INFORMÁTICA FORENSE

Miguel Quintero

EJE 2
Analicemos la situación

Fuente: Designed by Creativeart/Freepik

 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Evidencia digital, característica y manejo . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

La prueba digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Principios generales de la prueba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Ventajas de las pruebas digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Desventajas de las pruebas digitales . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Diferencia entre prueba digital y evidencia digital . . . . . . . . . . . . . . . . . 8

Evidencia digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

La evidencia digital y su autenticidad . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Ciclo de la evidencia digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Proceso de recolección de evidencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Proceso de preservación de la evidencia . . . . . . . . . . . . . . . . . . . . . . . . 14

Sistemas y medios de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Dispositivos de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Buenas prácticas en el manejo de evidencia digital . . . . . . . . . . . . . . . . . . 18

Cadena de custodia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Análisis de la evidencia digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Recolectando una evidencia digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

ÍNDICE

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
 Introducción

En el eje anterior realizamos una descripción de que

es la informática forense, cuando usarla y la metodo-
logía empleada en la investigación de un delito infor-
mático, a lo largo del desarrollo de ese eje se habló
mucho de la evidencia digital, se dio una explicación a
grandes rasgos, entendiendo que la evidencia digital es
la materia prima de cualquier investigación, debemos Delito informático
Son los delitos que se comente usando las
darle la importancia que tiene, por eso en este eje estu- tecnologías de la información.
diaremos nuevos conceptos, que son necesarios tenerlos
Materia prima
muy claros en una investigación forense. Día a día los Sustancia natural o artificial que se transforma
delitos informáticos crecen más y más, los peritos foren- industrialmente para crear un producto. Cosa
que potencialmente sirve para crear algo.
ses deben tener técnicas para el manejo de las prue-
bas digitales, conocer las leyes y la forma como pue-
INTRODUCCIÓN

Probatorio
den refutar su trabajo en un juicio si se comente algún Que sirve para probar algo.
error, frecuentemente en una investigación se pueden
encontrar varios elementos probatorios, que no son Tangible
Es un adjetivo que indica que algo se puede
tangibles, por el contrario en su mayoría son digitales, tocar. También indica que se puede percibir de
se encuentran en diferentes medios de almacenamiento manera precisa. Esta palabra procede del latín
tangibles. Algunos sinónimos son: palpable,
electrónico, en la nube o internet, este tipo de informa- perceptible, concreto y real.
ción puede verse afectada o manipulada fácilmente, la
tarea de los peritos forenses es poder recolectar estos
datos, antes de que sufran alguna alteración o desapa-
rezcan, tener clara la forma de presentarlos en un juicio,
garantizando la cadena de custodia.

Vivimos en un mundo que evoluciona constantemente, muchas de las activi-

dades que realizamos como compras, pagos de facturas, créditos, expedición de
certificados, programación de citas médicas, etc., de forma presencial, hoy en día
las hacemos utilizando la red, esto quiere decir que en algún momento del día
nuestros datos viajaran por la red, para realizar alguna de las actividades, saber
que tratamiento le brinda las diferentes entidades que usamos a diario, a nuestros
datos, que leyes nos protegen como consumidores digitales, es muy importante, y
necesario.

Para poder alcanzar todos los objetivos de este eje los invito a que realicen las
lecturas adicionales, desarrollen los diferentes talleres y tareas, las preguntas o dudas
que tengan con gusto las pueden plantear en los encuentros sincrónicos.
 Evidencia digital,
característica y manejo
 La prueba digital

Para poder comenzar el tema de la prueba digital debemos

primero definir que es un documento digital.

Documento digital: son todos los documentos escritos por

medio de un procesador de texto, comunicaciones, imágenes de
cámaras o digitalizadas, dibujos, programas, audios, videos o
Digitalizadas
cualquier otro tipo de información que se encuentre almacenada Convertir datos, imágenes o soni-
en algún medio electrónico. dos en un formato digital.

Trasmitir
Con este concepto claro podemos decir que la prueba digital Es la transferencia física de datos (un
es toda la información generada por un usuario como por ejem- flujo digital de bits) por un canal de
comunicación punto a punto o punto a
plo: archivos, carpetas, envió de correos, imágenes, archivos de multipunto.
audio, videos, etc. o información no generada por los usuarios
como archivos de logs de acceso a sistemas, bases de datos entre
otros, que puede generar algún tipo de valor probatorio que se
encuentra almacenada en algún tipo de dispositivo electrónico
y puede ser transmitida de forma digital.

El señor Stephen Mason, líder digital, en uno de sus artículos dijo:

El punto esencial acerca de la evidencia digital, el cual no es entendido por muchos

jueces y abogados, es la complejidad del tema, su naturaleza y características. Por no tener
un conocimiento, si quiera mínimo del tema, los abogados y especialistas en evidencia
digital responsables por investigar casos y de decidir si es necesario adelantar investiga-
ciones penales contra un individuo, están en riesgo de cometer errores graves. Es por esta
razón que jueces, abogados y académicos deben considerar que es de vital importancia
que comiencen a entender qué es evidencia digital.

Esto nos demuestra la importancia que tiene la prueba digital a nivel jurídico, y lo
cuidadosos y metódicos que debemos ser cuando estemos recolectando las pruebas, los
peritos forenses siempre trabajaran en una línea muy delgada, un mal procedimiento
puede dejar nula la prueba presentada.

La prueba digital forma parte de miles de procesos judiciales, y las nuevas tecnologías
día a día cogen más relevancia en el orden jurídico, las especializaciones en derecho infor-
mático, son más comunes en los bufetes de abogados y son los encargados de relacionar
las nuevas tecnologías con las nuevas legislaciones.

Relevancia
Importancia o significación que destaca de algo.

Bufete de abogados
Son las denominaciones utilizadas para designar a empresas que brindan servicios jurídicos con una planta
fija de letrados o abogados, integrados a la compañía mediante contrato o mediante acuerdo.

Informática forense - eje 2 analicemos la situación 5

 Para tener una idea de la importancia que tienen las pruebas digitales vamos a revisar
los resultados del informe de empresa Norton Norton Cyber Security Insights, que sostiene
que en el año 2017 se vieron afectados 978 millones de usuarios, en más de 20 países, la
suma de los robos ascendió a 172 millones de dólares.

Estos datos van a seguir en aumento, porque cada vez son más los usuarios que
consumen servicios utilizando internet, pero no aplican ninguna norma de seguridad,
mantienen las mismas contraseñas, no se toman el tiempo de leer con detenimiento los
correos que llegan, y lo más importante no se aseguran que sea una entidad legitima la
que le solicita actualización de datos.

Nuestro diario vivir cada día se desarrolla más en el ámbito digital, nos da la posibilidad
de ahorrar tiempo, nos ayuda a conocer nuevas culturas, amplia nuestro enfoque del
mundo, pero también trae nuevos problemas, nuevas formas de ser atacados, no física-
mente, pero si digitalmente, y sus consecuencias pueden ser más graves que las reales.

Principios generales de la prueba

Es importante que un perito forense conozca cuales son los principios de una prueba,
esto le ayudara a que sus investigaciones no se queden sin sustento.

• Necesidad de la prueba: es indispensable que los hechos que originan una decisión
judicial, estén demostrados por pruebas que pueden ser aportadas por cualquiera
de las partes.
• Eficacia jurídica y legal: las pruebas deben dar la certeza sobre los hechos, para
que el juez sea capaz de determinar la culpabilidad o inocencia.
• Unidad de la prueba: quiere decir que las pruebas forman una unidad y el juez las
debe examinar y valorar como tal.
• Adquisición de la prueba: la prueba después de que se aporta a un proceso no
pertenece a ninguna de las partes, y debe servir para determinar si se cometió el
delito.
• Lealtad, probidad, veracidad y exactitud: el objetivo principal de la prueba es pro-
teger el interés público y velar que se haga justicia.
• Contradicción de la prueba: la parte acusada debe tener la posibilidad de conocer
las pruebas y de tratar de refutarlas.
• Igualdad de oportunidades para la prueba: las partes tiene las mismas oportuni-
dades con las pruebas.
• Publicidad de la prueba: las pruebas deben estar disponibles por las partes, las
pueden analizar, objetarlas, deben conocer la decisión que tome un juez sobre la
prueba.
• Formalidad y legitimidad de la prueba: debe presentarse conforme a la ley, teniendo
en cuenta el tiempo, modo y lugar, y su obtención debe estar conforme a las normas.

Informática forense - eje 2 analicemos la situación 6

 • Legitimación de la prueba: cada parte puede aportar las pruebas que considere
necesarias para probar los hechos y deben ser recibidas por personal idóneo.
• Imparcialidad de la prueba: el concepto del juez debe estar orientado a averiguar
la verdad, cuando valora las pruebas que le han aportado al proceso, además las
partes deben gozar de las mismas oportunidades para presentarlas y pedir prác-
ticas.
• Originalidad de la prueba: la prueba debe hacer referencia al hecho que se trata
de probar.
• Concentración de la prueba: las pruebas deben analizase en la misma etapa del
proceso, de lo contrario podría prestarse para difuminar la verdad.
• Libertad probatoria: debe garantizar que las pruebas ayuden a probar el hecho.
• Inmediación y de la dirección del juez en la
producción de la prueba: este principio se Inmediación
Conjunto de derechos atribuidos al sucesor inmediato en
refiere a la relacion que debe haber entre el una vinculación.
juez, las partes y las pruebas.
• Pertinencia, idoneidad y utilidad de la prueba: la prueba debe contribuir a la efi-
cacia procesal, la pertinencia dictamina la relación entre la prueba y el hecho a
probar, el valor de convicción hace referencia a la idoneidad, y la utilidad nos ayu-
da a demostrar legalmente el hecho por este medio, creando una relación entre la
prueba y el hecho.
• Naturalidad o espontaneidad y licitud de la prueba y del respeto a la persona hu-
mana: significa que los peritos forenses deben dar su evaluación de una manera
espontánea y natural, nunca debe sentirse coaccionado por algunas de las partes.
• Obtención coactiva de los medios materia-
les de prueba; brinda la facultad al juez, para
pedir informaciones, como, libros de conta- Coactiva
bilidad, hacer compadecer a las partes in- Que tiene fuerza de apremiar u obligar, o que implica o
denota coacción.
volucradas a audiencias, expedir ordenes de
allanamientos en propiedades o en archivos
privado.
• Inmaculación de la prueba: las pruebas que se aporten deben ser formales y legales.

Estos son algunos de los principios más importantes que se deben tener en cuenta al
momento de presentar una prueba en un proceso judicial.

Ventajas de las pruebas digitales

• Las pruebas digitales son, objetivas, claras, precisas y neutras.

• La evolución tecnológica ha incrementado el uso de las pruebas digitales como

uso clave en el desarrollo de procesos judiciales.

Informática forense - eje 2 analicemos la situación 7

 • El proceso de recolección de las evidencias digitales para
un perito forense es relativamente sencillo, aplicándoles su
respectivo análisis son verídicas.
Verídica
Que se ajusta a la verdad.
• Las pruebas digitales están ayudando a agilizar los tiem-
pos y a disminuir los recursos que se deben emplear en un
proceso penal. Incertidumbre
Falta de seguridad, de confianza o de
certeza sobre algo, especialmente cuan-
Desventajas de las pruebas digitales do crea inquietud.

• Falta de normatividad que evite la incertidumbre jurídica

de las pruebas digitales.

• Falta de personal del sector judicial preparado para afrontar este nuevo tipo de
delitos.

• Se necesitan profesionales expertos en investigación forenses.

• Su fácil manipulación y volatilidad.

Diferencia entre prueba digital y evidencia digital

Diferencia entre la prueba y la evidencia informática, es que la evidencia es el estado

inicial de la prueba informática, pero no siempre la evidencia se convierte en prueba, la
evidencia digital necesita ser sometida a los procesos de recolección, preservación, análisis
antes de poder convertirse en una prueba digital.

Instrucción

Le invitamos a la página principal del eje para revisar el recurso de apren-

dizaje: animación y a desarrollar la actividad de aprendizaje: práctica.

Evidencia digital

“Cualquier dato que puede establecer que un crimen se ha ejecutado (commit) o

puede proporcionar un enlace (link) entre un crimen y su víctima o un crimen y su autor”.

“Cualquier información, que esté sujeta a una intervención humana u otra semejante,
ha sido extraída de un medio informático”, definición del señor Eoghan Casey.

Informática forense - eje 2 analicemos la situación 8

 La evidencia digital debe ser:

• Admisible
• Auténtica
Admisible
Que puede ser admitido.
• Completa
• Confiable
• Creíble y comprensible

La evidencia digital la podemos definir como cualquier archivo o registro almacenado

en un sistema digital. Las evidencias pueden ser:

• Correos electrónicos.
• Archivos de logs.
• Documentos (.doc, xls, ppt).
• Imágenes.
• Fotografías.
Base de datos
• Códigos de programación. Una base de datos es una colección de
información organizada de forma que un
• Bases de datos. programa de ordenador pueda seleccio-
nar rápidamente los fragmentos de da-
tos que necesite. Una base de datos es
• Cookies de navegación. un sistema de archivos electrónico.
Las bases de datos tradicionales se orga-
• Procesos en ejecución. nizan por campos, registros y archivos.

• Archivos temporales. Cookies de navegación

• Restos de instalación de programas.
• Discos duros, USB, CD, DVD.
Es una pequeña información enviada por
un sitio web y almacenada en el nave-
gador del usuario, de manera que el sitio
web puede consultar la actividad previa
del navegador.

• Páginas de internet.
• Conversaciones de redes sociales.
• Teléfonos móviles.
O cualquier otro tipo de evidencia que pueda ser utilizado en un proceso judicial,
estas evidencias al pasar por el proceso de adquisición, preservación y análisis se pueden
convertir en:

• Recuperación de archivos que han sido eliminados.

• Detección de dispositivos externos como (USB, y discos duros), sin autorización.
• Mensajes de texto, imágenes, fotografías, videos enviados por medio de WhatsA-
pp, Instagram, Telegram, Twitter o Facebook.

Informática forense - eje 2 analicemos la situación 9

 • Mensajes de texto (SMS) enviados o recibidos.
• Mensajes de audio contenidos en grabadoras, teléfonos, DVD, etc.
• Bases de datos comprometidas.
• Metadatos de archivos (fecha de creación, modificación, último acceso, borrado,
etc.).
• Correos electrónicos enviados y recibidos.
• Software instalado sin permiso.
Para que una evidencia digital sea aceptada en un tribunal hay que determinar si es
pertinente, autentica, si se acepta una copia o es necesario presentar el original y lo más
importante si presenta algún valor relevante, la relevancia de una evidencia en términos
legales es el aporte que hace en un proceso, las evidencias que no ayuden o carecen de
valor probatorio pueden ser excluidas del proceso.

Las evidencias digitales se catalogan como pruebas frágiles, por la facilidad de modi-
ficarlas o borrarlas, y esta es una de las desventajas, ya que cuando se presentan ante
un juez, se debe garantizar que no han sido alteradas o modificadas para que las pueda
considerar como admisibles.

Clasificación de la evidencia digital

• Registros generados por computadores: aquí encontramos los logs del sistema
también conocidos como eventos de seguridad, por lo general son inalterables y
muestran todo lo sucedido con un sistema desde que se inició hasta que ocurrió
un evento.

• Registros no generados sino simplemente almacenados: son todos los docu-

mentos que puede generar un usuario, en diferentes programas como por ejemplo
una carta (utilizando Word), en este tipo de registros es importante poder demos-
trar el autor del documento y probar las afirmaciones cantidad en la evidencia.

• Registros híbridos: son todos los registros que contiene registros generados por el
sistema y los registros de los documentos generados por el usuario.

Inalterables
Que no se puede alterar o cambiar.

Hibrido
Que es producto de elementos de distinta naturaleza.

Informática forense - eje 2 analicemos la situación 10

La evidencia digital y su autenticidad

Poder garantizar la autenticidad de la evidencia digital a lo

largo de un proceso judicial es una tarea ardua y metódica, siem-
pre se debe garantizar la cadena de custodia, para lograr este Metódica
Que se hace ordenada y sistemática-
objetivo es necesario mantener un registro detallado cada vez mente, siguiendo un método.
que la evidencia cambia de manos, por ejemplo: debe haber
un registro de la persona encargada de TI, en una empresa que
sufrió un ataque cuando le entrega el equipo al personal policial que atendió el hecho, y
de la misma manera debe quedar un registro cuando el policía le entrega la evidencia a el
perito forense, los registros se deben llevar por cada una de las personas que intervinieron
en el tratamiento de la evidencia, si por algún motivo se identifica que la evidencia se
perdió en algún momento, se puede considerar que la evidencia perdió su autenticidad
y pudo sufrir contaminación o alteraciones.

Para poder garantizar que las evidencias digitales no sufran daños y puedan usarse
en un proceso judicial como peritos forenses digitales debemos solicitar a la empresa o
persona afectada que no realice las siguientes acciones:

• Que por ningún motivo apaguen el sistema. Por qué se podría perder información
muy importante y volátil como por ejemplo toda la información contenida en la
memoria RAM.

• No desconectar el sistema de la red.

• Que por ningún motivo se deben ejecutar programas, estos podrían sobrescribir
los datos.

• Evitar abrir Archivos ya que pueden cambiar su fecha y hora.

Ciclo de la evidencia digital

Como todas las actividades que se realizan en seguridad informática y específicamente

en informática forense, la evidencia digital necesita de procesos definidos que ayuden a
mantener su integridad, podemos decir que debemos aplicar una metodología basada
en buenas prácticas para garantizar que nunca pierda su valor y pueda ser usada en un
proceso judicial.

Informática forense - eje 2 analicemos la situación 11

 Figura 1. Ciclo de vida de la evidencia digital
Fuente: Propia

Proceso de recolección de evidencia

El trabajo de adquisición o recolección es bastante metó-

dico, minucioso y específico, el objetivo es poder encontrar
la mayor cantidad de evidencia digital para que podamos
Minucioso
convertirlas en pruebas y nos ayuden a esclarecer los hechos, Que hace las cosas con detenimiento y
para lograr esto debemos inspeccionar todos los dispositivos cuidando los más pequeños detalles.

que se encuentren en la escena del crimen, pero antes de

todo debemos tener en cuenta:

• La cadena de custodia.
• La fecha y hora.
• Documentar todas las actividades se realicen y las personas que intervienen en
esas actividades.
La recolección o adquisición de evidencia debe tener un orden básico para que el
proceso de los mejores resultados:

• Buscar la evidencia.
• Determinar la relevancia de los datos.
• Determinar la volatilidad de la información.
• Eliminar la interferencia exterior.
• Recoger la evidencia.
• Documentar todas las acciones realizadas.

Informática forense - eje 2 analicemos la situación 12

También debemos determinar a qué tipo de análisis nos enfrentamos:

• Los equipos se encuentran apagados (post-morten): en este escenario los dispo-

sitivos se encuentran apagados, se puede presentar pérdida de información re-
levante, por ejemplo, la almacenada en la memoria RAM, que es un medio de
almacenamiento volátil. Las actividades a realizar son las siguientes:

-- Realizar un clon exacto del disco duro.

-- Se debe obtener la función resumen (hash MD5

o SHA1), del disco duro, Archivos sospechosos o Aleatorio
interesantes. Que depende de algún suceso casual.

-- Siempre se debe trabajar sobre la copia nunca se Bitácoras

En la actualidad, un cuaderno o publica-
toca el original. ción que permite llevar un registro escrito
de diversas acciones. Su organización es
cronológica, lo que facilita la revisión de
-- Recuperar de datos perdidos. los contenidos anotados.

-- Búsqueda de logs y bitácoras.

-- Búsqueda de datos y archivos temporales.

-- Búsqueda de datos del registro (Windows).

-- Guardar los dispositivos como discos duros, USB, etc., En bolsas electroestáticas
y bolsas de protección.

-- Garantizar siempre que sea posible la integridad, confidencialidad u disponibili-

dad de la información.

-- Almacenar la información adquirida en un lugar seguro.

• Los equipos se encuentran encendidos (Análisis en vivo): en este escenario en-

contraremos los equipos encendidos y podremos recolectar información relevante
como por ejemplo la que se encuentra en la memoria RAM, las actividades que se
realizan son la siguientes:

-- Utilizar herramientas que se puedan ejecutar desde una memoria USB, para
evitar contaminar el disco duro, se recomienda que estas sean manejadas desde
la línea de comandos.
-- Reportar de forma precisa y minuciosa todas las actividades que se realicen en
el sistema.
-- Realizar volcado de memoria: es uno de los procesos más importantes cuando
los equipos se encuentran encendidos, y la información que podemos encontrar

Informática forense - eje 2 analicemos la situación 13

 cuando realizamos un volcado de memoria RAM es muy importante, lo que po-
demos obtener: procesos en ejecución en tiempo real, archivos abiertos, direc-
ciones IP, puertos abiertos y usados, conexiones de red, unidades de red compar-
tidas, permisos, usuarios activos, Shell remotas, conexiones remotas tipo VNC,
RDP, SSH, entre otros.

Instrucción

Lo invitamos a desarrollar la actividad Control de lectura.

Proceso de preservación de la evidencia

Como todo lo que hacemos en informática forense debe tener un procedimiento o

metodología para realizarse, la preservación de la evidencia digital no es la excepción,
el RFC3227, es una guía de buenas prácticas aplicadas a la preservación de la evidencia.

Lectura recomendada

Complemente la información con la siguiente lectura:

RFC 3227, mejores prácticas para la recolección de evidencias

https://www.ietf.org/rfc/rfc3227.txt

La evidencia digital por sus características volátiles, puede en cualquier momento per-
der su integridad, por un mal procedimiento o por terceros, para evitar que esto suceda
y quede inválida debemos darle un manejo adecuado y aplicarle seguridad, para lograr
esto debemos tener en cuenta los siguientes aspectos:

• Mantener la cadena de custodia y llevar sus registros bien detallados y actualizados.

• Se debe asegurar físicamente, en lugares donde tengan controles físicos, contro-

les de acceso y un registro de todas las personas que ingresan al lugar donde se
almacena la evidencia.

Control de acceso
Es un sistema automatizado que permite de forma eficaz, aprobar o negar el paso de personas o grupo de
personas a zonas restringidas en función de ciertos parámetros de seguridad establecidos por una empresa,
comercio, institución o cualquier otro ente

Informática forense - eje 2 analicemos la situación 14

 • Preferiblemente que la zona destinada para el almacenamiento de la evidencia
cuente con CCT las 24X7X365 días.

Evidencia volátil: se conoce como evidencia volátil a toda aquella que solo esta tem-
poralmente disponible, y se puede perder si no se realizan los procesos de adquisición y
preservación a tiempo, el ejemplo más claro de este tipo de evidencia es la información
que se encuentra en la memoria RAM, para evitar perder este tipo de evidencia se acon-
seja tener en cuenta los siguientes aspectos:

• No apagar los equipos, hasta que se dé por finalizada la actividad de recolección:

la razón por la cual no se debe apagar el equipo es porque se perderían todos los
datos volátiles, pero en caso de que los equipos estén apagados no debemos pren-
derlos, porque al iniciar el sistema sobrescribiría información que podría ser útil,
además puede ser peligroso porque puede haber un código malicioso que destru-
ya toda evidencia y borre los rastros del delincuente informático.

• Recopilar las evidencias de mayor a menor volatilidad: cuando nos referimos a

mayor volatilidad queremos decir que se puede perder más fácil y perderíamos
información valiosa como contraseñas de usuarios, conexión activa, procesos en
ejecución, malware que este en ejecución.

• No confiar en los programas que están en ejecución, el atacante pudo haber deja-
do programas que se activan con la interacción del usuario para borrar sus huellas.

• No se debe ejecutar ningún programa que pueda modificar los datos de fechas de
los archivos o carpetas.

Instrucción

Le invitamos a la página principal del eje para revisar el recurso de apren-

dizaje: videorresumen.

Sistemas y medios de almacenamiento

Los sistemas utilizados en informática forense, básicamente son estaciones forenses

que vienen con todo lo necesario para poder adquirir las evidencias digitales y copiarlas
bis a bit, en la siguiente imagen veremos una estación forense.

Informática forense - eje 2 analicemos la situación 15

 Figura 2. Estación Forense digital
Fuente: https://www.ondata.es/img/forense/equipos/msab-office.png

Dispositivos de almacenamiento

Discos duros: es un dispositivo cuya función es la de almacenar información digital,

archivos, fotos, videos, etc. En la actualidad existen 5 clases:

• Disco duro SAS.

• Disco duro SCSI.
• Disco Duro IDE, ATA y PATA.
• Disco duro SATA I, II, III.
• Disco de estado sólido.

Informática forense - eje 2 analicemos la situación 16

 Dispositivos de almacenamiento extraíble:

• Cintas magnéticas.
• Discos ópticos (unidades de CD-ROM, DVD y Blu-ray).
• Unidades Flash.
• Discos duros extraíbles.
• USB.
• SD y Micro SD.

Para realizar proceso de copia bit a bit se debe tener en cuenta las siguientes
consideraciones:

• El dispositivo donde se va a realizar la copia de la evidencia debe estar estéril y se

le debe aplicar un borrado seguro.

• La capacidad del dispositivo debe ser superior a la del disco original, es impor-
tante tener en cuenta esto porque cuando se hace el proceso de recuperación de
un disco por ejemplo con capacidad de 500 GB, generalmente la cantidad de la
información recuperada será superior a las 500 GB, esto se debe a que los usuarios
nunca realizan un borrado seguro, solo hacen clic derecho eliminar, este proceso
no elimina la información solo quita el apuntador con el cual el sistema operativo
busca la información. Si no se cuenta con el espacio suficiente el proceso de copia-
do no se realizaría con éxito, además de que podemos perder información valiosa.

• Después de generada la copia el original se debe almacenar aplicando todos los

procedimientos que le aseguren que nadie sin autorización pueda afectar la evi-
dencia, los peritos forenses deben comenzar a realizar el análisis sobre la copia o
copias realizadas.

Lectura recomendada

Para profundizar más en las etapas del ciclo de vida de las evidencias y sus fases
les recomendamos la siguiente lectura.

Ministerio de Tecnologías de la Información y Comunicaciones

Evidencia Digital

Informática forense - eje 2 analicemos la situación 17

 Instrucción

Le invitamos a la página principal del eje para revisar el recurso de apren-

dizaje: galería.

Buenas prácticas en el manejo de evidencia digital

Las buenas prácticas deben tener en cuenta los siguientes aspectos:

• Integridad de los medios: los medios a usar deben estar estériles. Por ningún motivo
debe contener algún tipo de información, esto podría afectar considerablemente
el análisis, es recomendable que todos los discos hayan pasado por procesos de
borrado seguros, que no hayan sido expuestos a variaciones magnéticas, ópticas
o similares.

Estéril
Que se encuentra limpio.

Borrado seguro
El borrado seguro de discos o unidades de disco se refiere a los pasos necesarios para que la información
que contienen sea inaccesible e ilegible.

Borrado seguro: es el proceso por el cual se hace irrecuperable la información contenida

en un medio de almacenamiento, este proceso se realiza con software que se encarga de
escribir secuencias de ceros o cadenas pseudoaleatorios sin sentido en todos los sectores
de un disco duro.

A continuación, se nombran las técnicas más usadas:

-- Fast zero write: sobrescritura con un valor fijo (0x00) en cada sector.
-- Super fast zero write: sobrescritura con un valor fijo (0x00) cada tercer sector.
-- Zero write: sobrescritura con un valor fijo (0x00) en el área completa.
-- Random write: sobrescritura con valores aleatorios.
-- Random & zero write: método con 4 pasadas de so- Aleatorio
Que depende de algún suceso casual.
breescritura, en la primera sobrescribe valores alea-
torios, en la segunda sobrescribe valores fijos (0x00), Sobreescritura
Escribir daros en un sector donde ya
en la tercera vuelve a escribir valores aleatorios y fi- existe información.
nalmente termina con escritura de valor cero.

Informática forense - eje 2 analicemos la situación 18

 -- US navy, NAVSO P-5239-26-MFM: usado para discos con MFM (modified fre-
quency modulation), escritura de un valor fijo (0xffffffff) sobre el soporte, des-
pués escribe un valor fijo (0xbfffffff) escritura de valores aleatorios y finalmente
verificar la sobrescritura.

• Verificar las copias realizadas: cuando se realiza una copia lo primero que debe-
mos hacer es obtener el hash y compararlo con el original con esto aseguramos
que es una copia exacta, saltarnos este paso podríamos ver seriamente afectada
la investigación.

• Documentación de todos los procedimientos y herramientas utilizadas: documen-

tar todos lo que hacemos desde que llegamos hasta que nos vamos, las herra-
mientas que utilizamos, los resultados que nos arrojan, los comandos que utili-
zamos y sus resultados es una tarea que se debe hacer de manera minuciosa y
metódica, como investigadores siempre tendremos que asegurarnos de llevar un
registro de todo lo que realicemos con la evidencia, ya que esta es manipulada
por varias personas, y teniendo en cuenta lo fácil que puede perder su integridad
debemos demostrar que nuestros procesos fueron claros y específicos.

• Mantenimiento de la cadena de custodia: es llevar un registro ordenado y metódi-

co de todas las personas que de una u otra manera tienen contacto con la eviden-
cia bien sea para recolectarla, asegurarla, analizarla.

Cadena de custodia

Este término hace referencia al registro que debe llevarse de manera minuciosa, orde-
nada y controlada, de todas las personas que adquieren, preservan y analizan las evi-
dencias digitales, mientras que dure la investigación. En la cadena de custodia hay que
tener presente los siguientes aspectos:

• Disposición final.

• Detalle de personal, fechas, horas y procedimientos.

La cadena de custodia se utiliza para el manejo de evidencia digital y evidencia física.

la cadena de custodia de la prueba garantiza la integridad de la misma, es decir que la
evidencia que es identificada, adquirida, preservada y analizada es siempre la misma,
no ha sufrido alteración alguna desde que se inicia el proceso hasta que termina, con-
servar la cadena de custodia de una prueba, es tan frágil que solo basta con conectar
el dispositivo donde se encuentre almacenada, en un equipo para que pueda alterarse
de manera irreversible, esto provoca que todo el proceso se arruine y pierda la viabilidad
de presentarla en un juicio.

Informática forense - eje 2 analicemos la situación 19

 Figura 3. Cadena de custodia
Fuente: https://ecriminalistica.files.wordpress.com/2018/03/10-cadena-de-custodia.png?w=825&h=510&crop=1

Importancia de la cadena de custodia: La cadena de custodia permite demostrar la

autenticidad, integridad de las evidencias digitales recolectadas dentro de la investigación
judicial, y puede ser un factor determinante para que esta evidencia pueda ser permitida
por el juez.

Inicio y fin de la cadena de custodia: la cadena de custodia inicia cuando se hace

la recolección de las evidencias digitales y termina cuando el juez da por terminada la
investigación determinando qué se debe hacer con las pruebas recolectadas durante el
proceso.

Quienes intervienen en la cadena de custodia: todas las personas, entidades públicas

o privadas que en algún momento puedan tener contacto con las evidencias, o hayan
colaborado en alguno de los procesos (adquisición, preservación, análisis y disposición
final), se debe llevar un registro detallado de todas las personas por las cuales ha pasado
la evidencia.

Informática forense - eje 2 analicemos la situación 20

 Análisis de la evidencia digital

Es una de las fases más importantes, aquí es donde los investigadores trataran de
saber el cómo, por qué y para que se realizó el ataque, buscaran rastros que les ayuden
a tratar de perfilar al atacante y si es posible poder establecer su localización.

Perfilar
Establecer claramente los aspectos particulares de una cosa para que sea más exacta y precisa.

Los aspectos más importantes que se deben tener en cuenta son:

• Las técnicas a utilizar pueden variar dependiendo de la escena y el objetivo que se

quiere alcanzar.

• Las técnicas pueden cambiar dependiendo de si los equipos se encuentran encen-

didos (análisis directo) o los equipos se encuentran apagados (post mortem).

• Hay que ordenar y clasificar los datos por relevancia.

• Análisis de archivos: (fechas y horas) de creación, modificación, ultimo acceso.

Además de identificar permisos, últimos usuarios que accedieron el archivo, loca-
lización física inicial, contenido, entre otros.

• Análisis de capturas de red

• Volcados de memoria: procesos, direcciones IP, archivos asociados, servicios de

red, puertos, entre otros.

Preparación para el análisis: para poder empezar la fase de análisis de las evidencias,
debemos tener en cuenta las siguientes consideraciones:

• Contar con un espacio dedicado para el análisis de pruebas digitales.

• Se debe trabajar con las imágenes recopiladas (Copias), las imágenes deben
montarse y verificar que hayan quedado tal cual como se encontraba el sistema
operativo atacado, esto solo aplica para los análisis en vivo.

• Disponer de recursos suficientes para realizar todas las pruebas que sean perti-
nentes a la evidencia digital.

• Tener un sistema operativo anfitrión, en donde se encuentran instaladas todas las

herramientas que se utilizaran en el proceso de análisis, además se debe contar
con otro disco adicional que será donde se montaran las imágenes del sistema

Informática forense - eje 2 analicemos la situación 21

 afectado, conservando siempre la estructura de las particiones.

• Preferiblemente se debe tener otro equipo que tenga la misma configuración y

sistema operativo, en el que se pueda realizar pruebas a medida que se van for-
mulado hipótesis.

• Reconstrucción del ataque.

Después de realizar las actividades anteriores, se deben realizar los siguientes pasos:

• Crear una línea temporal de los sucesos (Timeline).

Timeline: el concreto de la línea del tiempo, es simple y

muy importante, ya que ayuda a establecer unos filtros o
parámetros, respecto a momentos en el tiempo, los cuales
son relevantes para el proceso y ciclo de la investigación
forense, y para la segmentación de información.
• Ordenar los archivos por sus fechas.
• Revisar detenidamente los logs del sistema y tratar
de realizar una correlación entre ellos.
Segmentación
Técnica de dividir en pequeñas partes.
Correlación
Proceso de analizar los datos de eventos
para identificar patrones, causas comu-
nes y causas iniciales. La correlación de
eventos analiza los eventos entrantes
para estados predefinidos mediante
reglas predefinidas y para relaciones
predefinidas.

• Examinar los archivos donde se detecten conexiones a servicios como FTP.

Cruce de variables: la experiencia del investigador forense y el conocimiento del caso

le ayudaran a determinar a qué pruebas le presta más atención y a cuales menos, para
tener fundamentos sólidos, realizar un análisis y plantear hipótesis que le ayuden a su
justificación y reporte final.

Recolectando una evidencia digital

Este es uno de los pasos más importantes en una investigación, y es cuando los peri-
tos forenses deben tener mucho cuidado, porque un mal procedimiento podría dañar la
evidencia, a continuación, realizaremos una recolección de memoria RAM en un equipo
Windows 10 de 64 bits, para este proceso haremos uso de la herramienta FTK imager.

Informática forense - eje 2 analicemos la situación 22

 Figura 4. Imagen software FTK imager
Fuente: Propia

Escogemos la opción capture Memory, llegaremos al siguiente menú.

Figura 5. Imagen software FTK imager

Fuente: Propia

Aquí seleccionamos el destino y si queremos le cambiamos el nombre y clic en capturar

imagen.

Figura 6. Imagen software FTK imager

Fuente: Propia

Informática forense - eje 2 analicemos la situación 23

 Y comienza el proceso de captura, al final se obtendrá un archivo como el siguiente.

Este es un ejemplo de recolección de evidencia, el paso a seguir seria obtener la firma

digital (hash), y comenzar a realizar su análisis.

Instrucción

Le invitamos a la página principal del eje para revisar el recurso de apren-

dizaje: caso modelo.

La evidencia digital es la materia prima en todo el proceso de investigación, sin ella no

se podría realizar ningún proceso judicial, porque no habría forma de poder determinar si
se cometió un delito informático o no, todo el esfuerzo que pueda poner un perito forense
en una investigación puede quedar en el piso si se comprueba que durante el proceso la
evidencia perdió su integridad.

La evidencia digital por sus características tiende a ser muy delicada, aplicarle un mal
procedimiento seria perder toda la evidencia, la forma de evitar estos contratiempos, es
garantizar la cadena de custodia, que es como el seguro de vida de la evidencia digital,
siguiendo este proceso de forma detallada y metódica, actualizando los registros cada
vez que cambia de investigador, le dará veracidad a las evidencias que después de pasar
por todas las fases puede llegar a convertirse en una prueba digital, y será admitida y
tenida en cuenta por el juez para dar su veredicto final.

Veredicto
Decisión final pronunciada por un jurado sobre la inocencia o culpabilidad de un acusado o sobre un hecho
en litigio.

Informática forense - eje 2 analicemos la situación 24

 Bibliografía

Abel, X. y Pico, J. (2011). La prueba electrónica. Instituto de Probática y Derecho

Probatorio. Recuperado de http://bidig.areandina.edu.co/index.php/generales-
y-multidisciplinarias-elibro.

Ministerio de Tecnologías de la Información y Comunicaciones (MINTIC). (s.f.).

Seguridad y privacidad de la información. Guía 13. Recuperado de https://www.
mintic.gov.co/gestionti/615/articles-5482_G13_Evidencia_Digital.pdf.

Insa, F., y Lázaro, C. (2008). Pruebas electrónicas ante los tribunales en la lucha
contra la cibercriminalidad: un proyecto europeo. Revista venezolana de
información, tecnología y conocimiento. Recuperado de https://ebookcentral.
proquest.com/lib/bibliotecafuaasp/reader.action?docID=3203840&query=Pru
ebas+electr%C3%B3nicas+ante+los+tribunales+en+la+lucha+contra+la+cibercri
BIBLIOGRAFÍA

minalidad%3A+un+proyecto+europeo

Cano, J. (2010). Peritaje informático y la evidencia digital en Colombia. Capítulos

I y II. Universidad de los Andes. Recuperado de https://ebookcentral.proquest.
com/lib/bibliotecafuaasp/reader.action?docID=3201681&query=informatica+fo
rense.

Pinto, F., y Pujol, P. (2017). La prueba en la era digital. Capítulos I, III, y IV.
Wolters Kluwer. Recuperado de https://ebookcentral.proquest.com/lib/
bibliotecafuaasp/reader.action?docID=5426590&query=informatica+forense#

Brezinski, D., y Killalea, T. (2002). RFC3227 Guía para preservación de evidencia

digital. Recuperado de https://www.ietf.org/rfc/rfc3227.txt

Fiscalía General de la Nación. (s.f.). Cadena de custodia. Recuperado de https://www.

fiscalia.gov.co/colombia/wp-content/uploads/2012/01/manualcadena2.pdf
BIBLIOGRAFÍA