DIPLOMADO EN SEGURIDAD INFORMATICA Y AUDITORIA

YITMAR MANSURI ASPRILLA HURTADO

NEVIS ALFREDO CUBBILLOS MORENO

MODULO DE INFORMATICA FORENSE

UNIVERSIDAD TECNOLOGICA DEL CHOCÓ

“Diego Luis Córdoba”
FACULTAD: INGENIERIA
PROGRAMA: ING. TELEINFORMATICA
QUIBDÓ – CHOCÓ
2018
 INTRODUCCIÓN

La informática forense, aplicando

procedimientos estrictos y rigurosos
puede ayudar a resolver grandes
crímenes apoyándose en el método
científico, aplicado a la recolección,
análisis y validación de todo tipo de
pruebas digitales.
 PRINCIPIO FUNDAMENTAL DE LA CIENCIA
FORENSE.
 Edmond Lockard dice: “Los restos microscópicos que cubren
nuestra ropa y nuestros cuerpos, son testigos mudos, seguros y
fieles de nuestros movimientos y de nuestros encuentros”.

 Dan Farmer y Wielse Venema, y actualmente Brian Carrier (como

uno de los mayores expertos a nivel mundial en el tema)
 ¿QUÉ ES LA INGENIERÍA FORENSE?
 Ciencia de adquirir, preservar, obtener y presentar datos que han sido
procesados electrónicamente y guardados en un medio computacional.

¿Para qué sirve la informática forense?: Para garantizar

las políticas de seguridad y la protección tanto de la información como de
las tecnologías que facilitan la gestión de esa información.
 OBJETIVOS DE LA INFORMÁTICA
FORENSE.

Saber que sucedió

Determinar la magnitud del incidente
Identificar si hay terceros afectados
Prevenir y mejorar
Eliminar registros existentes
 INCIDENTES EN LOS QUE SE PUEDE
UTILIZAR LA INFORMÁTICA FORENSE.

Persecución criminal
Temas corporativos
Delitos informáticos
Litigio civil
Mantenimiento de la ley
 EVIDENCIAS POTENCIALES QUE NOS AYUDA A
IDENTIFICAR LA INFORMÁTICA FORENSE

Trafico de la red
BD
Testimonio humano
Sistemas Operativos
Aplicaciones
Unidades de almacenamiento
FASES DE LA INFORMÁTICA FORENSE

IDENTIFICACION
DEL INCIDENTE

DOCUMENTACION
OBTENCION DE LA
Y PRESENTACION
EVIDENCIA
DE LA EVIDENCIA

RECUPERACION Y
PRESERVACION DE
ANALISIS DE LA
LA EVIDENCIA
EVIDENCIA
 IDENTIFICACIÓN DEL INCIDENTE

Levantamiento de información: Descripción del

delito informático, que sucedió, donde, cuando,
porqué y quien; todas esta nos permitirá conocer
los antecedentes, ante, durante y después.
Asegurar la escena: Identificar las evidencias para
evitar la manipulación indebida que conlleve a la
perdida de confiabilidad en el procesamiento.
 OBTENCIÓN Y PRESERVACIÓN DE LA
EVIDENCIA

Copias de la evidencia, específicamente del disco

duro donde se presentó la pérdida de información,
detallando el procedimiento a seguir.
Cadena de custodia, informando el paso a seguir
para garantizar que la información recogida sirva
como prueba ante la denuncia.
 RECUPERACIÓN Y ANÁLISIS DE LA
EVIDENCIA

Preparación para el análisis

Reconstrucción del ataque
Determinación del ataque
Identificación del atacante
Perfil del atacante
Evaluación del impacto causado en el sistema
 DOCUMENTACION Y PRESENTACION DE LA
EVIDENCIA

Registro del incidente.

Informe técnico.
Informe ejecutivo.
 SOFTWARE EMPLEADOS EN LA INFORMÁTICA
FORENSE PARA EL ANÁLISIS DE PRUEBAS.
ImDisk - Controlador de disco virtual.
OSFMount - Permite montar imágenes de discos locales en Windows asignando una letra de
unidad.
raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdk
FTK Imager - Comentada anteriormente, permite realizar montaje de discos.
vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde el
administrador de discos de Windows .
LiveView - Utilidad en java que crea una máquina virtual de VMware partiendo de una
imagen de disco.
MountImagePro - Permite montar imágenes de discos locales en Windows asignando una
letra de unidad
 HEADERS

Tipo de Archivo Cabecera En ASCII

.ZIP 50 4B 03 04 PK
.RAR 52 61 72 21 Rar!
.TAR 1F 8B 08 00

.TGZ 1F 9D 90 70

.DOC D0 CF 11 E0 ÐÏ.à
.XLS D0 CF 11 E0

.PDF 25 50 44 46 %PDF
.WMV 30 26 B2 75

.FLV 46 4C 56 01 FLV
.BMP 42 4D F8 A9/ 62 25 / 76 03 BM, BMp% , BMv
.GIF 47 49 46 38 39 61 / 37 61 GIF89a GIF87a
.ICO 00 00 01 00

.JPEG FF D8 FF E0 / FE JFIF
.PNG 89 50 4E 47 PNG
.SFW 43 57 53 06 / 08 Cws
.MP3 49 44 33 2E /03 ID3
.EXE 4D 5A 50 00 /90 00 MZP / MZ
.DLL 4D 5A 90 00 MZ
Linux bin 7F 45 4C 46 ELF
 CONCLUSIÓN

Hablando en general, es necesario dejar primero claro que

la Seguridad Informática es un aspecto muchas veces
descuidado en nuestros sistemas, pero de vital
importancia para el correcto funcionamiento de todos
ellos. Y Como resultado del diplomado de profundización
en seguridad informática y auditoria, es posible concluir
que durante la ejecución del mismo se pudo adquirir una
visión general de seguridad informática así como las
diferentes maneras de aplicación en nuestro entorno.