Download Repositorio CISC - Universidad de Guayaquil

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
page
48
page
49
page
50
page
51
page
52
page
53
page
54
page
55
page
56
page
57
page
58
page
59
page
60
page
61
page
62
page
63
page
64
page
65
page
66
page
67
page
68
page
69
page
70
page
71
page
72
page
73
page
74
page
75
page
76
page
77
page
78
page
79
page
80
page
81
page
82
page
83
page
84
page
85
page
86
page
87
page
88
page
89
page
90
page
91
page
92
page
93
page
94
page
95
page
96
page
97
page
98
page
99
page
100
page
101
page
102
page
103
page
104
Document related concepts
no text concepts found
Transcript 
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
Estudio de informática forense acerca de delitos ocurridos entre la
interoperabilidad de sistemas operativos cliente de plataforma
Windows y servidores con plataforma de software libre
Linux dentro de redes hibridas
TESIS DE GRADO
Previa a la obtención del Título de:
INGENIERO EN SISTEMAS COMPUTACIONALES
AUTOR: CARLOS ALBERTO LUCAS AYORA
TUTOR: ING. JUAN SANCHEZ H.
GUAYAQUIL – ECUADOR
2010
i
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
Estudio de informática forense acerca de delitos ocurridos entre la
interoperabilidad de sistemas operativos cliente de plataforma
Windows y servidores con plataforma de software libre
Linux dentro de redes hibridas
TESIS DE GRADO
Previa a la obtención del Título de:
INGENIERO EN SISTEMAS COMPUTACIONALES
CARLOS ALBERTO LUCAS AYORA
TUTOR: ING. JUAN SANCHEZ H.
GUAYAQUIL – ECUADOR
2010
Guayaquil, ……………… 2010
ii
APROBACION DEL TUTOR
En mi calidad de Tutor del trabajo de investigación, “Estudio de informática
forense acerca de delitos ocurridos entre la interoperabilidad de
sistemas operativos cliente de plataforma Windows y servidores con
plataforma de software libre
Linux dentro de redes
hibridas“
elaborado
por
el
Sr.
CARLOS ALBERTO LUCAS AYORA, egresado de la Carrera de Ingeniería en
Sistemas Computacionales, Facultad de Ciencias Matemáticas y Físicas de la
Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Sistemas,
me permito declarar que luego de haber orientado, estudiado y revisado, la Apruebo
en todas sus partes.
Atentamente
………………………………….
Ing. JUAN SANCHEZ H.
TUTOR
iii
DEDICATORIA
Este trabajo de tesis va dedicado a mi
familia, mi madre, mi padre y mi hermano;
han sido el soporte, la compañía, la ayuda,
el amor, la comprensión, la paciencia, todo
aquello que un ser humano necesita
rodearse y sentir para poder alcanzar sus
objetivos en la vida.
iv
AGRADECIMIENTO
A ti Rossana, sin tu amor, sin tu empuje
esto no hubiera sido posible. Quiero
agradecer a mis familiares cercanos que
siempre estuvieron pendientes de mis
avances para la obtención de mis objetivos,
a mis amigos siempre con sus palabras de
apoyo, a la Universidad de Guayaquil por
brindarme
las
herramientas
y
el
conocimiento para realizar este trabajo, a
todas esas personas muchas gracias.
v
TRIBUNAL DE GRADO
Ing. Frenando Abad Montero
DECANO DE LA FACULTAD
CIENCIAS MATEMATICAS Y FISICAS
MIEMBRO DEL TRIBUNAL
MIEMBRO DEL TRIBUNAL (TUTOR)
Ing. Juan Chanabá Alcócer
DIRECTOR
MIEMBRO DEL TRIBUNAL
SECRETARIO
vi
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
Estudio de informática forense acerca de delitos ocurridos entre la
interoperabilidad de sistemas operativos cliente de plataforma
Windows y servidores con plataforma de software libre
Linux dentro de redes hibridas
Autor: Carlos Lucas Ayora
Tutor:Ing. Juan Sanchez H.
RESUMEN
El presente proyecto de tesis tiene como objetivo dar a conocer a nuestra sociedad
tecnológica una herramienta muy nueva, pero por esto no deja de ser importante. Vemos cada vez el
creciente número de incidentes, ataques o siniestros ocurridos en los centros de datos, estos en mayor
numero ocurren por ataques externos, intrusos que logran vulnerar las seguridades de los mismos
accediendo a información delicada y a su vez averiando la estructura física tecnológica. La informática
forense es una ciencia que basa su principios científicos en el análisis de los datos en los dispositivos
electrónicos, para lograr establecer daños causados y encontrar rastros de quien o quienes fueron los
posibles autores de dicha intrusión. Este estudio explica los pasos que los especialistas deben seguir y
que herramientas disponibles pueden hacer uso para encontrar evidencia suficiente y precisa para
identificar el daño así como los autores. Esta ciencia guarda mucha relación con otras, en especial con
la forense, ya que sigue el mismo patrón de procedimientos y también con las ciencias humanísticas,
las legales. Esto es, porque toda aquella evidencia que se logre encontrar puede ser utilizada como
pruebas para un proceso legal que sea llevado en una corte. Debemos estar a la altura de la situación,
los riesgos cada vez son más grandes, por las cantidades de información que manejan los centros de
datos, y se debe tener en cuenta todo el abanico de opciones y herramientas que permiten una mejor
administración de los mismos. Pero así mismo estas acciones y procesos no pueden llevarse a
cabalidad sino existe un respaldo legal eficiente y bien estructurado, sino se diseñan cuerpos legales
que consideren este campo muy amplio y que tengan definiciones más apropiadas para afrontar este
tipo de hechos.
vii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
___________________________________________________
Estudio de informática forense acerca de delitos ocurridos
entre la interoperabilidad de sistemas operativos
cliente de plataforma Windows y servidores
con plataforma de software libre
Linux dentro de
redes hibridas
________________________________________
Proyecto de trabajo de grado que se presenta como requisito para optar por el título de
INGENIERO en SISTEMAS COMPUTACIONALES
Auto/a CARLOS LUCAS AYORA
C.I. 0923048102
Tutor: Ing. JUAN SANCHEZ H.
Guayaquil, ______de_____
Mes
i
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del Primer Curso de Fin de Carrera, nombrado por el
Departamento de Graduación y la Dirección de la Carrera de Ingeniería en Sistemas
Computacionales de la Universidad de Guayaquil,
CERTIFICO:
Que he analizado el Proyecto de Grado presentado por el/la egresado(a)
CARLOS ALBERTO LUCAS AYORA, como requisito previo para optar por el
título de Ingeniero cuyo problema es:
“Estudio de informática forense acerca de delitos ocurridos entre la
interoperabilidad de sistemas operativos cliente de plataforma
Windows y servidores con plataforma de software libre
Linux dentro de redes hibridas“
considero aprobado el trabajo en su totalidad.
Presentado por:
LUCAS AYORA CARLOS ALBERTO
Apellidos y Nombres completos
0923048102
Cédula de ciudadanía N°
Tutor: ING. JUAN SANCHEZ H.
Guayaquil, ______de_____
Mes
ii
INDICE GENERAL
CARATULA
CARTA DE ACEPTACION DEL TUTOR
INDICE GENERAL
RESUMEN
INTRODUCCION
CAPITULO I .- EL PROBLEMA
1.1 Ubicación del problema en un contexto
1.2 Situación, conflictos, nudos críticos
1.3 Causas y consecuencias del problema
1.4 Delimitación del problema
1.5 Formulación del problema
1.6 Objetivos
1.7 Justificación e Importancia
CAPITULO II .- MARCO TEORICO
2.1 Antecedentes
2.1.1 Los principios en entrenamiento
2.1.2 El organismo especializado (IOCE)
2.1.3 Finales de los 90's
2.1.4 La primera década del siglo 21
2.2 Fundamentación Legal
2.2.1 Ley de Comercio Electrónico, firmas electrónicas y mensajes de datos
2.3 Fundamentación Teórica
2.3.1 Informática forense
2.3.2 Principios Forenses
2.3.3 Evidencia Digital
2.4 Metodología de trabajo para el análisis de datos
2.4.1 La identificación de la evidencia digital
2.4.2 La extracción y preservación del material informático
2.4.3 Análisis de datos
2.4.4 La presentación del dictamen pericial
2.5 Hipótesis y Variables
2.5.1 Definiciones
2.6 Conceptos y definiciones
2.6.1 Siniestro
2.6.1.1 Clases de Siniestro
2.6.1.1.1 Por el grado de intensidad del daño producido
2.6.1.1.1.1 Siniestro Parcial
2.6.1.1.1.2 Siniestro Total
i
ii
iii
iv
v
1
1
2
3
4
5
6
8
10
10
10
10
11
11
11
12
15
17
19
20
21
22
23
25
26
28
28
29
29
30
30
30
30
2.6.1.1.2 Por el estado del trámite en que se encuentran
2.6.1.1.2.1 Siniestro Declarado
2.6.1.1.2.1 Siniestro Pendiente
2.6.1.1.2.1 Siniestro Liquidado
2.6.1.1.3 Según lo común del siniestro
2.6.1.1.3.1 Siniestro Ordinario
2.6.1.1.3.1 Siniestro Extraordinario o Catastrófico
2.6.1.1.4 Siniestro Informático
2.6.1.1.4.1 Concepto
2.6.1.1.4.1 Tipos de Siniestro Informático
2.6.1.1.4.1.1 Bomba ilícita o cronológica
2.6.1.1.4.1.2 Piratas informáticos o hackers
30
30
30
30
31
31
31
32
32
32
32
32
CAPITULO III .- METODOLOGIA
3.1 Diseño de la Investigación
3.1.1 Modalidad de la investigación
3.1.2 Tipo de investigación
3.1.3 Población y muestra
3.2 Operacionalizacion de las variables
3.2.1 Variable independiente
3.2.2 Variable dependiente
3.2.3 Técnicas para el procesamiento y análisis de datos
34
34
34
35
38
40
40
41
42
CAPITULO IV .- MARCO ADMINISTRATIVO
4.1 Cronograma
4.2 Presupuesto
44
44
44
CAPITULO V .- MARCO LEGAL
5.1 Conceptos y definiciones
5.1.1 Delito Informático
5.1.2 Criminología
5.1.3 Criminalística
5.1.4 Evidencia Digital
5.1.5 Perito Informático
5.1.6 Informática forense
5.1.7 Auditoria forense
5.2 Leyes y normativas legales sobre derecho informático
5.2.1 Derecho informático en Europa
5.2.2 Derecho informático en Norteamérica
5.2.3 Derecho informático en México
5.2.3 Derecho informático en Latinoamérica
45
45
45
45
46
46
46
46
47
47
48
49
50
51
5.2.3 Derecho informático en Ecuador
5.3 El papel fundamental de la evidencia física dentro de un proceso legal basado en
delitos informáticos
5.3.1 Proceso de recuperación de evidencia
5.3 Reconocimiento de la evidencia
5.3 Recomendaciones legales básicas
53
REFERENCIAS BIBLIOGRAFICAS
ANEXOS
Instalacion y configuración del SLEUTHKIT y ATOPSY BROWSER
67
70
71
56
56
59
63
vi
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
ESTUDIO DE INFORMÁTICA FORENSE ACERCA DE
DELITOS OCURRIDOS ENTRE LA INTEROPERABILIDAD DE
SISTEMAS OPERATIVOS CLIENTE DE PLATAFORMA
WINDOWS Y SERVIDORES CON PLATAFORMA DE
SOFTWARE LIBRE LINUX DENTRO DE REDES HIBRIDAS
Autor/a: CARLOS LUCAS AYORA
Tutor/a: ING: JUAN SANCHEZ H.
RESUMEN
Las infraestructuras de TI son cada día mucho mejor implementadas en cuanto a
costos, elementos y diseños; para obtener el mayor rendimiento posible de las
mismas. Es por eso que para su diseño y mantenimiento se deben tener mecanismo de
seguridad tanto preventiva como correctiva. Antivirus, Antispyware, Firewalls,
restricciones, VPN's, un sin número de métodos que se pueden implementar para la
seguridad de TI. Pero en Ocasiones cuando las seguridades fallan, sean estas por
descuido de los administradores o por intrusiones malintencionadas, es cuando las
medidas correctivas son llevadas a cabo, ahí es donde hace su aparición la informática
forense, una ciencia naciente que permite por medio de procesos y métodos
científicos la obtención de evidencias que guíen a los autores de un ataque a la
estructura de TI, así como de los daños que esto causo y de las correcciones que
deben tomarse para restablecer los servicios. La informática forense es una ciencia
que recién está comenzando a ser aceptada y utilizada, una gran utilidad de la misma
es que se involucra con el ámbito legal, ya que mediante los análisis forenses se
podrán identificar a los culpables de hechos dolosos que atenten contra la estructura
de los centros de datos, pudiendo poner a estos ante la justicia con evidencias
incriminatorias. El objetivo del desarrollo de esta tesis es poner en conocimiento de
los administradores de TI una herramienta muy útil, así como de explicar la
aplicación de la misma para el mantenimiento de los centros de datos. En nuestro país
estos conceptos aun son muy poco conocidos y menos aun utilizados. La informática
forense abre un abanico de soluciones ya que puede interactuar con muchos campos
del desarrollo tecnológico, telecomunicaciones, hardware, software, obteniendo un
rango muy amplio de acción.
v
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
ESTUDIO DE INFORMÁTICA FORENSE ACERCA DE
DELITOS OCURRIDOS ENTRE LA INTEROPERABILIDAD DE
SISTEMAS OPERATIVOS CLIENTE DE PLATAFORMA
WINDOWS Y SERVIDORES CON PLATAFORMA DE
SOFTWARE LIBRE LINUX DENTRO DE REDES HIBRIDAS
ABSTRACT
It infraestructures are improving every day, but these implies costs, designing, and
very complex devices; in order to keep best perfomance on those estructures. That is
the reason of why they have security programs and strutctures as preventive and for
repairment. Antivirus, Antiphising, Antispyware, security policies, and others ways
that can be developed for IT security structures. Even though of those efforts
sometimes this systems can fail, those can be consequences of a security policies not
correctly implanted, some administrators are not capable to solve some situations and
problems that can be seen in a IT structure, intruders trying to cause damages. This is
the right moment when administrators using they policies, in this case to repairs
damages and errors caused before. Computer forensics is one of the most powerful
tools in this matter, this the base of this document. Computer Forensics is a neraly age
science, its based on scientifics process and sizing. Its used to obtain phisic evidence
from several electronics devices like computers, pda's, hard disks, etc. This newly
science allows the investigators get leads about those who may do the intrusion or
damage in that case. INVOLVES procedures to make planing of fixing events that
take down the services of IT. Because this procedures, methods and results of these
are catalog as evidence, this evidence can be show in a law process sucha as trial, for
these reason computer forensics is mixing with so many other sciences. This
document of thesis pretend stablish a way of thinking between IT administrators and
people involve in technology, nowadays there so many treaths, so many ways to
brake securities, and reach very important information as many devices. that's why
people who work or develop solutions for theese problems have to be awareness of
this matter. We take a look arround and every are technology, and every we bring
more solutions to our world.
INTRODUCCION
Debido a que en la actualidad las personas, las empresas, los gobiernos e instituciones
utilizan sistemas informáticos
para el manejo de sus operaciones o a su vez
almacenamiento de datos, sean estos programas, equipos de computación y que a
medida que se incrementa esta demanda hacen que estos equipos y programas sean
vulnerables a ataques e incidentes que pongan en peligro la integridad de dichos
elementos produciendo daños en las plataformas tecnológicas, perjuicios economicos,
etc. Por este motivo debe de dársele la importancia necesaria para establecer normas
de seguridad, implementar planes de respuesta inmediata y asegurar un marco legal
adecuado para salvaguardar las infraestructuras tecnológicas así como la integridad de
la información.
A medida que va aumentando y diversificando el uso de plataformas tecnológicas, las
vulnerabilidades aparecen continuamente. Los intrusos o usuarios mal intencionados
buscan cuentas sin contraseña, servicios mal configurados, contraseñas mal
estructuradas,
vulnerabilidades
en
los
protocolos,
de
sistemas
operativos
aprovechándose además de la deficiencia en la cultura sobre seguridad computacional
que existe en la sociedad.
Nombrando incidentes y ataques más comunes que deben tomarse en cuenta para
mantener la seguridad de un equipo o sistema tenemos: robo de contraseñas,
troyanos, virus y gusanos, puertas traseras, negación de servicios (DOS), correo no
deseado, sniffers, hoaxes, buffer overflow, e IP spooling, entre otros.
Para combatir este tipo de delitos, existe la Informática Forense como una
herramienta clave en la investigación de estas peligrosas prácticas. Esta ciencia
involucra aspectos como la preservación, descubrimiento, identificación, extracción,
documentación y la interpretación de datos informáticos; analizando a partir de esto,
los elementos de la tecnología de información que sean una evidencia digital llevando
así a la solución funcional y/o judicial del delito padecido por compañía o persona
natural.
En nuestro país esta ciencia usada como herramienta es muy poco aplicada, ya que o
existe desconocimiento de la misma o no hay la información ni los mecanismos
adecuados para su aprovechamiento, dando lugar a que la mayoría de estos problemas
se queden sin soluciones o inclusive en ciertos casos sin reparo en los perjuicios
ocasionados.
Más aun en nuestra sociedad, cuando se trata de infraestructura tecnológica existen
muchos vacios o vulnerabilidades tales como fallas humanas, procedimentales o
inclusive propias de la tecnología las que son aprovechadas por intrusos para
ocasionar daños.
La informática forense hace su aparición como una disciplina auxiliar para la justicia
en estos tiempos donde los delitos han cambiado y se presentan distintas figuras
legales. Con esta disciplina podemos hacer frente a los desafíos y técnicas utilizadas
por los intrusos informáticos, así como para proporcionarnos garantía en lo que a
evidencia digital concierne para que esta pueda ser aportada en un proceso judicial.
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
El fraude, extorsión, robo de información, venganza o simplemente el reto de
vulnerar un sistema son varios de los objetivos con los cuales un empleado interno o
atacantes externos pueden llegar a afectar la estructura tecnológica de una compañía.
Si una compañía no diseña procedimientos, políticas y asigna recursos para la
seguridad de sus sistemas puede fácilmente ser víctima de estas situaciones. En
nuestro país muy pocas empresas y personas toman muy en serio el ámbito de la
seguridad de sus plataformas ya que comprenden la importancia de estas para el
funcionamiento del negocio.
Mientras las personas encargadas de administrar los sistemas, los recursos
tecnológicos no procedan con cautela ante estos posibles ataques o no tomen las
medidas preventivas ni correctivas, se podrán encontrar frecuentemente con estos
problemas.
La informática forense aparte de ser una medida correctiva, también se la puede
aplicar antes de que estos sucesos ocurran para no sufrir en un futuro los
inconvenientes que un ataque a la plataforma tecnológica pueda causar.
En nuestro país estas técnicas y procedimientos de la informática forense son nuevos,
por lo tanto no son muy aplicados, aparte de su desconocimiento. Cabe nombrar que
las leyes que existen para tipificar lo que es un delito de índole informática son muy
escasas, además no son muy explicitas al momento de especificar un hecho de esta
naturaleza, por lo cual se deben actualizar dichas leyes para afrontar los hechos y
situaciones que se van presentando a medida que la tecnología avanza.
1
CAPÍTULO I
1. EL PROBLEMA
1.1 UBICACIÓN DEL PROBLEMA EN UN CONTEXTO
Debido a que en la actualidad las personas, las empresas, los gobiernos e instituciones
utilizan sistemas informáticos
para el manejo de sus operaciones o a su vez
almacenamiento de datos, sean estos programas, equipos de computación y que a
medida que se incrementa esta demanda hacen que estos equipos y programas sean
vulnerables a ataques e incidentes que pongan en peligro la integridad de dichos
elementos produciendo daños en las plataformas tecnológicas, perjuicios económicos,
etc. Por este motivo debe de dársele la importancia necesaria para establecer normas
de seguridad, implementar planes de respuesta inmediata y asegurar un marco legal
adecuado para salvaguardar las infraestructuras tecnológicas así como la integridad de
la información.
A medida que va aumentando y diversificando el uso de plataformas tecnológicas, las
vulnerabilidades aparecen continuamente. Los intrusos o usuarios mal intencionados
buscan cuentas sin contraseña, servicios mal configurados, contraseñas mal
estructuradas,
vulnerabilidades
en
los
protocolos,
de
sistemas
operativos
aprovechándose además de la deficiencia en la cultura sobre seguridad computacional
que existe en la sociedad.
Nombrando incidentes y ataques más comunes que deben tomarse en cuenta para
mantener la seguridad de un equipo o sistema tenemos: robo de contraseñas,
troyanos, virus y gusanos, puertas traseras, negación de servicios (DOS), correo no
deseado, sniffers, hoaxes, buffer overflow, e IP spooling, entre otros.
2
Para combatir este tipo de delitos, existe la Informática Forense como una
herramienta clave en la investigación de estas peligrosas prácticas. Esta ciencia
involucra aspectos como la preservación, descubrimiento, identificación, extracción,
documentación y la interpretación de datos informáticos; analizando a partir de esto,
los elementos de la tecnología de información que sean una evidencia digital llevando
así a la solución funcional y/o judicial del delito padecido por compañía o persona
natural.
En nuestro país esta ciencia usada como herramienta es muy poco aplicada, ya que o
existe desconocimiento de la misma o no hay la información ni los mecanismos
adecuados para su aprovechamiento, dando lugar a que la mayoría de estos problemas
se queden sin soluciones o inclusive en ciertos casos sin reparo en los perjuicios
ocasionados.
Más aun en nuestra sociedad, cuando se trata de infraestructura tecnológica existen
muchos vacios o vulnerabilidades tales como fallas humanas, procedimentales o
inclusive propias de la tecnología las que son aprovechadas por intrusos para
ocasionar daños.
La informática forense hace su aparición como una disciplina auxiliar para la justicia
en estos tiempos donde los delitos han cambiado y se presentan distintas figuras
legales. Con esta disciplina podemos hacer frente a los desafíos y técnicas utilizadas
por los intrusos informáticos, así como para proporcionarnos garantía en lo que a
evidencia digital concierne para que esta pueda ser aportada en un proceso judicial.
1.2 SITUACIÓN CONFLICTO NUDOS CRÍTICOS
El crecimiento en el uso de plataformas tecnológicas para la administración de los
datos de las empresas o gobiernos también produce un mayor número de
vulnerabilidades dentro de estos sistemas. Estas vulnerabilidades se encuentran
porque existen personas malintencionadas que persiguen causar un perjuicio u
3
obtener información confidencial, utilizando técnicas y procedimientos técnicos para
alcanzar este fin.
En una compañía, un empleado puede comprometer las seguridades en los sistemas
de la compañía, en casos por inexperiencia o también con conocimiento de culpa.
Podemos encontrar que un trabajador obtiene una contraseña de seguridad para
obtener mayores privilegios dentro de una base de datos, sin conocimiento puede
permitir el acceso al sistema de un virus o algún otro programa dañino, obtiene
información confidencial para proporcionársela a la competencia.
Por la falta de cultura de seguridad informática que existe las empresas pueden ser
víctimas de delincuentes especializados en este tipo de acciones. Un banco puede
sufrir una pérdida de información por un intruso en sus sistemas. Una empresa
comercial que posee un servidor externo para clientes, si no está debidamente
configurado y no posee las seguridades necesarias puede ser víctima de un hacker y
puede sufrir daños en su infraestructura tecnológica.
Ante todas estas situaciones problemáticas se puede hacer uso de la informática
forense tanto para la recuperación de los daños sufridos por intrusos o aplicaciones
peligrosas, así como la identificación de los posibles culpables que ocasionaron el
daño y además la recolección de evidencia confiable para que esta pueda ser tomada
en una acusación formal de los supuestos agresores.
1.3 CAUSAS Y CONSECUENCIAS DEL PROBLEMA
El fraude, extorsión, robo de información, venganza o simplemente el reto de
vulnerar un sistema son varios de los objetivos con los cuales un empleado interno o
atacantes externos pueden llegar a afectar la estructura tecnológica de una compañía.
4
Si una compañía no diseña procedimientos, políticas y asigna recursos para la
seguridad de sus sistemas puede fácilmente ser víctima de estas situaciones. En
nuestro país muy pocas empresas y personas toman muy en serio el ámbito de la
seguridad de sus plataformas ya que comprenden la importancia de estas para el
funcionamiento del negocio.
Mientras las personas encargadas de administrar los sistemas, los recursos
tecnológicos no procedan con cautela ante estos posibles ataques o no tomen las
medidas preventivas ni correctivas, se podrán encontrar frecuentemente con estos
problemas.
La informática forense aparte de ser una medida correctiva, también se la puede
aplicar antes de que estos sucesos ocurran para no sufrir en un futuro los
inconvenientes que un ataque a la plataforma tecnológica pueda causar.
En nuestro país estas técnicas y procedimientos de la informática forense son nuevos,
por lo tanto no son muy aplicados, aparte de su desconocimiento. Cabe nombrar que
las leyes que existen para tipificar lo que es un delito de índole informática son muy
escasas, además no son muy explicitas al momento de especificar un hecho de esta
naturaleza, por lo cual se deben actualizar dichas leyes para afrontar los hechos y
situaciones que se van presentando a medida que la tecnología avanza.
1.4 DELIMITACIÓN DEL PROBLEMA
El estudio actual se va a centrar en el análisis de hechos acontecidos o que puedan
ocurrir en la plataforma cliente, Windows XP en todas sus versiones, ya que es el
sistema operativo que más se ha comercializado y más utilizado aun en estos
momentos. En esta plataforma es donde más problemas de seguridad ocurren por el
hecho de su uso, entre mas se masifica más problemas se encuentran a medida de su
utilización.
5
La plataforma de Microsoft, Windows XP, es la que más sufre de atentados de
seguridad ya sea en una empresa o en caso de uso personal. Esto sucede por la
masificación existente, para ello la informática forense posee herramientas para la
detección de estos ataques para su correspondiente camino de acciones posteriores.
También se presentara casos de violaciones de seguridad en servidores Linux ya que
en mayor parte las empresas están adoptando el uso de estos sistemas operativos para
el manejo de sus sistemas.
De la misma manera se propondrá soluciones legales para proceder en estos casos, se
realizara recomendaciones para asesorar cuando se es víctima de un delito
informático.
1.5 FORMULACIÓN DEL PROBLEMA
En nuestro país los delitos informáticos ocurren con mucha frecuencia, no son tan
difundidos porque en mayor parte de los casos no se logra hallar a los autores de
dichos delitos, porque las empresas no dedican recursos a obtener resultados haciendo
investigaciones y porque las leyes diseñadas para identificar y sancionar dichos
hechos no son acorde a la realidad o son muy pasadas de época, ya que no existe una
reforma en ese campo.
El objeto de este estudio es identificar problemas de seguridad que se identifiquen en
los sistemas operativas tanto de Windows como Linux para proceder con sus
correcciones, recuperación y recolección de evidencia digital para evaluación en un
litigio.
6
1.6 OBJETIVOS
Mediante el análisis informático forense, se rastrean las pruebas en los elementos
digitales, discos duros y dispositivos de almacenamiento, componentes de una red,
con el fin de reconstruir el escenario de cualquier incidente o ataque informático para
recolectar evidencias y que esta sirvan para establecer los daños ocurridos así como la
identificación de los posible agresores.
El objetivo primordial de la realización de esta tesis, es la elaboración de un estudio
acerca de la aplicación de la informática forense en caso de supuestos ataques que
puedan ocurrir dentro del ambiente de una empresa u organización, dentro de
parámetros debidamente delineados.
La informática forense es una ciencia relativamente nueva en la cual aun no existen
estándares aceptados
por lo cual se pueden hacer uso de varias herramientas
conceptuales y procedimentales, así como de herramientas de software que permite la
consecución de la meta que es el encontrar la evidencia necesaria para determinar un
delito informático.
La informática forense en primer lugar se usa como sistema preventivo, ya que
permiten analizar las diferentes fallas o inseguridades dentro de los sistemas para
poder ser corregidas antes de que ocurra un hecho desfavorable para la actividad de la
empresa o negocio.
Luego la informática forense se llega a utilizar como una herramienta correctiva, ya
que permitirá encontrar las fallas de seguridad para poder elaborar un plan de acción
así también obtendremos indicios de los posibles culpables que ocasionaron el daño,
además de recopilar evidencia necesaria para encontrar el mecanismo de ataque así
como para poder ser tomadas en cuenta en las acusaciones que se puedan emprender
en contra de los atacantes.
7
Es por eso que en este estudio realizaremos un caso de prueba en cual mediante una
estación de trabajo conectada mediante un ruteador hacia otro equipo que hará de
servidor, ejecutaremos una simulación de ataque desde esta, el usuario de este equipo
lograra tener acceso al servidor y copiar unos archivos de acceso restringido, así
como de eliminar dichos archivos ubicados en el servidor.
Luego de realizar dicha simulación se ejecutará un procedimiento de informática
forense para determinar los daños causados por dicho intruso, con el cual se evaluara
la información obtenida. Se dimensionaran los daños causados, que información se
sustrajo o elimino del servidor y desde donde realizo dicho ataque.
Se planificara un curso de acción para determinar la manera en que se violo el acceso
al servidor, como logro ingresar que fue lo que realizo, que información logro obtener
del mismo, así como también de recuperar el daño realizado. Recoger las evidencias
del ataque para poder elaborar un informe posterior sobre lo sucedido en este ataque.
En el desarrollo de esta tesis se utilizara herramientas de software libre, las cuales se
procederá a descargar del internet, con cuales podremos demostrar ciertos casos de
ataques dentro de la interoperabilidad que existen entre los sistemas operativos
mencionados en el titulo de esta misma. Estas aplicaciones nos permitirán examinar
los casos propuestos elaborando un plan de acción para la obtención de la
información necesaria que permita demostrar el uso de las herramientas así como
demostrar los objetivos para los cuales se estableció la informática forense.
Se demostrará con el uso de las aplicaciones de software libre diseñadas para la
informática forense el cumplimiento de los objetivos principales de la misma que son
la detección del ataque, resarcimiento de los daños sufridos y obtención de evidencia
digital para su uso correspondiente.
8
Se propondrá un grupo de lineamientos legales que deberían ser tomados en cuenta en
este ámbito, involucrándose un poco en la parte legal de la informática. Ya que
hablamos de delitos y estos como tales deben ser sancionados por leyes que los
definan y hayan penas para los mismos. En nuestro país esto aun no es un tema de
mayor análisis por lo cual este trabajo también se proyectara hacia allá planteando
normativas o especificaciones que se pueden hacer uso dentro de la ley de comercio
electrónico que es la que regula este campo dentro del sistema legal ecuatoriano.
1.7 JUSTIFICACIÓN E IMPORTANCIA
La realización de este estudio tiene como meta principal dar a conocer a la
informática forense como una poderosa herramienta dentro del campo de seguridad
digital.
Este estudio se justifica por el uso que realizan las organizaciones, gobiernos y
personas de recursos informáticos, los cuales necesitan ser estructurados con políticas
y medidas de seguridad, para garantizar su continuo funcionamiento y
desenvolvimiento para el beneficio de los usuarios y de las organizaciones.
El conocimiento de herramientas para la informática forense es otra de las metas que
se pretende realizando este estudio, ya que en la actualidad existen programas de
código libre que ayudan en la consecución de los objetivos planteados.
La informática forense es un tema reciente en nuestro país, por lo el cual este trabajo
pretende ser una guía y/o plataforma para investigaciones y trabajos en lo posterior.
Las empresas, organizaciones y personas podrán hacer uso de este estudio para lograr
una optima estructuración es sus políticas de seguridad informática, y favorecer su
productividad y desarrollo.
9
Con la ayuda de la informática forense se pueden identificar delitos de índole digital
los cuales luego de su análisis, podrán ser clasificados, tipificados y podrán pasar a
formar parte de los delitos que la ley enuncia y establecer castigos para los mismos.
10
CAPÍTULO II
2. MARCO TEÓRICO
2.1 ANTECEDENTES
El estudio de la informática forense comprende la extracción, análisis y
documentación de la evidencia de un sistema informático o de una red. Es usualmente
utilizada por agentes de la ley para encontrar evidencia dentro de un juicio criminal.
Esta disciplina es relativamente nueva, teniendo su aparición en 1980.
En la década de los 80’s, cuando los computadores personales se convirtieron
en una muy buena opción para los consumidores ya que les permitía automatizar sus
tareas. El FBI creo en 1984, un programa conocido en ese tiempo como Magnetic
Media Program, el cual en estos días paso a llamarse Computer Analysis and
Response Team (CART). Poco después el hombre conocido como “el padre de la
informática forense” comienzo a trabajar en este campo. Este hombre era Michael
Anderson, fue un agente especial de la división de investigaciones criminales en el
IRS. Anderson trabajo para el gobierno hasta mediados de los 90’s, para luego fundar
New Technologies Inc., una firma líder en el ámbito de la informática forense.
2.1.1 Los principios en entrenamiento
En Oregon en 1988 se programa una reunión que dio lugar a la
formación del IACIS (International Association of Computer Investigative
Specialist). Poco tiempo después la primera promoción se entreno en SCERS
(Seized Computer Evidence Recovery Especialist).
2.1.2 El organismo especializado (IOCE)
El continuo crecimiento de esta disciplina dio lugar en los 90’s a la
primera conferencia sobre la recolección de evidencia informática en el año de
11
1993. Dos años más tarde se estableció la International Organization on
Computer Evidence (IOCE).
2.1.3 Finales de los 90’s
Para 1997, fue ampliamente reconocido el refuerzo de los ejecutantes
de la ley alrededor del mundo entero necesitaban estar bien al tanto de cómo
adquirir evidencia desde un sistema computacional, un hecho evidente que
ocurrió en un comunicado del G8 en ese año. Luego la INTERPOL organizo
un simposio sobre informática forense el siguiente año y en 1999 el CART
perteneciente al FBI logro resolver 2,000 casos.
2.1.4 La primera década del siglo 21
El CART del FBI continúo en constante crecimiento. Tanto que en
1999, logro analizar 17 Terabytes de datos, siendo para el año 2003 782
Terabytes de datos en tan solo un año. Con los avances tecnológicos, la
proliferación del acceso a internet, el rol de la informática forense comenzó a
ser de mucha importancia dentro del ámbito legal. Con el advenimiento de los
smartphones y PDAs, se convierten en vías para que los criminales tengas más
opciones en quebrantar la ley y es en donde la informática forense juega un
papel muy importante.
12
2.2 FUNDAMENTACION LEGAL
2.2.1 LEY DE COMERCIO ELECTRONICO, FIRMAS ELECTRONICAS
Y MENSAJES DE DATOS
La actual LEY DE COMERCIO ELECTRONICO, FIRMAS Y MENSAJES DE
DATOS fue publicada en R.O. Suplemento 557 de 17 de Abril del 2002
Artículo 1.- Objeto de la Ley.- Esta Ley regula los mensajes de datos, la firma
electrónica, los servicios de certificación, la contratación electrónica y telemática, la
prestación de servicios electrónicos, a través de redes de información, incluido el
comercio electrónico y la protección a los usuarios de estos sistemas.
Artículo 2.- Reconocimiento jurídico de los mensajes de datos.- Los mensajes de
datos tendrá igual valor jurídico que los documentos escritos. Su eficacia, valoración
y efectos se someterá al cumplimiento de lo establecido en esta Ley y su reglamento.
Artículo 4.- Propiedad Intelectual.- Los mensajes de datos estarán sometidos a las
leyes, reglamentos y acuerdos internacionales relativos a la propiedad intelectual.
Artículo 5.- Confidencialidad y reserva.- Se establecen los principios de
confidencialidad y reserva para los mensajes de datos, cualquiera sea su forma, medio
o intención. Toda violación a estos principios, principalmente aquellas referidas a la
intrusión electrónica, transferencia ilegal de mensajes de datos o violación del secreto
profesional, será sancionada conforme a lo dispuesto en esta Ley y demás normas que
rigen la materia.
Artículo 44.- Cumplimiento de formalidades.- Cualquier actividad, transacción
mercantil, financiera o de servicios, que se realice con mensajes de datos, a través de
13
redes electrónicas, se someterá a los requisitos y solemnidades establecidos en la Ley
que las rija, en todo lo que fuere aplicable, y tendrá el mismo valor y los mismos
efectos jurídicos que los señalados en dicha Ley.
Artículo 47.- Jurisdicción.- En caso de controversias las partes se someterán a la
jurisdicción estipulada en el contrato; a falta de ésta, se sujetarán a las normas
previstas por el Código de Procedimiento Civil Ecuatoriano y esta Ley, siempre que
no se trate de un contrato sometido a la Ley Orgánica de Defensa del Consumidor, en
cuyo caso se determinará como domicilio el del consumidor o usuario.
Para la identificación de la procedencia de un mensaje de datos, se utilizarán los
medios tecnológicos disponibles, y se aplicarán las disposiciones señaladas en esta
Ley y demás normas legales aplicables.
Cuando las partes pacten someter las controversias a un procedimiento arbitral, en la
formalización del convenio de arbitraje como en su aplicación, podrán emplearse
medios telemáticos y electrónicos, siempre que ello no sea incompatible con las
normas reguladoras del arbitraje.
Artículo
57.-
Infracciones
Informáticas.-
Se
considerarán
infracciones
informáticas, las de carácter administrativo y las que se tipifican, mediante reformas
al Código Penal, en la presente Ley.
Artículo 61.- A continuación del Art. 415 del Código Penal, inclúyanse los siguientes
artículos enumerados:
“Art.....- Daños informáticos.- El que dolosamente, de cualquier modo o utilizando
cualquier método, destruya, altere, inutilice, suprima o dañe, de forma temporal o
definitiva, los programas, datos, bases de datos, información o cualquier mensaje de
datos contenido en un sistema de información o red electrónica, será reprimido con
14
prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los
Estados Unidos de Norteamérica.
La pena de prisión será de tres a cinco años y multa de doscientos a seis cientos
dólares de los Estados Unidos de Norteamérica, cuando se trate de programas, datos,
bases de datos, información o cualquier mensaje de datos contenido en un sistema de
información o red electrónica, destinada a prestar un servicio público o vinculado con
la defensa nacional.
Art. .....- Si no se tratare de un delito mayor, la destrucción, alteración o inutilización
de la infraestructura o instalaciones físicas necesarias para la transmisión, recepción o
procesamiento de mensajes de datos, será reprimida con prisión de ocho meses a
cuatro años y multa de doscientos a seis cientos dólares de los Estados Unidos de
Norteamérica.”.
Artículo 64.- A continuación del numeral 19 del Art. 606 añádase el siguiente: (VER
CODIGO PENAL)
19. Los que causaren cualquier daño o perjuicio en las instalaciones u obras
destinadas a la provisión de alumbrado, agua potable, u en los focos, lámparas o
faroles, etc., destinados al servicio público, si el acto no fuere delito.
“..... Los que violaren el derecho a la intimidad, en los términos establecidos en la
Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.”.
15
2.3 FUNDAMENTACION TEORICA
“En una sociedad que, cada día, basa más sus dinámicas en sistemas de
cómputo, comunicaciones, redes y conectividad, la seguridad debe pasar de ser una
tarea más a una prioridad para los gobiernos, instituciones, compañías e individuos,
solidificándose así una política clara e integral de seguridad informática”, señaló un
informe de ETEK (ETEK es una corporación en soluciones integrales de Seguridad
de la Información).
A medida que se incrementa y abarca más campos de desarrollo humano se
intensifica el uso de sistemas informáticos, de la misma manera aumentan los riesgos
de ataques e incidentes a estos equipos utilizados en los sistemas de computo y demás
dispositivos electrónicos que ponen en peligro la integridad de los datos que se
almacena, procesa, registra o transfieren esos elementos; de aquí nace la necesidad de
diseñar e implementar medidas preventivas
y correctivas, planes de emergencia y
tiempos de respuesta inmediatos para salvaguardar la estructura IT y las aplicaciones,
protegiendo la información.
Vemos cada vez más en los medios de comunicación, reportes sobre
vulnerabilidades encontradas, el aprovechamiento de fallas ya sean estas humanas,
tecnológicas o procedimentales sobre estructuras tecnológicas alrededor del mundo,
ofreciendo el escenario adecuado para la proliferación de tendencias relacionas con la
intrusión dentro de sistemas informáticos.
La motivación de los intrusos es de diversa índole, ya que sus alcances y
estrategias varían causando desconcierto entre los especialistas, ya sean estos
analistas, consultores etc. Ya que las modalidades de ataque se diferencia de un
ataque a otro.
Por muy difíciles que parezcan los escenarios presentados existe la criminalística que
nos ofrece un espacio de análisis y estudio permitiéndonos una reflexión detallada
16
sobre los hechos y las evidencias en el lugar donde ocurrieron las acciones
catalogadas como criminales. Justo en ese momento se necesita definir qué conjunto
de herramientas así como un curso de acción se procederá a tomar para descubrir en
los elementos de un sistema informático las evidencias digitales relevantes que
sustente y valide los argumentos que sobre los hechos criminales se han materializado
en el caso bajo análisis.
Es entonces que la informática forense hace su aparición como una disciplina
y herramienta para la justicia moderna, para hacer frente a los mecanismos y técnicas
utilizadas por los intrusos informáticos, así también garantizar la verdad alrededor de
la evidencia digital que se pudiese obtener y contribuir al proceso.
El aumento de infracciones informáticas es causa de preocupación por parte
de los responsables de la seguridad de las estructuras tecnológicas alrededor del globo
ya que estas están produciendo grandes pérdidas económicas especialmente en los
sectores comercial y bancario, en donde por poner un ejemplo las manipulaciones
fraudulentas de información ganan terreno. Se estima que las pérdidas ocasionadas
por estos siniestros superan con facilidad los dos millones de dólares, además de esto
se pierde la credibilidad y fiabilidad institucional, lo cual se traduce en un daño
incuantificable.
“Una herramienta para encontrar soluciones a estos problemas es la
informática forense. Calificada como una ciencia criminalística, que combinada con
las tecnologías de información y de la comunicación en todos los diferentes ámbitos
en que se desarrolla el hombre, está adquiriendo un lugar privilegiado debido a la
globalización de la sociedad de la información” (DR. Santiago Acurio del Pino,
Introducción a la Informática Forense página 1 y 2). A pesar de ser catalogada como
una ciencia no posee un método estandarizado, motivo por el cual su admisibilidad
puede ser cuestionada dentro de un proceso judicial, a pesar de esta dificultad no
17
puede ser menospreciada y debe ser manejada con base a rígidos principios
científicos, normas legales y procedimentales.
Cabe mencionar que son los operadores de justicia así como los profesionales
en informática, los llamados a combatir este tipo de delitos tecnológicos, ya que los
mencionados en primer lugar conocen la forma de pensar de un delincuente, mientras
que los segundos poseen pleno conocimiento de los equipos y redes informáticas. La
fusión de los dos conforma la llave para el éxito en contra de los delitos informáticos.
2.3.1 Informática Forense
La parte del proceso de descubrimiento que se centra en la búsqueda
de evidencia electrónica, especialmente en un sistema informático, es
conocida como “E-discovery” o eletronic discovery (descubrimiento
electrónico). El análisis forense se especializa en la recopilación de evidencia
dispersa por el sistema para el posterior análisis de la misma; esta evidencia
entre más completa y precisa resulte se dará mayor validez al análisis
realizado. Un aspecto fundamental dentro de la investigación es la adecuada
conservación de la información contenida en el sistema original ya que el
procesamiento de esta debería llevarse a cabo en una copia de los datos del
sistema original. La disposición de una copia exacta del sistema es el objetivo
ideal de la recopilación de evidencia, pero esto en muchas ocasiones es una
misión imposible ya que mientras se realiza el proceso de recolección los
usuarios u otros programas pueden ocasionar cambios en el sistema,
destruyendo así parte de la evidencia.
Existen diversas definiciones sobre el concepto de la informática
forense, un concepto que abarca bastante lo que esta disciplina contempla es el
que detalla el Dr. Santiago Acurio del Pino, Profesor de la Universidad
Católica del Ecuador:
18
“Es una ciencia forense que se ocupa de la utilización de los métodos
científicos aplicables a la investigación de los delitos, no solo informáticos y
donde se utiliza el análisis forense de la evidencias digitales, en fin toda
información o datos que se guardan en una computadora o sistema
informático, en conclusión, la informática forense es la ciencia forense que se
encarga de la preservación, identificación, extracción, documentación, e
interpretación de la evidencia digital, para luego esta ser presentada en una
Corte de Justicia.” (Introducción a la Informática Forense, pág 7)
La informática forense se utiliza como un medio para localizar y
canalizar de forma correcta los hechos jurídicos informáticos más relevantes
dentro de una investigación.
La ciencia forense como la mayoría de las ciencias es sistemática y se
base en hechos previamente diseñados para recopilar pruebas para su posterior
análisis. La tecnología utilizada en cada fase del análisis forense ocupa un
papeo de suma importancia ya que son las aplicaciones que permitirán
recaudar la información y los elementos de convicción necesarios. Es así, que
se define como la escena del crimen al computador y la red a la cual este está
conectado.
La informática forense tiene como objetivo principal la recuperación
de registros y mensajes de datos existentes dentro de un equipo informático,
de tal forma que toda esta evidencia digital pueda ser usada como prueba
válida ante un tribunal de justicia.
La informática forense, según Ajoy Ghosh, en Guidelines of
Management of IT evidence, comprende cuatro elementos claves:
19
I.
La identificación de la evidencia digital: Este es el primer paso en el
proceso forense. Reconocer donde está presente la evidencia, donde
esta almacenada y como esta almacenada, esto es vital para el proceso
ya que va a determinar que procesos van a ser empleados para facilitar
la recuperación. Además, el examinador de informática forense debe
ser capaz de identificar el tipo de información almacenada en los
dispositivos así como el formato en cual están para así proceder a la
extracción de la misma.
II.
La preservación de la evidencia digital: Debido al prolijo escrutinio de
las cortes jurídicas, es imperativo que cualquier examen de los
paquetes de datos almacenados debe ser con el mayor cuidado posible.
Habrá circunstancias en que los cambios producidos a los datos serán
inevitables, pero es importante controlar que ocurran el mínimo de
cambios posibles. En las circunstancias en que los cambios sean
imposibles de evitar deben ser explicados estos cambios desde la
naturaleza y la razón por la que ocurrieron dichos cambios.
III.
El análisis de la evidencia digital: una vez extraída, procesada e
interpretada la información digital, esta debe ser organizada de la
mejor manera para que las personas puedan entenderlas.
IV.
La presentación de la evidencia digital: involucra en si la presentación
en una corte de justicia. Esta incluye la manera de presentación, la
pericia y experiencia del presentador y el proceso de credibilidad
empleado para producir el efecto propuesto de la evidencia presentada.
2.3.2 Principios Forenses
Existen varios principios básicos que son necesarios al momento de
examinar un cadáver. Tales principios, los podemos aplicar al analizar un
computador. Estos principios han sido descritos en innumerables artículos y/o
programas de televisión y los podemos resumir en los siguientes puntos:
20
-
Evitar la contaminación: En televisión vemos a los médicos forenses
vestidos de batas blancas y guantes, recogiendo las evidencias con pinzas
y colocándolas en bolsas de plástico selladas. Todo este procedimiento
para evitar la contaminación de la evidencia. En este momento es donde se
pueden echar a perder las evidencias.
-
Actuar metódicamente: Debido al uso de la evidencia que se recopila, esta
debe ser justificada en cada una de sus acciones, ya que se pueden utilizar
en un juicio. Si se procede de manera científica y metódica, documentando
todo cuidadosamente, esta justificación será mucho más fácil. Esto
también permite que otras personas pueden retomar el trabajo realizado o a
su vez verificar si no se ha cometido algún error que pueda poner en duda
la evidencia obtenida.
-
Cadena de evidencia: Desde el comienzo de la investigación forense hasta
la presentación final en el juicio, se debe mantener la cadena de obtención
de información, para así poder justificar quienes ya que se tenido acceso.
Esto permite eliminar las posibilidades de que alguien haya podido
sabotear o falsificar la evidencia recuperada.
-
Metodología: Debido a que aun no se establecen estándares generalmente
aceptados para una metodología a seguir, se debe establecer un curso de
acción para de esa forma obtendremos resultados finales fiables.
2.3.3 Evidencia Digital
La evidencia digital se puede definir como cualquier información, que
ha sido:
•
Sujeta a manipulación humana u otra semejante,
•
Extraída de un sistema o elemento informático.
21
Siendo así, la evidencia digital, es el término utilizado para describir de
manera amplia a cualquier registro generado o almacenado en un sistema
computacional que puede ser utilizado como tal en un proceso legal.
La evidencia digital posee ciertos elementos que la catalogan como un
desafío constante para los que la identifican y analizan:
a) Volátil
b) Anónima
c) Posible duplicarla
d) Alterable y modificable
e) Susceptible de ser eliminada
2.4 METODOLOGÍA DE TRABAJO PARA EL ANÁLISIS DE
DATOS
El siguiente cuadro muestra el procedimiento ordenado
para evaluar la
evidencia digital
Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
22
2.4.1 La identificación de la evidencia digital
Identificar la evidencia digital representa una tarea caracterizada por
distintos aspectos. Entre ellos podemos mencionar el factor humano, que
realiza la recolección de material informático. En muchos casos, la
identificación y recolección de potencial evidencia digital es realizada por
personal que no cuenta con los conocimientos adecuados para llevar a cabo las
tareas en cuestión (por ejemplo un allanamiento policial, o un administrador
no instruido).
La omisión de algunos aspectos técnicos puede llevar a la perdida de
datos probatorios o a la imposibilidad de analizar cierta información digital. A
modo de ejemplo podemos mencionar la incautación de terminales durante un
allanamiento omitiendo traer el servidor; o apagar las computadoras
eliminando la posibilidad de realizar un análisis sobre ciertos elementos
volátiles (registros, procesos, memoria, estado de la red). Por otra parte, el
desconocimiento puede llevar a que se causen perjuicios innecesarios a la
persona/entidad investigada, como la incautación masiva de equipamiento
informático o de material irrelevante para la investigación.
Otro aspecto crítico relativo a la identificación de la evidencia digital
se refiere a la correcta rotulación y detalle de los elementos informáticos.
Sucede con frecuencia que durante un procedimiento judicial no se etiquetan
todos los elementos secuestrados. Si no se toman ciertos recaudos durante el
allanamiento, y se verifica que se dispone en el laboratorio pericial de la
tecnología necesaria, el faltante de algún elemento puede retrasar o impedir la
realización de la investigación.
23
Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
2.4.2 La extracción y preservación del material informático
Extraer y Preservar el material informático durante las incautaciones
implica considerar la fragilidad de los medios de almacenamiento de datos y
la volatilidad de la información. Sobre este aspecto, cabe destacar que existe
una gran falencia en lo que se conoce como “Cadena de Custodia”, cuyo
objetivo consiste en mantener el registro de todas las operaciones que se
realizan sobre la evidencia digital en cada uno de los pasos de investigación
detallados. Si al realizar un análisis de datos se detecta que la información
original ha sido alterada, la evidencia pierde su valor probatorio.
Las cuestiones inherentes al transporte de la evidencia digital no son
menos importantes. Es común que los elementos informáticos a analizar
lleguen sin los más mínimos resguardos.
Usualmente, la incautación de material informático tiene un
tratamiento muy similar al de otros elementos –armas, papeles contables, etc.y no se le da el cuidado que realmente merece, pudiendo algún golpe
ocasionar roturas en el equipamiento informático. Debe considerarse además
24
que la información digital es sensible a la temperatura, y en algunos casos a
los campos electromagnéticos.
Por último, preservar implica los aspectos técnicos relativos a la no
alteración (integridad) de la evidencia original. La utilización de algún
software que genere un valor hash a partir de un conjunto de datos es de gran
ayuda. Existen diferentes algoritmos para calcular un checksum criptográfico
seguro o valor resumen hash (SHA-1, MD5), estos algoritmos son muy
utilizados por las herramientas forenses. Para realizar copias de la evidencia
original debe usarse algún software Forense que realice una imagen a nivel de
bit-stream y no una simple copia de archivos, en la que se pierde información
que puede ser usada como potencial evidencia. Asimismo, debe quedar claro
que aunque por principio general se debe trabajar sobre imágenes de la
evidencia original, sólo el perito podrá determinar cuándo debe o no aplicarse
este tipo de medida.
En muchos casos resulta impracticable realizar copias de la evidencia
original por impedimentos técnicos u otras razones de tiempo y lugar. En estos
casos se deberán extremar las precauciones durante la investigación, siempre
aplicando técnicas de análisis de datos no-invasivas y utilizando todas las
herramientas forenses que estén al alcance, a fin de no alterar la evidencia.
25
Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
2.4.3 El análisis de datos
Analizar involucra aquellas tareas referidas a extraer evidencia digital
de los dispositivos de almacenamiento. Una de las claves a la hora de analizar
es la localización de información específica vinculada con una determinada
causa. La experiencia demuestra que en muchos casos, el análisis de datos
requerirá un trabajo interdisciplinario entre el perito y el operador judicial juez, fiscal- que lleve la causa, a fin de determinar aquellas palabras clave
(keywords) que son de interés para la investigación.
En casi la totalidad de los casos el análisis de datos se realiza sobre
sistemas operativos Windows y Unix. En el primero de ellos, se debe
profundizar en aspectos técnicos del sistema de archivos NTFS, ya que es
utilizado por las últimas versiones. NTFS almacena atributos de archivos y
directorios en un archivo del sistema llamado MFT (Master File Table) y
escribe los datos en espacios llamados clusters. Los atributos de mayor interés
para el investigador forense son: el nombre del archivo, MAC Times (fecha y
hora de la última Modificación, Acceso o Cambio de un archivo) y los datos
(si el archivo es suficientemente pequeño) o la ubicación de los datos en el
disco. Asimismo, el archivo utilizado como memoria virtual del sistema
operativo (Swap file), el espacio libre que puede quedar entre un archivo y el
cluster en el cual reside (Slack space), la papelera de reciclaje (Recycle bin),
clusters que contienen parte que los archivos borrados (Unallocatable space),
los accesos directos, los archivos temporarios y los de Internet, son algunos de
los elementos sobre los que se realiza habitualmente el análisis de datos. Por
otro lado, un examen del registro de Windows permite conocer el hardware y
software instalado en un determinado equipo.
26
El análisis sobre sistemas Unix es similar al de Windows, ya que se
investiga sobre los elementos citados precedentemente. Unix utiliza el
concepto de nodos índices (i-node) para representar archivos. Cada i-node
contiene punteros a los datos en el disco, así como también los atributos del
archivo. Los datos se escriben en unidades llamadas bloques (blocks) siendo
un concepto análogo a los clusters de Windows. En Unix todo es tratado como
un archivo, y puede estar almacenado en formato binario o texto.
Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
2.4.4 La presentación del dictamen pericial
Presentar consiste en elaborar el dictamen pericial con los resultados
obtenidos en las etapas anteriores.
La eficacia probatoria de los dictámenes informáticos radica
fundamentalmente en la continuidad del aseguramiento de la prueba desde el
momento de su secuestro. Realizado ello en debida forma es poco probable
que, si la investigación preliminar se dirigió correctamente, el material
peritado no arroje elementos contundentes para la prueba del delito.
Expuesta la situación actual en materia de pericias informáticas,
interesa conocer cómo debe realizarse un dictamen pericial sobre análisis de
27
datos, de manera tal que sea objetivo, preciso y contenga suficientes
elementos para repetir el proceso en caso de ser necesario.
La estructura básica de cualquier informe atendería al siguiente
esquema:
·
Antecedentes (Solicitante, encargo profesional o tipo de trabajo.
Situación. Redactor)
·
Documentos facilitados, recopilados y examinados (Proyectos,
expedientes administrativos, contratos, escrituras, datos registrales, etc.)
·
Inspecciones realizadas (Pruebas requeridas en función del material a
analizar y del tipo de daño a valorar).
·
Metodología del informe (Criterios para su elaboración).
·
Dictamen (Conclusiones, que recogerá de modo resumido los aspectos
más determinantes del trabajo).
·
Anexos (Estará compuesto por los diferentes documentos obtenidos en
las investigaciones: fotografías, resultados de los análisis, documentación
relevante como prueba, normativa infringida, etc.).
28
Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
2.5 HIPOTESIS y VARIABLES
2.5.1 Definiciones
La informática forense es una disciplina emergente, por lo
tanto, es una herramienta nueva que aparece a medida del continuo
avance de la tecnología, las formas en que se almacenan los datos,
políticas de seguridad. Esta herramienta es utilizada para la
determinación de siniestros ocurridos dentro de un sistema
informático, ósea donde se hayan producido ataques y/o adquisición
fraudulenta de información contenida dentro de estos sistemas, la
permitirá mediante procedimientos estructurados y herramientas
adicionales poder descubrir la forma y autores de aquel delito
suscitado.
Esta disciplina tiene como objetivo recobrar evidencia digital
de los sistemas siniestrados para proceder a evaluarlas analizarlas
29
mediante estándares específicos para estas puedan ser presentadas en
un proceso legal y tengan validez objetiva.
Debido al acceso de información existente, a la aparición de nuevas
técnicas, mecanismos y formas de ejecutar un ataque a los sistemas
informáticos, los delincuentes informáticos cada vez son más especializados.
Elaboran procedimientos más complejos y efectivos que deriven en una
acción delictiva eficaz, haciendo la labor de los especialistas y representantes
de la ley mucho más complicada debido a la dificultad con que estos delitos
fueron cometidos.
2.6 Conceptos y definiciones
2.6.1 Siniestro
Según el italiano Carlos Sarzana: “El siniestro es la destrucción
fortuita o pérdida importante que sufren las personas o la propiedad, en
especial por muerte, incendio o naufragio.”
Según el Ing. Cueto-López: “El siniestro es
un
hecho súbito,
accidental e imprevisto, cuyas consecuencias dañosas estén cubiertas por las
garantías dadas.”
Según el diccionario Laurrose: “El siniestro es un hecho violento,
súbito, externo y ajeno a la intencionalidad del asegurado, cuyas
consecuencias pueden estar cubiertas por alguna garantía del seguro.
Constituye un solo y único accidente el conjunto de daños derivados de un
mismo hecho.”
30
En conclusión, el siniestro es acontecimiento espontaneo o planeado, que es
ejecutado por terceros con el objetivo de perjudicar los activos o bienes de una
empresa.
2.6.2 Clases de Siniestros
Según los Consultores de Javelles S.A las clases de siniestros se clasifican,
según:
2.6.2.1 Por el grado de intensidad del daño producido
2.6.2.1.1 Siniestro Total. Es aquél cuyas consecuencias han
afectado a la totalidad del objeto asegurado, destruyéndolo completa o
casi completamente.
2.6.2.1.2 Siniestro Parcial. Es aquél cuyas consecuencias sólo
afectan parte del objeto asegurado, sin destruirlo completamente.
2.6.2.2 Por el estado del trámite en que se encuentran:
2.6.2.2.1 Siniestro Declarado. Aquél que ha sido comunicado
por el asegurado a su entidad aseguradora.
2.6.2.2.2 Siniestro Pendiente. Es aquél cuyas consecuencias
económicas aún no han sido totalmente indemnizadas por la entidad
aseguradora.
31
2.6.2.2.3 Siniestro Liquidado. Aquél cuyas consecuencias
económicas han sido completamente indemnizadas o reparadas por la
entidad aseguradora.
2.6.2.3 Según lo común del siniestro
2.6.2.3.1 Siniestro Ordinario. Es el que tiene su origen
en la ocurrencia de un riesgo ordinario.
2.6.2.3.2 Siniestro Extraordinario o Catastrófico. Es
el que esta originado por un riesgo de naturaleza extraordinaria o
excepcional.
Los siniestros dentro de las organizaciones en algunas
ocasiones, están vinculados con los
fraudes, ya que pueden ser
cometidos de forma intencional y afectar económicamente a la
empresa
Por ejemplo se mencionan algunos:
•
Violación de Seguridad
•
Ocultamiento de documentos
•
Borrado fraudulento de archivos
•
Robo de dinero
•
Competencia desleal
•
Destrucción de Archivos
•
Perdida de datos y bienes
32
2.6.3 Siniestro Informático
2.6.3.1 Concepto.-Según Miguel Antonio Cano C: “El siniestro
informático implica actividades criminales como robos, hurtos, falsificaciones, estafa,
sabotaje, etc. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha
creado nuevas posibilidades del uso indebido de computadoras lo que ha propiciado a
su vez la necesidad de regulación por parte del derecho. “
2.6.3.2 Tipos de Siniestros Informáticos
El Dr. Julio Téllez Valdez menciona que los
siniestros
informáticos Incluye los cometidos contra el sistema y los cometidos
por medio de sistemas informáticos ligados con Telemática, o a los
bienes jurídicos que se han relacionado con la información: datos,
documentos electrónicos, dinero electrónico, etc. Predominan:
2.6.3.2.1 Bomba ilícita o cronológica. Exige conocimientos
especializados ya que requiere programar la destrucción o
modificación de datos en el futuro. Lo contrario de los virus o
los gusanos, las bombas lógicas son difíciles de detectar antes
de que exploten; por eso entre todos los dispositivos
informáticos criminales, la bombas lógicas son las que poseen
el máximo potencial de daño. Su activación puede programarse
para que cause el máximo de daño y para que tenga lugar
mucho tiempo después de que se haya marchado el delincuente.
Puede utilizarse como material de extorsión y se puede pedir un
rescate a cambio de dar a conocer el lugar en donde se halla la
bomba.
2.6.3.2.2 Piratas informáticos o hackers. El acceso se efectúa
a menudo desde un lugar exterior, recurriendo a uno de los
diversos medios
33
Aprovechar la falta de rigor de las medidas de seguridad para
obtener acceso o puede descubrir deficiencias en las medidas
vigentes de seguridad o en los procedimientos del sistema.
Los piratas informáticos se hacen pasar por usuarios legítimos
del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios
pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en
el propio sistema.
En todos estos casos se producen pérdidas de dinero provocadas por
las conductas descritas.
Robo de información.- En principio, todos los computadores contienen
alguna información de interés para alguien. Es cierto que no siempre tendrá el mismo
valor, pero siempre puede existir alguien interesado en conseguirla. Por consiguiente,
uno de los ataques más comunes está dirigido a extraer información confidencial de
un sistema.
Destrucción de información.-Existen métodos indirectos que permiten
explorar los contenidos del disco duro.
34
CAPÍTULO III
METODOLOGÍA
3.1 DISEÑO DE LA INVESTIGACIÓN
3.1.1 Modalidad de la investigación
Por investigación se entiende: “El proceso mediante el cual a través del
cumplimiento de pasos en forma sistemática se obtiene un conocimiento. Es un
proceso humano, metódico y su fin es la producción de nuevos conocimientos y
solución de problemas prácticos. ( Finol y Navas, 1993, Proceso y Producto de la
Investigación Documental)”
También citamos: “Para Webster la investigación es un examen cuidadoso o
crítico en la búsqueda de hechos o principios; una diligente pesquisa para averiguar
algo”. Esta definición se complementa con la presentada por Sánchez (1993), La
educación como factor del desarrollo integral socioeconómico, cuando expresa,
“toda investigación busca el desarrollo tecnológico y satisfacer necesidades urgentes
de la sociedad y los individuos particulares”.
La investigación realizada para este trabajo de tesis es de tipo bibliográfica, ya
que desde el inicio de la misma me decidí por un tema investigativo teórico. Este
tema se ha venido desarrollando en su mayor parte por recopilación de información
teórica, alcanzando un 70% de estudio teórico e investigación de literatura
directamente relacionada con la Informática forense, tema central del presente estudio
para elaborar la tesis de grado.
Adicionalmente, el presente trabajo no solo aborda la parte teórica, que
involucra la mayor parte de este estudio para la tesis; también comprende una parte
que es de campo, completando así el 30% restante del estudio. Esta parte de campo
35
involucra una breve demostración acerca del uso de la informática forense como una
herramienta tecnológica para afrontar los nuevos retos de seguridad informática que
se presentan en la actualidad.
La elaboración de esta tesis, con carácter investigativo y de estudio, su
estructura principal se fundamenta en una ciencia en crecimiento como lo es la
informática forense. Para el desarrollo de este estudio se recopilo información textual
acerca de su origen, fundamentos, primeros lineamientos de acción y de análisis; así
como de herramientas utilizadas para complementar esta ciencia en crecimiento.
3.1.2 Tipo de investigación
La investigación utilizada para la elaboración de la tesis es de tipo
exploratorio, ya que el tema principal de la misma no es ampliamente conocido por el
autor del presente estudio. Se describe como exploratoria porque me involucro en un
campo poco conocido, en el cual necesito conocer y ampliar mis conocimientos en la
parte conceptual de esta ciencia, su aparición, sus precursores y las razones por la
cual se convirtió en una herramienta muy utilizada en los últimos tiempos.
Dentro de la investigación, entro en un campo de acción o de incidencia de
esta ciencia, poco explorado por mi persona, este campo es el ámbito legal. Estos dos
conceptos el de la informática forense y las normativas legales se conjugan muy a
menudo. Esto es por el impacto que tiene la informática forense dentro del análisis de
un delito informático, depende de este análisis, la recopilación de evidencia no
contaminada, la que podrá ser utilizada dentro un proceso legal, es por esto que estas
dos ciencias tienen una conexión muy especial.
La investigación de este tema de estudio tiene la característica de ser
descriptivo, ya que menciona algunos conceptos elaborados por expertos en el tema
forense, también ciertos lineamientos legales mencionados por conocedores del
ámbito legal. El estudio comprende la descripción conceptual de la informática
36
forense, técnicas utilizadas, fundamentos que comprende la informática forense, bases
de la misma, así como mecanismos de utilización y aplicación de la informática
forense como una herramienta practica y esencial dentro de la administración de
seguridad informática.
Dentro del estudio de informática forense, se describen herramientas que
aplican los fundamentos de esta ciencia. Se muestra el uso y aplicación de dichas
herramientas, así como de los resultados que estas concluyan.
Al detallar el uso de las herramientas que utilizan los conceptos de informática
forense, este estudio de tesis se presenta como explicativa, ya que provee los pasos
concernientes a la aplicación de conceptos, así como de guías para el uso de dichas
herramientas para lograr un resultado objetivo y valido.
En el presente estudio también se analiza la situación en que se encuentra
nuestra legislación en lo concerniente a los delitos informáticos, y de qué manera se
puede establecer mejoras para canalizarlas en una ley que responda a la actualidad
informática en la que se encuentra nuestra sociedad.
El estudio de informática forense que elaboro en esta tesis posee la
característica de evaluativo. Tiene esta característica porque someto a evaluación y
comprobación una de las herramientas que existen para ejecutar un análisis forense,
con la cual puedo demostrar los conceptos en los cuales se basa la informática
forense. Desarrollar una prueba de laboratorio controlada en la cual se evaluara una
muestra, en este caso un ataque, una imagen de un disco que posee un sistema
operativo que ha sido atacado. Con esto se procede a realizar una prueba ejecutando
varios pasos que se detallan más adelante, para obtener, después del análisis, las
evidencias que podrían ser evaluadas en procesos legales.
Podemos mencionar que este proyecto de tesis utiliza la investigación
aplicada, con el adicional de ser tecnológica. Una definición de este concepto se
37
puede
encontrar
en
siguiente
enlace
web
http://www.google.com.ec/search?client=firefox-a&rls=org.mozilla%3AesES%3Aofficial&channel=s&hl=es&source=hp&q=investigacion+aplicada&meta=&b
tnG=Buscar+con+Google, el cual nos detalla este tipo de investigación en los
siguientes términos: “La investigación aplicada tecnológica, o simplemente
investigación tecnológica, se entendería como aquella que genera conocimientos o
métodos dirigidos al sector productivo de bienes y servicios, ya sea con el fin de
mejorarlo y hacerlo más eficiente, o con el fin de obtener productos nuevos y
competitivos en dicho sector” . Este concepto nos dice muy claramente que el uso de
este tipo de investigación es para generar conocimientos que sean útiles para el sector
productivo, tanto para mejorarlo así como para ser más eficientes. Esto quiere decir
que este estudio de informática forense pretende generar un conocimiento acerca de
este campo con el uso de herramientas
que permitan fomentar la eficiencia de
productos o servicios que permitan la difusión de esta ciencia.
Ya que para este estudio realizare una prueba de laboratorio, también
podemos describir la investigación como de laboratorio por el lugar en que se
realizara dicha prueba.
Esta investigación es de naturaleza de acción, ya que el resultado de esta tesis
generara una solución para problemas existentes dentro del campo de la seguridad
informática, los cuales se suelen presentar de manera concurrente en estos días.
Una característica adicional de esta investigación es que es un proyecto
factible, ya que propone un modelo práctico aplicable que permite solucionar
problemas de seguridad informática así como de índole legal por motivo de que
propone mejoras a las contemplaciones legales con respecto a los delitos
informáticos.
La factibilidad de este proyecto radica en que se provee una
herramienta muy útil para afrontar retos modernos dentro del campo informático, así
38
como de presentar opciones para tomarlas en medidas de seguridad así como de
manejo de incidentes.
Parte de su factibilidad esta también porque se involucra mucho con el ámbito
legal ya que propone mejoras para la estructura legal que existe en nuestro país para
el reconocimiento y sanción de delitos informáticos.
3.1.3 Población y muestra
Debido a que este estudio para desarrollo de tesis, involucra un tema muy
extenso, que posee un campo de acción de gran tamaño así como de diversidad dentro
de nuestra sociedad se procederá a limitarla tomando en cuenta ciertos parámetros.
Este estudio está especialmente dirigido hacia personas involucradas o
interesadas en el campo tecnológico, siendo más específicos, para personas que
desarrollen sus conocimientos y habilidades en la seguridad de la información, para
aquellas personas que se dedican a solucionar problemas y falencias en seguridad
dentro de los sistemas informáticos.
Para delimitar la muestra nos remitiremos al ambiente de empresas de
mediano tamaño. Este tipo de empresas poseen en promedio unos 150 usuarios
registrados con diferentes características y jerarquía de acceso a los sistemas de la
compañía. Así como también el uso de recursos compartidos, especialmente las
unidades almacenamiento.
Si analizamos una empresa típica, encontraremos que dentro del departamento
de sistemas que posee dicha empresa, se encuentran los equipos servidores, alojados
en un cuarto especial, los cuales proporcionan las aplicaciones necesarias para el
correcto funcionamiento del negocio.
39
Para nuestro ejemplo, en este departamento se encuentra el jefe de sistemas, al
administrador de base datos y un encargado de soporte al usuario.
Estos tres
personajes son los encargados de manejar la seguridad tanto de los equipos así como
de los accesos y de las aplicaciones que se encuentran en el departamento de
cómputo.
Dentro de la población de individuos que trabajan en el campo de tecnologías
de información, delimitamos la muestra a un grupo pequeño de profesionales que
están involucrados en el campo de la informática, en un departamento que es esencial
dentro de la infraestructura de la compañía, como es el de sistemas.
Variables
Dimensiones
V. D.
Medidas
Indicadores
Técnicas y/o Instrumentos
de Un 80% de las Firewalls
Modos
o seguridad dentro empresas poseen Antivirus
mecanismos de de los sistemas
mecanismos
de Políticas de seguridad
defensa
contra
defensa
Contraseñas, jerarquías de
agresores
usuarios
externos
o
Terminal Server
internos hacia los
la integridad de
los sistemas
V.D.
Programas
Mecanismos de
técnicas
ataques
buscas
o Su utilización es Exploits, algoritmos de búsqueda
que masiva
fallas
o
falencias en los
sistemas
de puertos abiertos
40
3.2 OPERACIONALIZACIÓN DE VARIABLES
3.2.1 Variables Independientes
3.2.2 Variables Dependientes
Variables
Dimensiones
V. I.
Área informática,
que estudiantes,
diseña o utiliza personas
Indicadores
Técnicas y/o Instrumentos
Tecnicas de hackeo
Atacante
Exploits
que
Rootkits
un mecanismo de desean
obtener
agresión hacia un recursos de forma
sistema
fraudulenta
Virus, keyloggers, backdoors
Algoritmos
computacional,
ocasionando
daños, perdidas y
disminuyendo los
tiempos
de
Usuarios mal
Un 3% de usuarios keyloggers
intencionados
que causan daños
Tecnicas de hackeo
de forma
respuesta
consciente o sin
intención
V.I.
Leyes,
normativas y
disposiciones
generales sobre
los delitos
informáticos, así
como del manejo
de información
digital
Legal
Constitución, códigos, leyes de
otros países
41
3.2.3 Instrumentos de la investigación
Procediendo a enumerar los instrumentos de navegación, podemos
decir que son los de más acogida y uso en estos momentos. El más utilizado es
la lectura comprensiva, sea esta informativa, investigativa y analítica. El uso
de este instrumento es el que más abarca recursos para la investigación, ya que
la estructura de la tesis es un estudio, por ende la mayor parte de esta se
conforma por la lectura.
La lectura comprende documentos tales como, reportes de ataques a
sistemas informáticos, análisis de evidencias con el uso de herramientas
forenses, tratados y artículos sobre conceptos y fundamentos de la informática
forense, manuales de las herramientas forenses.
Además de los documentos mencionados, por el hecho de que el
estudio también incluye conclusiones legales acerca de este tema, se hace la
lectura y análisis de publicaciones de autores conocedores del ámbito legal de
la informática, como el derecho informático, leyes y normativas sobre la
propiedad de información, leyes de propiedad intelectual, etc. En adición, la
procedencia de estos documentos no solo incluyen a nuestro país sino también
a varios de Latinoamérica y de habla inglesa que se encuentran en otro nivel
respecto a les leyes de este tipo.
Actualmente, sin lugar a dudas, el mayor instrumento de investigación
es el internet. Basta con decir que de todos los documentos mencionados
arriba, el 95% de ellos fue obtenido o encontrado en el internet. Siendo esta la
mayor fuente de información recopilada para la conformación de este estudio
de tesis.
3.2.4 Técnicas para el procesamiento y análisis de datos
42
La técnica utilizada para el análisis y procesamiento de datos es
la revisión de los instrumentos utilizados mediante la información
recopilada y revisada para el desarrollo de esta tesis, ya que se procesa
la información ordenada para complementar el desarrollo del
documento.
Luego de la revisión y procesamiento de la información se
obtiene las conclusiones necesarias plasmadas en este trabajo de tesis,
las cuales serán la materia prima para generar las recomendaciones y
conclusiones finales, en este caso de carácter legal que es lo que se
presentara al final en el capitulo V, que también abarcara las
recomendaciones sobre seguridad informática pertinentes para el uso
de las herramientas forenses.
43
CAPITULO IV
MARCO ADMINISTRATIVO
4.1 CRONOGRAMA
Diagrama de gant realizado en Project 2007 sobre la distribución de tiempo y
tareas para el desarrollo del proyecto
Venido desde Project
4.2 PRESUPUESTO
Detalles de Egresos
EGRESOS
Suministros de oficina y computación
DÓLARES
$
100.00
Fotocopias
10.00
Libros y documentos
10.00
Computadora y servicios de Internet
40.00
Transporte
50.00
Refrigerio
30.00
Impresiones, empastado, anillado de tesis de
50.00
grado
TOTAL………………………………………
$
290.00
44
CAPITULO V
MARCO LEGAL
5.1 Conceptos y definiciones
5.1.1 Delito informático
Un
delito
informático
es
aquel
ataque
dirigido
contra
la
confidencialidad, integridad y disponibilidad de los sistemas informáticos,
redes y datos que estos sistemas involucren, así como el abuso de los mismos.
Los ámbitos de acción de estos delitos o ataques son el Hardware y el
Software que son los elementos esenciales de los sistemas informáticos. Estos
elementos presentan vulnerabilidades que si no son encontradas y eliminadas
podrán ser la puerta de entrada para los malintencionados agresores que
pretenden causar daño a la integridad de dichos sistemas.
5.1.2 Criminología
La criminología resulta en una ciencia que interactúa en muchos
campos del desarrollo de la sociedad, se basa en fundamentos tomados de la
sociología, psicología y de la antropología social, dando como resultado un
marca conceptual para delimitar al derecho penal. Estudia las causas que
ocasionan un crimen y patrocina las soluciones a la conducta antisocial del
individuo. Las principales aéreas de investigación involucran la incidencia y
formas del crimen así como las causas y efectos de los mismos. También
suma las reacciones sociales y normas gubernamentales que existen respecto
al crimen.
45
5.1.3 Criminalística
La criminalística tiene como objetivo el encontrar pruebas y
explicaciones de los delitos, así también identificar a sus autores y victimas.
Utiliza métodos, procedimientos y técnicas científicas para la reconstrucción
de los hechos. El conglomerado de disciplinas que la conforman se denomina
ciencias forenses.
5.1.4 Evidencia digital
La evidencia digital es cualquier es cualquier mensaje de datos
almacenado y transmitido por medio de un sistema de información que tenga
relación con el cometimiento de un acto que comprometa gravemente dicho
sistema y que posteriormente guie a los investigadores al descubrimiento de
los posibles infractores. En definitiva son campos magnéticos y pulsos
electrónicos que pueden ser recogidos y analizados usando técnicas y
herramientas especiales.1
5.1.5 Perito Informático
Perito especializado en el área de las tecnologías de la información que
de acuerdo con el tema requerido puede ser seleccionado según su
competencia y experiencia para una labor de análisis.
5.1.6 Informática Forense
Constituye una ciencia que permite adquirir, preservar, obtener y
presentar datos que han sido procesados electrónicamente y almacenados en
un medio digital o a su vez magnético.
1
CASEY Eoghan, Handbook of Computer Investigation, Elsevier Academia Press, 2005
46
5.1.7 Auditoria Forense
Técnica que es utilizada para la prevención y detección de fraudes de
maneras especializadas. En estos procesos intervienen contadores, auditores,
abogados, investigadores, informáticos.
5.2 Leyes y normativas sobre derecho informático
5.2.1 Derecho informático en Europa
En España desde hace ya varios años se vienen dando, en las
Facultades de Derecho, conferencias y simposio importantes sobre el uso que
tiene la informática aplicada al campo del derecho; podemos citar como
ejemplo que a través del Seminario de Informática y Derecho de la
Universidad de Zaragoza, se han organizado y realizado, los 3 primeros
Congresos Iberoamericanos de Informática y Derecho: El primero celebrado
en Santo Domingo, República Dominicana en 1984; el segundo dado en
Guatemala, Guatemala en 1989; y el tercero, celebrado en Mérida, España en
1992; por lo que se puede decir como conclusión que este ámbito del derecho
está tomando su autonomía propia para desarrollarse como una nueva rama
jurídica.
Es de gran importancia mencionar a la legislación que ha desarrollado
España, sobre informática y derecho, destaca el proyecto de ley sobre firma
electrónica que ha sido aprobado por la Unión Europea (compuesta por doce
artículos y dos disposiciones). En la que detalla: Se creara un carnet de
identidad para poder navegar con seguridad por Internet, y que surtirá la
misma eficacia jurídica que una firma manuscrita sobre papel y será admisible
como prueba para efectos procesales, a través de cualesquiera de los medios
admitidos en Derecho, dicha firma electrónica tendrá el tamaño y el precio
aproximado de una tarjeta de crédito y funcionará con un módem especial, de
precio reducido.
47
Dentro del ámbito universitario, España cuenta con un "Máster en
Informática y Derecho", ofrecido por el Instituto Español de Informática y
Derecho (IEID) y la Facultad de Derecho de la Universidad Complutense de
Madrid, en el cual se estudian, tanto a la informática jurídica como al derecho
de la informática, y también materias complementarias y prácticas en
organizaciones y empresas. Además, el departamento de Derecho Político de
la Facultad de Derecho de la Universidad Nacional de Estudios a Distancia
(UNED), ofrece un programa de estudios titulado "Derechos constitucionales
e informática.
Francia cuenta con el DEA de Informática Jurídica y Derecho de la
Informática, de la Facultad de Derecho de la Universidad de Montpellier I. La
Universidad de Montpellier I, actualmente se encuentra adscrita a la Red
CHASQUI2 (perteneciente al Programa Alfa de la Unión Europea).
Uno de los países más desarrollados en cuanto a la legislación sobre
derecho informático es Italia. Siendo el primer país, en la opinión de Antonio
A. Martino3, que dio una solución integral al problema relativo a la autoridad
de certificación, sobre la firma digital asimétrica, problema que ha desatado
una gran competencia internacional en toda Europa, pues existen grupos y
categorías que quisieran tener el monopolio de esta autoridad. Se llevan a cabo
cada año, congresos internacionales sobre inteligencia artificial y derecho. Es
2
Es una red académica constituida entre Universidades e Instituciones de la Unión Europea y de América Latina,
cuyo objetivo es promover el estudio y la introducción de las tecnologías de la información y la comunicación en
el ámbito de la justicia.
3
Abogado graduado en la Universidad de Buenos Aires, Facultad de Derecho y Ciencias Sociales en 1962. Doctor
en Derecho y Ciencias Sociales, Universidad de Buenos Aires, Facultad de Derecho y Ciencias Sociales, 1974.
Universidad del Salvador, Departamento de Investigación y Desarrollo. Vicerrectorado de Investigación y
desarrollo. Desde 1994.
48
necesario destacar que la Universidad de Pisa (Universitá degli Studi di Pisa),
está constituida como la coordinadora de la ya mencionada Red Chasqui.
Japón se encuentra dentro de la quinta generación del desarrollo de la
informática en el mundo, la cual considera la comunicación con la
computadora en lenguaje natural y la utilización de sistemas expertos.
5.2.2 Derecho informático en Norteamérica
En la actualidad Estados Unidos cuenta con la mejor base de datos
jurídica a nivel mundial (Lexis-Nexis), y existen proyectos desde hace años
sobre el uso de la inteligencia artificial aplicada al derecho (p.e. el Taxman Ii
de McCarty y Sheridan y Rand Corporation de Waterman y Peterson), razón
por la cual se puede establecer que se encuentra en la tendencia culminante o
innovadora del desarrollo de la materia.
Mencionamos a los institutos o centros de investigación que poseen
programas dedicados a este ámbito de la jurisprudencia:
• Instituto para la ley del Ciberespacio. Universidad de Georgetown.
• Chicago-Kent Centro para el derecho y la Informática. Universidad de Kent.
• Centro para el derecho de las Tecnologías de la información y la Privacidad
J.M.F. Escuela de Derecho.
• Instituto para el derecho y la Tecnología. Universidad de Dayton.
• Centro para la enseñanza del Derecho asistida por Ordenador.
• Law and Technology. Stanford Law School. California.
• Centro para el Derecho y la tecnología de la Universidad de Stanford.
• Asociación para el Derecho Informático y Derecho de internet. Universidad de
Florida.
• Asociación para el Derecho y la Tecnología. Universidad de Florida.
• Asociación de Derecho Informático.
49
5.2.3 Derecho informático en México
Es claro destacar que actualmente la mayoría de información se la maneja
a través del internet, este se ha convertido en una herramienta muy útil, la cual
permite manejo de información importante que son procesadas por entidades
bancarias, instituciones gubernamentales, empresas privadas y un sin número de
instituciones que procesan información a través de esta herramienta, que se
convierte también en una puerta abierta para que personas con conocimiento en la
materia puedan cometer hechos ilícitos que afecten al derecho ajeno y que en
ciertas ocasiones quedan impunes por el simple hecho de no existir la norma legal
que sancione el hecho especifico.
Por tales motivos la entes legislativos de México vieron la necesidad de
crear cuerpo legales que tomen en cuenta este tipo de acciones ilícitas y que sean
penadas de acuerdo a su gravedad, es así, que realizan la forma a la ley penal
emitiendo reformas de fecha 17 de mayo de 2000 publicadas en el Diario Oficial
de la Federación. Se crearon artículos que en lo principal, tipifican
comportamientos de los llamados Hackers o Crackers. En resumen las reformas
de este cuerpo legal sanciona a un sujeto que acceda ilegalmente a un sistema y
los altere, cause daño y/o modifique provocando pérdidas de información
contenida en dichos sistemas.
Pero más allá de las reformas realizadas y cambios hechos en las
normativas legales y los buenos deseos de los legisladores mexicanos, en todos
lados no solo en México el fenómeno de la tecnología trae nuevas formas y
métodos de delinquir a través de la misma haciendo casi inútiles los esfuerzos de
los colegiados para poder contrarrestar dichas acciones ilegales.
Las facultades de derecho en México están creando nuevas materias,
nuevas especialidades, así como también nuevos tipos penales para impulsar la
creación de normas enfocadas a los delitos informáticos, para poder respaldar el
50
trabajo de las instituciones encargadas de la investigación criminal. Es tanto así
que en México existe una Unidad de Policía Cibernética, dependiente de la
Policía Federal Preventiva4
5.2.4 Derecho Informático en Latinoamérica
La Universidad Externado de Colombia, cuenta con un departamento de
informática jurídica, el cual se dedica a la recopilación, clasificación, análisis y
sistematización de legislación y jurisprudencia de los altos tribunales judiciales; el
departamento ofrece a la comunidad su colección de bases de datos jurídicos.
Perú lleva la materia de informática jurídica en la Facultad de Derecho y
Ciencias Políticas de la Universidad de Lima.
Chile cuenta con el Centro de Informática Jurídica de la Facultad de
Derecho de la Universidad de Chile, el cual se encarga del procesamiento y
recuperación de información de las principales leyes de ese país. Respecto a la
legislación del derecho informático, Chile ha emitido una de las pocas leyes de
América Latina, que regulan los llamados delitos informáticos (LEY-19223), la
cual cuenta únicamente con 4 artículos, emitida por Enrique Krauss Rusque,
Vicepresidente de la República, Santiago de Chile, 28 de mayo de 1993.
En el aspecto legislativo sobre el derecho informático, en Costa Rica
existe una propuesta de legislación del recurso del Habeas Data -presentada a la
asamblea legislativa -, proyecto de ley que pretende reformar la Ley de la
Jurisdicción Constitucional, con el fin de incorporar dicho recurso del Habeas
4
El gobierno mexicano ha formado en Grupo de Coordinación Interinstitucional de Combate a Delitos
Cibernéticos formado por: la Procuraduría General de la República, la Procuraduría General de Justicia del
Distrito Federal, la Policía Federal Preventiva, el Centro de Investigación y Seguridad Nacional, la Asociación
Mexicana de Internet, la Secretaría del Trabajo y Previsión Social, la Secretaría de la Defensa y de la Marina, la
Presidencia de la República, E-México, la Universidad Nacional Autónoma de México, Teléfonos de México,
Avantel, Alestra y la Alianza Mexicana de Cybercafés
51
Data en Costa Rica, el cual resulta interesante debido a que intenta recoger una
necesidad sentida de proteger la intimidad, dignidad y autodeterminación de los
ciudadanos frente a los retos que ofrece el procesamiento automatizado de datos
personales.
Argentina cuenta con uno de los mejores bancos de datos legislativos de
América Latina, el Sistema Argentino de Informática Jurídica (SAIJ), en el
aspecto académico, se imparte en la Facultad de Derecho y Ciencias Políticas de
la Universidad Católica de Buenos Aires, un "Postgrado de Derecho de la Alta
Tecnología", también en la Facultad de Derecho y Ciencias Sociales de la
Universidad de Buenos Aires, se ofrece un "Curso de Actualización en
Informática Jurídica".
Por otro lado, en la Universidad del Salvador, se imparte la "Maestría en
Ciencia de la Legislación", en forma conjunta con la Universitá degli Studi di
Pisa, Dipartimento di Sienze della Politica de Italia, también existe en la
Universidad Nacional de Lánus, la maestría denominada "Nuevas Tecnologías
para la Justicia", la cual cuenta con profesores de Italia, Inglaterra, Francia,
Argentina, Chile, Paraguay y Uruguay, así como funcionarios de justicia de Italia
y Argentina. Esta Universidad se encuentra adscrita también a la Red
Universitaria Internacional CHASQUI. En cuanto a la legislación sobre el
derecho informático, la Corte Suprema de Justicia, había ratificado los fallos de
instancias inferiores que declaraban que no correspondía perseguir penalmente a
quienes reproducían programas sin el permiso del autor, en virtud de existir un
vacío legal, el cual ha sido subsanado al emitirse la ley que pena la piratería del
software. Los diputados de este país (comisiones de legislación penal, de
comunicaciones, de ciencia y tecnología y de legislación general), se encontraban
trabajando sobre un nuevo proyecto de ley sobre delitos informáticos, en dicho
proyecto se toman en cuenta el acceso ilegítimo a datos, el daño y el fraude
informático, entre otros temas.
52
Uruguay cuenta con el CINADE (Centro de Informática Aplicada al
Derecho), en dicho centro se desarrollan importantes proyectos de la materia,
tuvieron a su encargo el desarrollo del VI Congreso Iberoamericano de
Informática y Derecho, celebrado en el mes de mayo del 1998.
5.2.5 Derecho Informático en Ecuador
El Congreso Nacional ahora Asamblea Nacional, debatió la
Ley de Protección contra las conductas ilícitas relacionadas con la
informática, adecuando la normativa legal a la era moderna, ya que
existe una ausencia considerable la tipificación de estos delitos,
permitiendo así la impunidad. Uno de los asuntos más preocupantes es
que mediante el uso del internet cualquier persona puede ser víctima de
un delito cuyo autor se puede encontrar en cualquier parte del mundo,
lo que lleva a la necesidad de acuerdos internacionales de extradición.
Dentro del proyecto de ley mencionado se establece entre otras cosas
lo siguiente:
En el Art. 1 algunos términos como: abuso de confianza,
atentado
contra
la
seguridad
nacional,
contrato
informático,
divulgación de datos privados, documento electrónico, espionaje,
fraude,, negligencia informática, tarjeta de crédito, virus, etc.
En el Art.2 menciona los delitos y las formas de cómo serán
reprimidos, con prisión de seis meses a cinco años y multa de 500
dólares. Los delitos contra la seguridad nacional se penalizan con
reclusión mayor de 12 años a 16 años y multa de 1000 a 2000 dólares.
53
La legislación en el Ecuador posee varias leyes y códigos que
hacen referencia al derecho informático ya sea esta especificando las
normas que rigen dicho ámbito o también determinando los delitos y
castigos que esta impone si se comete un acto ilícito. Entre las cuales
mencionamos
Ley Orgánica de transparencia y Acceso a la Información Pública
Ley de Comercio electrónico Firmas Electrónicas y Mensajes de Datos
Ley de Propiedad Intelectual
Ley Especial de Telecomunicaciones
Ley de Control Institucional (Habeas Data)
Además de las leyes mencionadas se debe incluir al Código de
Procedimiento Penal (CPP) y a su vez el Código de Procedimiento Civil
(CPC).
En el cuadro siguiente destacamos algunas de las infracciones
contempladas en ciertos artículos del Código de Procedimiento Penal que se
refieren a las infracciones informáticas, con sus respectivas sanciones:
54
INFRACCIONES INFORMATICAS
REPRESION MULTAS
Delitos contra la información protegida (CPP Art.
202)
1. Violentando claves o sistemas
6 m - 1 año
2. Seg. Nacional o secretos comerciales o
industriales
$500 a $100
$1000 a
3 años
$1500
$2000 a
3. Divulgación o utilización fraudulenta
3 a 6 años
4. Divulgación o utilización fraudulenta por
custodios
$10000
$2000 a
9 años
$10000
$1000 a
5. obtención y uso no autorizados
2 m a 2 años
$2000
Destrucción maliciosa de documentos (CPP Art.
262)
6 años
Falsificación Electrónica (CPP Art. 353)
6 años
Daños Informáticos (CPP Art. 415)
1. Daño dolosamente
6 m a 3 años
$60 a $150
5 años
$200 a $600
2. Serv. Publico o vinculado con la defensa
nacional
3. No delito mayor
8 m a 4 años $200 a $2000
Apropiación ilícita (CPP Art. 553)
1. Uso fraudulento
6 m a 5 años $500 a $1000
$1000 a $
2. uso de medios (claves, tarjetas magnéticas, etc.)
5 años
2000
Estafa(CPP Art. 563)
5 años
$500 a $2000
55
5.3 El papel fundamental de la evidencia física dentro de un proceso legal
basado en delitos informáticos.
5.3.1 Procesos de recuperación de evidencia
El hardware comprende todos componentes físicos de
un sistema informático, mientras que la información, se refiere
a todos los datos, mensajes de datos y programas almacenados
procesados, transmitidos y usados por un sistema informático.
Así
podemos
definir
que
el
hardware
usado
fraudulentamente no está autorizado por la ley; Por ejemplo
podemos citar los decodificadores de señal por cable, la
manipulación y el uso de estos representa una violación a los
derechos de propiedad intelectual, especificado como un delito.
De la misma forma el hardware obtenido mediante hurto, robo,
fraude u otra clase de infracción también corresponde a un
delito.
Cuando el hardware es usado para cometer un delito, se
dice que es usado como un arma o una herramienta, tal como
un cuchillo o arma de fuego. Se puede tomar como ejemplo los
sniffers y otros dispositivos que interceptan tráfico en la red o
comunicaciones.
Cuando se comete un delito usando un elemento físico,
como en este caso, el hardware se constituye en una prueba
dentro del proceso que va a probar el delito.
De la misma forma la información se considera ilegal
cuando su tenencia no es permitida por la ley, se cita como
ejemplo la pornografía infantil. También cuando es el fruto de
cometer un delito como una copia pirata de un programa.
56
Cuando la información es usada para cometer un delito
como sería el caso del uso de programas para
romper
contraseñas o dan acceso no autorizado.
La información es evidencia, esta característica es la
más importante dentro del ámbito legal para la comprobación
de un delito y en la que se basa este estudio de tesis. Se puede
conseguir mucha información de evidencia, por ejemplo la
información de los proveedores de internet de servicios
bancarios, etc.
Dentro del proceso de recolección de evidencia se deben
tomar en consideración muchos pasos y procesos los cuales
serán muy útiles para la validez de la misma. El investigador
debe obtener la correspondiente autorización judicial para
incautar elementos de hardware o software para poder acceder
al contenido de dichos elementos.
Antes de realizar la incautación de equipos un
investigador debe tomar en cuenta estos siguientes pasos5:
1. ¿a qué hora debe realizarse?
Para minimizar destrucción de equipos, datos
El sospechoso tal vez estará en línea
Seguridad de investigadores
2. Entrar sin previo aviso
5
Manual de Manejo de Evidencias Digitales y entornos informáticos, año 2009. Dr. Manuel Acurio del
Pino
57
Utilizar seguridad
Evitar destrucción y alteración de los equipos, o la
evidencia contenida en esta.
3. Materiales Previamente preparados (Cadena de custodia)
Embalajes de papel
Etiquetas
Discos vacios
Herramientas
Cámara fotográfica
4. Realizar simultáneamente los allanamientos e incautación
en sitios diferentes
Datos pueden estar en más de un lugar
5. Examen de equipos
6. Aparatos no especificados en la orden de allanamiento
7. Creación de respaldos en el lugar , creación de imágenes de
datos
Autorización
para
duplicar,
reproducir
datos
encontrados
8. Fijar/grabar escena
Cámaras, videos etiquetas
9. Códigos, claves de acceso, contraseñas
10. Busca documentos que contienen información de acceso,
conexiones de redes, etc.
58
11. Cualquier
otro
tipo
de
consideración
especial
(consideraciones de la persona involucrada: médicos,
abogados, información privilegiada, etc.)
5.4 Reconocimiento de la evidencia para el proceso legal
El incorporar la tecnología a la vida cotidiana, a procesos de
administración, de gestión, de producción, incluso de telecomunicaciones. Se
ha visto la necesidad de incluir a los dispositivos informáticos como
elementos de carácter probatorio, ya que estos pueden formar parte de pruebas
de manifestaciones o hechos de relevación legal o jurídica.
La gran problemática existente al tratar de incorporar este clase de
hechos dentro de un proceso legal, es que se piensa que dichas pruebas han
sido creadas, modificadas o en su caso destruidas y que por estas razones sea
difícil el ser utilizadas en un proceso judicial.
El término “evidencia digital” está relacionado con el término digital y
a su vez se ha asimilado al término “virtual” lo que quiere decir como no real
o casi real, convirtiéndose en un total contraste con la evidencia física. A
pesar de esto cabe mencionar que dicha evidencia digital siempre estará
almacenada en un soporte real, que vienen a ser los dispositivos de
almacenamiento sean estos magnéticos, de algún otro tipo, convirtiendo este
tipo de evidencia en física.
Debido a los avances tecnológicos se modifican las formas de
perpetuar un delito, lo que conlleva también al cambio de las legislaciones,
tipificando como un delito un gran grupo de hechos en los que intervienen los
computadores. Podemos citar como analogía los cambios que se producen en
el establecimiento de delitos como por ejemplo la violación de la
59
correspondencia electrónica, así como el acceso no autorizado a información o
programas contenidos en sistemas informáticos. Así también existe la
falsificación de documentos que ya no solo es a nivel físico, sino que de
manera electrónica se falsifican registros así también como documentos
electrónicos. Debido a todos estos factores y a que el comercio global se ve en
la necesidad del uso de internet hace que los elementos que aplican la lean
sean estos abogados, jueces o policías se involucren mas en este vasto
universo.
La evidencia digital se cataloga como un tipo de evidencia física, y
posee la característica de ser menos tangible que otros tipos. Una de las
grandes ventajas de la evidencia digital es que esta puede ser reproducida o
duplicada de forma exacta, lo que permite realizar numerosos análisis y
pruebas sin tener presente el riesgo de alterar o dañar dicha evidencia. En
adición, a pesar de lo que se piensa es fácil encontrar que la evidencia digital
ha sido alterada ya que se puede hacer comparaciones con la original y
analizando sus metadatos se pueden hallar las diferencias.
El hardware en conjunto con los sistemas operativos realizan la
ubicación de archivos y programas, para poder ser visualizados o ejecutados,
dando acceso a archivos. Aquí intervienen los meta archivos que cumplen la
función de índices, que contienen toda la información necesaria para localizar
datos específicos encontrados en los discos duros. Es por eso que la evidencia
digital no puede ser destruida fácilmente ya que si se ejecuta una acción de
borrado lo que se pierde es la información de ubicación de dicho archivo mas
no el archivo en si, por lo que con las herramientas adecuadas se puede
recuperar esa información sin que el usuario este consciente de aquello.
60
Así como en criminalística es manejada la evidencia, para el caso de la
evidencia digital se aplica los mismos procesos y criterios de recolección los
cuales se pueden resumir en varias fases:
Reconocimiento: Se debe aislar los equipos o hardware, en el
caso de que se tenga acceso, y hacer una descripción completa de los
sistemas operativos y aplicaciones que se encuentran instaladas. Así
como la identificación de datos relevantes al caso, dependiendo de qué
fue lo que se utilizo para cometer el hecho.
Aquí los peritos deben tener mucho cuidado ya que por
sobrepasarse en el análisis pericial este pude convertirse en un delito
electrónico.
Para la recolección de evidencia en un caso penal debe
realizarse en su estado original. Justamente para lograr la integridad y
conservación precisa de estos datos. El proceso para lograr esto es la
copia bit a bit, con el cual se garantiza que los datos contenidos en un
medio de almacenamiento, sean copiados exactamente como están
desde su origen.
Los archivos temporales que manejan los sistemas operativos,
la memoria virtual, que es la que contiene trazas de procesos
realizados, imágenes, y otros tipos de datos, el perito debe hacer uso de
herramientas especializadas para recuperar esta información a pesar de
que haya intentos de borrado.
Un aspecto importante es la garantía que el perito debe ofrecer
a las partes y al juez, debido a que los análisis se realizan sobre copias
fieles y exactas, es la correspondencia entre los originales y las copias.
61
Esto se lo realiza a través de la tabla de valores matemáticos de
comprobación llamado “Hash”6. El valor Hash debe ser idéntico entre
los archivos originales y los copiados.
Clasificación: El perito debe ubicar según las características
generales de los archivos y de los datos para individualizar la evidencia
para poder establecer los tipos de archivos. Esta clasificación se logra
analizando los metadatos, en otras palabras los datos sobre los datos.
Esta información contiene datos como títulos, autores, tamaños, fechas
de creación, modificación, etc. Algunos programas añaden a los
metadatos información del hardware o de los equipos en que se
encuentran, lo que sirve para algunos casos como prueba inequívoca de
que un archivo fue generado o procesado en un equipo de computación
determinado.
Reconstrucción: La reconstrucción incluye los pasos que se
siguieron o procesos que se realizaron en un computador o también en
las redes, la recuperación de evidencia averiada también se incluye en
este paso.
Una parte importante de la investigación forense digital es el
registro de cada una de las acciones, la reconstrucción de los hechos
informáticos. Elaborar una línea en el tiempo para evaluar los hechos.
Los hechos informáticos tienen su base en procesos
matemáticos es por eso que le son aplicables leyes científicas que no
pueden ser cuestionadas, pese a esto no significa que toda análisis
6
Una tabla hash o mapa hash es una estructura de datos que asocia llaves o claves con valores.
Funciona transformando la clave con una función hash en un hash, un número que la tabla hash utiliza
para localizar el valor deseado. (Fuente Wikipedia)
62
forense informático sea totalmente cierto o en su caso adecuado para el
proceso judicial. El análisis forense con la debida aplicación de las
fases de preservación y manejo de evidencia, además del uso de juicios
correctos para la aplicación de otros métodos científicos es lo que va
existir como verdadero garante de aquella evidencia presentada.
Además de esto el perito debe tomar en cuenta que al presentar dicha
información debe hacerlo en el lenguaje entendible para los jueces ya
que estos poseen criterios humanísticos y en los cuales pueden existir
renuencia a la informática o desconfianza sobre los resultados que se
obtengan de estos métodos nuevos de análisis de peritos informáticos.
5.5 Recomendaciones legales básicas
Nuestro país aun está en pleno desarrollo tecnológico, estamos viendo
nuevos mercados que se abren aquí debido a la exigencia del medio. Se están
mejorando procesos, adquiriendo estándares, las empresas cada vez son más
competitivas. Todos estos elementos de evolución promueven el uso de
tecnologías ya probadas o en su caso nacientes, y el uso de estas nuevas
herramientas también involucran nuevas reglas del juego.
En el campo de tecnología no se pueden dar las cosas por sentadas
porque es un mundo en constante renovación, se crean nuevos estándares en
telecomunicaciones, en diseños de redes, nuevos componentes de hardware y
así van apareciendo nuevas herramientas para solucionar problemas que van
apareciendo en la mejora de procesos.
La leyes de nuestro país por el contrario no han ido a la par con el
desarrollo tecnológico por el que estamos pasando. Recién en el año 2002 el
63
Congreso Nacional de ese entonces emitió en el Registro Oficial La Ley de
comercio electrónico, firmas y mensajes de datos.
En la nombrada ley detalla que los mensajes de datos tienen igual valor
que los físicos o escritos y que serán valorados de acuerdo al sometimiento
que le da esta misma ley y el reglamento, así como de la propiedad intelectual,
de los contratos electrónicos y de cómo estos son tratados en la ley.
En gran parte la Ley de Comercio Electrónico detalla que documentos,
objetos y demás son validos ante los representantes judiciales que existen en
el Ecuador, así como también de la jurisdicción que estos poseen.
El Código Penal vigente, en ciertas reformas realizada a partir de la
promulgación de esta ley se refiere al tipo de daño informático que puede
causarse y de las sanciones que estas pueden acarrear. Como lo son el daño
intencional de equipos de computación que contengan información
importante, el daño de bases de datos, el robo de información y cualquier tipo
de acción que limite o detenga el funcionamiento de un sistema o red.
Las sanciones van desde 3 a 6 años y con multas económicas, pero
realmente esta sanciones no suelen ser aplicadas o no son lo suficientemente
fuertes para que sean un castigo verdadero acorde con la magnitud que estos
actos con dolo suelen ocurrir.
Las leyes actuales que poseemos son muy limitadas acorde con el
abanico de elementos tecnológicos que existen en nuestro medio, la ley de
comercio electrónico refiere a los documentos que se pueden generar en una
transacción electrónica y todo el respaldo que existe para esto. También habla
de la propiedad intelectual y de las firmas electrónicas y su validez ante la ley.
64
Dentro de los cuerpos legales existentes en nuestro país no están
especificadas muchas acciones de delitos informáticos, como la de un hacker
que mediante el uso de internet puede acceder a una red interna de una
compañía, comenzando a utilizar algoritmos de prueba de puertos abiertos o
programas que se implanten cuando son abiertos ciertos correos como los
conocidos rootkits. Estas actividades delictivas son muy comunes existen
algunas de mucha mayor complejidad, pero el punto a denotar es que este tipo
de actividades delictivas, porque un hacker actúa de manera dolosa, no son
identificadas en la ley.
La propiedad intelectual es algo que prácticamente no se aplica en
nuestro medio, somos actores directos de este delito. Utilizamos copias de
programas infringiendo leyes internacionales de derecho de autoría y así como
las propias. Esto trae consecuencias de diversa índole, podemos poner como
ejemplo que en una empresa se esté utilizando una copia pirata de un sistema
operativo, al hacer esto elimina todo soporte, actualizaciones y beneficIos que
conlleva una licencia original. El gerente dirá que se ahorra ese gasto en dicha
licencia, pero al no existir soporte alguno se vuelve totalmente vulnerable a
ataques externos por no mencionar los internos. Un intruso fácilmente puede
acceder a dicho equipo con esa copia no autorizada instalada y pude causar
grandes perjuicios a dicha empresa sobrepasando el valor de los daños al de
que pudo costar la licencia.
En bueno recalcar que en estos momentos los representantes de la ley
como son la policía esta diseñando y ejecutando operativos en donde se evita
este tipo de usos no permitidos de programas de software, pero a pesar de
aquello estos esfuerzos pueden parecer minúsculos, porque no se cuenta con
un respaldo real como lo sería una buena ley focalizada y determinada a
tipificar este tipo de actos indebidos y a su respectivos castigos.
65
Tenemos muchos ejemplos cercanos en la región, Colombia posee
reformas legales que permiten llevar a un tribunal de justicia a una persona
natural o jurídica que realice un acto de delito informático, posee policía
especializada en este tipo de asuntos. A si mismo Perú, Bolivia poseen peritos
informáticos que son los investigadores para este tipo de delitos. Tienen
modificaciones en los pensum universitarios, dictando cursos, materias en los
cuales se trata esta problemática de la cual ya somos víctimas, no podemos
negar aquello.
Se deben pensar pronto en reformas a las leyes, los llamados a esto son
los miembros de la Asamblea Nacional que deben incluir proyectos de ley
respecto a este tema en sus debates. Estamos en la era tecnológica donde
prácticamente todos nuestros aspectos de la vida los manejamos a través de un
computador, nuestro dinero en el banco, nuestro trabajo, nuestra salud, nuestro
estilo de vida está prácticamente basado en la tecnología, es por eso que no
podemos dejar de lado el ámbito legal del mismo, estamos desprotegidos en
ese sentido, nuestras leyes son muy débiles al momento de contemplar un
delito informático.
Seguro es ver que existen organizaciones que invierten en seguridad
tecnológica, diseñan métodos de protección, instalan plataformas de seguridad
y terminan invirtiendo mucho dinero en esto y les resulta pero si se analiza a
fondo el tema este tipo de inversiones son el resultado del temor que es
causado por un débil sistema legal en materia tecnológico. Es verdad que
también es parte de un proyecto de seguridad para la organización que es parte
de un todo cuando se implementa un centro de datos, pero a pesar de ello estos
serian más seguros con el espaldarazo que representa un cuerpo legal
debidamente estructurado.
66
BIBLIOGRAFIA
CONCEPTOS E INFORMACIÓN TEORICA
http://www.acis.org.co/fileadmin/Revista_96/
http://www.areino.com/forensics-1/
http://gecti.uniandes.edu.co/docs/NasTecnologias3.pdf
http://gecti.uniandes.edu.co/docs/buenas%20practica%20evidencia%20digita...
http://gecti.uniandes.edu.co/docs/Evidencia%20digital%20Rueda%20&%20Cano...
http://gecti.uniandes.edu.co/docs/NasTecnologias4.pdf
http://www.nobosti.com/spip.php?article47
http://www.yanapti.com/fca/
http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx
http://www.ausejo.net/seguridad/forense.htm
http://www.criptored.upm.es/guiateoria/gt_m180b.htm
http://www.seguridad.unam.mx/eventos/reto/--casos practicos
http://fraudit.blogspot.com/2008/09/laboratorio-e-forense.html
http://www.forensics-intl.com/ev-info.html
http://pdf.rincondelvago.com/informatica-forense.html
http://www.geronet.com.ar/?p=228
http://www.conectronica.com/seguridad/seguridad-forense-tecnicas-antiforensesrespuesta-a-incidentes-y-gestion-de-evidencias-digitales
http://www.virusprot.com/Eintrues.html
http://www.sleuthkit.org/informer/
67
http://www.digital-detective.co.uk/testimonials.asp
http://www.monografias.com/trabajos6/delin/delin.shtml
http://materias.fi.uba.ar/6669/alumnos/2007-1/Informatica%20Forense%20%20G3.pdf
http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=http://www.sy
mantec.com/connect/articles/windows-forensics-case-study-part-1
http://www.amazon.co.uk/gp/reader/0072131829/ref=sib_dp_pt#reader-page
http://unpan1.un.org/intradoc/groups/public/documents/apcity/unpan016411.pdf
http://materias.fi.uba.ar/6669/alumnos/2007-1/Informatica%20Forense%20%20G3.pdf
http://www.isecauditors.com/downloads/present/hm2k4.pdf
http://www.pc-history.org/forensics.htm
http://www.computer-forensics-recruiter.com/home/computer_forensics_history.html
http://www.google.com.ec/url?sa=t&source=web&cd=3&ved=0CCkQFjAC&url=htt
p%3A%2F%2Fwww.middlesexcc.edu%2Ffaculty%2Fsteven_zale%2FComputer_%2
520Forensics.ppt&rct=j&q=history+of+computer+forensics&ei=bQ4NTLa4D8aqlAe
Kw-CLDg&usg=AFQjCNF0b4_GaZSnyI6llsS09BQ1NPvsfA
http://www.ehow.com/about_5813564_history-computer-forensics.html
http://www.google.com.ec/url?sa=t&source=web&cd=9&ved=0CE4QFjAI&url=http
%3A%2F%2Fwww.isaca-atlanta.org%2Fdocs%2F03-2708%2520Computer%2520Forensics.ppt&rct=j&q=history+of+computer+forensics&e
i=bQ4NTLa4D8aqlAeKw-CLDg&usg=AFQjCNEaozE0_HzuQj1tr_Qfjv03PY4BqA
http://www.computer-forensic.com/old_site/presentations/ASIS_Presentation.pdf
http://www2.tech.purdue.edu/cpt/courses/TECH581A/meyersrogers_ijde.pdf
68
HERRAMIENTAS
http://www.sleuthkit.org/
http://www.porcupine.org/forensics/
CASOS PRACTICOS
http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=http://www.ne
wyorkcomputerforensics.com/learn/resources.php
http://www.forensics-intl.com/thetools.html
http://sourceforge.net/projects/dftt/files/Test%20Images/9_%20FAT%20Volume%20
Label%20%231/9-fat-label.zip/download
http://old.honeynet.org/
INFORMACIÓN LEGAL
http://www.bibliojuridica.org/libros/1/313/4.pdf
http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitosinformaticos-en-colombia
Rios Estavillo Juan Jose, 1997 Derecho en informática en Mexico, Universidad
autónoma de Mexico Primera Edición
Tellez Valdes Julio, 1991-Mexico Derecho informático Universidad autónoma de
Mexico Primera Edición
LEY DE COMERCIO ELECTRONICO, FIRMAS ELECTRONICAS
MENSAJES DE DATOS R.O. Suplemento 557 de 17 de Abril del 2002
Y
69
ANEXO I
70
1. Instalacion de la Herramienta Sleuthkit
1.1. Instalacion de Sleuthkit
The Sleuth Kit conforma una serie de herramientas de línea de comandos basada en el
original The Coroner´s Toolkit. El primer paso es proceder a la descarga del
instalador o su código fuente, ya que es opensource desde el siguiente link mostrado
a continuación:
http://www.sleuthkit.org/sleuthkit/download.php
Una vez descargada la aplicación nos dirigimos al directorio escogido para la
instalación y se procede a desempaquetar todo el contenido del tarball:
Cd /usr/local
Tar xvzf ~/sleuthkit-x.xx.tar.gz
Regresamos al root y se procede con la instalación, para eso no desplazamos al
directorio que definimos , no sin antes crear el enlace simbolico de forma que siempre
apunte al directorio con los fuentes del sleuthkit:
Su –
Cd /usr/local
Ln –s sleuthkit-x.xx/ sleuthkit
Sleuthkit
Make
Si se desee tener disponibles las paginas del manual, asi como tambien los binarios
desde cualqier ubicacion en la que nos encontremos deberemos añadir dichos
directorios anteriores a las variables de entorno PATH y MANPATH:
Vi /etc/enviroment
LANG=”es_ES.UTF-8”
PATH=/usr/local/sleuthkit/bin:$PATH
MANPATH=/usr/local/sleuthkit/man:$MANPATH
71
Se procede a cargar las variables de entorno ya modificadas :
Source /etc/enviroment
1.2. Instalacion de Autopsy
Procederemos a la instalación de Autopsy que es un frontend el cual permite utilizar
sleuthkit mediante un navegador web, el cual se descarga de la dirección a
continuación:
http://www.sleuthkit.org/autopsy/download.php
Prodedemos de igual manera accedemos al directorio donde se lo desea instalar y
descomprimimos el tarball:
Cd /usr/local
Tar xvzf ~/autopsy-x.xx.tar.gz
Se ingresa al directorio recién obtenido después de la descompresión del archivo
anterior y se ejecuta el proceso de instalación. Durante la ejecución de la misma nos
preguntara la ubicación de sleuthkit asi como donde esta instalada la librería NSRL,
la cual no es indispensable. El directorio donde se almacenaran las imágenes
utilizadas durante las investigaciones. No sin antes crear un enlace simbolico
apuntando al directorio que contiene el código fuente:
/usr/local/autopsy# ln –s autopsy-x.xx/ autopsy
/usr/local/autopsy# cd autopsy
/usr/local/autopsy# make
En este momento empieza a ejecutarse la instalacion del Autopsy Forensic Browser.
72
1.3. Iniciando el programa
Una vez instalado y configurado solo bastara con llamarlo a ejecución. Asi se podrá
llamar la interfaz grafica del Autopsy:
73
Una vez trabajado con Autopsy, para porceder a cerrarlo simplemente se regresa a la
consola de ejecución y se presiona la combinación de teclas Ctrl + C
2. Abriendo un caso de estudio
2.1. Los primeros pasos en Sleuthkit y Autopsy Browser
Se crean los directorios en donde se almacenaran las imágenes proporcionadas para el
análisis .
Mkdir /usr/local/imágenes
Cd usr/local/imágenes
Tar –xvf ~/challenge-images.tar
Se ejecuta Autopsy normalmente y en el navegador pondremos la siguiente dirección:
74
http://localhost:9999/autopsy
una gran ventaja de Sleuthkit/Autopsy es que trabaja dividiendo por casos cada
investigación. Asi cada caso investigado puede ser contenido en uno o mas host y
estos a su ves pueden contener una o varias imágenes de un sistema de ficheros.
Se empieza dando clic en “Nuevo Caso” y asi aparecerá la pantalla que se presenta a
continuación:
Los campos mostrados son opcionales, una vez completa la acción le damos clic en
“Nuevo Caso” , se creara una carpeta con el nombre de PrimerCaso en el directorio
que se selecciono durante la instalación de autopsy en este caso /usr/local/evidence.
75
Se crea un host para el análisis donde se albergaran las imagenes que se analizaran:
76
77
Procedemos a cargar las imagenes de las unidades que se desea analizar. Se debe
utilizar la particion / donde se almacena el directorio raiz y, por ende el fichero que
contiene el nombre del host y que se almacena en /etc
Se utilizan algunos comandos para prepara las imagenes que han sido cargadas para
el analisis, debemos montarlas para poder examinarlas:
/usr/local/images# file honeypot.hda8.dd
/uss/local/images# mount -o loop,ro -t ext2 honeypot.hda8.dd /mnt/imagen
Luego debemos averiguar que sistema operativo esta instalado en la imagen del
equipo que fue vulnerado. Usualmente nos encontraremos con sistemas como Red
Hat ya que son os mas utilizados para servidores:
/usr/local/imagenes# cat /mnt/imagen/etc/redhat-release
78
79
- La primera opcion necesita una ruta absoluta de la ubicacion del fichero de la
imagen de disco completo
- La segunda opcion permite espeficicar si se trata de una imagen de disco completo o
solo una partición.
- La tercera opción afecta el tratamiento de la imagen . Con symlink se creara un
enlance simbolico en el directorio del caso y que apuntara a la ubicacion original para
la imagen. Las otras opciones permiten mover allí el fichero o tan solo copiarlo.
Le damos clic en siguiente y procedemos a registrar mas informacion sobre la imagen
que se desea analizar:
- El contenido para los campos suma md5 y punto de omntaje los podremos obtener
del fichero readme que viene con las imagenes.
80
- Indicando las opciones "Add the following MD5 hash value for this image:" y
"Verify hash after importing" provocaremos la comprobacion de la suma md5 para el
fichero de imagen
Autopsy posee esta apariencia una vez agregados los servidores que se desean
analizar :
81
Se muestra el listado de todas las imagenes que se quieren analizar:
82
3. Analisis de las imagenes del sistema
Se carga el Autopsy Browser y procedemos abrir el caso creado anteriormente
pulsando sobre "Abrir Caso", le damos en OK y luego en OK otra vez.
Se puede comenzar analizando lso ficheros log, asi seleccionaremos /var como punto
de montaje y pulsaremos "Analizar"
En la parte superior aparecen los diferentes tipos de analisis que se pueden aplicar
sobre el sistema de ficheros que estemos analizando. Aqui pulsaremos en "File
Analysis", luego en log para revisra los ficheros del registro de la maquina.
Revisamos el contenido del fichero /var/log/secure, el que contiene la informacion
sobre accesos a la maquina y cuestiones relacionadas con la seguridad del sistema.
83
Cabe destacar las opciones en el frame izquierdo de la interfaz del Autopsy
- La primera permite buscar un directorio determinado
- El segundo campo de texto ermite buscar un fechero/directorio por su nombre con la
posibilidad de utilizar expresiones regulares en los terminos de busqueda
- El siguiente boton mostrara unicamente los ficheros que hayan sido eleiminados de
la particion que esta siendo analizada.
- Por ultimo "Expand Directories"mostrara una estructura en arbol con todo el
contenido de la particion.
84
Procederemos en este momento con el análisis de la partición /, para lo que
mostraremos todos los ficheros/directorios eliminados. Pulsaremos pues sobre “All
deleted files” y veremos
omo aparecen diferentes ficheros interesantes: varios
temporales eliminados y dos ficheros con la terminación RPMDELETE, que parecen
indicar que existe una librería compartida utilizada por varios procesos y que parece
haber sido eliminada.
Ahora les llega el turno a los ficheros temporales que han sido eliminados.
Observando el contenido del fichero /tmp/ccbvMzZr.i notaremos como aparecen
mencionadas varias librerías interesantes: tclegg.h, eggdrop.h, modvals.h, tandem.h y
cmdt.h. Todo lo anterior unido a las terminaciones de los ficheros temporales
encontrados (.i, .ld, .c) nos llevan a la conclusión de que se realizó la compilación e
instalación de un bot de IRC, en concreto eggdrop. El proceso debió tener lugar a las
15:58:57 del 8 de noviembre de 2000. También es de destacar el UID y GID
asociados a los ficheros, el 500:500, el cual debió pertenecer a un usuario eliminado
del sistema. Por el momento hemos terminado de examinar el directorio raíz, por lo
que lo cerraremos pulsando sobre “Close”.
Aquí destacaremos otra característica de autopsy, el “Event Sequencer”, que permite
incluir notas sobre los eventos que consideremos más destacables y que aparecerán
ordenados en el tiempo. Dado que no se nos ocurren muchas opciones por las que
continuar echaremos mano de las líneas de tiempo. Si accedemos a dicha
característica pulsando sobre el botón “File Activity Timelines”, y siguiendo los pasos
que se mencionan a continuación podremos generar una lista de sucesos relacionados
con la actividad sobre ficheros que aparecerán organizados en el tiempo. Para ello
primero pulsaremos sobre “Create Data File” y marcaremos todas las imágenes.
Seleccionaremos también todas las opciones del segundo apartado, es decir,
“Allocated Files, Unallocated Files y Unallocated Meta Data Structures”. Por último
dejaremos el nombre que se le asignará por defecto y marcaremos la opción de
85
eneración de la suma MD5 de comprobación del fichero. Una vez pulsado sobre el
botón “OK” comenzará el proceso.
Related documents
Informática Forense - Internet Security Auditors
Informática Forense - Internet Security Auditors
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
Delincuencia Informatica
Delincuencia Informatica
1 resumen - tesis de grado autores leonard david lobo parra
1 resumen - tesis de grado autores leonard david lobo parra
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
Perfil Sobre los Delitos Informáticos en el Ecuador
Perfil Sobre los Delitos Informáticos en el Ecuador
Estudio cualitativo de la relación de las leyes y la pericia
Estudio cualitativo de la relación de las leyes y la pericia
HERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE DE
HERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE DE
LA INFORMACION COMO ACTIVO ESTRATEGICO
LA INFORMACION COMO ACTIVO ESTRATEGICO
Diseño de un Laboratorio Forense Digital
Diseño de un Laboratorio Forense Digital
Introducción - DSpace de la Universidad Catolica de Cuenca
Introducción - DSpace de la Universidad Catolica de Cuenca
i UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA
i UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA
1 Universidad Siglo 21 Trabajo Final de Graduación Investigación
1 Universidad Siglo 21 Trabajo Final de Graduación Investigación
tesis de grado ingeniero en sistemas informáticos
tesis de grado ingeniero en sistemas informáticos
HERRAMIENTAS PARA LA COMPUTACION FORENSE CONTROL
HERRAMIENTAS PARA LA COMPUTACION FORENSE CONTROL
Superintendencia de Servicios de Certificación Electrónica
Superintendencia de Servicios de Certificación Electrónica
(GPI)”
(GPI)”
Tele asistencia informática
Tele asistencia informática
Solución de gestión de amenazas de seguridad
Solución de gestión de amenazas de seguridad
Tecnología La inseguridad también afecta la Red
Tecnología La inseguridad también afecta la Red
Virus de la Policia
Virus de la Policia
12:20 La experiencia en el Ministerio de Industria, Turismo y
12:20 La experiencia en el Ministerio de Industria, Turismo y