David Santiago Palacio Colorado, Estudiante, Universidad Pontificia Bolivariana

Medellín 2011

Manejo de la Forencia Computacional:

Palabras claves

 Cadena de custodia: “se refiere a la auditoria adecuada y el control del material de

evidencia original que puede ser potencialmente usado para propósitos legales”. [1]
 SOP (Standard Operating Procedure)

Definición

Computación forense es la recolección científica de información de medios electrónicos,

hardware, software, o redes. El manejo de dicha actividad es crucial para asegurar la recolección
apropiada, adquisición, y análisis de evidencia para la prosecución en una corte de ley de
crímenes relacionados con computadores.

Metodologías

Los controles de gestión: deben dibujar las metodologías para las fases de control,
operacionales y técnicas. Los estados para el control operacional para la búsqueda y obtención
de evidencia incluyen la formulación de un plan, la aproximación y aseguramiento de la escena
del crimen, documentación del diagrama de la escena del crimen, la búsqueda de evidencia, la
reconstrucción de evidencia y el procesamiento de la misma.

Los estados de control técnico para el descubrimiento de información incluyen la formulación

de un plan, búsqueda de evidencia, y el procesamiento de esta. A continuación se describen
guías para la recuperación, preservación, y examen de evidencia digital, incluyendo audio,
imagen y dispositivos electrónicos:

Estándares y criterios:

1. Todas las agencias que adquieren evidencia y/o examinan evidencia digital deben
mantener un apropiado documento SOP. Todos los elementos de una agencia de policía
y procedimientos concernientes a evidencia digital deben, de ahora en adelante, ser
claramente asentados en este documento, el cual debe ser asunto de la autoridad de
manejo de la agencia.
2. El manejo de la agencia debe revisar anualmente el SOP para asegurar su continuidad,
su idoneidad y efectividad.
3. Los procedimientos utilizados deben ser generalmente aceptados en el campo o
soportados por datos recolectados de forma científica.
4. La agencia debe mantener copias escritas de procedimientos técnicos apropiados.
5. La agencia debe emplear hardware y software que es apropiado y efectivo para
procedimientos de recolección o examen.
6. Toda actividad relacionada con la captura, almacenaje, examen o transferencia de
evidencia digital debe ser registrado por escrito y estar disponible para su revisión y
testimonio.
7. Cualquier acción que tenga el potencial de alterar, dañar o destruir cualquier aspecto de
la evidencia original debe ser realizado por personas calificadas en un sentido
forensemente hablando.

Controles Operacionales

Con el fin de responder de adecuadamente a eventos relacionados con fornecía en crimines

computacionales debe existir un plan que guie al equipo de respuesta, sus responsabilidades, la
captura de evidencia, la aproximación y aseguramiento de la escena del crimen, en como
documentar el diagrama de esta; como buscar evidencia, como recuperarla y procesarla y el
equipo necesario para atender una toma de evidencia en el sitio.

Cuando usar un forense investigador de computadores o un investigador forense

tradicional

Si la escena del crimen es principalmente basada en computadores (p.e. acoso electrónico o

amenaza, asecho electrónico o fraude electrónico) el investigador principal debe ser el
investigador forense en computación. En casos donde la escena del crimen involucre robo
computacional, invasión de propiedad, invasión de privacidad, falsificación o revelación de
password, los forenses computacionales servirán de soporte examinado los computadores de los
posibles sospechosos o victimas

Normas para la recolección de evidencia

La forencia computacional empieza en la escena del crimen, por lo cual, hay normas que
regulan la búsqueda y adquisición de evidencia, estas son:

 No alterar la evidencia original

 No ejecutar programas en los computadores de la escena del crimen
 No permitir la interacción de un sospechoso con los computadores de la escena del
crimen
 Siempre realizar un backup del computador de la escena del crimen
 Documentar todas las actividades investigativas
 El almacenaje de la evidencia debe ser en un lugar adecuado, libre de campos
magnéticos, electricidad estática y polvo.

La escena debe ser asegura removiendo los individuos de la escena y manteniéndolos alejados
de los sistemas y cualquier dispositivo electrónico con el fin de evitar la destrucción de la
evidencia a través de un periférico. Todas las radio policiales y teléfonos móviles deben
mantenerse alejados para evitar que interfieran con las maquinas. Posteriormente la escena debe
ser documentada fotográficamente, en video y/o en un dibujo para documentar la localización
de los equipos en el lugar y su relación con los equipos conectados a este (p.e. impresoras,
faxes, scanners, monitores, cámaras).

Mejores prácticas

 Solicitar información de potenciales sospechosos, testigos, administradores de LAN,

entre otros, sobre aspectos del sistema a capturar (p.e. contraseñas, sistema operativo,
direcciones de correo).
 Antes de apagar el computador, considerar el potencial de encriptación del software
instalado. Si está presente, deben utilizarse métodos forenses apropiados.
 Colocar cinta de evidencia sobre el conector de poder en la parte trasera del computador

Consideraciones

 Si el computador esta apago, dejarlo apagado. Si el equipo esta prendido, dejarlo

prendido y de ser posible desconecte el cable de la parte trasera del computador o de su
conexión; si esto no es posible, apáguese normalmente.
 Si el computador es portátil, remueva los cables de poder y posteriormente la batería ya
que algunos entran en modo “sleep” cuando se cierra la pantalla. No abra o cierre
físicamente la pantalla hasta que las fuentes de poder hayan sido removidas.
 Los medios deben ser colocados en bolsas antiestáticas, bolsas de papel o cajas de
cartón ya que las bolsas plásticas generan estática.
 La evidencia debe ser transformada en cajas macizas y con empaque antiestático para
prevenir daños físicos y debe mantenerse alejado de campos magnéticos como los
transmisores policiales.
Controles técnicos

Debe ser posible extraer información de la evidencia sin alterar su estado original desde el
momento en que es recolectada hasta que es presentada en una corte. Una vez que la evidencia
es llevada a los laboratorios forenses debe ser inventariada, empezando el log de la evidencia,
autentificación matemática de los datos, generando backups previos a los exámenes
preliminares, y por último, proceder con los análisis forenses. Luego de que la evidencia es
examinada, se debe realizar un backup de los archivos descubiertos, continuar con el log,
autenticarlos matemáticamente y proceder a examinar la información descubierta.

Integridad de los datos

La seguridad física y lógica de los datos debe ser mantenida, por lo cual ser realizan los
siguientes pasos:

 Hash de adquisición. Realizado cuando se está creando una imagen de los datos.
 Hash de verificación. Realizado después de la adquisición pero antes del análisis.
 Análisis de los datos.
 Hash de verificación. Asegura que la imagen no ha sido alterada.

Cada vez que los datos son analizados nuevamente, se requiere la repetición del paso anterior
con el fin de verificar que los datos originales no han sido alterados. Esto mantiene la
confiabilidad en los datos y permite investigaciones subsecuentes.

El análisis de la fuente de datos original implica inevitablemente una alteración de la

información (p.e. encender el computador modifica los logs y las estampillas de tiempo (time
stamps)).

Reglas de las evidencias

Cuando un computador contiene aseveraciones de una persona, y estas son ofrecidas como
verdad de lo que se asevera, la información puede contener rumores (hearsay).

Cuando un computador contiene únicamente datos generados por él mismo (no ha sido tocada
por humanos), los datos no pueden contener rumores (hearsay).

Para que la evidencia se útil, se requiere que las reglas de evidencia cumplan cinco (5)
propiedades:

1. Debe ser admisible. La evidencia debe poder ser usada en una corte, implicando que
esta debió ser obtenida legalmente.
2. Debe ser relevante. La evidencia debe relacionarse con el incidente.
3. Debe ser completa. Todos los aspectos de la evidencia deben ser presentados. (p.e. si
puede probar que el sospechoso esta loggeado en el momento del incidente, también
debes mostrar otros usuarios que estuvieron loggeados).
4. Debe ser confiable. La recolección de evidencia y los procedimientos de análisis no
deben levantar ninguna duda de su autenticidad y veracidad (cadena de custodia, logs,
procedimientos apropiados, etc. son necesarios).
5. Debe ser creíble. La evidencia debe ser claramente entendible para un jurado (evitar
términos técnicos y ser capaz de mostrar la relación de la versión formateada de los
binarios en una manera entendible por humanos).