Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TRABAJO DE GRADUACIÓN
PRESENTADO POR:
DICIEMBRE DE 2019
2
JURADOS DEL TRABAJO DE GRADUACIÓN
3
Dedicatoria
A MIS PADRES: José Teódulo Calles Menjivar y María Gladis Viera de Calles, por ser
los principales motores de mis sueños, por sus consejos y por cada una de sus
palabras que me guiaron durante mi vida.
4
Dedicatoria
A LOS AMIGOS: que de una u otra manera me incentivaron en todo este proyecto a
no desistir.
5
Dedicatoria
A MIS PADRES: María Rosario Mauricio y Pilar López, que, aunque no pudieron
acompañarme físicamente en la bendición de convertirme en padre y en la bendición
de culminar mi carrera, pero sé que me apoyan desde donde estén.
6
Índice
Siglas ........................................................................................................................ 23
Introducción ............................................................................................................... 26
7
2.3.3 Decreto 260, Ley Especial contra los Delitos Informáticos y Conexos ...... 50
2.4 Marco regulatorio (buenas prácticas, regulaciones, procesos) .........................54
2.4.1 COBIT 5 (ISACA) ...................................................................................... 55
2.4.2 ITIL ............................................................................................................ 61
2.4.3 ISO 9001:2015 .......................................................................................... 65
2.4.4 ISO/IEC 27001:2013 ................................................................................. 66
2.4.5 ISO/IEC 27037:2012 ................................................................................. 67
2.4.6 ISO/IEC 27040:2015 ................................................................................. 70
2.4.7 ISO/IEC 27042:2015 ................................................................................. 70
2.5 Marco técnico ...................................................................................................72
2.5.1 Seguridad informática ............................................................................... 72
2.5.2 Amenazas ................................................................................................. 75
2.5.3 Seguridad física......................................................................................... 77
2.5.4 Seguridad lógica........................................................................................ 78
2.5.5 Seguridad de redes ................................................................................... 79
2.5.6 Informática forense.................................................................................... 80
2.5.7 Perfil del perito informático forense ........................................................... 86
Perfil del perito propuesto. ......................................................................................90
Capítulo 3. Metodología ............................................................................................ 92
8
4.7 Proceso de auditoría informática forense .......................................................112
El trabajo de Laboratorio ......................................................................................112
Análisis de Información .........................................................................................113
Documentación y presentación de resultados ......................................................115
Ejemplo de procedimiento de creación de imágenes con el software forense
Forensic Tool Kit (FTK). ........................................................................................132
Conclusiones ........................................................................................................... 137
Recomendaciones................................................................................................... 138
9
Índice de ilustraciones
10
Ilustración 24. Seleccionar ruta para guardar temporalmente la imagen. ............... 135
Ilustración 25. Asignar ruta, nombre y nivel de compresión luego seleccionar Finish
................................................................................................................................ 136
Ilustración 26. Esperar creación de imagen forense ............................................... 136
Ilustración 27. Resolución a Solicitud de Información (2019) Fuente: Elaboración
propia. ..................................................................................................................... 147
Ilustración 28. Resolución a Solicitud de Información (2019) Fuente: Elaboración
propia. ..................................................................................................................... 148
Ilustración 29. Respuesta a Solicitud de Información (2019) Fuente: Elaboración
propia. ..................................................................................................................... 149
Ilustración 30. Respuesta a segunda solicitud de información (2019) Fuente:
Elaboración propia. ................................................................................................. 150
Ilustración 31. Respuesta a segunda solicitud de información (2019) Fuente:
Elaboración propia. ................................................................................................. 151
11
Índice de tablas
12
Glosario de términos
13
Bien Jurídico Protegido: es la información que garantice y proteja el ejercicio
de derechos fundamentales como la intimidad, honor, integridad sexual,
propiedad, propiedad intelectual, seguridad pública, entre otros.
Bugs: Un error de software, error o simplemente fallo es un problema en un
programa de computador o sistema de software que desencadena un resultado
indeseado.
Caballo de Troya: Es un software malicioso que opera como un programa
legítimo inofensivo y útil para el usuario, pero que una vez acceda a la máquina
del usuario inicia la destrucción de los programas instalados y obtiene acceso a
toda la información contenida en la computadora.
Cadena de Custodia: se refiere al registro (documento), ineludible que debe
hacerse siempre, sobre la posesión y custodia de los indicios encontrados en el
lugar de la investigación, desde que son descubiertos, transportados y
analizados en el laboratorio hasta su destino final de depósito.
Ciberdelincuencia: son los delitos asociados con la prevalencia de
computadoras (por ejemplo, violación de derechos de autor, piratería de
software, robo de componentes).
Ciberofensor: se desplazan del espacio físico al escenario virtual, y de este
modo se manifiesta en sitios como redes sociales, chats, foros, correo
electrónico, páginas web, blogs, videojuegos, entre otros; que incluyen
actuaciones de chantaje, vejaciones e insultos hacia otras personas.
Computación Forense: es una rama de la ciencia forense digital, cuya razón
de ser, es fundamentar adecuadamente los correctos y estrictos procesos, que
conducen a satisfacer los requerimientos legales en el ámbito digital de los
sistemas judiciales.
Comunicación Electrónica: es toda transmisión de datos informáticos, cuyo
contenido puede consistir en audio, texto, imágenes, videos, caracteres
alfanuméricos, signos, gráficos de diversa índole o cualquier otra forma de
expresión equivalente, entre un remitente y un destinatario a través de un
sistema informático y las demás relacionadas con las Tecnologías de la
Información y la Comunicación.
14
Confidencialidad: se trata de la cualidad que debe poseer un documento o
archivo para que éste solo se entienda de manera comprensible o sea leído por
la persona o sistema que esté autorizado. Un ejemplo de control de la
confidencialidad sería el uso cifrado de clave simétrica en el intercambio de
mensajes.
Crackers: es un término más preciso para describir una persona, que intenta
obtener acceso no autorizado a los recursos de la red, con intención maliciosa.
Criminología: es una ciencia humana e interdisciplinaria que tiene como
objetivo el estudio del delincuente, el lugar de los hechos, el delito, las
conductas desviadas, el control social, con relación al delito mismo, sin dejar de
lado del todo a la víctima, la cual será en todo caso objeto total de estudio.
Criminólogo: es el profesional que se encarga del estudio de la delincuencia,
su prevención y tratamiento, a través de la disciplina de la criminología.
Datos Informáticos: es cualquier representación de hechos, información o
conceptos en un formato digital o análogos, que puedan ser almacenados,
procesados o transmitidos en un sistema informático, cualquiera que sea su
ubicación, así como las características y especificaciones que permiten
describir, identificar, descubrir, valorar y administrar los datos.
Datos Personales Sensibles: son los que corresponden a una persona en lo
referente al credo, religión, origen étnico, filiación o ideologías políticas,
afiliación sindical, preferencias sexuales, salud física y mental, situación moral,
familiar y otras informaciones íntimas de similar naturaleza o que pudieran
afectar el derecho al honor, a la propia imagen, a la intimidad personal y familiar.
Datos Personales: es la información privada concerniente a una persona,
identificada o identificable, relativa a su nacionalidad, domicilio, patrimonio,
dirección electrónica, número telefónico u otra similar.
Datos: es el conjunto de información lógica; los datos constituyen el elemento
que es el más amenazado y seguramente el más difícil de recuperar.
Delito Cibernético: es toda aquella acción antijurídica que se realiza en el
espacio digital o de internet.
15
Delito Informático: se considerará la comisión de este delito, cuando se haga
uso de las Tecnologías de la Información y la Comunicación, teniendo por objeto
la realización de la conducta típica y antijurídica para la obtención, manipulación
o perjuicio de la información.
Disponibilidad: se resume como la capacidad de un servicio, datos o de un
sistema a ser accesible y aprovechable para los usuarios o procesos
autorizados cuando lo requieran. También se refiere a la capacidad de que la
información pueda ser recobrada en el momento que se necesite.
Dispositivo: es cualquier mecanismo, instrumento, aparato, medio que se
utiliza o puede ser utilizado para ejecutar cualquier función de la Tecnología de
la Información y la Comunicación.
Drones: son aeronaves no tripuladas que se controlan de forma remota.
Enrutadores: (Router), se trata de un producto de hardware que permite
interconectar computadoras que funcionan en el marco de una red.
Espionaje Informático: según el art. 12, Decreto 260, LEY ESPECIAL
CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; el que con fines
indebidos obtenga datos, información reservada o confidencial contenidas en
un sistema que utilice las Tecnologías de la Información y la Comunicación o
en cualquiera de sus componentes.
Estafa Informática: según el art. 10, Decreto 260, LEY ESPECIAL CONTRA
LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; el que manipule o influya
en el ingreso, el procesamiento o resultado de los datos de un sistema que
utilice las Tecnologías de la Información y la Comunicación, ya sea mediante el
uso de datos falsos o incompletos, el uso indebido de datos o programación,
valiéndose de alguna operación informática o artificio tecnológico o por
cualquier otra acción que incida en el procesamiento de los datos del sistema o
que dé como resultado información falsa, incompleta o fraudulenta, con la cual
procure u obtenga un beneficio patrimonial indebido para sí o para otro.
Exámenes Serológicos: es el estudio que permite comprobar la presencia de
anticuerpos en la sangre.
16
Exploits: programas que sirven para aprovechar los fallos en la programación
conocidos como bugs, de un sistema, programa o aplicación informática.
Firewalls: es un sistema de defensa basado en el hecho de que todo el tráfico
de entrada o salida a la red debe pasar obligatoriamente por un sistema de
seguridad capaz de autorizar, denegar, y tomar nota de todo aquello que ocurre,
de acuerdo con una política de control de acceso entre redes.
Forense: De la administración de justicia o relacionado con ella.
Fraude Informático: según el art. 11, Decreto 260, LEY ESPECIAL CONTRA
LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; el que por medio del uso
indebido de las Tecnologías de la Información y la Comunicación, valiéndose
de cualquier manipulación en sistemas informáticos o cualquiera de sus
componentes, datos informáticos o información en ellos contenida, consiga
insertar instrucciones falsas o fraudulentas que produzcan un resultado que
permita obtener un provecho para sí o para un tercero en perjuicio ajeno.
Gigabytes: es una unidad de almacenamiento de información cuyo símbolo es
el GB, equivalente a 109(1 000 000 000 -mil millones-) de bytes.
Grafoscópicas: es la prueba que determinar la autenticidad o la falsedad del
origen de un manuscrito o de una firma.
Gusanos: son programas capaces de ejecutarse y propagarse por sí mismos a
través de redes, en ocasiones portando virus o aprovechando bugs de los
sistemas a los que se conectan para dañarlos, al ser difíciles de programar no
soy muy comunes pero el daño que causan es grave.
Hackeo: este hace referencia a las actividades que buscan comprometer los
dispositivos digitales, como ordenadores, teléfonos inteligentes, tabletas e
incluso redes enteras.
Hacker: es alguien que descubre las debilidades de un computador o un
sistema de comunicación e información, aunque el término puede aplicarse
también a alguien con un conocimiento avanzado de computadoras y de redes
informáticas.
Hardware: entendemos el conjunto de todos los elementos físicos de un
sistema informático.
17
Holístico(a): La holística es aquello perteneciente al holismo, una tendencia o
corriente que analiza los eventos desde el punto de vista de las múltiples
interacciones que los caracterizan.
Hubs: (Concentrador), es un elemento de red que sirve para conectar varios
equipos entre sí.
Hurto por medios Informáticos: según el art. 13, Decreto 260, LEY ESPECIAL
CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; el que por
medio del uso de las Tecnologías de la Información y la Comunicación, se
apodere de bienes o valores tangibles o intangibles de carácter personal o
patrimonial, sustrayéndolos a su propietario, tenedor o poseedor, con el fin de
obtener un provecho económico para sí o para otro.
Imagen forense: Llamada también "Espejo", la cual es una copia bit a bit de un
medio electrónico de almacenamiento. En la imagen quedan grabados los
espacios que ocupan los archivos, áreas borradas incluyendo particiones
escondidas.
Informática Forense: rama de las ciencias forenses, disciplina auxiliar a la
justicia, que consiste en la aplicación de técnicas que permiten adquirir, validar,
analizar y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional.
Integridad: es la cualidad que posee un documento o archivo que no ha sido
alterado y que, además, permite comprobar que no se ha producido
manipulación alguna en el documento original.
Interceptar: es la acción de apropiarse, interrumpir, escuchar o grabar datos
informáticos contenidos o transmitidos en cualquier medio informático antes de
llegar a su destino.
Manipulación de Servicio: según el art. 15, Decreto 260, LEY ESPECIAL
CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; los
Administradores de las Plataformas Tecnológicas de instituciones públicas o
privadas, que deshabiliten, alteren, oculten, destruyan, o inutilicen en todo o en
parte cualquier información, dato contenido en un registro de acceso, uso de los
componentes de éstos.
18
Material Pornográfico de Niñas, Niños y Adolescentes: es toda
representación auditiva o visual, ya sea en imagen o en vídeo, adoptando un
comportamiento sexualmente explícito, real o simulado de una persona que
aparente ser niña, niño o adolescente adoptando tal comportamiento.
Medio de Almacenamiento de Datos Informáticos: es cualquier dispositivo a
partir del cual la información es capaz de ser leída, grabada, reproducida o
transmitida con o sin la ayuda de cualquier otro medio idóneo.
Memory Stick: son un tipo de familia memoria flash removible, lanzadas
por Sony en octubre de 1998. Sus principales formatos competidores son
Compact Flash (CF) y Secure Digital (SD), (memorias de almacenamiento).
No repudio de Destino: el receptor no puede negar que recibió el mensaje,
porque el emisor tiene pruebas de la recepción.
No repudio en Origen: el emisor no puede negar el envío, porque el
destinatario tiene pruebas del mismo, el receptor recibe una prueba infalsificable
del envío.
No Repudio: es un servicio de seguridad, estrechamente relacionado con la
autenticación y que permite probar la participación de las partes en una
comunicación.
Órgano Judicial: es uno de los tres órganos del Estado al cual le corresponde
la administración de justicia (juzgar, ejecutar), (según la Constitución de la
República en el artículo 172 dice: La Corte Suprema de Justicia, las Cámaras
de Segunda Instancia y los demás Tribunales que establezcan las leyes
secundarias, integran el Órgano Judicial.) el cual ejerce el Poder Judicial en la
República de El Salvador.
Panamá Papers: famoso caso sobre la filtración de información confidencial,
que involucraba a personalidades con grandes capacidades económicas, entre
ellos políticos y empresarios salvadoreños.
19
a que pertenezca el punto sobre el que han de pronunciarse, siempre que la
profesión, arte o técnica estén reglamentadas. En caso contrario, podrá
designarse a personas de idoneidad manifiesta. También podrá designarse a
un perito con título obtenido en el extranjero cuando posea una experiencia o
idoneidad especial.
Peritos Accidentales: son los que nombra la autoridad judicial para una pericia
determinada.
Peritos Permanentes: son:
a) Los directores o jefes de los centros asistenciales del Estado o los que
aquéllos designen.
b) Los especialistas de las facultades y escuelas de la Universidad de El
Salvador y de las dependencias del Estado e instituciones oficiales
autónomas.
c) miembros de cualquier asociación o institución cuya finalidad sea el
estudio o análisis de la medicina legal y de las ciencias forenses, que
desempeñen algún cargo o empleo público.
d) Los nombrados por la Corte Suprema de Justicia en el Instituto de
Medicina Legal o en cualquier otra dependencia de la misma.
e) Los técnicos y especialistas de la Policía Nacional Civil.
Proceso Judicial: es el conjunto de actos jurídicos que se llevan a cabo para
aplicar la ley a la resolución de un caso.
Programa Informático: es la rutina o secuencia de instrucciones en un
lenguaje informático determinado que se ejecuta en un sistema informático,
pudiendo ser éste un ordenador, servidor o cualquier dispositivo, con el
propósito que realice el procesamiento y comunicación de los datos
informáticos.
Programas Conejo o Bacterias: bajo este nombre se conoce a un programa
que no hace nada útil, sino, que simplemente se delimita a reproducirse, hasta
que el número de copias acaba con los recursos del sistema, produciendo una
negación del servicio.
20
Proveedor de Servicios: es la persona natural o jurídica que ofrece uno o más
servicios de información o comunicación por medio de sistemas informáticos,
procesamiento o almacenamiento de datos.
Redes Sociales: es la estructura o comunidad virtual que hace uso de medios
tecnológicos y de la comunicación para acceder, establecer y mantener algún
tipo de vínculo o relación, mediante el intercambio de información.
Seguridad en Redes: es el que tiene el objetivo de mantener el intercambio de
información libre de riesgo y proteger los recursos informáticos de los usuarios
y las organizaciones.
Seguridad Física: consiste en la aplicación de barreras físicas y
procedimientos de control como medidas de prevención y contra medidas ante
amenazas a los recursos y la información confidencial, se refiere a los controles
y mecanismos de seguridad dentro y alrededor de la obligación física de los
sistemas informáticos.
Seguridad Informática: consiste en asegurar que los recursos del sistema de
información de una organización, se utilizan en la manera que se decidió y que
el acceso a la información contenida, así como su modificación solo sea posible
por parte de las personas que se encuentren autorizadas y dentro de los límites
de su acreditación.
Sistema Informático: es un elemento o grupo de elementos interconectados o
relacionados, pudiendo ser electrónicos, programas informáticos, enlaces de
comunicación o la tecnología que en el futuro los reemplace, orientados al
tratamiento y administración de datos e información.
Software: entendemos el conjunto de programas lógicos que hacen funcionar
el hardware, tanto sistemas operativos como aplicaciones.
Switch: es un dispositivo que conecta varios elementos dentro de una red.
Tarjeta Inteligente: es el dispositivo que permite mediante la ejecución de un
programa la obtención de bienes, servicios, propiedades o información.
Técnicas de Negación de Servicio: según el art. 14, Decreto 260, LEY
ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS, 2016; el
que, de manera intencionada, utilizando las técnicas de la denegación de
21
servicio o prácticas equivalentes que afectaren a los usuarios que tienen
pertenencia en el sistema o red afectada, imposibilite obtener el servicio.
Tecnologías de la Información y la Comunicación: es el conjunto de
tecnologías que permiten el tratamiento, la comunicación de los datos, el
registro, presentación, creación, administración, modificación, manejo,
movimiento, control, visualización, distribución, intercambio, transmisión o
recepción de información en forma automática, de voz, imágenes y datos
contenidos en señales de naturaleza acústica, óptica o electromagnética, entre
otros.
Tráfico de Datos Informáticos: son aquellos que se transmiten por cualquier
medio tecnológico, pudiendo mostrar el origen, destino, ruta, hora, fecha,
tamaño, duración de la comunicación, entre otros.
Troll Center: en el año 2015, en El Salvador se dio a conocer lo que se
denominó como caso “Troll Center”, el cual consistió, en dos ataques de
clonación del sitio web de el periódico salvadoreño La Prensa Gráfica.
Unidad de Navegación por Satélite: estas pueden contener pruebas cruciales
relativas a los movimientos de un sospechoso y descartar hipótesis hechas por
el investigador basadas en reportes externos de ubicación, como publicaciones
falsas en redes sociales por parte del ciberofensor.
Valores Hash: son algoritmos que consiguen crear a partir de una entrada (ya
sea un texto, una contraseña o un archivo), una salida alfanumérica de longitud
normalmente fija, que representa un resumen de toda la información que se le
ha dado, a partir de los datos de la entrada crea una cadena que solo puede
volverse a crear con esos mismos datos.
Virus: es una secuencia de código que se inserta en un fichero ejecutable
denominado huésped, de manera que cuando el archivo se ejecuta el virus
también lo hace, insertándose a sí mismo en otros programas.
Vulnerabilidad: (en términos de informática), es una debilidad o fallo en un
sistema de información que pone en riesgo la seguridad de la información
pudiendo permitir que un atacante pueda comprometer la integridad,
disponibilidad o confidencialidad de la misma.
22
Wikileaks: (del inglés leak, “fuga”, “goteo”, “filtración [de información]”), es una
organización mediática internacional sin ánimo de lucro, que publica a través de
su sitio web, informes anónimos y documentos filtrados con contenido sensible
en materia de interés público, preservando el anonimato de sus fuentes.
Siglas
23
IDS: Sistema de Detección de Intrusiones, (en inglés, Intrusion Detection
System; IDS)
INL: Asuntos Narcóticos y Aplicación de la Ley, (por sus siglas en inglés INL)
INTERPOL: Policía Internacional
IRS: División de Investigación Criminal del Servicio de Impuestos Internos
ISACA: Asociación de Auditoría y Control de Sistemas de Información (en
inglés, Information Systems Audit and Control Association; ISACA)
ISO: Organización Internacional por la Normalización (en inglés, International
Organization for Standardization; ISO)
ISP: Proveedor de Servicios de Internet, (en inglés, Internet service provider;
ISP)
ITCA: Instituto Tecnológico Centroamericano
ITCHA: Instituto Tecnológico de Chalatenango
ITIL: Biblioteca de Infraestructura de Tecnologías de la Información (en inglés,
Information Technology Infraestructure Library; ITIL)
JES: Sociedad de Educación y Justicia (en inglés, Justice Education Society)
NSA: Agencia Nacional de Seguridad (en inglés, National Security Agency;
NSA)
PHVA: Es el ciclo de mejora continua, Planear, Hacer, Verificar y Actuar.
PNC: Policía Nacional Civil
SDT: Sección de Delitos Tecnológicos
SGC: Sistema de Gestión de la Calidad
SIN: Subdirección de Investigaciones
SIAT, S.A de C.V: Servicio Integral de Asistencia Técnica, Sociedad Anónima
de Capital Variable
TI: Tecnología de Información
UCA: Universidad Centroamericana José Simeón Cañas
UCAD: Universidad Cristiana de las Asambleas de Dios
UDB: Universidad Don Bosco
UDI: Unidad de Delitos Informáticos
24
UEES: Universidad Evangélica de El Salvador
UES: Universidad de El Salvador
UFG: Universidad Francisco Gavidia
UGB: Universidad Capitán General Gerardo Barrios
UJMD: Universidad Dr. José Matías Delgado
ULS: Universidad Luterana de El Salvador
UMA: Universidad Modular Abierta
UMOAR: Universidad Oscar Arnulfo Romero
UNAB: Universidad Andrés Bello
UNICAES: Universidad Católica de El Salvador
UNIVO: Universidad de Oriente
UNODC: Oficina de Naciones Unidas contra la Droga y el Delito
UNICEF: Fondo de las Naciones Unidas para la Infancia
UPED: Universidad Pedagógica de El Salvador
UPES: Universidad Politécnica de El Salvador
USAM: Universidad Salvadoreña Alberto Masferrer
USB: Puerto de Seriado Universal, conocida como “Memoria Flash” (en inglés,
Universal Serial Bus; USB)
USO: Universidad de Sonsonate
UTEC: Universidad Tecnológica de El Salvador
25
Introducción
26
permiten obtener información íntegra de los soportes informáticos, los cuales son
puestos a disposición en un proceso judicial, para su valoración o análisis. El hecho
de entender los procesos de la auditoría informática forense, será de mucha ayuda
para el Órgano Judicial y los entes auxiliares de investigación, como es la FGR y la
PNC, pues conocerán de las metodologías y equipo forense utilizado, para la
extracción de la información en los equipos informáticos; así mismo las metodologías
utilizadas por algunas personas, para realizar actos que trasgreden la ley, con la
utilización de equipo informático.
27
Capítulo 1. El problema
1.3 El tema
28
1.4 Antecedentes
El flagelo mundial de los actos ilícitos, utilizando equipos informáticos, cada día se está
transformando en un fenómeno de múltiples cambios y mutación permanente,
optimizando su capacidad de adaptación, a toda clase de sistemas de control que se
interpongan a su paso. Una de las particularidades que posee, es su vínculo y progreso
asociado al arrasador avance informático y tecnológico del siglo XXI. Como
consecuencia de ello, los actos ilícitos cometidos utilizando equipos informáticos,
adquieren versatilidad, imponiéndose en cualquier nación o continente, sin importar
idioma, raza, cultura o religión, es decir, sin ninguna clase de impedimentos que
vulneren su existencia o que impidan su devastador avance. Los actos ilícitos
utilizando equipos informáticos, no son un fenómeno estático; la sociedad está en
constante evolución y permanentemente surgen nuevas modalidades de delitos.
Además, la delincuencia adapta su comportamiento en función de los sistemas de
control existentes, por lo que, si éstos permanecen invariables, la eficacia de los
controles se reduce considerablemente.
29
durante la investigación se recupera información de mucha utilidad, para los procesos
judiciales. Hablando de la historia reciente o al adentrarse a un contexto más
contemporáneo, es posible hacer mención de algunos casos muy conocidos, en donde
la principal herramienta para realizar actividades ilegales, han sido los sistemas y
equipos informáticos, por ejemplo, se tiene:
Otro caso muy sonado, fue el de Edward Snowden, ex técnico de la CIA, que trabajó
para la Agencia Nacional de Seguridad, (NSA); el 6 de junio 2013 hizo públicos
documentos y programas, que revelaban espionaje de los Estados Unidos en las
comunicaciones a diferentes países, entre ellos a Hong Kong y china, desatándose
una crisis diplomática con muchos países. Hasta la fecha, se mantiene tal situación.
Snowden, solicitó asilo a una decena de países, entre ellos Venezuela y Nicaragua,
finalmente recibió asilo temporal por un año en Rusia, el cual le ha sido extendido
hasta 2020 (El País, 2013).
En 2016, sale a la luz el caso conocido como Panamá Papers, (la firma legal panameña
Mossak Fonseca), sociedad offshore, que ayudó a clientes a lavar dinero, esquivar
sanciones y evadir impuestos. En éste caso, se filtró información confidencial, que
involucraba a personalidades con grandes capacidades económicas, entre ellos
políticos y empresarios salvadoreños (Llorente, 2016).
30
En el año 2015, en El Salvador se dio a conocer lo que se denominó como caso Troll
Center, el cual consistió, en dos ataques de clonación del sitio web de el periódico
salvadoreño La Prensa Gráfica, uno el 8 de julio de 2015 y el segundo el 22 de julio
del mismo año, aparecieron los nombres de Mayra Morán y Andrés Marín, quienes
compraron los dominios para colgar ahí, los sitios falsos. Se vinculó con este acto
ilícito, al entonces alcalde de San Salvador, Nayib Armando Bukele; en parte gracias
a este famoso caso, se terminó de impulsar en El Salvador, la Ley Especial de Delitos
Informáticos y Conexos (López, 2017).
De igual forma los problemas que tuvo la candidata Hilary Clinton, por el uso que le
dio a su correo electrónico personal, enviando documentos clasificados (Mars, 2018).
1.5 Objetivos
31
Describir algunas herramientas, tanto software (programas), como hardware
(equipo informático especializado), necesarias para realizar el proceso de una
auditoría informática forense.
1.6 Justificación
1.7 Limitantes
32
confidencial; es por ello, que se considera necesario y oportuno realizar este tipo de
investigación, precisamente por la poca información existente respecto al tema.
1.8 Alcances
1.9 Hipótesis
33
hora de esclarecer actos ilícitos, relacionados con el uso de equipos informáticos y
robustecerá el Sistema Judicial de El Salvador.
34
Capítulo 2. Marco teórico
Del mismo modo, esta investigación muestra la situación actual en tanto a la educación
superior en El Salvador, presentando las mallas curriculares de algunas de las
universidades, escuelas e institutos superiores y también de las escuelas e institutos
técnicos que imparten diplomados, maestrías, cursos y carreras relacionadas con la
35
informática, mostrando en la realidad comprobable, si dichas instituciones de
educación superior, están considerando o no, la importancia de la auditoría informática
forense y están preparando especialistas con conocimientos sólidos, que en un futuro
puedan realizar estas actividades en su campo profesional.
2.1.1 Definiciones
36
a) Delito Informático: se considerará la comisión de este delito, cuando se
haga uso de las Tecnologías de la Información y la Comunicación,
teniendo por objeto la realización de la conducta típica y antijurídica para
la obtención, manipulación o perjuicio de la información;
b) Bien Jurídico Protegido: es la información que garantice y proteja el
ejercicio de derechos fundamentales como la intimidad, honor, integridad
sexual, propiedad, propiedad intelectual, seguridad pública, entre otros;
c) Datos Informáticos: es cualquier representación de hechos,
información o conceptos en un formato digital o análogos, que puedan
ser almacenados, procesados o transmitidos en un sistema informático,
cualquiera que sea su ubicación, así como las características y
especificaciones que permiten describir, identificar, descubrir, valorar y
administrar los datos;
d) Medio de Almacenamiento de Datos Informáticos: es cualquier
dispositivo a partir del cual la información es capaz de ser leída, grabada,
reproducida o transmitida con o sin la ayuda de cualquier otro medio
idóneo;
e) Sistema Informático: es un elemento o grupo de elementos
interconectados o relacionados, pudiendo ser electrónicos, programas
informáticos, enlaces de comunicación o la tecnología que en el futuro
los reemplace, orientados al tratamiento y administración de datos e
información;
f) Comunicación Electrónica: es toda transmisión de datos informáticos,
cuyo contenido puede consistir en audio, texto, imágenes, videos,
caracteres alfanuméricos, signos, gráficos de diversa índole o cualquier
otra forma de expresión equivalente, entre un remitente y un destinatario
a través de un sistema informático y las demás relacionadas con las
Tecnologías de la Información y la Comunicación;
g) Dispositivo: es cualquier mecanismo, instrumento, aparato, medio que
se utiliza o puede ser utilizado para ejecutar cualquier función de la
Tecnología de la Información y la Comunicación;
37
h) Interceptar: es la acción de apropiarse, interrumpir, escuchar o grabar
datos informáticos contenidos o transmitidos en cualquier medio
informático antes de llegar a su destino;
i) Programa Informático: es la rutina o secuencia de instrucciones en un
lenguaje informático determinado que se ejecuta en un sistema
informático, pudiendo ser éste un ordenador, servidor o cualquier
dispositivo, con el propósito que realice el procesamiento y comunicación
de los datos informáticos;
j) Proveedor de Servicios: es la persona natural o jurídica que ofrece uno
o más servicios de información o comunicación por medio de sistemas
informáticos, procesamiento o almacenamiento de datos;
k) Tráfico de Datos Informáticos: son aquellos que se transmiten por
cualquier medio tecnológico, pudiendo mostrar el origen, destino, ruta,
hora, fecha, tamaño, duración de la comunicación, entre otros;
l) Tecnologías de la Información y la Comunicación: es el conjunto de
tecnologías que permiten el tratamiento, la comunicación de los datos, el
registro, presentación, creación, administración, modificación, manejo,
movimiento, control, visualización, distribución, intercambio, transmisión
o recepción de información en forma automática, de voz, imágenes y
datos contenidos en señales de naturaleza acústica, óptica o
electromagnética, entre otros;
m) Datos Personales: es la información privada concerniente a una
persona, identificada o identificable, relativa a su nacionalidad, domicilio,
patrimonio, dirección electrónica, número telefónico u otra similar;
n) Datos Personales Sensibles: son los que corresponden a una persona
en lo referente al credo, religión, origen étnico, filiación o ideologías
políticas, afiliación sindical, preferencias sexuales, salud física y mental,
situación moral, familiar y otras informaciones íntimas de similar
naturaleza o que pudieran afectar el derecho al honor, a la propia
imagen, a la intimidad personal y familiar;
38
o) Material Pornográfico de Niñas, Niños y Adolescentes: es toda
representación auditiva o visual, ya sea en imagen o en vídeo, adoptando
un comportamiento sexualmente explícito, real o simulado de una
persona que aparente ser niña, niño o adolescente adoptando tal
comportamiento. También se considerará material pornográfico, las
imágenes realistas que representen a una niña, niño o adolescente
adoptando un comportamiento sexualmente explícito o las imágenes
reales o simuladas de las partes genitales o desnudos de una niña, niño
o adolescente con fines sexuales;
p) Tarjeta Inteligente: es el dispositivo que permite mediante la ejecución
de un programa la obtención de bienes, servicios, propiedades o
información; y,
q) Redes Sociales: es la estructura o comunidad virtual que hace uso de
medios tecnológicos y de la comunicación para acceder, establecer y
mantener algún tipo de vínculo o relación, mediante el intercambio de
información (Decreto 260, LEY ESPECIAL CONTRA LOS DELITOS
INFORMÁTICOS Y CONEXOS, 2016).
r) Debido Proceso: envuelve, comprensivamente, el desarrollo progresivo de
prácticamente todos los derechos fundamentales de carácter procesal o
instrumental, como conjuntos de garantías de los derechos de goce, cuyo disfrute
satisface inmediatamente las necesidades o intereses del ser humano, es decir de
los medios tendientes a asegurar su vigencia y eficacia.
39
nuevas tecnologías para delinquir, las autoridades pueden hacer uso de estas, no solo
para prevenir el delito, sino para descubrirlo y encontrar pruebas fidedignas, esto hace
necesario que aparezcan nuevas formas de investigar y analizar.
40
2.2.1 Historia de la informática forense
41
Ilustración 3. Historia de la informática forense 1998-2001 Aldo Valdez (2018).
Fuente: Elaboración Propia
42
2.3 Marco legal
Como principio y base de este marco legal y en busca de garantizar el debido proceso,
se ha tomado en cuenta los Artículos 2, 3 y los Artículos 11 inciso primero, 12, 13 y 14
de la Cn. Ya que estos explican los derechos individuales de cada persona y la garantía
del debido proceso.
“Art. 2. Toda persona tiene derecho a la vida, a la integridad física y moral, a la libertad,
a la seguridad, al trabajo, a la propiedad y posesión, y a ser protegida en la
conservación y defensa de los mismos.
Art. 3. Todas las personas son iguales ante la ley. Para el goce de los derechos civiles
no podrán establecerse restricciones que se basen en diferencias de nacionalidad,
raza, sexo o religión.
No se reconocen empleos ni privilegios hereditarios.” (DECRETO N° 38
CONSTITUCIÓN DE LA REPÚBLICA DE EL SALVADOR, 1983)
Art. 11. Ninguna persona puede ser privada del derecho a la vida, a la
libertad, a la propiedad y posesión, ni de cualquier otro de sus derechos
sin ser previamente oída y vencida en juicio con arreglo a las leyes; ni
puede ser enjuiciada dos veces por la misma causa.
43
La persona detenida debe ser informada de manera inmediata y
comprensible, de sus derechos y de las razones de su detención, no
pudiendo ser obligada a declarar. Se garantiza al detenido la asistencia
de defensor en las diligencias de los órganos auxiliares de la
administración de justicia y en los procesos judiciales, en los términos
que la ley establezca.
44
Dichas medidas de seguridad deben estar estrictamente reglamentadas
por la ley y sometidas a la competencia del Órgano Judicial.
“Art. 172.- La Corte Suprema de Justicia, las Cámaras de Segunda Instancia y los
demás tribunales que establezcan las leyes secundarias, integran el Órgano Judicial.
Corresponde exclusivamente a este Órgano la potestad de juzgar y hacer ejecutar lo
juzgado en materias constitucionales, civil, penal, mercantil, laboral, agraria y de lo
contencioso-administrativo, así como en las otras que determine la ley.
45
“Art. 193.- Corresponde al Fiscal General de la República:
46
Artículo 184. Cada objeto y documento incautado en alguna de las
inspecciones reguladas en los artículos anteriores, será asegurado,
embalado y custodiado para evitar la suplantación o la alteración del
mismo. Ello se hará observando las reglas de cadena de custodia
establecidas en este Código.
Artículo 201. Cuando se tengan razones fundadas para inferir que una
persona posee información constitutiva de delito o útil para la
investigación, almacenada en equipos o instrumentos tecnológicos de su
propiedad o posesión, el fiscal solicitará la autorización judicial para
adoptar las medidas que garanticen la obtención, resguardo o
almacenamiento de la información; sin perjuicio que se ordene el
secuestro respectivo.
47
Durante dispositivos de entrega bajo cobertura policial, operaciones
policiales encubiertas, allanamientos, requisas penitenciarias o de
cualquier lugar de detención y en los casos de flagrancia previa dirección
funcional de la Fiscalía General de la República, la policía podrá adoptar
las medidas que garanticen la obtención, resguardo o almacenamiento
de la información almacenada en equipos o instrumentos tecnológicos y
que sea útil para la investigación, sin perjuicio de que pueda procederse
a su incautación.
Son peritos accidentales los que nombre la autoridad judicial para una
pericia determinada. En el caso de los peritos permanentes no será
48
necesaria su juramentación o protesta para la práctica de las diligencias;
su salario habitual serán sus honorarios y la institución para la cual
trabajan estará obligada a conceder el permiso para la pericia.
49
Artículo 291. Tratándose de delitos contra derechos de propiedad
intelectual, el fiscal aplicará adicionalmente, las medidas siguientes: La
incautación o decomiso de los objetos presuntamente falsificados, todos
los materiales y accesorios utilizados para la comisión del delito, todo
activo relacionado con la actividad infractora y toda evidencia documental
relevante al delito.
Los materiales incautados serán identificados individualmente cuando
ello sea posible y necesario.
Cuando no fueren útiles al proceso, previa autorización judicial, se
ordenará la destrucción de los objetos falsificados o que impliquen
infracción a los derechos de autor o derechos conexos, con el fin de evitar
su ingreso en el comercio; así como la de los materiales e implementos
utilizados en la creación de los objetos ilícitos (Decreto N° 733, Código
Procesal Penal, 2008).
2.3.3 Decreto 260, Ley Especial contra los Delitos Informáticos y Conexos
En el año 2016, entró en vigencia la Ley Especial contra los Delitos Informáticos y
Conexos, la cual trajo consigo una mayor y más específica regulación a los delitos
informáticos, por lo cual es preciso considerar los artículos siguientes:
50
Artículo 6. El que intencionalmente y por cualquier medio interfiera o
altere el funcionamiento de un sistema informático, de forma temporal o
permanente, será sancionado con prisión de tres a cinco años. Se
considerará agravada la interferencia o alteración, si ésta recayera en
programas o sistemas informáticos públicos o en sistemas informáticos
destinados a la prestación de servicios de salud, de comunicaciones, de
provisión y transporte de energía, de medios de transporte u otros de
servicio público, o destinados a la prestación de servicios financieros, la
sanción de prisión será de tres a seis años.
51
mismos fines para cometer cualquiera de los delitos establecidos en la
presente Ley, será sancionado con prisión de tres a cinco años.
Estafa informática
Artículo 10. El que manipule o influya en el ingreso, el procesamiento o
resultado de los datos de un sistema que utilice las Tecnologías de la
Información y la Comunicación, ya sea mediante el uso de datos falsos
o incompletos, el uso indebido de datos o programación, valiéndose de
alguna operación informática o artificio tecnológico o por cualquier otra
acción que incida en el procesamiento de los datos del sistema o que dé
como resultado información falsa, incompleta o fraudulenta, con la cual
procure u obtenga un beneficio patrimonial indebido para sí o para otro,
será sancionado con prisión de dos a cinco años. Se sancionará con
prisión de cinco a ocho años, si las conductas descritas en el inciso
anterior se cometieren bajo los siguientes presupuestos:
52
c) Cuando el autor sea un empleado encargado de administrar, dar
soporte al sistema, red informática, telemática o que en razón de sus
funciones tenga acceso a dicho sistema, red, contenedores electrónicos,
ópticos o magnéticos (Decreto 260, LEY ESPECIAL CONTRA LOS
DELITOS INFORMÁTICOS Y CONEXOS, 2016).
53
Utilización de Datos Personales.
Obtención y Transferencia de Información de Carácter Confidencial.
Revelación Indebida de Datos o Información de Carácter Personal.
Acoso a través de Tecnologías de la Información y la Comunicación.
Para poder realizar las actividades que tienen que ver, tanto con la seguridad
informática como con la informática forense y sus derivaciones en la auditoría
informática forense, es importante contar con un marco regulatorio, con instrumentos
que brinden una serie de regulaciones y buenas prácticas para llevar a cabo con éxito
dichas actividades. En esta investigación se han tomado en cuenta diversas
normativas, las cuales se detallan a continuación.
54
2.4.1 COBIT 5 (ISACA)
55
Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las
políticas.
Gestión de nuevas tecnologías de información.
56
¿Porque utilizar COBIT 5? Evidentemente a través de los años COBIT ha
evolucionado, hasta convertirse en una herramienta de auditoría a un marco de
gobierno de las TI. Comenzó allá por el año 1996 siendo un entorno de trabajo con
énfasis en la auditoría, con el paso del tiempo fue incluyendo aspectos como el control,
la administración y el gobierno empresarial de las TI.
57
3. Aplicar un solo marco (entorno de trabajo) integrado.
4. Habilitar un enfoque holístico (generalizado).
5. Separa el gobierno de la administración.
COBIT 5, une los cinco principios que permiten a la organización, construir un marco
efectivo de gobierno y administración, visualizando en conjunto sus habilitadores, que
optimizan la inversión en tecnología e información, así como su uso en beneficio de
las partes interesadas.
58
El sistema de gobierno, deberá considerar a todas las partes interesadas al
tomar decisiones, con respecto a la evaluación de riesgos, los beneficios y el
manejo de recursos.
Las necesidades de las partes interesadas, deben ser transformadas en una
estrategia factible para la organización.
Las metas en cascada de COBIT 5, traducen las necesidades de las partes
interesadas en metas específicas, factibles y personalizadas dentro del contexto
de la organización, de las metas relacionadas con la TI y de las metas
habilitadoras.
59
Así se permite, a la Organización utilizar COBIT 5 como integrador macro en el marco
de gobierno y administración. ISACA, está desarrollando el modelo de capacidad de
los procesos, para facilitar al usuario de COBIT, el mapeo de las prácticas y actividades
contra los marcos y normas de terceros.
60
Establece un lenguaje común, para referirse a la protección de la
información.
Desafía la visión convencional de la inversión en seguridad de la
información.
Explica en forma detallada, el modelo de negocio para gestionar la
seguridad de la información, invitando a utilizar una perspectiva sistémica
(Business Model for Information Security (BMIS) , 2019).
2.4.2 ITIL
El objetivo principal de la ITIL, es crear un sistema de clase mundial que guíe a las
organizaciones para desarrollar sus procesos. ITIL, posee un enfoque metodológico
de administrar y operar las tecnologías de la compañía, destacando el suministro de
servicios de TI que los procesos necesitan. Y como propósito se obtiene asegurarse
de que los servicios de TI, sean capaces de cumplir con los objetivos de la
organización.
61
“Los principios básicos de la metodología ITIL son:
62
Los procesos de TI con mayor madurez, generan mayor productividad es
decir menos errores y más calidad, lo cual automáticamente reduce
costos.
Eliminar los silos organizacionales, implementando procesos integrados
en toda el área de TI.
Se define como un modelo de procesos sustentados por roles y
responsabilidades, entre otros, los cuales al ser implementados a lo largo
de toda la organización, generan una nueva forma de trabajo basada en
responsabilidades puntuales, de esta manera constituyen a eliminar los
silos en las organizaciones.
Mejora la Integración de TI con el Negocio.
TI quiere tener una mejor integración con el negocio, sin duda es
fundamental contar con un enfoque de Gestión de Servicios de TI que le
permita alinear estos servicios a los procesos de Negocio.
Cumplir eficientemente con las regulaciones.
TI buscan cumplir con regulaciones tales como ISO 27001, ISO 38500,
ISO/IEC 20000. Para ello, un marco de referencia generalmente utilizado
es COBIT.
Una implementación de COBIT con una estrategia de Mejores Prácticas
con ITIL resulta beneficiosa. Debido a que COBIT define qué debemos
controlar e ITIL define cómo debemos hacerlo, esta integración derivará
en el cumplimiento eficiente de las regulaciones.
Mejorar la Gestión de proveedores.
Las áreas de TI tienden cada vez más a tercerizar (Outsourcing) sus
Servicios de TI (Pacheco, 2017).
ITIL, define los niveles de servicio que necesita cada componente de los servicios de
TI, con esta información y con un proceso maduro de gestión de proveedores, las áreas
de TI, podrán realmente alinear no sólo el área de TI al negocio, sino también a sus
proveedores. La información constituye un recurso clave, en el cual la tecnología juega
un importante rol en almacenarla, distribuirla y analizarla. Entre estos también esta los
63
objetivos de control para la información y tecnologías relacionadas, este suministra
una red integral, que apoya a las entidades en el logro de sus objetivos, para la
gobernación y administración de la tecnología de información. En otras palabras, crea
el óptimo valor de TI, manteniendo un balance entre la obtención de beneficios y la
optimización de los niveles de riesgos y uso de los recursos.
Es notorio que la relación entre COBIT e ITIL, se basa en que COBIT define qué
debemos controlar, incluyendo seguridad de las TI e ITIL define cómo debemos
64
hacerlo, son herramientas que se complementan perfectamente no solo entre ellas
sino con otras normativas como la ISO 9001 y las ISO 27000, entre otras.
La Norma ISO 9001:2008 fue revisada y actualizada en 9001:2015, para poder reflejar
ciertas evoluciones provocadas por los cambios en el mundo. Su esencia misma queda
inalterada, sigue siendo siempre su objetivo el de satisfacer al cliente con la
conformidad de productos y servicios proporcionados.
65
Se integra el pensamiento basado en riesgos: prevenir que cosas malas
sucedan y aprovechar oportunidades de lo bueno. Reconociendo así,
que no todos los procesos tienen el mismo impacto en la capacidad de
la organización, en la entrega de productos o servicios conformes.
Ciclo PHVA (Planificar-Hacer-Verificar-Actuar) o espiral de mejora
continua, es una estrategia basada en la mejora continua de la calidad,
en cuatro pasos, según el concepto. Se planifica, se hace, se verifica y
se actúa. La certificación ISO 9001:2015, garantiza el seguimiento de los
principios de buenas prácticas. (NORMAS 9000, 2017).
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operaciones
66
entidad de certificación independiente, confirme que la seguridad de la información, ha
sido implementada en esa empresa en cuanto al cumplimiento de la norma ISO 27001.
La norma ISO 27001, detalla cómo se debe realizar este tipo de elementos dentro del
sistema de gestión de seguridad de la información; la cual no se limita sólo a la
seguridad de TI, sino que también se expande a la gestión de procesos, a recursos
humanos, protección jurídica y más.
67
proporcionan credibilidad en la investigación son la metodología aplicada
durante el proceso y la calificación de los individuos que intervienen en
el desarrollo de las tareas especificadas en la metodología (Santiago
Roatta, María Eugenia Casco, G. Fogliato, 2015).
68
escena donde se encuentra la posible evidencia digital, en El Salvador sería el
criminalista de campo y el del especialista reconocido como perito informático. Los
primeros son quienes se encargan de las tareas de campo en procedimientos
judiciales, vinculadas con la identificación y preservación de la posible evidencia digital
y los segundos, son los que realizan el análisis informático forense, a esa posible
evidencia digital. Teniendo presente la escasez de especialistas en informática
forense, que se ha comprobado en esta investigación, es obvia la razón por la cual,
los miembros del personal policial denominados como criminalistas de campo, están
adecuadamente capacitados para realizar esta labor. Sin embargo, las etapas
metodológicas de análisis y presentación de evidencia digital, que usualmente se
realizan en laboratorio, deben quedar exclusivamente reservadas, para aquellos
profesionales informáticos especializados, conocidos como especialistas o peritos
informáticos, que son los responsables de la realización de la pericia informática.
69
2.4.6 ISO/IEC 27040:2015
70
intervención pericial, desde su identificación y análisis, hasta que es aceptada como
prueba en un juicio y las partes que deben tener el informe; así también define
conceptos como examen, análisis e interpretación y refiere los modelos de análisis que
pueden utilizar los peritos informáticos.
71
2.5 Marco técnico
Se debe tener en cuenta que tanto las amenazas, como los mecanismos para
neutralizarlas y contrarrestarlas suelen afectar a estas tres características de forma
conjunta, por tanto, un fallo del sistema que haga que la información no sea accesible,
puede llevar consigo una pérdida de integridad.
Ordinariamente tienen que existir las tres características descritas para que haya
seguridad. Dependiendo del ambiente en el que trabaje un sistema, a sus
responsables les interesara dar preferencia a un cierto aspecto de la seguridad. Junto
72
a estas tres características esenciales se suele estudiar conjuntamente la
autenticación y el no repudio.
Alta disponibilidad: se refiere a sistemas que están disponibles las 24 horas al día, 7
días a la semana, 365 días al año.
73
Autenticación: es la capacidad de demostrar que un usuario o una aplicación, es
realmente quién dicha persona y/o aplicación asegura ser. Por ejemplo, se debe
considerar el caso de un usuario, que se conecta a un sistema especificando un ID de
usuario y una contraseña. El sistema utiliza el ID de usuario para identificar al usuario.
El sistema autentica al usuario en el momento de la conexión, comprobando que la
contraseña proporcionada es correcta.
Existen 2 posibilidades:
74
en conseguir mediante un engaño, que los usuarios autorizados revelen
sus contraseñas, por lo tanto, la educación de los usuarios es
fundamental para que la tecnología de seguridad pueda funcionar (López
P. A., 2010).
2.5.2 Amenazas
75
Personas o Personal (comprende desde personas dentro la
organización, hasta personas ajenas a la estructura informática, que
pueden comprometer la seguridad de los equipos)
Ex-empleados (generalmente se trata de personas descontentas con la
organización, que pueden aprovechar debilidades de un sistema del que
conocen perfectamente, pueden insertar troyanos, bombas lógicas, virus
o simplemente conectarse al sistema, como si aún trabajaran en la
organización)
Curiosos (son los atacantes junto con los crackers, que más se dan en
un sistema) o Hackers (una persona que intenta tener acceso no
autorizado, a los recursos de la red con intención maliciosa, aunque no
siempre tiende a ser esa su finalidad)
Crackers (es un término más preciso para describir una persona, que
intenta obtener acceso no autorizado a los recursos de la red, con
intención maliciosa)
Intrusos remunerados (se trata de personas con gran experiencia en
problemas de seguridad y un amplio conocimiento del sistema, que son
pagados por una tercera parte, generalmente para robar secretos o
simplemente, para dañar la imagen de la organización) (López P. A.,
2010).
Amenazas lógicas.
Software incorrecto. Principalmente son dos cosas, los errores de
programación a los que se llama Bugs y los programas que sirven para
aprovechar uno de estos fallos y se les llama Exploits.
Herramientas de seguridad. Cualquier herramienta de seguridad puede
ser un arma de doble filo, de la misma forma que un administrador las
utiliza para detectar y solucionar fallos en sus sistemas o la subred
completa, un intruso las puede utilizar para detectar esos mismos fallos
y aprovecharlos para atacar los equipos.
Puertas traseras. Durante el desarrollo de aplicaciones o sistemas
operativos, es usual entre los programadores insertar atajos en los
76
sistemas de autenticación del programa o él núcleo de sistema que se
está diseñando. Se les llama puertas traseras y son parte del código de
ciertos programas que permanecen sin hacer ninguna función, hasta que
son activadas, en ese punto la función que realizan no es la original del
programa, sino, una acción perjudicial.
Canales cubiertos. Son canales de comunicación que permiten a un
proceso, trasladar información de forma que se vulnere la seguridad del
sistema.
Virus. Es una secuencia de código que se inserta en un fichero ejecutable
denominado huésped, de manera que cuando el archivo se ejecuta el
virus también lo hace, insertándose a sí mismo en otros programas.
Gusanos. Son programas capaces de ejecutarse y propagarse por sí
mismos a través de redes, en ocasiones portando virus o aprovechando
bugs de los sistemas a los que se conectan para dañarlos, al ser difíciles
de programar no soy muy comunes pero el daño que causan es grave.
Caballos de Troya. Son instrucciones escondidas en un programa, de
forma que este aparente realizar, las tareas que el usuario espera de él
pero realmente ejecuta funciones ocultas.
Programas conejo o bacterias. Bajo este nombre se conoce a un
programa que no hace nada útil, sino, que simplemente se delimitan a
reproducirse, hasta que el número de copias acaba con los recursos del
sistema, produciendo una negación del servicio.
Amenazas físicas. Robos, sabotajes, destrucción de sistemas,
suministro eléctrico, condiciones atmosféricas, catástrofes naturales,
entre otras (López P. A., 2010).
77
sistemas informáticos, así como los medios de acceso remoto al y desde el mismo,
implementados para proteger el hardware y medios de almacenamiento de datos.
La seguridad física, está enfocada a cubrir las amenazas, ocasionadas tanto por el
hombre, como por la naturaleza del medio físico donde se encuentra ubicado el centro.
Las principales amenazas que se ven en la seguridad física, son amenazas
ocasionadas por el hombre, como robos, destrucción de la información, disturbios,
sabotajes internos y externos, incendios accidentales, tormentas e inundaciones.
La mayoría de los daños que puede sufrir un sistema informático, no será solo hacia
los medios físicos, sino, contra información almacenada y procesada (datos).
78
Asegurar que se estén utilizando los datos, archivos y programas
correctos en y por el procedimiento correcto, analizando periódicamente
los mismos (López P. A., 2010).
Las amenazas internas pueden ser más serias que las externas, porque los IPS y
Firewalls son mecanismos no efectivos en amenazas internas, los usuarios conocen
79
la red, saben cómo es su funcionamiento y tienen algún nivel de acceso a ella. Esta
situación se presenta debido a los esquemas ineficientes de seguridad, con los que
cuentan la mayoría de las compañías y porque no existe conocimiento relacionado con
la planeación de un esquema de seguridad eficiente, que proteja los recursos
informáticos de las actuales amenazas combinadas. El resultado es la violación de los
sistemas, provocando la pérdida o modificación de los datos sensibles de la
organización, lo que puede representar un daño. En cuanto a las amenazas externas,
que se originan fuera de la red. Al no tener información certera de la red, un atacante
tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar
la manera de atacarla. La ventaja que se tiene en este caso, es que el administrador
de la red puede prevenir una buena parte de los ataques externos.
80
estrictos procesos, que conducen a satisfacer los requerimientos legales en el ámbito
digital de los sistemas judiciales.
La informática forense surge como una rama de las ciencias forenses, una disciplina
auxiliar a la justicia, que consiste en la aplicación de técnicas que permiten adquirir,
validar, analizar y presentar datos que han sido procesados electrónicamente y
guardados en un medio computacional.
81
La evidencia digital tiene material masivo y varios formatos y se transfiere a través de
redes cableadas o inalámbricas. Hay muchos tipos de pruebas (evidencias) digitales
que se encuentran en la escena del crimen, pero la más convencional es el sistema
informático. Los sistemas informáticos en general incluyen, pero no se limitan, a
computadoras personales, portátiles, servidores web, servidores de mensajería,
servidores de juegos, servidores de archivos, servidores de bases de datos y
servidores de correo electrónico. Como ya sabemos, un servidor es el sistema
informático que proporciona un servicio al cliente, que responde a la solicitud
usualmente enviada a través de Internet. El servicio puede incluir correo electrónico,
interacción web, bases de datos, video juegos y otros.
82
La naturaleza de la información que los usuarios están dispuestos a transmitir,
utilizando servicios de tecnología puede ser bastante asombrosa.
En estos tiempos una persona que lleve consigo un teléfono inteligente, es sinónimo
de poseer mucha capacidad de almacenamiento interno de información. Para obtener
una imagen completa del uso de un teléfono móvil, a menudo es necesario obtener los
registros de facturación. Los teléfonos móviles no conservan información como la
duración de todas las llamadas realizadas. Sin embargo, el proveedor de la red de
telefonía móvil conserva esa información importante para las investigaciones de
cibercrimen. De igual manera las tabletas también pueden ser usadas como teléfonos
o en su defecto como pequeñas computadoras personales. Sobre otra categoría de
dispositivos se encuentran aquellos que se encargan de conectar los equipos a una
red, ya sea esta internet o una red privada. Esta categoría incluye los dispositivos de
red; por lo general, una computadora requiere conectarse a un enrutador (dispositivo
de red) facilitado por la empresa Proveedora del Servicio de Internet (ISP), con el fin
de acceder a ese servicio. Entre el enrutador e internet a veces se configuran
dispositivos cortafuegos (firewalls) o en su defecto son implementados mediante
software en la computadora del usuario.
En las organizaciones donde se requieren conectar más computadoras al enrutador y
administrar subredes dentro de la corporación, se utilizan los equipos denominados
switches o concentradores (hubs). No obstante, algunos equipos pueden cumplir
varias funciones (ser switches y enrutadores al mismo tiempo o enrutadores y firewalls)
o configurar sistemas más complejos, como los de identificación de intrusos (IDS). En
el caso de encontrar enrutadores, firewalls o switches físicos, el investigador puede
acceder a ellos y obtener registros valiosos acerca del comportamiento en internet, en
una escena de ciberdelito. Los hubs son dispositivos muy básicos que sirven como
multiconectores de red, pero no graban ni permiten configuraciones de conectividad.
No obstante, es necesario tener en cuenta que cada dispositivo de red puede mantener
registros de inicio de sesión o el tráfico de red, y estos son los recursos más valiosos
para la investigación de delito cibernético.
83
Por otra parte, las cámaras digitales y las cámaras de vídeo ofrecen evidencia de
primera clase. Las tarjetas de memoria de alta capacidad, o memory stick, pueden
almacenar cualquier tipo de archivos. Esta capacidad hace que las cámaras digitales
y cámaras de vídeo sean los medios ideales para transportar datos ocultos. En esta
categoría se deben analizar los circuitos cerrados de televisión, los cuales, además de
videograbadoras, también incorporan equipos de almacenamiento de evidencia
multimedia. Además de los anteriores equipos existe una amplia gama de dispositivos
que no son generalmente reconocidos como fuentes iniciales de evidencia digital, pero
almacenan datos valiosos. Entre estos encontramos reproductores de música, iPods,
consolas de videojuegos, grabadoras de DVD y algunos electrodomésticos como
televisores inteligentes y sensores. Varios dispositivos de almacenamiento tienen la
facilidad de conectar una tarjeta de memoria que puede ser el lugar ideal para ocultar
datos relevantes en una investigación. También encontramos las unidades de
navegación por satélite, las cuales se han vuelto extremadamente comunes y
relativamente baratas.
Una unidad de navegación por satélite puede contener pruebas cruciales relativas a
los movimientos de un sospechoso y descartar hipótesis hechas por el investigador
basadas en reportes externos de ubicación, como publicaciones falsas en redes
sociales por parte del ciberofensor.
84
A.2. La computadora como instrumento del crimen (por ejemplo, fraude
con tarjeta de crédito, fraude de telecomunicaciones).
85
tal capacidad, la investigación tendrá dificultades para determinar qué eventos han
ocurrido dentro de los sistemas informáticos y redes” (Toro-Alvarez, 2018).
Es importante señalar que los objetivos deben ser claramente establecidos durante la
investigación y el investigador forense debe tener la mayor información de
antecedentes sobre el caso como sea posible. El investigador forense usualmente usa
muchas técnicas y herramientas forenses.
Uno de los objetivos de esta investigación es proporcionar el perfil, que debe acreditar
el profesional encargado de realizar una auditoría informática forense, en un proceso
judicial en El Salvador, ya que, para cumplir adecuadamente con el debido proceso,
es necesario que las personas que realicen este trabajo, tengan capacidad e idoneidad
para llevarlo a cabo.
Para responder a este objetivo, la descripción de dicho perfil se basa en los requisitos
aplicados tanto en la Unidad de Investigación de Delitos Informáticos cómo en la
Sección de Delitos Tecnológicos, ambas dependencias de la PNC, encargadas una
por un lado de la Investigación de los posibles delitos informáticos y la otra del análisis
forense de laboratorio de casos de posibles delitos informáticos.
86
capacidad técnica o perfil ideal que debe cumplir una persona para ser parte de la
División Central de Investigaciones, específicamente de la Unidad de Delitos
Tecnológicos?
87
capacitaciones, que en este caso son (brindadas) por organismos internacionales,
donde participa personal del FBI, de la ONU, de la UNODC, INTERPOL, ABA ROLI y
otra serie de cooperantes internacionales, que nos van preparando para el campo de
la informática (forense) entonces en el país no existe la carrera de nada relacionado a
lo forense, se tiene que ir a trabajar a alguna institución del estado para que ahí lo
preparen, como el caso de los doctores, no existe como tal la carrera de medicina
forense, siendo médico se va luego a sacar cursos forenses, ya puntualmente, la
capacidad técnica de un perito de la Sección de Delitos Tecnológicos es el estudio
formal relacionado con la informática que haya tenido más la preparación técnica
forense inducida por organismos internacionales.
Ahora bien, visto desde el aspecto legal, cuando es necesario que un juez valore un
medio de prueba que requiere un conocimiento fuera de su alcance, es necesaria la
actuación de un perfil experto, independiente y confiable, que pueda valorar los hechos
de una manera científica y objetiva, es decir el perito es una figura legal, definida en la
Ley como un experto en un área de conocimiento o práctica.
En El Salvador esta figura legal se apoya en los Artículos 226 y 227 del CPP, tal como
se muestra en el marco legal de esta investigación, el Artículo 226 explica cuando el
juez considerará necesario la intervención de un peritaje.
88
c) Los especialistas de las facultades y escuelas de la Universidad de El
Salvador y de las dependencias del Estado e instituciones oficiales
autónomas.
d) Los directores o jefes de los centros asistenciales del Estado o los que
aquéllos designen.
e) Los miembros de cualquier asociación o institución cuya finalidad sea el
estudio o análisis de la medicina legal y de las ciencias forenses, que
desempeñen algún cargo o empleo público.
Son peritos accidentales los que nombre la autoridad judicial para una pericia
determinada. En el caso de los peritos permanentes no será necesaria
su juramentación o protesta para la práctica de las diligencias; su salario
habitual serán sus honorarios y la institución para la cual trabajan estará
obligada a conceder el permiso para la pericia (Decreto N° 733, Código
Procesal Penal, 2008).
Este Artículo manifiesta que, si el peritaje que se requiere es de una profesión, arte o
técnica que no esté reglamentado, podrá designarse a personas de idoneidad
manifiesta, y este es el caso precisamente de la auditoría informática forense.
Tal como lo ha comprobado la investigación de las mallas curriculares de las
instituciones de educación superior de El Salvador y como lo manifestaron los
89
especialistas en peritaje forense de la PNC, no existe una carrea como tal que forme
profesionales en esta rama de la informática. Una vez analizados todos estos aspectos
es posible resumir el perfil de un perito informático forense de la forma siguiente.
90
Técnicos en el ramo de la informática, con amplios conocimientos en la rama
forense.
Buena redacción
Conocimientos solidos de criminalística.
Conocimientos de las normas nacionales e internacionales en cuanto al manejo
de la evidencia electrónica y digital
Estabilidad emocional.
Facilidad de expresión.
Conocimientos básicos del derecho procesal y leyes relacionadas al campo
91
Capítulo 3. Metodología
3.1 Metodología
La tabla 1 muestra las instituciones de educación superior en las cuales hay escuelas
que imparten carreras afines a la informática, de estas instituciones se obtuvo la malla
curricular de cada una, para observar si de alguna forma se está capacitando y
formando profesionales con conocimiento en auditoría informática forense.
92
Tabla 1. Instituciones de educación superior con carreras y / o materias relacionadas con la auditoría
informática forense.
Materias que Materias
tienen alguna estrechamente
relación con relacionadas con
N° de
N° Institución de educación superior Carreras Auditoría Auditoría
Carreras
Informática Informática
Forense en Forense en esta
esta carrera carrera
Ingeniería en
1 1 0
desarrollo del software
Técnico en hardware
2 0 0
Escuela Especializada en Ingeniería computacional
1
ITCA-FEPADE Técnico en ingeniería
3 0 0
de redes informáticas
Técnico en sistemas
4 0 0
informáticos
Técnico en Ingeniería
Escuela Superior Franciscana
2 5 de Desarrollo de 0 0
Especializada (ESFE)/AGAPE
Software
Técnico en Ingeniería
6 de desarrollo de 0 0
Software
Instituto Tecnológico de Chalatenango, Técnico en Ingeniería
3 7 0 0
ITCHA en Computación
Técnico en
8 Mantenimiento de 0 0
Computadoras
Licenciatura en
9 Ciencias de la 1 0
Computación
Técnico en Desarrollo
Universidad Salvadoreña Alberto 10 0 0
4 de Software
Masferrer, USAM
Técnico en Redes de
11 0 0
Computación
Técnico en Sistemas
12 0 0
de Computación
Ingeniería en Sistemas
13 1 0
y Computación
Licenciatura en
5 Universidad Andrés Bello, UNAB 14 2 0
Computación
Técnico en
15 0 0
Computación
Universidad Capitán General Gerardo Maestría en Ingeniería
6 16 0 0
Barrios, UGB Web
93
Ingeniería en Manejo y
17 Gestión de Bases de 1 0
Datos
Ingeniería en Diseño y
18 Desarrollo de 0 0
Videojuegos
Ingeniería en sistemas
19 1 0
y redes informáticas
Técnico en Ingeniería
20 en Sistemas y Redes 0 0
Informáticas
Ingeniería en
21 0 0
Desarrollo de Software
Licenciatura en
22 Sistemas Informáticos 0 0
Universidad Católica de El Salvador, Administrativos
7
UNICAES Ingeniería en Sistemas
23 2 0
Informáticos
Ingeniería en
24 Telecomunicaciones y 0 0
Redes
Universidad Centroamericana José
8 25 Ingeniería Informática 0 0
Simeón Cañas, UCA
94
Licenciatura en
Universidad Dr. José Matías Delgado,
13 35 Tecnologías de la 1 0
UJMD
Información
Ingeniería en
Desarrollo de
36 0 0
Contenidos Digitales y
Robótica Aplicada
Universidad Evangélica de El Salvador,
14 Ingeniería en Sistemas
UEES 37 1 0
Computacionales
Técnico en Redes y
38 Tecnologías 0 0
Informáticas
Ingeniería en
39 0 0
Desarrollo de Software
Ingeniería en Gestión
40 0 0
de Bases de Datos
Ingeniería en
41 Desarrollo de 0 0
15 Universidad Francisco Gavidia, UFG Videojuegos
Licenciatura en
Sistemas de
42 1 0
Computación
Administrativa
Técnico en Sistemas
43 0 0
de Computación
Licenciatura en
44 Ciencias de 1 0
Computación
Universidad Luterana de El Salvador,
16 Técnico en el
ULS
Desarrollo de
45 0 0
Aplicaciones
Informáticas
46 Técnico en Software 0 0
17 Universidad Modular Abierta, UMA Licenciatura en
47 2 0
Informática
Licenciatura
48 0 0
Informática Educativa
18 Universidad de El Salvador, UES
Ingeniería en Sistemas
49 0 0
Informáticos
Licenciatura en
Universidad Oscar Arnulfo Romero,
19 50 Ciencias de la 2 0
UMOAR
Computación
Ingeniero en Sistemas
51 1 0
y Computación
20 Universidad Pedagógica de El Salvador
Técnico en Sistemas
52 0 0
de la Computación
95
Licenciatura en
53 2 0
Gerencia Informática
Ingeniería en Ciencias
54 2 0
Universidad Politécnica de El Salvador, de la Computación
21
UPES Técnico en ciencias de
55 0 0
la Computación
Ingeniería en Ciencias
56 0 0
de la Computación.
Ingeniería en Gestión
57 1 0
de Bases de Datos
Licenciatura en
administración de
58 1 0
empresas con énfasis
en computación
Licenciatura en
59 0 0
informática
Universidad Tecnológica de El Salvador,
22 Técnico en Ingeniería
UTEC
60 en Redes 0 0
Computacionales
Técnico en Ingeniería
61 0 0
de Software
Técnico en Ingeniería
62 0 0
de Hardware
Maestría en
63 1 0
Criminología
Maestría en Auditoría
64 0 0
Forense
96
Ilustración 6. Materias relacionadas con auditoría informática forense (2019)
Se puede concluir, que es relativamente poco el interés que muestran las instituciones
de educación superior, a la hora de considerar la temática de la auditoría informática
forense, razón por la cual son pocas las personas que pueden especializarse en dicha
rama de la informática.
97
En esta otra gráfica se pudo
observar que, de un total de
64 materias impartidas en
todas las instituciones de
educación superior, solo 34
de ellas tenían alguna
relación con la auditoría
informática forense y solo 3
tenían estrecha relación
con ella.
98
En la gráfica anterior en
cambio se observó que
sólo en 14 de 22
instituciones de
educación superior
contaban entre sus
carreras con materias
con alguna relación con
la auditoría informática
forense, y solo en 2
instituciones de
educación superior
contaban con materias
que tuvieran una
estrecha relación con la
auditoría informática
forense.
Ilustración 8. Carreras de las instituciones de educación superior con materias relacionadas con la
informática forense (2019)
99
Por otro lado, se realizó una solicitud de información pública, esto gracias al decreto
N° 534 Ley de Acceso a la Información Pública, a la PNC, específicamente a la Sección
de Delitos Tecnológicos, en adelante (SDT), de la cual se obtuvo la siguiente
información mostrada en la imagen.
Haciendo una comparativa entre los casos ingresados en la SDT y los casos
entregados por dicha Sección, ya sea a las unidades fiscales, investigadoras policiales
o juzgados respectivos, y comparando también los dispositivos tecnológicos
analizados en estos casos se concluyó lo siguiente.
Para el año 2016, la SDT recibió 401 casos, los dispositivos tecnológicos recibidos
fueron 433 dispositivos de cómputo, 339 dispositivos de video, 119 dispositivos
telefónicos, 10 dispositivos fonográficos, para el mismo año la SDT entregó 222 casos
de ellos, 155 dispositivos de cómputo, 185 dispositivos de video, 98 dispositivos
telefónicos y 10 dispositivos fonográficos, quedando pendientes de entregarse un total
de 179 casos.
Lo cual estadísticamente se puede observar así:
100
Ilustración 10. Porcentaje de Casos entregados y Casos pendientes de entrega de la Sección de
Delitos Tecnológicos de la PNC para el año 2016 (2019)
Del 100% total de casos solo fue entregado un 55.5% quedando pendiente el 44.5%
para el año siguiente.
Para el año 2017 sin contar con ese total de 179 casos pendientes del año anterior, se
recibieron 553 casos de delitos informáticos, de ellos, 249 dispositivos de computo,
470 dispositivos de video, 335 dispositivos telefónicos, 80 dispositivos fonográficos,
para el mismo año se entregaron 264 casos, de ellos, 190 dispositivos de computo,
169 dispositivos de video, 140 dispositivos telefónicos y 40 dispositivos fonográficos.
Es decir, del 100% de casos ingresados se entregó el 47.7% de éstos, quedando
pendiente de entregarse el 52.3% sin embargo la cantidad de casos y dispositivos
entregados aumentó en comparación al año anterior, es decir el trabajo no disminuyó
al contrario se analizaron más dispositivos que el año anterior, lo cual se muestra en
la gráfica siguiente.
.
101
Ilustración 11. Porcentaje de Casos entregados y Casos pendientes de entrega de la Sección de
Delitos Tecnológicos de la PNC para el año 2017 (2019).
Para el año 2018 tomar en cuenta a los 289 casos pendientes del año 2017, se
recibieron 674 casos de delitos informáticos, entre ellos, 153 dispositivos de computo,
525 dispositivos de video, 526 dispositivos de telefonía, para el mismo año se
entregaron 284 casos, 201 dispositivos de computo, 162 dispositivos de video, 197
dispositivos de telefonía y 100 dispositivos de fonográficos, quedando pendientes para
el año 2019 la cantidad de 390 casos.
Lo que implica que del 100% de casos recibidos ese año se entregó 42.13% quedando
pendiente un 57.87% dichos datos se aprecian mejor en la gráfica siguiente.
102
Ilustración 12. Porcentaje de Casos entregados y Casos pendientes de entrega de la Sección de
Delitos Tecnológicos de la PNC para el año 2018 (2019)
Un dato muy interesante que arrojó esta investigación es que, aunque cada vez la
cantidad de casos pendientes para el año siguiente fue mayor, es posible comprobar
que el trabajo no disminuyó por parte de los peritos forenses, por el contrario, una vez
más en comparación con el año anterior, se analizaron más dispositivos y se
entregaron más casos.
Es decir que a pesar de haberse realizado una mayor cantidad de análisis informáticos
forenses a dispositivos tecnológicos por parte de la SDT hubo un incremento
directamente proporcional en la cantidad de casos pendientes de entregar como saldo
para el año siguiente, lo cual se aprecia mejor en las siguientes gráficas.
103
Ilustración 13. Comparativa de Casos entregados para 2016, 2017 y 2018 (2019)
Ilustración 14. Comparativa de Casos pendientes de entrega para 2016, 2017 y 2018 (2019)
104
También es importante considerar que la cantidad de personal que labora en la SDT
es de 8 personas, incluidos el Jefe de la Sección y el colaborador administrativo, es
decir que solo cuanta con 6 especialistas o peritos informáticos. Además de esta
solitud de información donde se pidieron datos sobre los casos y dispositivos que
fueron analizados por la PNC a través de la SDT, por medio de una solicitud de
información posterior, se pidió:
Los nombres de los softwares utilizados para realizar el análisis forense a las
evidencias ingresadas (dispositivos tecnológicos)
Hardware especializado para extraer la información de las evidencias
ingresadas (dispositivos tecnológicos)
La información obtenida en la respuesta a la solicitud se resume en la tabla siguiente.
Software Utilidad
Crear imágenes forenses, de dispositivo de almacenamiento que se analizara y
Encase v.6.19 para montaje de imágenes creadas, para recuperación de archivos borrados del
dispositivo de almacenamiento.
Crear imágenes de dispositivos de almacenamiento, extracción y análisis de
Magnet
Axiom terminales móviles.
Crea imágenes forenses de dispositivo de almacenamiento, que se analizaran,
Tool Kit para ser montadas en el mismo o software Encase y Magnet Axiom; así también
(F.T.K 6.2.1)
para verificar correos.
Oxigen Extracción forense de datos e información de telefonía móvil.
Distribución de sistema operativo gratuito Linux para el análisis forense digital en
Deft
equipo informático.
Lee, procesa y convierte la información extraída de terminal móvil, tarjeta SIM y
Phisical
Analyzer para presentarse a la entidad solicitante
Avid Media Procesamiento, recorte y conversión de video e imágenes.
Composer v.
5y6
Herramienta complementaria para añadir efectos y filtros al procesamiento del
Dtective v.7.2
video, utilizando Avid Media composer.
105
Tabla 3. Hardware especializado utilizado por la SDT.
Hardware Utilidad
Equipo informático de alto rendimiento con arreglo de
FRED (Forensic
discos (RAID), con gran capacidad, para almacenar las
Recovery of
Evidence Data imágenes forenses extraídas a los dispositivos de
Center)
almacenamiento a procesar digitalmente.
Bloqueador de escritura, en la adquisición de los datos
Link Master Solo IV
del dispositivo informático que se precisa analizar.
Bloqueador de escritura, en la adquisición de los datos
UltraBlock
del dispositivo informático que se precisa analizar.
Extraer la información de los terminales móviles,
106
3.4 Análisis e interpretación de los datos
107
Capítulo 4. Propuesta de proceso de auditoría informática forense
PROC-01-LAB-01
Contenido
108
realizado, extrayendo capturas de pantalla de mensajes o imágenes contenidas en la
información, incluyendo observaciones técnicas y conclusiones; presentado así un
resultado de utilidad para el proceso judicial.
4.2 Objetivos
4.3 Alcance
109
4.4 Justificación
Las leyes, normas, estándares y buenas prácticas que se tomaron en cuenta para la
creación de este proceso de auditoría informática forense son las siguientes:
110
Fijación fotográfica, lo cual consiste en ilustrar e informar a través de imágenes, de
forma clara la situación y ubicación del lugar de los hechos. Esta fijación se debe
realizar metodológicamente; es decir, de lo general a lo particular hasta llegar al
detalle. Es un complemento gráfico de la descripción escrita.
Fijación planimétrica, esta consiste en representar a través de medidas, en un
bosquejo, croquis o plano, la distribución del lugar de los hechos, haciendo especial
énfasis en la ubicación de las evidencias localizadas, igual que la fijación fotográfica
es un complemento de la descripción escrita.
Se presenta a continuación un diagrama de proceso que resume el trabajo de dichos
criminalistas.
ESCENA
hechos, para evitar cualquier existentes, después de y planimetría cada uno de los
111
4.7 Proceso de auditoría informática forense
El trabajo de Laboratorio.
La adquisición, preservación, análisis y presentación de resultados del contenido de
los equipos y/o dispositivos aportados en la investigación, los cuales según la
terminología empleada en este campo toman el nombre de evidencia digital, y reúnen
todo el conjunto de datos binarios, fragmentos y/o archivos o ficheros, cuyo contendido
aporta a la valoración de la comisión de un delito determinado. Con la utilización del
documento de cadena de custodia, se revisa detalladamente el embalaje físico de cada
uno de los equipos y/o dispositivos, que componen la evidencia, dejando constancia
de los detalles encontrados, si fuera necesario.
112
mercado actual existen máquinas diseñadas como estaciones de trabajo forenses, su
costo puede ser muy elevado.
Análisis de Información
Una vez se han definido cuáles son los objetivos del análisis y se disponga de los
equipos electrónicos y/o dispositivos, como evidencia, recolectados, embalados,
transportados e ingresados al laboratorio de forma segura y debidamente
documentados, se inicia la fase especializada del análisis forense, en la cual
convergen factores como: la pericia, suspicacia, conocimiento y destreza del perito
forense, frente al manejo de cada una de las herramientas, tanto software como
hardware forense, con las que cuenta y sobre todo, de la naturaleza de la evidencia
digital.
Esta fase tendrá por objeto determinar toda una cadena de acontecimientos desde que
se produjeron los hechos hasta su descubrimiento, los cuales deben estar
debidamente documentados, esta finalizará, una vez se hayan dado respuesta a los
interrogantes planteados. Para ello, se planea como requisitos mínimos que garanticen
y documenten con transparencia los resultados:
113
las condiciones ambientales para desarrollar las actividades. Generalmente
estos espacios son totalmente aislados y restringidos al público, cuentan con
sub divisiones donde se almacenan temporalmente los equipos y/o dispositivos,
y donde se efectúan los procesos de análisis físico y lógico.
Aplicación metódica que permita reproducir los procesos cuantas veces sea
necesario obteniendo siempre los mismos resultados, a través de
Procedimientos avalados.
Examinar los log´s del sistema, fechas y horas del sistema, su respectiva zona
horaria, los recursos y hardware instalado.
114
La aplicación de funciones contenidas en las herramientas forenses, permiten
que, de manera metódica, en el menor tiempo posible y de forma sencilla, se
obtengan elementos que infieran algún tipo de rastro frente al objeto de la
investigación.
Es necesario observar que el desarrollo de cada una de las fases aquí presentadas,
atienden a un proceso metódico con base en la documentación, y sus resultados,
deben ser debidamente integrados, consolidados y expuestos en un documento al que
podemos llamar: Informe técnico de laboratorio. El cual refiera las posibles
evidencias (equipos y/o dispositivos) analizadas, los equipos y herramientas forenses
empleados, las técnicas y/o procedimientos, resultados y descripción de hallazgos, y
las conclusiones del análisis.
115
Un encabezado, el cual refiera como título el tipo de documento que se está
elaborandoEl destino del informe, donde se relacione el usuario o autoridad
solicitante.
116
LABORATORIO FORENSE
117
Conectar el equipo bloqueador de escritura Con el equipo bloqueador forense conectado y
forense, con el dispositivo de verificado que haya reconocido el dispositivo
de almacenamiento, se ejecuta el software
almacenamiento conectado previamente, a
forense, que podría ser FTK y/o Encase, según
terminal forense, para almacenar su copia sea el caso, para realizar la copia bit a bit
(imagen) bit a bit. (imagen) del dispositivo de almacenamiento.
118
EJECUTAR SOFTWARE FORENSE HABILITAR PROPIEDAD DE APLICAR
Y MONTAR IMAGEN REALIZADA RECONSTRUIR ARCHIVOS CRITERIOS DE
BÚSQUEDA
ASEGURAMIENTO
PRESENTACIÓN FIN PROCESO
DE RESULTADO
119
Tabla 4. Proceso de Auditoría Informática Forense
Norma utilizada
Proceso Actividad Responsable
Gestión Documental
cuanto al embalaje y rotulado de la evidencia.
juzgados)
ISO 9001:15
Ingreso de evidencia 3. Registro en libro de control y aplicativa digital, asignando
a la DPTC un código de ingreso a la evidencia (N°. de caso).
2. Técnico en
(Laboratorio PNC) 4. Generación de recibo de cadena de custodia interna, con 2
Recepción de
copias firmando quien entrega y quien recibe la evidencia,
evidencias. (tiene a
agregando fecha y hora.
cargo la custodia de
5. Entrega copia de recibo de cadena de custodia a
la evidencia)
solicitante, con N°. de caso asignado.
120
1. Revisión de documentación y recibo de cadena de 1.Técnico en
evidencia digital
ISO 9001:15
2. Verificación detallada de registros documentados, con evidencias (tiene a
Recepción de
registros de rotulación de la evidencia. cargo la custodia de
evidencia para SDT
3. Firmar recibo de cadena de custodia original y copia, la la evidencia) y
cual quedara como registro, anexando hora y fecha.
4. Traslado de la evidencia a resguardo adecuado a SDT. 2.personal SDT
almacenamiento seguro.
evidencia en SDT por a cargo la custodia de
2. Etiquetado, para su resguardo interno en área preparada
personal SDT la evidencia)
para tal fin.
121
almacenamiento seguro.
ISO 27040 Técnicas de
1.Personal SDT
Documental
seguridad y
Asignación de caso que acompaña a la evidencia.
custodia de la
para el análisis 2. Firma de recibida, a entera satisfacción cadena de
evidencia)
informático. custodia.
2. Especialista
asignado.
almacenamiento
de seguridad y
1. Desembala la evidencia.
Documental
Inicio del Especialista asignado
seguro.
2. Desmonta soporte de almacenamiento
procesamiento de la para el análisis
3. Etiqueta o rotula los elementos que componen la
evidencia informática informático.
evidencia.
1. Conexión de evidencia
almacenamie
Técnicas de
seguridad y
nto seguro.
ISO 27040
Conexión de Especialista asignado
2. Activar bloqueador contra escritura en evidencia.
evidencia a equipo para el análisis
3. Inicio de copia forense (copia bits a bits).
especializado informático.
las evidencias
búsqueda de la información solicitada. Especialista asignado
digitales.
Análisis de la copia
2. Revisar, analizar y depurar información concerniente. para el análisis
forense
3. Realizar copia de información encontrada, autenticado con informático.
su valor hash, hacia soporte de almacenamiento.
122
Documental e ISO 27040
almacenamiento seguro.
Técnicas de seguridad y
SO 9001:15 Gestión
1. Se embala la evidencia y la copia de la información,
debidamente rotulada. Especialista asignado
Documentar
2. Se elabora informe del caso. para el análisis
resultados
3. Se genera anexos, con imágenes de capturas de pantalla informático.
de detalles observados.
almacenamiento seguro.
Técnicas de seguridad y
SO 9001:15 Gestión
Se devuelve a recepción interna de evidencias de la
Especialista asignado
DPTC, la evidencia, copia de información encontrada,
Entrega de resultados para el análisis
ambas debidamente embaladas, junto al respectivo
informático.
informe del caso.
123
Simbología del diagrama de flujo
A continuación, se muestra la simbología utilizada en el flujograma y su significado.
Tabla 5. Simbología del diagrama de flujo.
124
Símbolo Nombre Descripción
Frecuentemente se emplea en los
diagramas más complejos para conectar
Símbolo de
elementos separados en múltiples
conector/enlace
páginas, con el número de página
fuera de página
colocado sobre o dentro de la propia
figura para una referencia sencilla.
125
Tabla 6. Flujograma de Proceso de Auditoría Informática Forense.
Revisa embalaje y
Inicio documentación de solicitud
del análisis respectivo.
Cumple las
normas
No establecidas
Si
Revisa embalaje,
documentación de solicitud
de análisis y cadena de
custodia generada.
La
documentación
es acorde a la
No evidencia.
Si
126
A
Firma cadena de
custodia y transporta a
SDT.
No Se asigna
el caso
Si
Especialista revisa
documentación de lo
solicitado, firma de
recibida cadena de
custodia.
Se rotula y almacena
en lugar adecuado, en
espera de ser
asignado y procesado
posteriormente.
127
A
Especialista desembala y
desmonta dispositivo de
almacenamiento, realiza la
conexión del dispositivo
desmontado de la evidencia a
equipo forense especializado
(bloqueador de escritura) y
este se conecta al equipo
informático forense.
No Se
reconoce el
dispositivo
Si
Se creó copia
exacta
Si
correctamente
.
No
A C
B
128
A
A
C
B
A
Especialista, monta
copia forense en
software especializado
(software forense) y
ejecuta en este, opción
de recuperación de
archivos borrados,
proceso que tardara de
acuerdo a la capacidad
de almacenamiento del
dispositivo procesado.
Se verifica el dispositivo
minuciosamente para
asegurarse si este, está
en malas condiciones.
Especialista, realiza
capturas de pantalla y las
adjunta en documento
anexo, para orientar al
solicitante del contenido
de la información
extraída.
A B
129
A
B
Especialista, ejecuta
aplicativo para generar
valores de seguridad
(valores hash) a los archivos
digitales de la información,
extraída, para garantizar la
autenticidad de estos ante
autoridad competente y los
resguarda en dispositivo de
almacenamiento.
Se embala la evidencia
analizada junto a su
embalaje de ingreso; así
también el dispositivo de
almacenamiento con la
información extraída y se
adjuntan las paginas donde
se plasman los anexos, con
su respectiva firma de quien
los elaboro y se estampa
sello húmedo.
130
B
Se fotocopia la
documentación recibida
que incluye cadena de
custodia, para archivo
interno y se prepara en
Revisa registros de conjunto documentación
documentación de ingreso, resultante que comprende
el informe pericial, hojas
embalajes y documentación anexas, el dispositivo de
resultante, firma cadena de almacenamiento con la
información extraída,
custodia y copias. firmada y sellada, junto a la
evidencia analizada.
Si Entrega
Nota: Este proceso tiene
caso.
un tiempo aproximado de
una semana laboral,
Revisa y recibe, firma cadena siempre y cuando se trate
de custodia. No de un solo equipo
informático a procesar;
además se deberá tomar
en cuenta las capacidades
del equipo con el que se
Resguarda temporalmente realizará dicho proceso, en
cuanto a memoria RAM,
Fin proceso para posterior entrega
procesadores y soporte de
almacenamiento
131
Ejemplo de procedimiento de creación de imágenes con el software forense
Forensic Tool Kit (FTK).
132
Buscar dispositivo de almacenamiento conectado a la PC, para crear imagen.
o Seleccionarlo y “Finish”.
Ilustración 20. Seleccionar dispositivo.
133
o Ejecutar en cuadro de diálogo “Add”.
134
o Completar los datos en cuadro de diálogo y “Siguiente”.
135
o Completado la ruta, nombre y nivel de compresión en cuadro de diálogo
ejecutar “Finish”
Ilustración 25. Asignar ruta, nombre y nivel de compresión luego seleccionar Finish
136
Conclusiones
137
Recomendaciones
138
Referencias bibliográficas
139
El País. (2013). La onda expansiva desatada por Snowden. Obtenido de El País:
https://elpais.com/internacional/2013/12/20/actualidad/1387542392_057942.ht
ml
Gallego, M. (2019). Trump buscó desesperadamente la ayuda de los rusos. Obtenido
de Hoy: https://www.hoy.es/internacional/eeuu/mueller-investigo-diez-
20190418163524-ntrc.html
Global STD Certification. (6 de mayo de 2018). Manteniendo a salvo los datos de tu
empresa - ¿Cuál es tu plan? Obtenido de Global STD Certification:
https://www.globalstd.com/networks/blog/manteniendo-a-salvo-los-datos-de-
tu-empresa-cual-es-tu-plan
ISO27k information security. (2019). ISO/IEC 27042. Obtenido de ISO27k information
security: https://www.iso27001security.com/html/27042.html
Llorente, A. (2016). ¿Cuándo es legal tener una cuenta en un paraíso fiscal?
Obtenido de BBC:
https://www.bbc.com/mundo/noticias/2016/04/160406_paraiso_fiscal_offshore
_panama_papers_cuenta_ilegal_all
López, J. (2017). Implicados en ciberataques a La Prensa Gráfica son enviados a
juicio. Obtenido de elsalvador.com:
https://www.elsalvador.com/noticias/nacional/implicados-en-ciberataques-a-la-
prensa-grafica-son-enviados-a-juicio/312315/2017/
López, P. A. (2010). Seguridad informática. Obtenido de Google books:
https://books.google.com.sv/books/about/Seguridad_inform%C3%A1tica.html?
id=Mgvm3AYIT64C&redir_esc=y
Mars, A. (2018). El exjefe del FBI obró mal en el caso de los correos de Clinton pero
no fue partidista, según el departamento de Justicia. Obtenido de El País:
https://elpais.com/internacional/2018/06/14/actualidad/1528996202_698888.ht
ml
Monroy, R. A. (19 de enero de 2014). Conferencia de Informática Forense para
operadores de Justicia. Obtenido de Academia.edu:
https://www.academia.edu/27140566/Conferencia_de_Inform%C3%A1tica_Fo
rense_para_operadores_de_Justicia
140
NORMAS 9000. (2017). ¿Qué es ISO 9001? Obtenido de NORMAS9000.com:
https://www.normas9000.com/content/que-es-iso.aspx
NORMAS 9000. (2017). Estructura de la Norma ISO 9001:2015. Obtenido de
NORMAS9000.com: https://www.normas9000.com/content/estructura-de-la-
norma-ISO-90012015.aspx
Normas ISO. (1 de enero de 2019). ISO 9001 Sistemas de Gestión de la Calidad.
Obtenido de Normas ISO: https://www.normas-iso.com/iso-
9001/#section_autop_posts
Organismo de Certificación en Normas ISO. (7 de noviembre de 2018). Estructura de
la Norma ISO 9001:2015. Obtenido de ALLIANCE Organismo de Certificación
en Normas ISO: https://qalliance.org/es/estructura-de-la-norma-iso-
90012015/#respond
Pacheco, J. (2017). ¿Qué es la metodología ITIL? – Una mayor satisfacción al
cliente. Obtenido de HEFLO: https://www.heflo.com/es/blog/itil/que-es-
metodologia-itil/
Salmeron, A. (2017). Conceptos de Informática Forense. Obtenido de Informática
Forense y Pericial:
http://forense.info/articulos/conceptosdeinformaticaforense.html
Salmeron, A. (5 de febrero de 2017). Conceptos de Informática Forense. Obtenido de
Informática Forense y Pericial:
http://forense.info/articulos/conceptosdeinformaticaforense.html
Sampayo, A. (2019). Esta es la historia de Julian Assange. Obtenido de Capital:
https://www.capitalmexico.com.mx/nacional/quien-es-julian-assange-wikileaks/
Sansevero, R. E. (2012). La recuperación de la información y la informática forense:
Una propuesta de proceso unificado. Obtenido de researchgate:
https://www.researchgate.net/publication/324063521_La_recuperacion_de_la_
informacion_y_la_informatica_forense_Una_propuesta_de_proceso_unificado
Santiago Roatta, María Eugenia Casco, G. Fogliato. (octubre de 2015). El tratamiento
de la evidencia digital. Recuperado de
http://sedici.unlp.edu.ar/handle/10915/50586. Obtenido de SEDICI Repositorio
Institucional de la UNLP: http://sedici.unlp.edu.ar/handle/10915/50586
141
Toro-Alvarez, M. M. (2018). Fundamentos de la investigación forense en ambientes
informáticos. Obtenido de researchgate:
https://www.researchgate.net/publication/329754568_Fundamentos_de_la_inv
estigacion_forense_en_ambientes_informaticos
142
Anexos
Como parte de la investigación y además como primer elemento a formar parte de los
anexos, se realizó una entrevista en las instalaciones de la Universidad Don Bosco,
escuela de Postgrados, ubicada en Avenida Albert Einstein, 233, Antiguo Cuscatlán,
con el Ingeniero René Ángulo, Gerente de I.T. de SIAT S.A. de C.V.; a quien se le
realizaron las siguientes preguntas.
¿De qué forma puede ocurrir una infección informática en un equipo o equipos
informáticos a pesar de contar con un software antivirus y antispyware?
Respuesta: La respuesta es la misma que en el caso anterior, el mayor
causante de este tipo de vulnerabilidades es la falta de monitoreo a los sistemas
informáticos y en este caso al servicio del antivirus; que el servicio de antivirus
sea desatendido, si se quiere resolver los problemas se debe abordar también
a las personas, a los usuarios.
143
¿De qué forma puede ocurrir una invasión o infiltración en un equipo o equipos
informáticos a pesar de contar con un software antivirus y antispyware?
Respuesta: Como en los casos anteriores, la falta de un mantenimiento
adecuado, constante y programado, sin embargo, existe algo llamado ingeniería
social, un correo engañoso recibido desde un usuario desconocido que se
identifica como parte de la unidad de informática, una cadena en redes sociales,
etc.
144
al contrario, intentará aprovechar esta puerta y hacer daño infiltrándose y
destruyendo ciertos objetivos. Sin embargo, antes recuerdo que los hackers
hacían lo que hacían por prestigio, por mostrar una vulnerabilidad, en nuestro
tiempo, la mayoría son delincuentes, persiguen defraudar, robar, en fin,
delinquir.
¿Qué es vulnerabilidad?
Respuesta: Es una puerta abierta, una debilidad del sistema que puede ser
aprovechada para causar daño, y puede estar donde sea, en la red, en el
hardware, en el sistema, en el software, pero creo que el elemento que más
vulnerabilidades proporciona es el elemento humano, las amenazas internas,
una empresa se puede cuidar de lo que viene de afuera con herramientas
tecnológicas, pero de los usuarios, del factor humanos solo te cuidas con
políticas, controles y concientización y eso es difícil.
145
¿Cuál es la falla más frecuente en las empresas sobre la seguridad de la
información?
Respuesta: El pensar que los sistemas están actualizados, es decir la falta de
controles, la falta de mantenimiento y monitoreo.
¿Los antivirus existentes permiten realizar algún tipo auditoría en busca de una
vulnerabilidad o rastro de un ilícito?
Respuesta: No es ese el objetivo de un antivirus, pero puedo deducir el rastro
de un ilícito, puedo determinar un ataque que sucedió en un equipo, determinar
hasta cierto punto su origen, sin embargo, esto no puede considerarse
evidencia, para un juicio.
146
Se realizó solicitud de información amparándose en la Ley de Acceso a la Información
Pública, ante la Unidad de Acceso a la Información Pública de la PNC, obteniendo la
siguiente información.
147
Ilustración 28. Resolución a Solicitud de Información (2019) Fuente: Elaboración propia.
148
Donde se aportan los datos siguientes:
149
Se realizó posteriormente otra solicitud de información amparándose en la Ley de
Acceso a la Información Pública, ante la Unidad de Acceso a la Información Pública
de la PNC, obteniendo la siguiente información.
Ilustración 30. Respuesta a segunda solicitud de información (2019) Fuente: Elaboración propia.
150
Ilustración 31. Respuesta a segunda solicitud de información (2019) Fuente: Elaboración propia.
151
También, se tomó en cuenta para esta investigación y como parte de los anexos, una
entrevista realizada en las instalaciones de la Subdirección de Investigaciones de la
PNC, específicamente en la Unidad de Investigación de Delitos Informáticos en
adelante UDI, ubicada en Col. Flor Blanca, Calle El Progreso Nº 2810, San Salvador,
con personal de dicha unidad, a quienes se realizaron las siguientes preguntas.
¿Cuál es la capacidad técnica o perfil ideal que debe cumplir una persona para
ser parte de la División Central de Investigaciones, específicamente de la
Unidad de Delitos Tecnológicos?
Respuesta: Tres años de experiencia como investigador, conocimientos afines a
las ciencias informáticas, aprobar evaluaciones psicológica y poligráfica, entre
otras.
¿Se cuenta con el equipo tecnológico idóneo para cumplir con las peticiones de
los usuarios?
Respuesta: Si se cuenta con equipo solo que dicho equipo no está actualizado.
152
¿Cuáles son el software y equipos especializados usados para procesar los
equipos tecnológicos ingresados?
Respuesta: FTK, Encase, Evidence Finder, Magnet, sin embargo, en todos ellos
existe desactualización de las licencias correspondientes.
¿De qué manera garantizan que los datos y la información extraída no ha sufrido
ninguna modificación?
Respuesta: Generando valores Hash, lo cual garantiza que los archivos extraídos
de esos equipos o dispositivos no han sido manipulados.
También, se tomó en cuenta para esta investigación y como parte de los anexos, una
entrevista realizada en las instalaciones de la Subdirección de Investigaciones de la
PNC, específicamente en la Unidad de Investigación de Delitos Informáticos en
adelante UDI, ubicada en Col. Flor Blanca, Calle El Progreso Nº 2810, San Salvador,
con personal de dicha unidad, a quienes se realizaron las siguientes preguntas.
¿Cuál es la capacidad técnica o perfil ideal que debe cumplir una persona para
ser parte de la División Central de Investigaciones, específicamente de la
Unidad de Investigación de Delitos Tecnológicos?
Respuesta: Tres años de experiencia como investigador, conocimientos afines a
las ciencias informáticas, aprobar evaluaciones psicológica y poligráfica, entre
otras.
153
Respuesta: Generalmente, Fiscales previamente autorizados por un Juez quien
ratifica y nombra al perito de entre el personal capacitado de la UDI.
¿Se cuenta con el equipo tecnológico idóneo para cumplir con las peticiones de
los usuarios?
Respuesta: Si se cuenta con equipo solo que dicho equipo no está actualizado.
¿De qué manera garantizan que los datos y la información extraída no ha sufrido
ninguna modificación?
Respuesta: Generando valores Hash, lo cual garantiza que los archivos extraídos
de esos equipos o dispositivos no han sido manipulados.
Así mismo, como parte de los anexos se realizó entrevista en las instalaciones de la
Sección de Delitos Tecnológicos de la PNC, dependencia del Departamento Técnico
de la División de Policía Técnica Científica, Avenida las Buganbilias 17-7 Colonia San
Francisco San Salvador, con personal de dicha unidad, a quienes se realizaron las
siguientes preguntas.
154
¿Cómo y desde cuándo se da inicio a la auditoría informática forense en la
división de la policía técnica y científica de la PNC?
Respuesta: Cabo Zelaya Aquino: La División Técnica Científica formalmente da
inicio en el 2008, aunque en el año 2005 ya se habían hecho los primeros trabajos
para la fiscalía, pero no se contaba en aquel entonces con el equipo adecuado para
ese tipo de extracciones, pero si se apoyaba (la labor de la fiscalía), ya fue a partir
de 2008 que ya se formalizó, se hizo la adquisición de equipo forense para ese fin.
¿Cuál es la capacidad técnica o el perfil ideal o real que debe cumplir una
persona para pertenecer a esta sección?
Respuesta: Cabo Zelaya Aquino: Bueno dentro de la institución policial existen dos
áreas la administrativa y la operativa, esta sección está formada por esos mismos
elementos, personal administrativo y personal operativo, cuando me refiero a
personal operativo es que ha sido un policía de carrera, formado en la Academia
Nacional de Seguridad Pública como policía de la calle (operativo), dependiendo
su especialidad, su estudio que hizo posteriormente pues le da una apertura para
formar parte de, claro hoy se somete a un proceso de selección para ser miembro
o pertenecer a la sección, hace poco se hizo una convocatoria que incluía desde
técnicos en informática hasta licenciados o ingenieros, para pertenecer a
cualquiera de las secciones que conforman la división es rigor la prueba del
polígrafo, si una persona cumple los demás requisitos pero no pasa la prueba del
polígrafo, es descartada, porque lo que se busca acá es que la persona que funja
sea íntegra, entonces lo ideal de técnicos en el área de la informática luego viene
la auto capacitación y las capacitaciones que se brindan acá, en la división que nos
va orientando al área forense; Cabo Henrríquez Molina, perdón ahí hay un detalle,
la informática como tal en el país se encuentra regida como una carrera, pero no
van a encontrar lo que es la informática forense, entonces ya para formarse como
técnico en el área forense, pues casi forzosamente hay que pertenecer en este
caso a la Policía o la Fiscalía, que son los únicos entes del estado que preparan
para realizar este tipo de peritaje, entonces ya partiendo sobre la base que (el
155
interesado) tiene un técnico, licenciatura, ingeniería en cualquiera de las carreras
afines a la informática, sobre eso se dan una serie de capacitaciones, que este
caso son (brindadas) por organismos internacionales, donde participa personal del
FBI, de la ONU, de la UNODC, INTERPOL, ABA ROLI y otra serie de instituciones
internacionales que nos van preparando para el campo de la informática (forense)
entonces en el país no existe la carrera de nada relacionado a lo forense, entonces
se tiene que ir a trabajar uno a alguna institución del estado para que ahí lo
preparen, como el caso de los doctores, no existe como tal carrera de medicina
forense, siendo médico se va luego a sacar cursos de algo forense, igual nosotros,
para contestar ya puntualmente, la capacidad técnica de un perito de la Sección de
Delitos Tecnológicos es el estudio formal que haya tenido más la preparación
técnica forense inducida por organismos internacionales.
156
interesado es certificado en promedio cada perito debe entregar cuatro casos al
mes, ese es el escenario ideal, a veces puede ser más o puede ser menos
dependiendo de las actividades cuarenta y ocho casos al año, lo mismo pasa con
todas las capacitaciones, por ejemplo se recibe una capacitación de análisis de
teléfonos, se realizan casos analizando teléfonos y luego se recibe la certificación,
acá es un laboratorio en esencia así que hacen pruebas, el interesado hará una
seria de prueba y si al final por ejemplo un 98 % de las pruebas fueron exitosas y
2% son incertidumbre donde queda duda que se pudo haber cometido un error o
el equipo no me permitió realizar el trabajo, se considera que aprobado y se
certifica, ahora esta acreditación no es permanente, se tiene que tener constancia
en la realización de las pruebas si un perito se retira por cualquier motivo por tres
meses por ejemplo por un capacitación o lo que sea y deja de trabajar, de realizar
peritaje, según las normas de calidad, se tiene que volver a acreditar y certificar,
empieza de cero prácticamente aunque ya tenga un pre conocimiento, ya no va a
hacer el curos completo, pero tiene que actualizarse, entonces a la certificación se
le da mantenimiento, porque se pierde.
157
veces se reciben también casos de carácter administrativo, faltas disciplinarias, de
alguna institución o de nosotros mismos,
¿Se tiene el equipo tecnológico idóneo para cumplir las peticiones judiciales?
Respuesta: Cabo Henrríquez Molina: La respuesta es sí y no. Cabo Zelaya Aquino:
como es común en el área informática la respuesta más acertada es depende, sí,
porque sí son los equipos que sirven para esa función, no, porque a veces debemos
recordar que estos equipos son caros, anualmente o dependiendo del contrato
deben hacerse actualizaciones, y lastimosamente la institución policial, no le ha
brindado la importancia que se debe a las áreas investigativas, entonces no se
cuenta con presupuesto para tener actualizados los equipos, por ejemplo se tiene
un equipo para analizar teléfonos que del Iphone 6 hacia atrás los analiza
completamente, pero ya con los dispositivos nuevos, ya se ve limitado, tal vez no a
todo el proceso de la extracción, pero, ya no se puede recuperar todo, sino
parcialmente, obviamente, dentro del área informática lo ideal sería (recuperar)
todo, pero como no se puede se trabaja con lo que se tiene. Cabo Henrríquez
Molina: Agregando, Nosotros contamos con una gama de equipos tecnológicos de
uso forense, aceptado en la comunidad forense internacional, tenemos los mismos
equipos que pueda tener el FBI, la CIA, he tenido la oportunidad de ira a la Policía
Cibernética de México hacen lo mismo que nosotros, también la Policía de
Investigaciones de Colombia y utilizamos los mismos equipos, mismas marcas,
mismos modelos, pero a nivel mundial la informática forense siempre va a ir un
paso atrás, con relación al delincuente, el que genera la inventiva, es decir se
inventaron los drones por ejemplo y de repente alguien vio que los drones se podían
utilizar para espiar personas, para disparar remotamente, entonces luego, luego de
eso se tuvieron que inventar herramientas de análisis para los drones, ese desfase
que existe en cuestiones de tecnología, siempre nos deja un paso atrás, otro
ejemplo, cuando sucedió lo de los amaños de los futbolistas, trajeron unas tablets
y unos equipos para los cuales no teníamos herramientas forenses para poder
analizarlos, se hizo una solicitud y se compraron de emergencia los equipos y ya
158
ser realizó el peritaje, porque hasta ese momento no nos habíamos visto en la
necesidad de realizar ese tipo de peritaje, de acuerdo a la necesidad que generan
los mismos delincuentes así se generan las soluciones, pero la brecha siempre
existe, no importa si eso es en El Salvador, o si estamos en Inglaterra o Canadá,
esa brecha siempre va a existir.
¿Cuáles son los pasos y requisitos que debe cumplir una evidencia para el
ingreso a la División Técnico Científica y a esta sección?
Respuesta: Cabo Zelaya Aquino: Cuando hablamos de los pasos que debe cumplir
una evidencia, recordemos que nosotros somos responsables como peritos del
área de recepción de evidencias haca acá, lo que ocurrió antes no sabemos, y no
es nuestra competencia, no es nuestra responsabilidad, se debe capacitar o instruir
al investigador de inspeccione oculares, (sobre) la manera adecuada de proteger
el equipo, resguardarlo para el transporte para que final término (sea adecuado y)
llegue a esta división, seguir modelos de embalar y proteger todo eso va
acompañado de la famosa cadena de custodia, donde se registra e identifica el
equipo (por ejemplo) una computadora, marca, modelo, color, dando un detalle de
ese equipo dispositivo, el cual nos va a garantizar que el que se decomisó o se
incautó en la escena del delito es el mismo que está llegando a esta división, se
elabora el informe pericial con ese mismo detalle y es el que sea hace llegar a los
operadores de justicia ya sea FGR o Juzgados, esos son los requisitos que debe
cumplir la evidencia, .
¿Se rigen bajo alguna norma los procesos que se realizan en esta sección?
Respuesta: Cabo Zelaya Aquino: estamos las buenas prácticas de laboratorio, y
estamos dentro del proceso de acreditaciones que ha venido por diferentes etapas.
Cabo Henrríquez Molina: nosotros somos una institución que dentro del
organigrama estamos supeditaos a una jefatura, seguimos los lineamientos que se
dan a toda la institución, el laboratorio en si está certificado en la ISO 17025, para
laboratorios de ensayo, cumplimos con los manuales de buenas prácticas de
159
manejo de la evidencia digital, manuales de buenas prácticas de manejo de
evidencia informática, que están reconocidos a nivel internacional, dentro de la
comunidad forense, generamos nuestros propios manuales de procedimientos,
tenemos nuestros propios manuales de como embalar la evidencia y como recibirla
y también nos regimos por las normas del Sistema Integrado de Gestión de Calidad,
la ISO 9001, normas que nos rigen como laboratorio.
¿Cuáles son los softwares y el equipo forense utilizados para procesar los
dispositivos tecnológicos ingresados a esta sección?
Respuesta: Cabo Zelaya Aquino: software tenemos, ENCASE, FTK, Auptopsy,
Mangent AXION, Phisical Analizer, Hardware tenemos For PC, originalmente se
diseñó para la extracción de dispositivos celulares o telefonía móvil, UFED
Dispositivo universal de extracción forense para teléfonos, etc.
¿Cómo garantizan que los datos o la información resultante del análisis no sea
modificada?
Respuesta: Cabo Zelaya Aquino: En informática y más que todo en informática
forense, se emplean las famosas firmas digitales, aunque hay una separación, esto
es un valor hash, de todos los datos que se obtienen de una extracción se obtiene
un valor hash, ese valor hash es inalterable, con eso garantizamos cuando se
obtienen los resultados y se va a las vistas públicas que lo que se muestra en
dichas vistas públicas es el mismo trabajo que se entregó, uno porque el dispositivo
óptico en que se entrega la información llámese cd o dvd, va debidamente
etiquetado, o puede ser también una memoria usb, pero dentro de ese dispositivo
va la información solicitada y esa firma en este caso un valor hash el cual garantiza
que si es la misma información que se plasmó en el informe pericial.
160
Respuesta: Cabo Henrríquez Molina: La informática forense, es una rama de la
informática, que puede aportar evidencias una vez analizadas de gran valor, para
lo que es una investigación criminal, sostengo que no es una sola evidencia o no
es solo una rama de la ciencia forense la que va a solventar un caso, sin embargo
estas son ciencias aplicadas, que por su misma naturaleza ayudan a identificar
usuarios, no tanto así personas, no podemos asegurar que una persona se sentó
frente a un equipo a cierta actividad, no, lo que se puede es identificar que un
usuario “x” realizó cierta actividad en un entorno digital o informático, creo que la
informática forense tiene una gran importancia en el aspecto que es completamente
imparcial en ese aspecto, no señala personas en específico, sino las actividades
que un usuario pudo haber realizado en un entorno digital, lo demás vendrá del uso
que los fiscales y los aplicadores de la Ley a los resultados que se obtengan, hay
casos en los que se presentan muchas pruebas, en base a un trabajo realizado de
la mejor manera y al final a lo mejor las partes terminan conciliando, en cambio hay
casos en que con una sola prueba y por ejemplo un video de apenas treinta
segundos, han resultado en la condena de una persona hasta por cuarenta años
de prisión, entonces va a depender mucho del uso que se le dé al resultado
obtenido, como con cualquier tipo de resultado con un análisis de evidencia.
161
de criminalística, la licenciatura en criminalística, cuando estos muchachos se
gradúen de licenciados en criminalística van a encontrar campo de acción, igual en
México, en esos países las empresas privadas dicen necesito criminalistas, que
por lo general analizan los perfiles de los que van a entrar a las empresas, aquí
quien analiza el perfil del que va a entrar a la empresa, el de recursos humanos y
que estudio tiene el de recursos humanos, es la amiga del dueño de la empresa,
es la secretaria, sin desmeritar, es una secretaria, un bachiller, que contrata gente
por amiguismo, no hay campo económico que sea fértil, para poder ofrecer la
carrera, (forzosamente) se va a tener que venir a capacitar acá y para capacitarse
acá, tiene que trabajar aquí.”
162
personas del sistema judicial se les capacita para que tengan conocimiento de la
norma o Ley, por ejemplo la Ley especial contra delitos informáticos para su
aplicación. De eso se encarga la corte suprema de justicia, a veces hay otros cursos
especializados dentro y fuera del país. Hay un problema, a la hora de por ejemplo
extraer información, estamos hablando de información confidencial, emparejando
esto con el derecho constitucional a la intimidad, se necesita autorización judicial,
es decir la intervención de un Juez, para extraer la información de un aparato
informático, porque si no se hace de la manera correcta se violentan derechos, en
este caso la intimidad de las personas, y la violentar derechos se generan
nulidades. Hay veces hay carencias no solo en los jueces en las capacitaciones
que puedan tener todos los elementos que conforman el sistema judicial, entre ellos
FGR, PNC, que en ocasiones si están capacitados y en ocasiones no, por eso
ustedes ven que se desarrollan en alguna medida unidades especiales, tanto PNC
cómo FGR, para que combatan estos delitos.
¿Ha utilizado información digital como pruebas en los procesos que ha tenido
conocimiento?
Respuesta: Lic. Ortiz García: Si, específicamente, por ejemplo en casos de
extorsión, se extrae información, mensajes de texto, mensajes de whatsApp,
correos electrónicos, delitos de expresiones de violencia contra la mujer,
contemplado en la LEIV, agresiones sexuales, violaciones, acoso, homicidios,
amenazas, falsedad documental, (esta información extraída) se convierte en una
prueba periférica que sumándose a otras pruebas dan valides al testimonio, en ese
tipo de delitos se ha observado el uso de pruebas digitales, con las cámaras de
vigilancia de ARGUS que son del 911 PNC, se ha verificad cometimiento de hechos
delictivos como homicidios, homicidios culposos, homicidios agravados, se verifica
que la persona actúa en contra de otra generándole lesiones y le provoca la muerte,
con arma blanca o arma de fuego, accidentes automovilísticos, donde se refleja el
accidente y la lesión que pudo haber provocado, el peritaje se vuelve útil porque se
vuelve una prueba ilustrativa, permite ver lo que ha sucedido, pero por si sola no
basta como prueba para acreditar la participación de una persona en un hecho
163
delictivo, es algo necesario, básico que ayuda a la hora de tomar una decisión a un
juzgador, pero a la vez es necesario que esa información que ingresa por medio de
esa prueba ilustrativa, de una extracción de un teléfono, computadora o
videocámara, sea comparada o agregada y en conjunto con las otras pruebas logre
establecer la existencia y la participación del delito, si ayuda, crea certeza.
¿Cuáles son los parámetros que toma en cuenta para tener certeza de que la
evidencia presentada a su juzgado es auténtica?
Respuesta: En principio debe haber con base al Art. 201 CPP una solicitud de
extracción de información en aparato electrónico, por la persona que necesita esa
información, pero previo a ello a la hora de recolectar la evidencia, el desarrollo de
la cadena de custodia, para garantizar la certeza de la prueba.
¿Ante la necesidad de un peritaje informático forense, exige un perfil específico
para el especialista o confía en las capacitaciones que éste ha adquirido para
realizar tal función?
Respuesta: Lic. Delgado Aguilar: En la cuestión pericial, nunca van a encontrar un
perito que lo sepa todo, sin embargo, en este tipo peritaje, por la cuestión forense,
no se requiere un conocimiento general, sino un conocimiento específico, por la
naturaleza de los delitos, una persona que acaban de recibir una capacitación o un
curso, no tendrá la pericia necesaria para realizar este tipo de peritaje, cuando me
hablan de un peritaje informático forense, estamos hablando de algo que tiene
repercusión en materia penal, debe ser de tal manera que pueda primero interpretar
lo que se le está solicitando y dos que al momento de transmitirle esa información
al Juez que va a tomar la decisión el Juez perfectamente lo pueda entender, ya que
el Juez no tiene los conocimientos sobre eso, uno de los puntos en la pericia es
que debe precisarse que es lo que se va a peritar, y muchas veces el abogado no
se hace asistir de un técnico o de un profesional que lo oriente de aquello que se
necesita ya sea para poder acusar o defender, muchas veces se pretende hacer
ver como muy sencillo un delito informático, por ejemplo dicen aquí hay unas fotos
(extraídas de una computadora) el Juez dice bueno, pero esas fotos de donde
proceden, él no lo puede hacer, no lo puede deducir, el juez necesita certeza sobre
164
la base de la seguridad jurídica, que implica eso, que se haya hecho conforme a la
Ley dice, se puede tomar una copia de una imagen y llevarla, eso puede servir
como un indicio, de que en esa máquina hay algo relativo a eso, le va a servir al
fiscal para investigar, pero al Juez le va a servir la certeza, que una persona con
los conocimientos necesarios para el rol importante que está desarrollando, yendo
a la máquina de la que se dice viene la información, extrayendo la información,
estableciendo los descriptores respectivos, entre otros, con esa información dada
por un perito que da la certeza de que esa información existe, y entrega toda la
información técnica necesaria para respaldar sus peritaje. Se requiere un perfil
específico, la formación que el perito tenga como profesional es importante, por el
tipo de información que se va a conocer, el perito debe dar un aporte que no
necesariamente el que, hecho de hacer el peritaje, sino el que da ante el Juez
defendiendo su pericia. En conclusión, yo si en lo personal exijo un perfil específico
para el especialista. Para una justicia de calidad como la que nos merecemos todos
los salvadoreños, definitivamente para mi parecer requiere que el perfil del perito
informático forense sea de lo más alto posible, lo más calificado posible, no
cualquiera, alguien que esté preparando constantemente.
¿Cuál es la utilidad que tiene la auditoria informática forense en el sistema
judicial de El Salvador?
Respuesta: Lic. Delgado Aguilar: El Juez para resolver un caso, necesita de
pruebas, que sean confiables, que sean legales, es tan importante una eficiente
pericia tecnológica, porque primero debe autorizarla un Juez y la intervención se
hace a través de medios tecnológicos, de una computadora, y se necesita que sea
fiable, depurable, al final a través de la auditoría informática forense, si al Juez a
quien le compete dilucidar a través de una sentencia resolver un caso, si no se
plantea bien una auditoría informática forense, esto genera un sentencia
absolutoria o condenatoria, en conclusión la utilidad de la auditoría informática
forense es el hecho de brindar pruebas, en ciertos delitos, sobre todo en El
Salvador, donde ahora tenemos una Ley contra delitos informáticos, será
fundamental tener peritos con la idoneidad y sobre esa base, en las auditorías
165
forenses el sistema judicial podrá dar sus conclusiones en una sentencia
condenando o absolviendo sobre la base de esa información que le sea fiable, que
le sea confiable, que le permita reproducir y recrear lo que sucedió para poder
tomar la mejor decisión, la que sea justa.
166