José Ebert Bonilla O. MSc.

Computacion Forense
5 de febrero de 2018 José Ebert Bonilla O MSc.
Computación Forense

Computación Forense - José Ebert Bonilla, MS.c

 El RFC 2828 define ataque de la siguiente
forma
 Un asalto a la seguridad del sistema derivado de
una amenaza inteligente; es decir un acto
inteligente y derivado (especialmente en el
sentido de método o técnica) para eludir los
servicios de seguridad y violar la política de
seguridad de un sistema.
 Los ciber criminales son expertos en computadores y con
alta habilidad tecnica

 Los ciber criminales tienen un IQs superior al normal

 Todos los ciber criminales son introvertidos

 Los ciber criminales nunca son violentos

 Los ciber criminales no son reales criminales

 Los ciber criminales se ajustan a un perfil predeterminado

 Termino de lujo para las
ciencias forenses
 Ciencia Forense
 La aplicación de la ciencia en
las leyes penales y civiles que
son aplicadas por las agencias
policiales en los sistemas de
justicia.

Pensar como Sherlock Holmes!!

 Es el proceso mediante el cual se hace uso del
conocimiento específico para la recolección, análisis
y presentación de evidencias a una corte.
 La palabra forense significa “traer a la corte”.

 Lo forense esta relacionado en primera instancia con la

recuperación y análisis de evidencias latentes.

Computación Forense - José Ebert Bonilla, MS.c

 La ciencia forense proporciona los
principios y técnicas que facilitan la
investigación del delito criminal, en
otras palabras:
 cualquier principio o técnica que puede
ser aplicada para identificar, recuperar,
reconstruir o analizar la evidencia
durante una investigación criminal
forma parte de la ciencia forense

Computación Forense - José Ebert Bonilla, MS.c

Un investigador forense aporta su entrenamiento para ayudar
a otros investigadores a reconstruir el crimen y encontrar
pistas.

Aplicando un método científico (esto implica que hay una

investigación rigurosa), analiza las evidencias disponibles,
crea hipótesis sobre lo ocurrido para crear la evidencia y
realiza pruebas, controles para confirmar o contradecir esas
hipótesis, lo que puede llevar a una gran cantidad de
posibilidades sobre lo que pudo ocurrir; esto es debido a que
un investigador forense no puede conocer el pasado, no
puede saber qué ocurrió ya que sólo dispone de una
información limitada.

Por tanto, sólo puede presentar posibilidades basadas en la

información limitada que posee.
Computación Forense - José Ebert Bonilla, MS.c
 Este principio fundamental dice que
cualquiera o cualquier objeto que entra en la
escena del crimen deja un rastro en la escena
o en la víctima y viceversa (se lleva consigo);
en otras palabras: “cada contacto deja un
rastro”
 Evidencia transitoria
 Evidencia curso o patrón
 Evidencia condicional
 Evidencia transferida
 Transferencia por rastro:

 aquí entra la sangre, semen, pelo, etc.

 Transferencia por huella:

 huellas de zapato, dactilares, etc.

 la escena del crimen

 la víctima
 la evidencia física
 el sospechoso

Para la correcta resolución del caso, el investigador forense debe

establecer la relación que existe entre los componentes.
Computación Forense - José Ebert Bonilla, MS.c
•Homeland Security
•Information Security
•Corporate Espionage
•White Collar Crime
•Child Pornography Digital Forensics
•Traditional Crime Computer Forensics
•Incident Response
•Employee Monitoring
•Privacy Issues
•????
 Desde 1984, el laboratorio del FBI y otras
agencias que persiguen el cumplimiento de la ley
empezaron a desarrollar programas para
examinar evidencia computacional
 En 1989, primera persona procesada
 En 1991 se establece el primer equipo del FBI
 En 1996, primera evidencia utilizada en un caso
 Comprender la existencia de la evidencia en formato digital.
 Asegurar la integridad de la evidencia recolectada
 Comprensión de los computadores y su operación
 Reconocimiento de la evidencia digital
 Dónde se encuentra

 Cómo se encuentra almacenada

 Cómo se modifica, quién la modifica, quién es su dueño

 Cantidad de evidencia recolectada

 Habilidades técnicas y procedimientos forenses
 El manejo y control de los documentos electrónicos.

21
 Hay una gran cantidad de documentos
almacenados en medios electrónicos
 La computación forense asegura la preservación y
autenticación de los datos, los cuales son frágiles
por su naturaleza y fácilmente alterados y borrados
 Adicionalmente la computación forense ofrece la
facilidad de recuperar y analizar archivos borrados y
muchas otras formas de encontrar información
invisible al usuario
 Determinar como se efectuó la ruptura del
sistema
 Determinar los daños ocasionados

 Determinar quien lo hizo

 Determinación de la línea del tiempo

 Contribución en el procesamiento judicial

 Hay al menos tres distintas comunidades que
usan computación forense
 Entidades que aplican la ley

 Fuerzas militares

 Industria y Bancos

 Posiblemente una 4ta – La Academia

 Áreas del conocimiento, que desde su perspectiva, contribuyen e influencian
directamente la computación forense:
 Ciencias de la Computación
▪ Sistemas operativos
▪ Aplicaciones de Software
▪ Plataformas de programación
▪ lenguajes de programación
▪ Seguridad en computadores
 Leyes
▪ Legislación informática
▪ Legislación criminal y civil
 Sistemas de información
▪ Gestión y políticas de los sistemas de información
▪ Educación de usuarios
 Ciencias sociales
 Las actividades de computación forense comunes son:

 La recolección segura de los datos de un computador

 La identificación de datos sospechosos

 El examen de datos sospechosos para determinar los detalles tales

como origen y su contenido

 Presentación de información basada en lo encontrado en el

computador en una corte

 La aplicación de las leyes correspondientes a la informáticas de los

diferentes países
 Evidencia Digital
 Es un tipo de evidencia física, menos tangible que otras formas de
evidencia (DNA, huellas digitales, componentes de computadores)
 Ventajas
▪ Puede ser duplicada de manera exacta y copiada tal como si fuese el
original.
▪ Con herramientas adecuadas es relativamente fácil identificar si la
evidencia ha sido alterada, comparada con la original.
▪ Aún si es borrada, es posible, en la mayoría de los casos, recuperar la
información.
▪ Cuando los criminales o sospechosos tratan de destruir la evidencia, existen
copias que permanecen en otros sitios

31
 … información y datos con valor investigativo que son
almacenados en o trasmitidos a través de dispositivos
electrónicos. Tal evidencia es adquirida cuando los datos o
los elementos son recopilados y almacenados con propósito
de ser examinados.
 Algo que tiende a establecer o
refutar un hecho

 Qué podría ser potencialmente

la evidencia más pequeña
utilizable?
 4bytes

 Una dirección IP en Hexadecimal

 En la escena del ilícito esta igualmente presente como
una huella digital o el ADN

 Puede sobrepasa las fronteras con gran facilidad y

velocidad

 Es frágil y fácilmente alterable, dañada o destruida

 Es altamente sensible al tiempo

 Puede ser duplicada de manera exacta y copiada tal como si
fuese el original.

 Con herramientas adecuadas es relativamente fácil

identificar si la evidencia ha sido alterada, comparada con la
original.

 Aún si es borrada, es posible, en la mayoría de los casos,

recuperar la información.

 Cuando los criminales o sospechosos tratan de destruir la

evidencia, existen copias que permanecen en otros sitios
 La evidencia es una prueba
 Corte Constitucional dice :
 El fin de la prueba es, entonces, llevar a la
inteligencia del juzgador la convicción suficiente
para que pueda decidir con certeza sobre el
asunto del proceso.
 La evidencia digital debe cumplir las mimas condiciones de
un documento probatorio, estas son:
 Compuesto por un texto, tenor o contenido. El contenido debe ser
relevante en el ámbito jurídico

 Debe haber un autor, claramente identificado, y que se pueda

esclarecer su origen y originalidad

 Inteligible

 Carácter de durabilidad o permanencia superior al objeto que

representa Transportable
 Asegurar que la evidencia no ha sido alterada

 Copias bit a bit

 Usar “hashes” criptográficos para asegurar la
integridad de la evidencia original y sus
copias
 Almacenar en un lugar seguro
 Palabras claves especificas para su caso

 Listado que se utiliza para buscar en el disco

duro

 Modificado durante la investigación

 Copia bit a bit de la evidencia
original recogida de un sistema

 Puede incluir:

 Disco duro

 Memoria

 Medios removibles
 Enfocado inicialmente a la verificación del incidente
 Técnicas que enfatizan la recolección de la evidencia
digital
 Minimiza la perdida de datos y evidencias
 Evitar adicionar datos al sistema
 Mayores preocupaciones son la recuperación y el tiempo
fuera de servicios
 La preocupación inicial es el tratamiento del
incidente para prevenir mayor daño a la evidencia
 Se centra en el procesamiento de copias de la evidencia
recopilada en la escena del incidente (pe. Una imagen)

 No es considerado como recolección de evidencia sino

como análisis de la misma

 Principalmente se usa para encontrar datos específicos

concerniente a la actividad criminal

 Utiliza “máquinas forense” y herramientas automatizadas

para examinar gigabytes de datos
 Minimizar la perdida de
datos

 Documentar TODO

 Analizar todos los datos

recolectados

 Reportar los hallazgos

 Adicionar sus propios datos al sistema

 Afectar procesos del sistema

 Accidentalmente tocar las líneas del tiempo

 Utilizar herramientas o comandos no confiables

 Ajustar el sistema ANTES de la recolección de la

evidencia. (apagar, parchar, actualizar)
 Falta de conocimiento y habilidades del legislador para identificar, valorar y
revisar evidencia digital.

 Facilidad de la duplicación y dificultad en la verificación del original

 Almacenamiento y durabilidad de la información en medios electrónicos.

Reconocimiento legal del mismo

 Identificación problemática del autor de los documentos

 El transporte inadecuado puede llevar a modificar el contenido de la evidencia

digital recolectada.

 La evidencia recolectada puede estar cifrada, lo cual hace que no se pueda

identificar con facilidad su contenido.

 Desconocimiento de las técnicas de intrusión de sistemas.

 Son las técnicas de manipulación,
eliminación y/o de ocultamiento de pruebas
para complicar o imposibilitar la efectividad
del análisis forense.
 Ejemplos:
 Eliminación de información.
 Borrado seguro de archivos (en forma manual o
automática: bombas lógicas).
 Cifrado u ocultamiento (esteganografía) de
archivos.
 Alteración de archivos (cambio del nombre y/o
de la extensión).
 Son contramedidas para contrarrestar las
técnicas antiforense. Por ejemplo:
 Activación de logs de auditoria para el Sistema
Operativo, las aplicaciones y los dispositivos.
 Instalación de IDS´s (aún se los puede burlar
cifrando el tráfico que va a analizar el IDS).
 Implementación de un equipo concentrador de
logs que sólo pueda recibir tráfico entrante
desde fuentes autorizadas.
Recolección de evidencia digital
5 de febrero de 2018 José Ebert Bonilla
 Retos Legales
 Comprender de manera cercana el fenómeno informático y sus implicaciones en las conductas
criminales.
 Buscar elementos probatorios, apoyados en mecanismos informáticos que, permitan ofrecer validez y
originalidad a un documento electrónico.
 Desarrollar habilidades técnico-forenses para integrar la investigación criminal con las técnicas
computacionales de protección.
 Establecer un conjunto de directrices generales que vinculen acciones sobre objetos y principios de
seguridad informática, a los bienes jurídicamente tutelados que el estado busca proteger, con el fin
de desarrollar un discurso penal sobre la delincuencia informática.
 Desarrollar alianzas internacionales para apoyar y desarrollar iniciativas de legislación en el área
informática.
 Retos Técnicos
 Desarrollar prácticas y procedimientos de programación que busquen disminuir los problemas de
seguridad en los productos de software y hardware.
 Promover una cultura formal de pruebas, con el fin de asegurar la calidad de los productos
entregados.
 Concienciar sobre las responsabilidades jurídicas de los ingenieros:
 Previsibilidad, debido cuidado y diligencia
 Definir prácticas y políticas de seguridad informática, como pruebas preconstituidas para la
organización.
 Establecer un programa interdisciplinario que incorpore en la formación técnica, las consideraciones
legales.
 La computación forense como un puente para comprender las pruebas judiciales y su impacto en el
mundo informático.