COMPUTACION FORENSE

Flor de María Silvestre Manco Lourdes Iris Mercedes Millán León

Universidad Nacional Mayor de San Marcos Universidad Nacional Mayor de San Marcos
Facultad de Ciencias Matemáticas Facultad de Ciencias Matemáticas
EAP Computación Científica EAP Computación Científica
flor12_59@hotmail.com luly_ml90@hotmail.com

Sergio José Villanueva Flores Valeria Irene León Huaca

Universidad Nacional Mayor de San Marcos Universidad Nacional Mayor de San Marcos
Facultad de Ciencias Matemáticas Facultad de Ciencias Matemáticas
EAP Computación Científica EAP Computación Científica
sergiovi23@hotmail.com valeria16med@hotmail.com

Abstract - Computer forensics is a new and fast growing field that involves carefully collecting and
examining electronic evidence that not only assesses the damage to a computer as a result of an
electronic attack, but also to recover lost information from such a system to prosecute a criminal.

La Computación forense es un campo nuevo de investigación que está creciendo rápidamente. Trata
de la recolección cuidadosa y examinación de evidencia electrónica que no solo evalúa el daño de un
dispositivo como resultado de un ataque electrónico, sino que además sirve para recuperar
información perdida de un sistema para procesar a un criminal.

Key Words - Palabras Claves: Análisis De Sistemas, Delitos Informáticos, Equipos Forenses,
Herramientas de la Computación Forense, Identificación De La Evidencia Digita, Legislación,
Procedimiento Forense Digital, Resguardo Evidencia Digital, Software Forense.

1
 almacenar, leer e incluyen tanto software
1 Introducción materializado en el caso
incluso recuperar como dispositivos de
bajo estudio.
cuando se creía hardware. Otra
El constante reporte de
eliminada. situación que se ha
vulnerabilidades en La informática forense
venido presentando es
sistemas de hace entonces su
La informática forense, el uso de herramientas
información, el aparición como una
aplicando tradicionales como los
aprovechamiento de disciplina auxiliar de la
procedimientos estrictos utilitarios. [1]
fallas bien sea humanas, justicia moderna, para
procedimentales o y rigurosos puede
enfrentar los desafíos y
tecnológicas sobre ayudar a resolver 2.1 Herramientas
técnicas de los intrusos
infraestructuras de grandes crímenes para la
informáticos, así como
computación en el apoyándose en el
garantía de la verdad
método científico,
recolección
mundo, ofrecen un alrededor de la de
escenario perfecto para aplicado a la
evidencia digital que se evidencia.
que se cultiven recolección, análisis y
pudiese aportar en un
tendencias relacionadas validación de todo tipo
proceso. Las herramientas para
con intrusos de pruebas digitales.
la recolección de
informáticos. Estos La informática forense evidencia representan el
intrusos poseen En consecuencia,
está adquiriendo una tipo de herramienta más
diferentes trataremos de ofrecer un
gran importancia dentro importante en la
motivaciones, alcances panorama general de
del área de la computación forense,
y estrategias que esta especialidad
información porque su centro de
desconciertan a técnico-legal, para
electrónica, esto debido acción está en el que
analistas, consultores y ilustrar a los lectores
al aumento del valor de para muchos es el punto
cuerpos especiales de sobre los fundamentos
la información y/o al central.
investigaciones, pues generales y bases de
uso que se le da a ésta,
sus modalidades de actuación de aquellos
al desarrollo de nuevos Su uso es necesario por
ataque y penetración de que se han dedicado a
espacios donde es usada varias razones:
sistemas varían de un procurar el
(por Ej. El Internet), y
caso a otro. esclarecimiento de los
al extenso uso de -Gran volumen de datos
hechos en medios
computadores por parte que almacenan los
A pesar del escenario informáticos.
de las compañías de computadores actuales.
anterior, la negocios tradicionales
criminalística nos (por Ej. bancos). Es por 2 Herramientas -Variedad de formatos
ofrece un espacio de esto que cuando se de de archivos, los cuales
análisis y estudio sobre realiza un crimen, pueden variar
los hechos y las muchas veces la Informaci enormemente, aún
evidencias que se información queda ón dentro del contexto de
identifican en el lugar almacenada en forma un mismo sistema
donde se llevaron a digital. Es de aquí que
Forense
operativo.
cabo las acciones surge el estudio de la En los últimos dos años
catalogadas como computación forense se ha disparado el -Necesidad de recopilar
criminales. En este como una ciencia número de herramientas la información de una
momento, es preciso relativamente nueva. para computación manera exacta, que
establecer un nuevo forense, es posible permita verificar que la
conjunto de Resaltando su carácter encontrar desde las más copia es fiel y además
herramientas, científico, tiene sus sencillas y económicas, mantener inalterada la
estrategias y acciones fundamentos en las como programas de escena del delito.
para descubrir en los leyes de la física, de la menos de US$300
medios informáticos, la electricidad y el cuyas prestaciones -Limitaciones de
evidencia digital que magnetismo. Es gracias habitualmente son muy tiempo para analizar
sustente y verifique las a fenómenos limitadas, hasta toda la información.
afirmaciones delictivas electromagnéticos que herramientas muy
que se han la información se puede sofisticadas que

2
-Volatilidad de la varias computadoras o formatos, además de -Soporte de múltiples
información varios casos a la vez. galerías de archivos sistemas de archivo.
almacenada en los gráficos. Una herramienta de
computadores, alta -Búsqueda y análisis de recopilación de
vulnerabilidad al múltiples partes de -Capacidad para evidencia debe estar en
borrado, con una sola archivos adquiridos. representar en forma capacidad de recuperar
información se pueden Debe permitir la gráfica estructuras de información de diversos
eliminar hasta varios búsqueda y análisis de datos, archivos, sistemas de archivos;
gigabytes. múltiples partes de la volúmenes, directorios, DOS, Windows (todas
evidencia en forma árboles, organización y las versiones),
-Empleo de paralela en diferentes en general tópicos de Macintosh (MFS, HFS,
mecanismos de medios como discos interés que faciliten el HFS+), Linux, UNIX
encriptación, o de duros, discos extraíbles, trabajo de análisis. (Sun, Open BSD), CD-
contraseñas. discos “Zip”, CDs y ROM, y los sistemas de
otros. -Búsqueda automática y archivos DVDR. Esta
-Diferentes medios de análisis de archivos de es la limitación de
almacenamiento, como -Capacidad de tipo Zip, Cab, Rar, Arj y algunas herramientas,
discos duros, CDs y almacenamiento en en general formatos pues están diseñadas
cintas. varios medios: También comprimidos, así como para un número
es necesario poder archivos adjuntos de limitado de sistemas de
A continuación se almacenar la correos electrónicos. archivos o es necesario
presentan las información recabada adquirir módulos
principales facilidades en diferentes medios, -Identificación y aparte, lo que
de recolección y como discos duros IDE análisis de firmas de incrementa su costo.
análisis que se esperaría o SCSI, drives ZIP, y archivos, es decir
de una buena Jazz. Uno de los medios aquellos bytes que -Vista de archivos y
herramienta: ideales son los CD- generalmente se otros datos en el
ROM pues contribuyen encuentran al comienzo espacio unallocated:
-Dispositivos que a mantener intacta la de un archivo y están una buena herramienta
permitan copiado a una integridad forense de directamente deberá proveer
alta velocidad y de los archivos. relacionadas con el tipo facilidades para tener
diferentes medios, de este y por una vista del disco duro
claro, limitado eso si -Variables de consiguiente con su de origen, de los
por el medio original de ordenamiento y extensión. Con la archivos borrados y
los datos, esto búsqueda: debe permitir capacidad de análisis de todos los datos en el
brindando diferentes el ordenamiento y firmas es posible espacio unallocated, el
tipos de dispositivos búsqueda de los detectar si un archivo espacio ocupado por el
como cables paralelos, archivos de la evidencia fue renombrado, pues el archivo dentro del
seriales, USB, etc. de acuerdo con solo cambio de su cluster, archivos Swap y
diferentes campos, extensión para hacerlo Print Spooler, todo esto
-Asegurar un copiado incluyendo campos aparecer de otro tipo, no de manera gráfica.
sin pérdida de datos y como las tres genera cambios en su
que corresponde a una estampillas de tiempo firma. -Recuperación de
copia fiel. (cuando se creó, último passwords: en muchas
acceso, última -Facilidades para ocasiones la
-Copia comprimida de escritura), nombres de recuperar de manera información recuperada
discos origen para los archivos, firma de eficiente y no invasiva puede estar protegida
facilitar el manejo y los archivos, información critica con passwords por lo
conservación de extensiones y como sellos de fecha, que será necesario
grandes volúmenes de propiedades. sellos de hora, registro descifrarlos.
información. Muy de accesos y la Generalmente esta
práctico además cuando -Capacidad para actividad de facilidad no viene
se deben manejar visualización de comportamiento. incluida en estas
investigaciones de archivos en diferentes herramientas, se deben
comprar a parte.

3
-Herramientas de foco de atención, con documentos, sino 3 Metodología
gestión; por último una anotaciones sobre las software también.
herramienta debería horas, y con los Como en todo proceso
incluir facilidades de mensajes que generan 2.4 Herramientas de análisis existe una
gestión para el manejo algunas aplicaciones. metodología a seguir
de
mismo de los que nos marca los pasos
expedientes y reportes Existen otras que
Hardware a desarrollar de forma
de las investigaciones guardan imágenes de la El proceso de que siempre
pantalla que ve el recolección de acabaremos con los
2.2 Herramientas usuario del computador, evidencia debe ser lo cabos bien atados y con
o hasta casos donde la menos invasivo posible unos resultados
para el
máquina es controlada con el objeto de no altamente fiables.
monitoreo remotamente. modificar la
y/o control información. Esto ha Todas las acciones son
de Es importante tener en dado origen al muy procedimentales,
computado cuenta que herramientas desarrollo de siempre se ha de seguir
res: de este tipo han llegado herramientas que el mismo patrón. [2]
a ser usadas con fines incluyen dispositivos
Algunas veces se fraudulentos (captura de como conectores, 3.1 Estudio
necesita información claves de los clientes en unidades de grabación, preliminar
sobre el uso de los cafés Internet u otros etc. Es el caso de
computadores, por lo sitios públicos). Se han herramientas como En el primer paso nos
tanto existen detectado instalaciones DIBS “Portable hemos de plantear a la
herramientas que remotas de sencillos Evidence Recovery situación en la que nos
monitorean el uso de programas que registran Unit” y una serie de encontramos: estado
los computadores para toda la actividad del herramientas de físico del disco, causas
poder recolectar usuario en el teclado, Intelligent Computer del posible fallo,
información. esta es almacenada en Solutions; sistema operativo,
un archivo que es LinkMASSter Forensic topología de la red,
Existen algunos obtenido de forma Soft Case, etcétera. Esta es la toma
programas simples remota por el LinkMASSter Forensic de contacto y de aquí
como key loggers o perpetrador. El uso de Hard Case, Image saldrá, a priori, el
recolectores de estas herramientas debe MASSter Solo 2 camino a seguir para
pulsaciones del teclado estar plenamente Forensic Kit With Hard llegar a buen puerto.
que guardan autorizada y un Case.
información sobre las investigador no debería
teclas que son tomar el solo la
3.2 Adquisición
Asimismo, debido a la
presionadas. Estas decisión de su uso. vulnerabilidad de la de datos
herramientas pueden ser copia y modificación de
útiles cuando se quiere 2.3 Herramientas los documentos En esta fase obtenemos
comprobar actividad almacenados en una copia exacta del
sospechosa ya que
de marcado disco duro a tratar para
archivos magnéticos,
guardan los eventos de los investigadores poder trabajar con ellos
generados por el documentos deben revisar con en el laboratorio.
teclado, por ejemplo, frecuencia que sus
El objetivo de este tipo
cuando el usuario teclea copias son exactas a las Para esta fase la forma
de herramientas es el de
la tecla de 'retroceder', del disco del más común de
insertar una marca a la
esto es guardado en un sospechoso y para esto realizarlo es mediante el
información sensible
archivo o enviado por utilizan varias comando ‘dd’ de Linux,
para poder detectar el
e-mail. Los datos tecnologías como que nos realiza un
robo o tráfico con la
generados son Checksums o Hash volcado de un disco a
misma. A través de
complementados con MD5. otro. En esta fase ha de
estas herramientas es
información estar presente un
posible marcar no solo
relacionada con el notario para dar fe de
programa que tiene el los actos realizados.

4
3.3 Análisis multidisciplinar, bien
preparada, y en el área
Procedemos a realizar técnica de todas las
las comprobaciones herramientas existentes
necesarias y a la en multitud de sistemas
manipulación de los operativos y era informática, la cual
datos, para ello puede arquitecturas hardware.
ser tan fácil como
arrancar el sistema Hay 3 tipos de prioridad
operativo y mirarlo en a la hora de realizar los
modo gráfico, o bien trabajos: "Estándar" en
realizar una lectura a la que todo transcurre
nivel físico y en orden de llegada,
"Prioritario" en la que si
determinar la solución
mediante los bits. [4] habían trabajos
esperando éste nuevo
3.4 les pasa delante, o bien
la prioridad "Urgente" o
24:7" en la que se
Presentación
trabaja día y noche para
entregarlo cuanto antes.
Después de un trabajo
duro llega el momento
5 El Delito
de la entrega de los
resultados obtenidos al Informático en
cliente. Si éste requiere el Código Penal
presentar una denuncia
judicial aportando como Peruano
pruebas las
conclusiones obtenidas, Los delitos informáticos
se le realiza un informe han sido recientemente
judicial para su regulados en nuestra
exposición ante el juez. legislación peruana,
mediante la Ley Nº
27309, publicada en el
4 Equipo
Diario Oficial "El
forense Peruano" el lunes
diecisiete de Julio del
La computación forense
año dos mil, con la cual
se complica mucho al
se incorpora al Título V
tener en cuenta que en
del Libro Segundo del
las empresas no solo se
Código punitivo
usa Windows, si no que
por ejemplo lo más
nacional, un nuevo
capítulo (Capítulo X)
habitual es que en los
que comprende tres
servidores se use
artículos 2O7°-A
Novell, Solaris, Linux,
(Intrusismo
etc. Es por eso que en
informático), 207°-B
las filas del equipo
(Sabotaje informático)
todos han de saber más
y 207º-C (formas
o menos las entrañas de
agravadas), lo que
cada uno de estos SO’s.
emerge palmariamente
como un intento de
El equipo básicamente actualizar nuestra
se compone de gente legislación interna en
5
relación a los nuevos
avances de la
tecnología, y sobre todo
teniendo en cuenta que
estamos dentro de una
no puede soslayarse, en
sus efectos y privativa de libertad no
consecuencias.[3]
5.1 Artículos de las
leyes
peruanas
sobre delito
informático
Art. 207-A.- El que
utiliza o ingresa
indebidamente a una
base de datos, sistema o
red de computadoras o
cualquier parte de la
misma, para diseñar,
ejecutar o alterar un
esquema u otro similar,
o para interferir,
interceptar, acceder o
copiar información en
tránsito o contenida en
una base de datos, será
reprimido con pena
privativa de libertad no
mayor de dos años o
con prestación de
servicios comunitarios
de cincuenta y dos a
ciento cuatro jornadas.
Si el agente actuó con el
fin de obtener un
beneficio económico,
será reprimido con pena
privativa de libertad no
mayor de tres años o
con prestación de
servicios comunitarios
no menor de ciento
cuatro jornadas".
Articulo 207-B.- El que
utiliza, ingresa o robos, hurtos, fraudes,
interfiere
indebidamente una base
de datos, sistema, red o
programa de
computadoras o
cualquier parte de la
misma con el fin de
alterarlos, dañarlos o
destruirlos, será
reprimido con pena
menor de tres ni mayor
de cinco años y con
setenta a noventa días-
multa.
Artículo 207-C.- En
los casos de los
Artículos 207-A y 207-
B, la pena será privativa
de libertad no menor de
cinco ni mayor de siete
años, cuando:
1. El agente
accede a una base de
datos, sistema o red de
computadora, haciendo
uso de información
privilegiada, obtenida
en función a su cargo.
2. El agente pone
en peligro la seguridad
nacional
6 Legislación y
delitos
informátic
os - la
informació
n y el
delito
El delito informático
implica actividades
criminales que los
países han tratado de
encuadrar en figuras
típicas de carácter
tradicional, tales como
falsificaciones,
perjuicios, estafas,
sabotajes. Sin embargo,
debe destacarse que el En 1992 la Asociación necesariamente con la En este punto debe
uso de las técnicas Internacional de ayuda de los sistemas hacerse un punto y
informáticas han creado Derecho Penal, durante informáticos, pero notar lo siguiente:
nuevas posibilidades el coloquio celebrado tienen como objeto del
del uso indebido de las en Wurzburgo injusto la información • No es la
computadoras lo que ha (Alemania), adoptó en sí misma". computadora la que
creado la necesidad de diversas atenta contra el hombre,
regulación por parte del recomendaciones Adicionalmente, la es el hombre el que
derecho. respecto a los delitos OCDE elaboró un encontró una nueva
informáticos, entre ellas conjunto de normas herramienta, quizás la
Se considera que no que, en la medida que el para la seguridad de los más poderosa hasta el
existe una definición Derecho Penal no sea sistemas de momento, para
formal y universal de suficiente, deberá información, con la delinquir.
delito informático pero promoverse la intención de ofrecer las
se han formulado modificación de la bases para que los • No es la
conceptos respondiendo definición de los delitos distintos países computadora la que
a realidades nacionales existentes o la creación pudieran erigir un afecta nuestra vida
concretas: "no es labor de otros nuevos, si no marco de seguridad privada, sino el
fácil dar un concepto basta con la adopción para los sistemas aprovechamiento que
sobre delitos de otras medidas como informáticos. hacen ciertos individuos
informáticos, en razón por ejemplo el de los datos que ellas
de que su misma "principio de 1. En esta contienen.
denominación alude a subsidiariedad". delincuencia se trata
una situación muy con especialistas • La humanidad
especial, ya que para Se entiende Delito capaces de efectuar el no está frente al peligro
hablar de "delitos" en el como: "acción penada crimen y borrar toda de la informática sino
sentido de acciones por las leyes por huella de los hechos, frente a individuos sin
típicas, es decir realizarse en perjuicio resultando, muchas escrúpulos con
tipificadas o de algo o alguien, o por veces, imposible de aspiraciones de obtener
contempladas en textos ser contraria a lo deducir como es como el poder que significa el
jurídicos penales, se establecido por se realizó dicho delito. conocimiento.
requiere que la aquéllas". La Informática reúne
expresión "delitos características que la • Por eso la
informáticos" esté Finalmente la OCDE convierten en un medio amenaza futura será
consignada en los publicó un estudio idóneo para la comisión directamente
códigos penales, lo cual sobre delitos de nuevos tipos de proporcional a los
en nuestro país, al igual informáticos y el delitos que en gran adelantos de las
que en otros muchos no análisis de la normativa parte del mundo ni tecnologías
han sido objeto de jurídica en donde se siquiera han podido ser informáticas.
tipificación aún." reseñan las normas catalogados.
legislativas vigentes y • La protección
En 1983, la se define Delito 2. La legislación de los sistemas
Organización e Informático como sobre sistemas informáticos puede
Cooperación y "cualquier informáticos debería abordarse desde
Desarrollo Económico comportamiento perseguir acercarse lo distintos perspectivas:
(OCDE) inicio un antijurídico, no ético o más posible a los civil, comercial o
estudio de las no autorizado, distintos medios de administrativa.
posibilidades de aplicar relacionado con el protección ya
y armonizar en el plano procesado automático existentes, pero creando Lo que se deberá
internacional las leyes de datos y/o una nueva regulación intentar es que ninguna
penales a fin e luchar transmisiones de datos." basada en los aspectos de ellas sea excluyente
contra el problema del del objeto a proteger: la con las demás y, todo lo
uso indebido de los "Los delitos información. contrario, lograr una
programas informáticos se realizan protección global desde
computacionales.

6
los distintos sectores dirigidas en contra de la Generalmente este de "delitos
para alcanzar cierta computadora, sujeto tiene cierto status electrónicos" :
eficiencia en la defensa accesorios o programas socioeconómico y la
de estos sistemas como entidad física. comisión del delito no 1. Como Método:
informáticos. puede explicarse por conductas criminales en
pobreza, carencia de donde los individuos
Julio Téllez Valdez recursos, baja utilizan métodos
clasifica a los delitos Ejemplos: educación, poca electrónicos para llegar
informáticos en base a inteligencia, ni por a un resultado ilícito.
dos criterios: • Instrucciones inestabilidad
que producen un emocional. 2. Como Medio:
1. Como bloqueo parcial o total conductas criminales en
instrumento o medio: se del sistema. 3. Son acciones donde para realizar un
tienen a las conductas ocupacionales, ya que delito utilizan una
criminales que se valen • Destrucción de generalmente se computadora como
de las computadoras programas por realizan cuando el medio o símbolo.
como método, medio o cualquier método. sujeto atacado se
símbolo en la comisión encuentra trabajando. 3. Como Fin:
del ilícito. • Atentado físico conductas criminales
contra la computadora, 4. Son acciones dirigidas contra la
Ejemplos: sus accesorios o sus de oportunidad, ya que entidad física del objeto
medios de se aprovecha una o máquina electrónica o
• Falsificación comunicación. ocasión creada por el su material con objeto
de documentos vía atacante. de dañarla.
computarizada: tarjetas • Secuestro de
de créditos, cheques, soportes magnéticos 5. Provocan Legislación y Delitos
etc. con información pérdidas económicas. Informáticos - El
valiosa, para ser Delincuente y la
• Variación de la utilizada con fines 6. Ofrecen Víctima
situación contable. delictivos. posibilidades de tiempo
y espacio.
• Planeamiento y Este mismo autor
simulación de delitos sostiene que las 7. Son muchos 6.1 Sujeto Activo
convencionales como acciones delictivas los casos y pocas las
robo, homicidio y informáticas presentan denuncias, y todo ello Se llama así a las
fraude. las siguientes por la falta de personas que cometen
características: regulación y por miedo los delitos informáticos.
• Alteración el al descrédito de la Son aquellas que
funcionamiento normal 1. Sólo una organización atacada. poseen ciertas
de un sistema mediante determinada cantidad características que no
la introducción de de personas (con 8. Presentan presentan el
código extraño al conocimientos técnicos grandes dificultades denominador común de
mismo: virus, bombas por encima de lo para su comprobación, los delincuentes, esto
lógicas, etc. normal) pueden llegar a por su carácter técnico. es, los sujetos activos
cometerlos. tienen habilidades para
• Intervención 9. Tienden a el manejo de los
de líneas de 2. Son conductas proliferar, por lo se sistemas informáticos y
comunicación de datos criminales del tipo requiere su urgente generalmente por su
o teleprocesos. "cuello blanco": no de regulación legal. situación laboral se
acuerdo al interés encuentran en lugares
2. Como fin u protegido (como en los María Luz Lima, por su estratégicos donde se
objetivo: se enmarcan delitos convencionales) parte, presenta la maneja información de
las conductas sino de acuerdo al siguiente clasificación carácter sensible, o bien
criminales que van sujeto que los comete. son hábiles en el uso de

7
los sistemas mencionadas de las instituciones crediticias, prevención efectiva de
informatizados, aún personas que cometen instituciones militares, la criminalidad
cuando, en muchos de los delitos informáticos, gobiernos, etc. que usan informática se requiere,
los casos, no estudiosos en la materia sistemas automatizados en primer lugar, un
desarrollen actividades los han catalogado de información, análisis objetivo de las
laborales que faciliten como delitos de "cuello generalmente necesidades de
la comisión de este tipo blanco" término conectados a otros. protección y de las
de delitos.[4] introducido por primera fuentes de peligro. Una
vez por el criminólogo El sujeto pasivo del protección eficaz contra
Con el tiempo se ha norteamericano Edwin delito que nos ocupa, es la criminalidad
podido comprobar que Sutherland en el año de sumamente importante informática presupone
los autores de los 1943. para el estudio de los ante todo que las
delitos informáticos son delitos informáticos, ya víctimas potenciales
muy diversos y que lo La "cifra negra" es muy que mediante él conozcan las
que los diferencia entre alta; no es fácil podemos conocer los correspondientes
sí es la naturaleza de los descubrirlos ni diferentes ilícitos que técnicas de
delitos cometidos. De sancionarlos, en razón cometen los manipulación, así como
esta forma, la persona del poder económico de delincuentes sus formas de
que "entra" en un quienes lo cometen, informáticos. encubrimiento.
sistema informático sin pero los daños
intenciones delictivas es económicos son Es imposible conocer la En el mismo sentido,
muy diferente del altísimos; existe una verdadera magnitud de podemos decir que con:
empleado de una gran indiferencia de la los delitos informáticos,
institución financiera opinión pública sobre ya que la mayor parte 3. La divulgación
que desvía fondos de los daños ocasionados a no son descubiertos o de las posibles
las cuentas de sus la sociedad. A los no son denunciados a conductas ilícitas
clientes. sujetos que cometen las autoridades derivadas del uso de las
este tipo de delitos no responsables y si a esto computadoras;
El nivel típico de se considera se suma la falta de leyes
aptitudes del delincuentes, no se los que protejan a las 4. Alertas a las
delincuente informático segrega, no se los víctimas de estos potenciales víctimas,
es tema de controversia desprecia, ni se los delitos; la falta de para que tomen las
ya que para algunos el desvaloriza; por el preparación por parte de medidas pertinentes a
nivel de aptitudes no es contrario, es las autoridades para fin de prevenir la
indicador de considerado y se comprender, investigar delincuencia
delincuencia considera a sí mismo y aplicar el tratamiento informática;
informática en tanto "respetable". Estos tipos jurídico adecuado; el
que otros aducen que de delitos, temor por parte de las 5. Creación de
los posibles generalmente, son empresas de denunciar una adecuada
delincuentes objeto de medidas o este tipo de ilícitos por legislación que proteja
informáticos son sanciones de carácter el desprestigio que esto los intereses de las
personas listas, administrativo y no pudiera ocasionar a su víctimas;
decididas, motivadas y privativo de la libertad. empresa y las
dispuestas a aceptar un consecuentes pérdidas 6. Una eficiente
reto tecnológico, 6.2 Sujeto Pasivo económicas, trae como preparación por parte
características que consecuencia que las del personal encargado
pudieran encontrarse en Este, la víctima del estadísticas sobre este de la procuración,
un empleado del sector delito, es el ente sobre tipo de conductas se administración y la
de procesamiento de el cual recae la mantenga bajo la impartición de justicia
datos. conducta de acción u llamada "cifra negra". para atender e
omisión que realiza el investigar estas
Sin embargo, teniendo sujeto activo. Las Por lo anterior, se conductas ilícitas; se
en cuenta las víctimas pueden ser reconoce que para estaría avanzando
características ya individuos, conseguir una mucho en el camino de

8
la lucha contra la tipos, pero los más del dinero obtenido en investigarse con el
delincuencia comunes consisten en la esas operaciones.Según acopio de medios
informática, que cada no entrega del / los el FBI, el delito informáticos.Las
día tiende a expandirse objetos o dinero, falta informático número uno investigaciones por los
más. de coincidencia entre el que se lleva a cabo en el atentados en Madrid
objeto presentado y el comercioelectrónico es comenzaron como los
Además, se debe real, y el viejo y el del fraude en los de otros tantos delitos
destacar que los conocido acuerdo entre sitios de subastas on tecnológicos,
organismos socios para inflar el line.Sitios como el intentando ubicar a los
internacionales han precio de venta de un famoso eBay tienen su vendedores de los
adoptado resoluciones producto subastado.De propio equipo y tarjetas chip mediante
similares en el sentido los 20 mil casos personal para intentar las cuales se cometieron
de que educando a la recolectados por la detectar y poner en los delitos.Toda una red
comunidad de víctimas división del FBI evidencia estas acciones de telecomunicaciones,
y estimulando la encargada de fraudes en su sistema.Hasta que incluye la
denuncia de los delitos, informáticos en seis ahora el caso más transmisión a través de
se promovería la meses, el 64 por ciento importante de fraude satélites fue utilizada
confianza pública en la de las denuncias detectado sucedió en para cometer asesinatos
capacidad de los corresponden a subastas abril de 2004,durante colectivos.Las
encargados de hacer on line,otro 22 por una transacción que instalaciones nucleares
cumplir la ley y de las ciento a mercadería o implicó la venta de y las comunicaciones
autoridades judiciales dinero no enviado y monedas de plata y oro estratégicas no son
para detectar, investigar apenas un 5 por ciento por un valor cercano al accesibles por internet;
y prevenir los delitos al fraude de tarjetas de medio millón de apenas 1% de los
informáticos.[5] crédito.Claro que, dólares.Este fenómeno hackers tienen los
recién cuando el fraude ha provocado conocimientos
6.3 Legislación es detectado, comienza preocupación en el necesarios para generar
la historia; ya que ahí es mundo y hasta ahora el destrozos a gran escala.
Informática
el momento de entregar triunfo es de ellos,ya Sería necesario contar
Internacional las pruebas a las fuerzas que llevan la iniciativa, con recursos
oficiales para que tienen la tecnología y considerables para crear
Según el responsable de juzguen el caso y lo manejan la ciencia. un daño real: 200
la Asociación para la enmarquen dentro de Medidas tales como millones de dólares y
Investigación de los las leyes.Como muestra incrementar la cinco años de
Delitos de Alta de este trabajo de seguridad informática, preparación de acuerdo
Tecnología (High investigación privado y investigar y mejorar los a las conclusiones de un
Technology Crime condena pública, y de la mecanismos de experimento llevado a
Investigative dureza que se intenta encriptación standard cabo en julio del 2002
Association – HTCIA) imponer en este juego, (paradójicamente tarea por la marina de EEUU.
las fuerzas de seguridad en California (Estados desarrollada por
oficiales no cuentan con Unidos), en abril de hackers retirados y
el personal o la 7 Evidencia
2004, dos personas dedicados a una
tecnología suficiente fueron encontradas actividad oficial), Forense
para atender a las culpables de fraude en educar a los usuarios y
demandas de estos transacciones on line revisar o formular Según Eoghan Casey la
sectores frente a un por inflar los precios en legislaciones referentes Evidencia Digital es
problema calificado más de mil subastas que al caso,se tornan cualquier dato ó registro
como “menor” frente a habían colocado en E- insuficientes cuando las generado en un sistema
los delitos usuales.La Bay entre noviembre de redes son computacional que
HTCIA fue creada por 1998 y junio de 2004. sistemáticamente puede establecer que un
los propios afectados y Los detenidos pueden vulneradas.Los crimen se ha ejecutado
constantemente llegar a pasar hasta atentados en España nos ó puede proporcionar
incorpora nuevos cinco años en prisión y demostraron que un enlace (link) entre
miembros.Los fraudes fueron obligados a cualquier delito puede un crimen y su víctima
pueden ser de varios reintegrar un porcentaje cometerse o ó un crimen y su autor.

9
También se define Cuando ha sucedido un 7.1 Clasificación afirmaciones humanas
como cualquier incidente, de la Evidencia contenidas en la
información que sujeta generalmente, las evidencia son reales.
a una intervención personas involucradas
Digital
humana u otra en el crimen intentan 7.1.3 Registros
semejante, ha sido manipular y alterar la Según Cano la híbridos que incluyen
extraída de un medio evidencia digital, Evidencia Digital se tanto registros
informático. [6] tratando de borrar clasifica en 3 generados por
cualquier rastro que categorías: [7] computador como
A diferencia de la pueda dar muestras del almacenados en los
documentación en daño. Sin embargo, este 7.1.1 Registros mismos: Los registros
papel, la evidencia problema es mitigado generados por híbridos son aquellos
computacional es frágil con algunas computador: Estos que combinan
y una copia de un características que registros son aquellos, afirmaciones humanas y
documento almacenado posee la evidencia que como dice su logs. Para que estos
en un archivo es digital, mencionamos nombre, son generados registros sirvan como
idéntica al original. algunas: como efecto de la prueba deben cumplir
Otro aspecto único de la programación de un los dos requisitos
evidencia • Puede ser duplicada computador. Los anteriores.
computacional es el de forma exacta y se registros generados por
potencial de realizar puede sacar una copia computador son
inalterables por una 7.2 Criterios de
copias no autorizadas para ser examinada admisibilidad de la
de archivos, sin dejar como si fuera la persona. Estos registros
rastro de que se realizó original. Esto se hace son llamados registros Evidencia Digital:
una copia. Esta comúnmente para no de eventos de seguridad
situación crea manejar los originales y y sirven como prueba En legislaciones
problemas evitar el riesgo de tras demostrar el modernas existen cuatro
concernientes a la dañarlos. correcto y adecuado criterios que se deben
investigación del robo funcionamiento del tener en cuenta para
de secretos comerciales, • Actualmente, con las sistema o computador analizar al momento de
como listas de clientes, herramientas existentes, que generó el registro. decidir sobre la
material de es muy fácil comparar admisibilidad de la
investigación, archivos la evidencia digital con 7.1.2 Registros no evidencia: la
de diseño asistidos por su original, y generados sino autenticidad, la
computador, fórmulas y determinar si la simplemente confiabilidad, la
software propietario. evidencia digital ha sido almacenados en completitud ó
alterada. computadores: Estos suficiencia, y el apego y
Debe tenerse en cuenta registros son aquellos respeto por las leyes y
que los datos digitales • La evidencia de generados por una reglas del poder
adquiridos de copias no Digital es muy difícil de persona, y que son judicial. [8]
se deben alterar de los eliminar. Aún cuando almacenados en el
originales del disco, un registro es borrado computador, por 7.2.1 Autenticidad:
porque esto invalidaría del disco duro del ejemplo, un documento
la evidencia; por esto computador, y éste ha realizado con un Una evidencia digital
los investigadores sido formateado, es procesador de palabras. será autentica siempre y
deben revisar con posible recuperarlo. En estos registros es cuando se cumplan dos
frecuencia que sus importante lograr elementos:
copias sean exactas a demostrar la identidad
• Cuando los
las del disco del del generador, y probar  El primero,
individuos involucrados
sospechoso, para esto se hechos o afirmaciones demostrar que
en un crimen tratan de
utilizan varias contenidas en la dicha evidencia ha
destruir la evidencia,
tecnologías, como por evidencia misma. Para sido generada y
existen copias que
ejemplo checksums o lo anterior se debe registrada en el
permanecen en otros
hash MD5. demostrar sucesos que lugar de los hechos.
sitios.
muestren que las

10
 La segunda, la centralizado e íntegro manipulación de la Los Métodos que
evidencia digital de los mismos registros. evidencia digital. utilizan para la
debe mostrar que manipulación de
los medios 7.2.3 Suficiencia o • Hacer uso de medios evidencias son:
originales no han completitud de las forenses estériles (para
sido modificados, pruebas: copias de información). Un laboratorio de
es decir, que los informática forense
registros Para que una prueba • Mantener y controlar necesita tener la
corresponden esté considerada dentro la integridad del medio capacidad de buscar
efectivamente a la del criterio de la original. Esto significa, evidencia en grandes
realidad y que son suficiencia debe estar que a la hora de universos de búsqueda,
un fiel reflejo de la completa. Para asegurar recolectar la evidencia de manera precisa y
misma. esto es necesario digital, las acciones exacta, y con un
“contar con realizadas no deben desempeño razonable,
7.2.2 Confiabilidad: mecanismos que cambiar nunca esta manteniendo siempre la
proporcionen evidencia. integridad evidencial,
Se dice que los registros integridad, como forma de
de eventos de seguridad sincronización y • Cuando sea necesario satisfacer dichos
son confiables si centralización” para que una persona tenga requerimientos, se
provienen de fuentes lograr tener una vista acceso a la evidencia proponen las siguientes
que son “creíbles y completa de la digital, esa persona alternativas de solución:
verificables”. Para situación, por ello es debe ser un profesional
probar esto, se debe necesario hacer una forense. Software de búsqueda
contar con una verdadera correlación de evidencia en diskette
arquitectura de de eventos, la cual • Las copias de los forense, no requiere
computación en puede ser manual o datos obtenidas, deben abrir el computador ni
correcto sistematizada. estar correctamente manipular el disco duro
funcionamiento, la cual marcadas, controladas y sospechoso.
demuestre que los logs 7.2.4 Apego y preservadas y al igual
que generan tiene una respeto por las leyes y que los resultados de la PC estándar con
forma confiable de ser reglas del poder investigación, deben software de análisis
identificados, judicial: estar disponibles para forense que permita
recolectados, su revisión. hacer búsquedas sin
almacenados y Este criterio se refiere a necesidad de realizar
verificados. Una prueba que la evidencia digital • Siempre que la una copia del disco
digital es confiable si el debe cumplir con los evidencia digital este en sospechoso, y sin
“sistema que lo produjo códigos de poder de algún necesidad de conectar
no ha sido violado y procedimientos y individuo, éste será directamente el disco
estaba en correcto disposiciones legales responsable de todas la sospechoso a la
funcionamiento al del ordenamiento del acciones tomadas con máquina forense. No
momento de recibir, país. Es decir, debe respecto a ella, mientras requiere abrir el
almacenar o generar la respetar y cumplir las esté en su poder. computador ni
prueba”. La normas legales vigentes manipular el disco duro
arquitectura de en el sistema jurídico. • Las agencias sospechoso.
computación del responsables de llevar
sistema logrará tener un 7.3 Evidencia el proceso de PC con modificaciones
funcionamiento Digital, recolección y análisis de hardware para
correcto siempre que de la evidencia digital, permitir únicamente la
tenga algún mecanismo Manipulació serán quienes deben lectura de discos a
de sincronización del n y Métodos: garantizar el través de un bus de
registro de las acciones Es importante tener cumplimiento de los datos para análisis
de los usurarios del presente los siguientes principios anteriores. forense, al que se
sistema y que la posea requisitos que se deben deberá conectar el disco
con un registro cumplir en cuanto a la duro sospechoso al ser

11
analizado, y con El “RFC 3227: Guía comodidad que se Informatica y Forense)
cualquier software de Para Recolectar y necesitan para todo el creada en Hong Kong,
análisis forense. Archivar Evidencia” proceso forense de publico “Computación
Requiere abrir le (Guidelines for evidencia digital, desde Forense - Parte 2:
computador y Evidence Collection examinar la escena del Mejores Practicas”
manipular el disco duro and Archiving) crimen hasta la (Computer Forensics –
sospechoso. [GuEvCo02], escrito en presentación en la corte. Part 2: Best Practices).
febrero de 2002 por Esta guía cubre los
7.4 Gestión de la Dominique Brezinski y Investigación en la procedimientos y otros
Evidencia digital Tom Killalea, Escena del Crimen requerimientos
ingenieros del Network Electrónico (Guía DoJ necesarios involucrados
Working Group. Es un 1) :El Departamento de en el proceso forense de
Existen gran cantidad
documento que provee Justicia de los Estados evidencia digital, desde
de guías y buenas
una guía de alto nivel Unidos de América el examen de la escena
prácticas que nos
para recolectar y (DoJ EEUU), publico del crimen hasta la
muestran como llevar
archivar datos “Investigación En La presentación de los
acabo la gestión de la
relacionados con Escena Del Crimen reportes en la corte.
evidencia digital. Las
intrusiones. Muestra las Electrónico” (Electronic
guías que se utilizan
mejores prácticas para Crime Scene Guía De Buenas
tienen como objetivo
determinar la Investigation: A Guide Prácticas Para
identificar evidencia
volatilidad de los datos, for First Responders) Evidencia Basada En
digital con el fin de que
decidir que recolectar, [ElCr01]. Esta Computadores (Guía
pueda ser usada dentro
desarrollar la Informática Forense. Reino Unido) La
de una investigación.
recolección y Juan David Gutierrez ACPO, Association of
Estas guías se basan en
determinar como Giovanni Zuccardi 12 Chief Police Officers
el método científico
almacenar y guía se enfoca más que (Asociación de Jefes de
para concluir o deducir
documentar los datos. todo en identificación y Policía), del Reino
algo acerca de la
También explica recolección de Unido mediante su
información. Presentan
algunos conceptos evidencia. Su estructura departamento de crimen
una serie de etapas para
relacionados a la parte es: por computador,
recuperar la mayor
legal. publico “Guía de
cantidad de fuentes
Examen Forense de Buenas Practicas para
digitales con el fin de
asistir en la Guía de La IOCE Evidencia Digital (Guía Evidencia basada en
[IOCE06], publico DoJ 2) : Otra guía del Computadores” (Good
reconstrucción posterior
de eventos. Existen “Guía para las mejores DoJ EEUU, es Practice Guide For
practicas en el examen “Examen Forense de Computer Based
diferentes tipos de
planteamientos, estos forense de tecnología Evidencia Digital” Evidence) [GoPra99].
digital” (Guidelines for (Forensic Examination La policía Informática
varían dependiendo del
criterio de la institución the best practices in the of Digital Evidence: A Forense. Juan David
forensic examination of Guide for Law Gutierrez Giovanni
y/o personas que
definen la guía, como digital technology) Enforcement) Zuccardi 13 creó este
[IOCE02]. El [FoEx04]. Esta guía documento con el fin de
se define a
continuación. documento provee una esta pensada para ser ser usado por sus
serie de estándares, usada en el momento de miembros como una
principios de calidad y examinar la evidencia guía de buenas prácticas
Guías Mejores
aproximaciones para la digital. para ocuparse de
Prácticas
detección prevención, computadores y de
recuperación, Computación Forense - otros dispositivos
A continuación se
examinación y uso de la Parte 2: Mejores electrónicos que puedan
enuncian guías
evidencia digital para Prácticas (Guía Hong ser evidencia.
existentes a nivel
fines forenses. Cubre Kong) :El ISFS,
mundial de mejores
los sistemas, Information Security
prácticas en
procedimientos, and Forensic Society
computación forense.
personal, equipo y (Sociedad de Seguridad
requerimientos de

12
8 Análisis En esconderse a si misma y inconveniente para la que la hacen una
esconder a otros recuperación al instante. herramienta
Sistema programas, procesos, indispensable para
Operativos archivos, directorios, 8.1.1.2 FIREWIRE analizar una
clave de registro, y computadora que se se
Microsoft puertos que permiten al La segunda solución sospecha como
La adquisición de datos intruso mantener acceso disponible es a través comprometida.
de la memoria requiere a un sistema para de un Firewire. Este Funciones básicas
de un hardware o remotamente comandar dispositivo usa acceso incluyen:
software sofisticado, no acciones o extraer directo a la memoria
todas las utilidades información sensible) (DMA- direct memory • Examen físico
forenses tienen acceso [11], necesitan de access), sin necesidad de los discos duros,
al \\.\PhysicalMemory programas que se de ir al CPU. Esto incluyendo ficheros
en Windows . El actualizan cada año. permite no solo una escondidos o borrados.
análisis de los transferencia mas La utilidad también
resultados también En esta sección nos rápida si no que incluye una función
requiere secuencias de ocuparemos de además supera los para copiar un fichero
comandos y herramientas y problemas de algunas crítico en uso para
conocimientos procedimientos que versione de Windows analizar sin
especializados para aplican solamente a que no permitía el comprometer la
poder interpretar los Sistemas Operativos acceso a la memoria integridad del sistema.
datos. Windows, incluyendo desde modo Usuario.
Windows 2000, XP, • Una función de
Estos dos factores Vista y Server 2003. 8.1.2 Soluciones snapshot, que revela
hacen que la basadas en Software programas operando
adquisición y análisis 8.1 Herramientas: fuera del contexto
sea más difícil que los 8.1.2.1 DD (DATA principal que pueden
exámenes forenses 8.1.1 Soluciones DUMPER) indicar la presencia de
tradicionales del disco basadas en Hardware procesos, conexiones o
duro, el gran requiere Conocido mejor como intrusiones al sistema
de un gran cantidad de 8.1.1.1 TRIBBLE herramienta “data operativo.
cuidado que los dumper” de UNIX, el
métodos comunes. Sin El tribble es una tarjeta cual es familiar para la • Quizá la
embargo, con la llegada expandible que puede mayoría de sección más innovadora
de Microsoft Vista y ser usada para recuperar investigadores forenses sea la capacidad de
BitLocker soluciona el los contenidos de la como una herramienta tomar una imagen de la
problema. memoria física. Es para la creación de memoria activa y
instalada en un servidor imágenes forenses de ponerla en un fichero
Datos importantes antes del evento con un los discos duros y se para análisis posterior.
como contraseñas, switch que se enciende incluye en muchas En aquellas situaciones
direcciones de IP, que cuando el investigador utilidades de código donde la presencia de la
procesos estaban siendo desea capturar datos. abierto forenses tales intrusión haya sido
ejecutados, y otros Este método tiene sus como la Helix. ocultada, esta imagen
datos que tal ves no fuerzas y desventajas. puede revelar con eficaz
fueron almacenados en Como hardware, el 8.1.2.2 NIGILANT32 sus funciones en
la unidad de disco duro Tribble puede acceder memoria mientras está
pueden ser recuperados la memoria física sin Un programa derivado progresando. En esta
de un core dump[10]. introducir ningún de la conocida función, hace que
software en el sistema a herramienta Sleuthkit Nigilant32 sea único en
Algunos programas analizar, minimizando para Windows. La su categoría.[12]
maliciosos y rootkits el impacto en los datos. compañía Agile Risk
(es una herramienta o Sin embargo debe ser Management,LLC 8.1.2.3
un grupo de ellas, que instalado a priori del recompiló la utilidad PRODISCOVER IR
tiene como finalidad incidente, haciéndolo de con múltiples funciones
una u otra manera

13
ProDiscover Incident el archivo de registro de atributos y estructuras Linux es un sistema
Response permite eventos, y los de datos relacionadas a operativo libre basado
rápidamente examinar espectadores de registro estas. Sin embargo, este en la plataforma Unix.
en cualquier lugar de tu para facilitar el proceso proceso varía entre los Las herramientas de
network de investigación. sistemas operáticos, computación forense
tanto en Windows como para los sistemas Linux
Beneficios: • Visor integrado en Linux. son softwares de
para examinar. pst /. ost programas que
• Comprueba y. dbx archivos de Procedimiento ideal: investigan grabaciones
rápidamente si el correo electrónico. digitales, busca
sistema ha sido 1. Documentar todos archivos borrados y
comprometido, sin • Buscar los pasos. Esto no es perdidos para usarlos
tener que suspender el archivos y procesos que solo importante por como evidencia
sistema. se están encubiertos por razones evidenciarías, relevante en alguna
los rootkits. pero como referencia investigación.
• Analiza los del propio investigador.
sistemas remotos a 8.1.2.4 KntDD Los desarrolladores
través de la red 2. Si el sistema está recomiendan aquellas
eliminando la necesidad Es una herramienta de bloqueado, cambiar el herramientas para uso
de contratar personal adquisicion de memoria proceso de adquisición. solo de profesionales en
caro o viajar a lugares desarrollado por George si no puede obtener la asuntos de ley,
remotos. Garner , como parte de contraseña para militares, contadores,
KntTools[13] acceder, entonces la audiciones internas,
• Utiliza agente adquisición del “live salud, evaluaciones
remoto para acceso a Garner desarrollo system” no será posible. forenses y el sector
disco de sistema de Knttools en respuesta a contable entre otros.
sospecha a nivel la restricción de acceso 3. No cierre ninguna
sectorial, revelando a \\.\PhysicalMemory ventana o cualquier 9.1 Herramientas:
todos los archivos, desde modo Usuario. documento/programa
incluso si el sistema Permite al investigador que este siendo 9.1.1 Maresware
sospechoso ha sido convertir ejecutado. Cerrando una Linux Forensics
comprometido por un ventana se puede
troyano o rootkit. convertir una imagen en interrumpir un proceso Los desarrolladores de
bruto de volcado en que puede afectar lo Mares and Company
• Busca en toda formato Microsoft, por que esta ocurriendo en Computer Forensics
el disco, incluyendo el lo que los datos pueden el sistema en ese and Data Analysis,
espacio no asignado, el ser analizados momento. presentaron una
espacio holgura, utilizando las colección de
Windows NT/2000/XP Herramientas Microsoft 4. Limitar los pasos del herramientas para la
Alternate Data Streams de depuración. proceso de adquisición investigación de los
para la integridad del lo más posible, ya que a registros informáticos.
sistema completo. 8.2 Análisis de menos pasos, menos Este software ayuda a
impacto en el sistema. los usuarios descubrir
Memoria
• Crea una pruebas para usarlas en
imagen de flujo de bits ¿Qué es lo que un 5. Usar herramientas alguna acción penal y
del disco de sistema de investigador necesita que dejen la menor jurídica. Herramientas
destino y la memoria conocer? huella posible. de la suite incluyen
física para conservar las Nigilant32 usa menos Catálog, Hash, MD5 y
pruebas y restaurar el Lo que un investigador que 1MB de memoria, Strsrch. Estas
sistema rápidamente. necesita obtener es la mientras que Helix herramientas guardan
información de los uses 17MB. los números de
• Los gráficos diferentes atributos del identificación de los
integrados en miniatura, proceso a lo largo de los 9 Análisis de nombres de archivo de
la historia de Internet, punteros de otros documentos
sistemas Linux

14
electrónicos, preparar través de interfaz 10 ¿Qué se La respuesta en sí,
los registros para su uso gráfica de usuario, KDE muchas veces es
como prueba, Mares y GNOME ambientes. necesita compleja,
and Company para poder porque depende
recomienda sus 9.1.3 FOREMOST de muchos
herramientas para los
crear un factores; sin
profesionales de Es el software forense laboratorio embargo, se
aplicación de la ley, las de Linux simple y de requiere de
agencias de ligero que recupera recursos
inteligencia, archivos basados en la cómputo humanos,
investigadores privados información contenida forense hardware,
e investigadores en sus cabeceras, pies software y
internos. de página y estructuras
dentro de procedimientos a
de datos. Ya que se una la medida para
9.1.2 SMART centra en análisis organizaci poder atender
forense de imagen, esta los tipos de
SMART software de herramienta soporta ón? casos según la
Linux forense proviene muchos formatos de organización.
de los desarrolladores imagen para Los recursos
de ASR datos. Según el recuperación de datos, humanos no
sitio web oficial de la incluyendo JPG, GIF, necesariamente
utilidad, la herramienta PNG y BMP tipos. Para tienen que estar
de SMART marcha otros medios de dedicados al
hacia las necesidades de comunicación, la 100% a esta
los profesionales herramienta soporta los actividad, pero si
forenses y personal de formatos AVI, EXE, requieren de un
seguridad de la MPG, RIFF, WMV, proceso de
información. Smart se MOV, PDF, OLE, capacitación y
centra en la integración DOC, ZIP, RAR, HTM entrenamiento
de requisitos técnicos, y otros formatos. continuos para
usuarios finales y Foremost muestra la poder reaccionar
legales en el programa información de al nivel
de software. A través de copyright para objetos y requerido de la
una interfaz de usuario funciones de detección organización. El
multi-hilo, SMART de bloque indirecto y resto de
crea puras copias de marcas de tiempo. Los elementos sí
imagen de bits, usuarios pueden debe ser
adquiere las listas de ejecutar el programa en dedicado y a la
hash, los datos de los "detallado", lo que medida para
clones de origen, genera muestra más poder reaccionar
información sobre los información en la correctamente.
hashes y ofrece la pantalla, o el modo No es lo mismo
imagen de seguridad y rápido, que busca la un laboratorio
las pre visualizaciones congruencia de los que realizará
de los datos. Una vez encabezados de mayor únicamente
que los usuarios de longitud y se acorta la análisis a
SMART han terminado duración de la equipos
sus operaciones búsqueda. Windows, que si
forenses, se puede requiere analizar
utilizar de SMART para diferentes
limpiar los dispositivos, sistemas
las particiones y rangos operativos o
de limpieza de datos. teléfonos
Smart funciona en celulares.
plataformas Linux a

15
Los procesos deben discos duros de grandes El interés por esta área pload/docs/doc
cumplir con las mejores capacidades. ha crecido en los Pag1993_1.pdf
prácticas últimos años. Este
internacionales en la El cómputo forense es crecimiento es [2]. http://www.har
disciplina, como el una gran herramienta, respuesta a la imparable dware12v.com/
sobrescribir (wipe) todo tanto para realizar digitalización de la articulos/comp
disco duro antes de investigaciones internas información en todos utacionforense
usarlo, a fin de como para poder usarlo los órdenes de la /2.php
confirmar que no tiene para un procedimiento sociedad, y a la
ningún elemento que legal.´[14] necesidad de reconstruir [3]. http://www.arti
pueda comprometer la determinados hechos en
culoz.com/ley-
imagen forense -copia función de evidencias
cibernetica-
bit a bit del contenido digitales.
articulos/los-
de un medio de
almacenamiento- que se
Conclusiones Así, en pocos años ha
delitos-
informaticos-
va a generar. Los No existe ninguna duda pasado de ser utilizada en-la-
formatos de cadena de de que la comentada como parte de los legislacion-
custodia, de adquisición mejora tecnológica está planes de actuación ante peruana-
de evidencia y de permitiendo un incidentes de seguridad, 2380642.html
seguimiento son parte desarrollo superior para al tiempo que se ha
de los procedimientos las empresas, la convertido en un
para poder tener control educación, la procedimiento [4]. http://www.de
de cada uno de los investigación, etc. y que indispensable para litosinformatic
elementos que se por lo tanto sus numerosos procesos os.com/
analizarán. Y es que, beneficios sociales son judiciales. Es por ello, y
aunque un análisis evidentes. Sin embargo, por la pericia necesaria [5].
forense se realice de es también cierto que para poder realizarla, http://www.seg
forma interna, es puede observarse por la que la comentada u-
imprescindible contar igualmente un demanda apenas puede info.com.ar/del
con elementos de desarrollo tecnológico verse satisfecha por el itos/delitos.ht
integridad que permitan en la delincuencia. escaso número de m
proteger a quien realiza profesionales que
el cómputo forense, y En este caso, el pueden desempeñarla. [6]. http://cibercri
así, éste no se vea cómputo forense es una men.blogspot.c
involucrado en una gran herramienta, tanto Aunque son muchos om/2005/10/el
acusación. para realizar los retos a los cuales se -
investigaciones internas enfrenta esta nueva área procedimiento-
Son muchos los retos a como para poder usarlo de la ciencia, que van forense-
los cuales se enfrenta el para un procedimiento desde el cambio digital.html
cómputo forense, van legal, ya que es habitual constante de la
desde el cambio que cuando los tecnología, la atención [7]. http://repositor
constante de la delincuentes son continua por parte de io.utn.edu.ec/b
tecnología, que requiere detenidos la mayoría de los investigadores para itstream/12345
de la atención continua sus datos se encuentren poder conocer y saber a 6789/539/7/04
por parte de los almacenados en su lo que se enfrentan %20ISC
investigadores para ordenador y, que el permitirá vencer uno a %20157%20C
poder conocer y saber a análisis exhaustivo de uno estos retos. APITULO
lo que se enfrentan, así éste sea un paso clave %20II.pdf
como al uso del cloud para el descubrimiento Referencias
computing y los de pistas y pruebas de
procedimientos para gran importancia para el
[8]. http://www.we
poder realizar análisis bsecurity.es/
proceso judicial.
sobre ellos hasta el [1]. http://www.aso
tiempo de bancaria.com/u [9]. http://encyclop
procesamiento de edia2.thefreedi

16
 ctionary.com/li
ve+system

[10]. http://en.wikip
edia.org/wiki/
Core_dump

[11]. http://es.wikipe
dia.org/wiki/R
ootkit

[12]. http://noticiast
ech.com/word
press/?p=5

[13]. http://gmgsyste
msinc.com/knt
tools/

[14]. http://www.ma
ttica.com/

17