las evidencias digitales en medios voltiles desaparecen ante
la falla de alimentacin elctrica o falla de conexin y es posible

83
obtenerlas en diferentes lugares (Anexo U). Para obtener esta
informacin disponemos de software como por ejemplo Deft
Extra (Anexo O), que es una coleccin de herramientas con las
cuales podemos obtener registros de las actividades del
computador, tiempos en los que ha estado encendido y que
usuario lo hizo, etc.
Ya que es informacin voltil, se deben realizar los pasos para
preservacin de evidencia, de esta manera los datos pasan al
disco duro y la evidencia pasa a ser tratada como informacin
en un medio no voltil. Las evidencias no voltiles perduran an
con la interrupcin de alimentacin elctrica y es posible
obtenerlas en diferentes lugares como se detalla en el Anexo U

(92)
.
7.2.3. Anlisis de las evidenciasdigitales
La evidencia digital normalmente se forma por el contenido de
los ficheros o datos y la informacin sobre los ficheros
(metadatos). Basndose en estas evidencias el investigador

(91)
debe tratar de contestar las preguntas de:
Qu?: Determinar la naturaleza de los eventos
ocurridos.
84
Cundo?: Reconstruir la secuencia temporal de los
hechos.
Cmo?: Descubrir que herramientas o piezas de
software se han usado para cometer el delito.
Quin?: Reunir informacin sobre los involucrados en
el hecho.
Durante el anlisis se extrae informacin relevante del caso
para recrear la cadena de eventos sucedidos, por lo tanto se
requiere nocin de lo que se est buscando y como obtenerlo.
Categoras dedatos.
Los datos se dividen en varias categoras para facilitar la
bsqueda de la evidencia, ya que existen grupos clasificados

(91)
.
Datos lgicamente accesibles: Los cuales son almacenados
en dispositivos de almacenamiento internos, externos y
extrables. En estos datos pueden existir algunas dificultades en
estos datos como una gran cantidad de informacin a analizar,
la posibilidad que los datos estn cifrados o que existan datos
corruptos o que incluyan alguna trampa como cdigo hostil, que

85
al producirse cierta situacin puede hacer que se formatee el
disco duro.
Datosquehansido eliminados: Mientras los datos nohayan
sido completamente sobrescritos se pueden recuperar. Para
recuperar los datos que han sido eliminados se utilizan
herramientas de software (captulo 8.3) que permiten recuperar
archivos incluso despus de haber formateado el disco duro.
DDWRV HQ DPELHQW GDWD: Datos en espacio no asignado,
archivos de intercambio, espacio entre sectores, entre
particiones, flujos alternativos de datos, etc. Para recuperarlos
se necesita software especial (captulo 8.3).
Datosocultos:Los forenses informticos puedenusartcnicas
esteganogrficas para buscar y detectar informacin oculta en
los sistemas o ficheros (Anexo J).
Elementos a analizar segnel tipode sistema (Anexo K).
Se deben analizar los elementos segn el tipo de sistema, ya
que contienen informacin distribuida de diferente manera. En
los sistemas operativos como MS Windows o Unix/Linux,

86
existen diferentes tipos de ficheros y registros que proporcionan
informacin descriptiva importante.
Existen diferentes tipos de redes inalmbricas, conexiones, de
donde se obtiene informacin de tarjetas, logs, mdems, etc.
Para determinar informacin de las comunicaciones existentes
que se realizan desde el ordenador.
En el caso de los dispositivos mviles se pueden obtener
memorias, chips, tarjetas SIM donde se almacena la
informacin personal que contiene y las actividades realizadas
mediante este dispositivo.
7.2.4. Anlisis dedispositivos mviles
El dispositivo debe ser totalmente cargado previo al examen, se
debe considerar tener una fuente de alimentacin de energa
fija o porttil. El anlisis se debe empezar con una copia de la
informacin que se extrae del dispositivo, el tipo de informacin
que puede encontrarse y los pasos para encontrarla se detallan
en el Anexo P.
87
Los dispositivos mviles cuentan con tres tipos de

(93)
almacenamiento : Tarjeta SIM, memoria externa y memoria
interna.
En las tarjetas desmontables SIM de los telfonos mviles
podemos encontrar evidencia registrada en la informacin del
servicio, el listado de llamadas, directorio telefnico y los
mensajes de texto o multimedia.
En la memoria interna de estos dispositivos se almacena
informacin como la identidad del telfono, mensajes de texto,
configuracin del telfono, grabaciones de audio, calendario,
imgenes, archivos, programas, e-mail e historial web.
Existen dispositivos mviles de ltima generacin que tienen
una tarjeta de memoria externa que posee capacidad de
almacenamiento para archivos personales tales como
imgenes, msica, video, documentos, etc.
Con la informacin obtenida se puede realizar una relacin
entre los datos encontrados y los resultados que se espera

88
obtener, esto lo podemos representar en una matriz de
referencia.
Tabla 7. 1 - Matriz de referencia
Fuentede Por
Quin? Qu? Dnde? Cundo? Cmo?
evidencia qu?
Identificadores
dedispositivo X
/suscriptor
Registrode
X X
llamadas
Directorio
X
telefnico
Calendario X X X X X X
Mensajes X X X X X X
Ubicacin X X
Contenidode
X X X X X X
URLdeweb
Imgenes/
X X X X X
video
Otrocontenido
X X X X X X
dearchivo
7.2.5. Presentacin de resultados
La elaboracin del reporte de los resultados detalla las
evidencias encontradas durante el anlisis, presenta cada
procedimiento realizado a cada una de ellas, justificndolos
para darle validez a la evidencia digital, replantea los hechos y
determina las conclusiones.
El objetivo de presentar los resultados de las evidencias
encontradas ante la corte es probar el delito que se ha

89
realizado, el qu, como, cuando y quien fue el autor del mismo.
El xito del caso depende en su gran mayora de la efectividad
de la presentacin de los resultados.
Los informes deben presentar la informacin relevante de la
evidencia evitando la terminologa tcnica, de manera clara,
concisa, estructurada y sin ambigedad para hacer su
interpretacin lo ms sencilla posible, el lenguaje natural
utilizado en la presentacin facilita a que las personas en la
audiencia que no necesariamente tengan conocimientos
tcnicos comprendan los resultados.

8. DISEO DELLABORATORIO DE
CIENCIASFORENSES
DIGITALES
Analizaremos las condiciones fsicas, ambientales e infraestructura para la
adecuacin del Laboratorio de Ciencia Forense Digital, as como tambin las
opciones de hardware y software necesarios para el proceso de anlisis
forense digital. Luego de analizar las opciones se seleccionar una de ellas
para la implementacin del laboratorio basndonos en factores prioritarios
como ubicacin, seguridad, entre otras.
8.1. INSTALACIONES
El Laboratorio de Ciencia Forense Digital requiere de instalaciones que
cumplan con las caractersticas y acondicionamiento descritos a
continuacin:
91
8.1.1. Seguridad fsica de las instalaciones
Las instalaciones deben de garantizar la integridad y la
seguridad de la evidencia, es por esto que contar con medidas
de seguridad que permitan el acceso solo a personal
autorizado, para definir las medidas de seguridad que se

(94)
detallan a continuacin nos ayudaremos de algunas fuentes
(95)
:
Acceso mediante sistema biomtrico, y cerradura, previamente
se debe haber realizado la identificacin de la persona que
desea ingresar. Tambin, contar con un sistema de video de
circuito cerrado, que grabar todos los acontecimientos dentro
del laboratorio, todas las reas contarn con cmaras y estas
grabarn durante las 24 horas incluso si el laboratorio no se
encuentra operando y solo podrn acceder a las grabaciones la
persona encargada de la seguridad del laboratorio y el
supervisor. Finalmente, se instalar un sistema de alarma con
sensor de movimientos que se encontrar intercomunicado con
la estacin de polica ms cercana y con un equipo de
guardiana privada, los cuales atendern cualquier alerta del
laboratorio.
92
Todo el personal que labore dentro de las instalaciones del
laboratorio deber de portar la credencial otorgada por el
laboratorio en todo momento y en un lugar visible. Por lo
general no se aceptan visitas al laboratorio, pero en el caso de
que alguna persona requiera comunicarse con personal del
laboratorio, deber presentar una identificacin y ser
anunciado con esa persona para luego ser atendido en el rea
anexa de Control de Acceso y Entrada, ninguna persona que no
labore en el laboratorio podr ingresar a las reas de anlisis,
en casos especiales se deber solicitar una autorizacin del
supervisor del laboratorio. Adems, se llevar un registro de las
personas que ingresan al laboratorio mediante el llenado de un
documento de registro (Anexo H), toda persona que ingrese al
rea de Control de Acceso y Entrada del laboratorio quedar
registrada junto con el nombre de la persona con quien se
comunic, el motivo y firmar su salida.
8.1.2. Condiciones ambientales
El laboratorio debe poseer las condiciones ambientales ideales,
las cuales detallamos ms adelante, como energa elctrica,
buena iluminacin, ventilacin, temperatura y humedad
apropiados para la realizacin de las investigaciones,

93
asegurndose en todo momento que estas condiciones no
invaliden el resultado de los anlisis ni la calidad requerida, as

(94) (96) (97)
mismo el estado de las evidencias digitales originales .
Un laboratorio de Ciencias Forenses Digitales debe estar
preparado para el peor de los casos, puesto que se manejan
dispositivos elctricos y electrnicos susceptibles a problemas
elctricos, por ello, es primordial tomar en cuenta las siguientes
condiciones para evitar que influyan en la calidad de los
resultados:
Esterilidad biolgica.- Se desinfectar la superficie de
trabajo, se recomienda leja al 2%.
Interferencia electromagntica.- Se utiliza la jaula de
Faraday para blindaje contra radiofrecuencia e
interferencia electromagntica.
Suministro elctrico.- Instalacin de UPS y generador
elctrico
Ruido y vibracin.- Instalacin de materiales aislantes
para evitar la propagacin de ruido y vibraciones dentro
del laboratorio.
94
El sistema de climatizacin e instalacin de filtros evita el paso
de polvo, la humedad, y el sobrecalentamiento y deterioro de
los equipos de cmputo que se usarn en las diferentes etapas
del proceso de anlisis de la evidencia, es recomendable
manejar un correcto sistema de refrigeracin con temperaturas
que vayan de 18C a 30C, aunque se recomienda que se
mantenga en una temperatura estable de 22C y mantener un
lmite de humedad mximo del 65% dentro de las instalaciones.
Sistema de extincin de incendios que este adecuado al
material elctrico y magntico, que se va a manejar dentro de
las instalaciones, para tratar de causar el menor impacto en
caso de su uso, tales como polvo qumico seco o bixido de
carbono , espuma, INERGEN, entre otras.
Una valoracin de los costos de estos sistemas se detallan en
el Anexo L de presupuesto inicial, la distribucin de estos
sistemas se detallan a continuacin.
8.1.3. Despliegue de infraestructura en el interior de laboratorio
Las instalaciones debern contar con elementos esenciales,
tales como (98) (99):

95
Cableado de red, con puntos de red en todas las reas
del laboratorio, esta ser una intranet sin acceso a
internet, en la mayora de las reas.
Conexin a red exterior (internet), la cual va a ser
destinada para cualquier consulta, investigacin,
transmisin de informacin, que tenga que realizar el
personal del laboratorio entorno a un caso en anlisis o a
analizar.
Cableado telefnico para uso tanto externo como interno,
uso de las lneas externas mediante la digitacin de un
cdigo de seguridad, y el uso interno mediante la
digitacin del nmero de la extensin.
Generador elctrico propio o UPS, en caso de que falle el
suministro de energa elctrica, el generador se
encontrara ubicado en un rea externa al laboratorio.
Habitaciones en lo posible sin ventanas a la parte externa
del laboratorio y con divisiones para las distintas reas
son ideales para este tipo de instalaciones. Si el techo
tiene cielo raso asegurarse que no existan aperturas por
el cual puede caer algn tipo de contaminante o
elemento que contamine la evidencia.

96
Las instalaciones estarn divididas en tres reas:
almacenamiento, mecnica y anlisis; a continuacin
presentamos tres opciones de diseo, en cuanto a la
distribucin de las reas mencionadas:
Diseo1.
En el diseo uno, las divisiones son realizadas con paneles
mviles, se muestra un rea de control de acceso y entrada,
donde se recibirn visitantes en caso de existir, se tiene una
puerta que permitir el ingreso al laboratorio. Existir un rea de
almacenamiento abierta, la cual tendr varios armarios y un
mostrador donde se receptar la evidencia.
En el rea mecnica estarn ubicados dos puestos de trabajo
utilizados por el personal del laboratorio para el ensamblaje y
desmonte de equipos. En el rea de anlisis tambin existirn
dos puestos de trabajo, uno tendr acceso a internet y el otro
no.
97
Armarios deevidencias
TP reade
almacenamiento
reamecnica
reade anlisis
A E
c l
c
e re
s a
o TP
Y D
E e
n C
tr o
a n PCinternete
d
a
tr
o
PCforense
l
D
intranet
e
TP
Ilustracin 8. 1 - Diseo del Laboratorio de Ciencias Forenses Digitales, opcin 1
Diseo2.
En el diseo dos, se muestra un rea de almacenamiento ms
segura, ya que previo a esta rea se acondicionar un cubculo
con una puerta de acceso a la ubicacin de los armarios de
evidencia.
Se cuenta con mayor amplitud en el rea de anlisis, aqu se
ubicarn tres puestos de trabajo cada uno con un armario
respectivo, y sern divididos con paneles mviles. Todas las
reas son de libre acceso, solo se cuenta con una puerta de
entrada principal a las instalaciones del laboratorio.

98
a
lm
a m
c m A
e 0re e
v rm
E n 0a id a
l
a 12 e ri
re md m n o
ie e
c s
a m ia
s d
D
e n 0
0 e
C to 5 P
o C
n
tr fo
o re
l reade anlisis
D
e n
A s
c e
c
e
s
o
Y rea mecnica
E
n
tr
a
d
a
Diseo3.
En el diseo tres, se muestra un rea de anlisis en la que se
ubicarn cuatro puestos de trabajo, con una puerta de acceso a
esta rea hacindola ms segura. El rea mecnica contar con
tres puestos de trabajo de mayor amplitud, y con una puerta
individual de acceso restringiendo la entrada. El rea de
almacenamiento es de mayor seguridad ya que para poder
ingresar a los armarios se debe de ingresar por dos puertas
previas con seguridades.
En esta opcin las divisiones sern hechas con paredes fijas de
cemento, haciendo a esta la opcin ms segura, sin embargo

99
se convierte en la opcin que genera un mayor consumo de
recursos econmicos, y limitara el crecimiento futuro del
laboratorio.
PCforense P
C
in in
tr te Armarios de
a
n rn evidencias
rea de anlisis e e
t t
e
PCforense
rea de
almacenamiento
A E
c l
c
e re
s
o a
Y D
E e
n C
tr o
a n rea mecnica
d tr
a o
l
D
e
Se selecciona el diseo nmero dos como el que mejor se
adapta a las necesidades del laboratorio, ya que cuenta con
seguridades en el rea ms crtica como es el rea de
almacenamiento con respecto a la opcin uno, y con respecto a
la opcin tres supondra una menor inversin econmica y
facilidad de reubicacin de las reas de acuerdo a las
necesidades o crecimiento del laboratorio.

100
8.1.4. Especificaciones generales de las opciones de
instalacionesfsicas para laimplementacin del laboratorio
Para el diseo del rea de almacenamiento, tomaremos como
referencia el documento )RUHQVLF /DERUDWRULHV Handbook for

(95)
DFLOLW\ )3ODQQLQJ 'HVLJQ &RQVWUXFWLRQ DQG , del0RYLQJ
Departamento de Justicia de los Estados Unidos.
Esta rea contar con seguridades fsicas desde su ingreso
debido a la importancia que representa el almacenamiento de la
evidencia para garantizar su integridad. Adems, contar con
un rea de Control de Acceso y Entrada, que ser el lugar
donde se atender a las personas que soliciten alguna prueba
para su anlisis, ningn personal sin autorizacin podr acceder
ms all del rea de Control de Acceso y Entrada.
Tambin tendr armarios en donde se almacenar la evidencia
que llegan a las instalaciones del laboratorio para el proceso de
investigacin y para su almacenaje posterior a los anlisis, esta
rea tendr acceso restringido al igual que todas las
instalaciones y se registrar la hora y el nombre de la persona
que acceda a ella (Anexo G).

101
Para evitar daos en la evidencia por condiciones ambientales
se tomarn precauciones para el correcto almacenamiento de la
evidencia dependiendo de la naturaleza de la misma, usando
contenedores antiestticos y/o esponja antiesttica, lo que
ayudar a aislar de fuentes elctricas y de campos magnticos,
que puedan corromper la informacin contenida en los
dispositivos digitales durante su almacenamiento y transporte.
Las puertas de acceso al almacn poseer cerraduras tipo
multilock para mantener una mayor seguridad de las pruebas, lo
que garantizar que solo personal autorizado podr ingresar y
tener contacto con los contenedores de las evidencias, adems
se instalarn cmaras de seguridad que se encuentren
registrando quienes entran y salen del almacn.
As mismo los armarios tendrn cerraduras o candados tipo
multilock como medida de seguridad, y un control escrito de
acceso a los armarios, la integracin de estas medidas permitir
mantener un registro de quienes acceden a los armarios para la
manipulacin del sistema, el acceso a estos armarios solo lo
tendr la persona encargada del almacn de la evidencia, y solo

102
se podr acceder a estos armarios cuando sea necesario,
almacenar nueva evidencia, extraer evidencias para los anlisis,
para almacenar la evidencia despus del anlisis, o para extraer
la evidencia para su destruccin o su traslado a otras
instalaciones segn ordene la autoridad competente a cargo del
caso.
Toda persona que ingrese a la recepcin y almacn, tendr que
registrar sus datos y el motivo por el cual entra al rea de
almacenamiento, as mismo sern grabadas durante toda su
permanencia en esta rea.
En el rea mecnica, serealizar eldesmontaje, ensamblajey
manipulacin fsica de un computador, en caso de que se
necesite analizar un computador completo, esto es para que
sus partes puedan ser analizadas por separado si las

(99)
circunstancias lo ameritan. Usaremos como referencia , para
ayudarnos al diseo de esta rea.
Para llevar a cabo la tarea de desmontaje, se dispondrn de
herramientas necesarias, as como de equipos especializados,
entre las herramientas que se dispondrn estn:

103
Juego destornilladores (Estrella. hexagonal o torx, de
pala, de copa y Y, entre otros)
Pulsera Antiesttica
Soplador
Limpia contactos en aerosol
En esta rea se realizar la extraccin de ciertos elementos del
computador como disco duros, tarjetas de memorias, para
posteriormente pasen al rea de anlisis.
En el rea de anlisis del laboratorio, se llevar a cabo el
proceso de respaldo de informacin, copias de la evidencia
original, etc. Para proceder al anlisis y bsqueda de evidencia.
Para llevar a cabo todas las tareas que estn incluidas en el
anlisis de la evidencia, esta rea contar con las herramientas
de anlisis forenses que se dispongan tanto hardware como
software. Existirn dos zonas, una de la cuales tendr acceso a
internet en la cual se podrn realizar investigaciones, que se
necesiten dentro del proceso de anlisis, y la otra zona no
tendr acceso a internet para evitar cualquier intervencin
externa en el anlisis de la evidencia.

104
En todas las reas, se dispondr de cmaras de seguridad, que
registrarn en video todo lo que suceda en el interior.
8.2. EQUIPOSINFORMTICOS
El conjunto de equipos de trabajo en el laboratorio de Ciencia
Forense Digital, integra herramientas especializadas, computadores
de escritorio y porttiles para llevar a cabo el proceso de anlisis
forense.
Herramientas de duplicacin de discos con alta velocidad de copiado,
conectividad con las diferentes interfaces de discos duros,
adaptadores, portabilidad, esto permitir realizar copias de discos
duros los cuales se usarn para los anlisis de las pruebas de una
manera fcil y rpida. En el punto uno del Anexo V de Hardware, se
muestra una comparacin entre varias herramientas de este tipo y
que nos servir para la elaboracin de las opciones de
implementacin mostradas en el captulo 8.7
Adems se contar con dos tipos de equipo en las instalaciones el
equipo base que ser una desktop y un equipo porttil que ser una
laptop con similares caractersticas que el equipo base. Las

105
caractersticas de los equipos se mostrarn a continuacin, se us

(99)
como referencia para decidir las caractersticas la fuente :
Equipo baseforense.
Este equipo servir para el almacenamiento de evidencia digital,
reportes tcnicos, para creacin y ejecucin de mquinas virtuales, y
para operaciones que requieran una alta capacidad de
procesamiento. Entre las caracteristicas que debe poseer este equipo
estan: Procesador con una alta capacidad para tener una mayor
velocidad de procesamiento en especial para el trabajo con audio y
video, con un sistema operativo estable y capaz de ser compatible
con el software forense que se va a utilizar, disco duro con gran
capacidad de almacenamiento, en configuracin RAID-1+0 que sern
utilizados como almacen de informacin de casos trabajados, Y 500
GB en configuracin RAID-0 que sern usados para almacenamiento
de trabajo temporal o tareas especificas, memoria RAM 8 GB DDR3,
puertos USB, fireware, red 100/1000, Monitor 22''.
Equipo Portatil.
Este equipo servir para realizar trabajo de campo en caso de que se
amerite, con alta capacidad de procesamiento para poder realizar las

106
tareas. Entre las caractersticas de este equipo tenemos: Sistema
operativo estable y capaz de ser compatible con el software forense
que se va a utilizar, procesador con alto poder de procesamiento para
tener un tiempo de respuesta alto, disco duro con gran capacidad de
almacenamiento, memoria RAM de alta velocidad, puertos USB,
fireware, red 100/1000.
Accesorios adicionales.
Adicionalmente a los equipos especializados dentro del laboratorio, se
deber de contar con una serie de herramientas y suministros, que
ayudarn a llevar a cabo la labor del perito, estas herramientas
servirn entre otras cosas para sacar respaldos de la informacin
relevante, la presentacin de informes, imgenes de discos duros.

(99)
Entre esos accesorios tenemos : discos duro externos, grabadores
de CD/DVD, adaptadores, dispositivos de almacenamiento, podemos
ver una lista ms detallada en el punto dos de Anexo V hardware.
8.3. SOFTWARE UTILIZADO
Existen varias herramientas de software usadas en el anlisis forense
digital de las cuales presentamos las caractersticas principales de
algunas de ellas en la tabla que se presenta a continuacin:

107
Tabla 8. 1 - Tabla comparativa de software
Easy
Digital Fox
Deft Forensics Recovery Chrome
Encase Caine Forensics Analys
Extra Toolkit Profession Analysis
Framework is
al
Clonacin de
X X X
discos
Comprobar
integridad X X X X
criptogrfica
Informacin del
X X X X
sistema
Adquisicin en
X X X X
vivo
Recuperacin
X X X X
de contraseas
Recuperacin
de archivos X X X X
borrados
Recuperacin
de emails X X
borrados
Anlisis
forense en X X X
redes
Anlisis
forense en X X X X X X
navegadores
Anlisis de
dispositivos X X
mviles
Anlisis de
firmas de X
archivos
Bsqueda de
X X X
archivos
Utilitarios
X X
extras
Reporte manual X
Reporte
X X
automtico
Volcado de
X
memoria RAM
Adquisicin de
X
evidencia RAM
Herramientas
de X
automatizacin
En base a la evaluacin y comparacin de los software indicados en
la tabla 8.1, se puede observar que existen dos herramientas de
software que son los ms completos en cuanto a tareas se puedan
realizar, estos son el Encase y el Deft-extra, y que se puede hacer

108
uso de software complementario si fuese necesario para las tareas
que no puedan desempear estas dos herramientas. La descripcin y
caractersticas detalladas de estos tipos de software se encuentran en
el Anexo M.
Para la eleccin final del software que se va a usar en el laboratorio
de Ciencias Forenses Digitales se basar adems de las
caractersticas en el costo de la licencias y la capacidad adquisitiva
del laboratorio al momento de implementacin, es por esto que
mostramos tres opciones de implementacin (Anexo N).
8.4. MATERIALES DE REFERENCIA.
Una biblioteca con libros y revistas referentes al tema de seguridad
informtica, anlisis forense, y temas relacionados a la actividad del

(94) (95) (99)
laboratorio .
Tambin se contar con una base de archivos digitales con papers,
mejores prcticas, normas y manuales de procedimientos en el
campo Forense Digital. Este material ser una buena fuente de
referencia al alcance de los miembros del laboratorio, la cual se
mantendr actualizada conforme a los avances tecnolgicos y
disponibilidad de recursos.
109
8.5. MANTENIMIENTO DE EQUIPO EINSTALACIONES.
El laboratorio de Ciencia Forense Digital debe estar siempre en
ptimas condiciones para asegurar la confiabilidad e integridad de los
resultados que se obtengan en el anlisis forense.
Para eso se deber efectuar mantenimiento tanto en los equipos
como en las instalaciones, para evitar que estos se deterioren y
favorecer la vida til, hay dos tipos de mantenimiento, preventivo y
correctivo:
El mantenimiento preventivo de los equipos consiste en crear un
ambiente favorable para el sistema, y prolongar la vida til del equipo,
economizando el gasto de reparaciones en los equipos as como el
mantener el equipo con las protecciones ante los ataques de virus
informticos, entre las tareas del mantenimiento preventivo, estn:
limpieza del dispositivo, actualizacin del sistema operativo, parches,
seguridad, antivirus, licencias y versiones, verificacin de licencias
activas, verificar que cumplan con las necesidades actuales de los
anlisis.
110
El mantenimiento correctivo de los equipos consiste en la
reparacin de los componentes de la computadora, esto va desde
una pequea soldadura, al cambio total de una tarjeta o dispositivo,
ya que en muchos casos es ms barato cambiar un dispositivo que
repararlo.
Mantenimientodelas instalaciones
Al igual que los equipos computacionales, las instalaciones fsicas del
laboratorio tambin necesitan un mantenimiento preventivo y
correctivo cuando sea el caso.
Mantenimiento preventivo de las instalaciones, el cual podra
tomar en cuenta pintura, limpieza de pisos, paredes y/o techo,
mantenimiento a los muebles de las oficinas, mantenimiento de los
equipos de ventilacin, tareas de reorganizacin del mobiliario.
Mantenimientocorrectivo de las instalaciones, enelcualsepodra
realizar el cambio de alguna de las piezas en el laboratorio, puertas,
piezas elctricas, focos, reubicacin de reas, entre otras.
Es recomendable realizar estos mantenimientos con una periodicidad
de una vez por semestre y establecerlo como poltica del laboratorio,

111
para evitar la contaminacin de la evidencia durante y despus del
anlisis forense. Se debe registrar el ltimo mantenimiento realizado.
8.6. POSIBLES UBICACIONES EN LAESPOL
Dentro de las instalaciones de la ESPOL se encuentran reas
disponibles que podran ser utilizadas para la implementacin del
laboratorio, de las cuales mencionaremos tres reas donde podra ser
implementado el laboratorio, de estas escogeremos una como posible
ubicacin del laboratorio forense digital.
Unaposible ubicacinse encuentraenlasinstalaciones del CSI,
en el aula que actualmente es utilizada como sala de capacitaciones,
pero en caso de implementar el laboratorio el lugar podra ser
ocupado para este fin, el aula est ubicada frente a la entrada
principal y junto a la sala de servidores del CSI.
Dentro de las ventajas de esta opcin esta el acondicionamiento,
esta aula cuenta con un sistema de aire acondicionado ideal para el
desempeo de las actividades a desarrollarse, adems cuenta con
sistema de alarma con sensores de movimiento y sistema contra
incendio automtico, lo cual supondra un ahorro en la inversin
inicial del laboratorio. Tambin cuenta con una habitacin que se la

112
puede acondicionar como el almacn de evidencia, su tamao

2
mediano (aproximadamente 40mts ).
Como desventajas esta la ubicacin ya que hace que sea un poco
complicado de llegar, para personas que no conocen la ESPOL,
Cuenta con una pared completamente de vidrio que une a la sala de
servidores del CSI lo cual supondra una inversin en su cambio por
una pared de cemento, habra que realizar una impermeabilizacin
de su techo ya que hay alguna filtracin en poca de lluvia.
La sala de ayudantes ubicada en el edificio de Gobierno de la
FIEC (Edif. 15-A), enel segundopiso, queencasodesersolicitado
podra reubicarse en otra rea del edificio y este saln ser asignado
en su totalidad o parcialmente asignado al laboratorio de Ciencias
Forenses Digitales, es otra opcin de ubicacin dentro del rea de
ingenieras.
Como ventajas, esta instalacin cuenta con un sistema de aire
acondicionado con alta capacidad de enfriamiento lo cual permite
tener un clima ideal para el trabajo a realizar en el laboratorio,
adems cuenta con sistema de alarma con sensor de movimiento
distribuido por toda el aula. Esta rea es la ms grande

113
(aproximadamente 90mts )2 de entre las tres mencionadas cabe
recalcar que como esta rea se encuentra en el segundo piso se
adaptara muy bien a las necesidades del laboratorio.
Como desventajas podramos determinar que al encontrarse en el
edificio de gobierno, es de libre acceso a los estudiantes, lo cual
puede causar problemas de ruido e interrupciones en el desarrollo
normal de actividades. Adems esta rea no cuenta con ningn tipo
de divisiones por lo cual habra que hacer un acondicionamiento
completo en divisiones y mobiliario. Tambin se debe de realizar el
cambio de una pared de vidrio que se encuentra en el frente de esta
aula por una pared de cemento y poner las seguridades necesarias
en el ingreso al lugar
Laoficinadel VLIR enel edificio16CdelaFIEC, actualmentees
utilizada ocasionalmente y segn los encargados del rea, esta
oficina podra ser solicitada al decanato para la implementacin del
laboratorio.
Como ventajas, esta rea cuenta con un sistema de aire
acondicionado instalado, lo cual disminuira el presupuesto inicial, as
mismo cuenta con un sistema de alarma con sensores de

114
movimiento lo cual reducir el costo de la inversin inicial, adems el
acceso previo a las instalaciones cuenta con cerradura elctrica y
solo pueden acceder con llave o si alguien de adentro lo permite.
Algunas caractersticas que podramos considerar como desventajas
son el ruido en su exterior y que se filtra al interior del aula, ya que se
encuentra en una ubicacin de alta concurrencia de estudiantes
puede interferir en la concentracin de los peritos. Adems, cuenta
con una divisin de vidrio que separa el saln con el exterior, la cual
debe ser cambiada con una pared de cemento. De las tres reas
mencionadas esta opcin es la ms pequea y se necesitara
acondicionar el lugar completamente.
Evaluando las ventajas y desventajas de cada una de las tres
opciones planteadas, la que ms se adapta a las necesidades y
requerimientos del laboratorio es el aula del CSI ya que cuenta con
mayor acondicionamiento sobre las dems reas, adems el
ambiente tiene poca contaminacin de ruido y no existe un acceso
masivo de personal que no labora en estas instalaciones.
8.7. OPCIONES DE IMPLEMENTACIN DEL LABORATORIO
FORENSE DIGITALEN LAESPOL

115
Tomando en cuenta todas las caractersticas de diseo del laboratorio
mencionadas al inicio de este captulo, las necesidades actuales con
respecto a solucin de casos de delitos informticos y los recursos
con los que podramos contar, planteamos tres opciones para la
implementacin de un laboratorio de Ciencias Forenses Digitales.
Se indican los precios de los elementos bsicos necesarios para la
implementacin se detallan en el Anexo N de Opciones de
Implementacin, el lugar ptimo para el funcionamiento del laboratorio
debe cumplir con el acondicionamiento descrito en el capitulo 8.1.2,
Diseo de laboratorio de Ciencias Forenses Digitales.
Alternativa Uno: hardware especializado ysoftware comercial.
Esta alternativa se compone de hardware forense, y software forense
comercial. Por lo tanto, se requiere de una mayor inversin
econmica. Para esta alternativa se seleccion al Encase como el
software principal para el proceso de anlisis de la evidencia ya que
es la herramienta ms completa y utilizada en el campo forense
digital.
116
La alternativa uno incluye los costos de la inversin inicial, y del
hardware y software que se va a utilizar en el laboratorio, lo cual da
un costo total de 54.319,14 dlares.
Alternativa Dos: Hardware especializado ysoftware libre.
Esta alternativa combina herramientas de hardware forense
especializado, software forense libre y software complementario
comercial y libre, esta opcin requiere un poco menos de inversin ya
que no sera necesaria la compra de licencias de software para su
uso. Para esta alternativa se ha seleccionado como software forense
el Deft-Extra ya que es una herramienta que presta una integracin
de varias utilidades forenses que son de gran ayuda en el momento
del anlisis.
La alternativa dos incluye los costos de la inversin inicial, y del
Alternativa Tres: Hardware bsico y software libre.
Para esta alternativa escogemos solo herramientas de software libre,
as como hardware bsico computacional de uso diario que lo
ajustaremos a las necesidades del laboratorio, no haremos uso de

117
equipos especializados. Esto permitir tener un laboratorio con una
inversin inferior a las otras dos opciones.
La alternativa tres incluye los costos de la inversin inicial, y del
De estas tres alternativas seleccionamos la primera ya que al contar
con hardware y software especializado el trabajo realizado por los
peritos cuenta con mayor respaldo ya que se realizar con mayor
precisin y confiabilidad que genera el uso de software comercial.

118
9. EJEMPLOS DE ESCENARIOS DE
APLICACIN DE LA
METODOLOGA
Existen varios tipos de delitos informticos como hemos descrito
anteriormente, a continuacin presentamos varios ejemplos basados en
situaciones reales y posibles resoluciones de estos delitos aplicando la
metodologa descrita en el captulo 7.
9.1. CASO PORNOGRAFAINFANTIL CIFRADA
La polica se encuentra en proceso de investigacin de un caso de
pornografa infantil, durante el allanamiento del domicilio del
sospechoso se encontr un celular Nokia modelo 5310 y una PC de
escritorio. Esta evidencia es entregada al Laboratorio de Ciencias
Forenses Digitales para su anlisis.

119
Definimos a continuacin varios pasos a seguir para el anlisis de la
evidencia digital.
Anlisisde celular (Anexo P)
Se recibe la evidencia proveniente de la persona que lleva el
caso llenando el formato Ingreso de evidencia del Anexo B.
Se ingresa la evidencia al inventario del laboratorio llenando el
formato del Anexo C.
Se procede a obtener una imagen del contenido del celular
para conservar la integridad de la evidencia original
cumpliendo los criterios de admisibilidad detallados en el
captulo 5.3.
Se procede a realizar el anlisis sobre la imagen obtenida
como se detalla en el Anexo P.
La herramienta que usamos en este anlisis nos presenta la
informacin del dispositivo mvil clasificada de la siguiente
manera:
Mensajes de texto
Directorio telefnico
Llamadas realizadas
Llamadas recibidas
120
Llamadas perdidas
Fotos
Videos
Audio
Calendario
Notas
Tareas
Registro de navegacin web
Determinar la informacin relevante con respecto al caso
investigado.
Realizar el informe de la evidencia encontrada y adjuntar el
informe generado por el programa.
Anlisisde PC de escritorio
Se recibe la evidencia proveniente de la persona que lleva el
caso llenando el formato Ingreso de evidencia del Anexo B.
Se ingresa la evidencia al inventario del laboratorio llenando el
formato del Anexo C.
Obtener una imagen del disco duro del computador como se
indica en el captulo 7.2.1 y cumpliendo los criterios de
admisibilidad mencionados en el Capitulo 5.3.

121
Determinar informacin almacenada en el disco duro.
Recuperar informacin que haya sido eliminada del disco duro
con la ayuda de las herramientas descritas en el captulo 8.3.
De la informacin recuperada, determinar la informacin
relevante con respecto al caso vigente.
Con ayuda de la herramienta forense mencionada en el Anexo
O se determina:
PC On/Off time, el tiempo en que la PC ha estado
encendida, registros de horas y fechas de esta accin.
Obtener el registro de los logs.
Registro de navegacin web.
Registro de dispositivos USB conectados.
Recuperacin de contraseas almacenadas en
memoria.
Registro de puertos usados.
Obtencin de imgenes.
Clasificacin de la informacin almacenada en el disco duro.
Dentro de la informacin almacenada en el disco duro, se
encontraron archivos encriptados. Se determin que la
encriptacin era de tipo AES-256, (Anexo Q.)

122
Se aplican tcnicas para obtener la informacin cifrada y se
selecciona la informacin que sea relevante para el caso
(Anexo J).
Realizar el informe de la evidencia.
9.2. CASO RASTREO DE CORREOS OFENSIVOS
El gerente de la empresa ha recibido un correo muy ofensivo de un
empleado de la empresa que se encuentra de vacaciones, resulta que
en la empresa no se puede enviar correos si no se est conectado a
la red interna, he conversado con este empleado quien confirma no
haber enviado ningn correo de ningn lado.
Pasos a seguir:
Rastreo de correos(excepto Gmail) (Anexo R)
Recolectar evidencia para poner la denuncia
Ver cabecera del correo para determinar IP de origen.
Rastrear IP con la ayuda de herramientas.
Determinar si el correo fue enviado en el pas.
Se pueden tomar dos opciones, realizar una investigacin
privada o acudir a la fiscala.
En caso de poner la denuncia en la fiscala, se deben
presentar las evidencias encontradas que demuestren el hecho

123
que se va a denunciar, en este caso que se han enviado
correos ofensivos desde cierta IP.
Una vez presentada la denuncia y la evidencia, el agente fiscal
emite una orden judicial para poder acudir al ISP y obtener la
informacin necesaria.
El ISP proporciona la informacin necesaria para obtener la
zona de origen.
Localizar e ir al lugar donde se encuentra el equipo al que se
asign la IP. Existe la posibilidad de que esa IP haya sido
asignada a un cyber o una residencia.
En el caso de que est asignada a un cyber se debe
establecer los posibles escenarios del envo del correo.
Escenario 1:Quelamquinaestcomprometidadentro
de una botnet (Anexo S). En este caso se debe
proceder a realizar un escaneo de vulnerabilidades para
determinar cul de ellas pudo ser explotada.
Escenario2:Elcorreofueenviadodirectamentedesde
el equipo.
124
Debido a que el correo fue enviado desde el equipo, se
puede insertar un script en el servidor de correos para
obtener la cabecera del correo en caso de que otro
correo sea enviado desde la misma IP.
En el caso de que est asignada a una residencia se
debe establecer los posibles escenarios del envo del
correo.
Escenario 1:Quelamquinaestcomprometidadentro
de una botnet (Anexo S).
Escenario2:Elcorreofueenviadodirectamentedesde
el equipo.
En el caso de ser una residencia se da el caso de que
las IP son asignadas dinmicamente lo cual dificulta un
poco ms el rastreo, ya que una misma IP puede ser
usada en varias ocasiones por diferentes personas, para
lo cual hay que solicitar al ISP el registro de las
asignaciones de esa IP con usuario y fecha.

125
Ya que el correo fue enviado desde el equipo, se puede
insertar un script en el servidor de correos para obtener
la cabecera del correo en caso de que otro correo sea
enviado desde la misma IP.
9.3. CASO DESARROLLO DE RETO FORENSE DIGITAL DE LA
COMUNIDAD DRAGONJAR.
Este caso es un escenario planteado por la comunidad Dragonjar

(100)
como un reto de Anlisis Forense Digital. DragonJAR.org es
una comunidad de investigadores, estudiantes, profesionales y
entusiastas de la Seguridad Informtica.
*UDFLDV D XQD GHQXQFLD SRU &LEHU%XOO\LQJ D OD 8QLGDG GH

'HOLWRV
Informticos Lunix, se pretende llevar a cabo un Anlisis Forense a
un sistema propiedad de un sospechoso que tiene contacto con la
vctima. Este anlisis se realizar bajo la sospecha que desde ste
HTXLSR VH HVWiQ UHDOL]DQGR DFWRV GHOLFWLYRV \ MXGLFLDOL]DEOHV
6H VRVSHFKD TXH pVWH GLVWULEX\H FRQWHQLGR SHGyILOR SRU PHGLR

GH
LQWHUQHW
126
Este reto fue resuelto por nosotros utilizando herramientas de
software libre y una mquina virtual para montar la imagen del
disco, referenciamos nuestra solucin al caso (Anexo T).

CONCLUSIONES
1) Segn la entrevista realizada a la Fiscal Dra. Sandra Morejn, las
personas consideran una prdida de tiempo y dinero denunciar casos
de delitos informticos, motivo por el cual muchos de estos casos no
son denunciados ante las autoridades competentes.
2) Se determin que en la actualidad existe un dficit de personal
capacitado y certificado como peritos informticos que trabajen para la
fiscala, debido a esto no se aplica la metodologa apropiada en el
anlisis de la evidencia digital lo cual se refleja en la presentacin de
los resultados.
3) Todo el personal que est involucrado en la investigacin de un delito,
el personal de la polica que realiza el allanamiento en el lugar de los
hechos, y los agentes fiscales, no cuentan con la capacitacin
adecuada para el tratamiento de evidencia digital, esto tiene como
consecuencia el retraso de la investigacin, la alteracin de la
evidencia y de los resultados que se podran obtener.

4) En el diseo del Laboratorio Ciencias Forenses Digitales se
consideraron varios aspectos, entre ellos el hardware y el software
forense, la seguridad de las instalaciones del laboratorio, la custodia
de la evidencia, la calidad y confiabilidad de los resultados del anlisis,
por este motivo hemos basado los elementos que integran el
laboratorio forense, descritos anteriormente, en la norma ISO / IEC

(101)
17025:2005 , OD FXDO WDPELpQ HV FRQRFLGD FRPR 5HTXLVLWRV
generales para la competencia de los laboratorios de ensayo y de

(101)
FDOLEUDFLyQ \ FRQ OD D\XGD GH OD llevar
para QRUPDa ,62
cabo los inventarios de la evidencia y activos del laboratorio.
5) Este proyecto plante opciones de implementacin de un laboratorio
de Ciencias Forenses Digitales que incluyen herramientas de software
libre, software propietario, hardware bsico y hardware especializado.
Al momento de elegir una opcin se tomaron en cuenta los costos y
las caractersticas de estas herramientas.
Para la implementacin del laboratorio de Ciencia Forense Digital se
necesita una inversin de la cual el mayor porcentaje sera destinado a
la adquisicin de hardware y software, el porcentaje restante se
utilizar en seguridad y adecuacin del laboratorio como sistemas de
alarma, sistema de climatizacin, entre otros.

6) La legislacin Ecuatoriana actualmente cuenta con una Ley de
Comercio Electrnico y Firmas Digitales con reformas al Cdigo Penal
la cual contempla los delitos que se detallan en el anexo I, para poder
penalizar las conductas ilcitas que estn relacionadas con la
informtica e informacin digital del afectado, se opta por buscar un
artculo acorde, que tenga similitud con el fin del delito cometido. Estos
tems por lo general se tratan de incluir en conceptos de propiedad
intelectual, plagio, hurto y/o integridad fsica, por lo tanto la
penalizacin que se aplica no est acorde a la gravedad del delito.

RECOMENDACIONES
1) Para el control de los delitos informticos participan diferentes
entidades, las cuales trabajan en conjunto con el fin de mitigar estos
actos ilcitos, descubrir y penalizar a los autores, las mismas deberan
capacitar a todos los miembros involucrados en el control de la cadena
de custodia, desde el personal de la polica que realiza el allanamiento
hasta los agentes fiscales que llevan el caso, deben ser capacitados
en el tratamiento de evidencia, para no contaminarla o alterar la
integridad de la misma y que tenga validez en un proceso penal ante
un juez.
2) Se recomienda el uso de firmas digitales para la emisin de rdenes
judiciales, esto sera de gran utilidad para agilizar el proceso de
obtencin de evidencia en la escena del crimen y en el caso de los
ISP podran entregar informacin con la certeza de que la orden
judicial es original. El proceso se llevara a cabo de la siguiente
manera: el Juez de Garanta Penales emitira la orden con su firma
digital y la enviar por correo electrnico y sta podr ser recibida y

verificada por el Fiscal que solicit la orden quedando as aprobado el
allanamiento y el secuestro de evidencia.
3) Recomendamos la implementacin de un Laboratorio de Ciencias
Forenses Digitales en la ESPOL, planteando un referente en
investigacin Forense Digital, el mismo que prestara sus servicios a
entidades pblicas y privadas. Para la realizacin de este proyecto se
propuso la alternativa nmero dos detallada en el captulo 8.

ANEXO A: ENTREVISTA CON LA
DRA. SANDRA MOREJN
ExtractodelaentrevistaconlaDra. SandraMorejn, fiscal delaUnidad
de Delitos Informticos yTelecomunicaciones

Da:13dejuliodel2010
Hora:9:30am
Entrevistado: Dra. Sandra Morejn, fiscal de la Unidad de Delitos
Informticos y Telecomunicaciones
Antecedentes y datos de la administracin de los delitos informticos
en la Fiscala del Guayas
Anteriormente, en la Fiscala General del Guayas la Unidad de Miscelneos
se encargaba de recibir todas las denuncias con respecto a los delitos
informticos y actualmente an tienen algunos datos y documentos que lo
evidencian.
Hasta hace algunos aos no haba gran cantidad de denuncias de este tipo
de delitos y no eran considerados en una clasificacin especfica, conforme a
pasado el tiempo y la tecnologa avanza, los delitos informticos aumentaron
en cantidad, se hacan ms evidentes y ms complicada la tarea de rastrear
al autor o autores del delito.
Cambios que se han realizado en la estructura de la fiscala con respecto a
los delitos informticos

Se realizaron varias reuniones con el Fiscal del Guayas Antonio Gagliardo
acerca de este tema, surgieron carias ideas. Ahora contamos con leyes
especficas acerca de los delitos informticos y estos han aumentado en
proporcin y complejidad, era necesario reorganizarnos y se decidi crear
una unidad que maneje las denuncias de delitos informticos y
telecomunicaciones especficamente.
Por esto en el ao 2010 se cre la Unidad de Delitos Informticos y
Telecomunicaciones de la cual estoy encargada. En esta unidad nos
encargamos de todas las denuncias de delitos informticos, trabajamos con
un perito informtico que no es parte del personal interno de la Fiscala pero
trabaja con nosotros en estos casos.
El Dr. Santiago Acurio, quien es el Director Nacional de Tecnologa de la
,QIRUPDFLyQ FUHR XQ Manual de Manejo de Evidencias

Digitales y Entornos
Informticos TXH WLHQH FRPR REMHtivo ser una gua para el personal
involucrado en los procesos de obtencin de evidencia y en el proceso
judicial, cuando en una escena del delito se encuentren dispositivos
Informticos o electrnicos.
Esta no es una gua oficial y no todos los miembros de la fiscala y personal
que trabaja con nosotros externamente como los peritos informticos tienen
el conocimiento de esta gua, se basan en su formacin profesional y la
experiencia adquirida.
Tipos de delitos informticos ms denunciados
Dentro de las denuncias que recibimos, las ms comunes son por
clonaciones de tarjetas de crdito o dbito de esta manera realizan muchos
robos en cajeros automticos, robo de identidad por medio de redes sociales
y estafas por correo electrnico.
Las personas muchas veces no hacen la denuncia de los delitos de los
cuales son vctimas porque posiblemente gastaran mucho dinero en
abogados y dems procedimientos y terminara costndoles ms de lo que
les fue robado. Adems consideran que es un proceso muy lento y se pierde
mucho tiempo.
Su opinin acerca de la implementacin de un laboratorio de ciencias
forenses digitales
Me parece una muy buena idea, actualmente no hay un laboratorio que se
especialice en Ciencias Forenses Digitales, sera muy bueno implementarlo
para centralizar el anlisis y recoleccin de evidencia en un lugar adecuado
para esto.
En nuestro caso podramos tener personal que trabaje exclusivamente para
los casos que se den en la fiscala.
Opiniones personales adems de lostemas tratados anteriormente

En Ecuador necesitamos ser parte de convenios internacionales como el de
Budapest, porque Qu pasara si encontramos al autor de una estafa y se
encuentra en un pas extranjero?, Cmo se puede enjuiciar a esa persona?
Cuando se es parte de un Tratado o convenio internacional, un estado est
obligado a conceder la extradicin del autor de un delito extranjero, si el pas
de donde proviene tambin es parte de este tratado.

ANEXO B:INGRESODEEVIDENCIA
AL LABORATORIO
INGRESO DE EVIDENCIA
Nmero de caso:
Fecha de ingreso:
Hora de ingreso:
Entregada por:
Fiscal asignado:
Objeto de la investigacin:
Descripcin de la evidencia:
Observaciones:
Recibida por:
X X
Entregada por Recibida por
ANEXO C:INVENTARIODE
EVIDENCIA
INVENTARIO
N. de caso Cd. Evidencia Fecha Ingreso Tipo de evidencia Detalle

ANEXO D: ENTRADA Y SALIDA DE
EVIDENCIAALMACENADA
ENTRADA Y SALIDA DE EVIDENCIA
Nmero de caso:
Cdigo de evidencia:
Ingreso: Salida:
Fecha:
Hora:
Justificacin:
Responsable:
X
Responsable
ANEXO E: FORMULARIO ANLISIS
DE EVIDENCIA
ANLISIS DE LA EVIDENCIA
Nmero de caso:
Cdigo de evidencia:
Tipo de anlisis:
Responsable:
Fecha:
Hora inicio:
Duracin:
Detalle de anlisis:
Resultado:
X
Responsable
ANEXO F:ACTA DE RECOLECCION
DE PRUEBAS
ACTA DERECOLECCION DE PRUEBAS
NMERO DE PRUEBA:________
FECHA ____/____/________ (dd/mm/aaaa)
HORA ____:____ 0-24HORAS (hh:mm)
LUGAR DE RECOLECCION________________________________________
_______________________________________________________________
CANTIDAD _____________
MARCA ________________________________________________________
MODELO _______________________________________________________
FABRICANTE ___________________________________________________
NMERO SERIE ________________________________________________
DESCRIPCION DE LA PRUEBA____________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_____________________________________________________________
NOTA DE ESTADO DE LA PRUEBA_________________________________

_______________________________________________________________
_______________________________________________________________
________________________________________________________________
_______________________________________________________________
AGENTE ENCARGADO DE RECOLECCION

ID _______________________
NOMBRES Y APELLIDOS_________________________________________
CARGO________________________________________________________
FIRMA__________________________________
ANEXO G:INGRESO Y SALIDADEL
PERSONAL ALALMACEN DEL
LABORATORIO
Control de ingreso y salida
Fecha Nombre Hora entrada Hora salida Firma
X
Responsable
ANEXO H:INGRESO DE
VISITANTESALLABORATORIO
REGISTRO DE INGRESO DE VISITANTES
FECHA:
TURNO:
HORA DE HORA
APELLIDOS Y NOMBRE FIRMA ASUNTO
INGRESO SALIDA
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Firma y Sello
Supervisor
ANEXO I: PENALIDADES PARA
INFRACCIONESINFORMTICAS
Tabla I.1 - Cdigo Penal Ecuatoriano
Infraccionesinformticas Represin Multa

Acceso a
informacin
6 meses a 1 $500 a
violentando
ao $1000
claves y sistemas
de seguridad.
Obtencin de
informacin de
seguridad
$1000 a
nacional, 1 a 3 aos
$1500
secretos
comerciales e
Art. no
numerado industriales.
Delitos contra la
confidencialidad Divulgacin o
utilizacin $2000 a
3 a 6 aos
fraudulenta de la $10000
informacin.
Divulgacin o
utilizacin
fraudulenta de la
$2000 a
informacin por 6 a 9 aos
$10000
parte de la misma
persona o
custodios.
Programas,
datos, base de
Art. no
datos o mensajes
numerado 6 meses a 3
de datos de un $60 a $150
Daos aos
sistema de
informticos
informacin o red
electrnica.
Infraccionesinformticas Represin Multa
Programas,
datos, base de
datos o mensajes
de datos de un
sistema de $200 a
3 a 5 aos
informacin o red $600
electrnica de un
servicio pblico o
de defensa
nacional.
Si no se tratar
8 meses a 4 $200 a
de un delito
aos $600
mayor.
Utilizacin
fraudulenta de
sistemas 6 meses a 5 $500 a
Art. no informticos y aos $1000
numerado redes
Apropiacin electrnicas.
ilcita
Uso de claves,
1 ao a 5 $1000 a
tarjetas,
aos $2000
seguridades.
Art. 262
Destruccin maliciosa 3 aos a 6
Empleado pblico o persona aos
encargada de un servicio pblico
Art. no numerado
Falsificacin electrnica, alteracin o
modificacin de mensajes de datos 3 a 6 aos
e informacin contenida en cualquier
sistema de informacin o telemtico
Art. 563
Estafa $500 a
3 a 6 aos
Apropiacin de cosas utilizando $1000
medios electrnicos y telemticos.
ANEXO J:CRIPTOGRAFA
Por cifrado o encriptacin , nos referimos al proceso de ocultar informacin
o hacerla ilegible a primera vista, para que dicha informacin pueda ser leda
naturalmente otra vez debe pasar por un proceso llamado descifrado.
Utilizando fuertes tcnicas de cifrado, la informacin valiosa puede ser
protegida contra personas que no se encuentren autorizadas a acceder a
ella. Sin embargo, al movernos dentro de la sociedad de la informacin, el
valor de la criptografa se hace evidente en todos los das de la vida en
determinadas reas como la privacidad, confianza, pagos electrnicos y
control de acceso. Por lo tanto el campo de la criptografa es cada vez ms
amplio, aplicando desde las tcnicas de cifrado clsicas hasta reas como la
autenticacin, integridad de datos, y el no-repudio de la transferencia de
datos (1).
Algoritmo criptogrfico
Es una funcin matemtica usada en los procesos de cifrado y descifrado.
Un algoritmo criptogrfico trabaja en combinacin con una clave (un nmero,

(2)
palabra, frase, o contrasea) para cifrar y descifrar datos .
(1) &ULSWRJUDItD GH OD $= 6(*8-INFO. 1 de Mayo 2011.

<h tt p :// www . segu-in f o . com . ar / proyectos / p1_crip t ogra fi a . h t m>
(2) 6HJXULGDG \ DOJRULWPRV GH HQFULSWDFLyQ &ULSWR-forge. 1 de Mayo 2011.
<h tt p :// www . cryp t o f orge . com . ar / seguridad . h t m>
Para cifrar, el algoritmo combina matemticamente la informacin a proteger
con una clave provista. El resultado de este clculo son los datos cifrados.
Para descifrar, el algoritmo hace un clculo combinando los datos cifrados
con una clave provista, siendo el resultado de esta combinacin los datos
descifrados (exactamente igual a como estaban antes de ser cifrados si se
us la misma clave). Si la clave o los datos son modificados el algoritmo
produce un resultado diferente. El objetivo de un algoritmo criptogrfico es
hacer tan difcil como sea posible descifrar los datos sin utilizar la clave.
Ilustracin J. 1 - Cifrado de informacin
Tipos de algoritmosde cifrado
Se pueden realizar al menos tres tipos de cifrado:
Tabla J. 1 - Tipos de algoritmo de cifrado
Tiposde Algoritmos
Cifrado Descifrado Ventajas Desventajas
algoritmos msusados
El receptor debe DEScon
conocer la tamao de clave
clave, cmo se de 56 bits
Rpido y permiten transmite sin
cifrar y descifrar comprometer su Triple-Descon
Clave a Clave a seguridad?
Simtrico eficientemente con tamao de clave
(privada) (privada)
claves relativamente de 128 bits a
grandes No permite 256 bits
autenticar al
emisor ya que Blowfishcon
una misma tamao de clave
Tiposde Algoritmos
Cifrado Descifrado Ventajas Desventajas
algoritmos msusados
clave la utilizan de 128 bits a
dos personas. 256 bits
AEScon
tamaos de
clave de 128,
192 o 256 bits
Nmero de claves
reducido, cada RSAcon
individuo necesitar tamao de clave
nicamente un par de mayor o igual a
claves. La necesidad de 1024 bits
un tercero
(Autoridad de
Certificacin) en DSAcon
Dificultad para tamao de clave
encontrar la clave el proceso
de 512 bits a
privada a partir de la 1024 bits
Clave
Asimtrico Clave privada pblica. Se precisa
publica
mayor tiempo
de proceso y ElGamalcon
claves ms tamao de clave
No es necesario
grandes comprendida
transmitir la clave
entre los 1024
privada entre emisor y
receptor. bits y los 2048
bits
Permite autenticar a
quien utilice la clave
privada.
Algoritmo Simtrico
(3)
Ilustracin J. 2 - Algoritmo Simtrico
(3) ,QWURGuccin - DOJRULWPR VLPpWULFR (XURORJLF GH 0D\R

<h tt p :// www . euro l og i c.es / ci f rado / s i me t r i c . h t m>
Algoritmo Asimtrico
(4)
Ilustracin J. 3 - Algoritmo Asimtrico
Cifrado hbrido
Por lo general, las conexiones seguras de Internet utilizan una mezcla de los
dos tipos de cifrado: simtricos y asimtricos. Aprovechan la rapidez de uno y
la fortaleza del otro (5).
Lo que suelen hacer protocolos de comunicacin seguros como HTTPS, es
cifrar los mensajes usando un algoritmo simtrico, de forma que se hace un
cifrado y descifrado rpido de los mismos, adems de que los mensajes
cifrados tengan menos volumen. Como hay que transmitir la clave del cifrado
de alguna manera, sta se cifra con un algoritmo asimtrico. Con esto se
consigue que la parte ms voluminosa de la informacin, que es el mensaje,
(4) &RQWURO GH DFFHVRV GH XVXDULRV GH $JRVWR :LNLOHDUQLQJ GH 0D\R 011.

<h tt p :// www . w i ki l earn i ng . com /t u t or i a l/ con t ro l _de_accesos-
con t ro l _de_accesos_de_usuario / 3394-3>
(5) &LIUDGR GH GDWRV GH -XQLR (NRQWVulta. 1 de Mayo 2011.

<h tt p :// www. ekon t su lt a . ne t/t es t/ w i k i/i ndex.php / C if rado_de_da t os>
vaya cifrada con un algoritmo seguro pero ligero, y la parte menos
voluminosa, que es la clave, vaya cifrada con el algoritmo ms pesado, y que
garantiza que slo podr ser descifrada en el destino. De esta manera, en el
destino primero ha de descifrar la clave del cifrado simtrico, con su clave
privada, y una vez tenida esta clave, descifrar el mensaje. Esto garantiza una
conexin segura.
Aplicaciones del cifrado
El cifrado de datos se usa en numerosas aplicaciones cotidianas. Algunas de

(5)
las ms habituales tomando como referencia , son:
SSL (SecureSocketLayer)
Protocolo criptogrfico que proporciona comunicaciones seguras en
Internet. Esta seguridad es en forma de privacidad y autenticacin:
Por un lado autentica el servidor de la comunicacin (mediante
certificados), y por otra parte selecciona un algoritmo de cifrado.
Permite el intercambio de claves de forma segura entre cliente y
servidor, y cifra la informacin con cifrado simtrico.
Esta capa de seguridad se puede aplicar en diversos mbitos:
HTTPS: Protocolo http seguro

FTP: protocolo de intercambio de ficheros. Puede utilizar SSL
para ser seguro.
SMTP: protocolo de correo. Puede utilizar SSL para ser seguro.
Firma digital
La firma digital es el mtodo criptogrfico que permite asociar la
identidad de una persona o mquina a un documento como autor del
mismo.
Para incorporar las firmas digitales:
Primero se calculan los datos de la firma, que se obtienen de
aplicar cierto algoritmo matemtico.
Esos datos se cifran con alguno de los algoritmos descritos
anteriormente
Finalmente la firma cifrada es incorporada al documento.
El receptor del documento deber tener medios tecnolgicos tanto
para extraer la firma cifrada como para descifrarla, por lo que tambin
deber tener la clave.
VPN (VirtualPrivateNetwork)
Es una red con las caractersticas de una LAN, pero est extendida
sobre una red pblica como Internet; esto es, tiene el control y la
seguridad que ofrece una red LAN pero topolgicamente tiene un
mbito descontrolado e inseguro como es Internet. Para que estas
redes sean seguras se usan tcnicas de Tunneling que consisten en
FUHDU XQ W~QHO VHJXUR GHQWUR GH OD UHG LQVHJXUD SRU HO TXH

FLUFXODQ
los datos de la VPN cifrados. Es por esto que las redes privadas
virtuales es uno de los usos ms frecuentes de cifrado.
Para garantizar la seguridad de la red VPN y las caractersticas que
debe cumplir, se usan protocolos de comunicacin segura como IPSec
(Internet Protocol Security), que es el estndar de facto, aunque
tambin se usan otros como SSL o PPTP.
Cifradode archivos
Tambin existen aplicaciones que permiten el cifrado de archivos completos,
que pueden ser utilizados para enviarlos o simplemente se quiera guardar
cifrado para que slo pueda ser accedido por quienes tengan la clave de
cifrado. Esto tambin es til para almacenar informacin confidencial de una
organizacin. En caso de sustraccin de la informacin no servir de nada si
no se tiene una clave para descifrarla.
Cifradode discoduro
Tener todo el sistema de archivos cifrado permite que cada vez que se
guarde un archivo ya lo haga cifrado por defecto y que todo lo contenido en

el disco duro est cifrado. Esto hace que haya procesos ligeramente ms
(5)
lentos, ya que cada vez que se guarda, por ejemplo ha de cifrarlo .
Mtodos paraobtener la clave dedescifrado
Existen varios mtodos para obtener la clave que se necesita para descifrar
(6)
informacin, entre las cuales definimos :
1. Fuerza bruta
En este procedimiento se pretende intentar todas las combinaciones
de bits posibles hasta encontrar la ms adecuada y encontrar la clave.
Se trata de prueba y error. Para hash simple o algoritmos, la fuerza
bruta funciona bastante bien. A medida que aumenta la longitud de la
clave tambin aumenta el nmero de posibilidades. Como se puede
notar en la siguiente tabla, una clave de 512 bits tiene ms de 154
ceros detrs de l.
Tabla J. 2 - Fuerza bruta
Key Length in Bits Number of Possible Combinations
8 256
40 1,099,511,627,776
128 18,446,744,073,709,600,000
256 1.15792 * 1077
512 1.3408 * 10154
(6) Linda Volonino - Reynaldo Andaluza. Computer Forensics For Dummies. ao 2008.
Con los avances en los algoritmos de criptografa y de larga longitud
de las claves, encontrar una llave por la fuerza bruta suele ser poco
prctico. Es el ltimo recurso para la obtencin ilegal de una
contrasea.
2. Ataque dediccionario
Este mtodo utiliza un diccionario de contraseas o hashes que son
comparados con el valor hash almacenado en el archivo de
contraseas del sospechoso.
Los diccionarios no contienen slo las palabras estndar, sino tambin
los nombres de celebridades, equipos deportivos, programas de
televisin, etc.
3. Tablas arco iris
Es una extensin de los diccionarios que poseen bases de datos
mucho ms extensas. Por lo cual Las tablas del arco iris permiten
utilizar una base de datos con mayor posibilidades de comparacin y
que podran ser almacenados en un equipo forense.
4. Keystroke logger
Se utiliza keylogger para capturar las pulsaciones de teclado cuando
un usuario lo pulse en el teclado. Este mtodo funciona bien cuando

se sabe que la persona a quien se est vigilando est usando algn
tipo de encriptacin. Las caractersticas de Keylogger varan, pero
todos registran las pulsaciones de teclado.
Se puede instalar el manual de keyloggers o usar software Troya
(software para un propsito, como jugar un juego, pero en realidad se
inserta otro programa en el ordenador).
5. Snooper software
Este tipo de software se utiliza de la misma manera que los
keyloggers, excepto que el software espa registra no slo las
pulsaciones de teclado, sino tambin cualquier actividad que se
produce en el equipo. Archiva desde las capturas de pantalla hasta
sesiones de chat, mensajes de correo electrnico, e incluso las veces
que se enciende el ordenador.
6. Aplicacin especfica decircuito integrado ASIC
Este tipo de chip est especficamente programado para realizar una
tarea. El nico propsito de programacin de un sistema de descifrado
ASIC es resolver un tipo especfico de cifrado. La mayora de los
investigadores en informtica forense no tienen acceso a equipos de

este tipo, pero las agencias de gobierno si, y que puede descifrar una
clave de cifrado de 40 bits en cuestin de segundos.
7. Cache checking
Algunas aplicaciones y sistemas operativos pueden poner contraseas
en una memoria cach temporal. Los usuarios que permiten que sus
sistemas almacenen sus contraseas, por lo general son almacenadas
en texto plano en un rea de la memoria cache.
Encriptacin AES256
AES conocida como Estndar de Encriptacin Avanzada (Advanced
Encryption Standard). AES es una tcnica de cifrado de clave simtrica que
remplazar el Estndar de Encriptacin de Datos (DES) utilizado
habitualmente (7) (8).
AES proporciona una encriptacin segura, utiliza una de las tres fortalezas de
clave de cifrado: Una clave de encriptacin de 128-, 192-, o 256- bits. Cada
tamao de la clave de cifrado hace que el algoritmo se comporte ligeramente
(7) AES Encryption data security. 2011. Bitzipper. 1 de Mayo 2011.

<h tt p :// www . b it z i pper.com / es / aes-encryp ti on . h t ml>
(8) Cceres Sosa Arnold Ylla - Jhony &UX] (QFULSWDFLyQ GH GDWRV XQD YLVWD JHQHUDO
2008. Slideshare. 1 de Mayo 2011. <htt p :// www . s li deshare . ne t/ chris ti an i ko l a i/ encr i p t ac i on-
de-da t os-una-v i s t a-genera l>
diferente, por lo que el aumento de tamao de clave no slo ofrece un mayor
nmero de bits con el que se pueden cifrar los datos, sino tambin aumentar
la complejidad del algoritmo de cifrado.
Tiempos deejecucin de algoritmos asimtricos
Diffie-hellman. Intercambio de clave
Pruebas realizada para tamaos de clave de 64, 256, 1024 bits variando el
tamao del nPHUR SULPR 6H KD FLIUDGR OD SDODEUD KROD SDUD FDGD XQR GH
los casos.
Tabla J.3 Clave de 64 bits
N.Primo Clave1,2 Mx. Mn. Media

264 264 11.6719 11.6406 11.6564
2256 264 11.9219 11.6406 11.7500
2512 264 12.7656 12.6094 12.694
21024 264 14.2500 14.0469 14.1500
Tabla J. 4 - Clave 256 bits

264 264 11.8438 11.7031 11.6564
2256 264 12.0000 11.6406 11.8344
2512 264 12.8750 12.6094 12.7219
21024 264 14.1094 14.0625 14.0775

264 21024 11.7500 11.6875 11.7219
2256 21024 12.4531 11.6562 11.9156
2512 21024 12.8750 12.6406 12.7065
21024 21024 14.3438 14.1562 14.2219
El Gamal, Cifradode informacin
tamao del nmero primo. Se ha FLIUDGR OD SDODEUD KROD SDUD FDGD XQR GH
los casos.
N.Primo Clave Mx. Mn. Media

privada
264 264 4.2975 4.1375 4.1533
2256 264 4.3125 4.1875 4.2615
2512 264 6.0625 5.4535 5.7785
21024 264 22.1925 21.3825 21.742
Tabla J. 7 - Clave de 256 bits
N. Primo Clave Mx. Mn. Media

privada
264 2256 4.1250 4.0156 4.0437
2256 2256 4.2656 4.0973 4.1412
2512 2256 6.0625 6.3281 6.4481
21024 2256 6.7656 21.5313 22.275
Tabla J. 8 - Clave de 1024

privada
264 21024 4.1318 4.0625 4.0826
2256 21024 4.2187 4.1406 4.1636
2512 21024 5.7218 5.0625 5.2537
21024 21024 17.1500 15.1062 15.6906
RSA, Cifradode informacin

tamao del nPHUR SULPR 6H KD FLIUDGR OD SDODEUD KROD SDUD FDGD XQR GH
los casos.

privada
264 264 0.5938 0.4375 0.4750
2256 264 0.9219 0.8031 0.8813
2512 264 2.1094 1.9813 2.0688
21024 264 18.1406 15.8063 17.1946

privada
264 2256 0.6406 0.5556 0.6050
2256 2256 1.1406 1.0781 1.1063
2512 2256 3.7813 3.4219 3.6109
21024 2256 28.9688 25.2500 27.1946

privada
64 1024
2 2 8.6875 8.3438 8.5438
256 1024
2 2 11.6406 10.7969 11.3969
512 1024
2 2 18.3594 15.7500 17.0688
1024 1024
2 2 33.9531 30.1250 32.9531
Herramientas para cifrado y descifrado
Tabla J. 12 - Herramientas cifrado
Nombre Algoritmosusados
SteganosSecuritySuite ASD 256
TrueCrypt AES, Serpent, Twofish,

algoritmos de hash
InvisibleSecret 4 AES - Rijndael, Twofish, RC

4, Cast128, GOST, Diamante
2, Zafiro II, Blowfish
AFNeoCryptor AES
EncryptionandDecryption- AES
- free
EnCryptionGadget Blowfish, AES
KriptoDrive AES 256
CryptoLab1.02 AES Rijndael
TextEncrypt Blowfish
SecuBoxforSmartphone AES 256

1.3
ANEXO K:ELEMENTOSA
ANALIZAR SEGN EL TIPO DE
SISTEMA
(1)
Elementos a analizar segn el tipode sistema
1. Sistemas Informticos
Plataforma Windows
Registro del sistema
Contenido de Sistema de Fichero Cifrados (EFS)
FAT o MTF (Tablas de Metadatos de sistemas de ficheros
Windows)
Archivo BITMAP (Fichero creado durante el formateo de
volmenes NTFS para Windows NT y superiores)
Papelera de reciclaje
Ficheros de acceso directo
Directorio Activo (Active Directory) (Windows 2000 y
superiores)
Log de visor de eventos
Plataforma Unix/Linux
Listado descriptores de ficheros
Ficheros SUID/SGID
Trabajos planificados (Schedule jobs)
Ficheros del historial de la Shell
_______________________________
(1) +HUUDPLHQWDV SDUD HO DQiOLVLV \ UHFROHFFLyQ GH HYLGHQFLDV HQ HO VDERWDMH LQIRUPiWLFR HQ

ORV FHQWURV GH GDWRV 6OLGHVKDUH GH 0Dyo 2011.
<h tt p :// www . sli deshare . ne t/ UCACUE/herramien t as-para-el-an li s i s-y-reco l ecc i n-de-
ev i dencias-en-el-sabo t a j e-in f ormt i co-en-los-cen t ros-de-da t os>
Las ubicaciones comunes de evidencia en varias plataformas son:
Mensajes de correo electrnico.
Ficheros de trabajo de impresin.
Archivos temporales de los navegadores web.
Cache de los navegadores web.
Historiales de los navegadores web.
Favoritos de los navegadores web.
Ficheros de cookies de los navegadores web.
Logs del sistema operativo.
Logs de aplicaciones.
Logs de clientes de chat.
Documentos de texto (doc, wpd, wps, rtf, txt, etc.).
Hojas de clculo (xls, wgl, wkl, etc.).
Ficheros grficos (jpg, gif, tif, bmp, etc.).
2. Redes
Informacin proporcionada por la tarjeta de red (direccin MAC,
direccin IP, etc.).
Tabla de direcciones IP asignadas por el servidor DHCP
(Protocolo de Configuracin de Host Dinmico).
Cache de ARP (Protocolo de Resolucin de Direcciones).

Logs del IDS (Sistema de deteccin de intrusos).
Memoria del IDS.
Logs del Cortafuego.
Memoria del Cortafuego.
Logs de servidores (Web, FTP, de correo electrnico).
Mensajes de correo electrnico almacenados en el servidor.
Logs de mdems.
Informacin de routers.
RAM con informacin de configuracin.
Cache ARP.
Logs del router.
Datagramas almacenados cuando el trfico es alto.
Informacin de servidores DIAL-UP (Servidores ISP).
Logs del servidor DIAL-UP.
Memoria del servidor DIAL-UP.
Logs del servidor de autentificacin.
Memoria del servidor de autentificacin.
Logs del servidor VPN.
Memoria del servidor VPN.

2.1. Redes inalmbricas
Debemos identificar dos tipos de redes inalmbricas
Redes LAN inalmbricas (wireless LAN)
Informacin proporcionada por las tarjetas inalmbricas de
red (direcciones MAC, IP, etc.)
Puntos de acceso
Logs de mdems wireless
Redes inalmbricas basadas en conmutacin de circuitos
Registros de facturacin CDR (Charging Detail Records).
Registros que contienen informacin para cada llamada
realizada, como nmero que se llam, el da de la llamada,
duracin, entre otros, organizados por clientes para
efectos de facturacin. Estos registros son archivados y
estn disponibles en un periodo aproximado de varios
aos, dependiendo de las polticas de la operadora.
HLR (Home Location Register)
Contiene informacin del subscriptor, referente a sus
capacidades mviles contratadas (clase de servicio), la
identificacin de la unidad mvil, la ubicacin actual de la
misma ya sea en el rea de cubrimiento de la red

proveedora o de otras redes celulares (roaming), la
informacin de autenticacin, el nombre de la cuenta y la
direccin de facturacin.
VLR (Visitor Location Register)
Almacena informacin fsica, electrnica y de radio, acerca
de todos los usuarios que estn actualmente autenticados
dentro de una red particular del MSC (Mobile Switching
Center o centro de conmutacin mvil). Dicha informacin
incluye la localizacin actual del dispositivo mvil y el
estado del mismo (activo, en espera, etc.).
OMC (Operation and Maintenance Center o Centro de
operacin y administracin).
Realiza tareas administrativas como obtener datos de la
MSC para propsitos de facturacin y administra los datos
de la HLR.
Adems, proporciona una visin del estatus de operacin
de la red, la actividad de red y las alarmas. A travs de
ste, es posible examinar una o rastrear una llamada mvil
particular en progreso (Mobile trace).

3. Dispositivos mviles
Telfonos mviles
Ficheros con distinta informacin almacenada en la tarjeta del mvil
(SIM: Subscriber Identity Module, cdigo PIN, cdigo PUK).
Chips de memoria Flash (contienen informacin sobre el
telfono as como software interno del mismo).
Nmeros de telfonos almacenados
Mensajes de texto
Configuraciones (lenguaje, da/hora, tono/volumen, etc.).
Grabaciones de audio almacenadas.
Programas ejecutables almacenados.
Configuraciones de Internet, GPRS, WAP.
Log de llamadas (llamadas realizadas, recibidas, perdidas).
Datos (logs de sesiones, nmeros marcados, etc.) contenidos
en dispositivos a los que se haya conectado el telfono mvil
(computadoras de sobremesa, ordenadores porttiles, etc.).
Organizadoresde mano
RAM.
ROM. Memoria en la que se encuentra el sistema operativo y
las aplicaciones base.

FLASH-ROM. Memoria en la que podemos guardar
aplicaciones y datos que no queremos perder por resetear el
dispositivo o porque no tenga batera.
Datos (de sincronizacin, contactos, tareas, etc.) contenidos en
dispositivos a los que se en dispositivos a los que se haya
conectado el telfono mvil (ordenadores de sobremesa,
ordenadores porttiles, telfonos mviles, etc.)
4. Sistemas embebidos
Tarjetasde memoria
Bsicamente su recoleccin de datos es igual que la de un disco duro
puesto que se basan en sistemas de ficheros tipo FAT (normalmente).
Las estructuras de datos en las que se pueden analizar evidencias
son:
CIS (Card Information System), rea oculta que contiene
informacin del fabricante.
MBR (Master Boot Record), en las tarjetas este sector est
presente por razones de compatibilidad y raramente se usar
como arranque de un disco duro (aunque los delincuentes,
podra ocultar aqu informacin).

Sector de arranque. Se usa junto al MBR para establecer la
geometra del dispositivo.
FAT. Contiene la lista que describe los clster ocupados por los
ficheros.
El rea de datos que contiene los datos de los ficheros
actuales.
ANEXO L: PRESUPUESTO INICIAL
ADECUACIONES
Presupuesto Inicial
Cantidad Precio Global
Unitario
Sistema Circuito Cerrado $ 1,255.0
Sistema de Alarma $ 190.0
Sistema contra incendios (extintores) 1 $ 500.00
Aire acondicionado 48000btu 1 $ 1,000.00
Enrutador $ 300.00
Conmutador $ 200.00
Cable de red $ 0.70 $ 50.00
Cable telefnico $ 0.50 $ 50.00
UPS 1000 VA 4 $ 62.00 $ 248.00
Generador de Energa a diesel $ 1,000.00
Disco duro externo 2TB ETHERNET $ 338.39
Cerraduras biomtricas $ 400.00
Cerraduras tipo multilock $ 160.00
Copiadora e impresora $ 600.00
Herramienta varias (destornilladores, $ 500.0
pinzas, entre otras)
Mobiliario $ 1,500.00
Adecuaciones (divisiones, pintura, entre $ 3,000.00
otra)
TOTAL $ 11,291.4
SISTEMA CIRCUITO CERRADO Cantidad Precio Global

unitario
Cmaras con visin nocturna 5 $ 90.0 $ 450.0
Instalacin 5 $ 25.0 $ 125.0
CPU 1 $ 300.0 $ 300.0
Tarjeta que captura 8 canales 1 $ 380.0 $ 380.0
TOTAL $ 1,255.0
SISTEMA DEALARMA Cantidad Precio Global

unitario
Permite 8 zonas de deteccin
incluye:
Sensores de movimiento 8 $ 15.00
$ 120.00
Sirena 1 $ 35.00 $ 35.00
instalacin $ 35.00 $ 35.00
TOTAL $ 190.00
ANEXO M: SOFTWARE FORENSE
En este anexo describiremos las caractersticas principales de los
software forenses que se analizaron para llevar a cabo la seleccin y
utilizacin en el laboratorio como herramienta principal me el anlisis
de la evidencia. Entre las cuales tenemos:
Encase
Es un software de investigacin forense informtica, que tiene la
capacidad de realizar anlisis complejo de evidencia digital

(1)
.
Entre sus principales caractersticas tenemos:
Amplia compatibilidad de formatos disponibles.
Amplia compatibilidad de correos electrnicos disponibles.
Amplia compatibilidad con navegadores disponibles.
Anlisis y generacin de informes de manera detallada.
Recopilacin inteligente de evidencia digital.
Validado por los tribunales de justicia.
(1) (QFDVH )RUHQVLF 'LJLWDO ,QWHOOLJHQFH GH 0D\R

<h tt p :// www . di g it a li n t e lli gence . com / so ft ware / gu i danceso ft ware / encase />
Deft-Extra
Es una interfaz Grfica de Computo Forense que asiste en el anlisis

(2)
forense de discos, redes y navegadores .
Esta herramienta est dividida en seis secciones que incluyen
diversas herramientas forenses las cuales se detallan a
continuacin:
Informacin del Sistema(SysInfo)
Adquisicin Viva(Live Adquisition)
Forense(Forensics)
Bsqueda(Search)
Utilidad(Utility)
Reporte(Report)
CAINE (Computer Aided Investigative Environment)
El Entorno de Investigacin Asistido por Computadora es una
distribucin italiana de GNU/Linux que ofrece herramientas forenses

(3)
como mdulos de software .
(2) Deft Linux. 2010. 10 de Mayo 2011. <h tt p :// www . de ftli nux . ne t/>
(3) C.A.IN.E (Computer Aided Investigative Environment). 2011. 10 de Mayo 2011.

<h tt p :// www . ca i ne-l i ve . ne t/>
Ha sido diseado de manera que garantice las siguientes
caractersticas:
Entorno que sirva de apoyo al investigador en las cuatro fases
Forenses Digitales.
Interfaz grfica amigable.
Generacin semiautomtica de un informe final.
Digital ForensicsFramework
Es una herramienta basada en Python con un mdulo de sistema
flexible para investigacin forense digital de memorias USB, PDA,

(4)
tarjetas de memoria y celulares .
Entre sus principales caractersticas tenemos:
Recuperacin potente de archivos borrados.
Anlisis del sistema de archivos de telfonos mviles.
Descifrar contenido y metadatos de SMS para mostrarlos
como en un telfono mvil.
(4) Open Source Digital Investigation Framework. 2011. 10 de Mayo 2011.

<h tt p :// www . d i g it a l - f orens i c.org />
ForensicsToolkit
(5)
Es un estndar de tecnologa de investigacin informtica forense .
Entre sus caractersticas principales tenemos:
Anlisis de vanguardia.
Descifrado y craqueo de contraseas.
Interfaz intuitiva.
Es personalizable y fcil de usar.
Potente velocidad de procesamiento.
Easy Recovery Professional
Es una solucin para recuperar datos, reparar archivos, correo

(6)
electrnico y realizar diagnstico de discos .
Posee soporte para:
Discos duros IDE/ATA/EIDE/SATA/SCSI
Discos extrables.
Disquetes.
Soportes perifricos.
Soportes digitales.
(5)Forensics Toolkit. 10 de Mayo 2011. <h tt p :// www .f orens i cs .i e / so ft ware / product /f orens i c-
t oo l k it - ft k />
(6) 5HFXSHUDFLyQ GH GDWRV \ UHSDUDGRU GH DUFKLYHV 2011. Kroll Ontrack Inc. 10 de Mayo
2011. <htt p :// www . on t rackda t arecovery . es / so ft ware-recuperacion- fi cheros />
Fox Analysis
Es una herramienta que permite el anlisis de los datos generados
por el uso de Mozilla Firefox fue desarrollada con el fin de ayudar en

(7)
investigacin forense digital .
Sus funcionalidades principales son:
Extraccin de marcadores, cookies, descargas, inicios de
sesin.
Analizar datos con opciones de filtrado:
o Por palabras claves
o Rangos de fechas.
o Estado de la descarga.
o Por seleccin.
Informe de actividad de exportacin.
ChromeAnalysis
Es una herramienta que permite el anlisis de los datos generados
por el uso de Google Chrome fue desarrollada con el fin de ayudar

(8)
en investigacin forense digital .
Sus funcionalidades principales son:
(7) )R[$QDO\VLV 2010. Forensic-Software. 10 de Mayo 2011. <h tt p ://f orens i c-

so ft ware . co . uk/ f oxana l ys i s . aspx>
(8) &KURPH $QDO\VLV )RUHQVLF-Software. 10 de Mayo 2011. <h tt p ://f orens i c-

so ft ware . co . uk/chromeana l ys i s . aspx>
Extraccin de marcadores, cookies, descargas, inicios de
sesin.
Analizar datos con opciones de filtrado:
o Por palabras claves
o Rangos de fechas.
o Estado de la descarga.
o Por seleccin.
Informe de actividad de exportacin.
Para la eleccin de las herramientas de software ms adecuadas
hemos tomado en cuenta varios criterios de seleccin, de acuerdo al
laboratorio que deseamos plantear que cumpla con las necesidades
actuales y sea factible de implementar.
Tabla M. 1 - Criterios de seleccin de software
Digital Easy Chrom

Fox
Deft Forensics Forensic Recovery e
Encase Caine Analysi
Extra Framewor sToolkit Profession Analysi
s
k al s
Comerci
Tipo Libre Libre Libre Libre Comercial Libre Libre
al
Estndarde
Si No No No Si No No No
laindustria
Multiplatafo
Si Si Si Si No Si No No
rma
SOFTWARE PARAANLISIS DE DISPOSITIVOSMVILES
MOBILeditForensic
Es una herramienta confiable de anlisis forense en celulares
utilizada en ms de 70 pases y reconocida por el Instituto Nacional

(9)
de Estndares y Tecnologa pgina oficial .
Permite extraer todo el contenido del telfono y genera un reporte (en
cualquier idioma) listo para su presentacin en una audiencia.
Entre sus principales caractersticas se puede mencionar:
Anlisis de telfonos va cable USB, Bluetooth e Infrarrojo.
Compatibilidad con una gran cantidad de telfonos.
Recuperacin de mensajes borrados de tarjetas SIM.
Exportacin a Word, Excel / XLS, navegador, XML / XSL.
(9) 02%,/HGLW! )RUHQVLF 2YHUYLHZ 2011. MOBILedit. 10 de Mayo 2011.

<h tt p :// www . mob il ed it. com / me f -overv i ew . h t m>
ART Mobile
Es un software desarrollado para asistir en la captura de imgenes
(va cmara) de dispositivos mviles para producir un documento en

(10)
Microsoft Word, pgina oficial .
Provee las siguientes funciones:
Reduce el tiempo que se expende en reportes manuales.
Captura imgenes de una cmara conectada va USB.
Almacena imgenes en una carpeta de estructura lgica.
Crea un reporte personalizable con las imgenes capturadas.
BitPIM
Es un programa que permite ver y manipular datos en telfonos
CDMA como LG, Samsung, Sanyo, etc. pudiendo obtener datos que
incluyen Contactos, calendario, fondos de pantalla, tonos musicales y

(11)
archivos del sistema, pgina oficial .
(10) $57 ($XWRPDWLF 5HSRUWLQJ 7RRO) 2010. IntaForensics. 10 de Mayo 2011.

<h tt p :// www .i n t a f orens i cs . com / So ft ware / ART . aspx>
(11) BitPIM. 2010. 10 de Mayo 2011. <h tt p :// www . b it p i m.org />
Oxygen Forensic Suite
Es un software forense mvil para anlisis estndar de telfonos
FHOXODUHV WHOpIRQRV LQWHOLJHQWHV

XWLOL]DQGR
SURWRFRORV
\ 3'$V
avanzados para extraer ms cantidad de datos de los que
generalmente se puede extraer con herramientas forenses,

(12)
especialmente en telfonos inteligentes, pgina oficial .
Permite extraer datos de:
Informacin general del telfono y de la tarjeta SIM.
Contactos
Calendario.
Historial de llamadas.
Notas.
Cach de navegacin web.
Entre otros.
UndeleteSMS
Permite recuperar mensajes SMS borrados de tarjetas SIM GSM,

(13)
pgina oficial .
(12) Oxygen Forensic Suite 2011. 2011. 10 de Mayo 2011. h tt p :// www . oxygen-
f orens i c . com / en /
(13) 8QGHOHWH606 %D[:DUH GH 0D\R h tt p :// www . baxware . com / unde l e t e-

sms . h t m>
Cell Seizure
Es un software que permite la recoleccin y anlisis de datos
extrados de diversos tipos de celulares, teniendo como principal
objetivo organizar los distintos tipos de archivos y generar un informe

(14)
HTLM a partir de los mismos, pgina oficial .
Entre sus caractersticas tenemos:
Soporta GSM, TDMA, CDMA.
Adquiere informacin completa de la tarjeta SIM.
Recupera datos borrados y descargas flash.
Soporta mltiples idiomas.
Diferentes formatos de informe disponibles.
Bsqueda avanzada de texto y valores hexadecimales.
Tabla M. 2 - Software dispositivos mviles
Software Tipo
Comercial con versin gratuita
MOBILedit!Forensic
reducida
ART-Mobile Comercial
BitPIM Comercial
Comercial con versin gratuita
Oxygen ForensicSuite reducida
UndeleteSMS Libre
CellSeizure Comercial
(14) 'HYLFH 6HL]XUH 'LJLWDO ,QWHOOLJHQFH GH 0D\R

<h tt p :// www . d i g it a li n t elli gence . com / so ft ware / paraben f orens i ctoo l s / dev i cese i zure />
ANEXO N: OPCIONES DE
IMPLEMENTACION
Presentamos a continuacin tres alternativas de implementacin con
diferente tipo de software y hardware para el funcionamiento del Laboratorio
Forense Digital
ALTERNATIVA DEIMPLEMENTACION 1
Tabla N. 1 - Alternativa de implementacin uno
Equipo Caractersticas Precio
Sistema operativo: window 7

EquipoBase Procesador Intel Core I7
Tarjeta de video Geforce
Disco duro de 4TB
Memoria RAM 8 Gb DDR3
Puertos: Usb, fireware, red 100/1000
1,900
Quemador CD/DVD
Blu-ray
Lector de tarjetas
Puerto Firewire
Puerto e-sata
Monitor 19''
Equipoportatil
Sistema operativo: Windows 7

Procesador Intel Core I5
Disco duro de 1TB 1,200
Sistema para el clonado de discos

Duplicador duros.
6,130.74
Analiza los dispositivos
Forensictalonkit IDE/UDMA/SCSI/SATA.
Bloqueadordeescritura
Ultra Kit III + FireWire + TD1
Contiene hardware UltraBlock, 2,699

bloqueador de escritura.
Adaptadores y conectores
FRED Posee bandejas extrables para

instalar los discos duros.
ForensicRecoveryofEvidence
Posee dos unidades de disco duro,
Device Una para sistema operativo (s), la
adquisicin forense, herramientas de
tratamiento y el otro disco como una
unidad de trabajo para la 5,999
restauracin y el procesamiento de la
evidencia digital.
Intel i7 920 CPU , 2,66 GHz, cach
de 8M
6 GB DDR3-1333
Obtiene informacin de dispositivos

PDA, Blackberry de Windows y
Garmin y dispositivos Tom Tom de
navegacin satelital.
CellDEK Adquiere llamadas perdidas, 20,000
salientes, recibidas, agenda, SMS,
SMS eliminados de la SIM, MMS
(mensajes multimedia), calendarios,
citas recordatorios, imgenes, video,
audio.
Encase
Permite visualizar previamente los
datos mientras se obtienen imgenes
de unidades o de otros medios.
Compatibilidad con diversos sistemas
de archivos 3,600
Compatibilidad con RAID avanzada
Versin
Software forense mvil para anlisis
OxygenForensicSuite profesional
estndar de telfonos celulares,
WHOpIRQRV LQWHOLJHQWHV 1,499
\ 3'$V
Total 43,027.74
Tabla N. 2 - Alternativa de implementacin dos

Sistema operativo: Windows
server 2008
EquipoBase Tarjeta de video Geforce
Disco duro de 4TB
Puertos: Usb, fireware, red
100/1000 1,900
Quemador cd/dvd
Blu-ray
Lector de tarjetas
Puerto Firewire
Puerto e-sata
Monitor 19''
Equipoportatil

Disco duro de 1TB 1200
Duplicador
Forensictalonkit
Sistema para el clonado de

discos duros. 6,130.74
Analiza los dispositivos
IDE/UDMA/SCSI/SATA.
Bloqueador deescritura
Ultra Kit III + FireWire +

TD1
Contiene hardware UltraBlock,

bloqueador de escritura. 2,699
Adaptadores y conectores
FRED
Posee bandejas extrables para

instalar los discos duros.
ForensicRecoveryof Posee dos unidades de disco
EvidenceDevice duro, Una para sistema operativo
(s), la adquisicin forense,
herramientas de tratamiento y el
otro disco como una unidad de 5,999
trabajo para la restauracin y el
procesamiento de la evidencia
digital.
Intel i7 920 CPU , 2,66 GHz,
cach de 8M
6 GB DDR3-1333
Obtiene informacin de
dispositivos PDA, Blackberry de
CelldeskTek Windows y Garmin y dispositivos 15,121.5
Tom Tom de navegacin satelital.
Adquiere llamadas perdidas,
salientes, recibidas, agenda,
SMS, SMS eliminados de la SIM,
MMS (mensajes multimedia),
calendarios, citas recordatorios,
imgenes, video, audio.
Software Forense que asiste en

el anlisis de discos, redes y
navegadores.
Esta herramienta est dividida en
seis secciones que incluyen
diversas herramientas forenses
DefExtra las cuales se detallan a
continuacin:
1. Informacin del Sistema.
2. Adquisicin en Vivo.
3. Forense. 0,0
4. Bsqueda.
5. Utilidades.
6. Reporte.
Software forense mvil para Versin
Oxygen Forensic Suite anlisis estndar de telfonos profesional
celulares, telfonos inteligentes y 1,499
3'$V
Total 34,549.24
Tabla N. 3 - Alternativa de implementacin tres
EquipoBase Sistema operativo: Windows 7

Tarjeta de video Geforce
Disco duro de 4TB
1,900
Puertos: Usb, fireware, red 100/1000
Quemador cd/dvd
Blu-ray
Monitor 19''
Equipo portatil

Disco duro de 1TB 1200
FTKImager Software orientado a la adquisicin y

tratamiento de imgenes de
Libre
dispositivos de almacenamiento.
Herramienta Windows
Interfaz grfica.
Software Forense que asiste en el
anlisis de discos, redes y
navegadores.
Esta herramienta est dividida en
seis secciones que incluyen
Deft-extra diversas herramientas forenses: libre
1. Informacin del Sistema.
2. Adquisicin en Vivo.
3. Forense.
4. Bsqueda.
5. Utilidades.
6. Reporte.
Software forense mvil para Versin

Oxygen Forensic Suite anlisis estndar de telfonos profesional
celulares, telfonos inteligentes y 1,499
3'$V
Restoration Libre
Recuperar archivos borrados.
Total 4,599
ANEXO O: DETALLE SOFTWARE
DEFT-EXTRA
Anlisis de la herramienta Deft-Extra (Digital Evidence & Forensic
Toolkit)
Ilustracin O. 1 - Pantalla principal Deft Extra
Es un kit de herramientas de anlisis forense adaptado a Windows pero
basado en la distribucin Linux Xubuntu.
Caractersticas
Posee una interfaz grfica amigable.
Orientado tanto para administradores de sistemas, polica, investigadores
y peritos especializados en el rea informtica.
Disponible en los idiomas ingls e italiano.
Funcionalidades
Deft-Extra cuenta con varios mdulos para clasificar sus funcionalidades.

MduloSysInfo
Dentro de este mdulo encontramos varias funcionalidades explicadas en la
siguiente tabla.
Tabla O. 1 - Caractersticas mdulo SysInfo
Funcionalidad Descripcin
Muestra informacin bsica del
sistema:
Sistema operativo
Procesador
System Information RAM
Usuario
Host
Direccin IP
Unidades de disco
Informacin de los procesos que se

Running Process estn ejecutando.
Provee las siguientes herramientas
Drive Manager
WinAudit
USB Deview
User Profile View
WRR
System Information Utilities MSI
My Event View
CurrProcess
SystemInformation
Ilustracin O. 2 - Pantalla System Information
En esta pantalla encontramos datos importantes como la ip, el nombre del
equipo en la red, el usuario y unidades de disco.
RunningProcess
Ilustracin O. 3 - Pantalla Running Process

Este es el listado de procesos ejecutndose actualmente as como su id.
SystemInformationUtilities
Ilustracin O. 4 - Pantalla System information Utilities
Con estas herramientas podemos recolectar toda la informacin del sistema.
Drive manager
Ilustracin O. 5 - Seccin drive Manager

Provee informacin sobre las unidades de disco del sistema.
Ilustracin O. 6 - Informacin de disco duro
En la informacin de cada unidad podemos encontrar informacin ms
precisa para nuestra investigacin.
WinAudit
Ilustracin O. 7 - Seccin WinAudit

Ilustracin O. 8 - Active Setup
Nos permite inventariar el sistema, de esta manera podemos tener acceso
datos tales como:
Software instalado.
Seguridad.
Grupos y usuarios.
Tareas programadas.
Logs de errores.
Discos fsicos.
Discos lgicos.
Servicios, entre otros.

USB Deview
Ilustracin O. 9 - Seccin USB deview
Muestra informacin de los ltimos dispositivos conectados al sistema.
ModuloLiveAcquisition
siguiente tabla.
Tabla O. 2 - Caractersticas mdulo Live Acquisition
FTK Imager v 2.6.1 Herramientas para obtener
WFT Windows Forensics imgenes de las unidades de
ToolChest almacenamiento del sistema.
WINEN Herramientas para obtener una
MDD copia de la memoria RAM del
sistema.
WTF-WindowsForensicsToolChest FTKImagerv2.6.1
Ilustracin O. 10 - Seccin live acquisition
WINEN MDD
Ilustracin O. 11 - Seccin live acquisition RAM

MduloForensics
siguiente tabla.
Tabla O. 3 - Caractersticas Mdulo Forensics
Herramientas extras para el anlisis

forense digital:
Recuva
Zero View
Forensics Tools
WFA
FileAlyzer
PC ON/OFF TIME
Terminal
NIGILANT 32
Permite recuperar contraseas que

hayan sido almacenadas en el
sistema con las siguientes
herramientas:
Password Recovery MessenPass

Asterix Logger
Password Fox
ChromePass
IePass View
Wireless Key View
Mail Pass View
Permiten el anlisis forense de

redes mostrando informacin de
puertos abiertos, conexiones
inalmbricas, adaptadores de red
Networking para ello cuenta con las
herramientas:
CurrPorts
AdapterWatch
SniffPass
Bluetooth View
WirelessNet View
Herramientas para el anlisis

forense de navegadores web
IECookie View
IEHistory View
Web Browser Mozilla Cookie View
Mozilla History View
Historian
Mozilla Cache View
Opera Cache View
Chrome Cache View
FoxAnalysis
Index.Dat 2.0
ForensicsTools
Ilustracin O. 12 - Seccin forensics tool

Password Recovery
Ilustracin O. 13 - Seccin Password recovery
Networking
Ilustracin O. 14 - Seccin Forensics Networking

Wirelessnet view
Ilustracin O. 15 - Seccin WirelessNet
WebBrowser
Ilustracin O. 16 - Pantalla Web Browser

Proporciona informacin de navegacin tales como: historial, cache,
contraseas guardadas.
History view
Ilustracin O. 17 - Seccin History view
MduloSearch
siguiente tabla.
Tabla O. 4 - Caractersticas Mdulo Search
Permite la bsqueda de archivos en
Search los dispositivos conectados al
equipo mediante criterios, adems
permita la visualizacin de
miniaturas de los archivos
encontrados.
Ilustracin O. 18 - Pantalla Mdulo search
Herramienta de bsqueda archivos, incluye la funcionalidad MD5 para evitar
la alteracin de archivos.
MduloUtility
siguiente tabla.
Tabla O. 5 - Caractersticas Mdulo Utility
Herramientas de apoyo en el
anlisis forense digital
IncrediMail Me
TestDisk
Utility SumatraPDF
SkipeLog View
Pre-Search
RootKit Revealer
Putty
Photorec
HoverSnap
HashCalc
Hexedit
AviScreen
IpNetInfo
LtfViewer
Notepad++
VncViewer
AbiWord
KeyLog
Ilustracin O. 19 - Pantalla Mdulo Utility
Proporciona una coleccin de herramientas extras para anlisis forense.
MduloReport
Tabla O. 6 - Caractersticas mdulo Report
En esta seccin el investigador
Report forense puede realizar anotaciones
de los hallazgos de su investigacin.
Este apartado del software permite hacer anotaciones de datos claves que
nos ayudaran en la elaboracin del informe pericial.
Ilustracin O. 20 - Pantalla Mdulo Report

ANEXO P:ANLISISDE
CELULARES
Anlisis con Oxygen Forensic Suite 2010
Con esta herramienta podemos obtener principalmente una imagen de la
memoria del celular y obtener la informacin relevante dentro de las
memorias del dispositivo para proceder a clasificarla y analizar la evidencia.
Dentro de la informacin principal que se puede obtener del dispositivo mvil
se encuentra:
Registros internos de los dispositivos
Memoria fsica
Memoria cache
Registro estado de la red
Registros de procesos en ejecucin
Contenido del portapapeles
Archivos abiertos
Servicios activos y drivers
Registro de comandos ejecutados
Usuarios conectados y autenticados
Hora y fecha
Los siguientes pasos indican desde la deteccin del telfono celular hasta
obtener la informacin que se encuentra dentro de la memoria.

1. Ejecutar Oxygen .
2. Dar clic en Connect a new device y aparece la siguiente ventana:
Ilustracin P. 1 - Oxygen Welcome
3. Clic en Next.
4. Conectar un dispositivo va USB (el programa tambin permite
conectarse va Bluetooth y puerto infrarrojo )
Ilustracin P. 2 - Oxygen tipos de conexin

5. Dar clic en el tipo de conexin segn sea el caso.
6. El programa comienza la bsqueda de dispositivos conectados.
Ilustracin P. 3 - Oxygen bsqueda de dispositivos
7. Una vez encontrado nos muestra el tipo del telfono encontrado.
Ilustracin P. 4 - Oxygen dispositivo encontrado

8. Dar clic en Next por dos ocasiones y aparece una pantalla donde se
indica que el proceso de extraccin de datos est a punto de empezar.
Ilustracin P. 5 - Oxygen proceso de extraccin de datos
9. Dar clic en Next aparece una pantalla para almacenar datos del caso.
Ilustracin P. 6 - Oxygen almacenar datos

10. A continuacin podemos incluir el nmero del propietario:
Ilustracin P. 7 - Oxygen nmero del propietario
11. Al dar clic en Next nos muestra los datos que se van a extraer, podemos
seleccionar los que sean tiles para nuestra investigacin.
Ilustracin P. 8 - Oxygen seleccionar datos

12. Al dar clic en Next nos muestra un informe detallado de lo que se va a
extraer y detalles del caso.
Ilustracin P. 9 - Oxygen extraccin de datos
13. Al dar clic en Extract empieza el proceso.
Ilustracin P. 10 - Oxygen extrayendo datos

14.Al concluir el proceso nos da las opciones de exportar o empezar el
anlisis directamente.
Ilustracin P. 11 - Oxygen empezar anlisis
15.Escogemos Open device . Se muestra la informacin del dispositivo,
podemos explorar cada una de las opciones.
Ilustracin P. 12 - Oxygen Informacin de dispositivo

16. Phonebook: Nos muestra un listado de los nmeros telefnicos
almacenados en el celular.
Ilustracin P. 13 - Oxygen phonebook
17.Calendar: Anotaciones deeventos almacenados enelcalendario.
Ilustracin P. 14 - Oxygen calendar

18.Messages: Detalles demensajes enviados y recibidos.
Ilustracin P. 15 - Oxygen messages
19.Event Log: Detalle de eventos en el dispositivo tales como: mensajes,
llamadas y navegacin web.
Ilustracin P. 16 - Oxygen log

20.FileBrowser: Listadode todos los archivos encontrados enel telfono,
tanto en la memoria externa e interna.
Ilustracin P. 17 - Oxygen buscador de archivos
21.Extras
Ilustracin P. 18 - Oxygen extras

22.Para realizar el informe procedemos a exportar los datos encontrados.
Ilustracin P. 19 - Oxygen exportar datos
23.Y se genera un reporte en formato PDF.
Ilustracin P. 20 - Oxygen reporte

Anlisis de SIM con Data Doctor Recovery - SIM Card
Ilustracin P. 21 - Oxygen data doctor recovery
Permite la recuperacin de nmeros y mensajes de la tarjeta SIM. Para
utilizar este programa se requiere un lector USB de tarjetas SIM.
Barra de herramientas
Tabla P. 1 - Barra de herramientas Data Doctor Recovery
Icono Nombre Descripcin
Search SIM Card Explora los datos de la tarjeta
Save Recovered
Permite guardar los datos
Data
recuperados.
Help Ayuda
Exit
Salir
ANEXO Q:ARCHIVOCIFRADO
Podemos darnos cuenta de que un archivo est cifrado de varias maneras:
La extensin del archivo es desconocida.
Al abrir el documento encontrar la informacin de manera ilegible, con
smbolos y caracteres extraos, etc.
Ilustracin Q. 1 - Archivo cifrado
Archivo cifrado
Este archivo, carta garcia.docx est cifrado y al abrirlo encontramos
caracteres ilegibles que forman el contenido de este archivo.
Ilustracin Q. 2 - Contenido de archivo cifrado

ANEXO R:RASTREO DE CORREO
ELECTRNICO
Para realizar el rastreo se necesita conocer la cabecera del correo
electrnico que fue recibido.
Con esta cabecera se pueden utilizar herramientas para obtener la ip de
origen de donde fue enviado el correo electrnico. En este caso utilizamos el
sitio web http://whatismyipaddress.com/trace-ema il que nos ayuda en esta
tarea.
Ilustracin R. 1 - Cabecera correo electrnico

Es necesario copiar la cabecera en el sitio web para obtener la ip de origen
Ilustracin R. 2 - Headers sitio What's my ip address
Se obtiene como resultado la direccin IP origen
Source:
The source IP address is 190.111.64.8.
Geo-Location Information
Country Ecuador
State/Region 08
City Arenillas
Latitude -3.55
Longitude -80.0667
Area Code
Otra informacin necesaria es el ISP, para obtenerla accedimos a la
siguiente direccin:
http:// l acn i c.net/cg i -bin/ l acn i c/who i s? l g=EN&query=190.111.64.8, en la cual
obtuvimos la siguiente informacin.
% Joint Whois - whois.lacnic.net

% This server accepts single ASN, IPv4 or IPv6 queries
% LACNIC resource: whois.lacnic.net
% Copyright LACNIC lacnic.net

% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2010-12-16 02:15:15 (BRST -02:00)
inetnum: 190.111.64/20
status: allocated
owner: CONECEL
ownerid: EC-CONE-LACNIC
responsible: Robert Ordez Dueas
address: Edif. Centrum, Av. Fco de Orellana y Alberto Borge, 1,
3er Piso
address: 5934 - Guayaquil -
country: EC
phone: +593 4 2693693
begin_of_the_skype_highlighting +593 4
2693693 end_of_the_skype_highlighting [2801]
owner-c: ROD
tech-c: ROD
abuse-c: ROD
created: 20100106
changed: 20100106
nic-hdl: ROD
person: Anibal Gamboa
e-mail: RedDaNac@CONECEL.COM
address: Edif. Centrum; Av.Fco. Orellana y Alberto Borges, 1, 1
address: 5934 - Guayaquil -
country: EC
phone: +593 4 2693693
begin_of_the_skype_highlighting +593 4
2693693 end_of_the_skype_highlighting [2020]
created: 20041208
changed: 20100105
ANEXO S:MQUINA
COMPROMETIDA
Botnet
Los botnets (o software robots) representan en la actualidad una de las
mayores amenazas en la web, detrs de estos robots se encuentran la
mayora de los fraudes que se cometen en internet.
Un botnet es un trmino que hace referencia a una coleccin de software
robots, bots o zombies, que se ejecutan de manera autnoma. El dueo del
botnet o bot master puede controlar todos los ordenadores/servidores
infectados de forma remota. Para la creacin de este tipo de software
malicioso normalmente se utilizan lenguajes Orientados a Objetos para
construir debido a que resultan mucho ms cmodos.
La mayor parte del tiempo ni siquiera nos damos cuenta que nuestro
ordenador es un software robot a disposicin de alguna persona o mafia.
Como Se Puede Convertir El Computador En Un Robot (Botnet)?.
Para que un computador se infecte y forme parte de una botnet requiere que
el usuario realice una accin como, instalacin de programas de dudosa
procedencia, ejecucin de cracks y generadores de seriales (keygens), entre
otros, son las principales maneras que pueden ocasionar que un ordenador
se convierta en un botnet.
Como Podemos Identificar Una Botnet?
Para detectar que nuestro computador est siendo usado en una botnet
podemos tomar en cuenta los siguientes aspectos: el equipo tarda mucho
tiempo para apagarse, o no lo hace correctamente, con frecuencia el
malware posee errores que pueden causar una variedad de sntomas,
incluyendo que el apagado del sistema sea muy largo o directamente falle,
Las aplicaciones andan muy lento , esto puede ocurrir porque programas
ocultos estn utilizando una gran cantidad de recursos del equipo.
Adems no se pueden descargar las actualizaciones del sistema operativo,
del antivirus o visitar sitios web de los proveedores : este es un sntoma que
no se puede ignorar.
El acceso a internet es muy lento: si un bot est en ejecucin en el sistema
para, por ejemplo, enviar grandes cantidades de spam, realizar un ataque
contra otros equipos, puede causar que el acceso a internet sea muy lento.
Para confirmarlo, se debe de deja de navegar completamente, acceder al
administrador de tareas (CTRL+ALT+SUPR), selecciona Funciones de Red y
observa si tu ordenador est usando Internet, en caso afirmativo esta sera
una prueba bastante evidente de que eres parte de una red zombie.
Recomendaciones
Las recomendaciones son bsicamente las mismas que se utilizan cuando se
cuenta con un virus, escanear con un buen antivirus (actualizado) y como se
mencion, monitorear la actividad en la red.
Si al hacer la prueba anterior confirmamos que ya somos un Bot es lgico
pensar que nuestro actual antivirus no est dando los resultados que
esperbamos, Algunas de las herramientas gratuitas creadas para detectar la
intrusin son RuBotted de Trend Micro, Bot Hunter de SRI International, y el
escaneo de Windows Live OneCare.
En el caso de Eset Nod32 Antivirus, las detecciones Win32/Spy.Zbot,
IRC/SdBot y Win32/AutoRun.IRCBot, entre otras, indican la presencia de
malware del tipo bot.

ANEXO T:RETO ANLISIS
FORENSEDIGITAL
Objetivos
Realizar un anlisis forense sobre una imagen de disco perteneciente al
principal sospechoso involucrado en un caso acoso a menores de edad as
como la distribucin de pornografa infantil a travs de internet.
Recolectar pruebas suficientes y vlidas para incriminar al sospechoso en el
caso sealado, y demostrar que este equipo fue utilizado para llevar a cabo
actividades ilcitas.
1. Descripcin de la Evidencia
Para llevar a cabo el anlisis se facilita un snapshot del sistema objetivo en
IRUPDWR ZPGN (9LUWXDO 0DFKLQH 'LVN)
La imagen a analizar podr ser descargada desde los siguientes enlaces:
Cada imagen posee el valor hash MD5, CRC32 y SHA-1 para comprobar su
integridad por medio de checksum, es decir que no haya sido manipulada
desde la obtencin de la misma.
Parte 1 del RetoForense Comunidad DragonJAR
CRC32: 76B78AE4
MD5: D542187FF2C9D651BAF40FF488C367FE
SHA-1: A51BA56118F094C910F9BF428ACF27FBD935679A
CRC32: 2F55CB1E
MD5: C33FA1AF1EBA82EB07182106E1A1B060
SHA-1: 63052A87F323BD729ACDB8AEF4FD311080E2D9C8
CRC32: 59CD3705
MD5: 08FF1B6A0E8CBD1DF1724B40B20228E2
SHA-1: D228E81F5FDC20F561967C8EBF15CD49B7EB6F96
CRC32: 125309ED
MD5: 6F0D583A6560D49004B9FD52065CDBC2
SHA-1: 29E52CD2A28CA65007CD16FD95418B566B1F0980
CRC32: 731CF2D6
MD5: 4FD27F4415BE756B0C47BD04C54D586C
SHA-1: FB6B31CD8A4D2ED5E6D9EF96B974485826F2399D
2. Entorno de trabajo
Para el estudio de la imagen adquirida vamos a utilizar el software VMware
Workstation, en el cual se carga la imagen del sistema operativo y se
conectaran los dispositivos necesarios con las herramientas forenses para
realizar el anlisis, en estos mismo dispositivos se almacenaran los datos
recolectados y fundamentales para la investigacin.
3. Herramientas utilizadas
Para llevar a cabo el anlisis nos ayudamos de varias herramientas forenses.
Tabla T. 1 - Herramientas forenses reto DrajonJar
Herramienta Descripcin
VMware Software de emulacin de mquinas
virtuales.
Deft extra Kit de herramientas y utilidades
forenses
Imager Lite Adquisicin y tratamiento de
imgenes para ser posteriormente
usadas y tratadas como de
evidencias forenses.
Lads Bsqueda de Alternate data Stream.
(ADS)
LAGADS Lista y extrae Alternate Data Stream
4. Recoleccin De Datos
Se proceder a recoger datos o rastros de los mismos existentes en:
Procesos en ejecucin
Servicios Activos
Programas Instalados
Temporales de Internet
Historial y Carpetas de Mensajera instantnea (MSN)
Clster no asignados del HD
Archivos borrados
5. Anlisis
5.1. Integridad de la evidencia
Descargada la imagen del disco es necesario verificar el checksum MD5
facilitado, para garantizar que la evidencia no haya sido alterada luego de
haber sido publicada.
Para obtener el valor MD5 realizamos los siguientes pasos:
1. Descomprime el MD5.ZIP, el cual se puede descargar de
http://www.mundoprogramacion.com/colabora/md5.zip
2. Copiar el fichero MD5.exe en una carpeta que est en PATH.
3. Abre una ventana de MS-DOS
4. En la ventana de comandos, escribir MD5 seguido de un espacio y
la ruta donde se encuentra el ZIP al que se quiere obtener el valor
de comprobacin.
5. Al dar ENTER se presenta una lista de nmeros hexadecimales.

6. Esta lista de letras y nmeros es la que tienes que usar para
comparar con el valor MD5 facilitado inicialmente.
Ilustracin T. 1 - MD5
5.2. Identificacin de la Evidencia
Una vez que cargamos la imagen con el Software VMWare Workstation,
al entrar a las propiedades del sistema podemos determinar:
El Sistema Operativo cargado es Windows XP corriendo con el
Service Pack 3.
&RPR XVXDULR SURSLHWDULR

WHQHPRV HO QRPEUH GH Scarface
La fecha de instalacin del S.O. fue el 15-12-2009

Ilustracin T. 2 Detalles Sistema Operativo
Para obtener los datos principales del sitema operativo utilizamos la
herramienta WinAudit.
El uso horario configurado es el de EE.UU. y Canad. Existe solo un
acuenta de usuario Admnistrador, la cual no tiene contrasea para
ingresar.
Ilustracin T. 3 - Detalles usuario administrador
5.3. Software instalado
Se determina el software instalado en el sistema.
Ilustracin T. 4 - Detalles Software instalado

Ilustracin T. 5 - Programas instalados
Determinamos los programas instalados en el equipo, dentro de los
cuales encontramos el software TrueCrypt , por lo que podramos
esperar encontrar ficheros o volmenes de discos duros encriptados.
5.4. Servicios y procesos en ejecucin
Determinamos los servicios y procesos que estn corriendo en el
sistema, de los cuales el que ms llama la atencin es el servicio de
TrueCrypt ejecutndose a nivel de Kernel y fue iniciado por el sistema, de
lo cual concluimos que el software que llama a este servicio se utiliza
normalmente.
Ilustracin T. 6 - Detalle WinAudit
5.5. Programas y servicios de inicio
Revisamos el software y los servicios que se ejecutan al iniciar el sistema
operativo, pero no encontramos algn software sospechoso.

Ilustracin T. 7 - Programas de arranque
5.6. Programas ejecutados en el sistema
Nuevamente vemos que el software TrueCrypt se ha ejecutado varias
veces. Le damos importancia a este software ya que sirve para cifrar y
ocultar datos en el ordenador usando diferentes algoritmos de cifrado.
Ilustracin T. 8 File Analyzer

6. Metodologa
6.1. %~VTXHGD GH $OWHUQDWH 'DWD 6WUHDP
Utilizando la herramienta LADS encontramos Metainformacin oculta
dentro del fichero Scarface.jpg.
Alternate Data Stream es una caracterstica de los archivos NTFS en los
que s oculta un fichero dentro de otro.
Ilustracin T. 9 - Bsqueda ADS
Al ejecutar este comando se realiza una bsqueda en el disco C, luego
se obtienen los resultados en el archivo resultado.txt
Ilustracin T. 10 ADS encontrado

Necesitamos ubicar la imagen en la que se encuentran los metadatos
ocultos, para esto usamos la herramienta FTK Imager
Ilustracin T. 11 - Tipo de fichero oculto
Necesitamos determinar qu tipo de fichero se encuentra oculto en la
imagen, para esto ejecutamos el comando more en la consola.
Ilustracin T. 12 Comando more
El resultado presenta que el fichero es un ejecutable.

Ya que tenemos la informacin del fichero, es decir donde est oculto y
que extensin tiene, procedemos a extraer el fichero oculto dentro de
Scarface.jpg. Para esto utilizaremos la herramienta LAGADS.
Ilustracin T. 13 - Extraer ADS
Como resultado se obtuvo un archivo hexadecimal VDOLGDKH[
Ilustracin T. 14 - Archivo oculto obtenido
Como ya conocemos la extensin del fichero oculto vamos a cambiar la
extensin .hex por .exe para determinar el programa que se ejecuta.

El software que se ejecuto es la herramienta que contiene datos cifrados
6WHJDQRV /RFN1RWH HO FXDO HV XQD KHUUDPLHQWD TXH SHUPLWH

FRGLILFDU
nuestros textos de una forma sencilla y fiable, utiliza el algoritmo AES de
256 bits.
Ilustracin T. 15 password Locknote
Esta herramienta nos pide una contrasea para poder acceder. Para
obtener la contrasea requerido vamos a buscar rastros dejados en el
equipo de esta informacin.
6.2. Bsqueda de volmenes de datos cifrados conTrueCrypt
Como primera estrategia vamos a realizar una bsqueda en el disco
duro, utilizando como parmetros archivos mayores a 1000 Kb y que no
posean extensin para poder compararlos con los del sistema que
cumplan estas condiciones y poder analizar los determinados como
sospechosos.
Ilustracin T. 16 - Fichero sospechoso
(O ILFKHUR TXH PiV VH GHVWDFD HV HO OODPDGR IDYRULWR

ORFDOL]DGR HQ OD
carpeta Favoritos, pesa 5.120 KB y no posee extensin, por lo tanto
podemos sospechar que es un volumen cifrado de datos.
Ilustracin T. 17 - Archivo sospechoso visto con FTK Imager

6.3. Localizacin de la aplicacinTrueCrypt
Necesitamos encontrar la aplicacin TrueCrypt para comprobar que el
ILFKHUR HQFRQWUDGR IDYRULWRV VH WUDWD GH XQ YROXPHQ FLIUDGR

FRQ HVWD
herramienta.
Como ya lo hemos determinado esta herramienta se encuentra
instalada en el equipo y corriendo en el sistema pero no es encontrada
en los archivos de programa o en su localizacin predefinida de
instalacin.
Ilustracin T. 18 - Archivos de programas

Ilustracin T. 19 Listado de programas
Verificamos la opcin de configuracin para mostrar carpetas y
archivos ocultos para proceder a realizar una bsqueda de la
aplicacin TrueCrypt por el motor del sistema operativo.
Ilustracin T. 20 - Mostrar archivos ocultos

Luego de realizar la bsqueda del ejecutable TrueCrypt no se
encontraron resultados.
Ilustracin T. 21 - Bsqueda de archivos
Sin embargo, al realizar la bsqueda por el nombre de TrueCrypt se
encuentran dos carpetas con este nombre, una con un archivo de
FRQILJXUDFLyQ &RQILJXUDWLRQ[PO \ OD RWUD VLQ FRQWHQLGR
Ilustracin T. 22 Resultado de la bsqueda

Para continuar en la bsqueda de esta aplicacin vamos a acceder a
los registros del sistema operativo con Regedit.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Y encontramos una ruta modificada de TrueCrypt
Ilustracin T. 23 - Editor del Registro
Accedemos a la ruta que se nos indica para encontrar la aplicacin
C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst
Ilustracin T. 24 - TrueCrypt.exe
Podemos ejecutar la aplicacin.
Ilustracin T. 25 - Dispositivos montados
6.4. Archivos temporales de internet
Se van a realizar dos bsquedas principales: imgenes en cache y
XUOV YLVLWDGDV
Podemos hacer uso de las herramientas forenses y adems accesar al
ORV GDWRV GH OD UXWD 'RFXPHQWV DQG
Settings\Administrador\Configuracin local\Archivos temporales de
Internet\&RQWHQW,(
6.5. Imgenes de carcter pedfilo
Ilustracin T. 26 - Imgenes encontradas de contenido pedfilo
A primera vista con la herramienta Pre-Search podemos observar
varias imgenes de contenido pedfilo .

Se han encontrado varias imgenes que pueden ser clasificadas como
para nios y/o adolescentes. Muchas de estas corresponden a
SHOtFXODV GH 'LVQH\ SDUD QLxRV R DGROHVFHQWHV FRPR +LJK

6FKRRO
XVLFDO ODV FXDOHV
0 SXHGHQ VHU XWLOL]DGDV QRUPDOPHQWH FRPR
XQD
excusa para entablar conversaciones con los mismos.
6.6. %~VTXHGD GH 85/V \ DUFKLYRV GH LQWHUpV
Utilizamos la herramienta Index.dat Analizer para obtener informacin
GH 85/V YLVLWDGDV
Ilustracin T. 29 Bsqueda de URLs visitadas
Nos encontramos con informacin de inters, un registro en el portal
,PJ6UFUX FRQ los siguientes datos:
E-mail de registro:VFDUIDFHILVLFD#KRWPDLOFRP
Usuario:scarface123
Fecha:19-12-2009 -21:27:47
ImgSrc.ur segn la descripcin que aparece es un hosting de lbumes
de fotos.
Ilustracin T. 30 - Informacin de registro en el portal
Ilustracin T. 31 - Propiedades de archivos temporales

Ilustracin T. 32 - Informacin obtenida con FTK Imager
Existen rastros de acceso a la cuenta y dominio antes descrito, en el
TXH VH SXHGH DSUHFLDU HO FRQWHQLGR GH XQ iOEXP OODPDGR Otra
3 HQGHMD y quecontienefotografas detipopedfilo.
Ilustracin T. 33 - lbum encontrado en el portal

Se encontr que a este lbum RWUD SHQGHMD se subi una imagen
con el nombre de VH[\MSJ
Ilustracin T. 34 - Foto subida al lbum
Ilustracin T. 35 - Propiedades de la foto

Otra entrada muestra otra imagen de Disney subida al mismo lbum
con el nombre de OXQDUMSJ
Ilustracin T. 36 -Ilustracin R. 37 Foto subida a un lbum
Con la herramienta FTKImager buscamos ms informacin que fue
enviada al subir la imagen OXQDUMSJ

Ilustracin T. 38 - Datos del lbum subido al portal
Uno de los principales datos que encontramos es un password
VFDUIDFH quepuedeserutilizadoparaaccederalos lbumes, dela
misma manera obtenemos el nombre de un lbum 3ULQFHVD .
En la descripcin del lbum se encuentra un texto sospechoso de
inters para la investigacin, se puede leer que alguien envi fotos
bajo el engao de una enfermedad.

Podemos ver que el usuario 6FDUIDFH ha tenido acceso a su cuenta
de Hotmail VFDUIDFHILVLFD#KRWPDLOFRP podemos observar que
tiene un contacto SUHFLRVDQDWDOLD#KRWPDLOFRPen el cual
podemos notar cambios en su estado referenciando su afinidad con la
SHOtFXOD +LJK 6FKRRO 0XVLFDO UHFRUGDQGR TXH HO XVXDULR

6FDUIDFH
posee varias fotos de esta pelcula en su ordenador.
Ilustracin T. 39 - Datos encontrados en cuenta de correo hotmail
Ilustracin T. 40 - Propiedades del archivo temporal

Podemos determinar que con la cuenta de Hotmail y el usuario
6FDUIDFH serealizelregistroenelportal ImgSrc.ru
Ilustracin T. 41 - Index data analyzer, registro en el portal

Ilustracin T. 42 Index Data Analyzer, detalles de imgenes
Al momento de registrarse en ese portal se envi un correo con el
usuario y contrasea, las cuales obtuvimos del correo de confirmacin
de registro.
Ilustracin T. 43 - Datos en correo de hotmail
Referenciamos que el usuario recolecta mucha informacin y
fotografas de artistas juveniles y caricaturas infantiles.
Ilustracin T. 44 - Bsqueda de imgenes

+D UHDOL]DGR E~VTXHGDV GH LPiJHQHV GH OD SHOtFXOD
6FKRRO
+LJK
XVLFDO QRWLFLDV
0 YLGHRV \ GHPiV LQIRUPDFLyQ VREUH HVWD \
RWUDV
series infantiles y juveniles.
Ilustracin T. 45 - Bsqueda en la web contenido infantil

Ilustracin T. 47 Fechas de creacin archivos tempporales

6.7. Historial de mensajera instantnea MSN
Se busca informacin y rastros dejados de conversaciones con la
aplicacin de mensajera instantnea MSN.
6.8. Archivos fsicos en el disco duro
/DFXHQWD
VFDUIDFHILVLFD#KRWPDLOFRP
encuentra en la se
carpeta por defecto de Microsoft Messenger. No se encuentran
ningn log de conversaciones guardadas ni archivos recibidos
durante las mismas.

En la ruta:
DocumentsandSettings\Administrador\Temp\0HVVHQJHU&DFKH
que es la carpeta donde se almacenan archivos temporales de la
aplicacin MSN, se encontraron imgenes de contenido pedfilo que
son recibidas a travs de esta aplicacin.

6.9. Rastros en Cluster no Asignados
Ahora que determinamos que se han mantenido conversaciones por
la aplicacin Messenger y ya que no existen logs de estas, vamos a
profundizar en la bsqueda por los clster del disco duro filtrando la
bsqueda con la palabra clave PHVVDJH porque es el formato
utilizado en la estructura de las conversaciones del MSN.

&RQYHUVDFLRQHV HQWUH XVXDULR 6FDUIDFH \ 1DWDOLD 6H OH
SLGHQ
fotografas de ella con la excusa de que tiene lunares que podran
ser cancergeno, segn la apreciacin del usuario ScarfDFH 1DWDOLD
responde con temor y enva las fotos solicitadas.

&RQYHUVDFLRQHV HQWUH XVXDULR 6FDUIDFH \ &DPLOD
PDQWLHQHQ
FRQYHUVDFLRQHV LQDSURSLDGDV SRU SDUWH GHO XVXDULR 6FDUIDFH D
ODV
TXH &DPLOD UHVSRQGH FRQ GHVDJUDGR VH SURGXFHQ DPHQD]DV
Kacia
&DPLOD VL QR YXHOYH D FRQHFWDUVH 6FDUIDFH SXEOLFDUD
IRWRV GH HOOD
6FDUIDFH KD DYHULJXDGR LQIRUPDFLyQ GH &DPLOD FRPR
IDFHERRN
correo, etc.
6.10. Otros datos obtenidos del discoduro
(Q OD UXWD&\DocumentsSettings\Administrador\Mis
and
documentos\0L P~VLFD HQFRQWUDPRV XQ DUFKLYR GH DXGLR GH
extensin mp3 y que trata del desprecio a las mujeres.

/RV DUFKLYRV HQFRQWUDGRV
ODUXWD
&\Documents
HQ and
Settings\Administrador\Mis documentos\0LV LPiJHQHV VRQ XQD
LPDJHQ GH +LJK 6FKRRO 0XVLFDO \ RWUD OODPDGD 6FDUIDFH

FRQ
contenido ADS detallado anteriormente.
En los archivos recientes podemos ver imgenes cuya ruta de
DFFHVR HV OD XQLGDG = \ HQ RWURV FDVRV OD FDUSHWD

0LV
LPiJHQHV VL ELHQ ODV PLVPDV KDQ VLGR HOLPLQDGDV \D TXH
actualmente no se encuentran en la carpeta indicada.
RGHPRV QRWDU TXH3 H[LVWH XQD XQLGDG = PRQWDGD D OD TXH QR
es posible acceder de manera convencional.

7. Descripcin del hallazgo
Ahora describimos todos los datos obtenidos y enlazamos aquellas cosas
que no fueron cubiertas desde el principio como contraseas, etc.
7.1. Alternate Data Stream
Anteriormente se encontr un fichero oculto en el archivo
6FDUIDFHMSJ el cual es la aplicacin 6WHJDQRV /RFN1RWH Al
ejecutar esta aplicacin solicita una contrasea para acceder a los
datos cifrados, para esto probamos con las diferentes palabras claves
encontradas durante la investigacin.
Scarface: Nombre de usuario del computador
scarface123: Usuario de registro en el portal ImgSrc.ru
princesa: Nombre de lbum
scarface: Password para acceso a los lbumes
J9FVB779: Password del portal ImgSrc.ru

Obtuvimos VFDUIDFH como password vlida.
Descifrado
Al descifrar los datos obtuvimos la url, usuario y password
pertenecientes al portal ,PJ6UFXU que alberga los lbumes de
fotografas descritos anteriormente.
7.2. Volumen cifrado conTrueCrypt
Ejecutamos la aplicacin TrueCrypt encontrada en el equipo en la ruta
WINDOWS\$NtUninstallKB954155_WM9$\spuninst \D TXH QR VH
encuentra instalado en la carpeta por defecto sino que esa ruta fue
modificada por una no convencional con la intencin de mantenerlo
oculto.
Cargamos el volumen IDYRULWRV , encontrado anteriormente como
posible volumen de datos cifrado, y lo montamos en la unidad =
que es la unidad encontrada en los archivos recientes del ordenador.
Para esto necesitamos una contrasea, para lo cual probamos
nuevamente con las palabras claves encontradas durante la
investigacion, dando como password valida 6FDUIDFH

Al montar la unidad ] se localizan las imgenes de contenido pedfilo
expuestas anteriormente.
La hora y fecha de cada imagen est relacionada con las conversaciones a
travs del MSN entre 6FDUIDFH y las posibles vctimas.

7.3. Portal ImgSrv.ru
Ubicamos en el browser la url
http://imgsrc.ru/main/user.php?user=scarface123y encontramos
dos lbumes de imgenes protegidos por contrasea con los nombres
3ULQFHVD \ 2WUD 3HQGHMD.
$FFHGHPRV DO iOEXP 3ULQFHVD \ SRQHPRV FRPR FRQWUDVHxD

scarface
Al acceder a este lbum encontramos 4 fotos de contenido pedfilo.
$FFHGHPRV DO RWUR iOEXP HQFRQWUDGR HQ HO VLWLR OODPDGR

2WUD
HQGHMD FRQ OD 3
PLVPD FODYH VFDUIDFH HQ HO TXH HQFRQWUDPRV
IRWRV
de contenido pedfilo.
7.4. Conversaciones recuperadas dela aplicacin Messenger
Se puede establecer rastros de conversaciones mantenidas entre el
sospechoso y dos vctimas por medio de Messenger, al no contar con
los log de conversaciones, se procedi a realizar un anlisis al archivo
pageFile.sys en busca de rastros de conversaciones
Se encontraron fragmentos de conversaciones mantenidas con dos
FRQWDFWRV &DPLOD \ 1DWDOLD

El sospechoso mantienen una conversacin con una de sus vctimas
el usuario Camila, la conversacin es en un tono amenazante por
parte del sospechoso a su vctima, en la cual le informa que ha
averiguado informacin personal y la amenaza con enviarles unas
fotos a los contactos de la vctima si es que ella no vuelve a
conectarse y hacer lo que l le indique, se pudo obtener fragmentos
de la conversacin como se indica a continuacin:
La fecha de la conversacin: 19-12-2009 Hora inicio: 23:04:07 Hora
fin: 23:12:29
fin: 23:13:54
El sospechoso mantuvo conversaciones con la usuario Natalia en la
cual el sospechoso le solicitaba unas fotos a la vctima con la excusa
de ver unos lunares que podran ser cancergenos, ya que l le indica
a la vctima que conoce de este tipo de enfermedades, ante lo cual la
victima accede a enviarles la fotos para que le d su opinin. Se
encontraron fragmentos de esta conversacin los cuales se indica a
continuacin:
fin: 21:17:04
La fecha de la conversacin: 19-12-2009 Hora inicio: 21:20:44 Hora fin:
21:33:08
8. Posibles vctimas del sospechoso.
Se realiza una bsqueda en con el parmetro como palabra clave
#KRWPDLO HQ HO DUFKLYR GH SDJLQDFLyQ GH :LQGRZV

SDJD)LOHV\V FRQ OD
finalidad de localizar todas las posibles vctimas, dando como resultado lo
siguiente:
Se encontraron tres direcciones de correo electrnico de las cuales una
es perteneciente al sospechoso y las otras dos son pertenecientes a las
vctimas del presunto delito.
scarface1f i s i ca@hotma i l.com
prec i osa.natalia@hotma il .com

cam il a1linda2@hotma i l.com
A continuacin, con la ayuda de la herramienta LiveContactsView se
confirma los contactos que tena agregado scarface1fisica@hotmail.com,
a su cuenta de Messenger, que a su vez son los mismos que se
obtuvieron de la informacin obtenida del archivo pagefile.sys.
9. Cronologade actividades
Fecha Hora Descripcin Detalle

Instalacin del Windows XP
15-Dic-2009
sistema operativo Professional
Bsquedas de Bsqueda acerca de
imgenes, videos y figuras infantiles y de
19-Dic-2009 21:06:15
noticias de la pelcula High
contenidos infantiles School Musical
Registro en el portal Repositorio de
19-Dic-2009 21:27:47
,PJ6UFUX lbumes con
Fecha Hora Descripcin Detalle
contenido pedfilo
Subida foto
Foto enviada por
19-Dic-2009 21:35:14 OXQDUMSJ DO SRUWDO
XVXDULR 1DWDOLD
ImgSrc.ru
Encontrado en
carpeta distinta a la
de instalacin por
19-Dic-2009 21:56:25 Instalacin TrueCrypt
defecto, fue
cambiada para
ocultar la aplicacin.
Imgenes
Creacin de encontradas en la
imgenes carpeta Mis
19-Dic-2009
Scarface.jpg y High- Imgenes,
s1.jpg Scarface.jpg tiene
contenido ADS
Subida foto
Foto enviada por
19-Dic-2009 23:38:41 VH[\MSJ DO SRUWDO
XVXDULR &DPLOD
ImgSrc.ru
Creacin volumen de
19-Dic-2009 21:59:42
GDWRV RFXOWR IDYRULWR
Conversaciones via
Conversaciones con
19-Dic-2009 23:12:54 MSN con usuario
contenido poco usual
Camila
Conversaciones via
Conversaciones con
20-Dic-2009 02:16:04 MSN con usuario
contenido poco usual
Natalia
Creacin lbum
lbum con contenido
20-Dic-2009 05:36:35 3ULQFHVD en el
pedfilo
portal ,PJ6UFUX
&UHDFLyQ iOEXP 2WUD
lbum con contenido
20-Dic-2009 07:39:41 3HQGHMD en el portal
pedfilo
,PJ6UFUX
ltima modificacin
20-Dic-2009 2:59:53 en volumen cifrado
de datos
ANEXOU: LUGARES DONDE
ENCONTRAR EVIDENCIA DIGITAL
Evidencias voltiles
Registros internos de los dispositivos
Memoria fsica
Memoria cache
Registro de estado de la red
Registros de procesos en ejecucin
Contenido del portapapeles
Archivos abiertos
Servicios activos y drivers
Registro de comandos ejecutados
Usuarios conectados y autenticados
Hora y fecha
Evidenciasno voltiles
Discos duros internos y externos.
Dispositivos de almacenamiento externos.
Dispositivos de conectividad internos y externos.

ANEXO V:HARDWAREPARA EL
LABORATORIO FORENSE
1. Herramientas De Duplicacin
Presentamos una tabla comparativa de acuerdo a las caractersticas
que poseen ciertos equipos especializados que se utilizan en el
anlisis forense digital, para poder realizar esta comparacin

(1) (23)
tomamos como referencia el sitio oficial de los productos .
Tabla V 1- Comparacin de herramientas de duplicacin
Forensictalon Omniclone
Echoplus Supersonix
kit 2Xi
Velocidadde
copiado Hasta 1.8 Hasta 4 Hasta 6 Hasta 3.7
GB/min.
Conectividad
Si Si Si Si
IDE
Conectividad
Si Si Si Si
SATA
Conectividad
No No Si No
USB
Otras
EIDE, UDMA UDMA,SCSI Firewire No
conectividad
Soporta
clonacin No No No Si
mltiple
Nmerode
1 1 1 2
discos
Similar a disco Similar a disco
Tamao -- --

Accesorios
incluidos
Cables Si Si Si Si
Adaptadores No Si No No
Fuentede
Si Si Si Si
alimentacin
Software Si Si Si Si
Impresora
No Si No No
trmica
Otros -- Clonacard pro -- --
Precio
1,011.06 6,130.74 2,341.67 3,110.23
USD
(1) LogiCube. 15 de Abril 2011. <h tt p :// www .l og i cube . com>

2. Accesorios Adicionales
Entre los accesorios adicionales que se debe de poseer en el
laboratorio forense digital, que servir para el trabajo a desempearse
en l, tenemos:
Disco duro externo de 4 TB como con puerto FIREWIRE, Para
aprovechar la mayor velocidad de transmisin de datos.
Grabador de DVDs, CDs y Blu-Ray externo.
Medios de almacenamiento como CD, DVD, Blu-Ray, Pendrive,
discos duro externo, para respaldo y presentacin de reportes
tcnicos.
Dispositivos USB, tales como, teclados, mouse, cmaras web,
impresoras, grabadoras de audio y video.
Cables estndar tales como IDE, SATA, de alimentacin,
extensiones USB, cables FIREWIRE, cables de red categora 5e.
Adaptador SATA a IDE, el cual convierte una interfaz sata en una
interface IDE.
Adaptador IDE a SATA el cual convierte una interfaz IDE en
interface SATA para mainboard que no soporten interfaz IDE.
Adaptador IDE/SATA a USB, este adaptador permite convertir un
disco duro interno a externo ya que el disco puede ser conectado
por USB al computador sin necesidad de abrirlo.

Reguladores de voltaje, UPS, para proteger a los equipos de las
variaciones de voltajes.
Juego de herramientas para ensamblaje de computadores,
aspiradora para el polvo.
Dispositivos de bloqueo contra escritura en discos duros, para
utilizarlo en el anlisis de los discos que se tengan como evidencia
en un caso.
Mdem, switch, router, para la configuracin de la topologa de la
red que usar el laboratorio.

BIBLIOGRAFAY REFERENCIAS
[1] Stewart Juliea, Swap File (swap space or pagefile),

http://searchw i n i t.techtarget.com/defin i t i on/swap-file
, fecha de creacin
31 de Julio 2000.
[2] Wikipedia, Windows bitmap,

http://es.w i k i pedia.org/w i ki/Windows_b i tmap, fecha de consulta 1 de
Mayo 2011.
[3] Villaln Huerta Antonio - WikiLearning, Seguridad en Unix y redes

Los bits SUID, SGID y sticky,
http://www.w i kilearn i ng.com/tutor i a l /segur i dad_en_un i x_y_redes-
l os_b i ts_su i d_sg i d_y_st i cky/9777-15
, 1 de Mayo 2011.
[4] Wikipedia, Blu-ray Disc, http://es.w i kiped i a.org/w i ki/B l u-ray_D

, fecha
i sc
de consulta 12 Mayo 2011.
[5] Blogspot , Como funciona una bolsa antiesttica,

http://linkmk.b l ogspot.com/2010/07/como-funciona-una-bo l sa-
antiestat i ca.htm, fecha
l de creacin 5 de Julio 2010.
[6] Garca Noguera Noelia, Bomba lgica,

http://www.de li tos i nformaticos.com
, fecha de creacin 29 de Diciembre
2001.
[7] Linguee, Botnet traduccin al espaol, http://www.l i nguee.es, fecha de

consulta 1 de Mayo 2011.
[8] Wikipedia, Error de software,

http://es.w i k i pedia.org/w i ki/Error_de_software
, fecha de consulta 1 de
Mayo 2011.
[9] Esato, Ecuador OtQHDV WHOHIyQLFDV XWLOL]DGDV SDUD %\ 3DVV

fueron anuladas en el 2007,
http://www.esato.com/board/viewtop i c.php?top i c=175501, fecha de
creacin 21 de Septiembre 2008.
[10] Supertel, Fraude en telecomunicaciones en el Ecuador,
http://www.superte l .gob.ec/ i ndex.php?opt i on=com_content&view=artic l
e& i d=536:fraude-en-te l ecomun i cac i ones-en-el-
ecuador&cat i d=114&Item i d=223 , fecha de creacin 23 de Marzo 2010.
[11] Wikipedia , Cookie, http://es.w i k i ped i a.org/w i ki/Cookie

, fecha de
[12] Diccionario de la Real Academia de la Lengua Espaola vigsima

segunda edicin 2001, Cibercriminal, http://www.rae.es , fecha de
[13] Diccionario de la Real Academia de la Lengua Espaola vigsima

segunda edicin 2001, Ciberdelincuencia, http://www.rae.es , fecha de
[14] WiseDataSecurity , Skimming: Clonacin de tarjetas de crdito,

http://www.w i sedatasecur i ty.com/clonacion-tar j etas-cred i to.htm l,
fecha de consulta 1 de Mayo 2011.
[15] Alegsa - Diccionario de informtica, definicin de Firewall,

http://www.a l egsa.com.ar/Dic/f i rewall.php
Mayo 2011.
[16] Master Magazine, Definicin de Criptografa,

http://www.mastermagazine. i nfo/term i no/4478.php
, fecha de creacin
11 de Febrero 2005.
[17] Alegsa - Diccionario de informtica, Definicin de Directorio Activo,

http://www.a l egsa.com.ar/Dic/d i rector i o%20activo.php
, fecha de
[18] Wikipedia, Escner de computadora,

http://es.w i k i pedia.org/w i ki/Esc%C3%A1ner_de_computadora
, fecha
de consulta 6 de Mayo 2011.
[19] Wikipedia, Esteganografa,

http://es.w i k i pedia.org/w i ki/Esteganograf%C3%ADa
, fecha de
[20] Alegsa - Diccionario de informtica, Definicin de Exploit,
http://www.a l egsa.com.ar/Dic/exp l o i t.php
Mayo 2011.
[21] Interbusca, Definicin Exploit,

http://ant i virus. i nterbusca.com/g l osar i o/EXPLOIT.htm
, fecha
l de
[22] Interbusca, Definicin Firewire,

http://ant i virus. i nterbusca.com/g l osar i o/FIREWIRE.htm l, fecha de
[23] Alegsa - Diccionario de Informtica, Definicin Firma Digital,

http://www.a l egsa.com.ar/Dic/f i rma%20d i g i ta ,lfecha
.php de consulta
1 de Mayo 2011.
[24] Wikipedia , Alternate Data Streams,

http://es.w i k i pedia.org/w i ki/A l ternate_Data_Streams
, fecha de
consulta 21 de Abril 2011.
[25] Alegsa - Diccionario de informtica, Definicin Gusano,

http://www.a l egsa.com.ar/Dic/gusano.php, fecha de consulta 1 de
Mayo 2011.
[26] Master magazine, Los hackers,

http://www.seguridadpc.net/hackers.htm, fecha de consulta 1 de
Mayo 2011.
[27] Wikipedia, Hash, http://es.wikipedia.org/wiki/Hash, fecha de consulta

10 de Mayo 2011.
[28] Master Magazine, Definicin de Log,

http://www.mastermagazine. i nfo/term i no/5610.php
, fecha de creacin
12 de Febrero 2005.
[29] Wikipedia , Malware, http://es.w i k i pedia.org/w i ki/Ma l ,ware

fecha de
[30] Wikipedia, Mquina virtual,

http://es.w i k i pedia.org/w i ki/M%C3%A1qu i na_virtua
, fecha
l de
[31] Alegsa - Diccionario de informtica, Definicin Metadato,
http://www.alegsa.com.ar/Dic/etiqueta%20metadato.php, fecha de
[32] Wikipedia, Phishing,

http://es.w i k i pedia.org/w i ki/Ph i sh i ng#Or i gen_de_ l a_pa
, fecha
l abra
de
[33] Wikipedia, Phreaking, http://es.w i k i ped i a.org/w i ki/Phreak

, fecha
i ng de
[34] Alegsa - Diccionario de informtica, Definicin Script,

http://www.a l egsa.com.ar/Dic/scr i pt.php
, fecha de consulta 1 de Mayo
2011.
[35] Wikipedia, Biometra, http://es.w i k i ped i a.org/w i k i /Biometr%C3%ADa,

[36] Wikipedia, Software, http://es.wikipedia.org/wiki/Software, fecha de

[37] Wikipedia , Suma de verificacin,

http://es.w i k i pedia.org/w i ki/Suma_de_ver i f i cac i %C3%B3n
, fecha de
creacin 28 de Noviembre 2010.
[38] Wikipedia , Virus informtico,

http://es.w i k i pedia.org/w i ki/V i rus_ i nformtico
Mayo 2011.
[39] Alegsa - Diccionario de informtica, Definicin Vulnerabilidad,

http://www.a l egsa.com.ar/Dic/vu l nerabil i dad.php, fecha de creacin 1
de Mayo 2011.
[40] Bur de anlisis informativo, Segn las Fiscala es necesaria una ley
para regular delitos informticos,
http://www.burodeana li s i s.com/2010/09/07/segun-la-f i scalia-es-
necesar i a-una-ley-para-regu l ar-delitos- i nformaticos/
, fecha de
creacin 7 Septiembre 2010.
[41] Ley de comercio electrnico, firmas electrnicas y mensajes de

datos. Ley No. 67 Registro Oficial Suplemento 557 del 17 de abril del
2002.
[42] Acurio Santiago, Plan Operativo de creacin de la Unidad de Delitos
Informticos del Ministerio pblico,
http://www.oas.org/jur i d i co/span i sh/cyb_ecu_p l an_operat i vo.pdf
,
fecha de consulta 10 de Abril 2011.
[43] Acurio Santiago, Manual de manejo de evidencias digitales y

entornos informticos - Alfa-Redi: Polticas de la Sociedad de la
Informacin, http://www.a l fa-red i .com/apc-aa-
a l fared i / i mg_up l oad/9507fc6773bf8321fcad954b7a344761/acur i o3.pd
f, fecha de consulta 10 de Abril del 2011.
[44] Wikipedia , Delito informtico,

http://es.w i k i pedia.org/w i ki/Delito_ i nform%C3%A1tico
, fecha de
[45] INTECO Instituto Nacional de Tecnologas de la Comunicacin,

Convenio de Ciberdelincuencia del Consejo de Europa,
http://www.inteco.es/w i kiAct i on/Segur i dad/Observatorio/area_ j ur i d i ca/
Encic l opedia_Jur i d i ca/Art i cu l os_1/conven i o_ciberdelincuenc i a_de l _c
onse j o_europa, fecha de consulta 15 de Abril 2011.
[46] Clasificacin de delitos informticos, Boletn de las Naciones Unidas

sobre los delitos informticos de 2002.
[47] Vasquez Magaly Chacon Nelson, Ciencias Penales: temas

actuales. Homenaje al R.P. Fernando Prez Llantada S. J.,
Universidad Catlica Andrs Bello, Caracas 2004, pg. 583.
[48] Instituto de investigaciones jurdicas de la UNAM, Datos del Dr. Julio

Tllez Valds,
http://www. j ur i d i cas.unam.mx/invest/d i rector i o/investigador.htm?p=tell
ez, fecha de consulta 15 de Abril 2011.
[49] Instituto Nacional de Ciencias Penales, Datos de la Dra. Mara de Luz

Lima,
http://www.inacipe.gob.mx/index.php?option=com_content&view=arti
cle& id=452%3Amar i a-de-la- l uz- li ma-ma l vido&catid=53&Item, i d=78
fecha de consulta 15 de Abril 2011.
[50] Ley Orgnica de Transparencia y Acceso a la Informacin Pblica -

Ecuador, Registro Oficial 337. 18 de mayo del 2004 Suplemento.
[51] Ley de Propiedad Intelectual - Ecuador, Registro oficial 320 del 19 de

mayo de 1998.
[52] Ley de Telecomunicaciones - Ecuador, Ley N 184 Registro Oficial
996 10 de agosto 1992.
[53] Ley de Control Constitucional - Ecuador, Registro Oficial No. 52 -

Jueves 22 de Octubre de 2009.
[54] Cdigo de Procedimiento Penal del Ecuador. Ley No. 000. Registro
Oficial/ Suplemento 360 de 13 de Enero del 2000.
[55] Ley 19223. Chile en Mayo 28 de 1993.
[56] Cdigo Penal de Argentina Ley 26.388 de Junio 4 de 2008.
[57] Ley 1273 de 2009 modificacin al Cdigo Penal de Colombia Diario

Oficial No. 47.223 de 5 de enero de 2009.
[58] Wikipedia, Computer Fraud and Abuse Act,

http://en.w i k i ped i a.org/w i ki/Computer_Fraud_and_Abuse_Act
, fecha
[59] SEGU-INFO, Legislacin y Delitos Informticos Alemania,

http://www.segu-info.com, fecha de consulta 15 Abril 2011.
[60] SEGU-INFO, Legislacin y Delitos Informticos Austria,

[61] SEGU-INFO, Legislacin y Delitos Informticos Francia,

[62] SEGU-INFO, Legislacin y Delitos Informticos Espaa,

http://www.segu- i nfo.com, fecha de consulta 15 Abril 2011.
[63] Huilcapi Arturo - Revista Judicial, El delito informtico,

http://www.derechoecuador.com/index.php?option=com_content&tas
k=view& i d=3091&Item i d=426 , fecha de consulta 15 de Abril 2011.
[64] SEGU-INFO blog, Qu es el Convenio de Cibercriminalidad de

Budapest?, http://segu i nfo.wordpress.com, fecha de creacin 25 de
Marzo 2010.
[65] BSA, BSA - Business Software Alliance,

http://www.bsa.org/G l oba l Home.aspx
, fecha de consulta 10 de Abril
2011.
[66] Wikipedia, Organizacin de las Naciones Unidas,
http://es.w i k i pedia.org/w i ki/Organ i zaci%C3%B3n_de_ l as_Naciones_
Unidas, fecha de consulta 10 de Mayo 2011.
[67] Organizacin de Estados Americanos, Una estrategia interamericana

integral de seguridad ciberntica: Un enfoque multidimensional y
multidisciplinario para la creacin de una cultura de seguridad
ciberntica,
http://www.oas.org/jur i d i co/english/cyb_pry_estrateg i a.pdf
, fecha de
[68] Acurio Santiago, Introduccin a la informtica forense Alfa-Redi:

Polticas de la Sociedad de la Informacin, http://www.a l fa-
red i .com/apc-aa-
a l fared i / i mg_up l oad/9507fc6773bf8321fcad954b7a344761/Acur i, o.pdf
fecha de consulta 10 de Abril del 2011.
[69] Cano Jeimy, Introduccin a la informtica forense - asociacin

colombiana de Ingenieros de Sistemas,
http://www.acis.org.co/fileadm i n/Revista_96/dos.pdf, fecha de
[70] PC World, Analisis forense - Cmo investigar un incidente de

seguridad,
http://www.idg.es/pcwor l dtech/mostrarart i cu l o.asp?id=194718&seccio
n=segur i dad, fecha de creacin 10 de Marzo 2009.
[71] Lpez Delgado Miguel, Anlisis forense digital Computerforensics,

edicin 2da junio 2007, fecha de consulta 15 de Abril 2011.
[72] Wikipedia, EdmonLocard,

http://es.w i k i pedia.org/w i ki/Edmond_Locard
, fecha de creacin 18
Septiembre 2009.
[73] Ghosh Ajoy, HB:171:2003 Guidelines for the Management of IT

Evidence - 2003. United Nations Public Administration Network,
http://unpan1.un.org/intradoc/groups/pub li c/documents/APCITY/UNP
AN016411.pdf , Fecha de consulta 10 de Abril 2011.
[74] Acurio Santiago, Perfil sobre los delitos informticos en el Ecuador -

Alfa-Redi: Polticas de la Sociedad de la Informacin, http://www.a l fa-
red i .com/apc-aa-
alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pd
f, fecha de consulta 10 de Abril del 2011.
[75] Wikipedia, Doctrina del fruto del rbol envenenado,

http://es.wikipedia.org/wiki/Doctrina_del_fruto_del_%C3%A1rbol_env
enenado, fecha de consulta 8 de Abril 2011.
[76] Secreto de la correspondencia. Artculo 23 de la Constitucin Poltica

de la Repblica del Ecuador, numeral 13.
[77] Ley 184 de Telecomunicaciones Registro Oficial No. 996 artculo 14.
Derecho al secreto de las Telecomunicaciones - Ecuador.
[78] Wikipedia, Peritaje Informtico,

http://es.w i k i pedia.org/w i ki/Perita j e_ i nform%C3%A1tico
, fecha de
[79] Cano Jeimy, Estado del Arte del Peritaje Informtico en

Latinoamrica. Alfa-redi: Polticas de la Sociedad de la Informacin,
http://www.a l fa-red i .com/apc-aa-
a l fared i / i mg_up l oad/374d0ee90831e4ebaa1def162fa50747/Estado_d
e l _Arte_de l _Per i ta j e_Informatico_en_Lat i noamer ,i fecha
ca.pdfde
[80] Martos Juan, El perito informtico ese gran desconocido,

http://www.recoverylabs.com/prensa/2006/10_06_perita j e.htm, fecha
de creacin Octubre 2006 - RecoveryLabs.
[81] Arnaboldi Federico, Perito informtico,

http://www.per i ta j e i nformatica.com.ar/per i to i nformatico/
, fecha de
creacin 1 de Julio 2010.
[82] Funcin Judicial, Consejo judicatura, Normativa Que Rige Las

Actuaciones Y Tabla De Honorarios De Los Peritos En Lo Civil, Penal
Y Afines, Dentro De La Funcin Judicial,
http://www.funcion j ud i c i a l .gov.ec/www/pdf/reso l uc i ones/reso l uc i on%2
031%20de%20 j ulio%20de%202009.pdf , fecha de consulta 10 de Abril
2011.
[83] Giovanni Zuccardi - Juan David Gutirrez, Informtica Forense -

certificacin Forensia digital,
http://www.gatl i n i nternationa l .es/cata l ogue/course/forens i c_computer
_exam i ner , fecha de consulta 10 de Abril 2011.
[84] Gatlininternational.es, Certificacin Forensia digital,
http://www.gatl i n i nternationa l .es/cata l ogue/course/forens i c_computer
_exam i ner, fecha de creacin Noviembre de 2006.
[85] Allgeier Michael, Digital Media Forensics,

http://www.symantec.com/connect/articles/digital-media-forensics,
fecha de creacin 7 de Mayo 2000.
[86] S.G.K. Publigua de Internet, Principios Forenses,

http://www.segur i nfo.es/?Contenido=Conten i do.asp&CAId=501
, fecha
[87] Slideshare, Cadena de custodia,

http://www.sl i deshare.net/luchotor i b i o/cadena-de-custodia-co l omb
, ia
[88] Gmez Leopoldo Sebastin - Revista Informtica Alfa-Redi, Gua

Operativa para Procedimientos Judiciales con secuestro de
tecnologa Informtica, http://www.a l fa-redi.org/rd i -
art i cu l o.shtm l ?x=6216
, fecha de creacin 5 de Junio 2006.
[89] Fiscala general de la nacin Colombia - Universidad Sergio

Arboleda, Manual del sistema de cadena de custodia,
http://www.usa.edu.co/derecho_penal/2004-
MANUAL%20CADENA%20DE%20CUSTODIA.pdf , fecha de consulta
1 de Mayo 2011.
[90] Microsoft, Gua fundamental de investigacin informtica para

Windows, http://technet.m i crosoft.com/es-es/library/cc162837.aspx
,
fecha de creacin 11 de Enero 2007.
[91] Code of practices for digital forensics, Cdigo de Prcticas para

Digital Forensics, http://cp4df.sourceforge.net/flashmob03/doc/03-
Metodo l ogia-rev3.pdf , fecha de consulta 1 de Mayo 2011.
[92] Ph.D. Cano Jeimy, Evidencia Digital,

http://www.deceva l .com/M l ega l /JEIMY%20JOS%C3%89%20CANO%
20MART%C3%8DNEZ.pdf, fecha de consulta 15 de Mayo 2011.
[93] Revista Digital Universitaria, Dispositivos mviles, anlisis forenses y

sus futuros riesgos,
http://www.revista.unam.mx/vo l .9/num4/art26/ i nt26.htm , fecha de
creacin 10 de Abril 2008.
[94] Scribd, Instalacin de Centros de Cmputo,
http://es.scr i bd.com/doc/4555611/Insta l ac i on-de-Centros-de-
Computo, fecha de consulta 26 de Abril 2011.
[95] NCJRS, Forensic Laboratories: Handbook for Facility Planning,

Design. Construction, and Moving,
http://www.nc j rs.gov/pdffiles/168106.pdf, fecha de consulta 26 de
Abril 2011.
[96] Seguridad en Amrica, Proteccin contra incendios en sites de

cmputo, http://segur i dadenamer i ca.com.mx/2010/04/proteccion-
contra- i ncend i os-en-s i tes-de-computo/
, fecha de creacin 8 de Abril
2010.
[97] Jorge Antonio, Medidas De Prevencin De Un Centro De Computo,

http://jorgeanton i o.soy.es/, fecha de creacin 26 de Octubre 2009.
[98] Gmez Leopoldo - Pericias informticas, Gua de implementacin de

un laboratorio de informtica forense,
http://per i cias i nformaticas.sytes.net
, fecha de creacin 1 de Enero
2009.
[99] UNIVO, Diseo del centro de cmputo,

http://www.un i vo.edu.sv:8081/tes i s/014213/014213_Cap5.pdf
, fecha
de consulta 15 de Abril 2011.
[100] Comunidad DragonJar, Primer Reto de Anlisis Forense Comunidad

DragonJar, http://www.dragon j ar.org/pr i mer-reto-de-analis i s-
forense-comun i dad-dragon j ar.xhtm, fecha
l de consulta 1 de Abril
2011.
[101] Normas ISO, Normas ISO, http://www.iso.org , fecha de consulta 1

de Abril 2011.

Tesisi Informtico

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Tesisi Informtico

Caricato da

Copyright:

Formati disponibili

ESCUELA SUPERIOR POLITCNICA DELLITORAL

Facultadde Ingeniera en ElectricidadyComputacin

DISEO Y PLAN DE IMPLEMENTACIN DE UN LABORATORIO

Previa a la obtencin del Ttulo de:

INGENIERO EN CIENCIAS COMPUTACIONALES

INGENIERO EN CIENCIAS COMPUTACIONALES

Ricardo Gregorio Caldern Valdiviezo.

este proceso, a nuestros padres y familiares por su

apoyo incondicional, a nuestros amigos por ser

partcipes de nuestra trayectoria universitaria.

Ing. Alfonso Aranda Ing. Ignacio Marn-Garca

Profesor de Seminario de Profesor Delegado del

"La responsabilidad del contenido de este Trabajo de Graduacin, nos

corresponde exclusivamente; y el patrimonio intelectual de la misma a la

ESCUELA SUPERIOR POLITCNICA DEL LITORAL"

(Reglamento de graduacin de la ESPOL)

El crecimiento que han tenido en la actualidad las Tecnologas de la

Informacin y las Comunicaciones, ha dado lugar a que se tenga un acceso

casi ilimitado a las fuentes de consulta de informacin. El beneficio para las

empresas y personas naturales es notable cuando se aprovechan estas

tecnologas, los inconvenientes se generan cuando las personas la utilizan

para cumplir objetivos personales sin tica o utilizan la tecnologa para

causar daos a terceros, convirtindose en un delito informtico.

Se realiz, durante la elaboracin del proyecto, un breve anlisis de cmo se

proceda en el Ecuador ante este tipo de delitos, como se realizaban las

investigaciones, y cul era el trato que se le daba a la evidencia digital; en el

trabajo tambin se analizarn diferentes normas y estndares internacionales

para averiguar cual se ajusta mejor a las leyes y justicia Ecuatoriana.

En el trabajo se presentar el plan de implementacin de un laboratorio de

Ciencias Forenses Digitales donde se podr aplicar la metodologa para la

bsqueda y el anlisis de evidencias digitales, mediante la aplicacin de

tcnicas cientficas y analticas, conocimientos tecnolgicos y legales, para

identificar, obtener, reconstruir, analizar y presentar informacin que pueda

ser vlida dentro de un proceso legal en donde haya ocurrido un delito

La formacin de peritos de seguridad informtica y el equipo de investigacin

es parte fundamental en el proceso de rastreo de los orgenes del delito; en

peritos para proceder a la recopilacin de datos, pruebas, bsqueda y

anlisis de evidencias de aplicacin en un asunto judicial, ya que para probar

un delito deben existir evidencias que relacionen al sospechoso del crimen

4.1. CONCEPTO DE CIENCIAS FORENSES .......................................................53

8.1.2. Cond i ciones amb i enta .............................................................................92

ANEXO M: SOFTWARE FORENSE ............................................................................181

Ilustracin 4. 1 - Principio de intercambio de Locard............................................... 56

Tabla 6. 1 - Certificaciones profesionales ............................................................... 69

Archivo de intercambio.- Es un espacio enel disco duro usado como una

Archivo BITMAP.- Es el formato propio del programa Microsoft Paint, que

Bit SUID/SGID.- Es un procedimiento de asignacin de permisos de los

sistemas operativos basados en Unix, en el cual se le otorga al usuario o

grupo privilegios de root o administrador, para realizar una tarea especfica

dentro del sistema (3).

grabacin de video de alta definicin y almacenamiento de grandes

Bolsa antiesttica.- Bolsa o funda diseada para evitar el traspaso y la

generacin de electricidad esttica sea por friccin o induccin, al almacenar

Bomba lgica.- Software, rutinas o modificaciones de programas que

producen cambios, borrados de ficheros o alteraciones del sistema en un

Botnet.- Es una reddeequipos comprometidos, denominados zombies que

tienen por objetivo (7).

Bugs.- Son fallos o deficiencias en el proceso de creacinde software que

Bypass.- Es un sistema conformado por un enlace internacional, una

instalacin de equipos de telecomunicaciones y lneas telefnicas, lo cual

produce que una llamada de origen internacional sea registrada, y por lo

del visitante de una pgina web a travs de su navegador, a peticin del

Ciberdelincuencia.- Se define como cualquier tipo de actividad ilegal que