Download Índice de Contenidos

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
page
48
page
49
page
50
page
51
page
52
page
53
page
54
page
55
page
56
page
57
page
58
page
59
page
60
page
61
page
62
page
63
page
64
page
65
page
66
page
67
page
68
page
69
page
70
page
71
page
72
page
73
page
74
page
75
page
76
page
77
page
78
page
79
page
80
page
81
page
82
Document related concepts

Digital Living Network Alliance wikipedia , lookup

Transcript 
Índice de Contenidos
Título
Página
Portada
I
Autoría
II
Dedicatoria
III
Agradecimiento
IV
Índice de Contenidos
5
Índice de Gráficos
10
Introducción.
11
Capítulo 1. Antecedentes.
13
1.1.
¿Qué es la Evidencia Digital?
13
1.2.
Definición de Evidencia Digital.
13
1.3.
Importancia de la Evidencia Digital.
14
1.4.
Tratamiento de la Evidencia Digital.
14
1.5.
Tipos de Evidencia Digital.
15
1.5.1. Evidencia Digital Constante.
15
1.5.2. Evidencia Digital Volátil.
15
5
Capítulo 2. Aspectos Técnicos Importantes.
2.1.
2.2.
2.3.
2.4.
16
Fuentes de la Evidencia Digital.
16
2.1.1. Sistemas de computación Abiertos.
16
2.1.2. Sistemas de Comunicación.
17
2.1.3. Sistemas Convergentes de Computación.
17
Características de la Evidencia Digital.
17
2.2.1. Es Volátil.
18
2.2.2. Es Anónima.
18
2.2.3. Es Duplicable.
18
2.2.4. Es alterable y Modificable.
18
2.2.5. Es Eliminable.
18
Categorías de la Evidencia Digital.
19
2.3.1. Registros Almacenados en el Equipo de Tecnología
Informática.
19
2.3.2. Registros
Informática.
Tecnología
19
2.3.3. Registros que Parcialmente ha sido Generados y
Almacenados en Equipos de Tecnología Informática.
20
La Dinámica de la Evidencia Digital.
20
Generados
por
Equipos
de
6
Capítulo 3. Factores que Afectan la Evidencia Digital.
22
3.1.
Equipo de Emergencia.
22
3.2.
Personal de Criminalista.
23
3.3.
Acciones de la Victima.
23
3.4.
El Sospechoso o Imputado Tratando de Cubrir sus Rastros.
24
3.5.
Transferencia Secundaria.
24
3.6.
Testigos.
24
3.7.
Clima y la Naturaleza.
24
3.8.
Descomposición.
24
Capítulo 4. Cadena de Custodia.
26
4.1.
Metodologías del Análisis.
27
4.1.1. Identificar la Evidencia Digital.
27
4.1.2. Preservar la Evidencia Digital.
28
4.1.3. Analizar la Evidencia Digital.
33
4.1.4. Presentación de la Evidencia Digital.
36
4.2.
¿Por qué el Análisis Forense?
36
4.3.
Metodologías de Trabajo.
37
7
4.3.1. Fases del Análisis.
38
4.3.2. Escenarios Típicos del Análisis Forense.
39
Capítulo 5. Identificar la Evidencia Digital.
40
5.1.
Una Conversación Inicial.
40
5.2.
Asegurar la Evidencia Digital.
40
5.2.1. Física.
41
5.2.1.1.
encontrada.
Realizar imágenes de la Evidencia Digita
42
5.2.1.2.
Métodos para realizar Imágenes.
46
5.2.1.3.
Software Aplicable.
46
5.2.2. Lógica.
47
5.2.2.1.
Checksum
47
5.2.2.2.
MD5
48
Capítulo 6. ¿Qué elementos se debe analizar?
49
6.1.
¿Qué es un sistema vivo y un sistema muerto?
61
6.2.
Analizar Sistemas Vivos y Sistemas Muertos.
61
6.3.
Software Aplicable para sistema vivo y un sistema muerto.
62
6.4.
Examinadores de Evidencia Digital.
63
8
6.5.
El reconocimiento de la Evidencia Digital como Formal y Valida.
Capítulo 7. Presentar la Evidencia Digital.
7.1.
Normas Para la Presentación de la Evidencia Digital.
7.2.
Presentación de la Evidencia.
Capítulo 8. Leyes Ecuatorianas Contra los Delitos Informáticos.
63
65
65
65
68
8.1.
Extracto de las Leyes ecuatorianas sobre el Derecho Informático.
68
8.2.
Extracto de las Normas ISO.
72
8.3. Recomendaciones desde el punto de vista técnico para mejorar las
políticas ecuatorianas.
74
Conclusiones y Recomendaciones
76
Glosario de Términos.
80
Bibliografía.
83
Citas Bibliográficas.
86
9
Índice de Figuras
Título
Página
Figura 2.4.1. Principio de Intercambio LOADCARD.
21
Figura 3.1.1. Equipo de Emergencia.
23
Figura 3.2.1.Personal de Criminalista.
23
Figura 4.1.2.1. Realizar copias a nivel de Bit del Sistema.
30
Figura 4.1.2.2. Generación de código MD5.
31
Figura 4.1.2.3.Código único.
31
Figura 4.1.2.4. Empaquetado de Equipos.
32
Figura 4.1.2.5. Fundas de Electroestática.
32
Figura 4.1.2.6. Transporte de la Evidencia.
33
Figura 4.1.2.7. Laboratorio de Análisis.
33
Figura 4.3.1. Metodología del Trabajo.
37
Figura 6.3.1. Software HELIX.
62
Figura 6.3.2. Software AUTOPSY
63
10
Introducción
Hoy en día estamos en un mundo que casi en su totalidad se encuentra automatizado y
computarizado. Se han generado procesos que mediante el computador facilite la vida
diaria de las personas y los des-complique de tareas tediosas, confusas y complicadas,
dichos procedimientos también han acortando grandes distancias geográficas.
Si bien la tecnología nos ayuda a solucionar problemas, también va de la mano nuevas
formas de delinquir, generando un mundo obscuro y casi inexplorado en nuestro medio,
por dichas razones aun los profesionales del derecho, incluso profesionales informáticos se
encuentran en conflictos cuando se presenta cosos que ameritan su estudio y posterior
sanción.
Vivimos y trabajamos hoy en el mundo de la conectividad global. La accesibilidad al
internet el empuje universal abre las nuevas oportunidades para el criminal sin escrúpulos.
Hasta hace poco tiempo, muchos profesionales de la tecnología de información pusieron
interés en el fenómeno del cibercrimen.
En este sistema de la seguridad del cibercrimen existe una unión entre dos jugadores muy
importantes la ley y el agente que realiza la investigación creando una lucha eficaz contra el
cibercrimen.
Como ya sabemos la Evidencia Digital, por su misma naturaleza, es frágil y puede
alterarse, dañarse o destruirse por un mal manejo. Por estas razones se debe tomar pre11
causaciones especiales para conservar este tipo de evidencias que son sumamente
importantes.
En esta investigación buscaremos una forma correcta, segura y confiable que nos permita la
incautación y preservación de las Evidencias Digitales que se obtienen en un proceso, así
también se dará las pautas para su posterior tratamiento y presentación de las mismas, sin el
menor rango posible de una alteración o contaminación de las evidencias.
En este trabajo investigativo se pretende dar soluciones a los profesionales del derecho, con
una visión informática.
12
CAPÍTULO I
1. ANTECEDENTES
1.1. ¿Qué es la evidencia Digital?
Es un término usado de una manera amplia para describir cualquier registro
generado o almacenado en un sistema computacional que puede ser usado como
evidencia en un proceso legal informático.
La evidencia digital es el proceso de identificación, preservación, análisis y
presentación de evidencias digitales en una forma que sea legalmente aceptable en
cualquier proceso judicial o administrativo.
1.2. Definición de Evidencia Digital.
Existen múltiples definiciones a la fecha sobre evidencia digital, para nuestro
estudio tomaremos la definición de acuerdo con el HB: 171 2003 Guidelines for the
Management of IT Evidence, que dice la evidencia digital es: “Cualquier
información, que sujeta a una intervención humana u otra semejante, ha sido
extraída de un medio informático.
También definimos la evidencia digital de una forma más comprensible diciendo
que son los movimientos realizados en los computadores y están registrados para
una posterior investigación.
13
1.3. Importancia de la Evidencia Digital.
En esta fase se establecen el valor de las evidencias de tal forma que se pueda
identificar las mejoras que permita presentar e identificar de forma clara y eficaz,
los elementos que se desee llevar ajuicio, es decir, redactar lo más importante para
la investigación.
El objetivo es que el ente que valore las pruebas aportadas observe que el análisis
forense aporta los objetivos de prueba más relevantes para el esclarecimiento de los
hechos en discusión, en otras palabras que sirva como prueba dentro de un juicio,
para dicho efecto se bebe tomar en cuenta:
o El valor probatorio.- establece que el registro tenga autenticidad.
o Normas de la evidencia.- hace referencia a que se sigan los procedimientos y
reglas para una adecuada recolección y manejo de las evidencias.
Tal vez este aspecto en un principio no es tomando muy en serio, pero es un aspecto
fundamental puesto que demuestra en grado en el que se encuentra los equipos y sus
contenidos.
1.4. Tratamiento de la Evidencia Digital.
Siendo la evidencia digital información de carácter trascendental en un proceso
judicial informático puede ser copiada con exactitud y compartida para ser revisada
por varios investigadores forenses especializados, y para que en posterior puedan
14
dar sus resultados de manera abierta, sin ocultar nada y todas las personas que estén
involucrados en el caso den su propia opinión sobre los resultados.
1.5. Tipos de Evidencia Digital.
La evidencia digital de acuerdo a su naturaleza y fragilidad se divide en dos grupos
que son:
1.5.1. Evidencia Digital Constante.
En un principio el tipo de la evidencia digital buscada en los equipos
informáticos es de tipo constante o persistente, es decir lo que está almacenado
en discos duros o en otro medio informático, y se mantenía preservada después
que el computador es apagado.
1.5.2. Evidencia Digital Volátil.
También la evidencia es de tipo volátil, es decir, la evidencia digital se
encuentra alojada temporalmente en la memoria RAM, o en el CACHE, son
evidencias que por su naturaleza inestable se pierde cuando se apaga el
computador, este tipo de evidencia debe ser recuperado casi de inmediato.
15
CAPÍTULO II.
2. ASPECTOS TÉCNICOS IMPORTANTES.
2.1. Fuentes de la Evidencia Digital.
En algunos casos se presta a confusiones los términos evidencia digital y evidencia
electrónica, dichos términos pueden ser usados como sinónimos, sin embargo es
necesario poder distinguirlos entre electrónicos que son aparatos como: PCs, 1Flash
memory, CD’s., DVD’s., y lo digital es la información que estos contengan,
clasificando la evidencia digital en tres grupos que son:
2.1.1. Sistemas de computación Abiertos.
Son aquellos que están compuestos por las computadoras de escritorio y todos
sus periféricos, computadores portátiles y los servidores, dado que los
servidores tienen una capacidad enorme para almacenar información en sus
discos duros, hace que se conviertan en una fuente de evidencia digital
importante.
1
Son de carácter no volátil, esto es, la información que almacena no se pierde en cuanto se desconecta de la
corriente, una característica muy valorada para la multitud de usos en los que se emplea este tipo de
memoria.
16
2.1.2. Sistemas de Comunicación.
Están compuestos por redes de telecomunicación, la comunicación
inalámbrica y el Internet, convirtiéndoles en una gran fuente de evidencia
digital e información.
2.1.3. Sistemas Convergentes de Computación.
Estos sistemas son los que están formados por los teléfonos, celulares, los
PDAs, las tarjetas inteligentes, las 2memory stick, el flash memory, y cualquier
aparato electrónico que posea convergencia digital y pueda contener evidencia
digital.
2.2. Características de la Evidencia Digital.
Una característica única de la evidencia computacional es la fragilidad, otra de las
características es la potencialidad al momento de realizar copias sin dejar rastros.
Cuando se dan los incidentes generalmente las personas involucradas intentan
manipular y alterar la evidencia digital, tratando de borrar algún rastro que de
prueba del daño, sin embargo este problema es mitigado con algunas características
que posee la evidencia digital, que a continuación se describen.
2
Es un formato de tarjeta de memoria extraíble
17
2.2.1. Es Volátil.
La evidencia digital se puede perder en cualquier momento. Ej., al momento
de apagar un equipo, de esta forma perderíamos la información que esta
almacenada en la RAM o CAHE del equipo.
2.2.2. Es Anónima.
No se puede saber con exactitud dónde está la evidencia digital.
2.2.3. Es Duplicable.
La evidencia digital puede ser duplicada de forma exacta y se puede sacar una
copia para ser examinada como si fuera la original, esto se hace comúnmente
para no manipular los originales y evitar el riesgo de dañar la evidencia.
2.2.4. Es alterable y Modificable.
Actualmente, con las herramientas existentes, es fácil de comprobar la
evidencia digital con su original y determinar si la evidencia digital ha sido
alterada o modificada, por mínimos o insignificantes que sean los cambios
realizados.
2.2.5. Es Eliminable.
La evidencia digital es muy fácil de eliminar, aun cuando un registro es
borrado del disco duro del computador, y este ha sido formateado por varias
ocasiones, es posible recuperarlo.
18
Cuando los involucrados en un crimen tratan de destruir la evidencia, existen
copias que permanecen en otros sitios.
2.3. Categorías de la Evidencia Digital.
Las categorías en las que se divide la evidencia digital, son tres, que se procede a
describirlas a continuación:
2.3.1. Registros Almacenados en el Equipo de Tecnología Informática.
Son aquellos que son generados por una persona y que son almacenados en un
computador, por ejemplo tenemos un documento realizado con un procesador
de palabras, imágenes, aplicaciones de 3ofimática, correos electrónicos, en
estos registros es importante poder demostrar la identidad de la persona que
genero y probar hechos o afirmaciones contenidas en la evidencia misma. Para
lo que hemos mencionado es importante demostrar que muestren que las
afirmaciones humanas contenidas en la evidencia son reales.
2.3.2. Registros Generados por Equipos de Tecnología Informática.
Estos registros son aquellos que como dice su nombre, son generados por
efecto de la programación de un computador.
Este tipo de registros son inalterables por una persona, se los llama registros de
eventos de seguridad (4logs) y sirven como prueba tras demostrar el correcto y
3
Equipamiento de hardware y software usado para idear y crear, coleccionar, almacenar, manipular y
transmitir digitalmente la información en una oficina para realizar y lograr objetivos básicos.
4
Archivo de registro en el que se van grabando las conversaciones del canal o privadas.
19
adecuado funcionamiento del sistema o computador que genero el registro,
como ejemplos podemos mencionar registros de auditoría, registro de
transacciones, registros de eventos, etc.
2.3.3. Registros que Parcialmente ha sido Generados y Almacenados en
Equipos de Tecnología Informática.
A estos registros se les llama también como registros híbridos ya que
incluyen tanto registros generados por un computador como almacenado en
los mismos. Combinan afirmaciones humanas y los logs, para que los
mismos sirvan como prueba deben de cumplir las dos categorías antes
mencionadas.
2.4. La Dinámica de la Evidencia Digital.
La dinámica de la evidencia digital es la forma como se entiende y se describen los
diferentes factores que actúan sobre las evidencias, a fin de determinar los cambios
que producen sobre ellas.
Se afirma sin lugar a duda de que existen muchos agentes que intervienen sobre la
evidencia digital, aquí se aplica el principio de 5Locard se debe de reconocer la
forma de cómo estos factores puedan alterar la evidencia, y así tener la oportunidad
de manejarla de la manera apropiada, evitando su contaminación, daños y hasta una
perdida por completo.
5
Cuando una persona está en la escena del delito, esta deja algo de si mismo dentro de la escena y a su vez
que cuando sale de ella esta se lleva algo consigo.
20
Los principios de criminalística de Locard y el 6mismisidad se deben de tener como
instrumento de investigación en escenas del crimen y escenas de delitos
informáticos.
A continuación se muestra la figura 2.4.1. que describe de forma grafica el
principio de intercambio.
PRINCIPIO DE INTERCAMBIO
Objeto 1
La interacción causa intercambio de datos
Objeto 2
La interacción causa intercambio de datos
Figura 2.4.1. Principio de Intercambio LOADCARD
Cuando en una escena del delito se tiene que trabajar en condiciones adversas, es
indispensable tomar medidas de seguridad necesarias para en primer lugar la
integridad física y luego incrementar procedimientos adecuados para incrementar
las posibilidades de recuperar las evidencias de la manera más completa.
6
Una cosa es igual a sí misma y diferente de las demás.
21
CAPITULO III
3. FACTORES QUE AFECTAN LA EVIDENCIA DIGITAL.
De lo que hemos dicho en los capítulos anteriores podemos manifestar que los
investigadores forenses nunca tendrán la oportunidad de revisar una escena del delito en
su estado original siempre habrá un factor que haga que haga que las escenas presenten
alguna anomalía o discrepancia.
A continuación se procede a exponer algunas de las posibles situaciones en donde se ve
afectada la escena del delito informático.
3.1. Equipo de Emergencia.
En el caso de un incendio, los sistemas informáticos pueden ser afectados por el
fuego y el humo, posteriormente se ven sometidos a una gran cantidad de agua al
tratar de apagar el incendio.
Esto va a provocar que los técnicos forenses no puedan determinar a ciencia cierta
si los sistemas informáticos encontrados en la escena estuvieron comprometidos,
fueron atacados o usados indebidamente.
En otras ocasiones los equipos de emergencia manipulan la escena cuando es
necesario para salvar la vida de una persona.
22
Figura 3.1.1. Equipo de Emergencia.
3.2. Personal de Criminalista.
En algunas ocasiones el personal de criminalística por accidente cambia, reubica o
altera la evidencia. Como un claro ejemplo tenemos en el caso de que quiera sacar
una muestra de sangre de una gota precipitada sobre un disquete o disco compacto
mediante el uso de escarpelo, esto puede comprometer accidentalmente los datos e
información almacenada en dichos soportes.
Figura 3.2.1.Personal de Criminalista.
3.3. Acciones de la Victima.
La víctima de un delito, pueden borrar correos electrónicos que le causen aflicción
o le provoquen alguna situación embarazosa.
23
3.4. El Sospechoso o Imputado Tratando de Cubrir sus Rastros.
Cuando el sospechoso o imputado deliberadamente borra o altera los datos,
registrados u otros mensajes de datos considerados como evidencia dentro de un
disco duro.
3.5. Transferencia Secundaria.
Hay ocasiones, en la que los sistemas informáticos usados en el sometimiento del
delito informático, son usados posteriormente por alguna persona de forma
inocente, causando con ello la destrucción y alteración de la evidencia.
3.6. Testigos.
Se puede dar que un administrador del sistema pueda borrar cuentas de usuario
sospechosas, las mismas que fueron creadas por un intruso, a fin de prevenir su
acceso y utilización futura.
3.7. Clima y la Naturaleza.
Los campos electromagnéticos pueden corromper la información guardada en los
discos magnéticos.
3.8. Descomposición.
La información que esta almacenada en discos magnéticos o en otros soportes en
algunos casos puede perderse o tornarse ilegible para los sistemas de información, a
causa del tiempo y de las malas condiciones de almacenamiento.
24
En resumen debemos entender que los factores humanos, de la naturaleza y los propios
equipos informáticos pueden alterar, borrar o destruir la evidencia. Debemos
comprender como estas variables actúan sobre la escena misma del delito, por tanto se
debe encaminar la investigación desde su etapa más temprana tomando en cuenta
dichos cambios a fin de adecuar el mejor método para adquirir, preservar y luego
analizar las evidencias obtenidas y así reducir de manera considerable los posibles
efectos de los factores que afectan la evidencia digital
25
CAPÍTULO IV
4. CADENA DE CUSTODIA
La cadena de custodia es la aplicación de una serie de normas tendientes a serrar,
embalar y proteger cada uno de los elementos probatorios para evitar su destrucción,
suplantación o contaminación, lo que podría implicar serios tropiezos en la investigación
de una conducta punible.
Por otra parte se define como el procedimiento establecido por las normatividad jurídica,
que tiene el propósito de garantizar la integridad, conservación e inalterabilidad de
elementos materiales de pruebas.
Así mismo se considera necesario mencionar, como elemento complementario para
aumentar la protección de la evidencia digital, el concepto de cadena de custodia.
Se debe aplicar la cadena de custodia a los elementos físicos materia de prueba, para
garantizar la autenticidad de los mismos acreditando su identidad y estado original, las
personas que intervienen en la recolección, envió, manejo, análisis y conservación de los
elementos, así mismo los cambios hechos en ellos por cada custodio.
”La cadena de custodia se inicia en el lugar donde se obtiene, encuentre o recaude el
elemento físico de prueba y finaliza por orden de la autoridad competente.”
26
Son responsables de la aplicación de la cadena de custodia todos los servidores públicos
y los particulares que tengan relación con estos elementos.
4.1. Metodologías del Análisis.
La cadena de custodia es el conjunto de pasos o procedimientos seguidos para
preservar la prueba digital que permita convertirla y usarla como evidencia digital
en el proceso judicial.
o No existe un estándar ampliamente reconocido de forma pública.
o Existen procedimientos reconocidos públicamente como robustos a la hora
de preservar la información digital.
o Existen diferentes procesos de estandarización en los que colaboran fuerzas
de la ley, investigadores y expertos.
4.1.1. Identificar la Evidencia Digital.
Es muy importante conocer los antecedentes, situación actual y el proceso que se
quiere seguir para poder tomar la mejor decisión con respecto a las búsquedas y la
estrategia de investigación. Incluye muchas veces la identificación del bien
informático, su uso dentro de la red, el inicio de la cadena de custodia (proceso que
verifica la integridad y manejo adecuado de la evidencia), la revisión del entorno
legal que protege el bien y del apoyo para la toma de decisión con respecto al
siguiente paso una vez revisados los resultados.
27
Es importante clasificar los conceptos y describir la terminología adecuada que nos
señale el rol que tiene un sistema informático dentro del 7 iter criminist. Esto a fin
de encaminar correctamente el tipo de investigación, la obtención de indicios y
posteriormente los elementos probatorios necesarios para sostener nuestro caso.
A continuación citamos un ejemplo para entender de forma correcta lo que es la
identificación de la evidencia digital.
El procedimiento de una investigación por homicidio que tenga que relación con
evidencia digital, será totalmente distinto al que utilice en un fraude informático,
por tanto el rol que cumpla el sistema informático determina, donde debe ser
ubicada y donde debe ser usada.
4.1.2. Preservar la Evidencia Digital.
Este paso incluye la revisión y generación de las imágenes forenses de la
evidencia para poder realizar el análisis. Dicha duplicación se realiza
utilizando tecnología de punta para poder mantener la integridad de la
evidencia y la cadena de custodia que se requiere. Al realizar una imagen
forense, nos referimos al proceso que se requiere para generar una copia “bita-bit” de todo el disco, el cual permitirá recuperar en el siguiente paso, toda la
información contenida y borrada del disco duro. Para evitar la contaminación
del disco duro, normalmente se ocupan bloqueadores de escritura de hardware,
los cuales evitan el contacto de lectura con el disco, lo que provocaría una
alteración no deseada en los medios.
7
Camino del delito
28
Para la correcta preservación de la evidencia digital se debe seguir los
siguientes pasos, que a continuación vamos a detallar.
a) Si el dispositivo del cual tenemos que hacer una copia de su sistema
de almacenamiento esta encendido, extraerlo siempre que sea posible
y ponerlo en una estación de trabajo para la adquisición de datos.
b) Si por alguna circunstancia no es posible, arrancar el sistema donde
está dicho dispositivo con un sistema operativo auto arrancable,
desde CD o disquete, sin instalar nada en el sistema.
c) Toda evidencia digital guardada en dispositivos de almacenamiento,
y por otro tanto almacenamiento en ficheros, debe ser copiado
mediante procedimiento de software que no altere la evidencia.
d) Realizar una imagen a nivel de bit de sistema de almacenamiento del
dispositivo.
o Extraer el dispositivo origen a copiar
o Usar un dispositivo destino para el almacenamiento de la
información
o Usar una conexión de red, 8Ethernet, cable cruzado, para
transferir el contenido del disco al otro dispositivo de
almacenamiento.
8
Es un estándar de redes de computadoras de área local con acceso.
29
Figura 4.1.2.1. Realizar copias a nivel de Bit del Sistema.
e) Retención de tiempos y fechas.
o El tiempo y la fecha de creación o modificación de un fichero
puede ser un aspecto importante en un asunto de delito
informático.
o Los archivos puede que no sean correspondientes con la fecha
real.
o Para ello se debe anotar fecha y hora del sistema antes de
apagarlo.
f) Preservar datos de dispositivos de mano como PDAs, 9PocketPCs,
etc.
o Existen programas que duplican los datos que se están
ejecutando sobre el sistema operativo de los dispositivos de
mano.
o Estos programas crean una imagen completa de la memoria
del dispositivo, incluyendo las aplicaciones, datos de usuario
9
Se trata de un pequeño ordenador, diseñado para ocupar el mínimo espacio y ser fácilmente transportable
que ejecuta el sistema operativo Windows CE de Microsoft entre otros, el cual le proporciona capacidades
similares a los PCs de escritorio.
30
y datos de marcado para borrar (estos datos no se borran hasta
la siguiente sincronización de sesión).
g) Realizar los procesos de Checksum criptográfico de la copia y del
original
Existen dos métodos utilizados para la generación de hash, ejemplo:
la generación de código MD5.
Figura 4.1.2.2. Generación de código MD5.
h) Documentar quien preservo la evidencia, donde la preservo, como lo
hizo, cuándo y por qué.
i) Empaquetar los dispositivos que contienen las evidencias. Los
detalles
mínimos
que
beben
ser
registrados,
directos
e
inequivocadamente atribuidos a cada paquete son:
o Identificador único.
Figura 4.1.2.3.Código único.
o Nombre de la persona y organización (fuerza de la policía,
departamento técnico, etc.), responsable de la recolección y
empaquetado del material.
o Breve descripción del material.
o Localización desde donde y a quien fue incautado.
31
o Día y hora de la incautación.
Figura 4.1.2.4. Empaquetado de Equipos.
j) Los dispositivos magnéticos u ópticos (cintas, CDs, discos duros,
disquetes, discos ZIP,
10
JAZ) que expongan placas deben ser
primeramente introducidos en bolsas antiestáticas y después ponerla
en una caja cuyo interior podamos rellenarla con “plásticos con
burbujas” u otro material protector.
Figura 4.1.2.5. Fundas de Electroestática.
k) Documentación en papel (como manuales y libros) en bolsas de
plástico para proteger de daños.
l) Toda persona involucrada en un examen forense debería tomar las
precauciones necesarias para preservar las evidencias de factores
externos tales como electricidad estática, excesivo calor, excesiva
humedad documentando el hecho.
10
Antiguo dispositivo de almacenamiento que utiliza cartuchos que internamente
son muy parecidos a un disco duro.
32
m) Transportar los documentos que contienen las evidencias.
Figura 4.1.2.6. Transporte de la Evidencia.
n) Toda evidencia debe ser transportada a un lugar seguro y cerrado.
Figura 4.1.2.7. Laboratorio de Análisis.
o) La cadena de custodia se debe mantener durante el transporte
4.1.3. Analizar la Evidencia Digital.
Proceso de aplicar técnicas científicas y analíticas a los medios duplicados por
medio del proceso forense para poder encontrar pruebas de ciertas conductas.
Se pueden realizar búsquedas de cadenas de caracteres, acciones específicas
del o de los usuarios de la máquina como son el uso de dispositivos de USB
(marca, modelo), búsqueda de archivos específicos, recuperación e
identificación de correos electrónicos, recuperación de los últimos sitios
visitados, recuperación del caché del navegador de Internet, etc.
El investigador debe intentar contestar a las siguientes preguntas en el análisis
de la evidencia digital.
1) ¿Quién?
33
Reunir la información él/los individuo/s involucrados en el
compromiso.
2) ¿Qué?
Determinar la naturaleza exacta de los eventos ocurridos.
3) ¿Cuándo?
Reconstruir la secuencia temporal de los hechos.
4) ¿Cómo?
Descubrir que herramientas o 11exploits se han usado para cometer el
delito.
La evidencia almacenada debe ser analizada para extraer la información
relevante y recrear la cadena de eventos sucedidos.
Cualquier elemento enviado para su análisis debería ser en primer lugar
revisado para comprobar la integridad del paquete antes de empezar dicho
análisis.
Es importante que el cliente especifique que información es importante.
Analizar las evidencias digitales va a depender del tipo de datos a analizar, del
tipo de sistema en el cual se clasifique el dispositivo comprometido
(ordenadores, dispositivos móviles, etc.).
En el peor de los casos el investigador forense deberá analizar todas las
evidencias digitales que posea para resolver el caso.
Existen cuatro categorías de datos:
11
Es un programa o técnica que aprovecha una vulnerabilidad.
34
1) Datos lógicamente accesibles. Son los datos más comunes, las
dificultades que podemos encontrar en estos datos son:
o Que haya una gran cantidad de información a analizar (los
actuales dispositivos de almacenamiento pueden contener una
cantidad inimaginable de ficheros).
o Que estén cifrados, si están cifrados con programas como por
ejemplo Office que es el más fácil de romper la clave; en
otros casos como puede ser al usar PGP) es virtualmente
imposible romperlo.
o Que estén corruptos o que tengan trampa (por ejemplo código
12
hostil que al producirse cierta situación puede hacerse que
se formatee el disco duro, etc.).
2) Datos que han sido eliminados. Si aun no han sido sobre escritos se
puede recuperarlos para un posterior análisis.
3) Datos en
13
“ambient data” espacio no asignado, ficheros de
14
swap/page file, espacio entre sectores, espacio entre particiones,
15
datastreams alternativos, etc., este tipo de datos necesita software
especial para poder ser recuperados.
12
Troyanos, Virus, etc., que aceden a la PC para atacarla.
13
Datos en localizaciones no visibles de forma fácil en sistemas de ficheros.
14
Memoria Virtual.
15
Datos en flujo continuo.
35
4) Datos en
16
estenografía Los forenses informáticos pueden usar
técnicas estenográficas para buscar información oculta en el sistema.
4.1.4. Presentación de la Evidencia Digital.
Es el recopilar toda la información que se obtuvo a partir del análisis para
realizar el reporte y la presentación a los abogados, la generación (si es el
caso) de una pericial y de su correcta interpretación sin hacer uso de
tecnicismos.
Si la prueba que se pretende hacer valer es el fundamento de la pretensión
principal dentro de un proceso es claro que entonces este debe incorporada al
momento de la presentación de la demanda o de la contestación de la misma
según sea el caso. Es claro así mismo, que aun si la parte no promueve la
evidencia si el juez del proceso conoce de la existencia de la misma este pude
de solicitar de oficio que esta sea decretada, siempre y cuando las considere
útiles para la verificación de los hechos relacionados con las alegaciones de las
partes.
4.2. ¿Por qué el Análisis Forense?
El análisis forense permite descubrir el origen del atacante, identificar
detalladamente las acciones realizadas, determinarlas herramientas y los métodos
16
Espacio no asignado por el cual se puede ocultar datos dentro del fichero.
36
utilizados, y lo más importante descubrir las vulnerabilidades que lo han hecho
posible.
Todo esto tiene el objetivo de poder fortificar el sistema ante futuros incidentes. De
este modo no solo se trata
de proteger a la empresa de incidentes, también
podemos definir el alcance de los mismos y tomar las medidas oportunas.
4.3. Metodologías de Trabajo.
Se ha desarrollado una metodología propietaria de trabajo que garantiza la
validación y la preservación de los datos que se adquieren en el proceso de análisis
forense.
Metodología del Trabajo
Presentar
Analizar
Preservar
Identificar
t
Figura 4.3.1. Metodología del Trabajo.
37
Los pasos y acciones realizadas, incluyendo posibles modificaciones a cualquier
evidencia, se documentan detalladamente.
Las tareas de investigación se realizan sobre una copia de la información y nunca
sobre la evidencia original. De hecho la metodología contempla diversos métodos
de adquisición de datos como ejemplo tenemos: La duplicación de un disco duro.
4.3.1. Fases del Análisis.
Nos vamos a centrar en dos Fases a la hora de reconstruir los hechos:
1. El estudio del sistema informático (La victima). Engloba los diferentes
procesos necesarios para recopilar la evidencia de forma adecuada y
permitir su posterior análisis, se estudia por ejemplo:
o Recuperar información borrada,
o Buscar información sospechosa,
o Comprobar si han existido accesos no autorizados,
o Detectar los métodos de acceso de posibles intrusos,
o Detectar los posibles troyanos instalados,
o Crear un esquema temporal de incidentes de seguridad.
2. Escenario de la incidencia (Físico y Lógico). Engloba procesos externos al
sistema en cuestión, se estudia por ejemplo:
o Los log de los cortafuego,
o ID’s u otros dispositivos de red,
38
o Se revisa físicamente el sistema informático y red de comunicación.
4.3.2. Escenarios Típicos del Análisis Forense.
Los escenarios típicos para el análisis forense son:
o Filtraciones de documentaciones confidenciales,
o Accesos no autorizados,
o Comportamiento anómalo del sistema,
o Problemas nacidos del personal interno,
o Destrucción de datos,
o Uso no autorizado del material.
39
CAPITULO V
5. IDENTIFICAR LA EVIDENCIA DIGITAL
Para la correcta identificación de la evidencia digital se debe realizar los siguientes paso
se describen a continuación.
5.1. Una Conversación Inicial.
Es el primer paso de cualquier análisis forense, nos deben o debemos explicar con la
mayor exactitud posible qué ha ocurrido, qué se llevaron o intentaron llevar y
cuándo ocurrió, también tendremos que recoger información sobre la organización,
ya sea organización, casa, etc., recogeremos información sobre la tipología de red y
de gente directa o indirectamente implicada, también podríamos recoger
información sobre el tipo de escenario y el/los sistema/s afectado/s
5.2. Asegurar la Evidencia Digital.
El primer pasó en un proceso de investigación informática forense, al igual que en
cualquier otro proceso criminal, es 17asegurar la escena del delito informático.
Este primer módulo, idealmente, debería ser realizado por un cuerpo de seguridad
del Estado: Guardia Civil, Policía Nacional, etc. junto a un experto en Informática
Forense.
17
Restringir el acceso a la zona del delito para no modificar evidencias
40
Como esta situación es bastante ideal y el proceso de aseguramiento se debe hacer
lo más rápido posible, aunque la exactitud debe primar sobre la rapidez en todas las
fases, este módulo debe ser realizado por una persona “competente” de la
organización implicada que pueda explicar los pasos que ha realizado y la
implicación de sus acciones.
5.2.1. Física.
Normalmente los administradores de los sistemas informáticos serán los
primeros en tener contacto con la escena del delito y junto a equipo de
respuesta de incidentes realizarán los primeros pasos para “congelar” la
escena del delito.
El rol fundamental de las primeras personas en responder al delito es “no
hacer nada que pueda producir daño”.
A menos que se esté específicamente entrenado en respuesta a incidentes, la
persona que primero llegue a la escena no debería realizar nada de lo que no
esté seguro de sus consecuencias.
Es muy fácil que un astuto criminal informático inserte un troyano o código
hostil que destruya evidencias automáticamente al apagar el ordenador,
resetearlo, etc.
Es muy importante que una persona sea asignada con autoridad suficiente
para tomar decisiones finales que aseguren la escena del delito, conducir las
41
búsquedas de evidencias y preservar las mismas. Este rol normalmente debe
ser asumido por el jefe del equipo forense.
5.2.1.1.
Realizar imágenes de la Evidencia Digital encontrada.
Esta es la fase más importante y crítica de la metodología, puesto que
una vez que se haya comprobado el delito informático la empresa o
institución dañada normalmente deseará llevar a un proceso judicial
al atacante.
Para ello es necesario poseer evidencias digitales preservadas de tal
forma que no haya duda alguna de su verosimilitud y siempre de
acuerdo a las leyes vigentes.
Este proceso de preservación se debe realizar tan pronto como sea
posible.
Siempre que sea posible hay que evitar los cambios en las evidencias
y si no se logra, registrarlo, documentarlo y justificarlo, siempre que
sea posible con testigos que puedan corroborar las acciones.
Recordemos que las primeras evidencias que hay que obtener son las
volátiles, que al guardarlas en ficheros se convertirán en evidencias
no volátiles.
Pasos para
realizar
imágenes de
las
evidencias digitales
encontradas:
42
- Si el dispositivo del cual tenemos que hacer copia de su sistema de
almacenamiento está encendido, extraerlo siempre que sea posible y
ponerlo en una estación de trabajo para la adquisición de datos. Si por
cualquier circunstancia no es posible, arrancar el sistema donde está
dicho dispositivo con un sistema operativo autoarrancable, desde
disquete o CD, sin instalar nada en el sistema.
- Toda evidencia digital guardada en dispositivos de almacenamiento,
y por tanto almacenado en un sistema de ficheros, debe ser copiado
mediante procedimientos software que no alteren la evidencia y que
sean admisibles en un tribunal de justicia. Para ello realizar una
imagen a nivel de bit del sistema de almacenamiento del dispositivo.
Una imagen a nivel de bits es una copia que registra cada bit que fue
grabado en el dispositivo de almacenamiento original, incluyendo
ficheros ocultos, ficheros temporales, ficheros corruptos, ficheros
fragmentados y ficheros borrados que todavía no han sido
sobrescritos. Estas imágenes usan un método CRC para validar que la
copia es la misma que el original.
- Formas para crear duplicados a nivel de bit de los discos de
almacenamiento de información.
o Extraer el dispositivo origen a copiar.
43
o Usar un dispositivo destino para el almacenamiento de la
información; se recomienda algún RAID ya que aseguran
redundancia y disponibilidad de los datos.
o Usar una conexión de red, conexión Ethernet, cable cruzado,
USB, etc., para transferir el contenido del disco al otro
dispositivo de almacenamiento.
Qué método usar dependen del equipamiento que se tenga a
mano. Lo mejor, aunque también lo más caro, es una estación de
trabajo portátil o un dispositivo de creación de imágenes.
Teniendo sistemas de almacenamiento de capacidad menor a 700
Mb se puede usar un CD que no sea regrabable para realizar la
imagen. Si esta capacidad es menor a 17 Gb se podría usar un
DVD no regrabable. Usando CDs o DVDs se asegura la
integridad de los datos, puesto que en estos dispositivos no puede
ser modificado.
- Retención de tiempos y fechas. El tiempo y fecha de creación o
modificación de un fichero puede ser un importante asunto en un
delito. Si el usuario puede tener el sistema sin configurar
apropiadamente el tiempo o deliberadamente cambiar las propiedades
de fecha y hora, los ficheros puede que no sean correspondientes con
la fecha real. Esto puede ser un problema si, por ejemplo, el sistema
de registro muestra que un fichero fue creado en una fecha concreta y
44
el sospechoso es capaz de probar que esa fecha no usó el ordenador.
Por ello se debe anotar hora y fecha del sistema antes de apagarlo,
documentando el hecho. Además puede ser prudente fotografiar la
pantalla mostrando el acceso a ficheros o tiempos de modificación
antes de abrir dichos ficheros. También tener en cuenta el desfase
horario que pueda haber entre el dispositivo que contiene la evidencia
y el horario real, documentado este desfase. Siempre que sea posible
trabajar con zonas de tiempo GMT. El delito puede involucrar varias
zonas de tiempo y usando GMT puede ser un punto de referencia que
haga el análisis de las evidencias más sencillo.
- Preservar datos de dispositivos de mano como PDAs, PocketPCs,
etc. Existen programas que duplican los datos que se están ejecutando
sobre el sistema operativo de los dispositivos de mano. Estos
programas crean una imagen completa de la memoria del dispositivo,
incluidas las aplicaciones, datos de usuario y datos marcados para
borrar (estos elementos no se borran hasta la siguiente sesión de
sincronización). También se ofrece información sobre la versión del
sistema operativo, información sobre el procesador, RAM, ROM, etc.
Si no se posee una herramienta otra forma de hacer imágenes de la
información es copiar los ficheros relevantes a una tarjeta de
memoria.
45
5.2.1.2.
Métodos para realizar Imágenes.
El método que se recomienda para realizar imágenes de la evidencia
digital encontrada es generar los procesos de checksum criptográfico
de la copia y del original.
Mediante el método de checksum criptográfico, proceso de
generación de la integridad de un fichero, conjunto de ficheros o de
toda la información contenida en un dispositivo de almacenamiento,
se garantiza que la evidencia no será alterada en ni un solo bit.
5.2.1.3.
Software Aplicable.
El software que se debe aplicar para la realización de imágenes de la
evidencia digital encontrada debe ser:
De preferencia software libre, caso contrario se debe disponer de las
licencias respectivas del uso del software.
El software no debe contaminar o modificar en lo mas mínimo la
evidencia.
Debe ser de fácil interpretación al momento de presentar las pruebas,
etc.
46
5.2.2. Lógica.
Datos lógicamente accesibles. Son los datos más comunes. Las dificultades
que podemos encontrar en estos datos son:
o Que haya una gran cantidad de información a analizar.
o Que estén cifrados.
o
5.2.2.1.
Que estén corruptos o que tengan trampas.
Checksum
El proceso es sencillo; generar el checksum significa generar un
18
hash, valor único para un determinado conjunto de bytes, de la
evidencia. Esto es posible dado que los algoritmos criptográficos de
hash son cuidadosamente seleccionados para ser funciones de un solo
sentido, dado un determinado checksum criptográfico para un
mensaje, es virtualmente imposible adivinar qué mensaje produjo ese
checksum. Dicho de otra manera, no es posible hallar mediante
cómputos dos
mensajes que
generen
el
mismo checksum
criptográfico.
18
No es más que un número, hexadecimal generalmente, resumen; un compendio de bits que dependen bit
a bit de un conjunto de bits original. Dicho conjunto de bits original puede ser un fichero, una cadena de
texto, etc.
47
5.2.2.2.
MD5
Gracias a determinado software especializado y algoritmos de
verificación de checksum (como MD5) se comprueba que si la
evidencia no se ha alterado, produce un hash idéntico al original.
También podemos usar firma digital para realizar el proceso de
autenticación de la copia y del original, puesto que debido a sus
características (única, no falsificable, fácil de autenticar, barata y
fácil de generar) es ideal para este proceso.
48
CAPÍTULO VI
6. ¿QUÉ ELEMENTOS SE DEBE ANALIZAR?
Los elementos que se deben analizar se muestran en la lista que se detalla a
continuación.
a) Sistemas informáticos.
o Sistemas Windows.
i. Registro del Sistema.
ii. Contenido de Sistema de Fichero Cifrados (EFS).
iii. FAT o MTF (Tablas de Metadatos de sistemas de ficheros
Windows).
iv. Fichero BITMAP (Fichero creado durante el formateo de volúmenes
NTFS para Windows NT y superiores).
v. Papelera de reciclaje.
vi. Ficheros de acceso directo.
vii. Active Directory (Windows 2000 y superiores).
viii. Log de visor de eventos.
49
o Sistemas Unix/Linux.
i. Listado descriptores de ficheros.
ii. Ficheros SUID/SGID.
iii. Trabajos planificados (schedule jobs).
iv. Ficheros del historial de la shell.
Localización común de evidencias en los sistemas mencionados anteriormente y
otros como pueden ser Solaris, SPARC, MVS, etc.:
o Evidencias volátiles.
o Mensajes de correo electrónico.
o Ficheros de trabajo de impresión.
o Archivos temporales de los browsers.
o Cache de los browsers.
o Historiales de los 19browsers.
o Favoritos de los browsers.
o Ficheros de 20cookies de los browsers.
19
Explorador de la web.
20
Las cookies son pequeños archivos de texto que son descargados automáticamente (si está permitido por
las reglas de seguridad) al navegar en una página web específica.
50
o Logs del sistema operativo.
o Logs de aplicaciones.
o Logs de clientes de 21chat.
o Documentos de texto (cuyas extensiones pueden ser doc, wpd, wps, rtf, txt,
etc.).
o Hojas de cálculo (cuyas extensiones pueden ser xls, wgl, wkl, etc.).
o Ficheros gráficos (cuyas extensiones pueden ser jpg, gif, tif, bmp, etc.).
Otras localizaciones “no tan visibles” (conocido como “ambient data”) que
necesitan software especializado para poder ser obtenida la evidencia digital:
o FileSlack (Espacio entre el final de un fichero y el final del cluster en el que
se encuentra).
o Ficheros de intercambio (Swap File y Page File).
o Espacio no asignado (Unallocate space).
o Espacio entre sectores.
o Espacio entre particiones.
21
Recurso en Internet que permite comunicarse en forma de texto con otros usuarios
51
Otras evidencias (como por ejemplo imágenes que usen estenografía para ocultar otros
datos) pueden encontrase en los sistemas de ficheros de otros dispositivos distintos a los
anteriormente mencionados (como CDs, DVDs, etc.) o memorias o 22buffers propios de
otros dispositivos (escáneres, impresoras, cámaras de fotos digitales, cámaras de vídeo
digitales, etc.).
b) Redes
o Información proporcionada por la tarjeta de red (dirección MAC, dirección
IP.).
o Tabla de direcciones IP asignadas por el servidor DHCP.
o Cache de ARP.
o Logs del IDS.
o Memoria del IDS.
o Logs del 23firewall.
o Memoria del firewall.
o Logs de servidores (Web, FTP, de correo electrónico).
o Mensajes de correo electrónico almacenados en el servidor.
22
Memoria de almacenamiento temporal de información.
23
Herramienta de seguridad que controla el tráfico de entrada/salida de una red.
52
o Logs de24 modems.
o Información de 25routers:
o Logs del router.
i. RAM con información de configuración.
ii. Cache ARP.
o Datagramas almacenados cuando el tráfico es alto.
o Información de servidores 26DIAL-UP (Servidores ISP).
o Logs del servidor DIAL-UP.
o Memoria del servidor DIAL-UP.
o Logs del servidor de autentificación.
o Memoria del servidor de autentificación.
o Logs del servidor VPN.
o Memoria del servidor VPN.
24
Periférico de entrada/salida, que puede ser interno o externo a una computadora, y sirve para a conectar
una línea telefónica con la computadora.
25
Dispositivo hardware o software para interconexión de redes de computadoras que opera en la capa tres
(nivel de red) del modelo OSI.
26
Conexión a una red como Internet a través de un módem y una línea telefónica.
53
c) Redes inalámbricas.
Dentro de las redes inalámbricas debemos diferenciar 2 tipos:
o Redes LAN Inalámbricas (Wireless LAN):
i. Información proporcionada por las tarjetas inalámbricas de red
(direcciones MAC, direcciones IP, etc.).
ii. Puntos de acceso.
iii. Logs de modems wireless.
o Redes inalámbricas basadas en conmutación de:
i. OMC. Realiza tareas administrativas como obtener datos de la MSC
para propósitos de facturación y administra los datos de la HLR.
Además, proporciona una visión del estatus de operación de la red, la
actividad de red y las alarmas. A través de éste, es posible examinar
una o rastrear una llamada móvil particular en progreso.
ii. Registros de facturación CDR.
iii. Registros que contienen información para cada llamada realizada,
como número que se llamó, el día de la llamada, duración, entre
otros, organizados por clientes para efectos de facturación. Estos
registros son archivados y están disponibles en un periodo
54
aproximado de varios años, dependiendo de las políticas de la
operadora.
iv. HLR. Contiene información del subscriptor, referente a sus
capacidades móviles contratadas (clase de servicio), la identificación
de la unidad móvil, la ubicación actual de la misma ya sea en el área
de cubrimiento de la red proveedora o de otras redes celulares
(roaming), la información de autenticación, el nombre de la cuenta y
la dirección de facturación.
v. VLR. Almacena información física, electrónica y de radio, acerca de
todos los usuarios que están actualmente autenticados dentro de una
red particular del MSC. Dicha información incluye la localización
actual del dispositivo móvil y el estado del mismo (activo, en espera,
etc.).
d) Dispositivos móviles:
o Teléfonos móviles.
i. Log de llamadas (llamadas realizadas, recibidas, perdidas).
ii. Datos (logs de sesiones, números marcados, etc) contenidos en
dispositivos a los que se haya conectado el teléfono móvil
(computadoras de sobremesa, ordenadores portátiles).
55
iii. Ficheros con distinta información almacenada en la tarjeta del móvil
(SIM, código PIN, código PUK). Esta tarjeta es una Smart Card
iv. Chips de memoria Flash (Estas memorias contienen información
sobre el teléfono así como software interno del mismo).
v. Número IMEI.
vi. Números de teléfonos almacenados.
vii. Mensajes de texto.
viii. Configuraciones (lenguaje, día/hora, tono/volumen, etc).
ix. Grabaciones de audio almacenadas.
x. Programas ejecutables almacenados.
xi. Configuraciones de Internet, GPRS, WAP.
o Organizadores de mano (PDAs, Pockets PC, etc.)
i. RAM.
ii. ROM. Memoria en la que se encuentra el sistema operativo y las
aplicaciones base.
56
iii.
27
FLASH-ROM. Memoria en la que podemos guardar aplicaciones y
datos que no queremos perder por un reseteo del dispositivo o porque
no tenga batería.
iv. Datos (de sincronización, contactos, tareas, etc.) contenidos en
dispositivos a los que se en dispositivos a los que se haya conectado
el teléfono móvil (ordenadores de sobremesa, ordenadores portátiles,
teléfonos móviles).
e) Sistemas embebidos.
o Memory sticks y memory cards (Smarts Card y Compact Flash).
Básicamente su recolección de datos es igual que la de un disco duro puesto
que se basan en sistemas de ficheros tipo FAT (normalmente).
Las estructuras de datos en las que se pueden analizar evidencias son:
i. CIS Área oculta que contiene información del fabricante.
ii. MBR En las tarjetas este sector está presente por razones de
compatibilidad y raramente se usará como arranque de un disco duro
(aunque los delincuentes, podría ocultar aquí información).
iii. Sector de arranque.
iv. Se usa junto al MBR para establecer la geometría del dispositivo.
27
Una memoria de semiconductor destinada a ser leída y no destructible.
57
v. FAT. Contiene la lista que describe los cluster ocupados por los
ficheros.
vi. El área de datos que contiene los datos de los ficheros actuales.
f) Otros dispositivos.
Normalmente la mayoría de estos dispositivos serán sistemas embebidos. Debido a
la exclusividad de cada uno de ellos, habrá que conseguir la documentación propia
del dispositivo (a través del fabricante, Internet, etc.) para saber donde puede
almacenar evidencias. Podemos hacer la siguiente clasificación:
o Sistemas de oficina.
i. Teléfonos fijos.
ii. Fax.
iii. Fotocopiadoras.
o Sistemas de comunicación.
i. Enlaces de radio y TV.
ii. Enlaces de satélite.
iii. Sistemas de llamadas.
o Sistemas de transporte.
58
i. GPS.
ii. Sistemas embebidos en coches, trenes, etc., como pueden ser airbag,
sistemas de navegación, cierres electrónicos, etc.
iii. Sistemas de monitorización.
iv. Sistemas de control de tráfico.
v. Sistemas de control de tráfico aéreo.
vi. Sistemas de radar.
o Equipamientos domésticos.
i. Alarmas contra robos.
o Sistemas de mantenimiento de edificios.
i. Sistemas de emergencia (UPS, etc.).
ii. Sistemas de control de acceso.
o Sistemas de registros.
i. Cámaras de circuito cerrado.
o Sistemas de producción.
i. Sistemas CAM.
59
ii. Sistemas CAD.
iii. Sistemas de control de energía (electricidad, agua, gas, etc.).
iv. Sistemas de producción de energía (electricidad, agua, gas, etc.).
v. Sistemas de registro de tiempo.
vi. Sistemas de simulación.
vii. Robots
o Bancos.
i. Cajeros automáticos.
ii. Sistemas de tarjeta de crédito.
o Sistemas médicos.
i. Equipo para imagen y procesamiento (radiografías, resonancias
magnéticas, etc.).
ii. Equipo cardiaco.
iii. Equipo de ventilación.
iv. Equipo de respiración asistida.
v. Equipo de anestesia.
60
vi. Equipo de esterilización.
vii. Equipo de desinfectación.
6.1. ¿Qué es un Sistema Vivo y un Sistema Muerto?
Los sistemas vivos son aquellos en los que se puede analizar cuando el sistema
operativo está funcionando,
Los sistemas muertos son aquellos que se analizan instalando la herramienta desde
otro sistema operativo.
6.2. Analizar Sistemas Vivos y Muertos.
Un análisis de sistema vivo ocurre cuando se está analizando el sistema sospechoso
mientras está funcionando. Este análisis se utiliza mientras que se está produciendo
el incidente y se analiza básicamente: procesos, memoria, ficheros, etc. Después de
que se confirme la amenaza, el sistema puede ser adquirido en una imagen para
conservarlo sin corrupciones posteriores y así realizar análisis de sistema muerto.
Un análisis de sistema muerto, en este caso se utiliza la herramienta desde otro
sistema operativo y con el sistema a investigar en su soporte sin cargar. En este
caso, los datos que se obtienen corresponden a la integridad de archivos, estructura
de ficheros, logs del sistema y datos borrados.
61
6.3. Software Aplicable para los sistemas vivos y los sistemas muertos.
Las herramientas que se utilizan para le analices de la evidencia digital depende
de:
o Licencias de Software,
o No contamine a la Evidencia
o Sean fiable los resultados.
Desde mi criterio recomiendo utilizar las siguientes herramientas:
o Para software Vivo
HELIX
Figura 6.3.1. Software HELIX.
62
o Para sistema Muerto
AUTOPSY
Figura 6.3.2. Software AUTOPSY.
6.4. Examinadores de Evidencia Digital.
Son los responsables de procesar toda la evidencia digital o infamación obtenida por
los técnicos en escenas del crimen informático.
Para estas dichas personas se requiere un alto grado de especialización en el área de
sistemas e información.
6.5. El reconocimiento de la Evidencia Digital como Formal y Valida.
Para que la evidencia digital sea reconocida como formal y valida debe cumplir las
siguientes reglas:
63
o Levantar toda evidencia física, siendo preferible pecar por exceso que por
defecto.
o Manejar lo estrictamente necesario, a fin de no alterarla o contaminarla.
o Evitar contaminarla con software que no garantice un proceso limpio.
o Trabajarla individuamente, procurando que se mantenga la integridad de su
naturaleza.
[BRUNGS, A y JAMIESON, R. 2003]. “La evidencia digital en la administración
de justicia en muchas partes del mundo continua siendo una situación problemática
por resolver.” Dada las características mencionadas previamente, se hace un
elemento que requiere un tratamiento especial, más allá de las características legales
requeridas, pues éstas deben estar articuladas con los esfuerzos de seguridad de la
información vigentes en las organizaciones.
64
CAPÍTULO VII
7. PRESENTAR LA EVIDENCIA DIGITAL
7.1. Normas Para la Presentación de la Evidencia Digital.
Para que la presentación de la evidencia digital sea reconocida hay que seguir los s
siguientes:
1. Demostrar con hechos y documentación que los procedimientos aplicados para
recolectar y analizar los registros electrónicos son razonables y robustos.
2. Verificar y validar con pruebas que los resultados obtenidos luego de efectuar el
análisis de los datos, son repetibles y verificables por un tercero especializado.
3. Auditar periódicamente los procesos de recolección y análisis de registros
electrónicos, de tal manera que se pone cada vez mejor formalidad y detalles en
los análisis efectuados.
4. Fortalecer las políticas, procesos y procedimientos de seguridad de la
información asociados con el manejo de la evidencia digital.
5. Procurar certificaciones profesionales y corporativas en temas relacionados con
computación forense.
7.2. Presentación de la Evidencia
Basándose en las fases anteriores, en toda la documentación disponible del caso y
basándose también en la cadena de custodia, la presentación y/o sustentación del
65
informe pericial es la fase de comunicar el significado de la evidencia digital, los
hechos, sus conclusiones y justificar el procedimiento empleado.
El propósito de la presentación de los informes es proporcionar al lector toda la
información relevante de las evidencias de forma clara, concisa, estructurada y sin
ambigüedad para hacer la tarea de asimilación de la información tan fácil como sea
posible.
La forma de presentación es muy importante y debe ser entendible por personas no
conocedoras del tema en discusión.
Es decisivo que el investigador presente las evidencias en un formato sencillo de
entender, acompañado de explicaciones que eviten la jerga y la terminología
técnica.
Durante un juicio la investigación debe presentar evidencias informáticas de una
manera lógica, precisa y persuasiva de forma que el jurado entenderá y que el
abogado de la parte opuesta no podrá contradecir.
Esto requiere que las acciones del experto forense puedan ser reconstruidas paso a
paso con fechas, horas, cuadros y gráficos (el uso de programas como Excel, Word,
PowerPoint, etc. puede ser de gran ayuda en este punto).
Si el abogado del sospechoso es capaz de levantar dudas sobre la integridad de la
prueba o si es capaz de demostrar que el investigador realizó algún procedimiento
no sustentable, todo el informe puede ser rechazado.
66
Es importante, más allá de lo que esté escrito en el informe pericial, que el
investigador sepa sustentar correctamente ante jurado cada tarea realizada en sus
investigación.
67
CAPÍTULO VIII
8. LEYES ECUATORIANAS CONTRA LOS DELITOS
INFORMÁTICOS
8.1. Extracto de las Leyes ecuatorianas sobre el Derecho Informático.
Libro II
Código Penal
Título II: Delitos contra las garantías constitucionales y la igualdad racial
Capítulo V: Delitos contra la inviolabilidad del secreto.
Art. 202 Literal A): “El que empleando cualquier medio electrónico, informático o
afín, violentare claves o sistemas de seguridad para acceder u obtener información
protegida, contenida en sistemas de información para vulnerar el secreto,
confidencialidad o reserva o simplemente vulnerar la seguridad, será reprimido con
prisión de seis meses a un año y multa de quinientos a mil dólares de los estado
Unidos de Norteamérica.
Si la información obtenida se refiere a seguridad nacional, o secretos
comerciales o industriales, la pena será de uno a tres años y multa de mil a mil
quinientos dólares de los Estados Unidos de Norteamérica.
68
La divulgación o la utilización fraudulenta de la información protegida, así como los
secretos comerciales o industriales serán sancionadas con pena de reclusión menor
de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de
Norteamérica
Si la divulgación o la utilización fraudulenta se realizan por parte de la persona o
personas encargadas de la custodia o utilización legitima de la información, estas
serán sancionadas con la pena de reclusión menor de seis a nueve años y multa de
dos mil a diez mil dólares de los Estados Unidos de Norteamérica.”
Art. 202 Literal B): Obtención y utilización no autorizada de información.- La
persona o personas que obtuvieren información sobre datos personales para después
cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de
su titular o titulares, serán sancionadas con pena de dos meses a dos años y multa de
mil a dos mil dólares de los Estados Unidos de Norteamérica.
Título III: De los delitos contra la administración pública.
Capitulo V: De la violación de los deberes de funcionarios públicos, de la
usurpación atributos y de los abusos de autoridad.
Art. 262: “Serán reprimidos con tres a seis años de reclusión menor, todo empleado publico
y toda persona encargada del servicio público, que hubiere maliciosa y
fraudulentamente, destruido o suprimido documentos, títulos, programas, datos,
bases de datos, información o cualquier mensaje de datos contenido en un
69
sistemas de información o red electrónica, de que fueren depositario, en su calidad de tales,
o que les hubiere sido encomendados sin razón de su cargo.”
Título IV: De los delitos contra la fe pública
Capítulo III: De la falsificación de los documentos en general.
Art. 353 Literal A): “Falsificación Electrónicas.- Son reos de falsificación
electrónica la persona que sin ánimo de lucro o para causar un perjuicio a un
tercero, utilizando cualquier medio; alteren o modifiquen mensajes de datos o la
información incluida en estos, que se encuentre contenida en cualquier soporte
material, sistema de información o telemática, ya sea:
1. Alterando un mensaje de datos en alguno de sus elementos o requisitos de
carácter formal o esencial;
2. Simulando un mensaje de datos en todo o en parte, de manera que
introduzca a error sobre su autenticidad;
3. Suponiendo en un acto de intervención de personas que no la han tenido o
atribuyendo a las que han intervenido en el proceso declaraciones o
manifestaciones diferentes de las que hubiere hecho.
4. Estos delitos serán sancionados de acuerdo aló dispuesto en este capítulo.”
70
Título V: De los delitos contra la seguridad pública.
Capítulo VII: Del Incendio y otras destrucciones, de los deterioros o daños.
Art. 415 Literal A) “Daños Informáticos.- El que dolosamente de cualquier modo o
utilizando cualquier método, destruya, altere, inutiliza, suprima o dañe, de forma
temporal o definitiva, los programas, datos, base de datos, información o cualquier
mensaje de datos contenido en un sistema de información o red electrónica, será
reprimido con prisión de seis meses a tres anos y una multa de sesenta a Ciento
cincuenta dólares de Norteamérica.
La pena de prisión será de tres a cinco anos y una multa de doscientos a seiscientos
dólares de Norteamérica cuando se trate de programas datos base de datos,
información cualquier mensaje de datos contenido en un sistema de
información o de red electrónica, destinada aprestar un servicio público o
vinculada con la defensa nacional.”
Art. 415 Literal B) “Si no se tratare de un delito mayor, la destrucción, la
alteración o inutilización de la infraestructura o instalaciones físicas necesarias para
la transmisión, recepción o procesamiento de mensajes de datos, será reprimida con
prisión de ocho meses a cuatro años y multa de doscientos a seiscientos dólares de
los Estados Unidos de Norte América.”
71
8.2. Extracto de las Normas ISO.
Normas ISO 17799 en su numeral 12.1.7.
12.1.7. Recolección de la Evidencia digital.
12.1.7.1. Reglas para la Recolección de la Evidencia Digital.
Es necesario contar con la adecuada evidencia para respaldar una acción contra una
persona u organización. Siempre que esta acción responda a una medida
disciplinaria interna, la evidencia, la evidencia necesaria estará descrita en los
procedimientos internos.
Cuando la acción implica la aplicación de una ley, tanto civil como penal, la
evidencia presentada debe cumplir con las normas de la evidencia establecidas en la
ley pertinente o en las normas especificadas del tribunal en el cual se desarrollará el
caso.
En general estas normas comprenden:
a. Validez de la Evidencia: si se puede o no utilizarse la misma en el tribunal;
b. Peso de la evidencia: la calidad y la totalidad de la misma;
c. Adecuada evidencia de que los controles han funcionado en forma correcta y
consistente (por ejemplo. Evidencia de control de procesos) durante todo el
periodo en que la evidencia a recuperar fue almacenada y procesada por el
sistema.
72
12.1.7.2. Validez de la Evidencia.
Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus
sistemas de información cumplan con los estándares o códigos de practica relativos
a la producción de evidencia valida.
12.1.7.3. Calidad y totalidad de la evidencia.
Para lograr la calidad y la totalidad de la evidencia es necesaria una sólida pista de
la misma. En general, esta pista puede establecerse si se cumple las siguientes
condiciones:
a. Para documentos en papel: el original se almacena en forma segura y se
mantienen registros acerca de quien lo halló, dónde se halló y quién
presenció el hallazgo.
Cualquier investigación debe garantizar que los originales no sean
alterados.
b. Para información en medios informáticos: se deben hacer copias de los
medios removibles y de la información en discos rígidos o en memoria
para garantizar su disponibilidad.
Se debe mantener un registro de todas las acciones realizadas durante el
proceso de copia y éste debe ser presenciad.
Se debe almacenar en forma segura de los medios y del registro.
c. Cuando se detecta un incidente puede no resultar obvio si éste derivará en
una demanda legal.
73
Por consiguiente, existe el riesgo de que la evidencia necesaria sea
destruida accidentalmente antes de que se advierta la gravedad del
incidente.
Es aconsejable involucrar a un abogado o la policía en la primera etapa de
cualquier acción legal contemplada y procurar asesoramiento acerca de la
evidencia requerida.
8.3. Recomendaciones desde el punto de vista técnico para mejorar las
políticas ecuatorianas.
El derecho tiene como finalidad normar la conducta humana. Los actos del hombre
cambian de acuerdo a la época, en la actualidad no existe institución, incluso hogar
en el que no se encuentra un ordenador o un sistema informático.
Hasta hace pocos años era imposible en una red de comunicación mundial como es
el Internet; por lo tanto es menester que todos los países del mundo unan sus
esfuerzos a fin de evitar la propagación de los delitos informáticos.
En el Ecuador, este tipo de actividad delictiva es 28incipiente, como incipiente en s
desarrollo tecnológico.
Últimamente se ha popularizado el uso del Internet, pero no existe regulación legal
acerca de la difusión de la información y transmisión de datos por esta vía, así
también como de su uso.
28
Naciente, primitivo o inicial.
74
Las recomendaciones desde el punto de vista técnico para mejorar las políticas
ecuatorianas son:
Tipificar esta nueva conducta ilícita, en el código penal del Ecuador.
La facilidad tecnológica permite en la actualidad la transferencia electrónica de
fondos, que se puede dar lugar defraudaciones millonarias sin su uso no normado
por la ley, pero en el Ecuador no existe ninguna reglamentación, referente a este
aspecto; así como también, tiene que ver en cuanto a la transferencia de datos.
Es necesario robustecer a las políticas de estado, generando sanciones mas fuertes
para los infractores.
Se debe crear un instituto o ente que se especialice y vigile este tipo de conductas
delictivas.
Además se debe capacitar de forma permanente a los jueces y magistrados, o formar
un grupo de especialistas en derecho informático, que sean capaces o competentes
cuando se presente un caso de estudio.
En nuestro país desde abril del año 2002, en el que los honorables diputados,
aprobaron la Ley de Comercio Electrónico, Mensaje de Datos y Firmas
Electrónicas, no se ha vuelto a tipificar en el código penal las sanciones a los nuevos
delitos informáticos que aparecen conforme avanza la tecnología.
75
9. CONCLUSIONES Y RECOMENDACIONES
10. CONCLUSIO NES
o Las organizaciones deben desarrollar mayor conciencia sobre la evidencia digital
que deben generar fruto de sus operaciones.
o No existe claridad sobre el tiempo de retención de registros electrónicos.
o La carga probatoria de la evidencia digital actualmente recae sobre la experiencia
particular de peritos especializados.
o Es necesario un
29
estándar a nivel nacional sobre la administración de evidencia
digital.
o Se requiere la integración a la administración de justicia de especialistas en
computación forense.
o En nuestro país no hay suficientes especialistas en la materia de manejo de la
evidencia digital.
o Los administradores de la justicia ecuatoriana no se han, ni se preocupan de los
delitos informáticos.
29
Lenguaje común
76
o No hay apoyo del estado a las pocas personas que nos preocupamos del la
delincuencia informática.
o No hay un control adecuado en nuestro país del uso del Internet en lugares públicos.
o En nuestro medio no existe un organismo que controle la información que es subida
a la Web.
o Las penas y sanciones tipificadas en el código penal ecuatoriano ya son obsoletas.
o No hay sanciones lo suficientemente severas para los delincuentes informáticos.
o Hay vulnerabilidades de seguridad en las páginas web que han sido creadas en
nuestro medio.
o En general no hay conciencia de los delitos informáticos.
77
11. RECOMENDACIO NES
o Crear un organismo que vigile y sancione de forma permanente los actos delictivos
informáticos.
o Capacitación permanente a los encargados de la justicia ecuatoriana, en materia de
derecho informático.
o Capacitar constantemente a los profesionales del derecho y a los profesionales
informáticos.
o Robustecer el código penal ecuatoriano.
o Restringir el libre acceso al Internet en lugares públicos.
o Crear un estándar para el manejo de evidencia digital.
o Robustecer la inseguridad en las páginas web.
o Generar conciencia de la gravedad de los delitos informáticos.
o Incentivar a las empresas, instituciones, etc., el uso de software legal, es decir,
impulsar y facilitar la compra de software legal.
o Crear programas para el uso adecuado de los recursos y tecnología informática.
o En las carreras afines al derecho y a la computación o informática, se debe crear
materias o seminarios referentes al derecho informático.
78
o
Dar mayor apoyo a las personas que nos interesamos en los delitos informáticos.
o Crear más fuentes de información en materia de la informática forense.
79
12.
13. GLOSARIO DE TÉRMINOS
Término
Significado
ARP
Protocolo de Resolución de Direcciones.
BITMAP
La representación binaria en la cual un bit o conjunto de bits corresponde
a alguna parte de un objeto.
CACHE
Conjunto de datos duplicados de otros originales.
CAD
Diseño Asistido por Computadora.
CAM
Fabricación Asistida por Computador.
CD
Disco Compacto.
CDR
Charging Detail Records.
CIS
Card Information System.
DHCP
Protocolo de Configuración de Host Dinámico.
DVD
Disco de Video Digital.
EFS
Contenido de Sistema de Fichero Cifrados.
FAT
Tabla de Ubicación de Archivos
80
GB
Giga Byts. Unidad de Medida.
GMT
Hora de Referencia de Greenwich.
GPS
Sistema de Posicionamiento Global.
HLR
Registro de inicio de localización.
IP
Protocolo de Internet.
IDS
Sistema de detección de intrusos.
IMEI
Equipo de Identificación International Móvil.
ISO
Organización Internacional para la Estandarización.
ISP
Protocolo de Servicio de Internet.
LAN
Red de Área Local.
MAC
Control de Acceso Medio.
MB
Mega Byts. Unidad de Medida.
MBR
Registro de Arranque Maestro.
MD5
General Packet Radio Service.
MSC
Centro de Conmutación Móvil.
MTF
Centro de Cambios de Fallos.
81
NT
Nueva Tecnología.
NTFS
Nueva Tecnología de Archivos del Sistema.
OMC
Centro de Operación y Administración.
PC
Computadora Personal.
PDAs
Asistente Personal Digital.
PGP
Privacidad Bastante Buena.
PIN
Número de Identificación Personal.
PUK
Clave Personal de Desbloqueo.
RAM
Memoria de Acceso Aleatorio.
ROM
Memoria de Solo Lectura
SIM
Modulo de Suscripción de Identidad.
UPS
Fuentes de Alimentación Ininterrumpida.
USB
Bus Universal Serial.
VLR
Visor de Localización de Registros.
VPN
Red Privada Virtual.
WAP
Protocolo de Aplicación Inalámbrica.
82
14. BIBLIOGRAFÍA
Ø Libros
o TITULO: Introducción a la Informática forense AUTOR: EIIDI.
o TITULO: Introducción a la Informática forense AUTOR: Dr. Santiago Acurio
del Pino.
o TITULO: Informática forense
AUTORES: Juan David Gutierrez, Giovanni
Zuccardi.
o TITULO: Evidencia Digital: contexto, situación e implicaciones Colombianas.
AUTORES: José Alejandro Mosquera González, Andrés Felipe Certain
Jaramillo, Jeimy J. Cano.
Ø Códigos
o TÍTULO: Código Penal Ecuatoriano.
Ø Normas
o TÍTULO: Normas ISO 17799, Numeral 12.1.7.
Ø Guías
83
o TÍTULO: RFC 3227 “Guía para Recolectar y Archivar Evidencia (Guidelines
for Evidence Collection and Archiving)”. AUTORES: Dominique Brezinski, Tom
Killalea.
Ø Referencias de Internet
o www.eiidi.com [Pagina del Equipo de Investigación de Incidentes y Delitos
Informáticos]
o http://www.google.com.ec [Buscador de Internet]
o http://www.virusprot.com/Archivos/Eviden-GECTI03.pdf
[Manejo
de
la
Evidencia Digital]
o http://www.desarrollador.org/2007/05/informtica-forense.html [Introducción a
Informática Forense, Parte I]
o http://www.alfa-redi.org/rdi-articulo.shtml?x=1304[Revista
de
Derecho
Informático]
o http://www.isecauditors.com/downloads/present/hm2k4.pdf
[Informática
forense Teoría y Práctica]
o http://www.utpl.edu.ec/derechoinformatico/images/stories/docs/ponencias/javier
leon.pdf [Informática Forense]
o http://www.elhacker.net/ [Hacker y Cracker]
o http://rfc.net/rfc3227.html [Guía para Recolectar y Archivar Evidencia]
84
o http://www.alegsa.com.ar/Dic [Diccionario de Acrónimos Informáticos]
o http://vtroger.blogspot.com/2008/01/suite-completa-para-informticaforense.html [Guía para sistemas Muertos]
o http://www.tecnoseguridad.net/recoleccin-de-evidencias-forenses-sistemavivo/?wpcf7=json [Guías para sistemas Vivos]
85
15. CITAS BIBLIOGRÁFICAS
o Libro II del Código Penal del Ecuador. Delitos Informáticos.
o Normas ISO 17799 en su numeral 12.1.7. Normas ISO sobre la Evidencia Digital.
o [BRUNGS, A y JAMIESON, R. 2003]. Reconocimiento de la Evidencia digital
o HB: 1712003 Guidelines for the Management of IT Evidence. Evidencia Digital.
86
Related documents
Envenenamiento ARP
Envenenamiento ARP
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
framework para la computación forense en colombia framework for
framework para la computación forense en colombia framework for
HERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE DE
HERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE DE
Introducción - DSpace de la Universidad Catolica de Cuenca
Introducción - DSpace de la Universidad Catolica de Cuenca
HERRAMIENTAS PARA LA COMPUTACION FORENSE CONTROL
HERRAMIENTAS PARA LA COMPUTACION FORENSE CONTROL
1 resumen - tesis de grado autores leonard david lobo parra
1 resumen - tesis de grado autores leonard david lobo parra
tesis de grado ingeniero en sistemas informáticos
tesis de grado ingeniero en sistemas informáticos
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
Diseño de un Laboratorio Forense Digital
Diseño de un Laboratorio Forense Digital
i UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA
i UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA
03-NOTAS-IF - cp4df
03-NOTAS-IF - cp4df
Marca de agua frágil
Marca de agua frágil
Autorización TX50
Autorización TX50