Este documento introduce el tema de la informática forense. Explica que la informática forense es la práctica de investigar datos de computadora para descubrir evidencia que puede usarse en procesos legales, incluso si la evidencia fue borrada. Detalla cómo los expertos en informática forense pueden recuperar archivos borrados u ocultos utilizando técnicas especializadas. Finalmente, enfatiza la importancia de asegurar la cadena de custodia de la evidencia digital para que sea admisible en una corte.

1. INSTITUTO TECNOLOGICO SUPERIOR
+ iiii
PARTICULAR
Pl,l
“SAN GABRIEL”
insjuhouioiuo
INTITUTO TECNOLOGICO SUPERIOR PARTICULAR “SAN GABRIEL”
TEMA: INFORMATICA FORENSE
ESPECIALIDAD: INFORMATICA
AUTOR: GALO TORRES
FECHA: 28 - 09 - 2012
RIOBAMBA ECUADOR
¿QUE ES INFORMATICA FORENSE ?

2. INTRODUCCIÓN A LA INFORMÁTICA
FORENSE
Cuarenta años atrás, las computadoras eran
máquinas colosales que sólo eran utilizadas por
corporaciones multinacionales y agencias
gubernamentales en países poderosos. Estas
máquinas eran tan grandes y tan complejas, que
inclusive requerían sus propios ambientes con
temperatura controlada, para que los equipos
funcionaran apropiadamente. Desde ese tiempo,
podemos decir que han sufrido una metamorfosis
hasta convertirse en equipos domésticos comunes,
tan comunes que forman parte de nuestra vida
cotidiana, como un teléfono o como un televisor.
En vista de que la mayoría de nosotros usamos las
computadoras para comunicarnos, aprender,
trabajar e inclusive para entretenimiento, llegamos a
percibir a nuestros computadores como una
extensión de nosotros mismos. Por esta razón,
nuestras computadoras, en la mayoría de los casos,
contienen información muy importante que puede
ser usada como prueba o evidencia en procesos
legales, tanto en materia penal como en civil,
inclusive en el caso en que la evidencia no sea
directamente relacionada con las computadoras.
Esta prueba o evidencia contenida en las
computadoras, puede ser vasta, desde e-mail, a
fotografías o documentos confidenciales. Más
importante aún, esta prueba o evidencia puede ser
frecuentemente recuperada de una computadora

3. sospechosa, inclusive si el dueño o usuario de esta
máquina borró la información, desfragmentó el disco
o inclusive si lo formateó.
Es aquí donde aparece un área nueva de la Ciencia
Forense, como es la Informática Forense que se
implementará en una segunda etapa en el Instituto
de Ciencia Forense e Investigación Criminal de
UNIVALLE (I.C.F.I.C. – UNIVALLE). La definición
básica del área de qué trata este artículo es: "La
práctica especializada de investigar datos de
computadora con el propósito de descubrir y analizar
información disponible, borrada u oculta que pueda
ser usada como evidencia en un proceso legal".
La Informática Forense puede ser usada para
descubrir evidencia potencial en una variedad de
casos, incluyendo:
Delitos contra la Propiedad Intelectual, en caso
de Software Pirata o documentos con el debido
registro de derechos de Autor. LEY No. 1322
DE 13 DE ABRIL DE 1992.
Robo de Propiedad Intelectual y Espionaje
industrial (que aunque no se crea, sí existe en
nuestro país).
Lavado de Dinero, vía transferencia de fondos
por Internet.
Acoso Sexual (vía e-mail); Chantaje o
amenazas (vía e-mail).
Acceso no autorizado a propiedad intelectual.
Corrupción.
Destrucción de Información Confidencial.
Fraude (en apuestas, compras, etc. Vía e-mail).

4. Pornografía en todas sus formas, inclusive en la
más devastadora: Pornografía infantil.
La Informática Forense combina técnicas
especializadas con el uso de software sofisticado
para ver y analizar información a la que no puede
acceder el usuario ordinario. Esta información pudo
haber sido "borrada" por el usuario meses o años
antes de la investigación o inclusive pudo no haber
sido guardada, pero puede aún estar presente en
todo o en parte, en el disco duro de la computadora.
Es siempre recomendable para precautelar el interés
del abogado, del cliente y de otros aspectos legales
que se está tratando, el encontrar a un especialista
que nos asista en todas las etapas, en la
preparación de un proceso judicial, incluyendo
aspectos como:
Determinar si la computadora en cuestión tiene
o no información relevante al proceso judicial.
Asistir en la preparación y respuesta a
interrogatorios.
Recibir y examinar información que está sólo
accesible a través del uso de métodos y
programas forenses.
Planificar y proveer testimonio del perito.
Para determinar si la computadora contiene
información que puede servir como prueba o
evidencia, el profesional debe, primero, crear una
copia del disco duro en cuestión, que la llamaremos
"imagen exacta del disco duro". El experto sólo
examinará esta copia, protegiendo así el disco

5. original de alteraciones inadvertidas. Esta imagen
debe ser real BIT a BIT o milímetro a milímetro del
original, no una simple copia de la información del
original, sino una copia completa. Adquirir estas
copias exactas, requiere el uso de técnicas forenses
especializadas.
Estas copias "imagen exacta" son muy importantes,
ya que cada vez que alguien enciende una
computadora, muchos cambios son
automáticamente hechos en la mayoría de los
archivos. Por ejemplo, en un sistema Windows
convencional, más de 160 alteraciones son hechas a
los archivos, cuando una computadora es
encendida. Estos cambios no son visibles para el
usuario, pero estos cambios, que sí ocurren, pueden
alterar o inclusive borrar evidencia, por ejemplo:
fechas importantes relacionadas con la actividad
criminal.
Asegurar la cadena de la prueba (que se refiere
básicamente al momento desde la sospecha del
abogado o de la parte, de que alguna información
que puede ser usada como evidencia, está en una
computadora, el primer acercamiento y evaluación
del experto hasta el informe final) es tan importante
para el especialista que hace la primera evaluación
del disco y la evaluación de la información por su
valor como evidencia, así como lo es para un médico
forense en su área. El especialista en Informática
Forense usa los denominados HASH CODES o
Códigos Aleatorios para asegurar la cadena de
custodia. Estos son cifras numéricas realmente
largas, específicas para cada archivo y para cada

6. disco, que son calculadas matemáticamente. Si un
archivo o disco es cambiado inclusive en su más
mínima parte, este Código Aleatorio también
cambiará.
El análisis de informática forense es siempre útil en
aspectos que aparentemente parecen poco
relacionados con las computadoras. En algunos
casos, información personal en una computadora,
por ejemplo, en un caso de divorcio, el esposo
puede haber escondido fondos mancomunados en
una cuenta de banco secreta. En otro caso, un
empleado, para comenzar su propia empresa, puede
haber renombrado un paquete de computación
desarrollado por su actual empleador. A pesar de
que todos los actores en los casos mencionados han
borrado la información que tienen en sus
computadoras, el especialista en Informática
Forense puede recuperar esta información de los
discos duros de las computadoras.
Pero, ¿cómo es posible recuperar información o
evidencia borrada? El sistema operativo de una
computadora utiliza un directorio que contiene el
nombre y la ubicación de cada archivo en el disco
duro. Cuando un archivo es borrado, varios eventos
tienen lugar en una computadora. Un archivo
marcador de status es revelado para indicar que un
archivo ha sido borrado. Un marcador de estado del
disco es revelado para indicar que el espacio es
ahora disponible para uso. Así, el usuario no puede
ver el archivo listado en ningún directorio, pero en
realidad nada se ha hecho al archivo. Este nuevo
espacio es denominado espacio libre o no usado,

7. hasta que otro archivo reescriba sobre este espacio;
el especialista en Informática Forense puede
recuperar este archivo en su integridad. El
sobreescribir sobre el archivo puede ser causado por
una variedad de actividades del usuario, entre ellas
añadir un nuevo programa o crear nuevos
documentos que son archivados donde el archivo
"borrado" está. Solo cuando la información es sobre
escrita por nueva información, esa parte o todo el
archivo no es más recuperable a través de técnicas
de informática forense.
El espacio libre o disponible para uso en los discos
duros de las computadoras es dividido en sectores
de igual tamaño. Cuando el usuario necesita
almacenar información, el sistema operativo de la
computadora automáticamente determina cuál de
esos sectores será utilizado para almacenar esta
información. En muchos casos, la información a ser
almacenada no utiliza todo el espacio disponible en
el sector o sectores designados. Cuando esto
sucede, la información que fue previamente
almacenada en el disco duro, permanece en el
sector no usado al que lo denominan "sector
inactivo". Lo cual implica que si parte del disco ha
sido sobre escrito con nueva información, hay
todavía la posibilidad de que alguna evidencia
incriminante todavía quede en ese sector inactivo.
Información importante o crítica para algún caso
puede ser también recuperable a través de las
diferentes técnicas de informática forense.
Esta información oculta o no visible para el usuario,
está llena de detalles sobre el uso de la

8. computadora, como ser páginas web visitadas, e-
mail enviado y recibido, información sobre
transacciones bancarias realizadas a través de
Internet, documentos, cartas y fotografías que fueron
creadas, modificadas o visitadas en muchos de los
casos, inclusive si esta información no fue guardada
en el computador por el usuario.
¿Cómo sucede esto? Para hacer que la información
sea visible en el monitor de la computadora, el
sistema almacena información en un archivo
temporal. Cuando la computadora es posteriormente
apagada, la información continúa existiendo en ese
archivo temporal, pese a no haber sido guardada por
el usuario.
Cuando un usuario accede a Internet, el buscador
mantiene registros de los lugares visitados mediante
las "cookies" que son archivos que el buscador usa
para rastrear la actividad del usuario en Internet.
Ellos proveen claves de acceso y otra información
relevante para la actividad en Internet del usuario.
Programas específicos, incluyendo Microsoft Word,
retienen información sobre cada documento que es
creado, modificado o accedido dentro de los mismos
documentos. Esta información, conocida como
"metadata" narra la historia del documento,
incluyendo la información del usuario que modificó y
guardó el archivo, también el directorio y el archivo
en el que ha sido guardado y si el documento ha
sido impreso y en qué impresora. El especialista en
informática forense puede recuperar metadata y
conocer toda la información acerca de la vida

9. pasada de ese archivo.
En muchos casos, aun cuando el usuario ha
desfragmentado o reformateado el disco, la
evidencia puede ser aún recuperada. Muchos
lugares de almacenamiento en el disco o
receptáculos no son alterados por el proceso de
desfragmentación, ya que, como se dijo arriba,
muchos documentos contienen información interna
que describe fechas, usuarios y otra información que
puede ser de gran valor para el caso. Y si bien es
cierto que el reformateado de un disco reconstruye
todo el sistema de archivos, no remueve la
información que existió previamente en ese disco.
Un especialista en informática forense puede, con el
software correcto y con la experiencia necesaria,
recuperar la mayor parte de lo que estaba en el
disco.
¿Qué debe hacer el abogado si sospecha que este
tipo de evidencia puede estar en la computadora de
su cliente?
Primero que nada, controlar y reprimir su
curiosidad natural. Recuerde que el simple
hecho de encender una computadora cambia
muchos archivos; esos cambios pueden alterar
fechas importantes y cualquier acceso al disco
es arriesgarse a borrar información pertinente y
destruir así la cadena de custodia que debe
existir.
Tratar de hacer lo posible para asegurar que la
computadora permanezca intacta hasta que un
especialista pueda crear una copia certificada

10. (imagen exacta) del disco duro. Esta imagen o
copia milímetro a milímetro puede ser
examinada sin arriesgar la investigación.
Supongamos ahora que se tiene la sospecha de que
alguien ya trató de ver el disco duro de la
computadora en cuestión. Lo mejor es dejar la
máquina tal cual está, ya sea que ésta esté prendida
o apagada. Explique la situación al experto, quien
puede manejar este caso y esas circunstancias.
En muchas situaciones, la evidencia resultante de la
investigación del Informático Forense puede ser la
diferencia entre ganar y perder un caso.
Usualmente, la única evidencia que existe además
de evidencia circunstancial, es la evidencia que
puede ser encontrada como resultado de la labor del
experto. Los Archivos de Datos en papeles pueden
ser destruidos o perdidos. Los testigos pueden
olvidar los hechos tal cual ocurrieron, o sólo recordar
lo que les conviene o le conviene a la parte que los
propuso para el proceso, sea éste civil, penal, etc.
La evidencia de informática forense no puede ser
refutada, ya que es el resultado de un proceso
científico y existe en forma obviamente tangible.
Finalmente, para los lectores de Brújula, es
necesario hacer una aclaración. Este artículo sólo
tiene la intención de proveer una descripción simple
y elemental de los hechos que rodean la labor de la
Informática Forense. No es posible citar todos los
posibles escenarios en que el especialista podría
verse, ya que las posibilidades son virtualmente
ilimitadas. Sin embargo, los hechos presentados son

11. verdaderos y es la forma usual de proceder.
A la vez, también es la intención de este artículo
proveer sólo una imagen general del proceso que se
da en la informática forense; sería poco práctico y
excesivo describir más detalles o aspectos más
técnicos del análisis del disco. Para mayor
información sobre aspectos técnicos de la
Investigación en Informática Forense, visítenos en el
Instituto de Ciencia Forense e Investigación Criminal
ICFIC-UNIVALLE o también la página web de la
Asociación Internacional de Especialistas en
Investigación de computadoras.
QUE ES INFORMATICA FORENSE
El valor de la información en nuestra sociedad, y
sobre todo en las empresas, es cada vez más
importante para el desarrollo de negocio de
cualquier organización. Derivado de este aspecto, la
importancia de la Informática forense –sus usos y
objetivos- adquiere cada vez mayor trascendencia.

12. ¿En qué consiste esta técnica relativamente
reciente?
Productos recomendados:
Le recomendamos que eche un ojo a los productos
para pequeñas y medianas empresas de Microsoft.
Resumen:
1.Si como empresa ha sufrido -o quiere evitar sufrir-
vulneraciones derivadas del uso que sus
empleados hacen de sus sistemas de información,
la respuesta está en la Informática forense. Aquí
una guía orientativa sobre las cuestiones básicas
principales: para qué sirve, en qué consiste, cuáles
son sus objetivos y su metodología y cómo ha de
llevarse a cabo para adecuarse al derecho.
La Informática forense permite la solución de
conflictos tecnológicos relacionados con seguridad
informática y protección de datos. Gracias a ella, las
empresas obtienen una respuesta a problemas de
privacidad, competencia desleal, fraude, robo de
información confidencial y/o espionaje industrial
surgidos a través de uso indebido de las tecnologías
de la información. Mediante sus procedimientos se
identifican, aseguran, extraen, analizan y presentan
pruebas generadas y guardadas electrónicamente
para que puedan ser aceptadas en un proceso legal.
- ¿Para qué sirve?

13. Para garantizar la efectividad de las políticas de
seguridad y la protección tanto de la información
como de las tecnologías que facilitan la gestión de
esa información.
- ¿En qué consiste?
Consiste en la investigación de los sistemas de
información con el fin de detectar evidencias de la
vulneración de los sistemas.
- ¿Cuál es su finalidad?
Cuando una empresa contrata servicios de
Informática forense puede perseguir objetivos
preventivos, anticipándose al posible problema u
objetivos correctivos, para una solución favorable
una vez que la vulneración y las infracciones ya se
han producido.
- ¿Qué metodologías utiliza la Informática
forense?
Las distintas metodologías forenses incluyen la
recogida segura de datos de diferentes medios
digitales y evidencias digitales, sin alterar los datos
de origen. Cada fuente de información se cataloga
preparándola para su posterior análisis y se
documenta cada prueba aportada. Las evidencias
digitales recabadas permiten elaborar un dictamen
claro, conciso, fundamentado y con justificación de
las hipótesis que en él se barajan a partir de las
pruebas recogidas.

14. - ¿Cuál es la forma correcta de proceder?
Y, ¿por qué? Todo el procedimiento debe hacerse
tenido en cuenta los requerimientos legales para no
vulnerar en ningún momento los derechos de
terceros que puedan verse afectados. Ello para que,
llegado el caso, las evidencias sean aceptadas por
los tribunales y puedan constituir un elemento de
prueba fundamental, si se plantea un litigio, para
alcanzar un resultado favorable.
OBJETIVOS DE LA INFORMATICA FORENSE
En conclusión, estamos hablando de la utilización de
la informática forense con una finalidad preventiva,
en primer término. Como medida preventiva sirve a
las empresas para auditar, mediante la práctica de
diversas pruebas técnicas, que los mecanismos de
protección instalados y las condiciones de seguridad
aplicadas a los sistemas de información son
suficientes. Asimismo, permite detectar las
vulnerabilidades de seguridad con el fin de
corregirlas. Cuestión que pasa por redactar y
elaborar las oportunas políticas sobre uso de los
sistemas de información facilitados a los empleados
para no atentar contra el derecho a la intimidad de
esas personas.
Por otro lado, cuando la seguridad de la empresa ya
ha sido vulnerada, la informática forense permite

15. recoger rastros probatorios para averiguar, siguiendo
las evidencias electrónicas, el origen del ataque (si
es una vulneración externa de la seguridad) o las
posibles alteraciones, manipulaciones, fugas o
destrucciones de datos a nivel interno de la empresa
para determinar las actividades realizadas desde
uno o varios equipos concretos.
CUESTIONES TECNICAS Y LEGALES DE LA
INFORMATICA FORENSE
Para realizar un adecuado análisis de Informática
forense se requiere un equipo multidisciplinar que
incluya profesionales expertos en derecho de las TI
y expertos técnicos en metodología forense. Esto es
así porque se trata de garantizar el cumplimiento
tanto de los requerimientos jurídicos como los
requerimientos técnicos derivados de la metodología
forense.
Informática forense
Actualmente la tecnología está avanzando a pasos
agigantados, y con ella la forma en que todos
operamos. Ahora toda la información es almacenada
en los ordenadores de manera automática, a
diferencia de épocas anteriores en donde la
información se almacenaba de manera manual y en
papel. Esto conlleva cierto tipo de ventajas y
desventajas.

16. Las ventajas son evidentes, mayor facilidad en el
manejo de la información, rapidez en la recolección y
análisis de la misma, alta disponibilidad tanto en
tiempo como en localidad. Sin embargo, las
desventajas y riesgos en los que se incurre no son
tan obvios. Entre estos, la vulnerabilidad de la
información a ser borrada, la fácil replicación de la
información, la explotación de la información por
vulnerabilidades en el sistema.
Con todo el riesgo que se corre al manejar
información debemos de tener una manera de
protegernos y de proteger a las personas de las que
mantenemos información. Para poder garantizar las
políticas de seguridad y la protección de la
información y las tecnologías que facilitan la gestión
de la información surge la Informática forense.
Según el FBI, la informática (o computación) forense
es la ciencia de adquirir,
preservar, obtener y presentar datos que han sido
procesados electrónicamente y
guardados en un medio computacional.
La informática forense consiste en investigar
sistemas de información con el fin de detectar
evidencias de vulnerabilidad en los mismos. La
finalidad de la informática forense, para un ente que
la requiera, es perseguir objetivos preventivos
(anticipándose al posible problema) u objetivos
correctivos (para una solución favorable una vez que
la vulnerabilidad y las infracciones ya se han
producido).

17. En conclusión, la informática forense tiene un papel,
en primer lugar, como sistema preventivo. Sirve para
auditar, mediante la práctica de diversas técnicas
para probar que los sistemas de seguridad
instalados cumplen con ciertas condiciones básicas
de seguridad. Los resultados de las auditorías
servirán para poder corregir los errores encontrados
y poder mejorar el sistema. Así mismo, lograr la
elaboración de políticas de seguridad y uso de los
sistemas para mejorar el rendimiento y la seguridad
de todo el sistema de información.
En segundo lugar, sí el sistema ha sido penetrado, la
informática forense permite realizar un rastreo de la
intrusión y poder descubrir el daño realizado. Así
como la recopilación de evidencias electrónicas,
detectar el origen del ataque o las alteraciones
realizadas al sistema (fugas de información, perdida
o manipulación de datos). Para que, posteriormente,
se utilicen las evidencias encontradas en la captura
de los criminales que atacaron el sistema, y se
proceda de manera legal según las regulaciones de
cada país.
CONCLUSIONES
En la actualidad el valor de la información está en
aumento, con ello debemos de preocuparnos más
por protegerla. La informática forense nace a raíz de
esta preocupación, buscando tanto la prevención
como la reacción y corrección a problemas que
puedan afectar los sistemas de información.
Para la buena aplicación preventiva de la informática
forense es necesaria la realización de auditorías

18. continuas en los sistemas, y la corrección de los
errores encontrados en los mismos. También se
necesita establecer políticas de seguridad para
usuarios y para el uso de los sistemas de
información, con el fin de minimizar la posibilidad de
infiltraciones por alguna negligencia por parte de los
usuarios o alguna falla en los procedimientos.
Por otro lado, en cuanto a la parte reactiva de la
informática forense se necesita el uso de programas
para la detección de la intrusión en el sistema de
información y los cambios realizados a la
información (manipulación o borrado). Así como un
equipo multidisciplinario para poder cubrir de manera
efectiva las áreas que traspasadas durante el ataque
y poder rastrear los daños y al atacante.
Para que todo lo realizado en la informática forense
sea exitoso, es necesario que se tengan
regulaciones jurídicas que penalicen a los atacantes
y que pueda sentenciarse les por los crímenes
cometidos. Cada país necesita reconocer el valor de
la información de sus habitantes y poder protegerlos
mediante leyes. De manera que todos los crímenes
informáticos no queden impunes.
BIBLIOGRAFIA
Ausejo Prieto, Rafael. Análisis forense.
http://www.ausejo.net/seguridad/forense.htm.
Delitos Informáticos Programa Acceso Máximo.
http://youtube.com/watch?v=vqu5vR7_Od0.
Forensics Wiki. http://www.forensicswiki.org/.

19. López, O. y Amaya H. y León R. Informática
forense: Generalidades, aspectos técnicos y
herramientas. Universidad de los Andes.
Colombia.
Pérez Gómez, Elena. ¿Qué es la informática
forense o Forensic?.
http://www.microsoft.com/spain/empresas/legal/f
orensic.mspx.
Recovering and Examining Computer Forensic
Evidence.
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/c
omputer.htm.