Sei sulla pagina 1di 317

ESCUELA SUPERIOR POLITCNICA DELLITORAL

Facultadde Ingeniera en ElectricidadyComputacin

DISEO Y PLAN DE IMPLEMENTACIN DE UN LABORATORIO


DE CIENCIAS FORENSES DIGITALES

TESINA DESEMINARIO

Previa a la obtencin del Ttulo de:

INGENIERO EN CIENCIAS COMPUTACIONALES


ESPECIALIZACIN SISTEMAS DE INFORMACIN

INGENIERO EN CIENCIAS COMPUTACIONALES


ESPECIALIZACIN SISTEMAS DE INFORMACIN

INGENIERO EN CIENCIASCOMPUTACIONALES
ESPECIALIZACIN SISTEMAS MULTIMEDIA

Presentado por:

Ricardo Gregorio Caldern Valdiviezo.


Gisell Stephanie Guzmn Reyes.
Jessica Margarita Salinas Gonzlez.

Guayaquil-Ecuador
AO 2011
ii

AGRADECIMIENTO
A Dios en primer lugar por bendecirnos durante

este proceso, a nuestros padres y familiares por su

apoyo incondicional, a nuestros amigos por ser

partcipes de nuestra trayectoria universitaria.


iii

DEDICATORIA
A nuestra familia, maestros y amigos.
iv

TRIBUNAL DE SUSTENTACIN

Ing. Alfonso Aranda Ing. Ignacio Marn-Garca

Profesor de Seminario de Profesor Delegado del


Graduacin Decano de la FIEC
v

DECLARACIN EXPRESA

"La responsabilidad del contenido de este Trabajo de Graduacin, nos

corresponde exclusivamente; y el patrimonio intelectual de la misma a la

ESCUELA SUPERIOR POLITCNICA DEL LITORAL"

(Reglamento de graduacin de la ESPOL)

------------------------------------------------- --------------------------------------------------
Gisell Stephanie Guzmn Reyes Jessica Margarita Salinas Gonzlez

--------------------------------------------------
Ricardo Gregorio Caldern Valdiviezo
vi

RESUMEN

El crecimiento que han tenido en la actualidad las Tecnologas de la

Informacin y las Comunicaciones, ha dado lugar a que se tenga un acceso

casi ilimitado a las fuentes de consulta de informacin. El beneficio para las

empresas y personas naturales es notable cuando se aprovechan estas

tecnologas, los inconvenientes se generan cuando las personas la utilizan

para cumplir objetivos personales sin tica o utilizan la tecnologa para

causar daos a terceros, convirtindose en un delito informtico.

Se realiz, durante la elaboracin del proyecto, un breve anlisis de cmo se

proceda en el Ecuador ante este tipo de delitos, como se realizaban las

investigaciones, y cul era el trato que se le daba a la evidencia digital; en el

trabajo tambin se analizarn diferentes normas y estndares internacionales

para averiguar cual se ajusta mejor a las leyes y justicia Ecuatoriana.

En el trabajo se presentar el plan de implementacin de un laboratorio de

Ciencias Forenses Digitales donde se podr aplicar la metodologa para la

bsqueda y el anlisis de evidencias digitales, mediante la aplicacin de

tcnicas cientficas y analticas, conocimientos tecnolgicos y legales, para

identificar, obtener, reconstruir, analizar y presentar informacin que pueda


vii

ser vlida dentro de un proceso legal en donde haya ocurrido un delito

informtico.

La formacin de peritos de seguridad informtica y el equipo de investigacin

es parte fundamental en el proceso de rastreo de los orgenes del delito; en

este trabajo se buscar definir las funciones y mtodos que utilicen los

peritos para proceder a la recopilacin de datos, pruebas, bsqueda y

anlisis de evidencias de aplicacin en un asunto judicial, ya que para probar

un delito deben existir evidencias que relacionen al sospechoso del crimen

con el hecho.
viii

NDICE GENERAL

AGRADECIMIENTO ..........................................................................................................ii
DEDICATORIA ..................................................................................................................iii
TRIBUNAL DE SUSTENTACIN .................................................................................... iv
DECLARACIN EXPRESA...............................................................................................v
RESUMEN vi
NDICE GENERAL .......................................................................................................... v iii
NDICE DE ILUSTRACIONES ........................................................................................ xi i
NDICE DE TABLAS ....................................................................................................... xi ii
GLOSARIO ...................................................................................................................... xiv
INTRODUCCIN...........................................................................................................xxxi i
1. PLANTEAMIENTO DEL PROBLEMA .....................................................................33
1.1. ANTECEDENTES .............................................................................................33
1.2. OBJETIVOS .......................................................................................................34
1.2.1. OBJETIVOS GENERALES ..........................................................................34
1.2.2. OBJETIVOS ESPECFICOS .......................................................................35
1.3. SITUACIN ACTUAL ........................................................................................35
1.4. JUSTIFICACIN................................................................................................37
1.5. ALCANCE ..........................................................................................................38
2. DELITO INFORMTICO ..........................................................................................39
2.1. CONCEPTO DE DELITO INFORMTICO ......................................................39
2.2. TIPOS DE DELITOS INFORMTICOS ...........................................................40
3. LEGISLACIONES, CONVENIOS Y ORGANIZACIONES .....................................44
3.1. LEGISLACIN NACIONAL ..............................................................................44
3.2. EJEMPLOS DE LEGISLACIN INTERNACIONAL .......................................47
3.3. CONVENIOS INTERNACIONALES ................................................................50
3.4. ORGANIZACIONES INTERNACIONALES .....................................................51
4. ESTUDIO DE LA CIENCIA FORENSE DIGITAL ...................................................53
ix

4.1. CONCEPTO DE CIENCIAS FORENSES .......................................................53


4.2. CONCEPTO DE CIENCIA FORENSE DIGITAL ............................................54
4.3. FASES DEL ANLISIS FORENSE DIGITAL .................................................54
4.4. OBJETIVOS DEL ANLISIS FORENSE DIGITAL .........................................56
5. EVIDENCIA DIGITAL ...............................................................................................57
5.1. CONCEPTO DE EVIDENCIA DIGITAL ...........................................................57
5.2. CLASIFICACIN ...............................................................................................58
5.3. CRITERIOS DE ADMISIBILIDAD ....................................................................59
6. PERITOS INFORMTICOS .....................................................................................62
6.1. CONCEPTO DE PERITAJE INFORMATICO .................................................62
6.2. PERFIL DE UN PERITO INFORMTICO .......................................................63
6.3. FUNCIONES DE UN PERITO ..........................................................................67
6.4. ACREDITACIN PARA PERITOS ..................................................................67
6.5. CERTIFICACIONES PROFESIONALES ........................................................69
7. DEFINICIN DE LA METODOLOGA FORENSE DIGITAL .................................70
7.1. CADENA DE CUSTODIA .................................................................................71
7.1.1. Reco l eccin, clasif i cacin y emba l a j e de l a prueba.
.................................71
7.1.2. Emba l a j e de l a evidencia
.............................................................................74
7.1.3. Custod i a y traslado de l a evidencia.
..........................................................74
7.1.4. An li sis de l a evidencia
................................................................................76
7.1.5. Custod i a y preservacin f i na l hasta que se rea li ce e l debate.
.................78
7.2. PROCEDIMIENTOS TCNICOS .....................................................................78
7.2.1. Reco l eccin de evidencia d i g i.................................................................78
ta l
7.2.2. Ident i f i cacin de l as evidencias d i g ....................................................82
i ta l es
7.2.3. An li sis de l as evidencias d i g i ta l es
.............................................................83
7.2.4. An li sis de d i sposit i vos mvi..................................................................86
l es
7.2.5. Presentacin de resu l tados.........................................................................88
8. DISEO DEL LABORATORIO DE CIENCIAS FORENSES DIGITALES ...........90
8.1. INSTALACIONES ..............................................................................................90
8.1.1. Segur i dad fsica de l as i nsta l aciones
..........................................................91
x

8.1.2. Cond i ciones amb i enta .............................................................................92


l es
8.1.3. Desp li egue de i nfraestructura en e l i nter i or de l aborator io
.......................94
8.1.4. Especif i caciones genera l es de l as opciones de i nsta l aciones fsicas para
l a i mp l ementacin de l l aborator io
..............................................................100
8.2. EQUIPOS INFORMTICOS ...........................................................................104
8.3. SOFTWARE UTILIZADO ................................................................................106
8.4. MATERIALES DE REFERENCIA. .................................................................108
8.5. MANTENIMIENTO DE EQUIPO E INSTALACIONES. ................................109
8.6. POSIBLES UBICACIONES EN LA ESPOL .................................................111
8.7. OPCIONES DE IMPLEMENTACIN DEL LABORATORIO FORENSE
DIGITAL EN LA ESPOL ..................................................................................114
9. EJEMPLOS DE ESCENARIOS DE APLICACIN DE LA METODOLOGA .....118
9.1. CASO PORNOGRAFA INFANTIL CIFRADA ..............................................118
9.2. CASO RASTREO DE CORREOS OFENSIVOS ..........................................122
9.3. CASO DESARROLLO DE RETO FORENSE DIGITAL DE LA COMUNIDAD
DRAGONJAR. .................................................................................................125
CONCLUSIONES ...........................................................................................................127
RECOMENDACIONES ..................................................................................................130
ANEXO A: ENTREVISTA CON LA DRA. SANDRA MOREJN ................................132
ANEXO B: INGRESO DE EVIDENCIA AL LABORATORIO ......................................137
ANEXO C: INVENTARIO DE EVIDENCIA ...................................................................139
ANEXO D: ENTRADA Y SALIDA DE EVIDENCIA ALMACENADA ..........................141
ANEXO E: FORMULARIO ANLISIS DE EVIDENCIA ..............................................143
ANEXO F: ACTA DE RECOLECCION DE PRUEBAS ...............................................145
ANEXO G: INGRESO Y SALIDA DEL PERSONAL AL ALMACEN DEL
LABORATORIO ..........................................................................................147
ANEXO H: INGRESO DE VISITANTES AL LABORATORIO ....................................149
ANEXO I: PENALIDADES PARA INFRACCIONES INFORMTICAS ......................151
ANEXO J: CRIPTOGRAFA ..........................................................................................154
ANEXO K: ELEMENTOS A ANALIZAR SEGN EL TIPO DE SISTEMA .................170
ANEXO L: PRESUPUESTO INICIAL ADECUACIONES ............................................179
xi

ANEXO M: SOFTWARE FORENSE ............................................................................181


ANEXO N: OPCIONES DE IMPLEMENTACION ........................................................192
ANEXO O: DETALLE SOFTWARE DEFT-EXTRA .....................................................201
ANEXO P: ANLISIS DE CELULARES .......................................................................218
ANEXO Q: ARCHIVO CIFRADO ..................................................................................231
ANEXO R: RASTREO DE CORREO ELECTRNICO ...............................................234
ANEXO S: MQUINA COMPROMETIDA ....................................................................238
ANEXO T: RETO ANLISIS FORENSE DIGITAL ......................................................242
ANEXO U: LUGARES DONDE ENCONTRAR EVIDENCIA DIGITAL ......................301
ANEXO V: HARDWARE PARA EL LABORATORIO FORENSE ..............................303
BIBLIOGRAFA Y REFERENCIAS ...............................................................................307
xii

NDICE DEILUSTRACIONES

Ilustracin 4. 1 - Principio de intercambio de Locard............................................... 56


Ilustracin 8. 1 - Diseo del Laboratorio de Ciencias Forenses Digitales, opcin 1 . 97
Ilustracin 8. 2 - Diseo del Laboratorio de Ciencias Forenses Digitales, opcin 2. 98
Ilustracin 8. 3 - Diseo del Laboratorio de Ciencias Forenses Digitales, opcin 3. 99
xiii

NDICE DE TABLAS

Tabla 6. 1 - Certificaciones profesionales ............................................................... 69


Tabla 7. 1 - Matriz de referencia ............................................................................. 88
Tabla 8. 1 - Tabla comparativa de software .......................................................... 107
xiv

GLOSARIO

Archivo de intercambio.- Es un espacio enel disco duro usado como una


(1)
extensin de la memoria RAM de la computadora .

Archivo BITMAP.- Es el formato propio del programa Microsoft Paint, que


(2)
viene con el sistema operativo M Windows, extensin .BMP .

Bit SUID/SGID.- Es un procedimiento de asignacin de permisos de los

sistemas operativos basados en Unix, en el cual se le otorga al usuario o

grupo privilegios de root o administrador, para realizar una tarea especfica

dentro del sistema (3).

Blu-Ray.-Es unformatodediscopticodenuevageneracinquepermitela

grabacin de video de alta definicin y almacenamiento de grandes


(4)
volmenes de datos .

Bolsa antiesttica.- Bolsa o funda diseada para evitar el traspaso y la

generacin de electricidad esttica sea por friccin o induccin, al almacenar


(5)
o transportar hardware .
xv

Bomba lgica.- Software, rutinas o modificaciones de programas que

producen cambios, borrados de ficheros o alteraciones del sistema en un


(6)
momento posterior a aqul en el que se introducen por su creador .

Botnet.- Es una reddeequipos comprometidos, denominados zombies que

recibe la orden de enviar simultneamente trfico de red a los sitios web que

tienen por objetivo (7).

Bugs.- Son fallos o deficiencias en el proceso de creacinde software que


(8)
pueden ocasionar mal funcionamiento .

Bypass.- Es un sistema conformado por un enlace internacional, una

instalacin de equipos de telecomunicaciones y lneas telefnicas, lo cual

produce que una llamada de origen internacional sea registrada, y por lo


(9) (10)
tanto facturada, por la operadora telefnica como una llamada local .

Cookies.-Es unfragmentodeinformacinquesealmacenaeneldiscoduro

del visitante de una pgina web a travs de su navegador, a peticin del


(11)
servidor de la pgina .

Cibercriminal.-Personaquehacometidooprocuradocometeruncrimen, es
(12)
decir una accin ilegal, haciendo uso de medios informticos .
xvi

Ciberdelincuencia.- Se define como cualquier tipo de actividad ilegal que


(13)
utilice internet, una red pblica o privada o un sistema informtico .

Clonacin (tarjetas).- Consiste en la duplicacin de tarjetas de crdito o

dbito utilizando un dispositivo lector de bandas magnticas, sin el


(14)
consentimiento del dueo de la tarjeta .

Cortafuego.- Es una Herramienta de seguridad que controla el trfico de


(15)
entrada/salida de una red .

Criptografa.- Ciencia que estudia la manera de cifrar y descifrar los

mensajes para que resulte imposible conocer su contenido a los que no


(16)
dispongan de unas claves determinadas .

Directorio Activo.- Implementacin de Microsoft del servicio de directorios

LDAP para utilizarse en entornos Windows. Permite a los administradores

poder implementar polticas a nivel empresa, aplicar actualizaciones a una


(17)
organizacin completa y desplegar programas en mltiples computadoras .

Escner.-Es undispositivoqueseutilizaparaconvertir,atravsdelusode
(18)
la luz, imgenes o documentos impresos a formato digital .
xvii

Esteganografa.- Es la ciencia de ocultar mensajes u objetos dentro de

otros, llamados portadores, de modo que no se perciba su existencia a

simple vista (19).

Exploits.-Softwaremaliciosoqueseusaparatomarventajadebugs, fallas y

vulnerabilidades existentes en programas o sistemas (20) (21) .

Firewire.- Es untipodecanal de comunicaciones externocaracterizadopor

su elevada velocidad de transferencia, empleado para conectar ordenadores


(22)
y perifricos a otro ordenador, utilizando el Estndar IEEE 1394 .

Firma Digital.- Mtodo que asegurala autora del remitente en mensajes y


(23)
documentos a travs de una funcin criptogrfica .

Flujos alternativos de datos.- Una caracterstica del sistema de archivos

NTFS que permite almacenar informacin y metadatos de manera oculta en


(24)
un archivo .

Gusanos.-Es unsoftwaremaliciosoqueresideenlamemoriay quetienela

habilidad de duplicarse y propagarse por s mismo, sin la intervencin del

usuario, existiendo dos tipos: el que consume recursos en el computador y el


xviii

que se propaga por una red auto replicndose enviando copias de s mismo
(25)
a otros nodos .

Hacker.- Trmino para designar a alguien con talento y conocimiento,

especialmente relacionado con las operaciones de computadora, redes y

seguridad (26).

Hash.- Algoritmo para generar claves para identificar de maneranica a un


(27)
documento, registro o archivo .

Log.- Archivo que registra movimientos y actividades de un determinado

programa (28), usuario o proceso.

Malware.- Es una variedad de software que tiene como finalidad infiltrarse,

daar o causar un mal funcionamiento en un ordenador sin el consentimiento

de su propietario, los virus y gusanos son ejemplos de este tipo de software


(29)
.

MquinasVirtuales.-Es lasimulacindeuncomputadorrealcontodas sus


(30)
caractersticas y funcionalidades .
xix

Metadatos.-Sondatos quedescribenodefinenalgnaspectodeunrecurso
(31)
de informacin (como un documento, una imagen, una pgina web, etc.) .

Phishing.- Es una modalidad de estafa informtica que utiliza como medio

un mensaje de texto, una llamada telefnica, una pgina web falsa, una

ventana emergente o la ms usada el correo electrnico suplantando la

identidad de entidades o personas, con el objetivo de obtener de un usuario

sus datos, claves, nmeros de cuentas bancarias, nmeros de tarjetas de

crdito, identidades mediante el correo electrnico y servicios de mensajera


(32)
instantnea y usar estos datos de manera fraudulenta .

Phreaking.- Actividad de manipular sistemas telefnicos complejos por

personas que conocen el funcionamiento de telfonos de diversa ndole,

tecnologas de telecomunicaciones, funcionamiento de compaas

telefnicas, sistemas que componen una red telefnica y electrnica aplicada


(33)
a sistemas telefnicos .

Script.- sonunconjuntodeinstrucciones generalmentealmacenadas enun

archivo de texto que deben ser interpretados lnea a lnea en tiempo real para

su ejecucin, se distinguen de los programas, pues deben ser convertidos a


(34)
un archivo binario ejecutable para correrlos .
xx

Sistema Biomtrico.- Es un sistema de autenticacin para reconocimiento

nico de humanos, mediante huella digital, reconocimiento de rostro,


(35)
reconocimiento de voz, reconocimiento de iris (ojo), entre otros .

Software.-oprograma, es un conjunto decomponentes lgicos necesarios


(36)
que hacen posible la realizacin de tareas en una computadora .

Suma de Verificacin.- Es una medida de seguridad que permite verificar

que los datos no hayan sido modificados desde su publicacin. El proceso

consiste en sumar cada uno de los bytes y almacenar el valor del resultado.

Posteriormente se realiza el mismo procedimiento y se compara el resultado

con el valor almacenado, si ambas sumas concuerdan se asume que los


(37)
datos no han sido corruptos .

Virus.- Unvirus informticoes software malicioso que necesita de la

intervencin del hombre para propagarse, se adjunta a un programa o


(38)
archivo para replicarse a s mismo y continuar infectando el ordenador .

Vulnerabilidades.-Es unadebilidadenunsistema quepuedepermitiraun

atacante violar la confidencialidad, integridad, disponibilidad, control de


(39)
acceso y consistencia del sistema o de sus datos y aplicaciones .
xxi

ABREVIATURAS

ADS: Alternate Data Streams (Flujo Alternativo De Datos), son una

caracterstica del sistema de archivos NTFS de almacenar metadatos con un

fichero.

ADN: cido desoxirribonucleico, es una macromolcula que identifica de

manera nica a los seres vivos mediante la informacin gentica.

ARP:Address ResolutionProtocol(ProtocolodeResolucindeDirecciones),

protocolo de la capa de nivel de enlace que permite identificar una MAC a

partir de una direccin IP.

ASIC: Application-specific integrated circuit (Circuito Integrado para

Aplicaciones Especficas), circuito integrado hecho a medida para un uso

especfico.

ATA: Advanced Technology Attachment (Adjuntode Tecnologa Avanzada),

especificaciones de diseo del interfaz IDE para conectar dispositivos de

almacenamiento.

ATAPI: Advanced Technology Attachment Packet Interface (Interfaz de

Paquetes De Tecnologa Avanzada), estndar que designa los dispositivos

que pueden conectarse a controladoras ATA (IDE).


xxii

BSA: Business Software Alliance (Alianza de Software para Negocios), es

una asociacin que acta legalmente en contra de la piratera informtica en

el mundo.

CAT:Abreviaturautilizadaparaidentificarlacategoradelos cables dered.

CD: Compact Disc (Disco Compacto), es un medio de almacenamiento de

datos digitales como audio, imgenes, videos o texto plano.

CDMA: Code Division Multiple Access (Acceso Mltiple con Divisin de

Cdigo), trmino genrico para varios mtodos de multiplexacin o control de

acceso al medio basados en la tecnologa de espectro expandido.

CDR: ChargingDataRecord(Registro deInformacinparaFacturacin), es

el registro producido por una central telefnica que contiene detalles de una

llamada telefnica.

CIS: Card Information System (Sistema De Informacin de Tarjeta), es la

estructura de la informacin que se encuentra almacenada en la tarjeta de

memoria.

CONESUP: Consejo Nacional de Educacin Superior en Ecuador, es el

organismo planificador, regulador y coordinador del Sistema Nacional de

Educacin Superior.
xxiii

CRC: Cyclic Redundancy Check (Cdigo de Redundancia Cclica), convierte

una palabra binaria en un polinomio y utiliza un polinomio definido para la

divisin polinomial.

DDR3: Double DataRate Type 3(DobleVelocidadDe Datos Tipo3), es un

tipo de memoria RAM voltil, sncrona y dinmica que permite una alta

velocidad de transferencia de datos.

DHCP: Dynamic Host Configuration Protocol (Protocolo de Configuracin

Dinmica de Host), protocolo utilizada en redes que permite a los clientes de

una red IP obtener sus parmetros de configuracin automticamente.

DVD:Digital VersatilDiscDigital VideoDisc (DiscodeVideoDigital),es un

formato de almacenamiento digital de datos con mayor capacidad que los

CDs.

EIDE: Enhanced IDE (Extensin de IDE), es una extensin del IDE, una

interfaz usada en los computadores para la conexin de discos duros.

eSATA:ExternalSerialAdvancedTechnology Attachment (DispositivoSerial

De Tecnologa Avanzada Externo), extensin de interfaz SATA que permite

conectar dispositivos externos con el computador.

FAT: File allocation table (Tabla de Asignacin de Archivos), sistema de

archivos desarrollado para MS-DOS.

FTP:FileTransferProtocol(ProtocolodeTransferenciadeArchivos).
xxiv

GB: Gigabyte, esunaunidaddemedidadealmacenamiento deinformacin

equivalente a 10 9bytes.

GPRS: General Packet Radio Service (Servicio General de Paquetes Va

Radio), es extensin del GSM, para la transmisin de datos no conmutada.

GSM: Global System for Mobil Communications (Sistema Global para la

Comunicaciones Mviles), es un sistema estndar de telefona celular.

HLR:HomeLocationRegister(RegistrodeUbicacinBase),es unabasede

datos que almacena la posicin del usuario dentro de la red de telefona

mvil.

HTML: HyperText MarkupLanguage(Lenguaje de Etiquetas de Hipertexto),

es un lenguaje de etiquetas utilizado en pginas web para describir la

estructura y el contenido en forma de texto.

HTTPS: Hypertext Transfer Protocol Secure (Protocolo Seguro de

Transferencia de Hipertexto), es un protocolo que crea un canal de

comunicacin seguro con el servidor web mediante encriptacin.

IDE: Integrated Drive Electronics (Electrnica de Unidad Integrada), es un

estndar de interfaz para la conexin de los dispositivos de almacenamiento

masivo de datos y las unidades pticas.


xxv

IDS: Intrusion Detection System (Sistema de Deteccin de Intrusos), es un

programa usado para detectar accesos no autorizados a un computador o a

una red.

IEC: International Electrotechnical Commission (Comisin Electrotcnica

Internacional), es una organizacin de normalizacin en los campos elctrico,

electrnico y tecnologas relacionadas.

IEPI: Instituto Ecuatoriano de Propiedad Intelectual, es una institucin

comprometida con la promocin de la creacin intelectual y su proteccin de

acuerdo a la ley nacional, tratados y convenios internacionales vigentes.

IP (IP Address): Internet Protocol Address (Direccin de Protocolo de

Internet), es una etiqueta numrica que identifica de manera nica, lgica y

jerrquica a un computador en una red.

ISO: International Standarization Organization (Organizacin Internacional

para la Estandarizacin). Es la mayor organizacin que desarrolla y edita las

normas internacionales.

ISP: Internet Service Provider (Proveedor de servicios de internet), es una

empresa que brinda servicio de conexin a internet.

LAN: Local Area Network (Red de rea local), es una interconexin de

computadoras y dispositivos de red cuyo alcance se limita a un espacio

fsico, tiene un alcance aproximadamente de 200 metros.


xxvi

LDAP: Lightweight Directory Access Protocol (ProtocoloLigero deAccesoa

Directorios), un protocolo a nivel de aplicacin el cual permite el acceso a un

servicio de directorio para buscar informacin en un entorno de red.

MAC:MediaAccess Control (ControldeAccesoalMedio).Seempleanenla

familia de estndares IEEE 802 para definir la subcapa de control de acceso

al medio.

MBR: Master Boot Record (Registro de Inicio Maestro), es un sector al

principio del disco duro que contiene una secuencia de comandos necesarios

para cargar un sistema operativo.

MD2:Message-Digest Algorithm2(AlgoritmodeResumendeMensaje2), es

una funcin de hash criptogrfica, este algoritmo est optimizado para

computadoras de 8 bits. El valor hash de cualquier mensaje se forma

haciendo que el mensaje sea mltiplo de la longitud de bloque en el

computador (128 bits o 16 bytes) y aadindole un checksum.

MD4:Message-Digest Algorithm4(AlgoritmodeResumendeMensaje4),es

una funcin de hash criptogrfica que implementa una funcin criptogrfica

de hash para el uso en comprobaciones de integridad de mensajes. La

longitud del resumen es de 128 bits.

MD5: Message-Digest Algorithm5(AlgoritmodeResumendeMensaje5), es

un algoritmo de reduccin criptogrfico que fue desarrollado por Ronald


xxvii

Rivest en 1995 y est basado en dos algoritmos anteriores MD2 y MD4, este

algoritmo genera un nmero de 128 bits basado en el contenido de un fichero

que ha sido publicado en la web.

MSC: Mobile Switching Center (Centro de Conmutacin Mvil), es el nodo

principal para la prestacin de servicios GSM / CDMA.

NTFS: New Technology File System (Nueva Tecnologa De Sistema De

Archivos), es el estndar de sistema de archivos usada por Microsoft

Windows sustituye al FAT.

OEA:OrganizacindeEstados Americanos.

OMC: Operation and Maintenance Center (Centro de Operacin y

Administracin).

ONU:OrganizacindeNaciones Unidas.

PCI: Peripheral Component Interconnect (Interconexin de Componentes

Perifricos), bus de datos que sirve para conectar dispositivos de hardware a

un computador.

PDA:PersonalDigitalAssistant (AsistentePersonalDigital), dispositivomvil

que sirve como un gestor de informacin personal.


xxviii

PIN: Personal IdentificationNumber(Nmerode IdentificacinPersonal), es

un cdigo numrico utilizado en los dispositivos mviles para identificarlos u

obtener acceso a informacin.

PPTP:Point topointTunnellingProtocol(ProtocoloDe TnelPuntoaPunto),

mtodo para implementar redes virtuales privadas.

PUK:PersonalUnlockingKey (ClavePersonaldeDesbloqueo).

RAID: Redundant Array of Independent Disks (Conjunto Redundante De

Discos Independientes), es un sistema de almacenamiento de datos que usa

mltiples discos duros o SSD entre los que distribuyen o replican los datos.

SAS: Serie Attached SCSI (Interfaz de Transferencia de Datos en Serie),

interfaz que sirve para mover informacin desde y hacia un dispositivo de

almacenamiento.

SATA: Serial Advanced Technology Attachment (Dispositivo Serial de

Tecnologa Avanzada), estndar de conexin de discos duros.

SCSI: Small Computers System Interface (Sistema de Interfaz para

pequeas computadoras), interfaz estndar para la transferencia de datos

entre distintos dispositivos del computador.

SHA: Secure Hash Algorithm (Algoritmo Seguro De Hash), es una funcin

hash criptogrfica que fue diseado por la Agencia de Seguridad Nacional,


xxix

es similar en su forma de operacin al MD-5, pero produce un resumen con

un incremento de 160 bits.

SIM: Subscriber Identity Mode (Mdulo de Identificacin del Suscriptor), es

una tarjeta inteligente desmontable usada en telfonos mviles.

SSD: Solid state drive (Unidad de Estado Slido), dispositivo de

almacenamiento de datos.

SSL: Secure Sockets Layer (Protocolo de Capa de Conexin Segura),

protocolo criptogrfico que proporciona comunicaciones seguras por una red

TDMA: Time division multiple Access (Acceso Mltiple por Divisin de

Tiempo), es una tcnica que permite la transmisin de seales digitales.

TB: Terabyte, es una unidad de almacenamiento de informacin que

equivale a 1012 bytes.

TLC:TratadodeLibreComercio, es unacuerdocomercialregionalobilateral

para ampliar el mercado de bienes y servicios entre los pases participantes.

UNAM: Universidad Nacional Autnoma de Mxico, es la universidad con

mayor reconocimiento acadmico tanto en Iberoamrica, como en Amrica

Latina.

UPS / SAI: Uninterrupted Power System (Alimentacin Elctrica

Ininterrumpida).
xxx

URL: UniformResourceLocator(LocalizadordeRecursoUniforme), es una

secuencia de caracteres, de acuerdo a un formato modlico y estndar, que

se usa para nombrar recursos en Internet para su localizacin o

identificacin.

USB:UniversalSerialBus (Bus universalenserie).

VLR: Visitor Location Register (Registro de Ubicacin De Visitante), es una

base de datos voltil que almacena, para el rea cubierta por una central de

conmutacin mvil, los identificativos, permisos, tipos de abono y

localizaciones en la red de todos los usuarios activos en ese momento y en

ese tramo de la red.

VPN:VirtualPrivateNetwork (RedPrivadaVirtual), es unatecnologadered

que permite una extensin de la red local sobre una red pblica o no

controlada, como por ejemplo Internet.

WAP: Wireless Application Protocol (Protocolo de Aplicaciones

Inalmbricas), es un estndar abierto internacional para aplicaciones que

utilizan las comunicaciones inalmbricas, especifica un entorno de aplicacin

y de un conjunto de protocolos de comunicaciones para normalizar el modo

en que los dispositivos inalmbricos se pueden utilizar para acceder a correo

electrnico, grupo de noticias y otros.


xxxi

XML: Extensible Markup Language (Lenguaje de Etiquetas Extensible).

Separa la estructura del contenido en la creacin de pginas web.

XSL: Extensible StyleSheet Language (Lenguaje Extensible de Hojas de

Estilo). Especificacin para separar el estilo del contenido en la creacin de

pginas web.
xxxii

INTRODUCCIN

El uso de los medios tecnolgicos e informacin digital se ha incrementado,

creando nuevos nexos de comunicacin, enlaces entre las instituciones,

empresas y/o personas, facilitando el manejo y almacenamiento de

informacin. De la misma manera en que se puede aprovechar la tecnologa

positivamente, existen personas que utilizan estos medios con fines

delictivos.

Cuando se comete un delito que involucra medios tecnolgicos e informacin

digital, la manera de abordar la investigacin del caso, la recoleccin de

evidencias, o rastros dejados por el autor del delito, es diferente a la

tradicional, debido a ello, se deben aplicar metodologas especializadas en el

tratamiento de tecnologa informtica.

Por lo expuesto anteriormente, es necesario contar con un laboratorio de

Ciencias Forenses Digitales, el cual debe poseer el personal, la

infraestructura fsica y tecnolgica, y las herramientas informticas para el

anlisis de datos, todo ello con el fin de recolectar evidencia y darle validez

en un proceso judicial.
1. PLANTEAMIENTO DEL

PROBLEMA

1.1. ANTECEDENTES

Tal como expuso la Dra. Sandra Morejn (Anexo A), fiscal de la

Unidad de Delitos Informticos y Telecomunicaciones; los delitos

informticos que han sido denunciados por lo general no llegan a

culminar el proceso de anlisis de evidencia ya que las vctimas

retiran los cargos o simplemente no les interesa continuar con el

proceso porque creen que es una prdida de tiempo y dinero.

Tambin mencion que algunos de los tipos de delitos conocidos a

travs de la prensa y opinin pblica son el robo de informacin

personal en redes sociales, bypass, la clonacin de tarjetas de crdito

por medio de escneres y software, phishing.


34

En la Fiscala General del Guayas, la Unidad Miscelneos se

encargaba GH ODV GHQXQFLDV GH GHOLWRV LQIRUPiWLFRV Hasta ahora se

registran 221 indagaciones. De ese total, el 80% proviene de la

clonacin y robo de dinero a travs de tarjetas de crdito, como el

secuestro exprs. Sin embargo, estos casos se tratan como

DSURSLDFLyQ
LQGHELGD
SHQDOL]DGD
HQ HO &yGLJR
3HQDO,
fue la

declaracin al respecto de los casos de delitos informticos


(40)
registrados en la fiscala del Guayas .

Esta fiscala maneja una estructura que ha tenido que variar para

mejorar los procedimientos que se llevan a cabo al denunciar un

delito informtico, y as llevar un mejor control de las denuncias y

documentacin necesaria para un proceso judicial.

1.2. OBJETIVOS

1.2.1. OBJETIVOS GENERALES

Plantear el diseo de un Laboratorio de Ciencias

Forenses Digitales acorde a la situacin actual en el

Ecuador.

Definir metodologas para la bsqueda y anlisis de

evidencia digital.
35

1.2.2. OBJETIVOS ESPECFICOS

Determinar la situacin actual de Laboratorios de

Ciencias Forenses Digitales en el Ecuador.

Definir los procedimientos tanto tcnicos como operativos

para el anlisis de la evidencia digital.

Definir los conceptos fundamentales en la formacin de

peritos en seguridad informtica.

Plantear opciones de implementacin de un Laboratorio

de Ciencias Forenses digitales.

Analizar casos basados en hechos reales de delitos

informticos.

1.3. SITUACIN ACTUAL

EQ HO DxR IXH H[SHGLGD OD /H\ GH FRPHUFLR HOHFWUyQLFR ILUPDV


(41)
HOHFWUyQLFDV \ PHQVDMHV, la cualGHpretende
GDWRVdar proteccin

a los usuarios de sistemas electrnicos mediante la regulacin del

uso de la tecnologa y de estos medios, esta ley es de difcil

cumplimiento debido a que en Ecuador actualmente no existe un

laboratorio de Ciencias Forenses Digitales, no se cuenta con la

integracin de la tecnologa y el personal especializado para realizar

un anlisis exhaustivo de evidencia digital relacionada en un proceso

judicial (Anexo A).


36

La Fiscala del Guayas, a diferencia de la provincia del Pichincha que

ya contaba con una Unidad de Delitos Informticos, propuso la idea

de crear una unidad especializada para este tipo de casos. Esta

iniciativa tuvo aceptacin en la Fiscala General de Estado y tuvo

como consecuencia la creacin de la Unidad de Delitos Informticos y

Telecomunicaciones en el ao 2010, la cual tiene como misin

fundamental ,nvestigar, perseguir y prevenir todo lo relacionado con

la llamada criminalidad informtica en todos sus espectros y mbitos


(42)
, tal y como expresa en su artculo el Dr. Santiago Acurio del Pino.

La Unidad de Delitos Informticos y Telecomunicaciones se encarga

de llevar a cabo las investigaciones para rastrear al autor del delito

una vez que se haya presentado la denuncia respectiva, como parte

de la investigacin est la aplicacin de metodologas para recolectar

evidencias digitales y con esto comenzar a generar procesos

judiciales.

Para llevar una estandarizacin de las metodologas que se aplican

en la evidencia digital, el Dr. Santiago Acurio del Pino, Director

Nacional de Tecnologa de la Informacin, public en el ao 2009 el

0DQXDO GH 0DQHMR GH (YLGHQFLDV 'LJLWDOHV \


(QWRUQRV ,QIRUPiWLFRV
(43)
, el manual pretenda ser una gua para todo el personal que
37

interviniese en diferentes fases de las investigaciones y para el

personal de la Fiscala que estuvieren involucrados en la

investigacin de los casos, cuando en una escena de delitos se

encontrasen dispositivos Informticos o electrnicos. A pesar de la

existencia de este manual de evidencias digitales, ste no es aplicado

actualmente (Anexo A) y por ende no existe una metodologa

estandarizada.

1.4. JUSTIFICACIN

Debido a que en la actualidad no se cuenta con un laboratorio

especializado en anlisis de evidencia digital, las evidencias

recolectadas pierden su validez por un tratamiento inadecuado.

El proyecto busca plantear unos procedimientos en tratamiento de

evidencia con la implementacin de metodologa tcnica y operativa,

definicin del perfil y de los conocimientos que debe poseer un perito

informtico, con la finalidad de garantizar la validez y confiabilidad del

informe final posterior al anlisis de evidencia; el proyecto pretende

disear un laboratorio de ciencias forenses digitales que posiblemente

se pueda implementar en la ESPOL.


38

1.5. ALCANCE

Consolidar informacin de diferentes fuentes para generar un

referente en la implementacin de un Laboratorio de Ciencias

Forenses Digitales.

Analizar la legislacin Nacional con respecto a delitos

informticos, y realizar comparaciones con legislaciones y

convenios internacionales para determinar brechas legales.

Definir el perfil ideal de un perito informtico.

Definir las metodologas de tratamiento de evidencia que se

ajuste mejor a la situacin actual.

Realizar plan de factibilidad para la implementacin del

laboratorio de Ciencias Forenses Digitales en la ESPOL.


2. DELITO INFORMTICO

Los delincuentes informticos afectan a los usuarios de medios digitales

utilizando diferentes modalidades de delitos informticos, ampliando el

campo en el que incurren este tipo de delitos, por esto existen varios

enfoques y criterios al momento de definirlos y clasificarlos segn

organismos y expertos en el tema, analizaremos dichos aspectos en este

captulo.

2.1. CONCEPTO DE DELITO INFORMTICO

Existen varios puntos de vista al momento de definir lo que es un

delito informtico, lo cual dificulta la creacin de una definicin

universal, siendo as, se han creado conceptos o definiciones que

tratan de ajustarse a la realidad jurdica de cada pas. Un ejemplo de

esto es la aportacin de Wikipedia que define al delito informtico

como el crimen genrico o crimen electrnico, que agobia con

operaciones ilcitas realizadas por medio de Internet o que tienen


40

como objetivo destruir y daar ordenadores , medios electrnicos y


(44)
redes de Internet . Por contrapartida, el Convenio de

Ciberdelincuencia del Consejo de Europa define a los delitos

LQIRUPiWLFRV FRPR ORV DFWRV GLULJLGRV FRQWUD OD


FRQILGHQFLDOLGDG OD
integridad y la disponibilidad de los sistemas informticos, redes y

datos informticos, as como el abuso de dichos sistemas, redes y


(45)
GDWRV .

En todas estas definiciones queda claro que los delitos informticos

atentan contra la privacidad de la informacin y utilizan medios

tecnolgicos como el internet y las redes para cometer actos ilcitos.

2.2. TIPOS DE DELITOS INFORMTICOS

Presentaremos algunas formas de clasificacin de delito informtico,

segn la ONU y la opinin de algunos expertos, las mismas que

sern expuestas a continuacin:

(46)
La ONU (Organizacin de las Naciones Unidas) reconoce y

clasifica a los delitos informticos de la siguiente manera:

Fraudes cometidos mediante manipulacin de computadoras,

dentro de este tipo de delito se encuentran cuatro formas de llevarlos


41

a cabo. La manipulacin de los datos de entrada, ms conocida

como sustraccin de datos, se caracteriza porque es fcil de cometer

y difcil de descubrir, no requiere conocimientos tcnicos de

informtica, pudiendo ser realizado por cualquier persona que tenga

acceso a los datos. La manipulacin de programas, la cual

consiste en modificar o aadir programas y rutinas en los sistemas.

Se caracteriza por pasar inadvertido, es realizada por delincuentes

que tienen conocimientos concretos de informtica. La

manipulacin de datos desalida, que consiste en fijar un objetivo

al funcionamiento del sistema informtico, utilizando para ello

equipos y programas especializados para codificar informacin

electrnica falsificada en las bandas magnticas de tarjetas

bancarias y de crdito. Adems existe la manipulacin informtica

que es una tcnica que consiste en ir sacando transacciones

financieras apenas perceptibles de una cuenta y transferirlas a otra,

aprovechando repeticiones automticas de los procesos de cmputo.

Lasfalsificacionesinformticas,quepuedenserclasificadasdela

siguiente manera: como objeto , para la alteracin de datos de los

documentos almacenados en forma computarizada o como

instrumentos, donde se utilizan las computadoras para falsificar

documentos de uso comercial.


42

Los daos o modificaciones de programas o datos

computarizados, encasillados en este tipo de delitos encontramos:

el sabotaje informtico, el cual consiste en borrar, suprimir o

modificar sin los debidos permisos funciones o datos de un

computador con el fin de obstaculizar el funcionamiento normal,

utilizando para ello virus, gusanos y bombas lgicas o cronolgicas,

el acceso noautorizadoaservicios o sistemasinformticos, en

el cual se puede acceder a los sistemas aprovechando las

vulnerabilidades en las medidas de seguridad o en los

procedimientos del sistema. De la misma manera, la reproduccin

no autorizada de programas informticos significa una prdida

econmica sustancial para los propietarios legtimos.

Por otro lado existe tambin la clasificacin de los delitos

informticos segn la opinin de algunos expertos.

El Dr. Julio Tllez Valdez, investigador del Instituto de

Investigaciones Jurdicas de la UNAM, clasifica a los delitos


(47) (48)
informticos basndose en dos criterios : Como instrumento o

medio, queaplicanconductas criminales queusanlas computadoras

como mtodo, medio o smbolo para cometer un acto ilcito, como

por ejemplo la falsificacin de documentos digitalmente, la variacin


43

de la situacin contable y la intervencin de lneas de comunicacin

de datos o teleprocesos. Como fin u objetivo , donde las conductas

criminales van en contra de la computadora o programas como

entidad fsica como por ejemplo instrucciones que producen un

bloqueo parcial o total del sistema, la destruccin de programas por

cualquier mtodo y el atentado fsico contra la computadora, sus

accesorios o medios de comunicacin.

Finalmente, la Doctora en Derecho Mara Luz Lima, catedrtica de

Derecho Penal, Penitenciario y Criminologa en la Facultad de

Derecho de la UNAM y actualmente presidenta de la Sociedad

Mexicana de Victimologa y Vicepresidenta de la Sociedad Mundial


(47) (49)
de Victimologa , presenta una clasificacin diferente : Los

delitos informticos como mtodo , donde los individuos utilizan

mtodos electrnicos para llegar a un resultado ilcito, como medio

en los cuales para realizar un delito utilizan una computadora como

medio o smbolo, y como fin que son dirigidos contra la entidad

fsica del objeto o mquina electrnica o su material con objeto de

daarla.
3. LEGISLACIONES, CONVENIOS Y

ORGANIZACIONES

Existen mltiples y variadas legislaciones a nivel nacional e internacional

relacionadas con los delitos informticos y digitales. Entre ellas podemos

destacar como ejemplos:

3.1. LEGISLACIN NACIONAL

Ley Orgnica de Transparencia y Acceso a la Informacin


(50)
Pblica , lacualgarantizaelderechofundamentaldelas personas

para acceder libremente a la informacin de entidades del sector

pblico, las mismas que deben publicar informacin acerca de la

organizacin interna, directorio, remuneraciones, servicios que

ofrece, contratos colectivos, formularios, presupuesto anual,


45

auditorias, procesos de contratacin, incumplimiento de contratos,

crditos internos y externos, rendicin de cuentas, viticos y del

responsable de la informacin y adems mantenerla actualizada.

Leyde Comercio Electrnico, Firmas ElectrnicasyMensajede


(41)
Datos , lacualregulalos mensajes dedatos, lafirmaelectrnica,

los servicios de certificacin, la contratacin electrnica y telemtica,

la prestacin de servicios electrnicos, a travs de redes de

informacin, incluyendo el comercio electrnico y la proteccin a los

usuarios de estos sistemas.

(51)
Ley de Propiedad Intelectual , que garantiza y reconoce los

derechos de autor y los derechos de los dems titulares sobre sus

obras. El Instituto Ecuatoriano de Propiedad Intelectual (IEPI) es el

organismo que a nombre del Estado protege los derechos de

propiedad intelectual. El robo de informacin digital puede tratarse

como una violacin de la propiedad intelectual, ya que se tratara de

informacin personal y de gran importancia para su propietario.

(52)
Ley Especial de Telecomunicaciones , la cual tiene por objeto

normar en el territorio nacional la instalacin, operacin, utilizacin y

desarrollo de toda transmisin, emisin o recepcin de signos,


46

seales, imgenes, sonidos e informacin de cualquier naturaleza

por hilo, radioelectricidad, medios pticos u otros sistemas

electromagnticos.

(53)
LeydeControl Constitucional (HabeasData) , lacualestablece

que cualquier persona natural o jurdica sean nacionales o

extranjeras y quieran acceder a documentos, bancos de datos e

informes que estn en posesin de entidades pblicas, de personas

naturales o jurdicas privadas, conocer el uso y finalidad que se les

haya dado o se les est por dar, podrn interponer el recurso de

hbeas data para requerir las respuestas y exigir el cumplimiento de

las medidas tutelares prescritas en esta Ley, por parte de las

personas que posean tales datos o informaciones.

(54)
Cdigo Penal Ecuatoriano , en el cual no se encuentran

estipuladas sanciones especficas para delitos informticos, por lo

tanto no son sancionados adecuadamente o en relacin a la

gravedad del delito.


47

3.2. EJEMPLOS DELEGISLACIN INTERNACIONAL

Al igual que en Ecuador existen diversas legislaciones que puede ser

utilizadas para perseguir el delito informtico, a nivel internacional

podemos tambin encontrar otras entre las que destacamos:

Chile, porejemplo fueelprimerpas latinoamericanoenexpediruna


(55)
Ley contra los delitosel 28 deinformticos
Mayo de 1993, la cual

consta de cuatro artculos en los que se castig conductas ilcitas

como: la inutilizacin o destruccin de un sistema de tratamiento de

informacin o sus componentes afectando el correcto funcionamiento

del sistema, al igual que la interferencia, intercepcin o acceso a un

sistema de informacin con el fin de apoderarse de datos

almacenados en el mismo, tambin sancion el dao o destruccin de

datos, as como la revelacin o difusin de datos contenidos en un

sistema de una manera malintencionada.

(56)
En Argentina, en Junio del 2008 se promulg la Ley No 26388

con reformas al Cdigo Penal modificando delitos existentes e

incluyendo el alcance de los trminos documento, firma, suscripcin,

instrumento privado y certificado, y de esta manera contemplar el uso

de nuevas tecnologas. Esta reforma contempl los siguientes delitos:

La pornografa infantil mediante el uso de internet u otros medios


48

digitales, el robo y acceso no autorizado de informacin almacenada

digitalmente, fraude y sabotaje informtico, interferencias en

comunicaciones, entre otros.

En Colombia, el 5 de enero de 2009, el Congreso de la Repblica


(57)
promulg la Ley 1273
, la cual modific el cdigo penal

adicionando nuevas sanciones en casos relacionados con los delitos

informticos, buscando proteger la informacin y preservar los

sistemas de tecnologas de informacin y comunicaciones. Esta ley

contempla dos captulos: De los atentados contra la confidencialidad,

la integridad y la disponibilidad de los datos y de los sistemas

LQIRUPiWLFRV \ De los atentados informticos y RWUDV


LQIUDFFLRQHV.

(58)
En Estados Unidos, el Acta de fraude y abuso informtico fue

aprobada por el Congreso de los Estados Unidos en 1986 para

castigar los delitos federales relacionados con ordenadores, tambin

OD VHFFLyQ )UDXGH \ DFWLYLGDG UHODFLRQDGDV FRQ RUGHQDGRUHV

fue modificada en el 2001 por la Ley para unir y fortalecer a Amrica

proveyendo las herramientas apropiadas requeridas para interceptar y

obstaculizar el terrorismo (USA PATRIOT Act. 2001), esta

modificacin castigaba:
49

Al que con conocimiento de causa accede a una computadora

sin autorizacin o excediendo el acceso autorizado y obtiene

datos de seguridad nacional.

Al que intencionalmente accede a una computadora sin

autorizacin y obtiene datos de instituciones financieras,

informacin de cualquier departamento o agencia de los

Estados Unidos, informacin de computador protegido con

comunicacin interestatal o internacional.

Al que intencionalmente accede a una computadora no pblica

sin autorizacin del gobierno, entre otros delitos.

En Europa tambin existe legislacin al respecto por ejemplo,

Alemania adopt la Segunda Ley contra laCriminalidadEconmica


(59)
el 15 de mayo de 1986, la cual reform el Cdigo Penal para

contemplar los delitos de espionaje de datos, fraude informtico,

falsificacin de evidencia, alteracin de datos, sabotaje informtico,

etc.

(60)
En Austria , la Ley de Reforma del Cdigo Penal del 22 de

diciembre de 1987 sancion la destruccin de datos que incluye

datos personales, no personales y programas, y la estafa informtica

la cual sanciona a aquel que cause prejuicios a terceros alterando el


50

procesamiento automtico de datos ya sea por ingreso, borrado o

modificacin de los mismos.

(61)
Francia, a travs de la Ley No. 88-19 de 5 de enero de 1988

sobre el fraude informtico contempl: la intromisin fraudulenta para

suprimir o modificar datos, la obstaculizacin o alteracin de un

sistema de procesamiento de datos automticos, el sabotaje

informtico y la falsificacin de documentos informticos, como

delitos penados.

Espaa,posiblementeelpas quetienemayorexperienciaencasos
(62)
de delitos informticos en Europa , a travs del Cdigo Penal,

sancion el dao, alteracin o inutilizacin de datos, programas o

documentos electrnicos ajenos, violacin de secretos, espionaje

informtico, divulgacin de datos, estafas valindose de

manipulacin informtica.

3.3. CONVENIOSINTERNACIONALES

Debido a que muchos pases del mundo optaron por la informtica

para el continuo desarrollo de sus actividades, existen convenios

internacionales que tratan de regular y evitar que se lleven a cabo

delitos informticos.
51

(63)
El Tratado De Libre Comercio , que propugna la existencia de

"cRQGLFLRQHV GH MXVWD FRPSHWHQFLD entre las naciones participantes y

ofrece no slo proteger sino tambin velar por el cumplimiento de los

derechos de propiedad intelectual. Esto guarda relacin con los

delitos informticos, ya que afectan a la propiedad intelectual como

en el robo de informacin y quienes violan este derecho deben ser

sancionados.

(64)
El Convenio De Budapest , quees elnico acuerdointernacional

que cubre todas las reas importantes de la legislacin relacionadas

con la ciberdelincuencia, el derecho penal, el derecho procesal y la

cooperacin internacional. Fue adoptado por el Comit de Ministros

del Consejo de Europa en su sesin N 109 del 8 de noviembre de

2001, se present a firma en Budapest, el 23 de noviembre de 2001

y entr en vigor el 1 de julio de 2004.

3.4. ORGANIZACIONESINTERNACIONALES

Adems de la legislacin y convenios internacionales, existen

organizaciones que buscan limitar y proteger contra este tipo de

delitos como:

(65)
Business Software Alliance (BSA) , quees una asociacin que

acta legalmente en contra de la piratera informtica en el mundo,


52

acta para proteger los derechos de propiedad intelectual de los

miembros proveedores de software, hacer cumplir la legislacin

acerca del derecho de autor y fomentar su cumplimiento, adems

utiliza lo ltimo en tecnologa para rastrear las descargas ilegales de

software y la distribucin de software pirata en Internet a travs de

sitios de subastas.

(66)
Organizacin de Naciones Unidas (ONU) , que es una

asociacin de gobierno global que facilita la cooperacin en asuntos

como el Derecho Internacional, la paz y seguridad internacional, el

desarrollo econmico y social, los asuntos humanitarios y los

derechos humanos. Reconoce varios tipos de delitos informticos los

cuales son mencionados en el captulo 2.2.

(67)
Organizacin de los Estados Americanos (OEA) , que est

comprometida con el desarrollo e implementacin de la estrategia

Interamericana para combatir las amenazas a la seguridad

ciberntica. Esta estrategia reconoce la necesidad de que todas las

personas involucradas en las redes y sistemas de informacin sean

conscientes de sus funciones y responsabilidades con respecto a la

seguridad, con el fin de crear una cultura de seguridad ciberntica.


4. ESTUDIO DE LA CIENCIA

FORENSEDIGITAL

Para iniciar en la investigacin de casos de delitos informticos se

requiere conocer el concepto de ciencia forense digital, las fases del

anlisis forense digital que se presentan en la escena del crimen y en el

laboratorio, as como tambin conocer los objetivos que se deben

alcanzar con el anlisis, todos estos puntos se detallan en este captulo.

4.1. CONCEPTO DE CIENCIAS FORENSES

El Dr. Santiago Acurio del Pino, Director Nacional de Tecnologa de la

Informacin define D ODV FLHQFLDV IRUHQVHV FRPR Oa utilizacin de

procedimientos y conocimientos cientficos para encontrar, adquirir,

preservar y analizar las evidencias de un delito y presentarlas


(68)
apropiadamente a una corte de Justicia . Tambin se podra

definir a las ciencias forenses como los mtodos, tcnicas y


54

conocimientos aplicados para el anlisis y tratamiento de la evidencia

encontrada con el fin de darle la validez necesaria ante un proceso

legal.

4.2. CONCEPTO DECIENCIA FORENSE DIGITAL

Basndonos en las definiciones anteriores de Ciencias Forenses,

podemos extrapolar una definicin de Ciencia Forense Digital como:

Una investigacin minuciosa de medios digitales, datos procesados

electrnicamente, de toda evidencia digital encontrada con el fin de

que pueda ser utilizada en un proceso legal. As mismo, en la


(69)
SXEOLFDFLyQ ,QWURGXFFLyQ D OD ,QIRUPiWLFD
se define)RUHQVH

Ciencia Forense Digital como la forma de aplicar conceptos,

estrategias y procedimientos de la criminalstica tradicional en medios

informticos especializados, con el objetivo de esclarecer hechos que

puedan catalogarse como incidentes, fraudes o uso indebido de los

mismos ya sea en el mbito de la justicia especializada o en materia

de administracin de la seguridad informtica de las organizaciones.

4.3. FASESDELANLISIS FORENSEDIGITAL

El anlisis forense digital se compone de fases, que debido a la

naturaleza de los crmenes y conductas que investigan se pueden


55

presentar en dos lugares: Escena del crimen y Laboratorio Forense


(70) (71)
.

En la escena del crimen se encuentran normalmente las fases que

tienen como objetivo proteger el estado de la escena de tal manera

que no afecte la identificacin y recoleccin de evidencias. Se debe

asegurar la escena del crimen, ya que se encuentran las pruebas que

podran ser tomadas como evidencia digital, y por lo tanto se deben

tomar las precauciones necesarias para preservarlas y as evitar la

modificacin o destruccin de las mismas. Tambin es necesario

identificar los sistemas de informacin que posiblemente contengan

informacin relevante, todo tipo de dispositivo electrnico como un

computador, celulares, agendas electrnicas, dispositivos externos de

almacenamiento como memorias USB, discos duros, CDs y DVDs.

Para la recoleccin de pruebas se debe tratar en lo posible, minimizar

el impacto en la prueba original, realizando copias exactas de las

evidencias para que estas sean utilizadas en los anlisis forenses y la

evidencia original no sea alterada.

En el Laboratorio Forense se encuentran las etapas que realizan los

expertos en Ciencias Forenses Digitales, empezando por preservar

las evidencias realizando la documentacin de cada actividad y


56

procedimiento, realizando el anlisis siguiendo la metodologa forense

especializada para obtener resultados y presentando de manera

adecuada para que sean vlidas en un proceso judicial.

La recuperacin de las pruebas est basada en el Principio de

IntercambiodeLocard,criminalistafrancs,pioneroenestaciencia,

fundador del Instituto de Criminalstica de la Universidad de Lion, que

HVWDEOHFH HQ HVHQFLD TXH VLHPSUH TXH GRV REMHWRV HQWUDQ HQ

FRQWDFWR WUDQVILHUHQ SDUWH GHO PDWHULDO TXH LQFRUSRUDQ DO RWUR


REMHWR
(72)
.

Objeto A Interaccin Objeto B

Ilustracin 4. 1 - Principio de intercambio de Locard

4.4. OBJETIVOS DEL ANLISIS FORENSEDIGITAL

En un anlisis forense se busca descubrir si se produjo el delito, los

pasos que se llevaron a cabo para esclarecer cmo se produjo el

delito, adems se busca conocer cuando y donde se origin el

ataque, el o los bancos de ataque, as como tambin los activos de

informacin que se vieron afectados y la gravedad en que fueron

afectados. Con todos los rastros encontrados se pretende poder

identificar quien cometi el delito.


5. EVIDENCIA DIGITAL

La clave en un anlisis forense digital es la evidencia digital por lo cual

debemos conocer su definicin y clasificacin, as como tambin

principios bsicos, legales y constitucionales que se deben cumplir

para asegurar su admisibilidad en la investigacin y juzgamiento de un

caso.

5.1. CONCEPTO DE EVIDENCIA DIGITAL


(73)
Segn el Guidelines for the Management of IT Evidence , la

evidencia digital es "cualquier informacin, que sujeta a una

intervencin humana u otra semejante, ha sido extrada de un

medio informtico". Basndonos en este concepto, la evidencia

digital es cualquier informacin que ha sido generada, almacenada

o enviada en un sistema de informacin que se encuentre

comprometida con el cometimiento de un delito, sea directa o


58

indirectamente, y que una vez obtenida, esta informacin se

encuentra entendible para las personas o es capaz de ser

interpretada por personas expertas con la ayuda de programas

adicionales.

5.2. CLASIFICACIN

Todo investigador tiene que recordar que todo lo que se transmite,

procesa o almacena en un dispositivo digital como computadora,

celular, palm, queda registrado y pueden ser recuperados con la

ayuda de tcnicas y herramientas especficas, al ser manipulada

por personal experto en el trato de evidencia digital, respetando

normas y regulaciones legales esta informacin puede ser usada

como evidencia vlida dentro de un proceso judicial y es por ello

que sHJ~Q +% *XLGHOLQHV IRU WKH 0DQDJHPHQW RI ,7


(73)
(YLGHQFH , la evidencia digital puede ser dividida en tres

categoras:

En registros almacenados en el equipo de tecnologa

informtica, como por ejemplo correos electrnicos, archivos de

aplicaciones de ofimtica, imgenes. Tambin los Registros

generados por los equipos de tecnologa informtica, como

por ejemplo registros de auditora, registros de transacciones,


59

registros de eventos. Finalmente, los registros que parcialmente

han sido generados y almacenados en los equipos de

tecnologa informtica, como por ejemplo hojas de clculo

financieras, consultas especializadas en bases de datos, vistas

parciales de datos.

5.3. CRITERIOS DEADMISIBILIDAD

En Ecuador, el Dr. Santiago Acurio, Director Nacional de

Tecnologa de la Informacin, indica que la admisibilidad de la

evidencia digital est dada por varios factores como: (74)

Establecer un procedimiento de operaciones estndar como se

describe en el captulo 7, adems de esto, cumplir con los

principios bsicos reconocidos internacionalmente en el manejo de


(74)
evidencia digital, los cuales se mencionan a continuacin :

El funcionario de la Fiscala o de la Polica Judicial nunca

debe acudir solo al lugar de los hechos, es recomendable

que asistan un mnimo de dos funcionarios. El segundo

funcionario aporta con ms seguridad y ayuda a captar

detalles.
60

Ninguna accin debe tomarse por parte de la Polica

Judicial, la Fiscala o por sus agentes y funcionarios ya que

podran alterar la informacin almacenada en sistemas

informticos y medios magnticos, y perder validez ante un

tribunal. En casos excepcionales una persona capacitada

puede tener acceso a la informacin digital pero se debe

describir la manera en que se realiz dicho acceso, justificar

la razn y detallar las consecuencias de dicho acceso, se

debe llevar una bitcora de todos los procesos con

antelacin que se le aplicaron a la evidencia digital.

El fiscal del caso y/o el oficial encargado de la investigacin

son los responsables de garantizar el cumplimiento de la Ley

y de estos principios, los mismos que se aplican a la

posesin y acceso a la informacin almacenada en sistemas

informticos. De la misma manera, cualquier persona que

acceda o copie informacin deber cumplir con la ley y estos

principios.

Otro criterio es el cumplimiento de los principios constitucionales y

legales establecidos en Ecuador. Doctrina del rbol envenenado


(75)
, la cual hace referencia a una metfora para referirse a la
61

evidencia recolectada con ayuda de informacin obtenida

ilegalmente. Es decir si la fuente de la evidencia (el rbol) se

corrompe entonces la evidencia que se obtiene de la misma (el

fruto) tambin lo est, por lo tanto esta evidencia por lo general no


(76)
tiene validez ante tribunales. Secreto de la correspondencia ,

expresado en el artculo 23 de la Constitucin Poltica de la

Repblica del Ecuador, el cual garantiza la inviolabilidad y el

secreto de la correspondencia, estableciendo que la

correspondencia slo podr ser retenida, abierta y examinada en

los casos previstos en la ley. Secreto de las telecomunicaciones


(77)
expresado en la Ley 184 de Telecomunicaciones (Registro

Oficial No. 996) en el artculo 14, que garantiza el derecho al

secreto y a la privacidad de las telecomunicaciones, prohibiendo a

terceras personas interceptar, interferir, publicar o divulgar sin

consentimiento de las partes la informacin cursada mediante los

servicios de telecomunicaciones.

Finalmente, el personal encargado de la evidencia debe regirse al

procedimiento determinado en la Ley de Comercio Electrnico y el

Cdigo de Procedimiento Penal.


6. PERITOSINFORMTICOS

Las investigaciones realizadas para esclarecer un delito informtico son

llevadas a cabo por tcnicos expertos en el rea de tecnologa

informtica, a los cuales se denomina peritos informticos, quienes

obtienen la evidencia digital de las pruebas recolectadas en una escena

del crimen y quienes deben cumplir con requerimientos legales para ser

reconocidos como tales.

6.1. CONCEPTO DE PERITAJEINFORMATICO

Se puede definir al peritaje informtico como el estudio o

investigacin, que tiene como fin la obtencin de evidencias digitales

relevantes para que puedan ser usadas dentro de un proceso judicial

o extrajudicial y determinar la inocencia o culpabilidad de un


(78)
sospechoso autor de un delito .
63

El peritaje informtico debe ser usado en cualquier caso en el cual se

incluyan equipos o medios digitales como parte del delito, ya sea

como medio o fin, debe ser usado en casos civiles, en los delitos

contra la propiedad privada e intelectual, espionaje industrial,

proteccin de datos personales, fraudes, sabotajes, entre otros.

6.2. PERFIL DE UN PERITO INFORMTICO

El Cdigo de Procedimiento PHQDO HQ HO DUWtFXOR VHxDOD 6RQ

peritos los profesionales especializados en diferentes materias que

hayan sido acreditados como tales, previo proceso de calificacin del


(54)
Ministerio Pblico . As mismo Jeimy Cano, examinador

Certificado de Fraude (CFE) por la ACFE (Asociacin de

Examinadores de Fraude Certificados), miembro de la Red

Iberoamericana de Criptologa y Seguridad de la Informacin

(CriptoRED) y de la Red Latinoamericana de Especialistas en

Derecho Informtico, define a los peritos informticos como

SURIHVLRQDOHV TXH contando con un conocimiento de los


fenmenos
tcnicos en informtica, son personas preparadas para aplicar

procedimientos legales y tcnicamente vlidos para establecer

evidencias en situaciones donde se vulneran o comprometen

sistemas, utilizando mtodos y procedimientos cientficamente

probados y claros que permitan establecer posibles hiptesis sobre el


64

hecho y contar con la evidencia requerida que sustente dichas

KLSyWHVLV
D ORV FXDOHV ORV
WDPELpQ
OODPD
LQYHVWLJDGRUHV HQ
(79)
LQIRUPiWLFD
.

De todo lo anterior, se desprende que el perito deber estar

capacitado en las tcnicas y el uso de herramientas de recuperacin

de informacin, debido a que muchas veces las pruebas no estn en

condiciones ptimas y deben ser tratadas de tal forma que se pueda

obtener la mayor cantidad de informacin til para emitir criterios

dentro de un proceso judicial. El perito debe tambin poseer

conocimiento acerca de la legislacin nacional, internacional,

procedimientos y metodologas legales, tecnologas de informacin,

fundamentos de criminologa y criminalstica, o estar bien asesorado

en estos campos para que pueda presentar un informe vlido en un

proceso judicial. Las reas principales que debe cubrir para llegar a

ser un perito informtico integral son las siguientes.

rea de tecnologas de informacin y electrnica. Debe conocer

lenguajes de programacin, teora de sistemas operacionales y

sistemas de archivo, protocolos e infraestructuras de comunicacin,

fundamentos de circuitos elctricos y electrnicos y arquitectura de


65

computadores. Estos conocimientos son necesarios al momento de

realizar el anlisis y saber dnde buscar informacin.

Fundamento de bases de datos rea de seguridad de la

informacin. Los conocimientos principales en esta rea son los

principios de seguridad de la informacin, las polticas estndares y

procedimientos en seguridad de la informacin, el anlisis de

vulnerabilidades de seguridad informtica, el anlisis y administracin

de riesgos informticos, la recuperacin y continuidad de negocio, y la

clasificacin de la informacin.

Con respecto a los conocimientos sobre ataques informticos, el

perito debe conocer acerca de tcnicas de Hacking y vulneracin de

sistemas de informacin, mecanismos y tecnologas de seguridad

informtica, y concientizacin en seguridad informtica.

rea jurdica. Debe tener conocimientos en teora general del

derecho, formacin bsica en anlisis forense digital, proteccin de

datos y derechos de autor, convergencia tecnolgica, evidencias

digitales y pruebas electrnicas, el anlisis comparado de

legislaciones e iniciativas internacionales.


66

rea de criminalstica y ciencias forenses. El perito debe tener

nocin de conductas criminales, perfiles tcnicos, procedimientos de

anlisis y valoracin de pruebas, cadena de custodia y control de

evidencias, fundamentos de derecho penal y procesal, tica y

responsabilidades del perito, metodologas de anlisis de datos y

presentacin de informes.

rea de informtica forense. El perito debe conocer sobre

esterilizacin de medios de almacenamiento magntico y ptico,

seleccin y entrenamiento en software de recuperacin y anlisis de

datos, anlisis de registros de auditora y control, correlacin y

anlisis de evidencias digitales, procedimientos de control y

aseguramiento de evidencias digitales, y sobre verificacin y

validacin de procedimientos aplicados en la pericia forense.

Cabe resaltar que de no encontrar peritos avalados por la fiscala en

el rea especfica en que se llevara a cabo la investigacin, el cdigo

de procedimiento penal en su Art. 95 establece que el Fiscal deber

nombrar a personas mayores de edad, de honradez reconocida y que

posea conocimientos sobre el tema que deban informar.


67

6.3. FUNCIONES DE UN PERITO


(80) (81)
Un perito puede cumplir una lista larga de funciones como son:

Preservar la evidencia.

Identificacin y recoleccin de evidencias en medios digitales.

Recuperacin y anlisis de datos.

Presentacin de evidencia de una manera clara y entendible

Agente auxiliar del juez en aclaracin de conceptos para que

se pueda dictar sentencia.

6.4. ACREDITACINPARA PERITOS

El consejo de la judicatura es el organismo encargado de organizar y

controlar la asignacin de peritos en territorio Ecuatoriano, de

acuerdo al Cdigo Orgnico de la Funcin Judicial que en su Art. 264

QXPHUDO HVWDEOHFH TXH D pVWH yUJDQR OH FRUUHVSRQGH )LMDU


HO
monto de las tasas y establecer las tablas respectivas por informes

periciales, experticias y dems instrumentos similares necesarios en

la tramitacin de causas, as como sistematizar un registro de los

peritos autorizados y reconocidos por el Consejo de la Judicatura

como idneos, cuidando que stos sean debidamente calificados y


(82)
DFUHGLWHQ H[SHULHQFLD \ SURIHVLRQDOL]DFLyQ. VXILFLHQWH
68

Para obtener la acreditacin como perito, el Consejo de la Judicatura

en su normativa que rige Las Actuaciones y Tabla de Honorarios de


(82)
los peritos en lo civil, penal y afines, dentro de la funcin judicial ,

en su Art. 2 resolvi, que los interesados deben de cumplir con los

requisitos de ser mayor de edad, la cual en Ecuador se define al

cumplir 18 aos, una correcta tica profesional, seriedad e

imparcialidad para cumplir con las tareas asignadas y desvincularse

inmediatamente al concluir su trabajo, y presentar la documentacin

general solicitada por el organismo la cual consiste en :

Solicitud dirigida al Director Provincial del Consejo de la

Judicatura, respectiva, especificando la especialidad pericial.

Hoja de vida.

Cdula de identidad y papeleta de votacin, en original y copia.

Record policial actualizado.

Documentos que acreditan capacitacin y experiencias en las

materias.

Comprobante de pago de servicios administrativos.

Adems de lo anteriormente enumerado, en caso de ser peritos

profesionales se requiere que el ttulo haya sido registrado en el

CONESUP, en original y copia que acredite la formacin acadmica

en la especialidad que postula.


69

6.5. CERTIFICACIONESPROFESIONALES

Actualmente existen organizaciones con programas estructurados

para la formacin de profesionales en Ciencia Forense Digital, con el

fin de que los forenses que tengan esta certificacin cuenten con

conocimientos de metodologas aplicadas internacionalmente, a

continuacin detallamos certificaciones que ofrecen estas


(83) (84) (85)
organizaciones :

Tabla 6. 1 - Certificaciones profesionales

Certificacin Organizacin Detalle


Examinador digital certificado,
ACFE profesional que utiliza las
Certified Computer
Asociacin de tcnicas de investigacin y
Examiner - CCE
Examinadores de anlisis para poder
Fraude Certificados proporcionar pruebas digitales

IACIS Organizacin no lucrativa que


CFEC Computer Asociacin Internacional ofrece reconocimiento y una
Forensic External para Sistemas de certificacin a profesionales
Certification Computadoras de del anlisis forense
Informacin en medios digitales
CCCI Certified HTCN
Investigador de crmenes
Computer Crime High Technology Crime
informticos certificado
Investigator Network
EC-Council Prepara al personal para
CHFI Computer
Consejo Internacional llevar a cabo investigaciones
Hacking Forensic
de Consultores de usando tecnologa de
Investigator
Comercio Electrnico Forensia digital innovadora
ACFE
CFE Certified Asociacin de La ACFE provee capacitacin
Fraud Examiners Examinadores de y entrenamiento anti fraude
Fraude Certificados
7. DEFINICIN DE LA

METODOLOGA FORENSE

DIGITAL

La aplicacin de la metodologa orientada al anlisis de evidencia digital

en sus diferentes fases, procura mantener la integridad de la evidencia

original, de la misma manera que los resultados presentados al final sean

ntegros, confiables y precisos. Para esto se deben cumplir principios o

normas de carcter general al realizar el anlisis y bsqueda de

evidencias digitales, los cuales son: Evitar la contaminacin de la

evidencia, aplicar metodologas o procedimientos definidos como


(86)
estndares y controlar la cadena de evidencia .
71

7.1. CADENA DE CUSTODIA

La cadena de custodia es el procedimiento de control documentado

que se aplica a la evidencia fsica, para garantizar y demostrar la

identidad, integridad, preservacin, seguridad, almacenamiento,


(87)
continuidad y registro GH OD PLVPD . La cadena de custodia

comienza en el lugar donde se encuentra, obtenga o recolecta la

evidencia fsica y solo finaliza cuando la autoridad competente lo

ordene, durante este proceso se siguen varias etapas que


(88) (89)
presentamos a continuacin:

7.1.1. Recoleccin, clasificacin y embalajede la prueba.

La cadena de custodia empieza en la escena del delito por lo

cual es fundamental el aseguramiento de la misma con el fin de

evitar la contaminacin de la evidencia.

El personal encargado de la recoleccin de las pruebas en la

escena, no siempre es personal tcnico capacitado, sino

personal del departamento de polica quienes son los primeros

en llegar al lugar de los hechos, por esto se debe definir una

serie de procedimientos a seguir para evitar que la evidencia

digital se vea afectada en su integridad y/o admisibilidad, tales

como:
72

Aislar a los equipos informticos inmediatamente de

todo contacto con las personas que se encuentren en el

lugar de los hechos, impidiendo que estos equipos sean

utilizados nuevamente. Se debe de identificar y dejar

registrado en un acta la(s) personas que trabajen en los

equipos informticos disponibles o el dueo del equipo.

Si es posible, obtener en el lugar las contraseas de las

aplicaciones y dejarlas registradas en un acta de

allanamiento.

Registrar todos los elementos y fotografiarlos antes de

moverlos o desconectarlos. Fotografiar las pantallas de

cada uno de los equipos, si se encuentran encendidas,

que se encuentren en el lugar, as como una toma del

lugar completo.

Evitar el contacto directo de la piel con el material

informtico presente en el lugar, es necesario el uso de

guantes de ltex para realizar la recoleccin, ya que

puede existir muestras de ADN, huellas dactilares, etc.,

en las partes y dispositivos informticos, como teclado,

mouse, DVD, etc.


73

Si se encuentran equipos encendidos no se procede a

apagarlos inmediatamente, se procede como se indica

en el captulo 7.2.1 para poder obtener la evidencia y

trasladarla al laboratorio. Se debe documentar la hora y

la fecha del sistema antes de apagar el computador, ya

que puede ser de utilidad al momento de presentar

evidencias.

En el caso de encontrar equipos apagados se procede

nicamente a desconectarlos desde la toma del equipo

ya que al encontrarse en este estado no incurren en el

riesgo de prdida de informacin. Si se tratase de una

laptop se procede a quitarle la batera.

Identificar y clasificar la evidencia encontrada de

acuerdo a su naturaleza, al hacer la clasificacin se

debe rotular cada uno de los equipos y componentes

que se van a trasladar como evidencia, y llenar el acta

definida en el Anexo F.

Usar bolsas y/o envases especiales antiestticos

etiquetados o etiquetables, para el almacenamiento de


74

dispositivos susceptibles a la esttica tales como discos

duros, CDs, DVDs, y dispositivos de almacenamiento

con caractersticas electromagnticas, ya que la mnima

descarga de electricidad esttica puede llegar a daar

los dispositivos.

7.1.2. Embalaje de la evidencia

Se debe de registrar el nombre del oficial encargado del

embalaje, etiquetado y clasificacin de la evidencia encontrada

ya que l ser el encargado de su traslado hasta los almacenes

de custodia. En esta etapa se recomienda etiquetado y

rotulacin que permitan una fcil ubicacin e identificacin de la

evidencia.

7.1.3. Custodia y trasladode laevidencia.

El oficial que realiz el embalaje, clasificacin y etiquetado de la

evidencia ser el encargado de trasladarla al almacn del

laboratorio, y este permanecer en el lugar hasta que la

evidencia sea aceptada e ingresada por la persona encargada

de la custodia de la misma. En caso contrario, se documentar

el cambio de custodia.
75

Una vez ingresada al Laboratorio de Ciencias Forenses

Digitales, se procede a realizar el registro de entrada de la

evidencia digital completando el formulario Ingreso de Evidencia

mostrado en el Anexo B. Debe de quedar registrado el nmero

del caso al cual pertenece la evidencia, el estado en que llego al

laboratorio, el nombre de la persona que entrega la prueba en el

laboratorio.

Posteriormente se proceder a almacenar la evidencia en

recipientes especiales, con aislamiento y protegidos contra la

esttica que se puede generar en el medio, esta ser

almacenada en una habitacin con seguridades fsicas, a la

cual solo podr acceder personal del laboratorio que cuente con

la debida autorizacin.

Para las evidencias almacenadas en el laboratorio se debe

llevar un inventario llenando el formulario de Inventario

mostrado en el Anexo C, con el fin de controlar las evidencias

almacenadas.

Todo traslado de la evidencia dentro y fuera del laboratorio ser

registrado indicando el nombre de la persona encargada del


76

traslado de la evidencia, fecha y hora de entrega de la

evidencia, y se llevar un registro de la ubicacin de la

evidencia durante su transporte, para as no perder nunca el

rastro de la evidencia, este formulario de Entrada y Salida de

Evidencia se detalla en el Anexo D.

7.1.4. Anlisis de la evidencia

Para realizar el o los anlisis el perito encargado debe de

solicitar al almacn del laboratorio la prueba a la cual le va a

efectuar los anlisis, procediendo al llenado de las actas

respectivas de entrega de evidencia que se encuentran en el

almacn, y en las cuales se registrar el nombre de cualquier

elemento del laboratorio que tenga contacto directo con la

evidencia y el procedimiento y/o anlisis que va a realizar.

As mismo para evitar corromper y afectar la integridad de la

evidencia al momento de realizar el anlisis, es obligacin del

perito obtener el nmero de copias idnticas de la muestra,

necesarias para realizar los anlisis respectivos.

Toda persona que reciba una evidencia fsica por parte del

almacn debe de revisar el recipiente que la contiene antes de


77

registrar el recibido de la evidencia, y registrar las condiciones

en que encuentra la evidencia en el formato que maneja el

laboratorio. Esta evidencia podr ser sacada de su almacenaje

y podr ser abierta nicamente por el perito designado para su

anlisis.

El perito encargado del anlisis de la evidencia digital tiene la

obligacin de llevar una bitcora de anlisis como lo muestra el

Anexo E, en la cual se registrar cada uno de los

procedimientos que se realizan sobre la evidencia, as como la

justificacin del anlisis, las observaciones o inconvenientes

que se presenten durante el anlisis.

Posterior a la finalizacin del anlisis, toda evidencia debe ser

devuelta al almacn del laboratorio para su almacenaje, el

encargado del almacn debe de registrar el ingreso de la

evidencia y debe de etiquetarlas con una codificacin para que

sea posible su ubicacin para nuevos anlisis o para su

destruccin.
78

7.1.5. Custodia y preservacin final hasta que se realice el

debate.

La evidencia tendr que ser recibida por el personal encargado

del almacn del laboratorio, el cual debe de registrar la fecha y

hora de recepcin del material as como el nombre del perito

que hace entrega de la misma y verificar el estado en que fue

recibida y almacenarla siguiendo cdigos que faciliten la

localizacin para futuros anlisis y/o destruccin segn sea el

caso.

7.2. PROCEDIMIENTOSTCNICOS

Los procedimientos tcnicos aplicados a las evidencias digitales

deben ser implementados guardando la integridad y confiabilidad de

las evidencias digitales.

7.2.1. Recoleccin deevidencia digital

Se deben tomar decisiones y precauciones para mantener la

evidencia intacta y libre de contaminacin externa, una de las

primeras decisiones que se debe tomar es con respecto a un

computador encontrado en la escena de los hechos, ya que se

debe de tomar en cuenta que si es apagado inmediatamente


79

puede existir prdida de memoria RAM y si no se apaga

existira la posibilidad de que se ejecute una bomba lgica.

Para apagar el computador, que es evidencia se recomienda

seguir los siguientes pasos:

No apagar el equipo desde el botn que cumple esta

funcin.

Si el computador no se encuentra bloqueado, se debe

poner el computador en modo suspensin. En caso

contrario, desconectar el cable de alimentacin elctrica

desde la fuente del poder del computador, de esta

manera los datos pasan al disco duro.

Al finalizar el allanamiento, para el traslado de las pruebas se

procede como se indica en la seccin 7.1.1 de la cadena de

custodia para que una vez que las pruebas se encuentren en el

laboratorio se pueda proceder al anlisis.

Realizar copiasde laprueba original.

De los elementos donde se espera encontrar pruebas, se debe

realizar por lo menos una copia del original sobre la que se

trabajar.
80

La copia de las evidencias digitales como informacin en

archivos de texto, imgenes, entre otros que estn

almacenadas en discos duros debe ser realizada mediante

software especializado que no altere la evidencia y esta pueda


(90) (91)
ser aceptada en un proceso judicial .

La copia del contenido original incluye archivos ocultos,

registros, archivos corruptos, archivos borrados y que an no

hayan sido sobrescritos. Se utiliza el mtodo CRC para validar

que es fiel copia del original.

Para realizar la copia del contenido original del computador, se

debe extraer el disco duro siempre tomando las medidas de

seguridad adecuadas para proteger la evidencia. Si no es

posible extraer el disco duro, se debe modificar la secuencia de

arranque en el BIOS del sistema y arrancar con un sistema

operativo desde un CD, sin instalar nada en el sistema.

Para realizar la imagen del disco original se pueden tomar

varias alternativas, dependiendo del equipamiento del

laboratorio.
81

Opcin1:Sepuedeusaruncableconvertidor(IDEoSATA)a

USB, enclosure, conexin de red, conexin Ethernet, cable

cruzado, USB, etc., para transferir el contenido del disco

mediante software como el Encase (captulo 8.3).

Opcin 2: Se hace uso de la herramienta duplicador Forensic

Talon kit (captulo 8.2), que facilitara la obtencin de la imagen

del disco duro.

Desconectar el disco duro original y almacenarlo

adecuadamente, con las seguridades antiestticas.

Copia de informacin de dispositivos de mano como


(91)
celulares, PDAs y PocketPCs . Para crear una imagen de

estos dispositivos se utiliza software especializado que realiza

copias completas de la informacin almacenada en la memoria

de estos dispositivos, incluyendo aplicaciones, datos del

usuario, calendario y tareas.

De la misma manera se obtiene informacin del equipo, como

versin del sistema operativo, modelos del dispositivo, tipo de

tecnologa que utiliza y el fabricante.


82

(91)
Retencin de tiempos y fechas . Durante el anlisis,

siempre que sea posible se debe trabajar con zonas de tiempo

GMT o cualquier otro estandarizado. El delito puede involucrar

varias zonas de tiempo y usando una estandarizada puede ser

un punto de referencia que haga el anlisis de las evidencias

ms sencillo.

Generarlosprocesosdesumadeverificacincriptogrfico
(91)
de la evidencia digital (copia y original) . Se genera un

proceso de suma de verificacin de la evidencia original y de las

copias para garantizar que esta no ha sido alterada durante el

anlisis, para esto usamos el algoritmo de suma de verificacin

MD5.

7.2.2. Identificacin de las evidencias digitales

Debido a que en los sistemas de informacin es posible

encontrar evidencia digital heterognea, lo mejor es realizar una

clasificacin de las evidencias digitales en evidencias digitales

en medios voltiles y en medios no voltiles.

Las evidencias digitales en medios voltiles desaparecen ante

la falla de alimentacin elctrica o falla de conexin y es posible


83

obtenerlas en diferentes lugares (Anexo U). Para obtener esta

informacin disponemos de software como por ejemplo Deft

Extra (Anexo O), que es una coleccin de herramientas con las

cuales podemos obtener registros de las actividades del

computador, tiempos en los que ha estado encendido y que

usuario lo hizo, etc.

Ya que es informacin voltil, se deben realizar los pasos para

preservacin de evidencia, de esta manera los datos pasan al

disco duro y la evidencia pasa a ser tratada como informacin

en un medio no voltil. Las evidencias no voltiles perduran an

con la interrupcin de alimentacin elctrica y es posible

obtenerlas en diferentes lugares como se detalla en el Anexo U


(92)
.

7.2.3. Anlisis de las evidenciasdigitales

La evidencia digital normalmente se forma por el contenido de

los ficheros o datos y la informacin sobre los ficheros

(metadatos). Basndose en estas evidencias el investigador


(91)
debe tratar de contestar las preguntas de:

Qu?: Determinar la naturaleza de los eventos

ocurridos.
84

Cundo?: Reconstruir la secuencia temporal de los

hechos.

Cmo?: Descubrir que herramientas o piezas de

software se han usado para cometer el delito.

Quin?: Reunir informacin sobre los involucrados en

el hecho.

Durante el anlisis se extrae informacin relevante del caso

para recrear la cadena de eventos sucedidos, por lo tanto se

requiere nocin de lo que se est buscando y como obtenerlo.

Categoras dedatos.

Los datos se dividen en varias categoras para facilitar la

bsqueda de la evidencia, ya que existen grupos clasificados


(91)
.

Datos lgicamente accesibles: Los cuales son almacenados

en dispositivos de almacenamiento internos, externos y

extrables. En estos datos pueden existir algunas dificultades en

estos datos como una gran cantidad de informacin a analizar,

la posibilidad que los datos estn cifrados o que existan datos

corruptos o que incluyan alguna trampa como cdigo hostil, que


85

al producirse cierta situacin puede hacer que se formatee el

disco duro.

Datosquehansido eliminados: Mientras los datos nohayan

sido completamente sobrescritos se pueden recuperar. Para

recuperar los datos que han sido eliminados se utilizan

herramientas de software (captulo 8.3) que permiten recuperar

archivos incluso despus de haber formateado el disco duro.

DDWRV HQ DPELHQW GDWD: Datos en espacio no asignado,

archivos de intercambio, espacio entre sectores, entre

particiones, flujos alternativos de datos, etc. Para recuperarlos

se necesita software especial (captulo 8.3).

Datosocultos:Los forenses informticos puedenusartcnicas

esteganogrficas para buscar y detectar informacin oculta en

los sistemas o ficheros (Anexo J).

Elementos a analizar segnel tipode sistema (Anexo K).

Se deben analizar los elementos segn el tipo de sistema, ya

que contienen informacin distribuida de diferente manera. En

los sistemas operativos como MS Windows o Unix/Linux,


86

existen diferentes tipos de ficheros y registros que proporcionan

informacin descriptiva importante.

Existen diferentes tipos de redes inalmbricas, conexiones, de

donde se obtiene informacin de tarjetas, logs, mdems, etc.

Para determinar informacin de las comunicaciones existentes

que se realizan desde el ordenador.

En el caso de los dispositivos mviles se pueden obtener

memorias, chips, tarjetas SIM donde se almacena la

informacin personal que contiene y las actividades realizadas

mediante este dispositivo.

7.2.4. Anlisis dedispositivos mviles

El dispositivo debe ser totalmente cargado previo al examen, se

debe considerar tener una fuente de alimentacin de energa

fija o porttil. El anlisis se debe empezar con una copia de la

informacin que se extrae del dispositivo, el tipo de informacin

que puede encontrarse y los pasos para encontrarla se detallan

en el Anexo P.
87

Los dispositivos mviles cuentan con tres tipos de


(93)
almacenamiento : Tarjeta SIM, memoria externa y memoria

interna.

En las tarjetas desmontables SIM de los telfonos mviles

podemos encontrar evidencia registrada en la informacin del

servicio, el listado de llamadas, directorio telefnico y los

mensajes de texto o multimedia.

En la memoria interna de estos dispositivos se almacena

informacin como la identidad del telfono, mensajes de texto,

configuracin del telfono, grabaciones de audio, calendario,

imgenes, archivos, programas, e-mail e historial web.

Existen dispositivos mviles de ltima generacin que tienen

una tarjeta de memoria externa que posee capacidad de

almacenamiento para archivos personales tales como

imgenes, msica, video, documentos, etc.

Con la informacin obtenida se puede realizar una relacin

entre los datos encontrados y los resultados que se espera


88

obtener, esto lo podemos representar en una matriz de

referencia.

Tabla 7. 1 - Matriz de referencia

Fuentede Por
Quin? Qu? Dnde? Cundo? Cmo?
evidencia qu?
Identificadores
dedispositivo X
/suscriptor
Registrode
X X
llamadas
Directorio
X
telefnico
Calendario X X X X X X
Mensajes X X X X X X
Ubicacin X X
Contenidode
X X X X X X
URLdeweb
Imgenes/
X X X X X
video

Otrocontenido
X X X X X X
dearchivo

7.2.5. Presentacin de resultados

La elaboracin del reporte de los resultados detalla las

evidencias encontradas durante el anlisis, presenta cada

procedimiento realizado a cada una de ellas, justificndolos

para darle validez a la evidencia digital, replantea los hechos y

determina las conclusiones.

El objetivo de presentar los resultados de las evidencias

encontradas ante la corte es probar el delito que se ha


89

realizado, el qu, como, cuando y quien fue el autor del mismo.

El xito del caso depende en su gran mayora de la efectividad

de la presentacin de los resultados.

Los informes deben presentar la informacin relevante de la

evidencia evitando la terminologa tcnica, de manera clara,

concisa, estructurada y sin ambigedad para hacer su

interpretacin lo ms sencilla posible, el lenguaje natural

utilizado en la presentacin facilita a que las personas en la

audiencia que no necesariamente tengan conocimientos

tcnicos comprendan los resultados.


8. DISEO DELLABORATORIO DE

CIENCIASFORENSES

DIGITALES

Analizaremos las condiciones fsicas, ambientales e infraestructura para la

adecuacin del Laboratorio de Ciencia Forense Digital, as como tambin las

opciones de hardware y software necesarios para el proceso de anlisis

forense digital. Luego de analizar las opciones se seleccionar una de ellas

para la implementacin del laboratorio basndonos en factores prioritarios

como ubicacin, seguridad, entre otras.

8.1. INSTALACIONES

El Laboratorio de Ciencia Forense Digital requiere de instalaciones que

cumplan con las caractersticas y acondicionamiento descritos a

continuacin:
91

8.1.1. Seguridad fsica de las instalaciones

Las instalaciones deben de garantizar la integridad y la

seguridad de la evidencia, es por esto que contar con medidas

de seguridad que permitan el acceso solo a personal

autorizado, para definir las medidas de seguridad que se


(94)
detallan a continuacin nos ayudaremos de algunas fuentes
(95)
:

Acceso mediante sistema biomtrico, y cerradura, previamente

se debe haber realizado la identificacin de la persona que

desea ingresar. Tambin, contar con un sistema de video de

circuito cerrado, que grabar todos los acontecimientos dentro

del laboratorio, todas las reas contarn con cmaras y estas

grabarn durante las 24 horas incluso si el laboratorio no se

encuentra operando y solo podrn acceder a las grabaciones la

persona encargada de la seguridad del laboratorio y el

supervisor. Finalmente, se instalar un sistema de alarma con

sensor de movimientos que se encontrar intercomunicado con

la estacin de polica ms cercana y con un equipo de

guardiana privada, los cuales atendern cualquier alerta del

laboratorio.
92

Todo el personal que labore dentro de las instalaciones del

laboratorio deber de portar la credencial otorgada por el

laboratorio en todo momento y en un lugar visible. Por lo

general no se aceptan visitas al laboratorio, pero en el caso de

que alguna persona requiera comunicarse con personal del

laboratorio, deber presentar una identificacin y ser

anunciado con esa persona para luego ser atendido en el rea

anexa de Control de Acceso y Entrada, ninguna persona que no

labore en el laboratorio podr ingresar a las reas de anlisis,

en casos especiales se deber solicitar una autorizacin del

supervisor del laboratorio. Adems, se llevar un registro de las

personas que ingresan al laboratorio mediante el llenado de un

documento de registro (Anexo H), toda persona que ingrese al

rea de Control de Acceso y Entrada del laboratorio quedar

registrada junto con el nombre de la persona con quien se

comunic, el motivo y firmar su salida.

8.1.2. Condiciones ambientales

El laboratorio debe poseer las condiciones ambientales ideales,

las cuales detallamos ms adelante, como energa elctrica,

buena iluminacin, ventilacin, temperatura y humedad

apropiados para la realizacin de las investigaciones,


93

asegurndose en todo momento que estas condiciones no

invaliden el resultado de los anlisis ni la calidad requerida, as


(94) (96) (97)
mismo el estado de las evidencias digitales originales .

Un laboratorio de Ciencias Forenses Digitales debe estar

preparado para el peor de los casos, puesto que se manejan

dispositivos elctricos y electrnicos susceptibles a problemas

elctricos, por ello, es primordial tomar en cuenta las siguientes

condiciones para evitar que influyan en la calidad de los

resultados:

Esterilidad biolgica.- Se desinfectar la superficie de

trabajo, se recomienda leja al 2%.

Interferencia electromagntica.- Se utiliza la jaula de

Faraday para blindaje contra radiofrecuencia e

interferencia electromagntica.

Suministro elctrico.- Instalacin de UPS y generador

elctrico

Ruido y vibracin.- Instalacin de materiales aislantes

para evitar la propagacin de ruido y vibraciones dentro

del laboratorio.
94

El sistema de climatizacin e instalacin de filtros evita el paso

de polvo, la humedad, y el sobrecalentamiento y deterioro de

los equipos de cmputo que se usarn en las diferentes etapas

del proceso de anlisis de la evidencia, es recomendable

manejar un correcto sistema de refrigeracin con temperaturas

que vayan de 18C a 30C, aunque se recomienda que se

mantenga en una temperatura estable de 22C y mantener un

lmite de humedad mximo del 65% dentro de las instalaciones.

Sistema de extincin de incendios que este adecuado al

material elctrico y magntico, que se va a manejar dentro de

las instalaciones, para tratar de causar el menor impacto en

caso de su uso, tales como polvo qumico seco o bixido de

carbono , espuma, INERGEN, entre otras.

Una valoracin de los costos de estos sistemas se detallan en

el Anexo L de presupuesto inicial, la distribucin de estos

sistemas se detallan a continuacin.

8.1.3. Despliegue de infraestructura en el interior de laboratorio

Las instalaciones debern contar con elementos esenciales,

tales como (98) (99):


95

Cableado de red, con puntos de red en todas las reas

del laboratorio, esta ser una intranet sin acceso a

internet, en la mayora de las reas.

Conexin a red exterior (internet), la cual va a ser

destinada para cualquier consulta, investigacin,

transmisin de informacin, que tenga que realizar el

personal del laboratorio entorno a un caso en anlisis o a

analizar.

Cableado telefnico para uso tanto externo como interno,

uso de las lneas externas mediante la digitacin de un

cdigo de seguridad, y el uso interno mediante la

digitacin del nmero de la extensin.

Generador elctrico propio o UPS, en caso de que falle el

suministro de energa elctrica, el generador se

encontrara ubicado en un rea externa al laboratorio.

Habitaciones en lo posible sin ventanas a la parte externa

del laboratorio y con divisiones para las distintas reas

son ideales para este tipo de instalaciones. Si el techo

tiene cielo raso asegurarse que no existan aperturas por

el cual puede caer algn tipo de contaminante o

elemento que contamine la evidencia.


96

Las instalaciones estarn divididas en tres reas:

almacenamiento, mecnica y anlisis; a continuacin

presentamos tres opciones de diseo, en cuanto a la

distribucin de las reas mencionadas:

Diseo1.

En el diseo uno, las divisiones son realizadas con paneles

mviles, se muestra un rea de control de acceso y entrada,

donde se recibirn visitantes en caso de existir, se tiene una

puerta que permitir el ingreso al laboratorio. Existir un rea de

almacenamiento abierta, la cual tendr varios armarios y un

mostrador donde se receptar la evidencia.

En el rea mecnica estarn ubicados dos puestos de trabajo

utilizados por el personal del laboratorio para el ensamblaje y

desmonte de equipos. En el rea de anlisis tambin existirn

dos puestos de trabajo, uno tendr acceso a internet y el otro

no.
97

Armarios deevidencias

TP reade
almacenamiento
reamecnica

reade anlisis

A E
c l
c
e re
s a
o TP
Y D
E e
n C
tr o
a n PCinternete
d
a
tr
o
PCforense
l
D
intranet
e
TP

Ilustracin 8. 1 - Diseo del Laboratorio de Ciencias Forenses Digitales, opcin 1

Diseo2.

En el diseo dos, se muestra un rea de almacenamiento ms

segura, ya que previo a esta rea se acondicionar un cubculo

con una puerta de acceso a la ubicacin de los armarios de

evidencia.

Se cuenta con mayor amplitud en el rea de anlisis, aqu se

ubicarn tres puestos de trabajo cada uno con un armario

respectivo, y sern divididos con paneles mviles. Todas las

reas son de libre acceso, solo se cuenta con una puerta de

entrada principal a las instalaciones del laboratorio.


98

a
lm
a m
c m A
e 0re e
v rm
E n 0a id a
l
a 12 e ri
re md m n o
ie e
c s
a m ia
s d
D
e n 0
0 e
C to 5 P
o C
n
tr fo
o re
l reade anlisis
D
e n
A s
c e
c
e
s
o
Y rea mecnica
E
n
tr
a
d
a

Ilustracin 8. 2 - Diseo del Laboratorio de Ciencias Forenses Digitales, opcin 2

Diseo3.

En el diseo tres, se muestra un rea de anlisis en la que se

ubicarn cuatro puestos de trabajo, con una puerta de acceso a

esta rea hacindola ms segura. El rea mecnica contar con

tres puestos de trabajo de mayor amplitud, y con una puerta

individual de acceso restringiendo la entrada. El rea de

almacenamiento es de mayor seguridad ya que para poder

ingresar a los armarios se debe de ingresar por dos puertas

previas con seguridades.

En esta opcin las divisiones sern hechas con paredes fijas de

cemento, haciendo a esta la opcin ms segura, sin embargo


99

se convierte en la opcin que genera un mayor consumo de

recursos econmicos, y limitara el crecimiento futuro del

laboratorio.

PCforense P
C
in in
tr te Armarios de
a
n rn evidencias
rea de anlisis e e
t t
e
PCforense

rea de
almacenamiento
A E
c l
c
e re
s
o a
Y D
E e
n C
tr o
a n rea mecnica
d tr
a o
l
D
e

Ilustracin 8. 3 - Diseo del Laboratorio de Ciencias Forenses Digitales, opcin 3

Se selecciona el diseo nmero dos como el que mejor se

adapta a las necesidades del laboratorio, ya que cuenta con

seguridades en el rea ms crtica como es el rea de

almacenamiento con respecto a la opcin uno, y con respecto a

la opcin tres supondra una menor inversin econmica y

facilidad de reubicacin de las reas de acuerdo a las

necesidades o crecimiento del laboratorio.


100

8.1.4. Especificaciones generales de las opciones de

instalacionesfsicas para laimplementacin del laboratorio

Para el diseo del rea de almacenamiento, tomaremos como

referencia el documento )RUHQVLF /DERUDWRULHV Handbook for


(95)
DFLOLW\ )3ODQQLQJ 'HVLJQ &RQVWUXFWLRQ DQG , del0RYLQJ

Departamento de Justicia de los Estados Unidos.

Esta rea contar con seguridades fsicas desde su ingreso

debido a la importancia que representa el almacenamiento de la

evidencia para garantizar su integridad. Adems, contar con

un rea de Control de Acceso y Entrada, que ser el lugar

donde se atender a las personas que soliciten alguna prueba

para su anlisis, ningn personal sin autorizacin podr acceder

ms all del rea de Control de Acceso y Entrada.

Tambin tendr armarios en donde se almacenar la evidencia

que llegan a las instalaciones del laboratorio para el proceso de

investigacin y para su almacenaje posterior a los anlisis, esta

rea tendr acceso restringido al igual que todas las

instalaciones y se registrar la hora y el nombre de la persona

que acceda a ella (Anexo G).


101

Para evitar daos en la evidencia por condiciones ambientales

se tomarn precauciones para el correcto almacenamiento de la

evidencia dependiendo de la naturaleza de la misma, usando

contenedores antiestticos y/o esponja antiesttica, lo que

ayudar a aislar de fuentes elctricas y de campos magnticos,

que puedan corromper la informacin contenida en los

dispositivos digitales durante su almacenamiento y transporte.

Las puertas de acceso al almacn poseer cerraduras tipo

multilock para mantener una mayor seguridad de las pruebas, lo

que garantizar que solo personal autorizado podr ingresar y

tener contacto con los contenedores de las evidencias, adems

se instalarn cmaras de seguridad que se encuentren

registrando quienes entran y salen del almacn.

As mismo los armarios tendrn cerraduras o candados tipo

multilock como medida de seguridad, y un control escrito de

acceso a los armarios, la integracin de estas medidas permitir

mantener un registro de quienes acceden a los armarios para la

manipulacin del sistema, el acceso a estos armarios solo lo

tendr la persona encargada del almacn de la evidencia, y solo


102

se podr acceder a estos armarios cuando sea necesario,

almacenar nueva evidencia, extraer evidencias para los anlisis,

para almacenar la evidencia despus del anlisis, o para extraer

la evidencia para su destruccin o su traslado a otras

instalaciones segn ordene la autoridad competente a cargo del

caso.

Toda persona que ingrese a la recepcin y almacn, tendr que

registrar sus datos y el motivo por el cual entra al rea de

almacenamiento, as mismo sern grabadas durante toda su

permanencia en esta rea.

En el rea mecnica, serealizar eldesmontaje, ensamblajey

manipulacin fsica de un computador, en caso de que se

necesite analizar un computador completo, esto es para que

sus partes puedan ser analizadas por separado si las


(99)
circunstancias lo ameritan. Usaremos como referencia , para

ayudarnos al diseo de esta rea.

Para llevar a cabo la tarea de desmontaje, se dispondrn de

herramientas necesarias, as como de equipos especializados,

entre las herramientas que se dispondrn estn:


103

Juego destornilladores (Estrella. hexagonal o torx, de

pala, de copa y Y, entre otros)

Pulsera Antiesttica

Soplador

Limpia contactos en aerosol

En esta rea se realizar la extraccin de ciertos elementos del

computador como disco duros, tarjetas de memorias, para

posteriormente pasen al rea de anlisis.

En el rea de anlisis del laboratorio, se llevar a cabo el

proceso de respaldo de informacin, copias de la evidencia

original, etc. Para proceder al anlisis y bsqueda de evidencia.

Para llevar a cabo todas las tareas que estn incluidas en el

anlisis de la evidencia, esta rea contar con las herramientas

de anlisis forenses que se dispongan tanto hardware como

software. Existirn dos zonas, una de la cuales tendr acceso a

internet en la cual se podrn realizar investigaciones, que se

necesiten dentro del proceso de anlisis, y la otra zona no

tendr acceso a internet para evitar cualquier intervencin

externa en el anlisis de la evidencia.


104

En todas las reas, se dispondr de cmaras de seguridad, que

registrarn en video todo lo que suceda en el interior.

8.2. EQUIPOSINFORMTICOS

El conjunto de equipos de trabajo en el laboratorio de Ciencia

Forense Digital, integra herramientas especializadas, computadores

de escritorio y porttiles para llevar a cabo el proceso de anlisis

forense.

Herramientas de duplicacin de discos con alta velocidad de copiado,

conectividad con las diferentes interfaces de discos duros,

adaptadores, portabilidad, esto permitir realizar copias de discos

duros los cuales se usarn para los anlisis de las pruebas de una

manera fcil y rpida. En el punto uno del Anexo V de Hardware, se

muestra una comparacin entre varias herramientas de este tipo y

que nos servir para la elaboracin de las opciones de

implementacin mostradas en el captulo 8.7

Adems se contar con dos tipos de equipo en las instalaciones el

equipo base que ser una desktop y un equipo porttil que ser una

laptop con similares caractersticas que el equipo base. Las


105

caractersticas de los equipos se mostrarn a continuacin, se us


(99)
como referencia para decidir las caractersticas la fuente :

Equipo baseforense.

Este equipo servir para el almacenamiento de evidencia digital,

reportes tcnicos, para creacin y ejecucin de mquinas virtuales, y

para operaciones que requieran una alta capacidad de

procesamiento. Entre las caracteristicas que debe poseer este equipo

estan: Procesador con una alta capacidad para tener una mayor

velocidad de procesamiento en especial para el trabajo con audio y

video, con un sistema operativo estable y capaz de ser compatible

con el software forense que se va a utilizar, disco duro con gran

capacidad de almacenamiento, en configuracin RAID-1+0 que sern

utilizados como almacen de informacin de casos trabajados, Y 500

GB en configuracin RAID-0 que sern usados para almacenamiento

de trabajo temporal o tareas especificas, memoria RAM 8 GB DDR3,

puertos USB, fireware, red 100/1000, Monitor 22''.

Equipo Portatil.

Este equipo servir para realizar trabajo de campo en caso de que se

amerite, con alta capacidad de procesamiento para poder realizar las


106

tareas. Entre las caractersticas de este equipo tenemos: Sistema

operativo estable y capaz de ser compatible con el software forense

que se va a utilizar, procesador con alto poder de procesamiento para

tener un tiempo de respuesta alto, disco duro con gran capacidad de

almacenamiento, memoria RAM de alta velocidad, puertos USB,

fireware, red 100/1000.

Accesorios adicionales.

Adicionalmente a los equipos especializados dentro del laboratorio, se

deber de contar con una serie de herramientas y suministros, que

ayudarn a llevar a cabo la labor del perito, estas herramientas

servirn entre otras cosas para sacar respaldos de la informacin

relevante, la presentacin de informes, imgenes de discos duros.


(99)
Entre esos accesorios tenemos : discos duro externos, grabadores

de CD/DVD, adaptadores, dispositivos de almacenamiento, podemos

ver una lista ms detallada en el punto dos de Anexo V hardware.

8.3. SOFTWARE UTILIZADO

Existen varias herramientas de software usadas en el anlisis forense

digital de las cuales presentamos las caractersticas principales de

algunas de ellas en la tabla que se presenta a continuacin:


107

Tabla 8. 1 - Tabla comparativa de software

Easy
Digital Fox
Deft Forensics Recovery Chrome
Encase Caine Forensics Analys
Extra Toolkit Profession Analysis
Framework is
al

Clonacin de
X X X
discos
Comprobar
integridad X X X X
criptogrfica
Informacin del
X X X X
sistema
Adquisicin en
X X X X
vivo
Recuperacin
X X X X
de contraseas
Recuperacin
de archivos X X X X
borrados
Recuperacin
de emails X X
borrados
Anlisis
forense en X X X
redes
Anlisis
forense en X X X X X X
navegadores
Anlisis de
dispositivos X X
mviles
Anlisis de
firmas de X
archivos
Bsqueda de
X X X
archivos
Utilitarios
X X
extras
Reporte manual X
Reporte
X X
automtico
Volcado de
X
memoria RAM
Adquisicin de
X
evidencia RAM
Herramientas
de X
automatizacin

En base a la evaluacin y comparacin de los software indicados en

la tabla 8.1, se puede observar que existen dos herramientas de

software que son los ms completos en cuanto a tareas se puedan

realizar, estos son el Encase y el Deft-extra, y que se puede hacer


108

uso de software complementario si fuese necesario para las tareas

que no puedan desempear estas dos herramientas. La descripcin y

caractersticas detalladas de estos tipos de software se encuentran en

el Anexo M.

Para la eleccin final del software que se va a usar en el laboratorio

de Ciencias Forenses Digitales se basar adems de las

caractersticas en el costo de la licencias y la capacidad adquisitiva

del laboratorio al momento de implementacin, es por esto que

mostramos tres opciones de implementacin (Anexo N).

8.4. MATERIALES DE REFERENCIA.

Una biblioteca con libros y revistas referentes al tema de seguridad

informtica, anlisis forense, y temas relacionados a la actividad del


(94) (95) (99)
laboratorio .

Tambin se contar con una base de archivos digitales con papers,

mejores prcticas, normas y manuales de procedimientos en el

campo Forense Digital. Este material ser una buena fuente de

referencia al alcance de los miembros del laboratorio, la cual se

mantendr actualizada conforme a los avances tecnolgicos y

disponibilidad de recursos.
109

8.5. MANTENIMIENTO DE EQUIPO EINSTALACIONES.

El laboratorio de Ciencia Forense Digital debe estar siempre en

ptimas condiciones para asegurar la confiabilidad e integridad de los

resultados que se obtengan en el anlisis forense.

Para eso se deber efectuar mantenimiento tanto en los equipos

como en las instalaciones, para evitar que estos se deterioren y

favorecer la vida til, hay dos tipos de mantenimiento, preventivo y

correctivo:

El mantenimiento preventivo de los equipos consiste en crear un

ambiente favorable para el sistema, y prolongar la vida til del equipo,

economizando el gasto de reparaciones en los equipos as como el

mantener el equipo con las protecciones ante los ataques de virus

informticos, entre las tareas del mantenimiento preventivo, estn:

limpieza del dispositivo, actualizacin del sistema operativo, parches,

seguridad, antivirus, licencias y versiones, verificacin de licencias

activas, verificar que cumplan con las necesidades actuales de los

anlisis.
110

El mantenimiento correctivo de los equipos consiste en la

reparacin de los componentes de la computadora, esto va desde

una pequea soldadura, al cambio total de una tarjeta o dispositivo,

ya que en muchos casos es ms barato cambiar un dispositivo que

repararlo.

Mantenimientodelas instalaciones

Al igual que los equipos computacionales, las instalaciones fsicas del

laboratorio tambin necesitan un mantenimiento preventivo y

correctivo cuando sea el caso.

Mantenimiento preventivo de las instalaciones, el cual podra

tomar en cuenta pintura, limpieza de pisos, paredes y/o techo,

mantenimiento a los muebles de las oficinas, mantenimiento de los

equipos de ventilacin, tareas de reorganizacin del mobiliario.

Mantenimientocorrectivo de las instalaciones, enelcualsepodra

realizar el cambio de alguna de las piezas en el laboratorio, puertas,

piezas elctricas, focos, reubicacin de reas, entre otras.

Es recomendable realizar estos mantenimientos con una periodicidad

de una vez por semestre y establecerlo como poltica del laboratorio,


111

para evitar la contaminacin de la evidencia durante y despus del

anlisis forense. Se debe registrar el ltimo mantenimiento realizado.

8.6. POSIBLES UBICACIONES EN LAESPOL

Dentro de las instalaciones de la ESPOL se encuentran reas

disponibles que podran ser utilizadas para la implementacin del

laboratorio, de las cuales mencionaremos tres reas donde podra ser

implementado el laboratorio, de estas escogeremos una como posible

ubicacin del laboratorio forense digital.

Unaposible ubicacinse encuentraenlasinstalaciones del CSI,

en el aula que actualmente es utilizada como sala de capacitaciones,

pero en caso de implementar el laboratorio el lugar podra ser

ocupado para este fin, el aula est ubicada frente a la entrada

principal y junto a la sala de servidores del CSI.

Dentro de las ventajas de esta opcin esta el acondicionamiento,

esta aula cuenta con un sistema de aire acondicionado ideal para el

desempeo de las actividades a desarrollarse, adems cuenta con

sistema de alarma con sensores de movimiento y sistema contra

incendio automtico, lo cual supondra un ahorro en la inversin

inicial del laboratorio. Tambin cuenta con una habitacin que se la


112

puede acondicionar como el almacn de evidencia, su tamao


2
mediano (aproximadamente 40mts ).

Como desventajas esta la ubicacin ya que hace que sea un poco

complicado de llegar, para personas que no conocen la ESPOL,

Cuenta con una pared completamente de vidrio que une a la sala de

servidores del CSI lo cual supondra una inversin en su cambio por

una pared de cemento, habra que realizar una impermeabilizacin

de su techo ya que hay alguna filtracin en poca de lluvia.

La sala de ayudantes ubicada en el edificio de Gobierno de la

FIEC (Edif. 15-A), enel segundopiso, queencasodesersolicitado

podra reubicarse en otra rea del edificio y este saln ser asignado

en su totalidad o parcialmente asignado al laboratorio de Ciencias

Forenses Digitales, es otra opcin de ubicacin dentro del rea de

ingenieras.

Como ventajas, esta instalacin cuenta con un sistema de aire

acondicionado con alta capacidad de enfriamiento lo cual permite

tener un clima ideal para el trabajo a realizar en el laboratorio,

adems cuenta con sistema de alarma con sensor de movimiento

distribuido por toda el aula. Esta rea es la ms grande


113

(aproximadamente 90mts )2 de entre las tres mencionadas cabe

recalcar que como esta rea se encuentra en el segundo piso se

adaptara muy bien a las necesidades del laboratorio.

Como desventajas podramos determinar que al encontrarse en el

edificio de gobierno, es de libre acceso a los estudiantes, lo cual

puede causar problemas de ruido e interrupciones en el desarrollo

normal de actividades. Adems esta rea no cuenta con ningn tipo

de divisiones por lo cual habra que hacer un acondicionamiento

completo en divisiones y mobiliario. Tambin se debe de realizar el

cambio de una pared de vidrio que se encuentra en el frente de esta

aula por una pared de cemento y poner las seguridades necesarias

en el ingreso al lugar

Laoficinadel VLIR enel edificio16CdelaFIEC, actualmentees

utilizada ocasionalmente y segn los encargados del rea, esta

oficina podra ser solicitada al decanato para la implementacin del

laboratorio.

Como ventajas, esta rea cuenta con un sistema de aire

acondicionado instalado, lo cual disminuira el presupuesto inicial, as

mismo cuenta con un sistema de alarma con sensores de


114

movimiento lo cual reducir el costo de la inversin inicial, adems el

acceso previo a las instalaciones cuenta con cerradura elctrica y

solo pueden acceder con llave o si alguien de adentro lo permite.

Algunas caractersticas que podramos considerar como desventajas

son el ruido en su exterior y que se filtra al interior del aula, ya que se

encuentra en una ubicacin de alta concurrencia de estudiantes

puede interferir en la concentracin de los peritos. Adems, cuenta

con una divisin de vidrio que separa el saln con el exterior, la cual

debe ser cambiada con una pared de cemento. De las tres reas

mencionadas esta opcin es la ms pequea y se necesitara

acondicionar el lugar completamente.

Evaluando las ventajas y desventajas de cada una de las tres

opciones planteadas, la que ms se adapta a las necesidades y

requerimientos del laboratorio es el aula del CSI ya que cuenta con

mayor acondicionamiento sobre las dems reas, adems el

ambiente tiene poca contaminacin de ruido y no existe un acceso

masivo de personal que no labora en estas instalaciones.

8.7. OPCIONES DE IMPLEMENTACIN DEL LABORATORIO

FORENSE DIGITALEN LAESPOL


115

Tomando en cuenta todas las caractersticas de diseo del laboratorio

mencionadas al inicio de este captulo, las necesidades actuales con

respecto a solucin de casos de delitos informticos y los recursos

con los que podramos contar, planteamos tres opciones para la

implementacin de un laboratorio de Ciencias Forenses Digitales.

Se indican los precios de los elementos bsicos necesarios para la

implementacin se detallan en el Anexo N de Opciones de

Implementacin, el lugar ptimo para el funcionamiento del laboratorio

debe cumplir con el acondicionamiento descrito en el capitulo 8.1.2,

Diseo de laboratorio de Ciencias Forenses Digitales.

Alternativa Uno: hardware especializado ysoftware comercial.

Esta alternativa se compone de hardware forense, y software forense

comercial. Por lo tanto, se requiere de una mayor inversin

econmica. Para esta alternativa se seleccion al Encase como el

software principal para el proceso de anlisis de la evidencia ya que

es la herramienta ms completa y utilizada en el campo forense

digital.
116

La alternativa uno incluye los costos de la inversin inicial, y del

hardware y software que se va a utilizar en el laboratorio, lo cual da

un costo total de 54.319,14 dlares.

Alternativa Dos: Hardware especializado ysoftware libre.

Esta alternativa combina herramientas de hardware forense

especializado, software forense libre y software complementario

comercial y libre, esta opcin requiere un poco menos de inversin ya

que no sera necesaria la compra de licencias de software para su

uso. Para esta alternativa se ha seleccionado como software forense

el Deft-Extra ya que es una herramienta que presta una integracin

de varias utilidades forenses que son de gran ayuda en el momento

del anlisis.

La alternativa dos incluye los costos de la inversin inicial, y del

hardware y software que se va a utilizar en el laboratorio, lo cual da

un costo total de 45.840,64 dlares.

Alternativa Tres: Hardware bsico y software libre.

Para esta alternativa escogemos solo herramientas de software libre,

as como hardware bsico computacional de uso diario que lo

ajustaremos a las necesidades del laboratorio, no haremos uso de


117

equipos especializados. Esto permitir tener un laboratorio con una

inversin inferior a las otras dos opciones.

La alternativa tres incluye los costos de la inversin inicial, y del

hardware y software que se va a utilizar en el laboratorio, lo cual da

un costo total de 15.890,40 dlares.

De estas tres alternativas seleccionamos la primera ya que al contar

con hardware y software especializado el trabajo realizado por los

peritos cuenta con mayor respaldo ya que se realizar con mayor

precisin y confiabilidad que genera el uso de software comercial.


118

9. EJEMPLOS DE ESCENARIOS DE

APLICACIN DE LA

METODOLOGA

Existen varios tipos de delitos informticos como hemos descrito

anteriormente, a continuacin presentamos varios ejemplos basados en

situaciones reales y posibles resoluciones de estos delitos aplicando la

metodologa descrita en el captulo 7.

9.1. CASO PORNOGRAFAINFANTIL CIFRADA

La polica se encuentra en proceso de investigacin de un caso de

pornografa infantil, durante el allanamiento del domicilio del

sospechoso se encontr un celular Nokia modelo 5310 y una PC de

escritorio. Esta evidencia es entregada al Laboratorio de Ciencias

Forenses Digitales para su anlisis.


119

Definimos a continuacin varios pasos a seguir para el anlisis de la

evidencia digital.

Anlisisde celular (Anexo P)

Se recibe la evidencia proveniente de la persona que lleva el

caso llenando el formato Ingreso de evidencia del Anexo B.

Se ingresa la evidencia al inventario del laboratorio llenando el

formato del Anexo C.

Se procede a obtener una imagen del contenido del celular

para conservar la integridad de la evidencia original

cumpliendo los criterios de admisibilidad detallados en el

captulo 5.3.

Se procede a realizar el anlisis sobre la imagen obtenida

como se detalla en el Anexo P.

La herramienta que usamos en este anlisis nos presenta la

informacin del dispositivo mvil clasificada de la siguiente

manera:

Mensajes de texto

Directorio telefnico

Llamadas realizadas

Llamadas recibidas
120

Llamadas perdidas

Fotos

Videos

Audio

Calendario

Notas

Tareas

Registro de navegacin web

Determinar la informacin relevante con respecto al caso

investigado.

Realizar el informe de la evidencia encontrada y adjuntar el

informe generado por el programa.

Anlisisde PC de escritorio

Se recibe la evidencia proveniente de la persona que lleva el

caso llenando el formato Ingreso de evidencia del Anexo B.

Se ingresa la evidencia al inventario del laboratorio llenando el

formato del Anexo C.

Obtener una imagen del disco duro del computador como se

indica en el captulo 7.2.1 y cumpliendo los criterios de

admisibilidad mencionados en el Capitulo 5.3.


121

Determinar informacin almacenada en el disco duro.

Recuperar informacin que haya sido eliminada del disco duro

con la ayuda de las herramientas descritas en el captulo 8.3.

De la informacin recuperada, determinar la informacin

relevante con respecto al caso vigente.

Con ayuda de la herramienta forense mencionada en el Anexo

O se determina:

PC On/Off time, el tiempo en que la PC ha estado

encendida, registros de horas y fechas de esta accin.

Obtener el registro de los logs.

Registro de navegacin web.

Registro de dispositivos USB conectados.

Recuperacin de contraseas almacenadas en

memoria.

Registro de puertos usados.

Obtencin de imgenes.

Clasificacin de la informacin almacenada en el disco duro.

Dentro de la informacin almacenada en el disco duro, se

encontraron archivos encriptados. Se determin que la

encriptacin era de tipo AES-256, (Anexo Q.)


122

Se aplican tcnicas para obtener la informacin cifrada y se

selecciona la informacin que sea relevante para el caso

(Anexo J).

Realizar el informe de la evidencia.

9.2. CASO RASTREO DE CORREOS OFENSIVOS

El gerente de la empresa ha recibido un correo muy ofensivo de un

empleado de la empresa que se encuentra de vacaciones, resulta que

en la empresa no se puede enviar correos si no se est conectado a

la red interna, he conversado con este empleado quien confirma no

haber enviado ningn correo de ningn lado.

Pasos a seguir:

Rastreo de correos(excepto Gmail) (Anexo R)

Recolectar evidencia para poner la denuncia

Ver cabecera del correo para determinar IP de origen.

Rastrear IP con la ayuda de herramientas.

Determinar si el correo fue enviado en el pas.

Se pueden tomar dos opciones, realizar una investigacin

privada o acudir a la fiscala.

En caso de poner la denuncia en la fiscala, se deben

presentar las evidencias encontradas que demuestren el hecho


123

que se va a denunciar, en este caso que se han enviado

correos ofensivos desde cierta IP.

Una vez presentada la denuncia y la evidencia, el agente fiscal

emite una orden judicial para poder acudir al ISP y obtener la

informacin necesaria.

El ISP proporciona la informacin necesaria para obtener la

zona de origen.

Localizar e ir al lugar donde se encuentra el equipo al que se

asign la IP. Existe la posibilidad de que esa IP haya sido

asignada a un cyber o una residencia.

En el caso de que est asignada a un cyber se debe

establecer los posibles escenarios del envo del correo.

Escenario 1:Quelamquinaestcomprometidadentro

de una botnet (Anexo S). En este caso se debe

proceder a realizar un escaneo de vulnerabilidades para

determinar cul de ellas pudo ser explotada.

Escenario2:Elcorreofueenviadodirectamentedesde

el equipo.
124

Debido a que el correo fue enviado desde el equipo, se

puede insertar un script en el servidor de correos para

obtener la cabecera del correo en caso de que otro

correo sea enviado desde la misma IP.

En el caso de que est asignada a una residencia se

debe establecer los posibles escenarios del envo del

correo.

Escenario 1:Quelamquinaestcomprometidadentro

de una botnet (Anexo S).

Escenario2:Elcorreofueenviadodirectamentedesde

el equipo.

En el caso de ser una residencia se da el caso de que

las IP son asignadas dinmicamente lo cual dificulta un

poco ms el rastreo, ya que una misma IP puede ser

usada en varias ocasiones por diferentes personas, para

lo cual hay que solicitar al ISP el registro de las

asignaciones de esa IP con usuario y fecha.


125

Ya que el correo fue enviado desde el equipo, se puede

insertar un script en el servidor de correos para obtener

la cabecera del correo en caso de que otro correo sea

enviado desde la misma IP.

9.3. CASO DESARROLLO DE RETO FORENSE DIGITAL DE LA

COMUNIDAD DRAGONJAR.

Este caso es un escenario planteado por la comunidad Dragonjar


(100)
como un reto de Anlisis Forense Digital. DragonJAR.org es

una comunidad de investigadores, estudiantes, profesionales y

entusiastas de la Seguridad Informtica.

*UDFLDV D XQD GHQXQFLD SRU &LEHU%XOO\LQJ D OD 8QLGDG GH


'HOLWRV
Informticos Lunix, se pretende llevar a cabo un Anlisis Forense a

un sistema propiedad de un sospechoso que tiene contacto con la

vctima. Este anlisis se realizar bajo la sospecha que desde ste

HTXLSR VH HVWiQ UHDOL]DQGR DFWRV GHOLFWLYRV \ MXGLFLDOL]DEOHV

6H VRVSHFKD TXH pVWH GLVWULEX\H FRQWHQLGR SHGyILOR SRU PHGLR


GH
LQWHUQHW
126

Este reto fue resuelto por nosotros utilizando herramientas de

software libre y una mquina virtual para montar la imagen del

disco, referenciamos nuestra solucin al caso (Anexo T).


CONCLUSIONES

1) Segn la entrevista realizada a la Fiscal Dra. Sandra Morejn, las

personas consideran una prdida de tiempo y dinero denunciar casos

de delitos informticos, motivo por el cual muchos de estos casos no

son denunciados ante las autoridades competentes.

2) Se determin que en la actualidad existe un dficit de personal

capacitado y certificado como peritos informticos que trabajen para la

fiscala, debido a esto no se aplica la metodologa apropiada en el

anlisis de la evidencia digital lo cual se refleja en la presentacin de

los resultados.

3) Todo el personal que est involucrado en la investigacin de un delito,

el personal de la polica que realiza el allanamiento en el lugar de los

hechos, y los agentes fiscales, no cuentan con la capacitacin

adecuada para el tratamiento de evidencia digital, esto tiene como

consecuencia el retraso de la investigacin, la alteracin de la

evidencia y de los resultados que se podran obtener.


4) En el diseo del Laboratorio Ciencias Forenses Digitales se

consideraron varios aspectos, entre ellos el hardware y el software

forense, la seguridad de las instalaciones del laboratorio, la custodia

de la evidencia, la calidad y confiabilidad de los resultados del anlisis,

por este motivo hemos basado los elementos que integran el

laboratorio forense, descritos anteriormente, en la norma ISO / IEC


(101)
17025:2005 , OD FXDO WDPELpQ HV FRQRFLGD FRPR 5HTXLVLWRV

generales para la competencia de los laboratorios de ensayo y de


(101)
FDOLEUDFLyQ \ FRQ OD D\XGD GH OD llevar
para QRUPDa ,62

cabo los inventarios de la evidencia y activos del laboratorio.

5) Este proyecto plante opciones de implementacin de un laboratorio

de Ciencias Forenses Digitales que incluyen herramientas de software

libre, software propietario, hardware bsico y hardware especializado.

Al momento de elegir una opcin se tomaron en cuenta los costos y

las caractersticas de estas herramientas.

Para la implementacin del laboratorio de Ciencia Forense Digital se

necesita una inversin de la cual el mayor porcentaje sera destinado a

la adquisicin de hardware y software, el porcentaje restante se

utilizar en seguridad y adecuacin del laboratorio como sistemas de

alarma, sistema de climatizacin, entre otros.


6) La legislacin Ecuatoriana actualmente cuenta con una Ley de

Comercio Electrnico y Firmas Digitales con reformas al Cdigo Penal

la cual contempla los delitos que se detallan en el anexo I, para poder

penalizar las conductas ilcitas que estn relacionadas con la

informtica e informacin digital del afectado, se opta por buscar un

artculo acorde, que tenga similitud con el fin del delito cometido. Estos

tems por lo general se tratan de incluir en conceptos de propiedad

intelectual, plagio, hurto y/o integridad fsica, por lo tanto la

penalizacin que se aplica no est acorde a la gravedad del delito.


RECOMENDACIONES

1) Para el control de los delitos informticos participan diferentes

entidades, las cuales trabajan en conjunto con el fin de mitigar estos

actos ilcitos, descubrir y penalizar a los autores, las mismas deberan

capacitar a todos los miembros involucrados en el control de la cadena

de custodia, desde el personal de la polica que realiza el allanamiento

hasta los agentes fiscales que llevan el caso, deben ser capacitados

en el tratamiento de evidencia, para no contaminarla o alterar la

integridad de la misma y que tenga validez en un proceso penal ante

un juez.

2) Se recomienda el uso de firmas digitales para la emisin de rdenes

judiciales, esto sera de gran utilidad para agilizar el proceso de

obtencin de evidencia en la escena del crimen y en el caso de los

ISP podran entregar informacin con la certeza de que la orden

judicial es original. El proceso se llevara a cabo de la siguiente

manera: el Juez de Garanta Penales emitira la orden con su firma

digital y la enviar por correo electrnico y sta podr ser recibida y


verificada por el Fiscal que solicit la orden quedando as aprobado el

allanamiento y el secuestro de evidencia.

3) Recomendamos la implementacin de un Laboratorio de Ciencias

Forenses Digitales en la ESPOL, planteando un referente en

investigacin Forense Digital, el mismo que prestara sus servicios a

entidades pblicas y privadas. Para la realizacin de este proyecto se

propuso la alternativa nmero dos detallada en el captulo 8.


ANEXO A: ENTREVISTA CON LA
DRA. SANDRA MOREJN

ExtractodelaentrevistaconlaDra. SandraMorejn, fiscal delaUnidad

de Delitos Informticos yTelecomunicaciones


Da:13dejuliodel2010

Hora:9:30am

Entrevistado: Dra. Sandra Morejn, fiscal de la Unidad de Delitos

Informticos y Telecomunicaciones

Antecedentes y datos de la administracin de los delitos informticos

en la Fiscala del Guayas

Anteriormente, en la Fiscala General del Guayas la Unidad de Miscelneos

se encargaba de recibir todas las denuncias con respecto a los delitos

informticos y actualmente an tienen algunos datos y documentos que lo

evidencian.

Hasta hace algunos aos no haba gran cantidad de denuncias de este tipo

de delitos y no eran considerados en una clasificacin especfica, conforme a

pasado el tiempo y la tecnologa avanza, los delitos informticos aumentaron

en cantidad, se hacan ms evidentes y ms complicada la tarea de rastrear

al autor o autores del delito.

Cambios que se han realizado en la estructura de la fiscala con respecto a

los delitos informticos


Se realizaron varias reuniones con el Fiscal del Guayas Antonio Gagliardo

acerca de este tema, surgieron carias ideas. Ahora contamos con leyes

especficas acerca de los delitos informticos y estos han aumentado en

proporcin y complejidad, era necesario reorganizarnos y se decidi crear

una unidad que maneje las denuncias de delitos informticos y

telecomunicaciones especficamente.

Por esto en el ao 2010 se cre la Unidad de Delitos Informticos y

Telecomunicaciones de la cual estoy encargada. En esta unidad nos

encargamos de todas las denuncias de delitos informticos, trabajamos con

un perito informtico que no es parte del personal interno de la Fiscala pero

trabaja con nosotros en estos casos.

El Dr. Santiago Acurio, quien es el Director Nacional de Tecnologa de la

,QIRUPDFLyQ FUHR XQ Manual de Manejo de Evidencias


Digitales y Entornos
Informticos TXH WLHQH FRPR REMHtivo ser una gua para el personal

involucrado en los procesos de obtencin de evidencia y en el proceso

judicial, cuando en una escena del delito se encuentren dispositivos

Informticos o electrnicos.

Esta no es una gua oficial y no todos los miembros de la fiscala y personal

que trabaja con nosotros externamente como los peritos informticos tienen

el conocimiento de esta gua, se basan en su formacin profesional y la

experiencia adquirida.
Tipos de delitos informticos ms denunciados

Dentro de las denuncias que recibimos, las ms comunes son por

clonaciones de tarjetas de crdito o dbito de esta manera realizan muchos

robos en cajeros automticos, robo de identidad por medio de redes sociales

y estafas por correo electrnico.

Las personas muchas veces no hacen la denuncia de los delitos de los

cuales son vctimas porque posiblemente gastaran mucho dinero en

abogados y dems procedimientos y terminara costndoles ms de lo que

les fue robado. Adems consideran que es un proceso muy lento y se pierde

mucho tiempo.

Su opinin acerca de la implementacin de un laboratorio de ciencias

forenses digitales

Me parece una muy buena idea, actualmente no hay un laboratorio que se

especialice en Ciencias Forenses Digitales, sera muy bueno implementarlo

para centralizar el anlisis y recoleccin de evidencia en un lugar adecuado

para esto.

En nuestro caso podramos tener personal que trabaje exclusivamente para

los casos que se den en la fiscala.

Opiniones personales adems de lostemas tratados anteriormente


En Ecuador necesitamos ser parte de convenios internacionales como el de

Budapest, porque Qu pasara si encontramos al autor de una estafa y se

encuentra en un pas extranjero?, Cmo se puede enjuiciar a esa persona?

Cuando se es parte de un Tratado o convenio internacional, un estado est

obligado a conceder la extradicin del autor de un delito extranjero, si el pas

de donde proviene tambin es parte de este tratado.


ANEXO B:INGRESODEEVIDENCIA

AL LABORATORIO
INGRESO DE EVIDENCIA

Nmero de caso:
Fecha de ingreso:
Hora de ingreso:
Entregada por:
Fiscal asignado:
Objeto de la investigacin:

Descripcin de la evidencia:

Observaciones:

Recibida por:

X X
Entregada por Recibida por
ANEXO C:INVENTARIODE

EVIDENCIA
INVENTARIO

N. de caso Cd. Evidencia Fecha Ingreso Tipo de evidencia Detalle


ANEXO D: ENTRADA Y SALIDA DE

EVIDENCIAALMACENADA
ENTRADA Y SALIDA DE EVIDENCIA

Nmero de caso:
Cdigo de evidencia:

Ingreso: Salida:
Fecha:
Hora:
Justificacin:

Responsable:

X
Responsable
ANEXO E: FORMULARIO ANLISIS

DE EVIDENCIA
ANLISIS DE LA EVIDENCIA

Nmero de caso:
Cdigo de evidencia:

Tipo de anlisis:

Responsable:
Fecha:
Hora inicio:
Duracin:
Detalle de anlisis:

Resultado:

X
Responsable
ANEXO F:ACTA DE RECOLECCION
DE PRUEBAS
ACTA DERECOLECCION DE PRUEBAS

NMERO DE PRUEBA:________
FECHA ____/____/________ (dd/mm/aaaa)
HORA ____:____ 0-24HORAS (hh:mm)

LUGAR DE RECOLECCION________________________________________
_______________________________________________________________

CANTIDAD _____________
MARCA ________________________________________________________

MODELO _______________________________________________________

FABRICANTE ___________________________________________________

NMERO SERIE ________________________________________________

DESCRIPCION DE LA PRUEBA____________________________________
_______________________________________________________________
_______________________________________________________________
_______________________________________________________________
_____________________________________________________________

NOTA DE ESTADO DE LA PRUEBA_________________________________


_______________________________________________________________
_______________________________________________________________
________________________________________________________________
_______________________________________________________________

AGENTE ENCARGADO DE RECOLECCION


ID _______________________

NOMBRES Y APELLIDOS_________________________________________

CARGO________________________________________________________

FIRMA__________________________________
ANEXO G:INGRESO Y SALIDADEL

PERSONAL ALALMACEN DEL

LABORATORIO
Control de ingreso y salida
Fecha Nombre Hora entrada Hora salida Firma

X
Responsable
ANEXO H:INGRESO DE

VISITANTESALLABORATORIO
REGISTRO DE INGRESO DE VISITANTES
FECHA:
TURNO:

HORA DE HORA
APELLIDOS Y NOMBRE FIRMA ASUNTO
INGRESO SALIDA

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

Firma y Sello
Supervisor
ANEXO I: PENALIDADES PARA

INFRACCIONESINFORMTICAS
Tabla I.1 - Cdigo Penal Ecuatoriano

Infraccionesinformticas Represin Multa


Acceso a
informacin
6 meses a 1 $500 a
violentando
ao $1000
claves y sistemas
de seguridad.
Obtencin de
informacin de
seguridad
$1000 a
nacional, 1 a 3 aos
$1500
secretos
comerciales e
Art. no
numerado industriales.
Delitos contra la
confidencialidad Divulgacin o
utilizacin $2000 a
3 a 6 aos
fraudulenta de la $10000
informacin.

Divulgacin o
utilizacin
fraudulenta de la
$2000 a
informacin por 6 a 9 aos
$10000
parte de la misma
persona o
custodios.
Programas,
datos, base de
Art. no
datos o mensajes
numerado 6 meses a 3
de datos de un $60 a $150
Daos aos
sistema de
informticos
informacin o red
electrnica.
Infraccionesinformticas Represin Multa
Programas,
datos, base de
datos o mensajes
de datos de un
sistema de $200 a
3 a 5 aos
informacin o red $600
electrnica de un
servicio pblico o
de defensa
nacional.
Si no se tratar
8 meses a 4 $200 a
de un delito
aos $600
mayor.
Utilizacin
fraudulenta de
sistemas 6 meses a 5 $500 a
Art. no informticos y aos $1000
numerado redes
Apropiacin electrnicas.
ilcita
Uso de claves,
1 ao a 5 $1000 a
tarjetas,
aos $2000
seguridades.
Art. 262
Destruccin maliciosa 3 aos a 6
Empleado pblico o persona aos
encargada de un servicio pblico
Art. no numerado
Falsificacin electrnica, alteracin o
modificacin de mensajes de datos 3 a 6 aos
e informacin contenida en cualquier
sistema de informacin o telemtico
Art. 563
Estafa $500 a
3 a 6 aos
Apropiacin de cosas utilizando $1000
medios electrnicos y telemticos.
ANEXO J:CRIPTOGRAFA
Por cifrado o encriptacin , nos referimos al proceso de ocultar informacin

o hacerla ilegible a primera vista, para que dicha informacin pueda ser leda

naturalmente otra vez debe pasar por un proceso llamado descifrado.

Utilizando fuertes tcnicas de cifrado, la informacin valiosa puede ser

protegida contra personas que no se encuentren autorizadas a acceder a

ella. Sin embargo, al movernos dentro de la sociedad de la informacin, el

valor de la criptografa se hace evidente en todos los das de la vida en

determinadas reas como la privacidad, confianza, pagos electrnicos y

control de acceso. Por lo tanto el campo de la criptografa es cada vez ms

amplio, aplicando desde las tcnicas de cifrado clsicas hasta reas como la

autenticacin, integridad de datos, y el no-repudio de la transferencia de

datos (1).

Algoritmo criptogrfico

Es una funcin matemtica usada en los procesos de cifrado y descifrado.

Un algoritmo criptogrfico trabaja en combinacin con una clave (un nmero,


(2)
palabra, frase, o contrasea) para cifrar y descifrar datos .

(1) &ULSWRJUDItD GH OD $= 6(*8-INFO. 1 de Mayo 2011.


<h tt p :// www . segu-in f o . com . ar / proyectos / p1_crip t ogra fi a . h t m>
(2) 6HJXULGDG \ DOJRULWPRV GH HQFULSWDFLyQ &ULSWR-forge. 1 de Mayo 2011.
<h tt p :// www . cryp t o f orge . com . ar / seguridad . h t m>
Para cifrar, el algoritmo combina matemticamente la informacin a proteger

con una clave provista. El resultado de este clculo son los datos cifrados.

Para descifrar, el algoritmo hace un clculo combinando los datos cifrados

con una clave provista, siendo el resultado de esta combinacin los datos

descifrados (exactamente igual a como estaban antes de ser cifrados si se

us la misma clave). Si la clave o los datos son modificados el algoritmo

produce un resultado diferente. El objetivo de un algoritmo criptogrfico es

hacer tan difcil como sea posible descifrar los datos sin utilizar la clave.

Ilustracin J. 1 - Cifrado de informacin

Tipos de algoritmosde cifrado

Se pueden realizar al menos tres tipos de cifrado:

Tabla J. 1 - Tipos de algoritmo de cifrado

Tiposde Algoritmos
Cifrado Descifrado Ventajas Desventajas
algoritmos msusados
El receptor debe DEScon
conocer la tamao de clave
clave, cmo se de 56 bits
Rpido y permiten transmite sin
cifrar y descifrar comprometer su Triple-Descon
Clave a Clave a seguridad?
Simtrico eficientemente con tamao de clave
(privada) (privada)
claves relativamente de 128 bits a
grandes No permite 256 bits
autenticar al
emisor ya que Blowfishcon
una misma tamao de clave
Tiposde Algoritmos
Cifrado Descifrado Ventajas Desventajas
algoritmos msusados
clave la utilizan de 128 bits a
dos personas. 256 bits

AEScon
tamaos de
clave de 128,
192 o 256 bits
Nmero de claves
reducido, cada RSAcon
individuo necesitar tamao de clave
nicamente un par de mayor o igual a
claves. La necesidad de 1024 bits
un tercero
(Autoridad de
Certificacin) en DSAcon
Dificultad para tamao de clave
encontrar la clave el proceso
de 512 bits a
privada a partir de la 1024 bits
Clave
Asimtrico Clave privada pblica. Se precisa
publica
mayor tiempo
de proceso y ElGamalcon
claves ms tamao de clave
No es necesario
grandes comprendida
transmitir la clave
entre los 1024
privada entre emisor y
receptor. bits y los 2048
bits
Permite autenticar a
quien utilice la clave
privada.

Algoritmo Simtrico

(3)
Ilustracin J. 2 - Algoritmo Simtrico

(3) ,QWURGuccin - DOJRULWPR VLPpWULFR (XURORJLF GH 0D\R


<h tt p :// www . euro l og i c.es / ci f rado / s i me t r i c . h t m>
Algoritmo Asimtrico

(4)
Ilustracin J. 3 - Algoritmo Asimtrico

Cifrado hbrido

Por lo general, las conexiones seguras de Internet utilizan una mezcla de los

dos tipos de cifrado: simtricos y asimtricos. Aprovechan la rapidez de uno y

la fortaleza del otro (5).

Lo que suelen hacer protocolos de comunicacin seguros como HTTPS, es

cifrar los mensajes usando un algoritmo simtrico, de forma que se hace un

cifrado y descifrado rpido de los mismos, adems de que los mensajes

cifrados tengan menos volumen. Como hay que transmitir la clave del cifrado

de alguna manera, sta se cifra con un algoritmo asimtrico. Con esto se

consigue que la parte ms voluminosa de la informacin, que es el mensaje,

(4) &RQWURO GH DFFHVRV GH XVXDULRV GH $JRVWR :LNLOHDUQLQJ GH 0D\R 011.


<h tt p :// www . w i ki l earn i ng . com /t u t or i a l/ con t ro l _de_accesos-
con t ro l _de_accesos_de_usuario / 3394-3>

(5) &LIUDGR GH GDWRV GH -XQLR (NRQWVulta. 1 de Mayo 2011.


<h tt p :// www. ekon t su lt a . ne t/t es t/ w i k i/i ndex.php / C if rado_de_da t os>
vaya cifrada con un algoritmo seguro pero ligero, y la parte menos

voluminosa, que es la clave, vaya cifrada con el algoritmo ms pesado, y que

garantiza que slo podr ser descifrada en el destino. De esta manera, en el

destino primero ha de descifrar la clave del cifrado simtrico, con su clave

privada, y una vez tenida esta clave, descifrar el mensaje. Esto garantiza una

conexin segura.

Aplicaciones del cifrado

El cifrado de datos se usa en numerosas aplicaciones cotidianas. Algunas de


(5)
las ms habituales tomando como referencia , son:

SSL (SecureSocketLayer)

Protocolo criptogrfico que proporciona comunicaciones seguras en

Internet. Esta seguridad es en forma de privacidad y autenticacin:

Por un lado autentica el servidor de la comunicacin (mediante

certificados), y por otra parte selecciona un algoritmo de cifrado.

Permite el intercambio de claves de forma segura entre cliente y

servidor, y cifra la informacin con cifrado simtrico.

Esta capa de seguridad se puede aplicar en diversos mbitos:

HTTPS: Protocolo http seguro


FTP: protocolo de intercambio de ficheros. Puede utilizar SSL

para ser seguro.

SMTP: protocolo de correo. Puede utilizar SSL para ser seguro.

Firma digital

La firma digital es el mtodo criptogrfico que permite asociar la

identidad de una persona o mquina a un documento como autor del

mismo.

Para incorporar las firmas digitales:

Primero se calculan los datos de la firma, que se obtienen de

aplicar cierto algoritmo matemtico.

Esos datos se cifran con alguno de los algoritmos descritos

anteriormente

Finalmente la firma cifrada es incorporada al documento.

El receptor del documento deber tener medios tecnolgicos tanto

para extraer la firma cifrada como para descifrarla, por lo que tambin

deber tener la clave.

VPN (VirtualPrivateNetwork)

Es una red con las caractersticas de una LAN, pero est extendida

sobre una red pblica como Internet; esto es, tiene el control y la
seguridad que ofrece una red LAN pero topolgicamente tiene un

mbito descontrolado e inseguro como es Internet. Para que estas

redes sean seguras se usan tcnicas de Tunneling que consisten en

FUHDU XQ W~QHO VHJXUR GHQWUR GH OD UHG LQVHJXUD SRU HO TXH


FLUFXODQ
los datos de la VPN cifrados. Es por esto que las redes privadas

virtuales es uno de los usos ms frecuentes de cifrado.

Para garantizar la seguridad de la red VPN y las caractersticas que

debe cumplir, se usan protocolos de comunicacin segura como IPSec

(Internet Protocol Security), que es el estndar de facto, aunque

tambin se usan otros como SSL o PPTP.

Cifradode archivos

Tambin existen aplicaciones que permiten el cifrado de archivos completos,

que pueden ser utilizados para enviarlos o simplemente se quiera guardar

cifrado para que slo pueda ser accedido por quienes tengan la clave de

cifrado. Esto tambin es til para almacenar informacin confidencial de una

organizacin. En caso de sustraccin de la informacin no servir de nada si

no se tiene una clave para descifrarla.

Cifradode discoduro

Tener todo el sistema de archivos cifrado permite que cada vez que se

guarde un archivo ya lo haga cifrado por defecto y que todo lo contenido en


el disco duro est cifrado. Esto hace que haya procesos ligeramente ms
(5)
lentos, ya que cada vez que se guarda, por ejemplo ha de cifrarlo .

Mtodos paraobtener la clave dedescifrado

Existen varios mtodos para obtener la clave que se necesita para descifrar
(6)
informacin, entre las cuales definimos :

1. Fuerza bruta

En este procedimiento se pretende intentar todas las combinaciones

de bits posibles hasta encontrar la ms adecuada y encontrar la clave.

Se trata de prueba y error. Para hash simple o algoritmos, la fuerza

bruta funciona bastante bien. A medida que aumenta la longitud de la

clave tambin aumenta el nmero de posibilidades. Como se puede

notar en la siguiente tabla, una clave de 512 bits tiene ms de 154

ceros detrs de l.

Tabla J. 2 - Fuerza bruta

Key Length in Bits Number of Possible Combinations

8 256
40 1,099,511,627,776
128 18,446,744,073,709,600,000
256 1.15792 * 1077
512 1.3408 * 10154

(6) Linda Volonino - Reynaldo Andaluza. Computer Forensics For Dummies. ao 2008.
Con los avances en los algoritmos de criptografa y de larga longitud

de las claves, encontrar una llave por la fuerza bruta suele ser poco

prctico. Es el ltimo recurso para la obtencin ilegal de una

contrasea.

2. Ataque dediccionario

Este mtodo utiliza un diccionario de contraseas o hashes que son

comparados con el valor hash almacenado en el archivo de

contraseas del sospechoso.

Los diccionarios no contienen slo las palabras estndar, sino tambin

los nombres de celebridades, equipos deportivos, programas de

televisin, etc.

3. Tablas arco iris

Es una extensin de los diccionarios que poseen bases de datos

mucho ms extensas. Por lo cual Las tablas del arco iris permiten

utilizar una base de datos con mayor posibilidades de comparacin y

que podran ser almacenados en un equipo forense.

4. Keystroke logger

Se utiliza keylogger para capturar las pulsaciones de teclado cuando

un usuario lo pulse en el teclado. Este mtodo funciona bien cuando


se sabe que la persona a quien se est vigilando est usando algn

tipo de encriptacin. Las caractersticas de Keylogger varan, pero

todos registran las pulsaciones de teclado.

Se puede instalar el manual de keyloggers o usar software Troya

(software para un propsito, como jugar un juego, pero en realidad se

inserta otro programa en el ordenador).

5. Snooper software

Este tipo de software se utiliza de la misma manera que los

keyloggers, excepto que el software espa registra no slo las

pulsaciones de teclado, sino tambin cualquier actividad que se

produce en el equipo. Archiva desde las capturas de pantalla hasta

sesiones de chat, mensajes de correo electrnico, e incluso las veces

que se enciende el ordenador.

6. Aplicacin especfica decircuito integrado ASIC

Este tipo de chip est especficamente programado para realizar una

tarea. El nico propsito de programacin de un sistema de descifrado

ASIC es resolver un tipo especfico de cifrado. La mayora de los

investigadores en informtica forense no tienen acceso a equipos de


este tipo, pero las agencias de gobierno si, y que puede descifrar una

clave de cifrado de 40 bits en cuestin de segundos.

7. Cache checking

Algunas aplicaciones y sistemas operativos pueden poner contraseas

en una memoria cach temporal. Los usuarios que permiten que sus

sistemas almacenen sus contraseas, por lo general son almacenadas

en texto plano en un rea de la memoria cache.

Encriptacin AES256

AES conocida como Estndar de Encriptacin Avanzada (Advanced

Encryption Standard). AES es una tcnica de cifrado de clave simtrica que

remplazar el Estndar de Encriptacin de Datos (DES) utilizado

habitualmente (7) (8).

AES proporciona una encriptacin segura, utiliza una de las tres fortalezas de

clave de cifrado: Una clave de encriptacin de 128-, 192-, o 256- bits. Cada

tamao de la clave de cifrado hace que el algoritmo se comporte ligeramente

(7) AES Encryption data security. 2011. Bitzipper. 1 de Mayo 2011.


<h tt p :// www . b it z i pper.com / es / aes-encryp ti on . h t ml>

(8) Cceres Sosa Arnold Ylla - Jhony &UX] (QFULSWDFLyQ GH GDWRV XQD YLVWD JHQHUDO
2008. Slideshare. 1 de Mayo 2011. <htt p :// www . s li deshare . ne t/ chris ti an i ko l a i/ encr i p t ac i on-
de-da t os-una-v i s t a-genera l>
diferente, por lo que el aumento de tamao de clave no slo ofrece un mayor

nmero de bits con el que se pueden cifrar los datos, sino tambin aumentar

la complejidad del algoritmo de cifrado.

Tiempos deejecucin de algoritmos asimtricos

Diffie-hellman. Intercambio de clave

Pruebas realizada para tamaos de clave de 64, 256, 1024 bits variando el

tamao del nPHUR SULPR 6H KD FLIUDGR OD SDODEUD KROD SDUD FDGD XQR GH

los casos.

Tabla J.3 Clave de 64 bits

N.Primo Clave1,2 Mx. Mn. Media


264 264 11.6719 11.6406 11.6564
2256 264 11.9219 11.6406 11.7500
2512 264 12.7656 12.6094 12.694
21024 264 14.2500 14.0469 14.1500

Tabla J. 4 - Clave 256 bits

N.Primo Clave1,2 Mx. Mn. Media


264 264 11.8438 11.7031 11.6564
2256 264 12.0000 11.6406 11.8344
2512 264 12.8750 12.6094 12.7219
21024 264 14.1094 14.0625 14.0775
Tabla J. 5 - Clave 1024 bits

N.Primo Clave1,2 Mx. Mn. Media


264 21024 11.7500 11.6875 11.7219
2256 21024 12.4531 11.6562 11.9156
2512 21024 12.8750 12.6406 12.7065
21024 21024 14.3438 14.1562 14.2219

El Gamal, Cifradode informacin

Pruebas realizada para tamaos de clave de 64, 256, 1024 bits variando el

tamao del nmero primo. Se ha FLIUDGR OD SDODEUD KROD SDUD FDGD XQR GH

los casos.

Tabla J. 6 - Clave 64 bits

N.Primo Clave Mx. Mn. Media


privada
264 264 4.2975 4.1375 4.1533
2256 264 4.3125 4.1875 4.2615
2512 264 6.0625 5.4535 5.7785
21024 264 22.1925 21.3825 21.742

Tabla J. 7 - Clave de 256 bits

N. Primo Clave Mx. Mn. Media


privada
264 2256 4.1250 4.0156 4.0437
2256 2256 4.2656 4.0973 4.1412
2512 2256 6.0625 6.3281 6.4481
21024 2256 6.7656 21.5313 22.275
Tabla J. 8 - Clave de 1024

N.Primo Clave Mx. Mn. Media


privada
264 21024 4.1318 4.0625 4.0826
2256 21024 4.2187 4.1406 4.1636
2512 21024 5.7218 5.0625 5.2537
21024 21024 17.1500 15.1062 15.6906

RSA, Cifradode informacin


Pruebas realizada para tamaos de clave de 64, 256, 1024 bits variando el

tamao del nPHUR SULPR 6H KD FLIUDGR OD SDODEUD KROD SDUD FDGD XQR GH

los casos.

Tabla J. 9 - Clave de 64 bits

N.Primo Clave Mx. Mn. Media


privada
264 264 0.5938 0.4375 0.4750
2256 264 0.9219 0.8031 0.8813
2512 264 2.1094 1.9813 2.0688
21024 264 18.1406 15.8063 17.1946

Tabla J. 10 - Clave 256 bits

N.Primo Clave Mx. Mn. Media


privada
264 2256 0.6406 0.5556 0.6050
2256 2256 1.1406 1.0781 1.1063
2512 2256 3.7813 3.4219 3.6109
21024 2256 28.9688 25.2500 27.1946
Tabla J. 11 - Clave de 1024 bits

N.Primo Clave Mx. Mn. Media


privada

64 1024
2 2 8.6875 8.3438 8.5438

256 1024
2 2 11.6406 10.7969 11.3969
512 1024
2 2 18.3594 15.7500 17.0688
1024 1024
2 2 33.9531 30.1250 32.9531

Herramientas para cifrado y descifrado

Tabla J. 12 - Herramientas cifrado

Nombre Algoritmosusados

SteganosSecuritySuite ASD 256

TrueCrypt AES, Serpent, Twofish,


algoritmos de hash

InvisibleSecret 4 AES - Rijndael, Twofish, RC


4, Cast128, GOST, Diamante
2, Zafiro II, Blowfish

AFNeoCryptor AES

EncryptionandDecryption- AES
- free

EnCryptionGadget Blowfish, AES

KriptoDrive AES 256

CryptoLab1.02 AES Rijndael

TextEncrypt Blowfish

SecuBoxforSmartphone AES 256


1.3
ANEXO K:ELEMENTOSA

ANALIZAR SEGN EL TIPO DE

SISTEMA
(1)
Elementos a analizar segn el tipode sistema

1. Sistemas Informticos

Plataforma Windows

Registro del sistema

Contenido de Sistema de Fichero Cifrados (EFS)

FAT o MTF (Tablas de Metadatos de sistemas de ficheros

Windows)

Archivo BITMAP (Fichero creado durante el formateo de

volmenes NTFS para Windows NT y superiores)

Papelera de reciclaje

Ficheros de acceso directo

Directorio Activo (Active Directory) (Windows 2000 y

superiores)

Log de visor de eventos

Plataforma Unix/Linux

Listado descriptores de ficheros

Ficheros SUID/SGID

Trabajos planificados (Schedule jobs)

Ficheros del historial de la Shell

_______________________________

(1) +HUUDPLHQWDV SDUD HO DQiOLVLV \ UHFROHFFLyQ GH HYLGHQFLDV HQ HO VDERWDMH LQIRUPiWLFR HQ


ORV FHQWURV GH GDWRV 6OLGHVKDUH GH 0Dyo 2011.
<h tt p :// www . sli deshare . ne t/ UCACUE/herramien t as-para-el-an li s i s-y-reco l ecc i n-de-
ev i dencias-en-el-sabo t a j e-in f ormt i co-en-los-cen t ros-de-da t os>
Las ubicaciones comunes de evidencia en varias plataformas son:

Mensajes de correo electrnico.

Ficheros de trabajo de impresin.

Archivos temporales de los navegadores web.

Cache de los navegadores web.

Historiales de los navegadores web.

Favoritos de los navegadores web.

Ficheros de cookies de los navegadores web.

Logs del sistema operativo.

Logs de aplicaciones.

Logs de clientes de chat.

Documentos de texto (doc, wpd, wps, rtf, txt, etc.).

Hojas de clculo (xls, wgl, wkl, etc.).

Ficheros grficos (jpg, gif, tif, bmp, etc.).

2. Redes

Informacin proporcionada por la tarjeta de red (direccin MAC,

direccin IP, etc.).

Tabla de direcciones IP asignadas por el servidor DHCP

(Protocolo de Configuracin de Host Dinmico).

Cache de ARP (Protocolo de Resolucin de Direcciones).


Logs del IDS (Sistema de deteccin de intrusos).

Memoria del IDS.

Logs del Cortafuego.

Memoria del Cortafuego.

Logs de servidores (Web, FTP, de correo electrnico).

Mensajes de correo electrnico almacenados en el servidor.

Logs de mdems.

Informacin de routers.

RAM con informacin de configuracin.

Cache ARP.

Logs del router.

Datagramas almacenados cuando el trfico es alto.

Informacin de servidores DIAL-UP (Servidores ISP).

Logs del servidor DIAL-UP.

Memoria del servidor DIAL-UP.

Logs del servidor de autentificacin.

Memoria del servidor de autentificacin.

Logs del servidor VPN.

Memoria del servidor VPN.


2.1. Redes inalmbricas

Debemos identificar dos tipos de redes inalmbricas

Redes LAN inalmbricas (wireless LAN)

Informacin proporcionada por las tarjetas inalmbricas de

red (direcciones MAC, IP, etc.)

Puntos de acceso

Logs de mdems wireless

Redes inalmbricas basadas en conmutacin de circuitos

Registros de facturacin CDR (Charging Detail Records).

Registros que contienen informacin para cada llamada

realizada, como nmero que se llam, el da de la llamada,

duracin, entre otros, organizados por clientes para

efectos de facturacin. Estos registros son archivados y

estn disponibles en un periodo aproximado de varios

aos, dependiendo de las polticas de la operadora.

HLR (Home Location Register)

Contiene informacin del subscriptor, referente a sus

capacidades mviles contratadas (clase de servicio), la

identificacin de la unidad mvil, la ubicacin actual de la

misma ya sea en el rea de cubrimiento de la red


proveedora o de otras redes celulares (roaming), la

informacin de autenticacin, el nombre de la cuenta y la

direccin de facturacin.

VLR (Visitor Location Register)

Almacena informacin fsica, electrnica y de radio, acerca

de todos los usuarios que estn actualmente autenticados

dentro de una red particular del MSC (Mobile Switching

Center o centro de conmutacin mvil). Dicha informacin

incluye la localizacin actual del dispositivo mvil y el

estado del mismo (activo, en espera, etc.).

OMC (Operation and Maintenance Center o Centro de

operacin y administracin).

Realiza tareas administrativas como obtener datos de la

MSC para propsitos de facturacin y administra los datos

de la HLR.

Adems, proporciona una visin del estatus de operacin

de la red, la actividad de red y las alarmas. A travs de

ste, es posible examinar una o rastrear una llamada mvil

particular en progreso (Mobile trace).


3. Dispositivos mviles

Telfonos mviles

Ficheros con distinta informacin almacenada en la tarjeta del mvil

(SIM: Subscriber Identity Module, cdigo PIN, cdigo PUK).

Chips de memoria Flash (contienen informacin sobre el

telfono as como software interno del mismo).

Nmeros de telfonos almacenados

Mensajes de texto

Configuraciones (lenguaje, da/hora, tono/volumen, etc.).

Grabaciones de audio almacenadas.

Programas ejecutables almacenados.

Configuraciones de Internet, GPRS, WAP.

Log de llamadas (llamadas realizadas, recibidas, perdidas).

Datos (logs de sesiones, nmeros marcados, etc.) contenidos

en dispositivos a los que se haya conectado el telfono mvil

(computadoras de sobremesa, ordenadores porttiles, etc.).

Organizadoresde mano

RAM.

ROM. Memoria en la que se encuentra el sistema operativo y

las aplicaciones base.


FLASH-ROM. Memoria en la que podemos guardar

aplicaciones y datos que no queremos perder por resetear el

dispositivo o porque no tenga batera.

Datos (de sincronizacin, contactos, tareas, etc.) contenidos en

dispositivos a los que se en dispositivos a los que se haya

conectado el telfono mvil (ordenadores de sobremesa,

ordenadores porttiles, telfonos mviles, etc.)

4. Sistemas embebidos

Tarjetasde memoria

Bsicamente su recoleccin de datos es igual que la de un disco duro

puesto que se basan en sistemas de ficheros tipo FAT (normalmente).

Las estructuras de datos en las que se pueden analizar evidencias

son:

CIS (Card Information System), rea oculta que contiene

informacin del fabricante.

MBR (Master Boot Record), en las tarjetas este sector est

presente por razones de compatibilidad y raramente se usar

como arranque de un disco duro (aunque los delincuentes,

podra ocultar aqu informacin).


Sector de arranque. Se usa junto al MBR para establecer la

geometra del dispositivo.

FAT. Contiene la lista que describe los clster ocupados por los

ficheros.

El rea de datos que contiene los datos de los ficheros

actuales.
ANEXO L: PRESUPUESTO INICIAL
ADECUACIONES
Presupuesto Inicial
Cantidad Precio Global
Unitario
Sistema Circuito Cerrado $ 1,255.0
Sistema de Alarma $ 190.0
Sistema contra incendios (extintores) 1 $ 500.00
Aire acondicionado 48000btu 1 $ 1,000.00
Enrutador $ 300.00
Conmutador $ 200.00
Cable de red $ 0.70 $ 50.00
Cable telefnico $ 0.50 $ 50.00
UPS 1000 VA 4 $ 62.00 $ 248.00
Generador de Energa a diesel $ 1,000.00
Disco duro externo 2TB ETHERNET $ 338.39
Cerraduras biomtricas $ 400.00
Cerraduras tipo multilock $ 160.00
Copiadora e impresora $ 600.00
Herramienta varias (destornilladores, $ 500.0
pinzas, entre otras)
Mobiliario $ 1,500.00
Adecuaciones (divisiones, pintura, entre $ 3,000.00
otra)
TOTAL $ 11,291.4

SISTEMA CIRCUITO CERRADO Cantidad Precio Global


unitario
Cmaras con visin nocturna 5 $ 90.0 $ 450.0
Instalacin 5 $ 25.0 $ 125.0
CPU 1 $ 300.0 $ 300.0
Tarjeta que captura 8 canales 1 $ 380.0 $ 380.0
TOTAL $ 1,255.0

SISTEMA DEALARMA Cantidad Precio Global


unitario
Permite 8 zonas de deteccin
incluye:
Sensores de movimiento 8 $ 15.00
$ 120.00
Sirena 1 $ 35.00 $ 35.00
instalacin $ 35.00 $ 35.00
TOTAL $ 190.00
ANEXO M: SOFTWARE FORENSE
En este anexo describiremos las caractersticas principales de los

software forenses que se analizaron para llevar a cabo la seleccin y

utilizacin en el laboratorio como herramienta principal me el anlisis

de la evidencia. Entre las cuales tenemos:

Encase

Es un software de investigacin forense informtica, que tiene la

capacidad de realizar anlisis complejo de evidencia digital


(1)
.

Entre sus principales caractersticas tenemos:

Amplia compatibilidad de formatos disponibles.

Amplia compatibilidad de correos electrnicos disponibles.

Amplia compatibilidad con navegadores disponibles.

Anlisis y generacin de informes de manera detallada.

Recopilacin inteligente de evidencia digital.

Validado por los tribunales de justicia.

(1) (QFDVH )RUHQVLF 'LJLWDO ,QWHOOLJHQFH GH 0D\R


<h tt p :// www . di g it a li n t e lli gence . com / so ft ware / gu i danceso ft ware / encase />
Deft-Extra

Es una interfaz Grfica de Computo Forense que asiste en el anlisis


(2)
forense de discos, redes y navegadores .

Esta herramienta est dividida en seis secciones que incluyen

diversas herramientas forenses las cuales se detallan a

continuacin:

Informacin del Sistema(SysInfo)

Adquisicin Viva(Live Adquisition)

Forense(Forensics)

Bsqueda(Search)

Utilidad(Utility)

Reporte(Report)

CAINE (Computer Aided Investigative Environment)

El Entorno de Investigacin Asistido por Computadora es una

distribucin italiana de GNU/Linux que ofrece herramientas forenses


(3)
como mdulos de software .

(2) Deft Linux. 2010. 10 de Mayo 2011. <h tt p :// www . de ftli nux . ne t/>

(3) C.A.IN.E (Computer Aided Investigative Environment). 2011. 10 de Mayo 2011.


<h tt p :// www . ca i ne-l i ve . ne t/>
Ha sido diseado de manera que garantice las siguientes

caractersticas:

Entorno que sirva de apoyo al investigador en las cuatro fases

Forenses Digitales.

Interfaz grfica amigable.

Generacin semiautomtica de un informe final.

Digital ForensicsFramework

Es una herramienta basada en Python con un mdulo de sistema

flexible para investigacin forense digital de memorias USB, PDA,


(4)
tarjetas de memoria y celulares .

Entre sus principales caractersticas tenemos:

Recuperacin potente de archivos borrados.

Anlisis del sistema de archivos de telfonos mviles.

Descifrar contenido y metadatos de SMS para mostrarlos

como en un telfono mvil.

(4) Open Source Digital Investigation Framework. 2011. 10 de Mayo 2011.


<h tt p :// www . d i g it a l - f orens i c.org />
ForensicsToolkit

(5)
Es un estndar de tecnologa de investigacin informtica forense .

Entre sus caractersticas principales tenemos:

Anlisis de vanguardia.

Descifrado y craqueo de contraseas.

Interfaz intuitiva.

Es personalizable y fcil de usar.

Potente velocidad de procesamiento.

Easy Recovery Professional

Es una solucin para recuperar datos, reparar archivos, correo


(6)
electrnico y realizar diagnstico de discos .

Posee soporte para:

Discos duros IDE/ATA/EIDE/SATA/SCSI

Discos extrables.

Disquetes.

Soportes perifricos.

Soportes digitales.

(5)Forensics Toolkit. 10 de Mayo 2011. <h tt p :// www .f orens i cs .i e / so ft ware / product /f orens i c-
t oo l k it - ft k />

(6) 5HFXSHUDFLyQ GH GDWRV \ UHSDUDGRU GH DUFKLYHV 2011. Kroll Ontrack Inc. 10 de Mayo
2011. <htt p :// www . on t rackda t arecovery . es / so ft ware-recuperacion- fi cheros />
Fox Analysis

Es una herramienta que permite el anlisis de los datos generados

por el uso de Mozilla Firefox fue desarrollada con el fin de ayudar en


(7)
investigacin forense digital .

Sus funcionalidades principales son:

Extraccin de marcadores, cookies, descargas, inicios de

sesin.

Analizar datos con opciones de filtrado:

o Por palabras claves

o Rangos de fechas.

o Estado de la descarga.

o Por seleccin.

Informe de actividad de exportacin.

ChromeAnalysis

Es una herramienta que permite el anlisis de los datos generados

por el uso de Google Chrome fue desarrollada con el fin de ayudar


(8)
en investigacin forense digital .

Sus funcionalidades principales son:

(7) )R[$QDO\VLV 2010. Forensic-Software. 10 de Mayo 2011. <h tt p ://f orens i c-


so ft ware . co . uk/ f oxana l ys i s . aspx>

(8) &KURPH $QDO\VLV )RUHQVLF-Software. 10 de Mayo 2011. <h tt p ://f orens i c-


so ft ware . co . uk/chromeana l ys i s . aspx>
Extraccin de marcadores, cookies, descargas, inicios de

sesin.

Analizar datos con opciones de filtrado:

o Por palabras claves

o Rangos de fechas.

o Estado de la descarga.

o Por seleccin.

Informe de actividad de exportacin.

Para la eleccin de las herramientas de software ms adecuadas

hemos tomado en cuenta varios criterios de seleccin, de acuerdo al

laboratorio que deseamos plantear que cumpla con las necesidades

actuales y sea factible de implementar.

Tabla M. 1 - Criterios de seleccin de software

Digital Easy Chrom


Fox
Deft Forensics Forensic Recovery e
Encase Caine Analysi
Extra Framewor sToolkit Profession Analysi
s
k al s

Comerci
Tipo Libre Libre Libre Libre Comercial Libre Libre
al

Estndarde
Si No No No Si No No No
laindustria

Multiplatafo
Si Si Si Si No Si No No
rma
SOFTWARE PARAANLISIS DE DISPOSITIVOSMVILES

MOBILeditForensic

Es una herramienta confiable de anlisis forense en celulares

utilizada en ms de 70 pases y reconocida por el Instituto Nacional


(9)
de Estndares y Tecnologa pgina oficial .

Permite extraer todo el contenido del telfono y genera un reporte (en

cualquier idioma) listo para su presentacin en una audiencia.

Entre sus principales caractersticas se puede mencionar:

Anlisis de telfonos va cable USB, Bluetooth e Infrarrojo.

Compatibilidad con una gran cantidad de telfonos.

Recuperacin de mensajes borrados de tarjetas SIM.

Exportacin a Word, Excel / XLS, navegador, XML / XSL.

(9) 02%,/HGLW! )RUHQVLF 2YHUYLHZ 2011. MOBILedit. 10 de Mayo 2011.


<h tt p :// www . mob il ed it. com / me f -overv i ew . h t m>
ART Mobile

Es un software desarrollado para asistir en la captura de imgenes

(va cmara) de dispositivos mviles para producir un documento en


(10)
Microsoft Word, pgina oficial .

Provee las siguientes funciones:

Reduce el tiempo que se expende en reportes manuales.

Captura imgenes de una cmara conectada va USB.

Almacena imgenes en una carpeta de estructura lgica.

Crea un reporte personalizable con las imgenes capturadas.

BitPIM

Es un programa que permite ver y manipular datos en telfonos

CDMA como LG, Samsung, Sanyo, etc. pudiendo obtener datos que

incluyen Contactos, calendario, fondos de pantalla, tonos musicales y


(11)
archivos del sistema, pgina oficial .

(10) $57 ($XWRPDWLF 5HSRUWLQJ 7RRO) 2010. IntaForensics. 10 de Mayo 2011.


<h tt p :// www .i n t a f orens i cs . com / So ft ware / ART . aspx>

(11) BitPIM. 2010. 10 de Mayo 2011. <h tt p :// www . b it p i m.org />
Oxygen Forensic Suite

Es un software forense mvil para anlisis estndar de telfonos

FHOXODUHV WHOpIRQRV LQWHOLJHQWHV


XWLOL]DQGR
SURWRFRORV
\ 3'$V

avanzados para extraer ms cantidad de datos de los que

generalmente se puede extraer con herramientas forenses,


(12)
especialmente en telfonos inteligentes, pgina oficial .

Permite extraer datos de:

Informacin general del telfono y de la tarjeta SIM.

Contactos

Calendario.

Historial de llamadas.

Notas.

Cach de navegacin web.

Entre otros.

UndeleteSMS

Permite recuperar mensajes SMS borrados de tarjetas SIM GSM,


(13)
pgina oficial .

(12) Oxygen Forensic Suite 2011. 2011. 10 de Mayo 2011. h tt p :// www . oxygen-
f orens i c . com / en /

(13) 8QGHOHWH606 %D[:DUH GH 0D\R h tt p :// www . baxware . com / unde l e t e-


sms . h t m>
Cell Seizure

Es un software que permite la recoleccin y anlisis de datos

extrados de diversos tipos de celulares, teniendo como principal

objetivo organizar los distintos tipos de archivos y generar un informe


(14)
HTLM a partir de los mismos, pgina oficial .

Entre sus caractersticas tenemos:

Soporta GSM, TDMA, CDMA.

Adquiere informacin completa de la tarjeta SIM.

Recupera datos borrados y descargas flash.

Soporta mltiples idiomas.

Diferentes formatos de informe disponibles.

Bsqueda avanzada de texto y valores hexadecimales.

Tabla M. 2 - Software dispositivos mviles

Software Tipo
Comercial con versin gratuita
MOBILedit!Forensic
reducida
ART-Mobile Comercial
BitPIM Comercial
Comercial con versin gratuita
Oxygen ForensicSuite reducida
UndeleteSMS Libre
CellSeizure Comercial

(14) 'HYLFH 6HL]XUH 'LJLWDO ,QWHOOLJHQFH GH 0D\R


<h tt p :// www . d i g it a li n t elli gence . com / so ft ware / paraben f orens i ctoo l s / dev i cese i zure />
ANEXO N: OPCIONES DE
IMPLEMENTACION
Presentamos a continuacin tres alternativas de implementacin con

diferente tipo de software y hardware para el funcionamiento del Laboratorio

Forense Digital

ALTERNATIVA DEIMPLEMENTACION 1

Tabla N. 1 - Alternativa de implementacin uno

Equipo Caractersticas Precio

Sistema operativo: window 7


EquipoBase Procesador Intel Core I7
Tarjeta de video Geforce
Disco duro de 4TB
Memoria RAM 8 Gb DDR3
Puertos: Usb, fireware, red 100/1000
1,900
Quemador CD/DVD
Blu-ray
Lector de tarjetas
Puerto Firewire
Puerto e-sata
Monitor 19''

Equipoportatil

Sistema operativo: Windows 7


Procesador Intel Core I5
Disco duro de 1TB 1,200
Memoria RAM 4 Gb DDR3

Sistema para el clonado de discos


Duplicador duros.
6,130.74
Analiza los dispositivos
Forensictalonkit IDE/UDMA/SCSI/SATA.
Equipo Caractersticas Precio

Bloqueadordeescritura

Ultra Kit III + FireWire + TD1

Contiene hardware UltraBlock, 2,699


bloqueador de escritura.
Adaptadores y conectores

FRED Posee bandejas extrables para


instalar los discos duros.
ForensicRecoveryofEvidence
Posee dos unidades de disco duro,
Device Una para sistema operativo (s), la
adquisicin forense, herramientas de
tratamiento y el otro disco como una
unidad de trabajo para la 5,999
restauracin y el procesamiento de la
evidencia digital.
Intel i7 920 CPU , 2,66 GHz, cach
de 8M
6 GB DDR3-1333

Obtiene informacin de dispositivos


PDA, Blackberry de Windows y
Garmin y dispositivos Tom Tom de
navegacin satelital.
CellDEK Adquiere llamadas perdidas, 20,000
salientes, recibidas, agenda, SMS,
SMS eliminados de la SIM, MMS
(mensajes multimedia), calendarios,
citas recordatorios, imgenes, video,
audio.
Equipo Caractersticas Precio

Encase
Permite visualizar previamente los
datos mientras se obtienen imgenes
de unidades o de otros medios.
Compatibilidad con diversos sistemas
de archivos 3,600
Compatibilidad con RAID avanzada

Versin
Software forense mvil para anlisis
OxygenForensicSuite profesional
estndar de telfonos celulares,
WHOpIRQRV LQWHOLJHQWHV 1,499
\ 3'$V

Total 43,027.74
ALTERNATIVA DEIMPLEMENTACION 2

Tabla N. 2 - Alternativa de implementacin dos

Equipo Caractersticas Precio


Sistema operativo: Windows
server 2008
Procesador Intel Core I7
EquipoBase Tarjeta de video Geforce
Disco duro de 4TB
Memoria RAM 8 Gb DDR3
Puertos: Usb, fireware, red
100/1000 1,900
Quemador cd/dvd
Blu-ray
Lector de tarjetas
Puerto Firewire
Puerto e-sata
Monitor 19''

Equipoportatil

Sistema operativo: Windows 7


Procesador Intel Core I5
Disco duro de 1TB 1200
Memoria RAM 4 Gb DDR3

Duplicador

Forensictalonkit

Sistema para el clonado de


discos duros. 6,130.74
Analiza los dispositivos
IDE/UDMA/SCSI/SATA.
Equipo Caractersticas Precio

Bloqueador deescritura

Ultra Kit III + FireWire +


TD1

Contiene hardware UltraBlock,


bloqueador de escritura. 2,699

Adaptadores y conectores

FRED

Posee bandejas extrables para


instalar los discos duros.
ForensicRecoveryof Posee dos unidades de disco
EvidenceDevice duro, Una para sistema operativo
(s), la adquisicin forense,
herramientas de tratamiento y el
otro disco como una unidad de 5,999
trabajo para la restauracin y el
procesamiento de la evidencia
digital.
Intel i7 920 CPU , 2,66 GHz,
cach de 8M
6 GB DDR3-1333

Obtiene informacin de
dispositivos PDA, Blackberry de
CelldeskTek Windows y Garmin y dispositivos 15,121.5
Tom Tom de navegacin satelital.
Adquiere llamadas perdidas,
salientes, recibidas, agenda,
Equipo Caractersticas Precio
SMS, SMS eliminados de la SIM,
MMS (mensajes multimedia),
calendarios, citas recordatorios,
imgenes, video, audio.

Software Forense que asiste en


el anlisis de discos, redes y
navegadores.
Esta herramienta est dividida en
seis secciones que incluyen
diversas herramientas forenses
DefExtra las cuales se detallan a
continuacin:
1. Informacin del Sistema.
2. Adquisicin en Vivo.
3. Forense. 0,0
4. Bsqueda.
5. Utilidades.
6. Reporte.
Software forense mvil para Versin
Oxygen Forensic Suite anlisis estndar de telfonos profesional
celulares, telfonos inteligentes y 1,499
3'$V
Total 34,549.24
ALTERNATIVA DEIMPLEMENTACION 3

Tabla N. 3 - Alternativa de implementacin tres

Equipo Caractersticas Precio

EquipoBase Sistema operativo: Windows 7


Procesador Intel Core I7
Tarjeta de video Geforce
Disco duro de 4TB
Memoria RAM 8 Gb DDR3
1,900
Puertos: Usb, fireware, red 100/1000
Quemador cd/dvd
Blu-ray
Monitor 19''

Equipo portatil

Sistema operativo: Windows 7


Procesador Intel Core I5
Disco duro de 1TB 1200
Memoria RAM 4 Gb DDR3

FTKImager Software orientado a la adquisicin y


tratamiento de imgenes de
Libre
dispositivos de almacenamiento.
Herramienta Windows
Interfaz grfica.
Software Forense que asiste en el
anlisis de discos, redes y
navegadores.
Esta herramienta est dividida en
seis secciones que incluyen
Deft-extra diversas herramientas forenses: libre
1. Informacin del Sistema.
2. Adquisicin en Vivo.
3. Forense.
4. Bsqueda.
5. Utilidades.
6. Reporte.
Equipo Caractersticas Precio

Software forense mvil para Versin


Oxygen Forensic Suite anlisis estndar de telfonos profesional
celulares, telfonos inteligentes y 1,499
3'$V
Restoration Libre
Recuperar archivos borrados.

Total 4,599
ANEXO O: DETALLE SOFTWARE
DEFT-EXTRA
Anlisis de la herramienta Deft-Extra (Digital Evidence & Forensic
Toolkit)

Ilustracin O. 1 - Pantalla principal Deft Extra

Es un kit de herramientas de anlisis forense adaptado a Windows pero

basado en la distribucin Linux Xubuntu.

Caractersticas

Posee una interfaz grfica amigable.

Orientado tanto para administradores de sistemas, polica, investigadores

y peritos especializados en el rea informtica.

Disponible en los idiomas ingls e italiano.

Funcionalidades

Deft-Extra cuenta con varios mdulos para clasificar sus funcionalidades.


MduloSysInfo

Dentro de este mdulo encontramos varias funcionalidades explicadas en la

siguiente tabla.

Tabla O. 1 - Caractersticas mdulo SysInfo

Funcionalidad Descripcin
Muestra informacin bsica del
sistema:

Sistema operativo
Procesador
System Information RAM
Usuario
Host
Direccin IP
Unidades de disco

Informacin de los procesos que se


Running Process estn ejecutando.

Provee las siguientes herramientas

Drive Manager
WinAudit
USB Deview
User Profile View
WRR
System Information Utilities MSI
My Event View
CurrProcess
SystemInformation

Ilustracin O. 2 - Pantalla System Information

En esta pantalla encontramos datos importantes como la ip, el nombre del

equipo en la red, el usuario y unidades de disco.

RunningProcess

Ilustracin O. 3 - Pantalla Running Process


Este es el listado de procesos ejecutndose actualmente as como su id.

SystemInformationUtilities

Ilustracin O. 4 - Pantalla System information Utilities

Con estas herramientas podemos recolectar toda la informacin del sistema.

Drive manager

Ilustracin O. 5 - Seccin drive Manager


Provee informacin sobre las unidades de disco del sistema.

Ilustracin O. 6 - Informacin de disco duro

En la informacin de cada unidad podemos encontrar informacin ms

precisa para nuestra investigacin.

WinAudit

Ilustracin O. 7 - Seccin WinAudit


Ilustracin O. 8 - Active Setup

Nos permite inventariar el sistema, de esta manera podemos tener acceso

datos tales como:

Software instalado.

Seguridad.

Grupos y usuarios.

Tareas programadas.

Logs de errores.

Discos fsicos.

Discos lgicos.

Servicios, entre otros.


USB Deview

Ilustracin O. 9 - Seccin USB deview

Muestra informacin de los ltimos dispositivos conectados al sistema.

ModuloLiveAcquisition

Dentro de este mdulo encontramos varias funcionalidades explicadas en la

siguiente tabla.

Tabla O. 2 - Caractersticas mdulo Live Acquisition

Funcionalidad Descripcin
FTK Imager v 2.6.1 Herramientas para obtener
WFT Windows Forensics imgenes de las unidades de
ToolChest almacenamiento del sistema.
WINEN Herramientas para obtener una
MDD copia de la memoria RAM del
sistema.
WTF-WindowsForensicsToolChest FTKImagerv2.6.1

Ilustracin O. 10 - Seccin live acquisition

WINEN MDD

Ilustracin O. 11 - Seccin live acquisition RAM


MduloForensics

Dentro de este mdulo encontramos varias funcionalidades explicadas en la

siguiente tabla.

Tabla O. 3 - Caractersticas Mdulo Forensics

Funcionalidad Descripcin

Herramientas extras para el anlisis


forense digital:

Recuva
Zero View
Forensics Tools
WFA
FileAlyzer
PC ON/OFF TIME
Terminal
NIGILANT 32

Permite recuperar contraseas que


hayan sido almacenadas en el
sistema con las siguientes
herramientas:

Password Recovery MessenPass


Asterix Logger
Password Fox
ChromePass
IePass View
Wireless Key View
Mail Pass View

Permiten el anlisis forense de


redes mostrando informacin de
puertos abiertos, conexiones
inalmbricas, adaptadores de red
Networking para ello cuenta con las
herramientas:

CurrPorts
AdapterWatch
SniffPass
Bluetooth View
WirelessNet View

Herramientas para el anlisis


forense de navegadores web

IECookie View
IEHistory View
Web Browser Mozilla Cookie View
Mozilla History View
Historian
Mozilla Cache View
Opera Cache View
Chrome Cache View
FoxAnalysis
Index.Dat 2.0

ForensicsTools

Ilustracin O. 12 - Seccin forensics tool


Password Recovery

Ilustracin O. 13 - Seccin Password recovery

Networking

Ilustracin O. 14 - Seccin Forensics Networking


Wirelessnet view

Ilustracin O. 15 - Seccin WirelessNet

WebBrowser

Ilustracin O. 16 - Pantalla Web Browser


Proporciona informacin de navegacin tales como: historial, cache,

contraseas guardadas.

History view

Ilustracin O. 17 - Seccin History view

MduloSearch

Dentro de este mdulo encontramos varias funcionalidades explicadas en la

siguiente tabla.

Tabla O. 4 - Caractersticas Mdulo Search

Funcionalidad Descripcin
Permite la bsqueda de archivos en
Search los dispositivos conectados al
equipo mediante criterios, adems
permita la visualizacin de
miniaturas de los archivos
encontrados.
Ilustracin O. 18 - Pantalla Mdulo search

Herramienta de bsqueda archivos, incluye la funcionalidad MD5 para evitar

la alteracin de archivos.

MduloUtility

Dentro de este mdulo encontramos varias funcionalidades explicadas en la

siguiente tabla.

Tabla O. 5 - Caractersticas Mdulo Utility

Funcionalidad Descripcin
Herramientas de apoyo en el
anlisis forense digital

IncrediMail Me
TestDisk
Utility SumatraPDF
SkipeLog View
Pre-Search
RootKit Revealer
Putty
Photorec
Funcionalidad Descripcin
HoverSnap
HashCalc
Hexedit
AviScreen
IpNetInfo
LtfViewer
Notepad++
VncViewer
AbiWord
KeyLog

Ilustracin O. 19 - Pantalla Mdulo Utility

Proporciona una coleccin de herramientas extras para anlisis forense.

MduloReport

Tabla O. 6 - Caractersticas mdulo Report

Funcionalidad Descripcin
En esta seccin el investigador
Report forense puede realizar anotaciones
de los hallazgos de su investigacin.
Este apartado del software permite hacer anotaciones de datos claves que

nos ayudaran en la elaboracin del informe pericial.

Ilustracin O. 20 - Pantalla Mdulo Report


ANEXO P:ANLISISDE

CELULARES
Anlisis con Oxygen Forensic Suite 2010

Con esta herramienta podemos obtener principalmente una imagen de la

memoria del celular y obtener la informacin relevante dentro de las

memorias del dispositivo para proceder a clasificarla y analizar la evidencia.

Dentro de la informacin principal que se puede obtener del dispositivo mvil

se encuentra:

Registros internos de los dispositivos

Memoria fsica

Memoria cache

Registro estado de la red

Registros de procesos en ejecucin

Contenido del portapapeles

Archivos abiertos

Servicios activos y drivers

Registro de comandos ejecutados

Usuarios conectados y autenticados

Hora y fecha

Los siguientes pasos indican desde la deteccin del telfono celular hasta

obtener la informacin que se encuentra dentro de la memoria.


1. Ejecutar Oxygen .

2. Dar clic en Connect a new device y aparece la siguiente ventana:

Ilustracin P. 1 - Oxygen Welcome

3. Clic en Next.

4. Conectar un dispositivo va USB (el programa tambin permite

conectarse va Bluetooth y puerto infrarrojo )

Ilustracin P. 2 - Oxygen tipos de conexin


5. Dar clic en el tipo de conexin segn sea el caso.

6. El programa comienza la bsqueda de dispositivos conectados.

Ilustracin P. 3 - Oxygen bsqueda de dispositivos

7. Una vez encontrado nos muestra el tipo del telfono encontrado.

Ilustracin P. 4 - Oxygen dispositivo encontrado


8. Dar clic en Next por dos ocasiones y aparece una pantalla donde se

indica que el proceso de extraccin de datos est a punto de empezar.

Ilustracin P. 5 - Oxygen proceso de extraccin de datos

9. Dar clic en Next aparece una pantalla para almacenar datos del caso.

Ilustracin P. 6 - Oxygen almacenar datos


10. A continuacin podemos incluir el nmero del propietario:

Ilustracin P. 7 - Oxygen nmero del propietario

11. Al dar clic en Next nos muestra los datos que se van a extraer, podemos

seleccionar los que sean tiles para nuestra investigacin.

Ilustracin P. 8 - Oxygen seleccionar datos


12. Al dar clic en Next nos muestra un informe detallado de lo que se va a

extraer y detalles del caso.

Ilustracin P. 9 - Oxygen extraccin de datos

13. Al dar clic en Extract empieza el proceso.

Ilustracin P. 10 - Oxygen extrayendo datos


14.Al concluir el proceso nos da las opciones de exportar o empezar el

anlisis directamente.

Ilustracin P. 11 - Oxygen empezar anlisis

15.Escogemos Open device . Se muestra la informacin del dispositivo,

podemos explorar cada una de las opciones.

Ilustracin P. 12 - Oxygen Informacin de dispositivo


16. Phonebook: Nos muestra un listado de los nmeros telefnicos

almacenados en el celular.

Ilustracin P. 13 - Oxygen phonebook

17.Calendar: Anotaciones deeventos almacenados enelcalendario.

Ilustracin P. 14 - Oxygen calendar


18.Messages: Detalles demensajes enviados y recibidos.

Ilustracin P. 15 - Oxygen messages

19.Event Log: Detalle de eventos en el dispositivo tales como: mensajes,

llamadas y navegacin web.

Ilustracin P. 16 - Oxygen log


20.FileBrowser: Listadode todos los archivos encontrados enel telfono,

tanto en la memoria externa e interna.

Ilustracin P. 17 - Oxygen buscador de archivos

21.Extras

Ilustracin P. 18 - Oxygen extras


22.Para realizar el informe procedemos a exportar los datos encontrados.

Ilustracin P. 19 - Oxygen exportar datos

23.Y se genera un reporte en formato PDF.

Ilustracin P. 20 - Oxygen reporte


Anlisis de SIM con Data Doctor Recovery - SIM Card

Ilustracin P. 21 - Oxygen data doctor recovery

Permite la recuperacin de nmeros y mensajes de la tarjeta SIM. Para

utilizar este programa se requiere un lector USB de tarjetas SIM.

Barra de herramientas

Tabla P. 1 - Barra de herramientas Data Doctor Recovery

Icono Nombre Descripcin

Search SIM Card Explora los datos de la tarjeta

Save Recovered
Permite guardar los datos
Data
recuperados.

Help Ayuda
Exit
Salir
ANEXO Q:ARCHIVOCIFRADO
Podemos darnos cuenta de que un archivo est cifrado de varias maneras:

La extensin del archivo es desconocida.

Al abrir el documento encontrar la informacin de manera ilegible, con

smbolos y caracteres extraos, etc.

Ilustracin Q. 1 - Archivo cifrado

Archivo cifrado
Este archivo, carta garcia.docx est cifrado y al abrirlo encontramos
caracteres ilegibles que forman el contenido de este archivo.

Ilustracin Q. 2 - Contenido de archivo cifrado


ANEXO R:RASTREO DE CORREO

ELECTRNICO
Para realizar el rastreo se necesita conocer la cabecera del correo

electrnico que fue recibido.

Con esta cabecera se pueden utilizar herramientas para obtener la ip de

origen de donde fue enviado el correo electrnico. En este caso utilizamos el

sitio web http://whatismyipaddress.com/trace-ema il que nos ayuda en esta

tarea.

Ilustracin R. 1 - Cabecera correo electrnico


Es necesario copiar la cabecera en el sitio web para obtener la ip de origen

Ilustracin R. 2 - Headers sitio What's my ip address

Se obtiene como resultado la direccin IP origen

Source:

The source IP address is 190.111.64.8.

Geo-Location Information
Country Ecuador
State/Region 08
City Arenillas
Latitude -3.55
Longitude -80.0667
Area Code
Otra informacin necesaria es el ISP, para obtenerla accedimos a la

siguiente direccin:

http:// l acn i c.net/cg i -bin/ l acn i c/who i s? l g=EN&query=190.111.64.8, en la cual

obtuvimos la siguiente informacin.

% Joint Whois - whois.lacnic.net


% This server accepts single ASN, IPv4 or IPv6 queries

% LACNIC resource: whois.lacnic.net

% Copyright LACNIC lacnic.net


% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2010-12-16 02:15:15 (BRST -02:00)

inetnum: 190.111.64/20
status: allocated
owner: CONECEL
ownerid: EC-CONE-LACNIC
responsible: Robert Ordez Dueas
address: Edif. Centrum, Av. Fco de Orellana y Alberto Borge, 1,
3er Piso
address: 5934 - Guayaquil -
country: EC
phone: +593 4 2693693
begin_of_the_skype_highlighting +593 4
2693693 end_of_the_skype_highlighting [2801]
owner-c: ROD
tech-c: ROD
abuse-c: ROD
created: 20100106
changed: 20100106
nic-hdl: ROD
person: Anibal Gamboa
e-mail: RedDaNac@CONECEL.COM
address: Edif. Centrum; Av.Fco. Orellana y Alberto Borges, 1, 1
address: 5934 - Guayaquil -
country: EC
phone: +593 4 2693693
begin_of_the_skype_highlighting +593 4
2693693 end_of_the_skype_highlighting [2020]
created: 20041208
changed: 20100105
ANEXO S:MQUINA

COMPROMETIDA
Botnet
Los botnets (o software robots) representan en la actualidad una de las

mayores amenazas en la web, detrs de estos robots se encuentran la

mayora de los fraudes que se cometen en internet.

Un botnet es un trmino que hace referencia a una coleccin de software

robots, bots o zombies, que se ejecutan de manera autnoma. El dueo del

botnet o bot master puede controlar todos los ordenadores/servidores

infectados de forma remota. Para la creacin de este tipo de software

malicioso normalmente se utilizan lenguajes Orientados a Objetos para

construir debido a que resultan mucho ms cmodos.

La mayor parte del tiempo ni siquiera nos damos cuenta que nuestro

ordenador es un software robot a disposicin de alguna persona o mafia.

Como Se Puede Convertir El Computador En Un Robot (Botnet)?.

Para que un computador se infecte y forme parte de una botnet requiere que

el usuario realice una accin como, instalacin de programas de dudosa

procedencia, ejecucin de cracks y generadores de seriales (keygens), entre

otros, son las principales maneras que pueden ocasionar que un ordenador

se convierta en un botnet.
Como Podemos Identificar Una Botnet?

Para detectar que nuestro computador est siendo usado en una botnet

podemos tomar en cuenta los siguientes aspectos: el equipo tarda mucho

tiempo para apagarse, o no lo hace correctamente, con frecuencia el

malware posee errores que pueden causar una variedad de sntomas,

incluyendo que el apagado del sistema sea muy largo o directamente falle,

Las aplicaciones andan muy lento , esto puede ocurrir porque programas

ocultos estn utilizando una gran cantidad de recursos del equipo.

Adems no se pueden descargar las actualizaciones del sistema operativo,

del antivirus o visitar sitios web de los proveedores : este es un sntoma que

no se puede ignorar.

El acceso a internet es muy lento: si un bot est en ejecucin en el sistema

para, por ejemplo, enviar grandes cantidades de spam, realizar un ataque

contra otros equipos, puede causar que el acceso a internet sea muy lento.

Para confirmarlo, se debe de deja de navegar completamente, acceder al

administrador de tareas (CTRL+ALT+SUPR), selecciona Funciones de Red y

observa si tu ordenador est usando Internet, en caso afirmativo esta sera

una prueba bastante evidente de que eres parte de una red zombie.
Recomendaciones

Las recomendaciones son bsicamente las mismas que se utilizan cuando se

cuenta con un virus, escanear con un buen antivirus (actualizado) y como se

mencion, monitorear la actividad en la red.

Si al hacer la prueba anterior confirmamos que ya somos un Bot es lgico

pensar que nuestro actual antivirus no est dando los resultados que

esperbamos, Algunas de las herramientas gratuitas creadas para detectar la

intrusin son RuBotted de Trend Micro, Bot Hunter de SRI International, y el

escaneo de Windows Live OneCare.

En el caso de Eset Nod32 Antivirus, las detecciones Win32/Spy.Zbot,

IRC/SdBot y Win32/AutoRun.IRCBot, entre otras, indican la presencia de

malware del tipo bot.


ANEXO T:RETO ANLISIS

FORENSEDIGITAL
Objetivos

Realizar un anlisis forense sobre una imagen de disco perteneciente al

principal sospechoso involucrado en un caso acoso a menores de edad as

como la distribucin de pornografa infantil a travs de internet.

Recolectar pruebas suficientes y vlidas para incriminar al sospechoso en el

caso sealado, y demostrar que este equipo fue utilizado para llevar a cabo

actividades ilcitas.

1. Descripcin de la Evidencia

Para llevar a cabo el anlisis se facilita un snapshot del sistema objetivo en

IRUPDWR ZPGN (9LUWXDO 0DFKLQH 'LVN)

La imagen a analizar podr ser descargada desde los siguientes enlaces:

Cada imagen posee el valor hash MD5, CRC32 y SHA-1 para comprobar su

integridad por medio de checksum, es decir que no haya sido manipulada

desde la obtencin de la misma.

Parte 1 del RetoForense Comunidad DragonJAR

CRC32: 76B78AE4

MD5: D542187FF2C9D651BAF40FF488C367FE

SHA-1: A51BA56118F094C910F9BF428ACF27FBD935679A
Parte 2 del RetoForense Comunidad DragonJAR

CRC32: 2F55CB1E

MD5: C33FA1AF1EBA82EB07182106E1A1B060

SHA-1: 63052A87F323BD729ACDB8AEF4FD311080E2D9C8

Parte 3 del RetoForense Comunidad DragonJAR

CRC32: 59CD3705

MD5: 08FF1B6A0E8CBD1DF1724B40B20228E2

SHA-1: D228E81F5FDC20F561967C8EBF15CD49B7EB6F96

Parte 4 del RetoForense Comunidad DragonJAR

CRC32: 125309ED

MD5: 6F0D583A6560D49004B9FD52065CDBC2

SHA-1: 29E52CD2A28CA65007CD16FD95418B566B1F0980

Parte 5 del RetoForense Comunidad DragonJAR

CRC32: 731CF2D6

MD5: 4FD27F4415BE756B0C47BD04C54D586C

SHA-1: FB6B31CD8A4D2ED5E6D9EF96B974485826F2399D
2. Entorno de trabajo

Para el estudio de la imagen adquirida vamos a utilizar el software VMware

Workstation, en el cual se carga la imagen del sistema operativo y se

conectaran los dispositivos necesarios con las herramientas forenses para

realizar el anlisis, en estos mismo dispositivos se almacenaran los datos

recolectados y fundamentales para la investigacin.

3. Herramientas utilizadas

Para llevar a cabo el anlisis nos ayudamos de varias herramientas forenses.

Tabla T. 1 - Herramientas forenses reto DrajonJar

Herramienta Descripcin
VMware Software de emulacin de mquinas
virtuales.
Deft extra Kit de herramientas y utilidades
forenses
Imager Lite Adquisicin y tratamiento de
imgenes para ser posteriormente
usadas y tratadas como de
evidencias forenses.
Lads Bsqueda de Alternate data Stream.
(ADS)
LAGADS Lista y extrae Alternate Data Stream

4. Recoleccin De Datos

Se proceder a recoger datos o rastros de los mismos existentes en:

Procesos en ejecucin

Servicios Activos
Programas Instalados

Temporales de Internet

Historial y Carpetas de Mensajera instantnea (MSN)

Clster no asignados del HD

Archivos borrados

5. Anlisis

5.1. Integridad de la evidencia

Descargada la imagen del disco es necesario verificar el checksum MD5

facilitado, para garantizar que la evidencia no haya sido alterada luego de

haber sido publicada.

Para obtener el valor MD5 realizamos los siguientes pasos:

1. Descomprime el MD5.ZIP, el cual se puede descargar de

http://www.mundoprogramacion.com/colabora/md5.zip

2. Copiar el fichero MD5.exe en una carpeta que est en PATH.

3. Abre una ventana de MS-DOS

4. En la ventana de comandos, escribir MD5 seguido de un espacio y

la ruta donde se encuentra el ZIP al que se quiere obtener el valor

de comprobacin.

5. Al dar ENTER se presenta una lista de nmeros hexadecimales.


6. Esta lista de letras y nmeros es la que tienes que usar para

comparar con el valor MD5 facilitado inicialmente.

Ilustracin T. 1 - MD5

5.2. Identificacin de la Evidencia

Una vez que cargamos la imagen con el Software VMWare Workstation,

al entrar a las propiedades del sistema podemos determinar:

El Sistema Operativo cargado es Windows XP corriendo con el

Service Pack 3.

&RPR XVXDULR SURSLHWDULR


WHQHPRV HO QRPEUH GH Scarface

La fecha de instalacin del S.O. fue el 15-12-2009


Ilustracin T. 2 Detalles Sistema Operativo

Para obtener los datos principales del sitema operativo utilizamos la

herramienta WinAudit.

El uso horario configurado es el de EE.UU. y Canad. Existe solo un

acuenta de usuario Admnistrador, la cual no tiene contrasea para

ingresar.
Ilustracin T. 3 - Detalles usuario administrador

5.3. Software instalado

Se determina el software instalado en el sistema.

Ilustracin T. 4 - Detalles Software instalado


Ilustracin T. 5 - Programas instalados

Determinamos los programas instalados en el equipo, dentro de los

cuales encontramos el software TrueCrypt , por lo que podramos

esperar encontrar ficheros o volmenes de discos duros encriptados.

5.4. Servicios y procesos en ejecucin

Determinamos los servicios y procesos que estn corriendo en el

sistema, de los cuales el que ms llama la atencin es el servicio de

TrueCrypt ejecutndose a nivel de Kernel y fue iniciado por el sistema, de

lo cual concluimos que el software que llama a este servicio se utiliza

normalmente.
Ilustracin T. 6 - Detalle WinAudit

5.5. Programas y servicios de inicio

Revisamos el software y los servicios que se ejecutan al iniciar el sistema

operativo, pero no encontramos algn software sospechoso.


Ilustracin T. 7 - Programas de arranque

5.6. Programas ejecutados en el sistema

Nuevamente vemos que el software TrueCrypt se ha ejecutado varias

veces. Le damos importancia a este software ya que sirve para cifrar y

ocultar datos en el ordenador usando diferentes algoritmos de cifrado.

Ilustracin T. 8 File Analyzer


6. Metodologa

6.1. %~VTXHGD GH $OWHUQDWH 'DWD 6WUHDP

Utilizando la herramienta LADS encontramos Metainformacin oculta

dentro del fichero Scarface.jpg.

Alternate Data Stream es una caracterstica de los archivos NTFS en los

que s oculta un fichero dentro de otro.

Ilustracin T. 9 - Bsqueda ADS

Al ejecutar este comando se realiza una bsqueda en el disco C, luego

se obtienen los resultados en el archivo resultado.txt

Ilustracin T. 10 ADS encontrado


Necesitamos ubicar la imagen en la que se encuentran los metadatos

ocultos, para esto usamos la herramienta FTK Imager

Ilustracin T. 11 - Tipo de fichero oculto

Necesitamos determinar qu tipo de fichero se encuentra oculto en la

imagen, para esto ejecutamos el comando more en la consola.

Ilustracin T. 12 Comando more

El resultado presenta que el fichero es un ejecutable.


Ya que tenemos la informacin del fichero, es decir donde est oculto y

que extensin tiene, procedemos a extraer el fichero oculto dentro de

Scarface.jpg. Para esto utilizaremos la herramienta LAGADS.

Ilustracin T. 13 - Extraer ADS

Como resultado se obtuvo un archivo hexadecimal VDOLGDKH[

Ilustracin T. 14 - Archivo oculto obtenido

Como ya conocemos la extensin del fichero oculto vamos a cambiar la

extensin .hex por .exe para determinar el programa que se ejecuta.


El software que se ejecuto es la herramienta que contiene datos cifrados

6WHJDQRV /RFN1RWH HO FXDO HV XQD KHUUDPLHQWD TXH SHUPLWH


FRGLILFDU
nuestros textos de una forma sencilla y fiable, utiliza el algoritmo AES de

256 bits.

Ilustracin T. 15 password Locknote

Esta herramienta nos pide una contrasea para poder acceder. Para

obtener la contrasea requerido vamos a buscar rastros dejados en el

equipo de esta informacin.

6.2. Bsqueda de volmenes de datos cifrados conTrueCrypt

Como primera estrategia vamos a realizar una bsqueda en el disco

duro, utilizando como parmetros archivos mayores a 1000 Kb y que no

posean extensin para poder compararlos con los del sistema que

cumplan estas condiciones y poder analizar los determinados como

sospechosos.
Ilustracin T. 16 - Fichero sospechoso

(O ILFKHUR TXH PiV VH GHVWDFD HV HO OODPDGR IDYRULWR


ORFDOL]DGR HQ OD
carpeta Favoritos, pesa 5.120 KB y no posee extensin, por lo tanto

podemos sospechar que es un volumen cifrado de datos.

Ilustracin T. 17 - Archivo sospechoso visto con FTK Imager


6.3. Localizacin de la aplicacinTrueCrypt

Necesitamos encontrar la aplicacin TrueCrypt para comprobar que el

ILFKHUR HQFRQWUDGR IDYRULWRV VH WUDWD GH XQ YROXPHQ FLIUDGR


FRQ HVWD
herramienta.

Como ya lo hemos determinado esta herramienta se encuentra

instalada en el equipo y corriendo en el sistema pero no es encontrada

en los archivos de programa o en su localizacin predefinida de

instalacin.

Ilustracin T. 18 - Archivos de programas


Ilustracin T. 19 Listado de programas

Verificamos la opcin de configuracin para mostrar carpetas y

archivos ocultos para proceder a realizar una bsqueda de la

aplicacin TrueCrypt por el motor del sistema operativo.

Ilustracin T. 20 - Mostrar archivos ocultos


Luego de realizar la bsqueda del ejecutable TrueCrypt no se

encontraron resultados.

Ilustracin T. 21 - Bsqueda de archivos

Sin embargo, al realizar la bsqueda por el nombre de TrueCrypt se

encuentran dos carpetas con este nombre, una con un archivo de

FRQILJXUDFLyQ &RQILJXUDWLRQ[PO \ OD RWUD VLQ FRQWHQLGR

Ilustracin T. 22 Resultado de la bsqueda


Para continuar en la bsqueda de esta aplicacin vamos a acceder a
los registros del sistema operativo con Regedit.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

Y encontramos una ruta modificada de TrueCrypt

Ilustracin T. 23 - Editor del Registro

Accedemos a la ruta que se nos indica para encontrar la aplicacin

C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst

Ilustracin T. 24 - TrueCrypt.exe
Podemos ejecutar la aplicacin.

Ilustracin T. 25 - Dispositivos montados

6.4. Archivos temporales de internet

Se van a realizar dos bsquedas principales: imgenes en cache y

XUOV YLVLWDGDV

Podemos hacer uso de las herramientas forenses y adems accesar al

ORV GDWRV GH OD UXWD 'RFXPHQWV DQG

Settings\Administrador\Configuracin local\Archivos temporales de

Internet\&RQWHQW,(
6.5. Imgenes de carcter pedfilo

Ilustracin T. 26 - Imgenes encontradas de contenido pedfilo

A primera vista con la herramienta Pre-Search podemos observar

varias imgenes de contenido pedfilo .

Ilustracin T. 27 - Imgenes encontradas de contenido pedfilo


Ilustracin T. 28 - Imgenes encontradas de contenido pedfilo

Se han encontrado varias imgenes que pueden ser clasificadas como

para nios y/o adolescentes. Muchas de estas corresponden a

SHOtFXODV GH 'LVQH\ SDUD QLxRV R DGROHVFHQWHV FRPR +LJK


6FKRRO
XVLFDO ODV FXDOHV
0 SXHGHQ VHU XWLOL]DGDV QRUPDOPHQWH FRPR
XQD
excusa para entablar conversaciones con los mismos.

6.6. %~VTXHGD GH 85/V \ DUFKLYRV GH LQWHUpV

Utilizamos la herramienta Index.dat Analizer para obtener informacin

GH 85/V YLVLWDGDV
Ilustracin T. 29 Bsqueda de URLs visitadas

Nos encontramos con informacin de inters, un registro en el portal

,PJ6UFUX FRQ los siguientes datos:

E-mail de registro:VFDUIDFHILVLFD#KRWPDLOFRP

Usuario:scarface123

Fecha:19-12-2009 -21:27:47

ImgSrc.ur segn la descripcin que aparece es un hosting de lbumes

de fotos.
Ilustracin T. 30 - Informacin de registro en el portal

Ilustracin T. 31 - Propiedades de archivos temporales


Ilustracin T. 32 - Informacin obtenida con FTK Imager

Existen rastros de acceso a la cuenta y dominio antes descrito, en el

TXH VH SXHGH DSUHFLDU HO FRQWHQLGR GH XQ iOEXP OODPDGR Otra

3 HQGHMD y quecontienefotografas detipopedfilo.

Ilustracin T. 33 - lbum encontrado en el portal


Se encontr que a este lbum RWUD SHQGHMD se subi una imagen

con el nombre de VH[\MSJ

Ilustracin T. 34 - Foto subida al lbum

Ilustracin T. 35 - Propiedades de la foto


Otra entrada muestra otra imagen de Disney subida al mismo lbum

con el nombre de OXQDUMSJ

Ilustracin T. 36 -Ilustracin R. 37 Foto subida a un lbum

Con la herramienta FTKImager buscamos ms informacin que fue

enviada al subir la imagen OXQDUMSJ


Ilustracin T. 38 - Datos del lbum subido al portal

Uno de los principales datos que encontramos es un password

VFDUIDFH quepuedeserutilizadoparaaccederalos lbumes, dela

misma manera obtenemos el nombre de un lbum 3ULQFHVD .

En la descripcin del lbum se encuentra un texto sospechoso de

inters para la investigacin, se puede leer que alguien envi fotos

bajo el engao de una enfermedad.


Podemos ver que el usuario 6FDUIDFH ha tenido acceso a su cuenta

de Hotmail VFDUIDFHILVLFD#KRWPDLOFRP podemos observar que

tiene un contacto SUHFLRVDQDWDOLD#KRWPDLOFRPen el cual

podemos notar cambios en su estado referenciando su afinidad con la

SHOtFXOD +LJK 6FKRRO 0XVLFDO UHFRUGDQGR TXH HO XVXDULR


6FDUIDFH
posee varias fotos de esta pelcula en su ordenador.

Ilustracin T. 39 - Datos encontrados en cuenta de correo hotmail

Ilustracin T. 40 - Propiedades del archivo temporal


Podemos determinar que con la cuenta de Hotmail y el usuario

6FDUIDFH serealizelregistroenelportal ImgSrc.ru

Ilustracin T. 41 - Index data analyzer, registro en el portal


Ilustracin T. 42 Index Data Analyzer, detalles de imgenes

Al momento de registrarse en ese portal se envi un correo con el

usuario y contrasea, las cuales obtuvimos del correo de confirmacin

de registro.
Ilustracin T. 43 - Datos en correo de hotmail

Referenciamos que el usuario recolecta mucha informacin y

fotografas de artistas juveniles y caricaturas infantiles.

Ilustracin T. 44 - Bsqueda de imgenes


+D UHDOL]DGR E~VTXHGDV GH LPiJHQHV GH OD SHOtFXOD
6FKRRO
+LJK

XVLFDO QRWLFLDV
0 YLGHRV \ GHPiV LQIRUPDFLyQ VREUH HVWD \
RWUDV
series infantiles y juveniles.

Ilustracin T. 45 - Bsqueda en la web contenido infantil

Ilustracin T. 46 - Bsqueda en la web contenido infantil


Ilustracin T. 47 Fechas de creacin archivos tempporales

Ilustracin T. 48 - Bsqueda en la web contenido infantil


6.7. Historial de mensajera instantnea MSN

Se busca informacin y rastros dejados de conversaciones con la

aplicacin de mensajera instantnea MSN.

6.8. Archivos fsicos en el disco duro

/DFXHQWD
VFDUIDFHILVLFD#KRWPDLOFRP
encuentra en la se

carpeta por defecto de Microsoft Messenger. No se encuentran

ningn log de conversaciones guardadas ni archivos recibidos

durante las mismas.


En la ruta:

DocumentsandSettings\Administrador\Temp\0HVVHQJHU&DFKH

que es la carpeta donde se almacenan archivos temporales de la

aplicacin MSN, se encontraron imgenes de contenido pedfilo que

son recibidas a travs de esta aplicacin.


6.9. Rastros en Cluster no Asignados

Ahora que determinamos que se han mantenido conversaciones por

la aplicacin Messenger y ya que no existen logs de estas, vamos a

profundizar en la bsqueda por los clster del disco duro filtrando la

bsqueda con la palabra clave PHVVDJH porque es el formato

utilizado en la estructura de las conversaciones del MSN.


&RQYHUVDFLRQHV HQWUH XVXDULR 6FDUIDFH \ 1DWDOLD 6H OH
SLGHQ
fotografas de ella con la excusa de que tiene lunares que podran

ser cancergeno, segn la apreciacin del usuario ScarfDFH 1DWDOLD

responde con temor y enva las fotos solicitadas.


&RQYHUVDFLRQHV HQWUH XVXDULR 6FDUIDFH \ &DPLOD
PDQWLHQHQ
FRQYHUVDFLRQHV LQDSURSLDGDV SRU SDUWH GHO XVXDULR 6FDUIDFH D
ODV
TXH &DPLOD UHVSRQGH FRQ GHVDJUDGR VH SURGXFHQ DPHQD]DV
Kacia
&DPLOD VL QR YXHOYH D FRQHFWDUVH 6FDUIDFH SXEOLFDUD
IRWRV GH HOOD
6FDUIDFH KD DYHULJXDGR LQIRUPDFLyQ GH &DPLOD FRPR
IDFHERRN
correo, etc.
6.10. Otros datos obtenidos del discoduro

(Q OD UXWD&\DocumentsSettings\Administrador\Mis
and

documentos\0L P~VLFD HQFRQWUDPRV XQ DUFKLYR GH DXGLR GH

extensin mp3 y que trata del desprecio a las mujeres.


/RV DUFKLYRV HQFRQWUDGRV
ODUXWD
&\Documents
HQ and

Settings\Administrador\Mis documentos\0LV LPiJHQHV VRQ XQD

LPDJHQ GH +LJK 6FKRRO 0XVLFDO \ RWUD OODPDGD 6FDUIDFH


FRQ
contenido ADS detallado anteriormente.

En los archivos recientes podemos ver imgenes cuya ruta de

DFFHVR HV OD XQLGDG = \ HQ RWURV FDVRV OD FDUSHWD


0LV
LPiJHQHV VL ELHQ ODV PLVPDV KDQ VLGR HOLPLQDGDV \D TXH

actualmente no se encuentran en la carpeta indicada.

RGHPRV QRWDU TXH3 H[LVWH XQD XQLGDG = PRQWDGD D OD TXH QR

es posible acceder de manera convencional.


7. Descripcin del hallazgo

Ahora describimos todos los datos obtenidos y enlazamos aquellas cosas

que no fueron cubiertas desde el principio como contraseas, etc.

7.1. Alternate Data Stream

Anteriormente se encontr un fichero oculto en el archivo

6FDUIDFHMSJ el cual es la aplicacin 6WHJDQRV /RFN1RWH Al

ejecutar esta aplicacin solicita una contrasea para acceder a los

datos cifrados, para esto probamos con las diferentes palabras claves

encontradas durante la investigacin.

Scarface: Nombre de usuario del computador

scarface123: Usuario de registro en el portal ImgSrc.ru

princesa: Nombre de lbum

scarface: Password para acceso a los lbumes

J9FVB779: Password del portal ImgSrc.ru


Obtuvimos VFDUIDFH como password vlida.

Descifrado

Al descifrar los datos obtuvimos la url, usuario y password

pertenecientes al portal ,PJ6UFXU que alberga los lbumes de

fotografas descritos anteriormente.

7.2. Volumen cifrado conTrueCrypt

Ejecutamos la aplicacin TrueCrypt encontrada en el equipo en la ruta

WINDOWS\$NtUninstallKB954155_WM9$\spuninst \D TXH QR VH

encuentra instalado en la carpeta por defecto sino que esa ruta fue
modificada por una no convencional con la intencin de mantenerlo

oculto.

Cargamos el volumen IDYRULWRV , encontrado anteriormente como

posible volumen de datos cifrado, y lo montamos en la unidad =

que es la unidad encontrada en los archivos recientes del ordenador.

Para esto necesitamos una contrasea, para lo cual probamos

nuevamente con las palabras claves encontradas durante la

investigacion, dando como password valida 6FDUIDFH


Al montar la unidad ] se localizan las imgenes de contenido pedfilo

expuestas anteriormente.
La hora y fecha de cada imagen est relacionada con las conversaciones a

travs del MSN entre 6FDUIDFH y las posibles vctimas.


7.3. Portal ImgSrv.ru

Ubicamos en el browser la url

http://imgsrc.ru/main/user.php?user=scarface123y encontramos

dos lbumes de imgenes protegidos por contrasea con los nombres

3ULQFHVD \ 2WUD 3HQGHMD.

$FFHGHPRV DO iOEXP 3ULQFHVD \ SRQHPRV FRPR FRQWUDVHxD


scarface
Al acceder a este lbum encontramos 4 fotos de contenido pedfilo.

$FFHGHPRV DO RWUR iOEXP HQFRQWUDGR HQ HO VLWLR OODPDGR


2WUD
HQGHMD FRQ OD 3
PLVPD FODYH VFDUIDFH HQ HO TXH HQFRQWUDPRV
IRWRV
de contenido pedfilo.
7.4. Conversaciones recuperadas dela aplicacin Messenger

Se puede establecer rastros de conversaciones mantenidas entre el

sospechoso y dos vctimas por medio de Messenger, al no contar con

los log de conversaciones, se procedi a realizar un anlisis al archivo

pageFile.sys en busca de rastros de conversaciones

Se encontraron fragmentos de conversaciones mantenidas con dos

FRQWDFWRV &DPLOD \ 1DWDOLD


El sospechoso mantienen una conversacin con una de sus vctimas

el usuario Camila, la conversacin es en un tono amenazante por

parte del sospechoso a su vctima, en la cual le informa que ha

averiguado informacin personal y la amenaza con enviarles unas

fotos a los contactos de la vctima si es que ella no vuelve a

conectarse y hacer lo que l le indique, se pudo obtener fragmentos

de la conversacin como se indica a continuacin:

La fecha de la conversacin: 19-12-2009 Hora inicio: 23:04:07 Hora

fin: 23:12:29

La fecha de la conversacin: 19-12-2009 Hora inicio: 23:10:51 Hora

fin: 23:13:54
El sospechoso mantuvo conversaciones con la usuario Natalia en la

cual el sospechoso le solicitaba unas fotos a la vctima con la excusa

de ver unos lunares que podran ser cancergenos, ya que l le indica

a la vctima que conoce de este tipo de enfermedades, ante lo cual la

victima accede a enviarles la fotos para que le d su opinin. Se

encontraron fragmentos de esta conversacin los cuales se indica a

continuacin:

La fecha de la conversacin: 19-12-2009 Hora inicio: 21:16:04 Hora

fin: 21:17:04
La fecha de la conversacin: 19-12-2009 Hora inicio: 21:20:44 Hora fin:

21:33:08
8. Posibles vctimas del sospechoso.

Se realiza una bsqueda en con el parmetro como palabra clave

#KRWPDLO HQ HO DUFKLYR GH SDJLQDFLyQ GH :LQGRZV


SDJD)LOHV\V FRQ OD
finalidad de localizar todas las posibles vctimas, dando como resultado lo

siguiente:

Se encontraron tres direcciones de correo electrnico de las cuales una

es perteneciente al sospechoso y las otras dos son pertenecientes a las

vctimas del presunto delito.

scarface1f i s i ca@hotma i l.com

prec i osa.natalia@hotma il .com


cam il a1linda2@hotma i l.com

A continuacin, con la ayuda de la herramienta LiveContactsView se

confirma los contactos que tena agregado scarface1fisica@hotmail.com,

a su cuenta de Messenger, que a su vez son los mismos que se

obtuvieron de la informacin obtenida del archivo pagefile.sys.

9. Cronologade actividades

Fecha Hora Descripcin Detalle


Instalacin del Windows XP
15-Dic-2009
sistema operativo Professional
Bsquedas de Bsqueda acerca de
imgenes, videos y figuras infantiles y de
19-Dic-2009 21:06:15
noticias de la pelcula High
contenidos infantiles School Musical
Registro en el portal Repositorio de
19-Dic-2009 21:27:47
,PJ6UFUX lbumes con
Fecha Hora Descripcin Detalle
contenido pedfilo
Subida foto
Foto enviada por
19-Dic-2009 21:35:14 OXQDUMSJ DO SRUWDO
XVXDULR 1DWDOLD
ImgSrc.ru
Encontrado en
carpeta distinta a la
de instalacin por
19-Dic-2009 21:56:25 Instalacin TrueCrypt
defecto, fue
cambiada para
ocultar la aplicacin.
Imgenes
Creacin de encontradas en la
imgenes carpeta Mis
19-Dic-2009
Scarface.jpg y High- Imgenes,
s1.jpg Scarface.jpg tiene
contenido ADS
Subida foto
Foto enviada por
19-Dic-2009 23:38:41 VH[\MSJ DO SRUWDO
XVXDULR &DPLOD
ImgSrc.ru
Creacin volumen de
19-Dic-2009 21:59:42
GDWRV RFXOWR IDYRULWR
Conversaciones via
Conversaciones con
19-Dic-2009 23:12:54 MSN con usuario
contenido poco usual
Camila
Conversaciones via
Conversaciones con
20-Dic-2009 02:16:04 MSN con usuario
contenido poco usual
Natalia
Creacin lbum
lbum con contenido
20-Dic-2009 05:36:35 3ULQFHVD en el
pedfilo
portal ,PJ6UFUX
&UHDFLyQ iOEXP 2WUD
lbum con contenido
20-Dic-2009 07:39:41 3HQGHMD en el portal
pedfilo
,PJ6UFUX
ltima modificacin
20-Dic-2009 2:59:53 en volumen cifrado
de datos
ANEXOU: LUGARES DONDE
ENCONTRAR EVIDENCIA DIGITAL
Evidencias voltiles

Registros internos de los dispositivos

Memoria fsica

Memoria cache

Registro de estado de la red

Registros de procesos en ejecucin

Contenido del portapapeles

Archivos abiertos

Servicios activos y drivers

Registro de comandos ejecutados

Usuarios conectados y autenticados

Hora y fecha

Evidenciasno voltiles

Discos duros internos y externos.

Dispositivos de almacenamiento externos.

Dispositivos de conectividad internos y externos.


ANEXO V:HARDWAREPARA EL
LABORATORIO FORENSE
1. Herramientas De Duplicacin

Presentamos una tabla comparativa de acuerdo a las caractersticas

que poseen ciertos equipos especializados que se utilizan en el

anlisis forense digital, para poder realizar esta comparacin


(1) (23)
tomamos como referencia el sitio oficial de los productos .

Tabla V 1- Comparacin de herramientas de duplicacin

Forensictalon Omniclone
Echoplus Supersonix
kit 2Xi

Velocidadde
copiado Hasta 1.8 Hasta 4 Hasta 6 Hasta 3.7
GB/min.
Conectividad
Si Si Si Si
IDE
Conectividad
Si Si Si Si
SATA
Conectividad
No No Si No
USB
Otras
EIDE, UDMA UDMA,SCSI Firewire No
conectividad
Soporta
clonacin No No No Si
mltiple
Nmerode
1 1 1 2
discos
Similar a disco Similar a disco
Tamao -- --

Accesorios
incluidos
Cables Si Si Si Si
Adaptadores No Si No No
Fuentede
Si Si Si Si
alimentacin
Software Si Si Si Si
Impresora
No Si No No
trmica
Otros -- Clonacard pro -- --
Precio
1,011.06 6,130.74 2,341.67 3,110.23
USD

(1) LogiCube. 15 de Abril 2011. <h tt p :// www .l og i cube . com>


2. Accesorios Adicionales

Entre los accesorios adicionales que se debe de poseer en el

laboratorio forense digital, que servir para el trabajo a desempearse

en l, tenemos:

Disco duro externo de 4 TB como con puerto FIREWIRE, Para

aprovechar la mayor velocidad de transmisin de datos.

Grabador de DVDs, CDs y Blu-Ray externo.

Medios de almacenamiento como CD, DVD, Blu-Ray, Pendrive,

discos duro externo, para respaldo y presentacin de reportes

tcnicos.

Dispositivos USB, tales como, teclados, mouse, cmaras web,

impresoras, grabadoras de audio y video.

Cables estndar tales como IDE, SATA, de alimentacin,

extensiones USB, cables FIREWIRE, cables de red categora 5e.

Adaptador SATA a IDE, el cual convierte una interfaz sata en una

interface IDE.

Adaptador IDE a SATA el cual convierte una interfaz IDE en

interface SATA para mainboard que no soporten interfaz IDE.

Adaptador IDE/SATA a USB, este adaptador permite convertir un

disco duro interno a externo ya que el disco puede ser conectado

por USB al computador sin necesidad de abrirlo.


Reguladores de voltaje, UPS, para proteger a los equipos de las

variaciones de voltajes.

Juego de herramientas para ensamblaje de computadores,

aspiradora para el polvo.

Dispositivos de bloqueo contra escritura en discos duros, para

utilizarlo en el anlisis de los discos que se tengan como evidencia

en un caso.

Mdem, switch, router, para la configuracin de la topologa de la

red que usar el laboratorio.


BIBLIOGRAFAY REFERENCIAS

[1] Stewart Juliea, Swap File (swap space or pagefile),


http://searchw i n i t.techtarget.com/defin i t i on/swap-file
, fecha de creacin
31 de Julio 2000.

[2] Wikipedia, Windows bitmap,


http://es.w i k i pedia.org/w i ki/Windows_b i tmap, fecha de consulta 1 de
Mayo 2011.

[3] Villaln Huerta Antonio - WikiLearning, Seguridad en Unix y redes


Los bits SUID, SGID y sticky,
http://www.w i kilearn i ng.com/tutor i a l /segur i dad_en_un i x_y_redes-
l os_b i ts_su i d_sg i d_y_st i cky/9777-15
, 1 de Mayo 2011.

[4] Wikipedia, Blu-ray Disc, http://es.w i kiped i a.org/w i ki/B l u-ray_D


, fecha
i sc
de consulta 12 Mayo 2011.

[5] Blogspot , Como funciona una bolsa antiesttica,


http://linkmk.b l ogspot.com/2010/07/como-funciona-una-bo l sa-
antiestat i ca.htm, fecha
l de creacin 5 de Julio 2010.

[6] Garca Noguera Noelia, Bomba lgica,


http://www.de li tos i nformaticos.com
, fecha de creacin 29 de Diciembre
2001.

[7] Linguee, Botnet traduccin al espaol, http://www.l i nguee.es, fecha de


consulta 1 de Mayo 2011.

[8] Wikipedia, Error de software,


http://es.w i k i pedia.org/w i ki/Error_de_software
, fecha de consulta 1 de
Mayo 2011.

[9] Esato, Ecuador OtQHDV WHOHIyQLFDV XWLOL]DGDV SDUD %\ 3DVV


fueron anuladas en el 2007,
http://www.esato.com/board/viewtop i c.php?top i c=175501, fecha de
creacin 21 de Septiembre 2008.
[10] Supertel, Fraude en telecomunicaciones en el Ecuador,
http://www.superte l .gob.ec/ i ndex.php?opt i on=com_content&view=artic l
e& i d=536:fraude-en-te l ecomun i cac i ones-en-el-
ecuador&cat i d=114&Item i d=223 , fecha de creacin 23 de Marzo 2010.

[11] Wikipedia , Cookie, http://es.w i k i ped i a.org/w i ki/Cookie


, fecha de
consulta 12 de Mayo 2011.

[12] Diccionario de la Real Academia de la Lengua Espaola vigsima


segunda edicin 2001, Cibercriminal, http://www.rae.es , fecha de
consulta 15 de Mayo 2011.

[13] Diccionario de la Real Academia de la Lengua Espaola vigsima


segunda edicin 2001, Ciberdelincuencia, http://www.rae.es , fecha de
consulta 15 de Mayo 2011.

[14] WiseDataSecurity , Skimming: Clonacin de tarjetas de crdito,


http://www.w i sedatasecur i ty.com/clonacion-tar j etas-cred i to.htm l,
fecha de consulta 1 de Mayo 2011.

[15] Alegsa - Diccionario de informtica, definicin de Firewall,


http://www.a l egsa.com.ar/Dic/f i rewall.php
, fecha de consulta 1 de
Mayo 2011.

[16] Master Magazine, Definicin de Criptografa,


http://www.mastermagazine. i nfo/term i no/4478.php
, fecha de creacin
11 de Febrero 2005.

[17] Alegsa - Diccionario de informtica, Definicin de Directorio Activo,


http://www.a l egsa.com.ar/Dic/d i rector i o%20activo.php
, fecha de
consulta 1 de Mayo 2011.

[18] Wikipedia, Escner de computadora,


http://es.w i k i pedia.org/w i ki/Esc%C3%A1ner_de_computadora
, fecha
de consulta 6 de Mayo 2011.

[19] Wikipedia, Esteganografa,


http://es.w i k i pedia.org/w i ki/Esteganograf%C3%ADa
, fecha de
consulta 1 de Mayo 2011.
[20] Alegsa - Diccionario de informtica, Definicin de Exploit,
http://www.a l egsa.com.ar/Dic/exp l o i t.php
, fecha de consulta 1 de
Mayo 2011.

[21] Interbusca, Definicin Exploit,


http://ant i virus. i nterbusca.com/g l osar i o/EXPLOIT.htm
, fecha
l de
consulta 1 de Mayo 2011.

[22] Interbusca, Definicin Firewire,


http://ant i virus. i nterbusca.com/g l osar i o/FIREWIRE.htm l, fecha de
consulta 1 de Mayo 2011.

[23] Alegsa - Diccionario de Informtica, Definicin Firma Digital,


http://www.a l egsa.com.ar/Dic/f i rma%20d i g i ta ,lfecha
.php de consulta
1 de Mayo 2011.

[24] Wikipedia , Alternate Data Streams,


http://es.w i k i pedia.org/w i ki/A l ternate_Data_Streams
, fecha de
consulta 21 de Abril 2011.

[25] Alegsa - Diccionario de informtica, Definicin Gusano,


http://www.a l egsa.com.ar/Dic/gusano.php, fecha de consulta 1 de
Mayo 2011.

[26] Master magazine, Los hackers,


http://www.seguridadpc.net/hackers.htm, fecha de consulta 1 de
Mayo 2011.

[27] Wikipedia, Hash, http://es.wikipedia.org/wiki/Hash, fecha de consulta


10 de Mayo 2011.

[28] Master Magazine, Definicin de Log,


http://www.mastermagazine. i nfo/term i no/5610.php
, fecha de creacin
12 de Febrero 2005.

[29] Wikipedia , Malware, http://es.w i k i pedia.org/w i ki/Ma l ,ware


fecha de
consulta 10 de Mayo 2011.

[30] Wikipedia, Mquina virtual,


http://es.w i k i pedia.org/w i ki/M%C3%A1qu i na_virtua
, fecha
l de
consulta 10 de Mayo 2011.
[31] Alegsa - Diccionario de informtica, Definicin Metadato,
http://www.alegsa.com.ar/Dic/etiqueta%20metadato.php, fecha de
consulta 1 de Mayo 2011.

[32] Wikipedia, Phishing,


http://es.w i k i pedia.org/w i ki/Ph i sh i ng#Or i gen_de_ l a_pa
, fecha
l abra
de
consulta 1 de Mayo 2011.

[33] Wikipedia, Phreaking, http://es.w i k i ped i a.org/w i ki/Phreak


, fecha
i ng de
consulta 1 de Mayo 2011.

[34] Alegsa - Diccionario de informtica, Definicin Script,


http://www.a l egsa.com.ar/Dic/scr i pt.php
, fecha de consulta 1 de Mayo
2011.

[35] Wikipedia, Biometra, http://es.w i k i ped i a.org/w i k i /Biometr%C3%ADa,


fecha de consulta 1 de Mayo 2011.

[36] Wikipedia, Software, http://es.wikipedia.org/wiki/Software, fecha de


consulta 1 de Mayo 2011.

[37] Wikipedia , Suma de verificacin,


http://es.w i k i pedia.org/w i ki/Suma_de_ver i f i cac i %C3%B3n
, fecha de
creacin 28 de Noviembre 2010.

[38] Wikipedia , Virus informtico,


http://es.w i k i pedia.org/w i ki/V i rus_ i nformtico
, fecha de consulta 13 de
Mayo 2011.

[39] Alegsa - Diccionario de informtica, Definicin Vulnerabilidad,


http://www.a l egsa.com.ar/Dic/vu l nerabil i dad.php, fecha de creacin 1
de Mayo 2011.

[40] Bur de anlisis informativo, Segn las Fiscala es necesaria una ley
para regular delitos informticos,
http://www.burodeana li s i s.com/2010/09/07/segun-la-f i scalia-es-
necesar i a-una-ley-para-regu l ar-delitos- i nformaticos/
, fecha de
creacin 7 Septiembre 2010.

[41] Ley de comercio electrnico, firmas electrnicas y mensajes de


datos. Ley No. 67 Registro Oficial Suplemento 557 del 17 de abril del
2002.
[42] Acurio Santiago, Plan Operativo de creacin de la Unidad de Delitos
Informticos del Ministerio pblico,
http://www.oas.org/jur i d i co/span i sh/cyb_ecu_p l an_operat i vo.pdf
,
fecha de consulta 10 de Abril 2011.

[43] Acurio Santiago, Manual de manejo de evidencias digitales y


entornos informticos - Alfa-Redi: Polticas de la Sociedad de la
Informacin, http://www.a l fa-red i .com/apc-aa-
a l fared i / i mg_up l oad/9507fc6773bf8321fcad954b7a344761/acur i o3.pd
f, fecha de consulta 10 de Abril del 2011.

[44] Wikipedia , Delito informtico,


http://es.w i k i pedia.org/w i ki/Delito_ i nform%C3%A1tico
, fecha de
consulta 12 de Mayo 2011.

[45] INTECO Instituto Nacional de Tecnologas de la Comunicacin,


Convenio de Ciberdelincuencia del Consejo de Europa,
http://www.inteco.es/w i kiAct i on/Segur i dad/Observatorio/area_ j ur i d i ca/
Encic l opedia_Jur i d i ca/Art i cu l os_1/conven i o_ciberdelincuenc i a_de l _c
onse j o_europa, fecha de consulta 15 de Abril 2011.

[46] Clasificacin de delitos informticos, Boletn de las Naciones Unidas


sobre los delitos informticos de 2002.

[47] Vasquez Magaly Chacon Nelson, Ciencias Penales: temas


actuales. Homenaje al R.P. Fernando Prez Llantada S. J.,
Universidad Catlica Andrs Bello, Caracas 2004, pg. 583.

[48] Instituto de investigaciones jurdicas de la UNAM, Datos del Dr. Julio


Tllez Valds,
http://www. j ur i d i cas.unam.mx/invest/d i rector i o/investigador.htm?p=tell
ez, fecha de consulta 15 de Abril 2011.

[49] Instituto Nacional de Ciencias Penales, Datos de la Dra. Mara de Luz


Lima,
http://www.inacipe.gob.mx/index.php?option=com_content&view=arti
cle& id=452%3Amar i a-de-la- l uz- li ma-ma l vido&catid=53&Item, i d=78
fecha de consulta 15 de Abril 2011.

[50] Ley Orgnica de Transparencia y Acceso a la Informacin Pblica -


Ecuador, Registro Oficial 337. 18 de mayo del 2004 Suplemento.

[51] Ley de Propiedad Intelectual - Ecuador, Registro oficial 320 del 19 de


mayo de 1998.
[52] Ley de Telecomunicaciones - Ecuador, Ley N 184 Registro Oficial
996 10 de agosto 1992.

[53] Ley de Control Constitucional - Ecuador, Registro Oficial No. 52 -


Jueves 22 de Octubre de 2009.

[54] Cdigo de Procedimiento Penal del Ecuador. Ley No. 000. Registro
Oficial/ Suplemento 360 de 13 de Enero del 2000.

[55] Ley 19223. Chile en Mayo 28 de 1993.

[56] Cdigo Penal de Argentina Ley 26.388 de Junio 4 de 2008.

[57] Ley 1273 de 2009 modificacin al Cdigo Penal de Colombia Diario


Oficial No. 47.223 de 5 de enero de 2009.

[58] Wikipedia, Computer Fraud and Abuse Act,


http://en.w i k i ped i a.org/w i ki/Computer_Fraud_and_Abuse_Act
, fecha
de consulta 10 de Mayo 2011.

[59] SEGU-INFO, Legislacin y Delitos Informticos Alemania,


http://www.segu-info.com, fecha de consulta 15 Abril 2011.

[60] SEGU-INFO, Legislacin y Delitos Informticos Austria,


http://www.segu-info.com, fecha de consulta 15 Abril 2011.

[61] SEGU-INFO, Legislacin y Delitos Informticos Francia,


http://www.segu-info.com, fecha de consulta 15 Abril 2011.

[62] SEGU-INFO, Legislacin y Delitos Informticos Espaa,


http://www.segu- i nfo.com, fecha de consulta 15 Abril 2011.

[63] Huilcapi Arturo - Revista Judicial, El delito informtico,


http://www.derechoecuador.com/index.php?option=com_content&tas
k=view& i d=3091&Item i d=426 , fecha de consulta 15 de Abril 2011.

[64] SEGU-INFO blog, Qu es el Convenio de Cibercriminalidad de


Budapest?, http://segu i nfo.wordpress.com, fecha de creacin 25 de
Marzo 2010.

[65] BSA, BSA - Business Software Alliance,


http://www.bsa.org/G l oba l Home.aspx
, fecha de consulta 10 de Abril
2011.
[66] Wikipedia, Organizacin de las Naciones Unidas,
http://es.w i k i pedia.org/w i ki/Organ i zaci%C3%B3n_de_ l as_Naciones_
Unidas, fecha de consulta 10 de Mayo 2011.

[67] Organizacin de Estados Americanos, Una estrategia interamericana


integral de seguridad ciberntica: Un enfoque multidimensional y
multidisciplinario para la creacin de una cultura de seguridad
ciberntica,
http://www.oas.org/jur i d i co/english/cyb_pry_estrateg i a.pdf
, fecha de
consulta 10 de Abril 2011.

[68] Acurio Santiago, Introduccin a la informtica forense Alfa-Redi:


Polticas de la Sociedad de la Informacin, http://www.a l fa-
red i .com/apc-aa-
a l fared i / i mg_up l oad/9507fc6773bf8321fcad954b7a344761/Acur i, o.pdf
fecha de consulta 10 de Abril del 2011.

[69] Cano Jeimy, Introduccin a la informtica forense - asociacin


colombiana de Ingenieros de Sistemas,
http://www.acis.org.co/fileadm i n/Revista_96/dos.pdf, fecha de
consulta 10 de Abril 2011.

[70] PC World, Analisis forense - Cmo investigar un incidente de


seguridad,
http://www.idg.es/pcwor l dtech/mostrarart i cu l o.asp?id=194718&seccio
n=segur i dad, fecha de creacin 10 de Marzo 2009.

[71] Lpez Delgado Miguel, Anlisis forense digital Computerforensics,


edicin 2da junio 2007, fecha de consulta 15 de Abril 2011.

[72] Wikipedia, EdmonLocard,


http://es.w i k i pedia.org/w i ki/Edmond_Locard
, fecha de creacin 18
Septiembre 2009.

[73] Ghosh Ajoy, HB:171:2003 Guidelines for the Management of IT


Evidence - 2003. United Nations Public Administration Network,
http://unpan1.un.org/intradoc/groups/pub li c/documents/APCITY/UNP
AN016411.pdf , Fecha de consulta 10 de Abril 2011.

[74] Acurio Santiago, Perfil sobre los delitos informticos en el Ecuador -


Alfa-Redi: Polticas de la Sociedad de la Informacin, http://www.a l fa-
red i .com/apc-aa-
alfaredi/img_upload/9507fc6773bf8321fcad954b7a344761/acurio1.pd
f, fecha de consulta 10 de Abril del 2011.

[75] Wikipedia, Doctrina del fruto del rbol envenenado,


http://es.wikipedia.org/wiki/Doctrina_del_fruto_del_%C3%A1rbol_env
enenado, fecha de consulta 8 de Abril 2011.

[76] Secreto de la correspondencia. Artculo 23 de la Constitucin Poltica


de la Repblica del Ecuador, numeral 13.

[77] Ley 184 de Telecomunicaciones Registro Oficial No. 996 artculo 14.
Derecho al secreto de las Telecomunicaciones - Ecuador.

[78] Wikipedia, Peritaje Informtico,


http://es.w i k i pedia.org/w i ki/Perita j e_ i nform%C3%A1tico
, fecha de
consulta 15 de Abril 2011.

[79] Cano Jeimy, Estado del Arte del Peritaje Informtico en


Latinoamrica. Alfa-redi: Polticas de la Sociedad de la Informacin,
http://www.a l fa-red i .com/apc-aa-
a l fared i / i mg_up l oad/374d0ee90831e4ebaa1def162fa50747/Estado_d
e l _Arte_de l _Per i ta j e_Informatico_en_Lat i noamer ,i fecha
ca.pdfde
consulta 10 de Abril 2011.

[80] Martos Juan, El perito informtico ese gran desconocido,


http://www.recoverylabs.com/prensa/2006/10_06_perita j e.htm, fecha
de creacin Octubre 2006 - RecoveryLabs.

[81] Arnaboldi Federico, Perito informtico,


http://www.per i ta j e i nformatica.com.ar/per i to i nformatico/
, fecha de
creacin 1 de Julio 2010.

[82] Funcin Judicial, Consejo judicatura, Normativa Que Rige Las


Actuaciones Y Tabla De Honorarios De Los Peritos En Lo Civil, Penal
Y Afines, Dentro De La Funcin Judicial,
http://www.funcion j ud i c i a l .gov.ec/www/pdf/reso l uc i ones/reso l uc i on%2
031%20de%20 j ulio%20de%202009.pdf , fecha de consulta 10 de Abril
2011.

[83] Giovanni Zuccardi - Juan David Gutirrez, Informtica Forense -


certificacin Forensia digital,
http://www.gatl i n i nternationa l .es/cata l ogue/course/forens i c_computer
_exam i ner , fecha de consulta 10 de Abril 2011.
[84] Gatlininternational.es, Certificacin Forensia digital,
http://www.gatl i n i nternationa l .es/cata l ogue/course/forens i c_computer
_exam i ner, fecha de creacin Noviembre de 2006.

[85] Allgeier Michael, Digital Media Forensics,


http://www.symantec.com/connect/articles/digital-media-forensics,
fecha de creacin 7 de Mayo 2000.

[86] S.G.K. Publigua de Internet, Principios Forenses,


http://www.segur i nfo.es/?Contenido=Conten i do.asp&CAId=501
, fecha
de consulta 1 de Mayo 2011.

[87] Slideshare, Cadena de custodia,


http://www.sl i deshare.net/luchotor i b i o/cadena-de-custodia-co l omb
, ia
fecha de consulta 1 de Mayo 2011.

[88] Gmez Leopoldo Sebastin - Revista Informtica Alfa-Redi, Gua


Operativa para Procedimientos Judiciales con secuestro de
tecnologa Informtica, http://www.a l fa-redi.org/rd i -
art i cu l o.shtm l ?x=6216
, fecha de creacin 5 de Junio 2006.

[89] Fiscala general de la nacin Colombia - Universidad Sergio


Arboleda, Manual del sistema de cadena de custodia,
http://www.usa.edu.co/derecho_penal/2004-
MANUAL%20CADENA%20DE%20CUSTODIA.pdf , fecha de consulta
1 de Mayo 2011.

[90] Microsoft, Gua fundamental de investigacin informtica para


Windows, http://technet.m i crosoft.com/es-es/library/cc162837.aspx
,
fecha de creacin 11 de Enero 2007.

[91] Code of practices for digital forensics, Cdigo de Prcticas para


Digital Forensics, http://cp4df.sourceforge.net/flashmob03/doc/03-
Metodo l ogia-rev3.pdf , fecha de consulta 1 de Mayo 2011.

[92] Ph.D. Cano Jeimy, Evidencia Digital,


http://www.deceva l .com/M l ega l /JEIMY%20JOS%C3%89%20CANO%
20MART%C3%8DNEZ.pdf, fecha de consulta 15 de Mayo 2011.

[93] Revista Digital Universitaria, Dispositivos mviles, anlisis forenses y


sus futuros riesgos,
http://www.revista.unam.mx/vo l .9/num4/art26/ i nt26.htm , fecha de
creacin 10 de Abril 2008.
[94] Scribd, Instalacin de Centros de Cmputo,
http://es.scr i bd.com/doc/4555611/Insta l ac i on-de-Centros-de-
Computo, fecha de consulta 26 de Abril 2011.

[95] NCJRS, Forensic Laboratories: Handbook for Facility Planning,


Design. Construction, and Moving,
http://www.nc j rs.gov/pdffiles/168106.pdf, fecha de consulta 26 de
Abril 2011.

[96] Seguridad en Amrica, Proteccin contra incendios en sites de


cmputo, http://segur i dadenamer i ca.com.mx/2010/04/proteccion-
contra- i ncend i os-en-s i tes-de-computo/
, fecha de creacin 8 de Abril
2010.

[97] Jorge Antonio, Medidas De Prevencin De Un Centro De Computo,


http://jorgeanton i o.soy.es/, fecha de creacin 26 de Octubre 2009.

[98] Gmez Leopoldo - Pericias informticas, Gua de implementacin de


un laboratorio de informtica forense,
http://per i cias i nformaticas.sytes.net
, fecha de creacin 1 de Enero
2009.

[99] UNIVO, Diseo del centro de cmputo,


http://www.un i vo.edu.sv:8081/tes i s/014213/014213_Cap5.pdf
, fecha
de consulta 15 de Abril 2011.

[100] Comunidad DragonJar, Primer Reto de Anlisis Forense Comunidad


DragonJar, http://www.dragon j ar.org/pr i mer-reto-de-analis i s-
forense-comun i dad-dragon j ar.xhtm, fecha
l de consulta 1 de Abril
2011.

[101] Normas ISO, Normas ISO, http://www.iso.org , fecha de consulta 1


de Abril 2011.