COMPUTACION FORENSE

Flor de Mara Silvestre Manco Universidad Nacional Mayor de San Marcos Facultad de Ciencias Matemticas EAP Computacin Cientfica flor1 !"#$%otmail&com Ser'io (os) *illanueva Flores Universidad Nacional Mayor de San Marcos Facultad de Ciencias Matemticas EAP Computacin Cientfica ser'iovi +$%otmail&com ,ourdes -ris Mercedes Milln ,en Universidad Nacional Mayor de San Marcos Facultad de Ciencias Matemticas EAP Computacin Cientfica luly!ml#.$%otmail&com *aleria -rene ,en /uaca Universidad Nacional Mayor de San Marcos Facultad de Ciencias Matemticas EAP Computacin Cientfica valeria10med$%otmail&com

Abstract - Computer forensics is a new and fast growing field that involves carefully collecting and examining electronic evidence that not only assesses the damage to a computer as a result of an electronic attack, but also to recover lost information from such a system to prosecute a criminal.

La Computacin forense es un campo nuevo de investigacin que est creciendo rpidamente. rata de la recoleccin cuidadosa y examinacin de evidencia electrnica que no solo eval!a el da"o de un dispositivo como resultado de un ataque electrnico, sino que adems sirve para recuperar informacin perdida de un sistema para procesar a un criminal.

Key Words - Palabras Claves: #nlisis $e %istemas, $elitos &nformticos, 'quipos (orenses, )erramientas de la Computacin (orense, &dentificacin $e La 'videncia $igita, Legislacin, *rocedimiento (orense $igital, +esguardo 'videncia $igital, %oftware (orense.

1 Introduccin
El constante reporte de vulnera1ilidades en sistemas de informacin2 el aprovec%amiento de fallas 1ien sea %umanas2 procedimentales o tecnol'icas so1re infraestructuras de computacin en el mundo2 ofrecen un escenario perfecto para 3ue se cultiven tendencias relacionadas con intrusos informticos& Estos intrusos poseen diferentes motivaciones2 alcances y estrate'ias 3ue desconciertan a analistas2 consultores y cuerpos especiales de investi'aciones2 pues sus modalidades de ata3ue y penetracin de sistemas varan de un caso a otro& A pesar del escenario anterior2 la criminalstica nos ofrece un espacio de anlisis y estudio so1re los %ec%os y las evidencias 3ue se identifican en el lu'ar donde se llevaron a ca1o las acciones catalo'adas
1

como criminales& En este momento2 es preciso esta1lecer un nuevo con4unto de %erramientas2 estrate'ias y acciones para descu1rir en los medios informticos2 la evidencia di'ital 3ue sustente y verifi3ue las afirmaciones delictivas 3ue se %an materiali5ado en el caso 1a4o estudio& ,a informtica forense %ace entonces su aparicin como una disciplina au6iliar de la 4usticia moderna2 para enfrentar los desafos y t)cnicas de los intrusos informticos2 as como 'aranta de la verdad alrededor de la evidencia di'ital 3ue se pudiese aportar en un proceso& ,a informtica forense est ad3uiriendo una 'ran importancia dentro del rea de la informacin electrnica2 esto de1ido al aumento del valor de la informacin y7o al uso 3ue se le da a )sta2 al

desarrollo de nuevos espacios donde es usada 8por E4& El -nternet92 y al e6tenso uso de computadores por parte de las compa:as de ne'ocios tradicionales 8por E4& 1ancos9& Es por esto 3ue cuando se reali5a un crimen2 muc%as veces la informacin 3ueda almacenada en forma di'ital& Es de a3u 3ue sur'e el estudio de la computacin forense como una ciencia relativamente nueva& ;esaltando su carcter cientfico2 tiene sus fundamentos en las leyes de la fsica2 de la electricidad y el ma'netismo& Es 'racias a fenmenos electroma'n)ticos 3ue la informacin se puede almacenar2 leer e incluso recuperar cuando se crea eliminada& ,a informtica forense2 aplicando procedimientos estrictos y ri'urosos puede ayudar a resolver 'randes crmenes apoyndose en el m)todo cientfico2 aplicado a la recoleccin2 anlisis y validacin de todo tipo de prue1as di'itales& En consecuencia2 trataremos de ofrecer un panorama 'eneral de esta especialidad t)cnico<le'al2 para ilustrar a los lectores so1re los fundamentos 'enerales y 1ases de actuacin de a3uellos 3ue se %an dedicado a procurar el esclarecimiento de los %ec%os en medios informticos&

<*ariedad de formatos de arc%ivos2 los cuales pueden variar enormemente2 a=n dentro del conte6to de un mismo sistema operativo& <Necesidad de recopilar la informacin de una manera e6acta2 3ue permita verificar 3ue la copia es fiel y adems mantener inalterada la escena del delito& <,imitaciones de tiempo para anali5ar toda la informacin& <*olatilidad de la informacin almacenada en los computadores2 alta vulnera1ilidad al 1orrado2 con una sola informacin se pueden eliminar %asta varios 'i'a1ytes& <Empleo de mecanismos de encriptacin2 o de contrase:as& <Eiferentes medios de almacenamiento2 como discos duros2 CEs y cintas& A continuacin se presentan las principales facilidades de recoleccin y anlisis 3ue se esperara de una 1uena %erramientaC <Eispositivos 3ue permitan copiado a una alta velocidad y de diferentes medios2 claro2 limitado eso si por el medio ori'inal de los datos2 esto 1rindando diferentes tipos de dispositivos como ca1les paralelos2 seriales2 USF2 etc& <Ase'urar un copiado sin p)rdida de datos y 3ue corresponde a una copia fiel& <Copia comprimida de discos ori'en para facilitar el mane4o y conservacin de 'randes vol=menes de informacin& Muy prctico adems cuando se de1en mane4ar investi'aciones de varias computadoras o varios casos a la ve5& <F=s3ueda y anlisis de m=ltiples partes de arc%ivos ad3uiridos& Ee1e permitir la 1=s3ueda y anlisis de m=ltiples partes de la evidencia en forma paralela en diferentes medios como discos duros2 discos e6tra1les2 discos GHipI2 CEs y otros& <Capacidad de almacenamiento en varios mediosC Jam1i)n es necesario poder almacenar la informacin reca1ada en diferentes medios2 como discos duros -EE o SCS-2 drives H-P2 y (a55& Uno de los medios ideales son los CE<;@M pues contri1uyen a mantener intacta la inte'ridad forense de los arc%ivos&

2 Herramientas de Informacin Forense

En los =ltimos dos a:os se %a disparado el n=mero de %erramientas para computacin forense2 es posi1le encontrar desde las ms sencillas y econmicas2 como pro'ramas de menos de US>+.. cuyas prestaciones %a1itualmente son muy limitadas2 %asta %erramientas muy sofisticadas 3ue incluyen tanto soft?are como dispositivos de %ard?are& @tra situacin 3ue se %a venido presentando es el uso de %erramientas tradicionales como los utilitarios& A1B

2 1 Herramientas !ara "a reco"eccin de e#idencia

,as %erramientas para la recoleccin de evidencia representan el tipo de %erramienta ms importante en la computacin forense2 por3ue su centro de accin est en el 3ue para muc%os es el punto central& Su uso es necesario por varias ra5onesC <Dran volumen de datos 3ue almacenan los computadores actuales&

<*aria1les de ordenamiento y 1=s3uedaC de1e permitir el ordenamiento y 1=s3ueda de los arc%ivos de la evidencia de acuerdo con diferentes campos2 incluyendo campos como las tres estampillas de tiempo 8cuando se cre2 =ltimo acceso2 =ltima escritura92 nom1res de los arc%ivos2 firma de los arc%ivos2 e6tensiones y propiedades& <Capacidad para visuali5acin de arc%ivos en diferentes formatos2 adems de 'aleras de arc%ivos 'rficos& <Capacidad para representar en forma 'rfica estructuras de datos2 arc%ivos2 vol=menes2 directorios2 r1oles2 or'ani5acin y en 'eneral tpicos de inter)s 3ue faciliten el tra1a4o de anlisis& <F=s3ueda automtica y anlisis de arc%ivos de tipo Hip2 Ca12 ;ar2 Ar4 y en 'eneral formatos comprimidos2 as como arc%ivos ad4untos de correos electrnicos& <-dentificacin y anlisis de firmas de arc%ivos2 es decir a3uellos 1ytes 3ue 'eneralmente se encuentran al comien5o de un arc%ivo y estn directamente relacionadas con el tipo de este y por consi'uiente con su e6tensin& Con la capacidad de anlisis de firmas es posi1le detectar si un arc%ivo fue renom1rado2 pues el solo cam1io de su e6tensin para %acerlo aparecer de otro tipo2 no 'enera cam1ios en su firma& <Facilidades para recuperar de manera eficiente y no invasiva informacin critica como sellos de fec%a2 sellos de %ora2 re'istro de accesos y la actividad de comportamiento& <Soporte de m=ltiples sistemas de arc%ivo& Una %erramienta de recopilacin de evidencia de1e estar en capacidad de recuperar informacin de diversos sistemas de arc%ivosK E@S2 Lindo?s 8todas las versiones92 Macintos% 8MFS2 /FS2 /FSM92 ,inu62 UN-N 8Sun2 @pen FSE92 CE<;@M2 y los sistemas de arc%ivos E*E;& Esta es la limitacin de al'unas %erramientas2 pues estn dise:adas para un n=mero limitado de sistemas de arc%ivos o es necesario ad3uirir mdulos aparte2 lo 3ue incrementa su costo& <*ista de arc%ivos y otros datos en el espacio unallocatedC una 1uena %erramienta de1er proveer facilidades para tener una vista del disco duro de ori'en2 de los arc%ivos 1orrados y todos los datos en el espacio unallocated2 el espacio ocupado por el arc%ivo dentro del cluster2 arc%ivos S?ap y Print Spooler2 todo esto de manera 'rfica&

<;ecuperacin de pass?ordsC en muc%as ocasiones la informacin recuperada puede estar prote'ida con pass?ords por lo 3ue ser necesario descifrarlos& Deneralmente esta facilidad no viene incluida en estas %erramientas2 se de1en comprar a parte& </erramientas de 'estinK por =ltimo una %erramienta de1era incluir facilidades de 'estin para el mane4o mismo de los e6pedientes y reportes de las investi'aciones

2 2 Herramientas !ara e" monitoreo $%o contro" de com!utadores&

Al'unas veces se necesita informacin so1re el uso de los computadores2 por lo tanto e6isten %erramientas 3ue monitorean el uso de los computadores para poder recolectar informacin& E6isten al'unos pro'ramas simples como Oey lo''ers o recolectores de pulsaciones del teclado 3ue 'uardan informacin so1re las teclas 3ue son presionadas& Estas %erramientas pueden ser =tiles cuando se 3uiere compro1ar actividad sospec%osa ya 3ue 'uardan los eventos 'enerados por el teclado2 por e4emplo2 cuando el usuario teclea la tecla de PretrocederP2 esto es 'uardado en un arc%ivo o enviado por e<mail& ,os datos 'enerados son complementados con informacin relacionada con el pro'rama 3ue tiene el foco de atencin2 con anotaciones so1re las %oras2 y con los mensa4es 3ue 'eneran al'unas aplicaciones& E6isten otras 3ue 'uardan im'enes de la pantalla 3ue ve el usuario del computador2 o %asta casos donde la m3uina es controlada remotamente& Es importante tener en cuenta 3ue %erramientas de este tipo %an lle'ado a ser usadas con fines fraudulentos 8captura de claves de los clientes en caf)s -nternet u otros sitios p=1licos9& Se %an detectado instalaciones remotas de sencillos pro'ramas 3ue re'istran toda la actividad del usuario en el teclado2 esta es almacenada en un arc%ivo 3ue es o1tenido de forma remota por el perpetrador& El uso de estas %erramientas de1e estar plenamente autori5ada y un investi'ador no de1era tomar el solo la decisin de su uso&

2'

Herramientas documentos

de

marcado

de

El o14etivo de este tipo de %erramientas es el de insertar una marca a la informacin sensi1le para poder detectar el ro1o o trfico con la misma& A trav)s de estas %erramientas es posi1le marcar no solo documentos2 sino soft?are tam1i)n&

2 ( Herramientas de Hard)are
El proceso de recoleccin de evidencia de1e ser lo menos invasivo posi1le con el o14eto de no modificar la informacin& Esto %a dado ori'en al desarrollo de %erramientas 3ue incluyen dispositivos como conectores2 unidades de 'ra1acin2 etc& Es el caso de %erramientas como E-FS GPorta1le Evidence ;ecovery UnitI y una serie de %erramientas de -ntelli'ent Computer SolutionsK ,inOMASSter Forensic Soft Case2 ,inOMASSter Forensic /ard Case2 -ma'e MASSter Solo Forensic Qit Lit% /ard Case& Asimismo2 de1ido a la vulnera1ilidad de la copia y modificacin de los documentos almacenados en arc%ivos ma'n)ticos2 los investi'adores de1en revisar con frecuencia 3ue sus copias son e6actas a las del disco del sospec%oso y para esto utili5an varias tecnolo'as como C%ecOsums o /as% ME"&

Procedemos a reali5ar las compro1aciones necesarias y a la manipulacin de los datos2 para ello puede ser tan fcil como arrancar el sistema operativo y mirarlo en modo 'rfico2 o 1ien reali5ar una lectura a nivel fsico y determinar la solucin mediante los 1its& ATB

'(

Presentacin

Eespu)s de un tra1a4o duro lle'a el momento de la entre'a de los resultados o1tenidos al cliente& Si )ste re3uiere presentar una denuncia 4udicial aportando como prue1as las conclusiones o1tenidas2 se le reali5a un informe 4udicial para su e6posicin ante el 4ue5&

( E,ui!o forense
,a computacin forense se complica muc%o al tener en cuenta 3ue en las empresas no solo se usa Lindo?s2 si no 3ue por e4emplo lo ms %a1itual es 3ue en los servidores se use Novell2 Solaris2 ,inu62 etc& Es por eso 3ue en las filas del e3uipo todos %an de sa1er ms o menos las entra:as de cada uno de estos S@Ss& El e3uipo 1sicamente se compone de 'ente multidisciplinar2 1ien preparada2 y en el rea t)cnica de todas las %erramientas e6istentes en multitud de sistemas operativos y ar3uitecturas %ard?are& /ay + tipos de prioridad a la %ora de reali5ar los tra1a4osC UEstndarU en la 3ue todo transcurre en orden de lle'ada2 UPrioritarioU en la 3ue si %a1an tra1a4os esperando )ste nuevo les pasa delante2 o 1ien la prioridad UUr'enteU o TCVU en la 3ue se tra1a4a da y noc%e para entre'arlo cuanto antes&

' Metodo"o*+a
Como en todo proceso de anlisis e6iste una metodolo'a a se'uir 3ue nos marca los pasos a desarrollar de forma 3ue siempre aca1aremos con los ca1os 1ien atados y con unos resultados altamente fia1les& Jodas las acciones son muy procedimentales2 siempre se %a de se'uir el mismo patrn& A B

'1

Estudio !re"iminar

En el primer paso nos %emos de plantear a la situacin en la 3ue nos encontramosC estado fsico del disco2 causas del posi1le fallo2 sistema operativo2 topolo'a de la red2 etc)tera& Esta es la toma de contacto y de a3u saldr2 a priori2 el camino a se'uir para lle'ar a 1uen puerto&

. E" /e"ito Inform-tico en e" Cdi*o Pena" Peruano

,os delitos informticos %an sido recientemente re'ulados en nuestra le'islacin peruana2 mediante la ,ey NW V+.#2 pu1licada en el Eiario @ficial UEl PeruanoU el lunes diecisiete de (ulio del a:o dos mil2 con la cual se incorpora al Jtulo * del ,i1ro Se'undo del Cdi'o punitivo nacional2 un nuevo captulo 8Captulo N9 3ue comprende tres artculos @VX<A 8-ntrusismo informtico92 .VX<F 8Sa1ota4e informtico9 y .VW<C 8formas a'ravadas92 lo 3ue emer'e palmariamente como un intento de actuali5ar nuestra le'islacin interna en relacin a los nuevos avances de la tecnolo'a2 y so1re todo teniendo en cuenta 3ue estamos dentro de una era informtica2 la cual no puede soslayarse2 en sus efectos y consecuencias&A+B

'2

Ad,uisicin de datos

En esta fase o1tenemos una copia e6acta del disco duro a tratar para poder tra1a4ar con ellos en el la1oratorio& Para esta fase la forma ms com=n de reali5arlo es mediante el comando RddS de ,inu62 3ue nos reali5a un volcado de un disco a otro& En esta fase %a de estar presente un notario para dar fe de los actos reali5ados&

''

An-"isis

. 1 Art+cu"os de "as "e$es !eruanas so0re de"ito inform-tico

Art& .V<A&< El 3ue utili5a o in'resa inde1idamente a una 1ase de datos2 sistema o red de computadoras o cual3uier parte de la misma2 para dise:ar2 e4ecutar o alterar un es3uema u otro similar2 o para interferir2 interceptar2 acceder o copiar informacin en trnsito o contenida en una 1ase de datos2 ser reprimido con pena privativa de li1ertad no mayor de dos a:os o con prestacin de servicios comunitarios de cincuenta y dos a ciento cuatro 4ornadas& Si el a'ente actu con el fin de o1tener un 1eneficio econmico2 ser reprimido con pena privativa de li1ertad no mayor de tres a:os o con prestacin de servicios comunitarios no menor de ciento cuatro 4ornadasU& Articulo .V<F&< El 3ue utili5a2 in'resa o interfiere inde1idamente una 1ase de datos2 sistema2 red o pro'rama de computadoras o cual3uier parte de la misma con el fin de alterarlos2 da:arlos o destruirlos2 ser reprimido con pena privativa de li1ertad no menor de tres ni mayor de cinco a:os y con setenta a noventa das<multa& Artculo .V<C&< En los casos de los Artculos .V< A y .V<F2 la pena ser privativa de li1ertad no menor de cinco ni mayor de siete a:os2 cuandoC 1& El a'ente accede a una 1ase de datos2 sistema o red de computadora2 %aciendo uso de informacin privile'iada2 o1tenida en funcin a su car'o& & nacional El a'ente pone en peli'ro la se'uridad

denominacin alude a una situacin muy especial2 ya 3ue para %a1lar de UdelitosU en el sentido de acciones tpicas2 es decir tipificadas o contempladas en te6tos 4urdicos penales2 se re3uiere 3ue la e6presin Udelitos informticosU est) consi'nada en los cdi'os penales2 lo cual en nuestro pas2 al i'ual 3ue en otros muc%os no %an sido o14eto de tipificacin a=n&U En 1#Y+2 la @r'ani5acin e Cooperacin y Eesarrollo Econmico 8@CEE9 inicio un estudio de las posi1ilidades de aplicar y armoni5ar en el plano internacional las leyes penales a fin e luc%ar contra el pro1lema del uso inde1ido de los pro'ramas computacionales& En 1## la Asociacin -nternacional de Eerec%o Penal2 durante el colo3uio cele1rado en Lur51ur'o 8Alemania92 adopt diversas recomendaciones respecto a los delitos informticos2 entre ellas 3ue2 en la medida 3ue el Eerec%o Penal no sea suficiente2 de1er promoverse la modificacin de la definicin de los delitos e6istentes o la creacin de otros nuevos2 si no 1asta con la adopcin de otras medidas como por e4emplo el Uprincipio de su1sidiariedadU& Se entiende Eelito comoC Uaccin penada por las leyes por reali5arse en per4uicio de al'o o al'uien2 o por ser contraria a lo esta1lecido por a3u)llasU& Finalmente la @CEE pu1lic un estudio so1re delitos informticos y el anlisis de la normativa 4urdica en donde se rese:an las normas le'islativas vi'entes y se define Eelito -nformtico como Ucual3uier comportamiento anti4urdico2 no )tico o no autori5ado2 relacionado con el procesado automtico de datos y7o transmisiones de datos&U U,os delitos informticos se reali5an necesariamente con la ayuda de los sistemas informticos2 pero tienen como o14eto del in4usto la informacin en s mismaU& Adicionalmente2 la @CEE ela1or un con4unto de normas para la se'uridad de los sistemas de informacin2 con la intencin de ofrecer las 1ases para 3ue los distintos pases pudieran eri'ir un marco de se'uridad para los sistemas informticos& 1& En esta delincuencia se trata con especialistas capaces de efectuar el crimen y 1orrar toda %uella de los %ec%os2 resultando2 muc%as veces2 imposi1le de deducir como es como se reali5 dic%o delito& ,a -nformtica re=ne caractersticas 3ue la convierten en un medio idneo para la comisin de nuevos tipos de delitos 3ue en 'ran parte del mundo ni si3uiera %an podido ser catalo'ados&

1 2e*is"acin $ de"itos inform-ticos 3 "a informacin $ e" de"ito

El delito informtico implica actividades criminales 3ue los pases %an tratado de encuadrar en fi'uras tpicas de carcter tradicional2 tales como ro1os2 %urtos2 fraudes2 falsificaciones2 per4uicios2 estafas2 sa1ota4es& Sin em1ar'o2 de1e destacarse 3ue el uso de las t)cnicas informticas %an creado nuevas posi1ilidades del uso inde1ido de las computadoras lo 3ue %a creado la necesidad de re'ulacin por parte del derec%o& Se considera 3ue no e6iste una definicin formal y universal de delito informtico pero se %an formulado conceptos respondiendo a realidades nacionales concretasC Uno es la1or fcil dar un concepto so1re delitos informticos2 en ra5n de 3ue su misma
"

& ,a le'islacin so1re sistemas informticos de1era perse'uir acercarse lo ms posi1le a los distintos medios de proteccin ya e6istentes2 pero creando una nueva re'ulacin 1asada en los aspectos del o14eto a prote'erC la informacin& En este punto de1e %acerse un punto y notar lo si'uienteC Z No es la computadora la 3ue atenta contra el %om1re2 es el %om1re el 3ue encontr una nueva %erramienta2 3ui5s la ms poderosa %asta el momento2 para delin3uir& Z No es la computadora la 3ue afecta nuestra vida privada2 sino el aprovec%amiento 3ue %acen ciertos individuos de los datos 3ue ellas contienen& Z ,a %umanidad no est frente al peli'ro de la informtica sino frente a individuos sin escr=pulos con aspiraciones de o1tener el poder 3ue si'nifica el conocimiento& Z Por eso la amena5a futura ser directamente proporcional a los adelantos de las tecnolo'as informticas& Z ,a proteccin de los sistemas informticos puede a1ordarse desde distintos perspectivasC civil2 comercial o administrativa& ,o 3ue se de1er intentar es 3ue nin'una de ellas sea e6cluyente con las dems y2 todo lo contrario2 lo'rar una proteccin 'lo1al desde los distintos sectores para alcan5ar cierta eficiencia en la defensa de estos sistemas informticos& (ulio J)lle5 *alde5 clasifica a informticos en 1ase a dos criteriosC los delitos

Z Alteracin el funcionamiento normal de un sistema mediante la introduccin de cdi'o e6tra:o al mismoC virus2 1om1as l'icas2 etc& Z -ntervencin de lneas de comunicacin de datos o teleprocesos& & Como fin u o14etivoC se enmarcan las conductas criminales 3ue van diri'idas en contra de la computadora2 accesorios o pro'ramas como entidad fsica&

E4emplosC Z -nstrucciones 3ue producen un 1lo3ueo parcial o total del sistema& Z Eestruccin de pro'ramas por cual3uier m)todo& Z Atentado fsico contra la computadora2 sus accesorios o sus medios de comunicacin& Z Secuestro de soportes ma'n)ticos con informacin valiosa2 para ser utili5ada con fines delictivos& Este mismo autor sostiene 3ue las acciones delictivas informticas presentan las si'uientes caractersticasC 1& Slo una determinada cantidad de personas 8con conocimientos t)cnicos por encima de lo normal9 pueden lle'ar a cometerlos& & Son conductas criminales del tipo Ucuello 1lancoUC no de acuerdo al inter)s prote'ido 8como en los delitos convencionales9 sino de acuerdo al su4eto 3ue los comete& Deneralmente este su4eto tiene cierto status socioeconmico y la comisin del delito no puede e6plicarse por po1re5a2 carencia de recursos2 1a4a educacin2 poca inteli'encia2 ni por inesta1ilidad emocional& +& Son acciones ocupacionales2 ya 3ue 'eneralmente se reali5an cuando el su4eto atacado se encuentra tra1a4ando& T& Son acciones de oportunidad2 ya 3ue se aprovec%a una ocasin creada por el atacante& "& 0& Provocan p)rdidas econmicas& @frecen posi1ilidades de tiempo y espacio&

1& Como instrumento o medioC se tienen a las conductas criminales 3ue se valen de las computadoras como m)todo2 medio o sm1olo en la comisin del ilcito& E4emplosC Z Falsificacin de documentos va computari5adaC tar4etas de cr)ditos2 c%e3ues2 etc& Z *ariacin de la situacin conta1le&

Z Planeamiento y simulacin de delitos convencionales como ro1o2 %omicidio y fraude&

V& Son muc%os los casos y pocas las denuncias2 y todo ello por la falta de re'ulacin y por miedo al descr)dito de la or'ani5acin atacada& Y& Presentan 'randes dificultades para su compro1acin2 por su carcter t)cnico& #& Jienden a proliferar2 por lo se re3uiere su ur'ente re'ulacin le'al& Mara ,u5 ,ima2 por su parte2 presenta la si'uiente clasificacin de Udelitos electrnicosU C 1& Como M)todoC conductas criminales en donde los individuos utili5an m)todos electrnicos para lle'ar a un resultado ilcito& & Como MedioC conductas criminales en donde para reali5ar un delito utili5an una computadora como medio o sm1olo& +& Como FinC conductas criminales diri'idas contra la entidad fsica del o14eto o m3uina electrnica o su material con o14eto de da:arla& ,e'islacin y Eelitos -nformticos < El Eelincuente y la *ctima

al'unos el nivel de aptitudes no es indicador de delincuencia informtica en tanto 3ue otros aducen 3ue los posi1les delincuentes informticos son personas listas2 decididas2 motivadas y dispuestas a aceptar un reto tecnol'ico2 caractersticas 3ue pudieran encontrarse en un empleado del sector de procesamiento de datos& Sin em1ar'o2 teniendo en cuenta las caractersticas ya mencionadas de las personas 3ue cometen los delitos informticos2 estudiosos en la materia los %an catalo'ado como delitos de Ucuello 1lancoU t)rmino introducido por primera ve5 por el criminlo'o norteamericano Ed?in Sut%erland en el a:o de 1#T+& ,a Ucifra ne'raU es muy altaK no es fcil descu1rirlos ni sancionarlos2 en ra5n del poder econmico de 3uienes lo cometen2 pero los da:os econmicos son altsimosK e6iste una 'ran indiferencia de la opinin p=1lica so1re los da:os ocasionados a la sociedad& A los su4etos 3ue cometen este tipo de delitos no se considera delincuentes2 no se los se're'a2 no se los desprecia2 ni se los desvalori5aK por el contrario2 es considerado y se considera a s mismo Urespeta1leU& Estos tipos de delitos2 'eneralmente2 son o14eto de medidas o sanciones de carcter administrativo y no privativo de la li1ertad&

1 2 Su4eto Pasi#o 1 1 Su4eto Acti#o

Se llama as a las personas 3ue cometen los delitos informticos& Son a3uellas 3ue poseen ciertas caractersticas 3ue no presentan el denominador com=n de los delincuentes2 esto es2 los su4etos activos tienen %a1ilidades para el mane4o de los sistemas informticos y 'eneralmente por su situacin la1oral se encuentran en lu'ares estrat)'icos donde se mane4a informacin de carcter sensi1le2 o 1ien son %1iles en el uso de los sistemas informati5ados2 a=n cuando2 en muc%os de los casos2 no desarrollen actividades la1orales 3ue faciliten la comisin de este tipo de delitos&ATB Con el tiempo se %a podido compro1ar 3ue los autores de los delitos informticos son muy diversos y 3ue lo 3ue los diferencia entre s es la naturale5a de los delitos cometidos& Ee esta forma2 la persona 3ue UentraU en un sistema informtico sin intenciones delictivas es muy diferente del empleado de una institucin financiera 3ue desva fondos de las cuentas de sus clientes& El nivel tpico de aptitudes del delincuente informtico es tema de controversia ya 3ue para
V

Este2 la vctima del delito2 es el ente so1re el cual recae la conducta de accin u omisin 3ue reali5a el su4eto activo& ,as vctimas pueden ser individuos2 instituciones crediticias2 instituciones militares2 'o1iernos2 etc& 3ue usan sistemas automati5ados de informacin2 'eneralmente conectados a otros& El su4eto pasivo del delito 3ue nos ocupa2 es sumamente importante para el estudio de los delitos informticos2 ya 3ue mediante )l podemos conocer los diferentes ilcitos 3ue cometen los delincuentes informticos& Es imposi1le conocer la verdadera ma'nitud de los delitos informticos2 ya 3ue la mayor parte no son descu1iertos o no son denunciados a las autoridades responsa1les y si a esto se suma la falta de leyes 3ue prote4an a las vctimas de estos delitosK la falta de preparacin por parte de las autoridades para comprender2 investi'ar y aplicar el tratamiento 4urdico adecuadoK el temor por parte de las empresas de denunciar este tipo de ilcitos por el despresti'io 3ue esto pudiera ocasionar a su empresa y las consecuentes p)rdidas econmicas2 trae como consecuencia 3ue las estadsticas so1re este tipo de conductas se manten'a 1a4o la llamada Ucifra ne'raU&

Por lo anterior2 se reconoce 3ue para conse'uir una prevencin efectiva de la criminalidad informtica se re3uiere2 en primer lu'ar2 un anlisis o14etivo de las necesidades de proteccin y de las fuentes de peli'ro& Una proteccin efica5 contra la criminalidad informtica presupone ante todo 3ue las vctimas potenciales cono5can las correspondientes t)cnicas de manipulacin2 as como sus formas de encu1rimiento& En el mismo sentido2 podemos decir 3ue conC +& ,a divul'acin de las posi1les conductas ilcitas derivadas del uso de las computadorasK T& Alertas a las potenciales vctimas2 para 3ue tomen las medidas pertinentes a fin de prevenir la delincuencia informticaK "& Creacin de una adecuada le'islacin 3ue prote4a los intereses de las vctimasK 0& Una eficiente preparacin por parte del personal encar'ado de la procuracin2 administracin y la imparticin de 4usticia para atender e investi'ar estas conductas ilcitasK se estara avan5ando muc%o en el camino de la luc%a contra la delincuencia informtica2 3ue cada da tiende a e6pandirse ms& Adems2 se de1e destacar 3ue los or'anismos internacionales %an adoptado resoluciones similares en el sentido de 3ue educando a la comunidad de vctimas y estimulando la denuncia de los delitos2 se promovera la confian5a p=1lica en la capacidad de los encar'ados de %acer cumplir la ley y de las autoridades 4udiciales para detectar2 investi'ar y prevenir los delitos informticos&A"B

1 ' 2e*is"acin Inform-tica Internaciona"

Se'=n el responsa1le de la Asociacin para la -nvesti'acin de los Eelitos de AltaJecnolo'a 8/i'% Jec%nolo'y Crime -nvesti'ative Association [ /JC-A9 las fuer5as de se'uridad oficiales no cuentan con el personal o la tecnolo'a suficiente para atender a las demandas de estos sectores frente a un pro1lema calificado como GmenorI frente a los delitos usuales& ,a /JC-A fue creada por los propios afectados y constantemente incorpora nuevos miem1ros&,os fraudes pueden ser de varios tipos2 pero los ms comunes consisten en la no entre'a del 7 los o14etos o dinero2 falta de coincidencia entre el o14eto presentado y el real2 y el vie4o y conocido acuerdo entre socios para inflar el precio de venta de un producto su1astado&Ee los . mil casos recolectados por la divisin del FF- encar'ada de fraudes informticos en seis meses2 el 0T por ciento de las
Y

denuncias corresponden a su1astas on line2otro por ciento a mercadera o dinero no enviado y apenas un " por ciento al fraude de tar4etas de cr)dito&Claro 3ue2 reci)n cuando el fraude es detectado2 comien5a la %istoriaK ya 3ue a% es el momento de entre'ar las prue1as a las fuer5as oficiales para 3ue 4u5'uen el caso y lo enmar3uen dentro de las leyes&Como muestra de este tra1a4o de investi'acin privado y condena p=1lica2 y de la dure5a 3ue se intenta imponer en este 4ue'o2 en California 8Estados Unidos92 en a1ril de ..T2 dos personas fueron encontradas culpa1les de fraude en transacciones on line por inflar los precios en ms de mil su1astas 3ue %a1an colocado en E<Fay entre noviem1re de 1##Y y 4unio de ..T& ,os detenidos pueden lle'ar a pasar %asta cinco a:os en prisin y fueron o1li'ados a reinte'rar un porcenta4e del dinero o1tenido en esas operaciones&Se'=n el FF-2 el delito informtico n=mero uno 3ue se lleva a ca1o en el comercio electrnico es el del fraude en los sitios de su1astas on line&Sitios como el famoso eFay tienen su propio e3uipo y personal para intentar detectar y poner en evidencia estas acciones en su sistema&/asta a%ora el caso ms importante de fraude detectado sucedi en a1ril de ..T2durante una transaccin 3ue implic la venta de monedas de plata y oro por un valor cercano al medio milln de dlares&Este fenmeno %a provocado preocupacin en el mundo y %asta a%ora el triunfo es de ellos2ya 3ue llevan la iniciativa2 tienen la tecnolo'a y mane4an la ciencia& Medidas tales como incrementar la se'uridad informtica2 investi'ar y me4orar los mecanismos de encriptacin standard 8parad4icamente tarea desarrollada por %acOers retirados y dedicados a una actividad oficial92 educar a los usuarios y revisar o formular le'islaciones referentes al caso2se tornan insuficientes cuando las redes son sistemticamente vulneradas&,os atentados en Espa:a nos demostraron 3ue cual3uier delito puede cometerse o investi'arse con el acopio de medios informticos&,as investi'aciones por los atentados en Madrid comen5aron como los de otros tantos delitos tecnol'icos2 intentando u1icar a los vendedores de los tar4etas c%ip mediante las cuales se cometieron los delitos&Joda una red de telecomunicaciones2 3ue incluye la transmisin a trav)s de sat)lites fue utili5ada para cometer asesinatos colectivos&,as instalaciones nucleares y las comunicaciones estrat)'icas no son accesi1les por internetK apenas 1\ de los %acOers tienen los conocimientos necesarios para 'enerar destro5os a 'ran escala&Sera necesario contar con recursos considera1les para crear un da:o realC .. millones de dlares y cinco a:os de preparacin de acuerdo a las conclusiones de un e6perimento llevado a ca1o en 4ulio del .. por la marina de EEUU&

5 E#idencia Forense
Se'=n Eo'%an Casey la Evidencia Ei'ital es cual3uier dato re'istro 'enerado en un sistema computacional 3ue puede esta1lecer 3ue un crimen se %a e4ecutado puede proporcionar un enlace 8linO9 entre un crimen y su vctima un crimen y su autor& Jam1i)n se define como cual3uier informacin 3ue su4eta a una intervencin %umana u otra seme4ante2 %a sido e6trada de un medio informtico& A0B A diferencia de la documentacin en papel2 la evidencia computacional es fr'il y una copia de un documento almacenado en un arc%ivo es id)ntica al ori'inal& @tro aspecto =nico de la evidencia computacional es el potencial de reali5ar copias no autori5adas de arc%ivos2 sin de4ar rastro de 3ue se reali5 una copia& Esta situacin crea pro1lemas concernientes a la investi'acin del ro1o de secretos comerciales2 como listas de clientes2 material de investi'acin2 arc%ivos de dise:o asistidos por computador2 frmulas y soft?are propietario& Ee1e tenerse en cuenta 3ue los datos di'itales ad3uiridos de copias no se de1en alterar de los ori'inales del disco2 por3ue esto invalidara la evidenciaK por esto los investi'adores de1en revisar con frecuencia 3ue sus copias sean e6actas a las del disco del sospec%oso2 para esto se utili5an varias tecnolo'as2 como por e4emplo c%ecOsums o %as% ME"& Cuando %a sucedido un incidente2 'eneralmente2 las personas involucradas en el crimen intentan manipular y alterar la evidencia di'ital2 tratando de 1orrar cual3uier rastro 3ue pueda dar muestras del da:o& Sin em1ar'o2 este pro1lema es miti'ado con al'unas caractersticas 3ue posee la evidencia di'ital2 mencionamos al'unasC Z Puede ser duplicada de forma e6acta y se puede sacar una copia para ser e6aminada como si fuera la ori'inal& Esto se %ace com=nmente para no mane4ar los ori'inales y evitar el ries'o de da:arlos& Z Actualmente2 con las %erramientas e6istentes2 es muy fcil comparar la evidencia di'ital con su ori'inal2 y determinar si la evidencia di'ital %a sido alterada& Z ,a evidencia de Ei'ital es muy difcil de eliminar& A=n cuando un re'istro es 1orrado del disco duro del computador2 y )ste %a sido formateado2 es posi1le recuperarlo&

Z Cuando los individuos involucrados en un crimen tratan de destruir la evidencia2 e6isten copias 3ue permanecen en otros sitios&

5 1 C"asificacin de "a E#idencia /i*ita"

Se'=n Cano la Evidencia Ei'ital se clasifica en + cate'orasC AVB 5 1 1 Re*istros *enerados !or com!utador& Estos re'istros son a3uellos2 3ue como dice su nom1re2 son 'enerados como efecto de la pro'ramacin de un computador& ,os re'istros 'enerados por computador son inaltera1les por una persona& Estos re'istros son llamados re'istros de eventos de se'uridad y sirven como prue1a tras demostrar el correcto y adecuado funcionamiento del sistema o computador 3ue 'ener el re'istro& 5 1 2 Re*istros no *enerados sino simplemente almacenados en computadoresC Estos re'istros son a3uellos 'enerados por una persona2 y 3ue son almacenados en el computador2 por e4emplo2 un documento reali5ado con un procesador de pala1ras& En estos re'istros es importante lo'rar demostrar la identidad del 'enerador2 y pro1ar %ec%os o afirmaciones contenidas en la evidencia misma& Para lo anterior se de1e demostrar sucesos 3ue muestren 3ue las afirmaciones %umanas contenidas en la evidencia son reales& 5 1 ' Re*istros 6+0ridos ,ue inc"u$en tanto re*istros *enerados !or com!utador como a"macenados en "os mismosC ,os re'istros %1ridos son a3uellos 3ue com1inan afirmaciones %umanas y lo's& Para 3ue estos re'istros sirvan como prue1a de1en cumplir los dos re3uisitos anteriores&

5 2 Criterios de admisi0i"idad de "a E#idencia /i*ita"&

En le'islaciones modernas e6isten cuatro criterios 3ue se de1en tener en cuenta para anali5ar al momento de decidir so1re la admisi1ilidad de la evidenciaC la autenticidad2 la confia1ilidad2 la completitud suficiencia2 y el ape'o y respeto por las leyes y re'las del poder 4udicial& AYB 5 2 1 Autenticidad& Una evidencia di'ital ser autentica siempre y cuando se cumplan dos elementosC El primero2 demostrar 3ue dic%a evidencia %a sido 'enerada y re'istrada en el lu'ar de los %ec%os&

,a se'unda2 la evidencia di'ital de1e mostrar 3ue los medios ori'inales no %an sido modificados2 es decir2 3ue los re'istros corresponden efectivamente a la realidad y 3ue son un fiel refle4o de la misma&

Z Mantener y controlar la inte'ridad del medio ori'inal& Esto si'nifica2 3ue a la %ora de recolectar la evidencia di'ital2 las acciones reali5adas no de1en cam1iar nunca esta evidencia& Z Cuando sea necesario 3ue una persona ten'a acceso a la evidencia di'ital2 esa persona de1e ser un profesional forense& Z ,as copias de los datos o1tenidas2 de1en estar correctamente marcadas2 controladas y preservadas y al i'ual 3ue los resultados de la investi'acin2 de1en estar disponi1les para su revisin& Z Siempre 3ue la evidencia di'ital este en poder de al'=n individuo2 )ste ser responsa1le de todas la acciones tomadas con respecto a ella2 mientras est) en su poder& Z ,as a'encias responsa1les de llevar el proceso de recoleccin y anlisis de la evidencia di'ital2 sern 3uienes de1en 'aranti5ar el cumplimiento de los principios anteriores& ,os M)todos 3ue utili5an para la manipulacin de evidencias sonC Un la1oratorio de informtica forense necesita tener la capacidad de 1uscar evidencia en 'randes universos de 1=s3ueda2 de manera precisa y e6acta2 y con un desempe:o ra5ona1le2 manteniendo siempre la inte'ridad evidencial2 como forma de satisfacer dic%os re3uerimientos2 se proponen las si'uientes alternativas de solucinC Soft?are de 1=s3ueda de evidencia en disOette forense2 no re3uiere a1rir el computador ni manipular el disco duro sospec%oso& PC estndar con soft?are de anlisis forense 3ue permita %acer 1=s3uedas sin necesidad de reali5ar una copia del disco sospec%oso2 y sin necesidad de conectar directamente el disco sospec%oso a la m3uina forense& No re3uiere a1rir el computador ni manipular el disco duro sospec%oso& PC con modificaciones de %ard?are para permitir =nicamente la lectura de discos a trav)s de un 1us de datos para anlisis forense2 al 3ue se de1er conectar el disco duro sospec%oso al ser anali5ado2 y con cual3uier soft?are de anlisis forense& ;e3uiere a1rir le computador y manipular el disco duro sospec%oso&

5 2 2 Confia0i"idad& Se dice 3ue los re'istros de eventos de se'uridad son confia1les si provienen de fuentes 3ue son Gcre1les y verifica1lesI& Para pro1ar esto2 se de1e contar con una ar3uitectura de computacin en correcto funcionamiento2 la cual demuestre 3ue los lo's 3ue 'eneran tiene una forma confia1le de ser identificados2 recolectados2 almacenados y verificados& Una prue1a di'ital es confia1le si el Gsistema 3ue lo produ4o no %a sido violado y esta1a en correcto funcionamiento al momento de reci1ir2 almacenar o 'enerar la prue1aI& ,a ar3uitectura de computacin del sistema lo'rar tener un funcionamiento correcto siempre 3ue ten'a al'=n mecanismo de sincroni5acin del re'istro de las acciones de los usurarios del sistema y 3ue la posea con un re'istro centrali5ado e nte'ro de los mismos re'istros& 52' Suficiencia o com!"etitud de "as !rue0as&

Para 3ue una prue1a est) considerada dentro del criterio de la suficiencia de1e estar completa& Para ase'urar esto es necesario Gcontar con mecanismos 3ue proporcionen inte'ridad2 sincroni5acin y centrali5acinI para lo'rar tener una vista completa de la situacin2 por ello es necesario %acer una verdadera correlacin de eventos2 la cual puede ser manual o sistemati5ada& 52( A!e*o $ res!eto !or "as "e$es $ re*"as de" !oder 4udicia"& Este criterio se refiere a 3ue la evidencia di'ital de1e cumplir con los cdi'os de procedimientos y disposiciones le'ales del ordenamiento del pas& Es decir2 de1e respetar y cumplir las normas le'ales vi'entes en el sistema 4urdico&

5 ' E#idencia /i*ita"7 Mani!u"acin $ M8todos&

Es importante tener presente los si'uientes re3uisitos 3ue se de1en cumplir en cuanto a la manipulacin de la evidencia di'ital& Z /acer uso de medios forenses est)riles 8para copias de informacin9&

5 ( 9estin de "a E#idencia di*ita"

1.

E6isten 'ran cantidad de 'uas y 1uenas prcticas 3ue nos muestran como llevar aca1o la 'estin de la evidencia di'ital& ,as 'uas 3ue se utili5an tienen como o14etivo identificar evidencia di'ital con el fin de 3ue pueda ser usada dentro de una investi'acin& Estas 'uas se 1asan en el m)todo cientfico para concluir o deducir al'o acerca de la informacin& Presentan una serie de etapas para recuperar la mayor cantidad de fuentes di'itales con el fin de asistir en la reconstruccin posterior de eventos& E6isten diferentes tipos de planteamientos2 estos varan dependiendo del criterio de la institucin y7o personas 3ue definen la 'ua2 como se define a continuacin& 9u+as Me4ores Pr-cticas A continuacin se enuncian 'uas e6istentes a nivel mundial de me4ores prcticas en computacin forense& El G;FC + VC Dua Para ;ecolectar y Arc%ivar EvidenciaI 8Duidelines for Evidence Collection and Arc%ivin'9 ADuEvCo. B2 escrito en fe1rero de .. por Eomini3ue Fre5insOi y Jom Qillalea2 in'enieros del Net?orO LorOin' Droup& Es un documento 3ue provee una 'ua de alto nivel para recolectar y arc%ivar datos relacionados con intrusiones& Muestra las me4ores prcticas para determinar la volatilidad de los datos2 decidir 3ue recolectar2 desarrollar la recoleccin y determinar como almacenar y documentar los datos& Jam1i)n e6plica al'unos conceptos relacionados a la parte le'al& Dua de ,a -@CE A-@CE.0B2 pu1lico GDua para las me4ores practicas en el e6amen forense de tecnolo'a di'italI 8Duidelines for t%e 1est practices in t%e forensic e6amination of di'ital tec%nolo'y9 A-@CE. B& El documento provee una serie de estndares2 principios de calidad y apro6imaciones para la deteccin prevencin2 recuperacin2 e6aminacin y uso de la evidencia di'ital para fines forenses& Cu1re los sistemas2 procedimientos2 personal2 e3uipo y re3uerimientos de comodidad 3ue se necesitan para todo el proceso forense de evidencia di'ital2 desde e6aminar la escena del crimen %asta la presentacin en la corte& -nvesti'acin en la Escena del Crimen Electrnico 8Dua Eo( 19 CEl Eepartamento de (usticia de los Estados Unidos de Am)rica 8Eo( EEUU92 pu1lico G-nvesti'acin En ,a Escena Eel Crimen ElectrnicoI 8Electronic Crime Scene -nvesti'ationC A Duide for First ;esponders9 AElCr.1B& Esta -nformtica Forense& (uan Eavid Dutierre5 Diovanni Huccardi 1 'ua se enfoca ms 3ue todo en

identificacin y recoleccin de evidencia& Su estructura esC E6amen Forense de Evidencia Ei'ital 8Dua Eo( 9 C @tra 'ua del Eo( EEUU2 es GE6amen Forense de Evidencia Ei'italI 8Forensic E6amination of Ei'ital EvidenceC A Duide for ,a? Enforcement9 AFoE6.TB& Esta 'ua esta pensada para ser usada en el momento de e6aminar la evidencia di'ital& Computacin Forense < Parte C Me4ores Prcticas 8Dua /on' Qon'9 CEl -SFS2 -nformation Security and Forensic Society 8Sociedad de Se'uridad -nformatica y Forense9 creada en /on' Qon'2 pu1lico GComputacin Forense < Parte C Me4ores PracticasI 8Computer Forensics [ Part C Fest Practices9& Esta 'ua cu1re los procedimientos y otros re3uerimientos necesarios involucrados en el proceso forense de evidencia di'ital2 desde el e6amen de la escena del crimen %asta la presentacin de los reportes en la corte& Dua Ee Fuenas Prcticas Para Evidencia Fasada En Computadores 8Dua ;eino Unido9 ,a ACP@2 Association of C%ief Police @fficers 8Asociacin de (efes de Polica92 del ;eino Unido mediante su departamento de crimen por computador2 pu1lico GDua de Fuenas Practicas para Evidencia 1asada en ComputadoresI 8Dood Practice Duide For Computer Fased Evidence9 ADoPra##B& ,a polica -nformtica Forense& (uan Eavid Dutierre5 Diovanni Huccardi 1+ cre este documento con el fin de ser usado por sus miem1ros como una 'ua de 1uenas prcticas para ocuparse de computadores y de otros dispositivos electrnicos 3ue puedan ser evidencia&

: An-"isis En Sistema O!erati#os Microsoft

,a ad3uisicin de datos de la memoria re3uiere de un %ard?are o soft?are sofisticado2 no todas las utilidades forenses tienen acceso al ]]&]P%ysicalMemory en Lindo?s & El anlisis de los resultados tam1i)n re3uiere secuencias de comandos y conocimientos especiali5ados para poder interpretar los datos& Estos dos factores %acen 3ue la ad3uisicin y anlisis sea ms difcil 3ue los e6menes forenses tradicionales del disco duro2 el 'ran re3uiere de un 'ran cantidad de cuidado 3ue los m)todos comunes& Sin em1ar'o2 con la lle'ada de Microsoft *ista y Fit,ocOer soluciona el pro1lema& Eatos importantes como contrase:as2 direcciones de -P2 3ue procesos esta1an siendo e4ecutados2 y otros datos 3ue tal ves no fueron almacenados en la unidad
11

de disco duro pueden ser recuperados de un core dumpA1.B& Al'unos pro'ramas maliciosos y rootOits 8es una %erramienta o un 'rupo de ellas2 3ue tiene como finalidad esconderse a si misma y esconder a otros pro'ramas2 procesos2 arc%ivos2 directorios2 clave de re'istro2 y puertos 3ue permiten al intruso mantener acceso a un sistema para remotamente comandar acciones o e6traer informacin sensi1le9 A11B2 necesitan de pro'ramas 3ue se actuali5an cada a:o& En esta seccin nos ocuparemos de %erramientas y procedimientos 3ue aplican solamente a Sistemas @perativos Lindo?s2 incluyendo Lindo?s ...2 NP2 *ista y Server ..+&

: 1 2 2 NI9I2ANT'2 Un pro'rama derivado de la conocida %erramienta Sleut%Oit para Lindo?s& ,a compa:a A'ile ;isO Mana'ement2,,C recompil la utilidad con m=ltiples funciones 3ue la %acen una %erramienta indispensa1le para anali5ar una computadora 3ue se se sospec%a como comprometida& Funciones 1sicas incluyenC Z E6amen fsico de los discos duros2 incluyendo fic%eros escondidos o 1orrados& ,a utilidad tam1i)n incluye una funcin para copiar un fic%ero crtico en uso para anali5ar sin comprometer la inte'ridad del sistema& Z Una funcin de snaps%ot2 3ue revela pro'ramas operando fuera del conte6to principal 3ue pueden indicar la presencia de procesos2 cone6iones o intrusiones al sistema operativo& Z ^ui5 la seccin ms innovadora sea la capacidad de tomar una ima'en de la memoria activa y ponerla en un fic%ero para anlisis posterior& En a3uellas situaciones donde la presencia de la intrusin %aya sido ocultada2 esta ima'en puede revelar con efica5 sus funciones en memoria mientras est pro'resando& En esta funcin2 %ace 3ue Ni'ilant+ sea =nico en su cate'ora&A1 B : 1 2 ' PRO/ISCO?ER IR ProEiscover -ncident ;esponse permite rpidamente e6aminar en cual3uier lu'ar de tu net?orO FeneficiosC Z Comprue1a rpidamente si el sistema %a sido comprometido2 sin tener 3ue suspender el sistema& Z Anali5a los sistemas remotos a trav)s de la red eliminando la necesidad de contratar personal caro o via4ar a lu'ares remotos& Z Utili5a a'ente remoto para acceso a disco de sistema de sospec%a a nivel sectorial2 revelando todos los arc%ivos2 incluso si el sistema sospec%oso %a sido comprometido por un troyano o rootOit& Z Fusca en toda el disco2 incluyendo el espacio no asi'nado2 el espacio %ol'ura2 Lindo?s NJ7 ...7NP Alternate Eata Streams para la inte'ridad del sistema completo& Z Crea una ima'en de flu4o de 1its del disco de sistema de destino y la memoria fsica para

: 1 Herramientas&
: 1 1 So"uciones 0asadas en Hard)are : 1 1 1 TRI;;2E El tri11le es una tar4eta e6pandi1le 3ue puede ser usada para recuperar los contenidos de la memoria fsica& Es instalada en un servidor antes del evento con un s?itc% 3ue se enciende cuando el investi'ador desea capturar datos& Este m)todo tiene sus fuer5as y desventa4as& Como %ard?are2 el Jri11le puede acceder la memoria fsica sin introducir nin'=n soft?are en el sistema a anali5ar2 minimi5ando el impacto en los datos& Sin em1ar'o de1e ser instalado a priori del incidente2 %aci)ndolo de una u otra manera inconveniente para la recuperacin al instante& : 1 1 2 FIRE<IRE ,a se'unda solucin disponi1le es a trav)s de un Fire?ire& Este dispositivo usa acceso directo a la memoria 8EMA< direct memory access92 sin necesidad de ir al CPU& Esto permite no solo una transferencia mas rpida si no 3ue adems supera los pro1lemas de al'unas versione de Lindo?s 3ue no permita el acceso a la memoria desde modo Usuario& : 1 2 So"uciones 0asadas en Soft)are : 1 2 1 // =/ATA /UMPER> Conocido me4or como %erramienta Gdata dumperI de UN-N2 el cual es familiar para la mayora de investi'adores forenses como una %erramienta para la creacin de im'enes forenses de los discos duros y se incluye en muc%as utilidades de cdi'o a1ierto forenses tales como la /eli6&

conservar las prue1as y restaurar el sistema rpidamente& Z ,os 'rficos inte'rados en miniatura2 la %istoria de -nternet2 el arc%ivo de re'istro de eventos2 y los espectadores de re'istro para facilitar el proceso de investi'acin& Z *isor inte'rado para e6aminar& pst 7& ost y& d16 arc%ivos de correo electrnico& Z Fuscar arc%ivos y procesos 3ue se estn encu1iertos por los rootOits& : 1 2 ( @nt// Es una %erramienta de ad3uisicion de memoria desarrollado por Deor'e Darner 2 como parte de QntJoolsA1+B Darner desarrollo Qnttools en respuesta a la restriccin de acceso a ]]&]P%ysicalMemory desde modo Usuario& Permite al investi'ador convertir convertir una ima'en en 1ruto de volcado en formato Microsoft2 por lo 3ue los datos pueden ser anali5ados utili5ando las /erramientas Microsoft de depuracin&

T& ,imitar los pasos del proceso de ad3uisicin lo ms posi1le2 ya 3ue a menos pasos2 menos impacto en el sistema& "& Usar %erramientas 3ue de4en la menor %uella posi1le& Ni'ilant+ usa menos 3ue 1MF de memoria2 mientras 3ue /eli6 uses 1VMF&

D An-"isis de sistemas 2inuE

,inu6 es un sistema operativo li1re 1asado en la plataforma Uni6& ,as %erramientas de computacin forense para los sistemas ,inu6 son soft?ares de pro'ramas 3ue investi'an 'ra1aciones di'itales2 1usca arc%ivos 1orrados y perdidos para usarlos como evidencia relevante en al'una investi'acin& ,os desarrolladores recomiendan a3uellas %erramientas para uso solo de profesionales en asuntos de ley2 militares2 contadores2 audiciones internas2 salud2 evaluaciones forenses y el sector conta1le entre otros&

D 1 Herramientas&
D 1 1 Mares)are 2inuE Forensics ,os desarrolladores de Mares and Company Computer Forensics and Eata Analysis2 presentaron una coleccin de %erramientas para la investi'acin de los re'istros informticos& Este soft?are ayuda a los usuarios descu1rir prue1as para usarlas en al'una accin penal y 4urdica& /erramientas de la suite incluyen Catlo'2 /as%2 ME" y Strsrc%& Estas %erramientas 'uardan los n=meros de identificacin de los nom1res de arc%ivo de documentos electrnicos2 preparar los re'istros para su uso como prue1a2 Mares and Company recomienda sus %erramientas para los profesionales de aplicacin de la ley2 las a'encias de inteli'encia2 investi'adores privados e investi'adores internos& D 1 2 SMART SMA;J soft?are de ,inu6 forense proviene de los desarrolladores de AS; datos& Se'=n el sitio ?e1 oficial de la utilidad2 la %erramienta de SMA;J marc%a %acia las necesidades de los profesionales forenses y personal de se'uridad de la informacin& Smart se centra en la inte'racin de re3uisitos t)cnicos2 usuarios finales y le'ales en el pro'rama de soft?are& A trav)s de una interfa5 de usuario multi< %ilo2 SMA;J crea puras copias de ima'en de 1its2 ad3uiere las listas de %as%2 los datos de los clones de ori'en2 'enera informacin so1re los %as%es y ofrece la ima'en de se'uridad y las pre visuali5aciones de
1+

:2

An-"isis de Memoria

ABu8 es "o ,ue un in#esti*ador necesita conocerC ,o 3ue un investi'ador necesita o1tener es la informacin de los diferentes atri1utos del proceso a lo lar'o de los punteros de otros atri1utos y estructuras de datos relacionadas a estas& Sin em1ar'o2 este proceso vara entre los sistemas operticos2 tanto en Lindo?s como en ,inu6& Procedimiento idea"& 1& Eocumentar todos los pasos& Esto no es solo importante por ra5ones evidenciaras2 pero como referencia del propio investi'ador& & Si el sistema est 1lo3ueado2 cam1iar el proceso de ad3uisicin& si no puede o1tener la contrase:a para acceder2 entonces la ad3uisicin del Glive systemI no ser posi1le& +& No cierre nin'una ventana o cual3uier documento7pro'rama 3ue este siendo e4ecutado& Cerrando una ventana se puede interrumpir un proceso 3ue puede afectar lo 3ue esta ocurriendo en el sistema en ese momento&

los datos& Una ve5 3ue los usuarios de SMA;J %an terminado sus operaciones forenses2 se puede utili5ar de SMA;J para limpiar los dispositivos2 las particiones y ran'os de limpie5a de datos& Smart funciona en plataformas ,inu6 a trav)s de interfa5 'rfica de usuario2 QEE y DN@ME am1ientes& D 1 ' FOREMOST Es el soft?are forense de ,inu6 simple y li'ero 3ue recupera arc%ivos 1asados en la informacin contenida en sus ca1eceras2 pies de p'ina y estructuras de datos& _a 3ue se centra en anlisis forense de ima'en2 esta %erramienta soporta muc%os formatos de ima'en para recuperacin de datos2 incluyendo (PD2 D-F2 PND y FMP tipos& Para otros medios de comunicacin2 la %erramienta soporta los formatos A*-2 ENE2 MPD2 ;-FF2 LM*2 M@*2 PEF2 @,E2 E@C2 H-P2 ;A;2 /JM y otros formatos& Foremost muestra la informacin de copyri'%t para o14etos y funciones de deteccin de 1lo3ue indirecto y marcas de tiempo& ,os usuarios pueden e4ecutar el pro'rama en UdetalladoU2 lo 3ue muestra ms informacin en la pantalla2 o el modo rpido2 3ue 1usca la con'ruencia de los enca1e5ados de mayor lon'itud y se acorta la duracin de la 1=s3ueda&

a 'enerar& ,os formatos de cadena de custodia2 de ad3uisicin de evidencia y de se'uimiento son parte de los procedimientos para poder tener control de cada uno de los elementos 3ue se anali5arn& _ es 3ue2 aun3ue un anlisis forense se realice de forma interna2 es imprescindi1le contar con elementos de inte'ridad 3ue permitan prote'er a 3uien reali5a el cmputo forense2 y as2 )ste no se vea involucrado en una acusacin& Son muc%os los retos a los cuales se enfrenta el cmputo forense2 van desde el cam1io constante de la tecnolo'a2 3ue re3uiere de la atencin continua por parte de los investi'adores para poder conocer y sa1er a lo 3ue se enfrentan2 as como al uso del cloud computin' y los procedimientos para poder reali5ar anlisis so1re ellos %asta el tiempo de procesamiento de discos duros de 'randes capacidades& El cmputo forense es una 'ran %erramienta2 tanto para reali5ar investi'aciones internas como para poder usarlo para un procedimiento le'al&`A1TB

Conc"usiones
No e6iste nin'una duda de 3ue la comentada me4ora tecnol'ica est permitiendo un desarrollo superior para las empresas2 la educacin2 la investi'acin2 etc& y 3ue por lo tanto sus 1eneficios sociales son evidentes& Sin em1ar'o2 es tam1i)n cierto 3ue puede o1servarse i'ualmente un desarrollo tecnol'ico en la delincuencia& En este caso2 el cmputo forense es una 'ran %erramienta2 tanto para reali5ar investi'aciones internas como para poder usarlo para un procedimiento le'al2 ya 3ue es %a1itual 3ue cuando los delincuentes son detenidos la mayora de sus datos se encuentren almacenados en su ordenador y2 3ue el anlisis e6%austivo de )ste sea un paso clave para el descu1rimiento de pistas y prue1as de 'ran importancia para el proceso 4udicial& El inter)s por esta rea %a crecido en los =ltimos a:os& Este crecimiento es respuesta a la impara1le di'itali5acin de la informacin en todos los rdenes de la sociedad2 y a la necesidad de reconstruir determinados %ec%os en funcin de evidencias di'itales& As2 en pocos a:os %a pasado de ser utili5ada como parte de los planes de actuacin ante incidentes de se'uridad2 al tiempo 3ue se %a convertido en un procedimiento indispensa1le para numerosos procesos 4udiciales& Es por ello2 y por la pericia

1F ABu8 se necesita !ara !oder crear un "a0oratorio de cm!uto forense dentro de una or*aniGacinC
,a respuesta en s2 muc%as veces es comple4a2 por3ue depende de muc%os factoresK sin em1ar'o2 se re3uiere de recursos %umanos2 %ard?are2 soft?are y procedimientos a la medida para poder atender los tipos de casos se'=n la or'ani5acin& ,os recursos %umanos no necesariamente tienen 3ue estar dedicados al 1..\ a esta actividad2 pero si re3uieren de un proceso de capacitacin y entrenamiento continuos para poder reaccionar al nivel re3uerido de la or'ani5acin& El resto de elementos s de1e ser dedicado y a la medida para poder reaccionar correctamente& No es lo mismo un la1oratorio 3ue reali5ar =nicamente anlisis a e3uipos Lindo?s2 3ue si re3uiere anali5ar diferentes sistemas operativos o tel)fonos celulares& ,os procesos de1en cumplir con las me4ores prcticas internacionales en la disciplina2 como el so1rescri1ir 8?ipe9 todo disco duro antes de usarlo2 a fin de confirmar 3ue no tiene nin'=n elemento 3ue pueda comprometer la ima'en forense <copia 1it a 1it del contenido de un medio de almacenamiento< 3ue se va
1T

necesaria para poder reali5arla2 por la 3ue la comentada demanda apenas puede verse satisfec%a por el escaso n=mero de profesionales 3ue pueden desempe:arla& Aun3ue son muc%os los retos a los cuales se enfrenta esta nueva rea de la ciencia2 3ue van desde el cam1io constante de la tecnolo'a2 la atencin continua por parte de los investi'adores para poder conocer y sa1er a lo 3ue se enfrentan permitir vencer uno a uno estos retos&

Referencias
A1B& A B& A+B& %ttpC77???&aso1ancaria&com7upload7docs7do cPa'1##+!1&pdf %ttpC77???&%ard?are1 v&com7articulos7com putacionforense7 &p%p %ttpC77???&articulo5&com7ley<ci1ernetica< articulos7los<delitos<informaticos<en<la< le'islacion<peruana< +Y.0T &%tml %ttpC77???&delitosinformaticos&com7 %ttpC77???&se'u< info&com&ar7delitos7delitos&%tm %ttpC77ci1ercrimen&1lo'spot&com7 .."71.7el< procedimiento<forense<di'ital&%tml %ttpC77repositorio&utn&edu&ec71itstream71 +T" 0VY#7"+#7V7.T\ .-SC \ .1"V\ .CAP-JU,@\ .--&pdf %ttpC77???&?e1security&es7 %ttpC77encyclopedia &t%efreedictionary&com7l iveMsystem %ttpC77en&?iOipedia&or'7?iOi7Core!dump %ttpC77es&?iOipedia&or'7?iOi7;ootOit %ttpC77noticiastec%&com7?ordpress7apb" %ttpC77'm'systemsinc&com7Onttools7 %ttpC77???&mattica&com7

ATB& A"B& A0B& AVB&

AYB& A#B& A1.B& A11B& A1 B& A1+B& A1TB&

1"