Beruflich Dokumente
Kultur Dokumente
Miguel Quintero
EJE 2
Analicemos la situación
La prueba digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Evidencia digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Dispositivos de almacenamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Cadena de custodia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Introducción
Probatorio
den refutar su trabajo en un juicio si se comente algún Que sirve para probar algo.
error, frecuentemente en una investigación se pueden
encontrar varios elementos probatorios, que no son Tangible
Es un adjetivo que indica que algo se puede
tangibles, por el contrario en su mayoría son digitales, tocar. También indica que se puede percibir de
se encuentran en diferentes medios de almacenamiento manera precisa. Esta palabra procede del latín
tangibles. Algunos sinónimos son: palpable,
electrónico, en la nube o internet, este tipo de informa- perceptible, concreto y real.
ción puede verse afectada o manipulada fácilmente, la
tarea de los peritos forenses es poder recolectar estos
datos, antes de que sufran alguna alteración o desapa-
rezcan, tener clara la forma de presentarlos en un juicio,
garantizando la cadena de custodia.
Para poder alcanzar todos los objetivos de este eje los invito a que realicen las
lecturas adicionales, desarrollen los diferentes talleres y tareas, las preguntas o dudas
que tengan con gusto las pueden plantear en los encuentros sincrónicos.
Evidencia digital,
característica y manejo
La prueba digital
Trasmitir
Con este concepto claro podemos decir que la prueba digital Es la transferencia física de datos (un
es toda la información generada por un usuario como por ejem- flujo digital de bits) por un canal de
comunicación punto a punto o punto a
plo: archivos, carpetas, envió de correos, imágenes, archivos de multipunto.
audio, videos, etc. o información no generada por los usuarios
como archivos de logs de acceso a sistemas, bases de datos entre
otros, que puede generar algún tipo de valor probatorio que se
encuentra almacenada en algún tipo de dispositivo electrónico
y puede ser transmitida de forma digital.
Esto nos demuestra la importancia que tiene la prueba digital a nivel jurídico, y lo
cuidadosos y metódicos que debemos ser cuando estemos recolectando las pruebas, los
peritos forenses siempre trabajaran en una línea muy delgada, un mal procedimiento
puede dejar nula la prueba presentada.
La prueba digital forma parte de miles de procesos judiciales, y las nuevas tecnologías
día a día cogen más relevancia en el orden jurídico, las especializaciones en derecho infor-
mático, son más comunes en los bufetes de abogados y son los encargados de relacionar
las nuevas tecnologías con las nuevas legislaciones.
Relevancia
Importancia o significación que destaca de algo.
Bufete de abogados
Son las denominaciones utilizadas para designar a empresas que brindan servicios jurídicos con una planta
fija de letrados o abogados, integrados a la compañía mediante contrato o mediante acuerdo.
Estos datos van a seguir en aumento, porque cada vez son más los usuarios que
consumen servicios utilizando internet, pero no aplican ninguna norma de seguridad,
mantienen las mismas contraseñas, no se toman el tiempo de leer con detenimiento los
correos que llegan, y lo más importante no se aseguran que sea una entidad legitima la
que le solicita actualización de datos.
Nuestro diario vivir cada día se desarrolla más en el ámbito digital, nos da la posibilidad
de ahorrar tiempo, nos ayuda a conocer nuevas culturas, amplia nuestro enfoque del
mundo, pero también trae nuevos problemas, nuevas formas de ser atacados, no física-
mente, pero si digitalmente, y sus consecuencias pueden ser más graves que las reales.
Es importante que un perito forense conozca cuales son los principios de una prueba,
esto le ayudara a que sus investigaciones no se queden sin sustento.
• Necesidad de la prueba: es indispensable que los hechos que originan una decisión
judicial, estén demostrados por pruebas que pueden ser aportadas por cualquiera
de las partes.
• Eficacia jurídica y legal: las pruebas deben dar la certeza sobre los hechos, para
que el juez sea capaz de determinar la culpabilidad o inocencia.
• Unidad de la prueba: quiere decir que las pruebas forman una unidad y el juez las
debe examinar y valorar como tal.
• Adquisición de la prueba: la prueba después de que se aporta a un proceso no
pertenece a ninguna de las partes, y debe servir para determinar si se cometió el
delito.
• Lealtad, probidad, veracidad y exactitud: el objetivo principal de la prueba es pro-
teger el interés público y velar que se haga justicia.
• Contradicción de la prueba: la parte acusada debe tener la posibilidad de conocer
las pruebas y de tratar de refutarlas.
• Igualdad de oportunidades para la prueba: las partes tiene las mismas oportuni-
dades con las pruebas.
• Publicidad de la prueba: las pruebas deben estar disponibles por las partes, las
pueden analizar, objetarlas, deben conocer la decisión que tome un juez sobre la
prueba.
• Formalidad y legitimidad de la prueba: debe presentarse conforme a la ley, teniendo
en cuenta el tiempo, modo y lugar, y su obtención debe estar conforme a las normas.
Estos son algunos de los principios más importantes que se deben tener en cuenta al
momento de presentar una prueba en un proceso judicial.
• Falta de personal del sector judicial preparado para afrontar este nuevo tipo de
delitos.
Instrucción
Evidencia digital
“Cualquier información, que esté sujeta a una intervención humana u otra semejante,
ha sido extraída de un medio informático”, definición del señor Eoghan Casey.
• Admisible
• Auténtica
Admisible
Que puede ser admitido.
• Completa
• Confiable
• Creíble y comprensible
• Correos electrónicos.
• Archivos de logs.
• Documentos (.doc, xls, ppt).
• Imágenes.
• Fotografías.
Base de datos
• Códigos de programación. Una base de datos es una colección de
información organizada de forma que un
• Bases de datos. programa de ordenador pueda seleccio-
nar rápidamente los fragmentos de da-
tos que necesite. Una base de datos es
• Cookies de navegación. un sistema de archivos electrónico.
Las bases de datos tradicionales se orga-
• Procesos en ejecución. nizan por campos, registros y archivos.
• Páginas de internet.
• Conversaciones de redes sociales.
• Teléfonos móviles.
O cualquier otro tipo de evidencia que pueda ser utilizado en un proceso judicial,
estas evidencias al pasar por el proceso de adquisición, preservación y análisis se pueden
convertir en:
Las evidencias digitales se catalogan como pruebas frágiles, por la facilidad de modi-
ficarlas o borrarlas, y esta es una de las desventajas, ya que cuando se presentan ante
un juez, se debe garantizar que no han sido alteradas o modificadas para que las pueda
considerar como admisibles.
• Registros generados por computadores: aquí encontramos los logs del sistema
también conocidos como eventos de seguridad, por lo general son inalterables y
muestran todo lo sucedido con un sistema desde que se inició hasta que ocurrió
un evento.
• Registros híbridos: son todos los registros que contiene registros generados por el
sistema y los registros de los documentos generados por el usuario.
Inalterables
Que no se puede alterar o cambiar.
Hibrido
Que es producto de elementos de distinta naturaleza.
Para poder garantizar que las evidencias digitales no sufran daños y puedan usarse
en un proceso judicial como peritos forenses digitales debemos solicitar a la empresa o
persona afectada que no realice las siguientes acciones:
• Que por ningún motivo apaguen el sistema. Por qué se podría perder información
muy importante y volátil como por ejemplo toda la información contenida en la
memoria RAM.
• Que por ningún motivo se deben ejecutar programas, estos podrían sobrescribir
los datos.
• La cadena de custodia.
• La fecha y hora.
• Documentar todas las actividades se realicen y las personas que intervienen en
esas actividades.
La recolección o adquisición de evidencia debe tener un orden básico para que el
proceso de los mejores resultados:
• Buscar la evidencia.
• Determinar la relevancia de los datos.
• Determinar la volatilidad de la información.
• Eliminar la interferencia exterior.
• Recoger la evidencia.
• Documentar todas las acciones realizadas.
-- Guardar los dispositivos como discos duros, USB, etc., En bolsas electroestáticas
y bolsas de protección.
-- Utilizar herramientas que se puedan ejecutar desde una memoria USB, para
evitar contaminar el disco duro, se recomienda que estas sean manejadas desde
la línea de comandos.
-- Reportar de forma precisa y minuciosa todas las actividades que se realicen en
el sistema.
-- Realizar volcado de memoria: es uno de los procesos más importantes cuando
los equipos se encuentran encendidos, y la información que podemos encontrar
Instrucción
Lectura recomendada
https://www.ietf.org/rfc/rfc3227.txt
La evidencia digital por sus características volátiles, puede en cualquier momento per-
der su integridad, por un mal procedimiento o por terceros, para evitar que esto suceda
y quede inválida debemos darle un manejo adecuado y aplicarle seguridad, para lograr
esto debemos tener en cuenta los siguientes aspectos:
Control de acceso
Es un sistema automatizado que permite de forma eficaz, aprobar o negar el paso de personas o grupo de
personas a zonas restringidas en función de ciertos parámetros de seguridad establecidos por una empresa,
comercio, institución o cualquier otro ente
Evidencia volátil: se conoce como evidencia volátil a toda aquella que solo esta tem-
poralmente disponible, y se puede perder si no se realizan los procesos de adquisición y
preservación a tiempo, el ejemplo más claro de este tipo de evidencia es la información
que se encuentra en la memoria RAM, para evitar perder este tipo de evidencia se acon-
seja tener en cuenta los siguientes aspectos:
• No confiar en los programas que están en ejecución, el atacante pudo haber deja-
do programas que se activan con la interacción del usuario para borrar sus huellas.
• No se debe ejecutar ningún programa que pueda modificar los datos de fechas de
los archivos o carpetas.
Instrucción
Dispositivos de almacenamiento
• Cintas magnéticas.
• Discos ópticos (unidades de CD-ROM, DVD y Blu-ray).
• Unidades Flash.
• Discos duros extraíbles.
• USB.
• SD y Micro SD.
Para realizar proceso de copia bit a bit se debe tener en cuenta las siguientes
consideraciones:
• La capacidad del dispositivo debe ser superior a la del disco original, es impor-
tante tener en cuenta esto porque cuando se hace el proceso de recuperación de
un disco por ejemplo con capacidad de 500 GB, generalmente la cantidad de la
información recuperada será superior a las 500 GB, esto se debe a que los usuarios
nunca realizan un borrado seguro, solo hacen clic derecho eliminar, este proceso
no elimina la información solo quita el apuntador con el cual el sistema operativo
busca la información. Si no se cuenta con el espacio suficiente el proceso de copia-
do no se realizaría con éxito, además de que podemos perder información valiosa.
Lectura recomendada
Para profundizar más en las etapas del ciclo de vida de las evidencias y sus fases
les recomendamos la siguiente lectura.
Evidencia Digital
• Integridad de los medios: los medios a usar deben estar estériles. Por ningún motivo
debe contener algún tipo de información, esto podría afectar considerablemente
el análisis, es recomendable que todos los discos hayan pasado por procesos de
borrado seguros, que no hayan sido expuestos a variaciones magnéticas, ópticas
o similares.
Estéril
Que se encuentra limpio.
Borrado seguro
El borrado seguro de discos o unidades de disco se refiere a los pasos necesarios para que la información
que contienen sea inaccesible e ilegible.
-- Fast zero write: sobrescritura con un valor fijo (0x00) en cada sector.
-- Super fast zero write: sobrescritura con un valor fijo (0x00) cada tercer sector.
-- Zero write: sobrescritura con un valor fijo (0x00) en el área completa.
-- Random write: sobrescritura con valores aleatorios.
-- Random & zero write: método con 4 pasadas de so- Aleatorio
Que depende de algún suceso casual.
breescritura, en la primera sobrescribe valores alea-
torios, en la segunda sobrescribe valores fijos (0x00), Sobreescritura
Escribir daros en un sector donde ya
en la tercera vuelve a escribir valores aleatorios y fi- existe información.
nalmente termina con escritura de valor cero.
• Verificar las copias realizadas: cuando se realiza una copia lo primero que debe-
mos hacer es obtener el hash y compararlo con el original con esto aseguramos
que es una copia exacta, saltarnos este paso podríamos ver seriamente afectada
la investigación.
Cadena de custodia
Este término hace referencia al registro que debe llevarse de manera minuciosa, orde-
nada y controlada, de todas las personas que adquieren, preservan y analizan las evi-
dencias digitales, mientras que dure la investigación. En la cadena de custodia hay que
tener presente los siguientes aspectos:
• Disposición final.
Es una de las fases más importantes, aquí es donde los investigadores trataran de
saber el cómo, por qué y para que se realizó el ataque, buscaran rastros que les ayuden
a tratar de perfilar al atacante y si es posible poder establecer su localización.
Perfilar
Establecer claramente los aspectos particulares de una cosa para que sea más exacta y precisa.
Preparación para el análisis: para poder empezar la fase de análisis de las evidencias,
debemos tener en cuenta las siguientes consideraciones:
• Se debe trabajar con las imágenes recopiladas (Copias), las imágenes deben
montarse y verificar que hayan quedado tal cual como se encontraba el sistema
operativo atacado, esto solo aplica para los análisis en vivo.
• Disponer de recursos suficientes para realizar todas las pruebas que sean perti-
nentes a la evidencia digital.
Después de realizar las actividades anteriores, se deben realizar los siguientes pasos:
Este es uno de los pasos más importantes en una investigación, y es cuando los peri-
tos forenses deben tener mucho cuidado, porque un mal procedimiento podría dañar la
evidencia, a continuación, realizaremos una recolección de memoria RAM en un equipo
Windows 10 de 64 bits, para este proceso haremos uso de la herramienta FTK imager.
Instrucción
La evidencia digital por sus características tiende a ser muy delicada, aplicarle un mal
procedimiento seria perder toda la evidencia, la forma de evitar estos contratiempos, es
garantizar la cadena de custodia, que es como el seguro de vida de la evidencia digital,
siguiendo este proceso de forma detallada y metódica, actualizando los registros cada
vez que cambia de investigador, le dará veracidad a las evidencias que después de pasar
por todas las fases puede llegar a convertirse en una prueba digital, y será admitida y
tenida en cuenta por el juez para dar su veredicto final.
Veredicto
Decisión final pronunciada por un jurado sobre la inocencia o culpabilidad de un acusado o sobre un hecho
en litigio.
Insa, F., y Lázaro, C. (2008). Pruebas electrónicas ante los tribunales en la lucha
contra la cibercriminalidad: un proyecto europeo. Revista venezolana de
información, tecnología y conocimiento. Recuperado de https://ebookcentral.
proquest.com/lib/bibliotecafuaasp/reader.action?docID=3203840&query=Pru
ebas+electr%C3%B3nicas+ante+los+tribunales+en+la+lucha+contra+la+cibercri
BIBLIOGRAFÍA
minalidad%3A+un+proyecto+europeo
Pinto, F., y Pujol, P. (2017). La prueba en la era digital. Capítulos I, III, y IV.
Wolters Kluwer. Recuperado de https://ebookcentral.proquest.com/lib/
bibliotecafuaasp/reader.action?docID=5426590&query=informatica+forense#