REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LAS RELACIONES

INTERIORES JUSTICIA Y PAZ
MINISTERIO DEL PODER POPULAR PARA LA EDUCACION
UNIVERSITARIA
UNIVERSIDAD NACIONAL EXPERIMENTAL DE LA SEGURIDAD
CENTRO DE FORMACION MULTIESPECIALIZADO LARA

FASES DE LA INFORMÀTICA FORENSE Y HERRAMIENTAS LIBRES

APLICADAS A LA INFORMÀTICA FORENSE

Estudiantes:

Montes, Jesús CI: V-26.555.272

Rondón, Lorenzo CI: V -25.630.711

Brizuela, Génesis CI: V-25.748.338

Palacios, Heliannys CI: V-27.198.179

Salcedo, Alexandra CI: V-27.479.531

Mercado, Mairelyn CI: V-26.659.107

Patiarroy, Yenifer CI: V-27.629.028

Pérez, Katherine CI: V-26.142.859

Docente: Ing. Luis Rojas

Unidad Curricular: Informática aplicada a la Investigación Penal

Ambiente 2, Proceso I-2019, PNF Investigación Penal

Barquisimeto, Febrero del 2020

 Introducción

Este trabajo fue ejecutado con la finalidad de conocer la importancia que tiene la
informática forense, la cual, es una ciencia la cual consiste en la adquisición,
preservación, consecución y presentación de datos que han sido procesados
electrónicamente con anterioridad y guardados en un medio de almacenamiento físico
donde su objetivo, es la investigación de sistemas de información para poder detectar
cualquier clase de evidencia de vulnerabilidad que puedan tener. Asimismo se persiguen
diferentes objetivos de prevención, intentando anticiparse a lo que pudiera pasar así
como establecer una solución rápida cuando las vulnerabilidades ya se han producido.

El papel que tiene la informática forense es principalmente preventivo y nos ayuda,

mediante diferentes técnicas, a probar que los sistemas de seguridad que tenemos
implementados son los adecuados para poder corregir errores y poder mejorar el sistema
además de conseguir la elaboración de políticas de seguridad y la utilización de
determinados sistemas para poder mejorar tanto el rendimiento como la seguridad del
sistema de información. No obstante, la misma cuenta con diversas fases las cuales
ayudan en el proceso de análisis y estudio de las evidencias de intereses criminalístico
como lo son: la identificación, el análisis y descubrimiento de evidencia, la validación y
preservación de los datos adquiridos y el informe final, al igual que la presencia de los
tipos de software libre más utilizados en la informática forense tanto por parte de los
peritos informaticos o expertos así como también por los ciberdelincuentes mediante el
hackeo.

Finalmente, en la misma se presenta la importancia de la legislación dentro de la

informática forense en Venezuela, mediante la aplicación de la Ley Especial contra los
Delitos Informáticos, la conceptualización de la informática forense y los respectivos
análisis forenses encontrados tales como: análisis forense de móviles, análisis forense de
la red, análisis forense de los datos y análisis forense de la base de datos.
 Índice

Portada

Introducción

Índice

Conceptos

Fases de la Informática Forense

 Identificación
 Análisis y descubrimiento de evidencia
 Validación y preservación de los datos adquiridos
 Informe
Software Libre

 Digital Forensics framework

 Smart for linux
 The Sleuthkit y Autopsy
 Caine
 Helix
 Backtrack
 EnCase forensic imager
 EDB Viewer, Mail Viewer, MBOX Viewer
Informática Forense

 Legislación que regula los delitos informáticos en Venezuela

 Informática forense
 Análisis forense de móviles
 Análisis forense de la red
 Análisis forense de los datos
 Análisis forense de la base de datos

Interrogantes ¿?

Conclusiones

Referencias bibliográficas
 Fases de la Informática Forense

Las fases de informática forense son conocidas como aquellos procedimientos que los
investigadores tienen en cuentan para mantener la competencia suficiente en el
procedimiento forense, tales como:

1. Identificación
2. Validación y Preservación
3. Análisis y Descubrimiento
4. Documentos y Presentación de pruebas o Informe

La Identificación

Es realizada en el lugar donde ocurrió el ataque informático, en esta debe rotularse

mediante sus características físicas respectivas los elementos, los cuales serán objeto
próximamente de un análisis forense y deben ser preservados, estos pueden encontrarse
dentro de un disco rígido o disquete de algún computador hasta en un variado conjunto
de discos de algún servidor, juego de cintas o hasta incluso en varias computadora
encontradas dentro de una organización. Esta puede ser realizada mediante dos etapas,
tales como:

1. Levantamiento de información Inicial. En esta etapa, la persona encargada del

sistema exige un análisis forense de la evidencia encontrada en el sitio de suceso,
esto proporcionándole el dispositivo, al cual se le realizara el análisis de
información, donde el mismo incluirá la fecha del acontecimiento, permanencia y
referencias del mismo.  Además de información referente a los datos del responsable
del sistema afectado como lo son: números telefónicos, correos electrónicos, alguna
dirección en específico, entre otros.   No obstante, es de gran importancia la
facilitación de información en relación al dispositivo o equipo afectado, el cual
presente detalles característicos en su gran mayoría, como lo son: la dirección IP,
marca, modelo, seriales, sistema operativo, entre otros.

2. Resguardo de la Escena. A los dispositivos tomados como evidencia, es necesario

identificarlos detalladamente según el tipo de equipo, ya sea un móvil, sistemas
embebidos o informático, entre otros, al igual que el medio de almacenamiento
encontrado. En esta ocasión, la evidencia podrá ser variada si puede perderse al
 apagar el sistema (encontrada en ejecución en memoria), al igual que no variada en
referencia al caso de una información almacenada en un disco duro.

Validación y Preservación

Es aquella ejecutada ya luego de haber obtenido los datos necesarios para la

investigación, esta mediante el uso de una imagen exacta del contenido encontrado
dentro de la evidencia, asignando un código único correspondiente a una combinación
única de bytes, la cual constituye una totalidad del medio en observación. Es realizada
mediante dos etapas, como lo son:

1. Copias de la Evidencia. Es de vital importancia como primer paso, el obtener

dos copias de toda evidencia obtenida en el lugar de los hechos, ya que de esta
manera se logra la aseguración y preservación del original para no dañarlo y así
solo utilizar las copias y comprobar en todo momento que en la evidencia no
exista algún tipo de alteración. Cada copia debe contener una suma de
comprobación de la integridad haciendo uso de funciones como MD5 o SHA1 y
debe ser marcada con una identificación única con la hora y fecha del momento
en el cual se extrajo la copia así como la suma de comprobación y los datos de la
persona que ejecuto dicha acción.

2. Cadena de Custodia. Asimismo, es crucial el conocer en todo momento el

acceso por parte de alguna persona o experto hacia las evidencias colectadas,
esto con apoyo de la cadena de custodia, la cual servirá como sustento para el
conocimiento de los expertos o profesionales, donde debe ser registrado con
fecha exacta y datos personales, así como también la información que pueda
servir de apoyo para seguir su rastro y garantizar su integridad (Ej. transporte de
las evidencia en base al sitio, ejecución, etc.). 

 
 

Análisis y descubrimiento

El proceso realizado en esta fase, está basado en la identificación de las evidencias

utilizando herramientas especializadas, buscando la accesibilidad de las mismas en base
a un análisis exhaustivo, adquiriendo así una serie de resultados los cuales ayudaran en
la elaboración de una línea de tiempo que será un elemento fundamental en la
obtención presentada de manera eficaz, con respecto a la ubicación y lugar donde se
suscitaron los hechos delictuales. Todo esto, realizado mediante una serie de etapas tales
como:

1. Preparación para el análisis. Buscando sumar información necesaria para el

análisis de las evidencias, es necesario en algunos casos la utilización de equipos
los cuales ayudaran a arrojar imágenes relacionadas con las evidencias, sistemas
operativos o cualquier otro medio necesario para el análisis.

2. Reconstrucción del Ataque. Pretende encontrar la creación de la línea de

tiempo mediante la información recolectada, la cual es estrictamente detectada y
relacionada con la evidencia como también fechas de la manipulación de los
archivos o borradores. Este proceso es el más exigente en base al tiempo y
profundización en la ejecución del análisis, observando los diferentes archivos
que puedan tener información necesaria y pertinente, marcas de tiempo (MACD)
al igual que rutas o permisos relacionados. Es importante resaltar la utilización
de los logs, ya que juegan un papel fundamental en esta etapa mediante el
análisis de comparación de fechas por medio de algún tipo de registro de eventos
en el sistema así como también de la manipulación de los archivos, para lograr
así alcanzar de manera más accesible y eficaz al veredicto del caso.

3. Determinación del ataque. Luego de determinar la línea de sucesos del ataque,

se debe establecer el punto por el cual la persona que ejecuto la acción logro
ingresar al sistema. Esto puede llegar a ocurrir mediante accesos descontrolados
en base a puertos abiertos encontrados en la red, sistemas operativos
desactualizados, ataques de fuerza bruta, entre otro.

4. Identificaron del atacante. Pueden llegar a existir casos donde sea necesario el
solicitar al experto analista la identificación plena del ciudadano infractor o
atacante en este caso, donde el experto por medio de la utilización de
herramientas especiales detectara el rastreo de la ubicación por la cual ingreso
dicho atacante en base a la dirección IP.
 5. Perfil del atacante. Existe una serie de atacantes los cuales son identificados en
base al delito cometido, podemos seleccionar entre los más conocidos a los
hackers, SciptKiddies y los profesionales en informática “Encontrados como los
más capacitados en conocimientos de la materia para realizar esta serie de
ataques”.

6. Evaluación del impacto causado en el sistema. Todo ataque causado a un

sistema no siempre tiene el mismo impacto, ya que algunas veces el ciudadano
infractor busca solamente el ingreso al sistema sin alterar ni modificar ningún
archivo que lo comprometa. En esta ocasión, el experto analista deberá medir el
tipo de impacto causado al igual que tomar las medidas y precauciones
necesarias para evaluar y corregir el riesgo o daño causado.

Documentación y presentación de las pruebas (informe)

 
Esta fase consiste en la documentación de todos los pasos realizados en base al estudio
y análisis la evidencia, para así posteriormente realizar el informe respectivo, escrito en
un lenguaje técnico y claro, mediante el uso de un CD, para así facilitar la accesibilidad
del usuario no especializado de manera ordenada la información pertinente en base a
una interpretación de la evidencia recuperada. Las etapas encontradas en esta son:
 
1. Utilización de formularios de registro de incidentes. Esta etapa destaca un
serie de formularios los cuales deben ser llenados de manera clara y precisa, los
cuales son: documento de custodia de la evidencia, formulario de identificación
de equipos y componentes, de incidencias tipificadas, de publicación del
incidente, de recogida de evidencias y de discos duros.

2. Informe Técnico. Es un reporte que debe ser elaborado y contener todos

aquellos aspectos técnicos del análisis ejecutado, debe tener un perfil para ser
entregado como soporte técnico y debe estar dirigido al personal que tenga
conocimiento de los sistemas y pueda así manejar este tipo de lenguaje.

3. Informe Ejecutivo. Es un documento mucho más sencillo en presentación, no

será dirigido al personal técnico, es empleado mediante un lenguaje mucho más
accesible y es expuesto en base a los hechos ocurridos en el sistema atacado.
 Software Libre

Digital Forensics Framework (DFF)

Es considerado como aquel software informático de código abierto de análisis forense,

la cual es una herramienta de trabajo para el desarrollo de esquemas o estructuras en la
realización de un análisis forense, este programa tiene como objetivo principalmente la
extracción de datos de un computador (Ej. lectura de formatos forenses, informes de
discos). Este de igual forma ayuda en la reconstrucción de maquinas virtuales que
puedan servir como sustento en cuanto a la evidencia digital ya que es un software de
códigos abierto.

Características principales

 Ayuda a la recuperación potente de archivos borrados.

 Permite el análisis de un sistema de archivos de algún teléfono móvil y en la
recuperación de archivos borrados.
 Descifra el contenido y metadatos de SMS para mostrarlos como en un
teléfono móvil.
 Tiene un editor hexadecimal.
 Posee un interfaz grafico y consola de comandos.
 Dispone de un modulo de auto-detección, basado en estructuras de archivos
para la localización de archivos con extensiones cambiadas.

Smart for Linux

En primer lugar, el Smart es aquella utilidad de software diseñada y optimizada para el

apoyo a los profesionales forenses en análisis de datos, investigadores y personal de
seguridad de la información en el cumplimiento de sus deberes y objetivos respectivos.
Encontramos en segundo lugar que la metodología smart y el software han sido
desarrollados con la intención especifica de la integración de aquellos requisitos
técnicos, legales y de usuario final en base a un paquete completo el cual permitirá al
usuario la realización de su trabajo de manera tanto efectiva como eficiente.

Características principales

 Ayuda en las consultas e investigaciones de “tocar y hablar”

  Aporta un enfoque más práctico en las vistas previas in situ “en el sitio” o
remota de un sistema de destino
 Ejecuta un análisis post mortem de un sistema muerto
 Realiza una prueba y verificación de otros programas forenses
 Contribuye en la conversión de formatos propietarios de “archivos de evidencia”
 Interviene en la producción de una línea de base de un sistema

Caine “Computer Aided Investigative Enviroment”

Es aquel software conocido en español como “Entorno de Investigación Asistido Por

Computadora”, el cual ayuda en la realización de análisis forenses digitalizados de
cualquier tipo de sistema o dispositivo, ya que contiene diversos componentes que no
son distinguidos a simple vista, pero que presentan las mismas propiedades intensivas
en cualquier parte especifica de un sistema y asiste a los investigadores en cuanto a la
búsqueda de algún elemento de interés delictual.

Características principales

 Ofrece un entorno de apoyo, en base a la facilitación de las investigaciones

digitales.
 Aporta y posee una interfaz grafica amigable
 Contribuye con una serie de herramientas amigables para el usuario.

The Sleuth kit y Autopsy

En primer lugar, Autopsy es aquel programa fácil de usar, el cual está basado en GUI
que permite un análisis eficiente del disco duro y teléfonos inteligentes. Ya en segundo
lugar, The Sleuth kit, es aquella colección de herramientas de línea de comandos así
como también una biblioteca C que permite el análisis de imágenes depositadas en disco
y en la recuperación de archivos encontrados en ellas. Es utilizado detrás de una escena
de Autopsia y en muchas otras herramientas forenses comerciales y de códigos abiertos.
Estas herramientas son utilizadas por miles de usuarios en todo el mundo y tienen listas
de correo electrónico y foros basados en la comunidad “Basis Technology” ofreciendo
capacitación comercial, soporte y desarrollo personalizado.
Características principales

 The Sleuth Kit, posee una arquitectura de complemento que le permite encontrar
módulos adicionales o desarrollar módulos personalizados en Java o Python.
 Permite examinar el sistema de archivos de una computadora sospechosa, de una
manera no intrusiva
 Soporta particiones DOS, particiones BSD (etiquetas de disco), particiones Mac,
partes Sun (Índice de volúmenes) y disco GPT.
 The Autopsy, proporciona una interfaz gráfica basada en HTML para The Sleuth
Kit (El cual hace más fácil su utilización)
 Permite a los investigadores lanzar auditorías forenses no intrusivas en los
sistemas a investigar
 Pueden analizar los discos de Windows y UNIX y sistemas de archivos (NTFS,
FAT, UFS1 / 2, Ext2 / 3).

HELIX

Es una plataforma unificada para desenvolvimiento colaborativo e protección de

cualquier tipo de propiedad intelectual. Esta plataforma incluye los siguientes
componentes:

a) Helix Versioning Engine: Con capacidades DVCS para archivos de cualquier

tipo o tamaño.
b) Helix GitSwarm: Ecosistema completo para desenvolvimiento basado en Git.
c) Helix Swarm: Aplicación comprensiva de revisión estilo Gerrit.

Características principales

 Gestione y proteja cualquier tipo de archivo o tamaño (código, diseño, modelos

3D, medios de comunicación, artefactos de ambiente, binarios o documentos
comerciales).
 Reproduce audio y vídeo de los medios de comunicación en diversos formatos
 Ayuda a la producción de los medios de comunicación, y su servicio a través de
una red.
 Ejecuta en numerosos sistemas operativos y procesadores (como los teléfonos
móviles) y fue iniciada por RealNetworks
 Backtrack

Es una distribución Linux que tiene como objetivo recopilar una serie de programas y
utilidades que son utilidad para realizar pentesting, es decir los llamados testeos de
seguridad. Son conocidos como aquellos ataques realizados a un sistema informático,
logrando así vulnerarlos para posteriormente corregirlos. Es por esta razón que se
considera como la navaja suiza de todo hacker ético o experto en seguridad informática.

Características principales

 Puede utilizarse tanto para realizar hacking ético, es decir con buenas
intenciones, por ejemplo para revisar intrusión en redes Wifi, para testear la
seguridad de un servidor, o mismo la fortaleza de un sistema de seguridad
determinado.

 Es utilizada por usuarios del lado oscuro de la informática, es decir los hackers
malignos que tienen otras intenciones, como robar datos bancarios, romper la
seguridad de un sistema para infiltrarse y robar información

 Acceso a un entorno, el cual posee todo tipo de herramientas (el escáner de redes
Nmap, el escáner y analizador de redes Wireshark, el sistema de explotación de
navegadores BeEF, la herramienta de extracción de información Maltego)

EnCase forensic imager

Es una poderosa plataforma de investigación que recolecta datos digitales, realiza

análisis, informa sobre descubrimientos y los preserva en un formato válido a efectos
legales y por los tribunales.

Características principales

 Produce una duplicación binaria exacta del dispositivo o medio original

 Verifica generando valores hash MD5 de las imágenes y asignando valores de
CRC a los datos.
 Ayuda mediante la verificación, una revelación de la alteración o manipulación
indebida de la evidencia
 Mantiene toda la evidencia digital con validez a efectos legales para su uso en
procedimientos judiciales.
 EDB Viewer, Mail Viewer, MBOX Viewer

EDB Viewer. Es una herramienta totalmente gratuita, desarrollada para ver archivos
EDB cuando no hay un servidor de Exchange, posee el último algoritmo que lo hace
destacar para abrir archivos EDB de manera segura.

Características principales

 Escanea y visualiza archivos EDB corruptos

 Soporta escaneo de archivos Priv.edb
 Ayuda en la visualización de archivos adjuntos incrustados
 Escanea de manera rápida y eficaz para la corrupción mínima

Mail Viewer. Es un programa gratuito, el cual permite la visualización de los archivos

guardados y almacenados en formato MSG y EML.

Características principales

 Generan un "archivo de hechos" en relación con tus correos electrónicos

 Son capaces de proporcionarte valiosos datos en base al correo electronico
 Ajusta el informe a las necesidades especificas incluyendo solo campos
específicos

MBOX Viewer. Es una herramienta, la cual es compatible con todas aquellas

aplicaciones de correo electrónico donde se crean y acceden archivos MBOX.

Características principales

 Permite el acceso a todos los elementos de los archivos MBOX, desde correos
electrónicos hasta contactos, así como archivos adjuntos, eventos y otros detalles
 Mantiene todos los correos electrónicos en un orden.
 Ayuda a cargar el número de correos electrónicos y archivos MBOX a la vez sin
detener el rendimiento de esta aplicación. Por lo tanto, de esta manera también
se ahorra tiempo y esfuerzos.
 Legislación que regula los delitos informáticos en Venezuela

Actualmente en Venezuela, los delitos informáticos se han presenciado con un gran

índice delictivo, en casos como lo son: el fraude, la estafa, hackeo de cuentas bancarias,
correo electrónico, usurpación de identidad, accesos a redes sociales, entre otros, los
cuales han influenciado notoriamente en el país. Este tipo de delitos son regulados en
base a un conjunto de leyes como lo son el Código Penal Venezolano, ayudando asi a
sancionar este tipo de incidencia presentada. Asimismo, es necesaria la aplicación de la
prevención y orientación para lograr reducir esta incidencia presente. Es por ello que el
Cuerpo de Investigaciones Científicas, Penales y Criminalísticas “CICPC”, posee una
brigada especializada en ese tipo de delitos la cual es conocida como Brigada contra
Delitos Informáticos así como también este cuerpo detectivesco cuenta con un grupo de
prevención social, los cuales se encargan de orientar a las personas en relación a los
delitos informáticos, ofreciendo medidas preventivas que ayudaran a evitar que se siga
cometido este tipo de delitos en el Estado Venezolano.

Es por esta razón que surge la creación de una ley especial para este tipo de delito, la
cual es conocida como “Ley Especial contra los Delitos Informáticos”, la cual tiene
por objeto la protección integral de los sistemas que utilicen tecnologías de información,
así como la prevención y sanción de los delitos cometidos contra tales sistemas o
cualesquiera de sus componentes, o de los delitos cometidos mediante el uso de dichas
tecnologías, en los términos previstos en esta Ley.

Informática forense

Es una disciplina auxiliar de la justicia moderna, para contrarrestar los desafíos y

técnicas de los delincuentes informáticos; garante de la verdad circundante de la
evidencia de carácter digital, que es mucho más susceptible de sufrir alteración o
modificaciones por la connotación que de acuerdo a la practicidad y cotidianidad se le
asigna, pero que eventualmente se pudiese aportar como medio de prueba en un proceso
judicial. Dentro del proceso de investigación criminal, la Informática Forense permite
realizar experticias específicas sobre: telefonía celular, sistemas de seguridad de circuito
cerrado, equipos de computación, dispositivos de almacenamiento (discos duros,
dispositivos flash, CD o diskettes), páginas web, correos electrónicos, entre otros.
Asimismo evalúa cada una de las evidencias de carácter digital, lo que permite
interpretar la data, códigos, instrucciones y realizar el vaciado de contenido de
elementos de interés criminalístico que guarden relación con la perpetración de un
hecho punible.

Análisis forense de móviles

El ecosistema de los dispositivos móviles ha evolucionado de una manera significativa

en los últimos años, logrando provocar principalmente una adopción masiva por parte
de los usuarios, los cuales llegan a tener de manera simultánea varios terminales con
diferentes objetivos como lo son el uso profesional, personal, entre muchos más. En
estos se almacena un gran sin numero de información la cual puede llegar a resultar un
determinante al resolver algún tipo de hecho delictual por parte del historial de llamadas
tanto entrantes como salientes, mensajes de texto y multimedia, correos electrónicos,
historial de navegación, fotos, videos, documentos, información en redes sociales,
información en servicios de almacenamiento online, la cual en base a la aplicación de
los diferentes métodos informáticos recuperar dicha información necesaria y pertinente.

Asimismo, las comunicaciones por correo electrónico son las que se producen por el
uso de aplicaciones móviles, ya sean de mensajería instantánea (WhatsApp, Telegram y
similar) como de redes sociales (Twitter, Instagram o Facebook). En ellas se ejecuta y
almacena información únicamente en el dispositivo móvil utilizado.

Los teléfonos móviles pueden lograr desempeñar un rol fundamental en la vida de una
persona, no sólo como un medio de comunicación sino también como un organizador o
cámara fotográfica, por lo que no es ninguna sorpresa que los teléfonos móviles se
encuentren estrictamente relacionados en hechos delictuales. El análisis forense de un
dispositivo móvil, es realizado mediante la utilización de herramientas con tecnologías
capaces de ejecutar este tipo de acción, empleándose únicamente en aparatos diseñados
para la extracción de datos tanto de teléfonos móviles como software dominados en el
análisis de la información contenida en los dispositivos, para esto es necesario contar
con el equipamiento no solo para investigar sino también para resguardar la integridad
de los dispositivos a analizar, de forma que sigan siendo válidos como prueba judicial
 Análisis forense de la red

Es conocido como una rama de la informática forense, teniendo como finalidad el

estudio de los eventos y el tráfico anormal o extraño de lo circulado en las redes para así
lograr obtener algún tipo de evidencia digital la cual servirá como sustento con respecto
a la aprehensión de los delincuentes informaticos o ciberdelincuente. El análisis puede
ser realizado:

a) En tiempo real
b) Mediante el análisis de los archivos capturados (caps)

A partir de este estudio se pueden entender características de la red, la persona que las
manipula, la identificación de los picos de tráficos, alguna actividad maliciosa, uso de
protocolos inseguros o cualquier comportamiento anómalo.

Análisis forense de los datos

Este tipo de análisis consiste en una serie de diferentes técnicas las cuales comparten un
objetivo específico enfocado en obtener información valiosa sin ningún tipo de
modificación, proveniente de algún sistema o aparato electrónico. Esto ayuda a
encontrar datos secretos, dañados e incluso eliminados.

En la realización de un análisis forense de este tipo es esencial mantener dentro de las

probabilidades la integridad del disco, ya que la información extraída en dicho análisis
puede llegar a ser de vital importancia en el proceso judicial.

Análisis forense de la base de datos

Para realizar un análisis forense orientado a incidentes en gestores de bases de datos, es

necesario entender la funcionalidad de la informática forense, puesto que en esta ciencia
es donde se establecen los procedimientos que permiten investigar y detectar toda
evidencia. Es importante la exanimación de cada archivo digital descubierto ya que esto
aportara en la investigación y en la creación de una base de datos de información
relacionada a cualquier dato importante y consistente relacionado con algún caso en
cuestión. El análisis forense de base de datos, es de suma importancia ya que permite
mediante la aplicación de los diferentes métodos y estudios informaticos obtener una
serie de datos necesarios y pertinentes en la investigación para la resolución de algún
hecho delictual.
Caso. Imaginemos una escena del crimen con pornografía infantil almacenada en una
computadora personal.

Responder las siguientes interrogantes:

1. Consideras que es importante tener en cuenta la línea de investigación, que le

permita al investigador indagar en base a un criterio de tiempo determinando,
que ficheros pueden o no ser importantes para el caso?

En virtud a la problemática anteriormente señalada en la interrogante, el mundo de

la pornografía infantil deja cifras tan alarmantes como la de que cada siete minutos se
muestra en Internet a un menor siendo objeto de abusos sexuales. Así como un estallido
social en denuncias, teniendo en cuenta que las nuevas tecnologías como , teléfono
móvil, computadoras portátiles, creación de plataformas digitales en la web, entre otros,
así mismo creando un entorno que facilita el acceso, producción y distribución de esta
pornografía y que hace imposible calcular el número de portales que muestran estos
abusos, a su vez en cada fotografía, en cada vídeo, hay una agresión sexual, una
violencia ejercida y una violación de los derechos de los niños y las niñas siendo objeto
de uno de los grupos vulnerables establecido según la carta magna y las distintas leyes
especiales que mantienen un margen de relación a la problemática digital.

De este mismo modo, la averiguación o procedimiento pertinente al abordaje de la

problemática en afección al niño y niña “pornografía infantil”, por parte de los
organismos de seguridad de Estado en materia de investigación penal en la busque
exhaustiva del autor, autores o terceros interactuaron en el hecho o propiciaron del
despliegue de información, video o imágenes de esta índole, en focalizándose
primeramente si es a través de una denuncia común o criminal, ya que ambas poseen
amplias diferencias para así iniciar señalado proceso por ende al tener la prueba de
interés criminalístico de manera digital ( video, fotografía) puede optar por implementar
el usos de uno de los Software Libre en análisis de datos determinando así una
ubicación IP del dispositivo que capturo el hecho. Cabe destacar que este tipo de caso,
se enfocalizan en un tipo de investigación que converge la recolección de información
en proyección mínima a englobar un resultado con un alto nivel de datos.
Por último, al identificar los autores del hecho y poseer el material de comisión
informático, se efectúa al análisis forenses para consolidar todas aquellas evidencias
digitales presentes en los archivos comprimidos de los dispositivos tecnológicos-
informáticos. Asegurando de esta manera una prueba contundente en el proceso penal
que conllevara a una sana administración de justicia a través de una sanción penal,
siendo la misma “corporia” en un recinto penitenciario si el gozo de beneficios judicial
por el motivo de la violencia de la integridad física, psicológica, emocional de un niño o
niña.

2. La línea de tiempo se define en dos (2) momentos dentro de una investigación.

Cuales son y de que se trata estas líneas de investigación en cada uno de estos
dos (2) momentos?

La línea de tiempo es de vital importancia dentro de la investigación, ya que constituye

un marco que permite al investigador indagar en base a un criterio de tiempo
determinando la importancia de los ficheros en el caso. Esta se define en 2 momentos
dentro de una investigación:

a) La línea previa. Esta surge por medio de la entrevista inicial, mostrando una
serie de pautas para así dar inicio a los análisis respectivos y lograr construir una
referencia a los detalles de tiempos y sucesos iniciales obtenidos por las
personas encargadas de la investigación.
b) línea de investigación: Se inicia mediante la fase del análisis, en base a las
conclusiones previas las cuales permitirían establecer un inicio, no obstante la
línea de tiempo más exacta se profundizara durante la fase del análisis. Esta
línea de tiempo es realizada con las evidencias encontradas dentro de la
ejecución del estudio de la investigación.

3. En este caso planteado, que se analiza?

En este caso planteado el elemento al cual se le debe realizar un análisis forense es

el computador personal, ya que en este aparato es donde se encuentra almacenada
dentro del disco duro la información en este caso los videos o fotográficas con
pornografía infantil, donde a esta deben aplicársele una serie de técnicas y métodos
 de análisis forense, los cuales servirán como sustento en la resolución de este tipo de
delito. Cabe destacar que también se le pueden aplicar una serie de software libre
como:

 Autopsy. Es aquel programa fácil de usar, el cual está basado en GUI que
permite un análisis eficiente del disco duro y teléfonos inteligentes.
 Caine “Computer Aided Investigative Enviroment”. Es aquel software, el
cual ayuda en la realización de análisis forenses digitalizados de cualquier tipo
de sistema o dispositivo

Interrogante general. Consideras que los correos electrónicos con historias divertidas,
o con mensajes alusivos a Dios que reclaman ser reenviados, o los que narran la trágica
historia de un niño enfermo de cáncer y en etapa terminal que necesita una costosa
operación para lo que se reclama fondos, pudiera ser una estrategia para estar
reenviando virus o simplemente una cookies destinada a captar direcciones de Internet,
que pueda permitir la apropiación a los ciberdelincuentes de tus datos personales?
Argumenta tu respuesta.

Este tipo de información puede llegar a tener dos significados de gran relevancia
escondidos dentro de las publicaciones como lo son virus troyanos dañinos para el
ordenador o algún tipo de hackeo por parte de algún ciberdelincuente. Así, siendo
considerable el notar que dichas informaciones alusivas pueden presentar algún tipo de
virus dañino para el computador, ya que muchas de ellas al abrirlas se encuentra
información alusiva a virus troyanos que pueden afectar indudablemente al ordenador,
como también estos pueden llegar a ser un ciberdelito por parte de un ciberdelincuente
que en base a su astucia y determinación con el uso de la informática puede mediante
este tipo de publicación apropiarse de toda información encontrada en el ordenador que
resulte pertinente y necesaria para su beneficio, mediante el uso de algún programa el
cual aporta la obtención en base al hackeo de informaciones referente a cuentas
bancarias, correos electrónicos o de algún tipo de red social.
 Conclusiones

Montes J.
Por último es importante tener énfasis en el señalamiento de las diferentes fases del
proceso de la informática forense, como lo es la identificación de origen del ataque
informático, su validación y preservación, el análisis y descubrimiento de pruebas
digitales y documentos en relación al mismo, como también la presentación de estas o
Informes que vinculen un interés criminalístico a partir de un perspectiva virtual o
también denominado digital, permitiendo de esta manera a los funcionarios
pertenecientes a una unidad de seguridad e investigación del Estado, esclarecer de
manera idónea uno de los fenómenos delictuales que desarrollan cierta afección a un
individuo de manera individual o en masa en el marco de su entorno biopsicosocial a
través de la influencia de los múltiples medios tecnológicos- informáticos en proyección
a la delincuencia organizada.

De igual forma, la implementación del Software Libre por parte de los organismos en
competencia investigativa como modalidad en el análisis forense permitiendo la
recopilación, evolución y análisis de data digital comprimido en sistema, plata forma
web, dispositivo móvil o equipo tecnológico de almacenamiento, permitiendo deducir
una configuración algorítmica por ende la prueba objetiva del delito informático o uno
de los delitos conexos al mismo, teniendo en cuenta que por medio de los equipos
informáticos existe el primer y consecutivo contacto con una víctima.

Rondón L.

En conclusión se considera que las autoridades policiales en materia investigativa,

implementa diversos métodos alternativos para determinar la realidad y verdad de los
delitos en relación al área informática, ya que los individuos que operan en las mismas
mantienen una cualidad maliciosa para la obtención de un beneficio lucrativo.
Igualmente considerando la magnitud de la problemática delictual en el entorno juvenil
por su alto nivel de vulnerabilidad, observando de esta manera la connotación de los
delitos informáticos en virtud a un aspecto virtual, por ende la recopilación de
información digital y análisis forense en este tipo de caso es de vital importancia por el
motivo de que las organizaciones criminales operan mediante los distintos medios
tecnológicos.
Brizuela G.

La finalidad aportada por este trabajo de investigación es conocer las fases por las
cuales se lleva a cabo la informática forense mediante diferentes métodos y técnicas
aplicadas en las evidencias encontradas en el lugar de los hechos, así como la selección
de los diferentes software libres utilizados no solo por los peritos informáticos sino
también por los ciberdelincuentes al igual que la selección de los tipos de análisis
presentados como lo son el de teléfonos celulares, datos y base de datos, ya que todos
estos elementos aportan un rol fundamental en la resolución de un hecho delictual
relacionado con delitos informáticos.

Palacios H.

Este presente trabajo se realizo con la finalidad de dar conocimiento y  concientizar la

importancia y el valor que tiene la informática forense como lo es en el ámbito de
Investigación Penal dado a cabo y explicando de una manera clara y precisas sus fases y
herramientas la cual se utilizan en cualquier momento y circunstancia que se requiera ya
sea para la investigación de un hecho punible donde se emplee Un vinculo de delito en
relación con redes sociales, francamente son los más comunes. Es por ello que sus fases
y herramientas juegan un papel primordial a la hora de iniciar  cualquier diligencia o
Cualquier evidencia que sea de gran ayuda o que este empleada a la informática forense
que este libre y preparada para utilizarse.

Salcedo A.

Esta investigación tiene como finalidad la revelación y presentación de la verdad, en

referencia a la informática forense, ya que investigación parte de evidencias digitales
por medio de los casos en proceso de investigación, los cuales pueden encontrarse
involucrados en consecuencias de aspectos económicos, sociales, personales, legales,
entre otros. En cuanto a las fases de la informática forense la fase consisten en plasmar
las actuaciones realizadas en referencia a las evidencias. Asimismo en este se logro
desenvolver las características de los tipos de software libre más utilizado, las leyes
presentes en este tipo de delito y los tipos de análisis aplicados a las evidencias
encontradas en un sitio de suceso.
Mercado M.

La finalidad de la investigación es revelar y presentar la verdad, cuando se hace

referencia la informática forense cabe resaltar que la investigación parte de evidencias
digitales y dependiendo de los casos este proceso de investigación puede involucrar
unas consecuencias en aspectos económicos, sociales, personales, legales, entre otros.
En cuanto a las fases de la informática forense destacan la identificación que es
determinar cuales los dispositivos a investigar, mientras el descubrimiento de evidencias
trata de reconstruir los datos en el orden que fueron utilizados, por otra parte la
preservación de datos se refiere al resguardo de las evidencias con su respectiva cadena
de custodia para de esta manera evitar las alteraciones de las mismas, en consecuencia,
la fase de informe consiste en plasmar las actuaciones realizadas en referencia a las
evidencias.

Patiarroy Y.

Dentro del análisis expuesto se dice que los análisis forense son de gran importancia ya
que nos ayuda a extraer información valiosa desde los teléfonos celulares, red base de
datos para el esclarecimiento de un hecho punible. También la informática forense es
una disciplina auxiliar de la justicia, para contrarrestar los desafío y técnicas de los
delincuentes informático; garante de la verdad circúndate de la evidencia de carácter
digital que es mucho más sustituible a la alteración o modificación para ellos tenemos a
los experto en análisis forense que mediantes técnicas y herramientas pueden recuperar
cualquier información para llegar a la verdad.

Pérez K.

Es importante señalar que cada unas de estas aplicaciones y herramientas son de suma
necesidad a la hora de esclarecer un hecho delictivo, ya que hoy en día la tecnología a
avanzado tanto que la ejecuciones que realizan los delincuentes en esta era mayormente
son por el Internet, a medida que la evolución de la tecnología incrementa también
incrementan las sufras delictivas porque realizan de esta evolución ataques cibernéticos
y es necesarios acabar con eso. Es esencial tener el conocimiento de las aplicaciones
que contienen los software libres ya que el investigador se capacitara a obtener la
mayor información sutil y verás para combatir la delincuencia digital.
 Referencias Bibliográficas

Lugar Web (Sin autor y sin fecha)

 Fases de la Informática Forense

Recuperado de: https://duartecarito.wixsite.com/eportafolioforense/single-
post/2015/05/18/FASES-EN-LA-INFORMATICA-FORENSE

Autopsy
Recuperado de: https://www.ecured.cu/Autopsy

 Análisis Forense de la Información

Recuperado de: https://www.welivesecurity.com/la-es/2013/08/12/en-que-
consiste-analisis-forense-de-informacion/

 Análisis Forenses Móviles

Recuperado de: https://www.ondata.es/recuperar/analisis-forense-moviles.htm

 Informática Forense
Recuperado de: http://criminalistica.mp.gob.ve/informatica-forense/