Evidencia Digital

1,175 views
1,044 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,175
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
89
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Evidencia Digital

  1. 1. Investigación de la Escena delDelitoEvidencia DigitalInstituto de Pericias Criminalísticas yCapacitación “HANS GROSS”Alonso E. Caballero Quezadaaka ReYDeSArea de Sistemas de La Cámara de Comercio de La LibertadIntegrante del Grupo Peruano de Seguridad Informática SWP “SecurityWari Projects”e-mail: ReYDeS @ gmail.comWebPage: alonsocaballero.informatizate.net
  2. 2. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Desde hace algunos años una nueva clase deescenas criminales se han convertido en masrelevantes. Crímenes cometidos dentro de losdominios electrónicos o digitales, particularmentedentro del ciberespacio.Las agencias de justicia del mundo estánempezando a incrementar la lucha en lainvestigación de crímenes realizados parcial oenteramente en internet u otros medioselectrónicos.
  3. 3. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Los recursos y procedimientos son necesarios parabuscar, localizar y preservar todos los tipos deevidencia electrónica.Esta evidencia abarca desde imagenes depornografía infantil hasta datos cifrados utilizadospara una variedad de actividades criminales.Algunas investigaciones no son de maneraprimaria electrónicas, pero en algún punto losarchivos, datos pueden ser obtenidos y analizados.
  4. 4. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Evidencia Digital:La Evidencia Digital es definida como cualquiertipo de dato almacenado o transmitido utilizandouna computadora que soporte o rechaze una teoríade como una ofensa ocurrió o que direccione aelementos críticos de la ofensa, como un intento ocoartada.
  5. 5. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Evidencia Digital: (cont.)El termino de evidencia digital y evidenciaelectrónica es algunas veces utilizada de manerasimilar. Sin embargo, se debe de hacer un esfuerzopara distinguir entre dispositivos electrónicoscomo un teléfono movil y los datos digitales queellos contienen. Cuando consideramos las muchasfuentes de evidencia digital el útil categorizarsistemas de computo en tres grupos:
  6. 6. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Evidencia Digital: (cont.)* S istemas de Cómputo abierto; son los que lamayoría de personas piensa que soncomputadoras - estos sistemas abarcan, discosduros, teclados, y monitores, como laptops, deescritorio, y servidores que complen losestándares. Estos sistemas siempre estánincrementando la cantidad de espacio dealmacenamiento, pueden ser ricos en recursos deevidencia digital.
  7. 7. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Evidencia Digital: (cont.)* S istemas de Cómputo abierto;
  8. 8. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Evidencia Digital: (cont.)* S istemas de Comunicación; Sistemas de teléfonotradicional, sistemas de comunicacióninhalámbrica, internet, redes en general puedenser una fuente de evidencia digital. Internettransmite mensajes de correo electrónicoalrededor del mundo. El momento en que unmensaje fué enviado, quien lo envió, y que es loque el mensaje contenia puede ser del todoimportante en una investigación.
  9. 9. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Evidencia Digital: (cont.)* S istemas de Comunicación;
  10. 10. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Evidencia Digital: (cont.)* S istemas de Cómputo adheridos; teléfonos móviles,Asistentes Digitales Personales, tarjetasinteligentes, o muchos otros sistemas concomputadoras incrustadas pueden contenerevidencia digital. Por ejemplo, sistemas denavegación pueden ser utilizados para determinardonde un vehículo estuvo, muchos vehículos quemanejan datos que pueden ser útiles paraentender accidentes.
  11. 11. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Evidencia Digital: (cont.)* S istemas de Cómputo adheridos;
  12. 12. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Incrementado conocimientos sobre la evidenciadigital:Es bien conocido que los abogados y policias estánencontrando progresivamente mas evidenciadigital en sus trabajos. Menos obvio, es que losprofesionales de seguridad en computadoras ymilitares de alta jerarquía están relacionados conla evidencia digital.
  13. 13. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital:Incrementado conocimientos sobre la evidenciadigital: (cont.)Es bien conocido que los abogados y policias estánencontrando progresivamente mas evidenciadigital en sus trabajos. Menos obvio, es que losprofesionales de seguridad en computadoras ymilitares de alta jerarquía están relacionados conla evidencia digital.
  14. 14. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Incrementado conocimientos sobre la evidenciadigital: (cont.)Ademas de manejar la evidencia adecuadamente,las corporaciones y operadores militares necesitanresponder y recuperarse de los incidentesrapidamente para minimizar las perdidas causadaspor un incidente.
  15. 15. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Incrementado conocimientos sobre la evidenciadigital: (cont.)Hay que tener en mente que los criminalestambién están relacionados con la evidencia digitaly pueden intentar manipular los sistemas decómputo para evitar su captura. Sin embargo losinvestigadores digitales no pueden simplementeguiarse de la teoría para procesar evidencia digital,se debe de extender las lecciones a nuevassituaciones.
  16. 16. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes de la evidencia digital:La evidencia digital como una forma de evidenciafísica crea muchos retos. Es sucia, esta forma deevidencia puede ser dificil de manejar. Porejemplo, los platos de un disco duro contienen unaamalgama de datos, piezas de informaciónmezcladas y apiladas. Solo una pequeña parte deello puede ser relevante en un caso, haciendonecesario extraer partes útiles, juntarlas, yconvertirlas en una forma entendible.
  17. 17. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes de la evidencia digital: (cont)
  18. 18. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes de la evidencia digital: (cont)Segundo, la evidencia digital es generalmente unaabstracción de algún evento u objeto digital.Cuando una persona instruye a una computadora arealizar una tarea, como enviar un correoelectrónico, el resultado de las actividades generadatos remanentes que dan solo una visión parcialde lo ocurrido.
  19. 19. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes de la evidencia digital: (cont)Tercero, el hecho de que la evidencia digital seamanipulada facilmente acarrea nuevos retos paralos investigadores digitales. La evidencia digitalpuede ser alterada ya sea maliciosamente por elagresor o accidentalmente durante la recolecciónsin dejar ningún signo obvio de distorción.Afortunadametne la evidencia digital tiene algunascaracterísticas que pueden mitigar este problema:
  20. 20. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes de la evidencia digital: (cont)* La evidencia digital puede ser duplicadaexactamente y una copia puede ser examinadacomo si fuera la original. Esta es una prácticacomún cuando se enfrenta con evidencia digitalexaminar la copia, evitando el riesgo de dañar eloriginal.
  21. 21. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes de la evidencia digital: (cont)
  22. 22. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes de la evidencia digital: (cont)* Con las herramientas adecuadas es muy fácildeterminar si la evidencia digital ha sidomodificada o se ha tratado de modificarcomparandolo con la copia original.* La evidencia digital es dificil de destruir. Cuandoun archivo es "borrado" o el disco duro esformateado, la evidencia digital puede serrecuperada.
  23. 23. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes de la evidencia digital: (cont)
  24. 24. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes de la evidencia digital: (cont)* Cuando los criminales intentan destruir laevidencia digital, copias o remanentes asociadospueden permanecer en lugares que no conocian.
  25. 25. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes de la evidencia digital: (cont)Cuarto, la evidencia digital es usualmentecirncunstancial, dificultando atribuir actividad decómputo a un individuo. Sin embargo la evidenciadigital puede ser solo un componente de unasólida investigación.
  26. 26. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:S iguiendo el rastro virtual:Muchas personas creen que internet esta separadodel mundo físico. Este simplemente no es el caso,los crimenes en internet son el reflejo de loscrimenes del mundo físico. Existen muchasrazones para ser cauto al respecto. Primero, uncrimen en internet usualmente refleja un crimen enel mundo real con victimas y atacantes humanos ydeben de ser tratados con la misma gravedad.
  27. 27. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:S iguiendo el rastro virtual: (cont.)Segundo, mientras los criminales se sientenseguros en internet, son observables y vulnerables.Tenemos la oportunidad de descubrir crimenes enel mundo físico que pueden no ser visible sininternet. Asesinatos han sido identificados comoresultado de sus acciones en línea, pornografíainfantil descubierta en internet ha expuesto a losabusadores de niños en el mundo físico, y repartosde drogas son inicialemente iniciados en linea.
  28. 28. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:S iguiendo el rastro virtual: (cont.)Internet puede contener evidencia de un crímen enla cual no está directamente relacionado.Además la evidencia en internet puede existir ensistemas comerciales. (ATM, tarjetas de crédito,tarjetas de débito), y redes privadas.Las redes privadas usualemente contienen mayorconcentración de información digital.
  29. 29. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:S iguiendo el rastro virtual: (cont.)
  30. 30. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Aspectos desafiantes del rastro virtual: (cont.)La naturaleza dinámica y distribuida de las redeshace dificil encontrar y recolectar evidencia digitalrelevante. Los datos pueden estar esparcidos sobreun grupo de construcciones, ciudades, estados ohasta países. También el tráfico debe sercapturado mientras está en tránsito. Una vez queel tráfico de red es capturado, solo quedan copiasy los datos originales no están disponibles para sercomparados.
  31. 31. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital:Aspectos desafiantes del rastro virtual:
  32. 32. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Ciencia Forense y evidencia digital:La ciencia forense proporciona una gran estructurapara probar técnicas de investigación y métodospara alcanzar sus objetivos.Por Forense, entendemos una característica de laevidencia que satisface su conveniencia deadmisión como hecho, y su habilidad parapersuadir basandose como prueba.
  33. 33. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Evidencia Digital y crímenes por computadora:Ciencia Forense y evidencia digital: (cont.)Estrictamente hablando, la ciencia forense es laaplicación de la ciencia a las leyes y el ser utilizadaen una corte.En la ciencia forense, ciertamente es una palabraque debe ser utilizada con gran cuidado. Nopodemos tener la certeza de lo que ha ocurrido enuna escena de un crímen cuando solo tenemos unacantidad limitada de información.
  34. 34. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:La obtención, preservación, y análisis de laevidencia almacenada en una computadora es elmas grande reto forense que enfrentan las fuerzaslegales. Sin embargo, muchas pruebas forenses,tales como huellas, y pruebas de DNA, sonrealizadas por expertos especialmente entrenados,la tarea de recolectar y analizar evidencia decómputo es algunas veces asignada a oficiales ydetectives sin entrenamiento.
  35. 35. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:
  36. 36. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Breve historia de la investigación de crímenes porcomputadora:Respondiendo al crecimiento de los crímenesrelacionados a computadoras en los últimos añosdiversas agencia a nivel mundial están empezandoa desarrollar entrenamientos e incrementar lacapacidad de enfrentar el problema. En lossiguientes años, se establecen gruposespecializados para investigar crímenesrelacionados a computadoras.
  37. 37. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Breve historia de la investigación de crímenes porcomputadora: (cont.)El rápido desarrollo de la tecnología y loscrímenes relacionados a computadoras han creadouna necesidad de especialización; técnicos en laescena del crímen digital quienes recolectanevidencia digital, examinadores quienes procesanla evidencia adquirida e investigadores digitalesquienes analizan toda la evidencia para construirel caso.
  38. 38. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:Tiempo atrás, en la investigación de los crímenespor computadora, era común para losinvestigadores digitales utilizar la computadoracon evidencia, para obtener evidencia. El riesgo deesta acción era que operar la computadora conevidencia podría alterar la evidencia de maneraindetectable.
  39. 39. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:(cont.)Sin embargo programas como "dd" de Unix existiaen los años 80 y podían ser utilizados paracapturar datos borrados almacenados en un discoduro, estas herramientas no fueron ampliamenteutilizadas y muchos análisis de evidencia digital endicho momento fueron realizados en nivel desistema de archivos descuidando los datosborrados.
  40. 40. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:(cont.)
  41. 41. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:(cont.)No fué hasta los años 90, donde herramientascomo SafeBack and DIBS fueron desarrollados parapermitir a los investigadores digitales recolectartodos los datos de un disco de computadora, sinalterar detalles importantes. Mucha gente tomoimportancia al cuidado de la evidencia de lascomputadoras, y la necesidad de herramientas másavanzadas.
  42. 42. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:(cont.)Herramientas integradas fueron desarrolladas parafacilitar el trabajo a los investigadores digitales.Estas herramientas hacen más eficiente el examen,automatizando tareas rutinarias, mostrando datosen un entorno gráfico. Ahora se ha despertado uninterés por Linux como una plataforma paraexaminar evidencia digital y herramientas comoSleuthKit han sido desarrolladas para proporcionarun entorno amigable.
  43. 43. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:(cont.)
  44. 44. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:(cont.)Hubo una evolución similar en la evolución deherramientas para recolectar evidencia de sistemasde comunicación. Herramientas de monitero de redcomo "tcpdump" o "ethereal" pueden ser utilizadospara capturar tráfico de red, pero no estánespecificamente diseñados para recolectarevidencia digital.
  45. 45. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:(cont.)
  46. 46. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:(cont.)Herramients comerciales como "Carnivore","NetIntercept", etc, han sido desarrolladas conbúsquedas integradas, visualización, ycaracterísticas de análisis para ayudar a losinvestigadores digitales extraer información deltráfico de red.
  47. 47. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:(cont.)
  48. 48. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Evolución de las herramientas de investigación:(cont.)Similarmente existe una evolución similar en laevolución de herramientas para recolectarevidencia en sistemas de cómputo incluidos. Escomún para losinvestigadores digitales leerdatos de pagers, teléfonosmóviles y PDAs, directamentedesde los dispositivos.
  49. 49. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Lenguaje de la investigación de crímenes porcomputadoraEl movimiento hacia la estandarización de estaárea se torna más difícil por desacuerdo en laterminología básica. Se han hecho intentos paradesarrollar un lenguaje estándar para describir losdiferente aspectos de la investigación de crímenespor computadora. El desafío de décadas dediscusión, no hay un acuerdo general que hayasido logrado sobre el significado del término masbásico, crímen de computadora.
  50. 50. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Lenguaje de la investigación de crímenes porcomputadora (cont.)El término de cómputo forense también tienediferentes significados para diferentes personas.Cómputo Forense usualmente se refiere a laexaminación de componentes de computadoras ysus contenidos, como discos duros, discoscompactos, impresoras. Sín embargo el término estambién utilizado para describir la examinaciónforense de todas las formas de evidencia digital,incluyendo el transporte de los datos en una red.
  51. 51. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Lenguaje de la investigación de crímenes porcomputadora (cont.)
  52. 52. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Lenguaje de la investigación de crímenes porcomputadora (cont.)El rol de la computadoras en el crímen:Don Parker fué uno de los primeros en percibir eldesarrollo de los crimenes por computadora comoun serio problema en los 70 y jugó un un rolimportante estudiando la evolución por mas dedos década. Propuso las siguientes cuatrocategorías, mientras se lee estas cuatro categorías,note la ausencia de referencias a evidencia digital.
  53. 53. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Lenguaje de la investigación de crímenes porcomputadora (cont.)El rol de la computadoras en el crímen: (cont.)- Una computadora puede se el objeto de uncrímen- Una computadora puede ser el Sujeto de uncrímen- Una computadora puede ser utilizado como unaherramienta para realizar o planear un crímen- El símbolo de una computadora por sí mismo,puede ser utilizada para intimidar o engañar
  54. 54. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Lenguaje de la investigación de crímenes porcomputadora (cont.)El rol de la computadoras en el crímen: (cont.)En este contexto, hardware se refiere a todos loscomponentes físicos, e información se refiere a losdatos y programas que son almacenados ytransmitidos utilizando una computadora. Estasson las tres categorías finales que referencian adicha información a modo de evidencia digital:
  55. 55. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Lenguaje de la investigación de crímenes porcomputadora (cont.)El rol de la computadoras en el crímen: (cont.)
  56. 56. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Historia y terminología de investigación decrimenes por computadora:Lenguaje de la investigación de crímenes porcomputadora (cont.)El rol de la computadoras en el crímen:- Hardware como contrabando o fruto de uncrímen- Hardware como un instrumento- Hardware como evidencia- Información como contrabando o fruto de uncrímen- Información como un instrumento- Información como evidencia
  57. 57. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesDada la naturaleza intangible de la "propiedadelectrónica" y la ambiguidad legal alrededor deactos maliciosos, no debe de sorprender elencontrar estatutos enmendados que extienden lasleyes criminales para cubrir abusos porcomputadoras. Muchas jurisdicciones, sinembargo, adoptaron diferentes tácticas. Definieroncrímenes por computadora como un problemalegal único de tal modo que sea creaun capítulo de crimenes decomputadora en los códigoscriminales.
  58. 58. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesMuchos crimenes por computadora pueden serdireccionados utilizando leyes existentes.Después de todo, son solo manifestaciones decrímenes conocidos, la principal diferencia es quela nueva tecnología esta relacionada. Sin embargointernet crea nuevos retos querequieren ediciones legales paraser reconsiderados y que lalegislación sea enmendada.
  59. 59. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesDescripción de las ofensas criminales:Aunque la tecnología crea nuevos retos querequieren nueva legislación, en algunos casos lasleyes ya existentes pueden ser aplicadas.Para apreciar las diferencias entre las diferentesofensas criminales, es útil comparar las categoríasde ofensas:->
  60. 60. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesDescripción de las ofensas criminales: (cont.)- Fraude y Falsificación- Pornografía Infantil- Uso inadecuado de computadoras. Acceso no autorizado. Facilitando la comisión de otros delitos. Modificación no autorizada de material decomputadoras
  61. 61. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesBúsqueda y Obtención:Las autoridades pueden requerir que cualquier tipode información que está contenida en unacomputadora y es accesible; parten de la premisaque es esta es producida de una forma en la cualpuede ser tomada, siendo visible y legible;teniendo argumentos para creer que:->
  62. 62. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesBúsqueda y Obtención: (cont.)- La evidencia está en relación a una ofensa lacual se está investigando o cualquier otra ofensa; o- La evidencia ha sido obtenida como resultado dela comisión de una ofensa.- Que sea necesario hacerlo en un orden paraprevenir que sea cancelada, perdida, modificada odestruida.
  63. 63. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesJurisdicción y Extradición:* Lugar:La Prueba de jurisdicción en casos donde loslímites son transgredidos en la comisión de unafalta caen bajo el hecho de que haya un "enlacesignificativo" con la jurisdicción local.* ExtradiciónLa extradición no garantiza que en el lugar dondeel agresor es requerido sea juzgado con las leyesdel estado donde se realizó la falta.
  64. 64. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesPenalidades:En Reconocimiento al crecimiento del problema,las penalidades para los crímenes relacionados acomputadoras están haciendose más severas. Porejemplo el ciertos países de Europa o US, se hanincrementado las penas para proteger a los niñosmenores entre 3 a 10 años. Para el caso depornografía infantil; por ejemplo; se ha categorizadoel material dentro de cinco niveles:Una corte puede seleccionar ciertos criterios loscuales pueden agravar una ofensa en particular:
  65. 65. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesPenalidades: (cont.)- Imágenes mostrando poses eróticas, sínactividad sexual- Actividad sexual entre niños o solomasturbación de un niño- Actividad sexual sin penetración entre adultos yniños- Actividad sexual conpenetración entre adultosy niños- Sadismo y bestialidad
  66. 66. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesPenalidades: (cont.)- Las imágenes han sido mostradas o distribuidasa niños.- Existen un gran número de imágenes.- La manera de organizar una colección deimágenes puede indicar un negocio de ellas.- Imágenes enviadas a una área pública de la red.- Si el agresor fué el responsable de la producciónoriginal de imágenes, especialmente si los niñosson miembros de familia o forzados a través de laposición del agresor; como un profesor.- La edad del niño en cuestión.
  67. 67. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Tecnología y LeyesPrivacidad:No hay una definición clara de lo que constituyeprivacidad o el derecho legal a la privacidad.Lo que constituye protección de datos puede serfacilmente respondida diciendo que es laaplicación de los principios deprivacidad a la recolección,retención, uso y exposición deinformación sobre individuos,especialmente en entornoscomputarizados.
  68. 68. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónEl objetivo de una investigación es descubrir ypresentar la verdad. Cuando la evidencia espresentada como verdad de una alegación, estopuede impactar sobre si la persona es privada desus libertades, y de manera potencial si vive omuere. Esta es una razón suficiente para utilizarmetodologías y tecnologías confiables paraasegurar que elprocesamiento, análisisy reporte de la evidenciaes confiable y objetiva.
  69. 69. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónEl proceso de investigación es parte de una granmetodología. El proceso de determinar si algoinadecuado ha ocurrido y si las medidas de castigogarantizan esta complejidad, van mas allá de lospasos de investigación normalmente referenciadoscomo "forense".Por Forense, entendemos una característica de laevidencia que satisface la conveniencia deadmisión como hecho y su capacidadde persuación basada en una prueba.
  70. 70. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónEl rol de la Evidencia Digital:El objetivo en una investigación es atribuir elcrímen a su dueño, descubriendo enlaces entre elagresor, la víctima, y la escena. Testigos puedenayudar, pero la evidencia relacionada con unindividuo es contundente y confiable. En el mundofísico un agresor puede sín saber dejar algo en laescena del crímen como huellas o cabellos. Conuna pieza de evidencia se puede demostrar laposibilidad de que el agresor estuvo en la escenadel crímen. Con dos piezas de evidencia el enlaceentre el agresor y la escena del crímen se convierteen mas fuerte y fácil de demostrar.
  71. 71. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónEl rol de la Evidencia Digital: (cont.)Ejemplo en la Web . Si un individuo envia unmensaje vía un sistema, como hotmail, sunavegador guarda datos, enlaces, y otrainformación en el disco duro. Los investigadorespueden hallar abundante información en el discoduro del agresor, incluyendo el mensaje original.Adicionalmente pueden encontrar informaciónrelacionada al servidor web utilizado para enviar elmensaje, registro de acceso, registro del correoelectrónico, direcciones IP, versión del navegador,y posiblemente el mensaje completo en el folderde envío de la cuenta de correo del agresor.
  72. 72. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónEl rol de la Evidencia Digital: (cont.)
  73. 73. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónEl rol de la Evidencia Digital: (cont.)Para relacionar las categorías de evidencia de lamanera de forense "tradicional", equipostradicionales y sus atributos pueden sercategorizados dentro de una clase y gruposindividuales. Escáners, impresoras, y dispositivosde oficina multiuso pueden exhibir o dejar detallesque permitan dar con una clase de característicascomunes, permitiendo la identificación de unaEpson, Canon, o Lexmark. Así mismo marcasúnicas en fotografías digitalizadas pueden serutilizadas para demostrar que el escáner o lacámara digital del sospechoso estuvo involucrada.
  74. 74. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónMetodología de Investigación:El proceso de investigación está estructurada paraser completa, rigurosa, y de esta manera asegureel manejo apropiado de la evidencia, y minimizarla posibilidad de errores creados por teoríaspreconcebidas y otros desatinos. Este proceso seaplica a la investigación criminal, así tambiénabarca investigación military corporativa con violacionesa las políticas osistemas comprometidos.
  75. 75. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónMetodología de Investigación: (cont.)Dos temas son vitales. Primero, el manejo del casojuega un rol importante. Proporciona estabilidad ypermite a los investigadores atar adecuadamentetoda la información, permitiendo que la historiasea lo más clara posible. S egundo, la fase deanálisis de la investigación se inicia con el procesode obtener y validar, procediendo a la formaciónde la hipótesis y pruebas, buscando activamente,evidencia que desapruebe la hipótesis, y revisandolas conclusiones conforme nueva evidenciaaparesca.
  76. 76. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónMetodología de Investigación: (cont.)En general, este modelo proporciona a losinvestigadores y examinadores un flujo lógico deeventos que, reuniéndolos, búscan proporcionar:- Aceptación; los pasos y métodos tienen quehaber ganado concenso profesional- Confiabilidad; Los métodos empleados puedenser probados (veracidad), para dar soporte a loshallazgos.
  77. 77. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónMetodología de Investigación: (cont.)- Repetibilidad; El proceso puede ser aplicado portodos, independientemente del tiempo y lugar.- Integridad; El estado de la evidencia estaprobado (veracidad) estas sin alteración.- Causa y efecto; Conexiones lógicas entreindividuos sospechosos, eventos y muestras.- Documentación; Registrar lo esencial para eltestimonio de la evidencia (testimonio experto).
  78. 78. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”El proceso de investigaciónMetodología de Investigación: (cont.)Los anteriores seis puntos tienen un propósito encomún, el de dar formaa al mejor argumentopersuasivo posible basado en hechos, nosuposiciones, y hacer lo que es considerado en elcriterio legal como admisibilidad.
  79. 79. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalLos investigadores digitales pueden utilizarsoftware sofisticado para recuperar archivosborrados y realizar análisis avanzados de discosduros, es inportante entender lo que ocurre entreescenas. Por ejemplo, cuando se recuperadirectorios eliminados, existe la posibilidad de quedos directorios borrados ocuparan el mismoespacio en diferentes momentos. Adicionalmentecada herramienta tiene sus limitaciones que uninvestigador digital competente debe dereconocer.
  80. 80. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalOperación básica de una computadora:Cada vez que una computadora es encendida, sedebe de estar familiarizado con los componentesinternos y los periféricos. El proceso deinicialización en llamado el proceso de arranque. Elproceso de arranque tiene tres fases: Reasignacióndel CPU (Central Processing Unit), el POST (Powe-On Self Test), y el disco de arranque.
  81. 81. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalOperación básica de una computadora: (cont.)- Unidad Central de Procesamiento: (CPU)El CPU es el corazón de una computadora. Tododepende de la habilidad del CPU para procesarinstrucciones que recepciona. Así la primera etapaen el proceso de arranque es inicializar el CPU -resetearlo con un pulso eléctrico. Una vez que elCPU es reseteado se inicia el BIOS.
  82. 82. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalOperación básica de una computadora: (cont.)- Sistema Básico de Entrada / Salida (BIOS)Cada programa de computadora utiliza el BIOSpara comunicarse con el CPU. Algunos programasBIOS permiten a un individuo configurar unacontraseña y hasta quela contraseña no seaescrita, no podríaejecutarse el BIOS y nofuncionaría la computadora.
  83. 83. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalOperación básica de una computadora: (cont.)- Power-On Self Test (POST) y CMOS.El BIOS contiene un programa llamado (POST) queprueba los componentes fundamentales de unacomputadora. Cuando el CPU activa primero elBIOS, el programa POST es iniciado. Para estarseguro, la primera prueba verifica la integridad delCPU y el programa POST mismo. El resto del POSTverifica que todos los componentes de lacomputadora funcionen adecuadamente,incluyendo el disk drive, monitor, RAM, teclado.
  84. 84. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalOperación básica de una computadora: (cont.)- Disco de arranqueUn Sistema Operativo extiende las funciones delBIOS, y actúa como una interface entre unacomputadora y el mundo exterior. Sín un sistemaOperativo sería muy dificil interactuar con unacomputadora, los comando básicos no estaríandisponibles, los datos no podrían estar ordenadosen archivos y carpetas, y el software podría no serejecutado en la máquina.
  85. 85. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalRepresentación de Datos:Todos los datos son basicamente combinacionesde 1 y 0, llamados bits. Es necesario para losinvestigadores digitales relacionarse con los datosa nivel de bits, requiriendo un conocimiento decomo los diferentes sistemas representan datos.Por ejemplo el número 511es representado como:00000001 11111111
  86. 86. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalRepresentación de Datos: (cont.)La representación binaria de los datos (unos yceros) es algunas veces incómoda. En lugar de ello,los investigadores digitales pueden visualizar larepresentación hexadecimal de los datos. Otrarepresentación de datos comunmente utilizada esASCII. El estándard ASCII especifica unadeterminada combinación de unos y ceros,representando ciertas letras y números.
  87. 87. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalRepresentación de Datos: (cont.)
  88. 88. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalRepresentación de Datos: (cont.)
  89. 89. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento de datosCada elemento de datos es implementadoutilizando algún dispositivo físico que pueda estaren uno de dos estados: en un chip de memoria porejemplo; un transistor puede estar encendido oapagado; en una línea de comunicación, un pulsopuede estar presente o ausente en un lugarparticular y en un momento particular; en un discomagnético, un dominio magnético puede estármagnetizado a una polaridad o a la otra; y en undisco compacto un hoyo puede estar presente o noen un lugar específico.
  90. 90. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento dedatos: (cont.)Aunque los medio de almacenamiento vienen enuna diversidad de formas, los discos duros son lafuente más rica de evidencia digital encomputadoras. Máquinas fotocopiadoras modernastienen discos duros y pueden ser incrementadaspor controladores de conexión externa con CPU,RAM, y discos duros de gran capacidad, pararealizar impresiones más complejas rapidamente.
  91. 91. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento dedatos: (cont.)
  92. 92. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento dedatos: (cont.)Discos IDE (Integrated Disk Electronics), ATA(Advanced Technology Attachment), y SCSI.Dejando a un lado la tecnología utilizada, todos losdiscos duros contienen platos giratorios, hechosde un material ligero y rígido como el aluminio,cerámica, o vidrio. Estos platos tienen unarecubierta magnética en ambos lados y giran entreuna par de cabezales de lectura/escritura; uncabezal a cada lado del plato.
  93. 93. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento dedatos: (cont.)
  94. 94. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento dedatos: (cont.)Estos cabezales , se mueven sobre los platos, peroflotando sobre la superficie del plato giratorio enun amortiguador de aire creado por la rotación deldisco, pudiendo alinear partículas del mediomagnético (llamado escritura), y ademásdetectando como las particulas del plato estánalineadas (llamado lectura). Particulas alineadas deuna manera (1) y de otra manera (0)
  95. 95. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento dedatos: (cont.)
  96. 96. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento dedatos: (cont.)Los datos son registrados en el plato en círculosconcéntricos; llamadas pistas. El término cilindroes sinónimo de pista, colectivamente refiriéndose apistas con el mismo radio sobre todos los platosen un disco duro. Cada plato puede ser divididoen sectores, que usualmente almacenan 512 bytesde información (512 x 8 unos y ceros). Muchossistema de archivos utilizan dos o más sectores,llamados clusters, como la unidad básica dealmacenamiento en un disco.
  97. 97. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento dedatos: (cont.)
  98. 98. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento dedatos: (cont.)La localización de un dato en el disco puede serdeterminada por el cilindro en el cual está, cualcabezal puede accesarlo, y cual sector lo contiene;esto es denominado direccionamiento CHS. Sínembargo, la capacidad de un disco duro puede sercalculado multiplicando el número de cilindros,cabezales, y sectores de 512 bytes. El número decilíndros, cabezales, y sectores por pista estánalgunas veces impresos en la superficie del discoduro.
  99. 99. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalMedios de almacenamiento y ocultamiento dedatos: (cont.)Y la capacidad calculada (CxHxSx512 bytes) puedeser comparada con la cantidad de datos extraidosdel disco duro para asegurar que toda la evidenciaha sido obtenida.Por ejemplo, un disco duro con 1024 cilíndros,256 cabezales, y 63 sectores contiene8455716864 bytes (1024x256x63x512 bytes).Esto equivale a 8.4 Gbytes (8455716864 bytes /1024 bytes / 1024 bytes) donde 1 Gbyte puedecontener un billón de caracteres.
  100. 100. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalS istema de Archivos y localización de datos:Sistemas de Archivos como FAT16, FAT32, NTFS,HFS (Macintosh), Ext2 (Linux), mantienen la pistade donde los datos son localizados en el disco,proporcionando el archivo familiar y la estructurade carpetas. Antes de que el sistema de archivospueda ser creado, una partición debe ser creadapara especificar cual es la cantidad del disco duroque ocupará. El primer sector del disco durocontiene el MBR (Master Boot Record), que contienela tabla de partición que le indica al sistemaoperativo como el disco está dividido.
  101. 101. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalS istema de Archivos y localización de datos: (cont.)
  102. 102. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalS istema de Archivos y localización de datos: (cont.)La tabla de partición especifica el primer y elúltimo sector de cada partición, tambiéninformación adicional sobre la partición. El ejemplomás simple de crear o visualizar la partición esutilizando el comando fdisk.
  103. 103. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalS istema de Archivos y localización de datos: (cont.)Una vez que la partición es creada, esta puede serformateada con cualquier sistema de archivos. Porejemplo un Sistema de archivos FAT que puede sercreado con el comando format en Windows. El áreaocupada por el sistema de archivos es denominadoVolumen, al cual se le asigna una letra como C: porel sistema operativo. Contrariamente a la creenciapopular el comando format, no borra los datos elvolumen, es posible recuperar datos del disco durodespués de que ha sido formateado.
  104. 104. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalS istema de Archivos y localización de datos: (cont.)Existen muchas características de un sistema dearchivos que pueden ser de utilidad desde el puntode vista de recuperación. Cuando un archivo ocupamenos que un cluster, otros archivos pueden noutilizar el espacio adicional en el cluster. Es decir,una vez que un cluster contiene datos, el clusterentero es reservado Los sectores extra en el clusterson denominados espacio "slack".
  105. 105. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalS istema de Archivos y localización de datos: (cont.)Cuando un archivo es borrado, su entrada en elsistema de archivos es actualizado para indicar suestado de borrado, y los clusters que han sidopreviamente asignados para almacenamiento sondesasignados y pueden ser utilizados paraalmacenar un nuevo archivo. Sin embargo losdatos residen en el disco y existe la posibilidad derecuperar archivos inmediatamente después dehaber sido borrados.
  106. 106. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalS istema de Archivos y localización de datos: (cont.)Los datos pueden residir en el disco hasta que unnuevo archivo lo sobre escriba. Sin embargo sinun nuevo archivo no ocupa todo el cluster, unaporción del antiguo archivo puede residir en elespacio "slack". En este caso una porción delarchivo puede ser obtenido mucho después de quehaya sido borrado y parcialmente sobre escrito.
  107. 107. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalDescripción de Cifrado:Cifrado es el proceso por el cual un objeto digitallegible (texto plano) es convertido en un objetodigital ilegible (texto cifrado), utilizando funcionesmatemáticas. Esquemas de cifrado robustasutilizan el equivalente a una contraseña,denominada "clave". Sin embargo hay más simples,como sistemas de codificación sin clave. Porejemplo, ROT13 es un código simple quereemplaza cada letra del mensaje de texto plano,con una letra que está adelantada 13 posiciones enel alfabeto (A hasta la Z), Así, A se conviernte en N.
  108. 108. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalDescripción de Cifrado: (cont.)
  109. 109. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalDescripción de Cifrado: (cont.)- Cifrado de clave Privada:(cifrado de clave simétrica) La clave es utilizadapara cifrar y descifrar el mensaje. Debido a que nohay secreto sobre las funciones matemáticasutilizadas para cifrar datos, muchos esquemas decifrado utilizan funciones matemáticas que sondifíciles de revertir. De esta manera, si se conoce lafunción matemática, sea difícil de descifrar datossín conocer la clave. Algunas algoritmos de cifradode clave simétrica son DES, IDEA, y blowfish.
  110. 110. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalDescripción de Cifrado: (cont.)- Cifrado de clave Privada:
  111. 111. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalDescripción de Cifrado: (cont.)- Cifrado de clave Pública:La respuesta a esto es El cifrado de clave pública,se desarrolló un mecanismo que permetía a unindividuo repartir una pieza de informaciónllamada clave pública que cualquiera puede utilizarpara cifrar el mensaje y solo el receptor delmensaje quien posea la clave privada puededescifrar el mensaje. Dos algoritmos de clavepública comunmente utilizados son RSA y DSA.
  112. 112. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Base de computadoras para investigación digitalDescripción de Cifrado: (cont.)- Cifrado de clave Pública:
  113. 113. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminar evidencia digital es como cortar undiamante. Removiendo material innecesario, laclaridad del cristal es revelada. El diamante esentonces pulido para permitir a otros apreciarlo.Similarmente, los examinadores de evidenciadigital extraen valiosos bits de grandes cantidadesde datos y la presentan de una manera en que losjueces puedan comprenderla.Los investigadores digitales realizan todas lastareas requeridas de recolectar, documentar ypreservar la evidencia digital para extraer datosútiles y combinarlos para tener una idea clara decomo ocurrió un crímen.
  114. 114. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasAutorización y Preparación:Antes de acercarse a la evidencia digital, hayalgunas cosas a considerar. Una puede ser lacerteza de que la búsqueda no viola las leyes enningun sentido.Los profesionales en seguridad de computadorasdeben obtener instrucciones y autorización escritade los abogados antes de obtener evidencia digitalrelacionada a una investigación dentro de laorganización.
  115. 115. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasAutorización y Preparación: (cont.)Los investigadores digitales están generalmenteautorizados para recolectar y examinar solo lo quees directamente pertinente a la investigación.Cuando se crea una una declaración jurada de unabúsqueda con garantía, es recomendable describircomo la búsqueda fué realizada. Por ejemplo, siHardware tiene que ser obtenido, debe ser anotadoy explicado el porque es necesario realizar unaexaminación fuera del lugar, para protegerse decríticas de obtener Hardware sin autorización.
  116. 116. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasIdentificación:Identificación de la evidencia digital es un procesode dos pasos. Primero, los investigadores digitalestienen que reconocer el Hardware (Computadora,floppy disk, cables de red, etc.) que contieneinformación digital. Segundo, los investigadoresdigitales deben ser capaces de destinguir entreinformación irrelevante y datos digitales quepuedan establecer que un crímen ha sido realizadoo pueda proporcionar un enlace entre un crímen ysu víctima o un crímen y su perpetrador.
  117. 117. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasIdentificación: (cont.)- Identificando hardware:Existen muchos productos computarizados quepueden manejar evidencia digital como, teléfonos,laptops, pcs de escritorio, servidores, mainframes,routers, cortafuegos, y otros dispositivos de red.Existen tambíen muchas formas de medios dealmacenamiento inluyendo discos compactos,floppy disks, cintas magnéticas, memory sticks,dispositivos USB.
  118. 118. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasIdentificación: (cont.)- Identificando hardware:
  119. 119. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasIdentificación: (cont.)- Identificando evidencia digital:Diferentes crímenes dan como resultado diferentetipo de evidencia digital. Por ejemplo acosadoresvirtuales utilizan el correo electrónico para asustara sus víctimas, crackers de computadoras, algunasveces dejan inadvertidamente evidencia de susactividades en archivos de registro, y pornógrafosinfantiles almacenan imágenes digitalizadas en suscomputadoras.
  120. 120. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasDocumentación:La documentación es esencial en todas las fasesdel manejo y procesamiento de la evidenciadigital. El documentar quién recolectó y manipulóla evidencia en un momento dado es requeridopara mentener una cadena de custodia. Esto no esinusual para cada individuo quién manipula piezasde evidencia importante para ser examinado.Así, el cuidado debe ser hecho de cuando laevidencia fué recolectada, desde donde, y porquién.
  121. 121. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasDocumentación: (cont.)Adicionalmente valores MD5 de los archivosoriginales deben de ser anotados antes decopiarlos. Si la evidencia es pobrementedocumentada, un abogado puede facilmente poneren duda las habilidades de los involucrados, yconvencer a la corte de no aceptar la evidencia.Cuando múltiples resintos y computadoras estáninvolucradas, asignar letras a cada resinto ynúmero a cada fuente de evidencia digital puedeayudar a seguir la pista.
  122. 122. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasDocumentación: (cont.)- Resúmen de Mensaje y Firmas Digitales:Un algorítmo de resúmen de mensaje siempreproduce el mismo número para una entrada dada.También debe de producir diferentes númerospara diferentes entradas. Es por ello que, unacopia exacta debe tener el mismo resúmen demensaje del original, pero si un archivo esmodificado, se obtendrá un mensaje diferente aloriginal.
  123. 123. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasDocumentación: (cont.)- Resúmen de Mensaje y Firmas Digitales:
  124. 124. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasDocumentación: (cont.)- Resúmen de Mensaje y Firmas Digitales:El Algorítmo MD5 toma como entrada un mensajeo longitud arbitraria y produce una salida de unahuella de 128 bits o "resúmen de mensaje" de laentrada.Por ejemplo computar el valor MD5 de un discoantes de la recolección, y nuevamente después dela recolección, esto demuestra que el proceso derecolección no modificó los datos.
  125. 125. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasDocumentación: (cont.)- Resúmen de Mensaje y Firmas Digitales:Resúmen de mensaje puede ser utilizado parabuscar en el disco por un archivo en específico, unvalor MD5 puede indicar que un archivo esidentico, así los nombres sean diferentes.Firmas digitales proporcionan otro mecanismo dedocumentar evidencia digital combinando unresúmen de mensaje de un objeto digital coninformación adicional como la fecha actual.
  126. 126. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasDocumentación: (cont.)- Resúmen de Mensaje y Firmas Digitales:
  127. 127. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasRecolección y Preservación:Una vez identificada, la evidencia digital debe deser preservada de tal manera que pueda ser másadelante autenticada. Uno de los aspectos clave depreservación de la evidencia digital es recolectarlade manera que no sea alterada. Antes deconsiderar lo que la computadora contiene, elexterior de la computadora debe de ser revisadopor huellas, y el contenido de la pantalla debe deser fotografiado. Puede ser sugerido el comprobarel dia y hora del sistema para una mayor presición.
  128. 128. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasRecolección y Preservación: (cont.)- Recolectando y Preservando HardwareExisten dos factores competentes para considerarcuando se recolecta Hardware. De primera mano,para evitar dejar cualquier evidencia relevante, uninvestigador digital debe tomar cada pieza delequipo encontrado. De otra manera, elinvestigador digital puede tomar solo lo esencialpara ahorrar tiempo, esfuerzo y recursos, y reducirel riesgo de ser demandado por molestar la vida deuna persona o empresa mas de lo absolutamentenecesario.
  129. 129. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasRecolección y Preservación: (cont.)- Recolectando y Preservando Evidencia DigitalCon evidencia digital, el enfoque es sobre elcontenido de la computadora, opuesto alHardware. Existen dos opiniones cuando serecolecta evidencia digital, copiar la informaciónnecesaria o copiar todo. Si algo rápido es necesarioo si solo una parte de la evidencia digital es deinterés, es más práctico solo tomar la informaciónrequerida, sin embargo, si existe abundancia deevidencia en una computadora, tiene sentidocopiar todo el contenido y examinar con cuidado.
  130. 130. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasRecolección y Preservación: (cont.)- Recolectando y Preservando Evidencia Digital(cont.)Existe también un riesgo de que el sistema hayasido modificado para destruir evidencia (un rootkit)y evidencia valiosa puede estar perdida.En la mayoría de casos, es requerido adquirir elcontenido completo de un disco debido a que losinvestigadores digitales raramente conocen lo queexactamente un disco contiene.
  131. 131. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasRecolección y Preservación: (cont.)- Recolectando y Preservando Evidencia Digital(cont.)Antes de copiar los datos del disco, es aconsejablecalcular el valor MD5 del disco original, este valorhash puede ser comparado con las copias parademostrar que son identicas. (imágen forense).Una copia de flujo de bits (bitstream) duplica todolo que hay en un cluster, incluyendo todo elespacio "slack" y otras áreas del disco fuera de llalcance del sistema de archivos.
  132. 132. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasRecolección y Preservación: (cont.)- Recolectando y Preservando Evidencia Digital(cont.)
  133. 133. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminación y Análisis:La Examinación involucra preparar la evidenciadigital para facilitar la fase de análisis. Lanaturaleza y extensión de la examinación de laevidencia digital depende del conocimiento de lascircunstancias de un crímen y la responsabilidadpuesta en el investigador digital.En algunas circunstancias, losinvestigadores digitales sonrequeridos de realizar un exámenen el lugar bajo presión de tiempo.
  134. 134. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminación y Análisis: (cont.)- Filtrado y ReducciónAntes de ir al análisis de la evidencia digital, unareducción de datos debe estar garantizada. Con lareducción de costos de almacenamiento de datos yel incremento de volúmen de archivos comercialesen sistemas operativos y software de aplicación,los investigadores digitales pueden ser abrumadosfacilmente por el número de archivos contenidosen un disco duro o dispositivos de backups. Paraevitar ello se puede seguir el siguienteprocedimiento:
  135. 135. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminación y Análisis: (cont.)- Filtrado y Reducción (cont.). Eliminar archivos del sistema válidos, u otrasentidades conocidas que no tienen relevancia parala investigación.. Enfocar una investigación de los más probablesdatos creados por el usuario.. Manipular archivos redundantes, lo cual esparticularmente útil cuando se tienen backups.. Identificar discrepancias entre herramientas deexaminación de evidencia digital, como archivosfaltantes y errores en calculo de MD5.
  136. 136. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminación y Análisis: (cont.)- Características de Clases / Individual yEvaluación de FuentesDos preguntas fundamentales son necesarias deser tratadas cuando se examina una pieza deevidencia digital, lo que es (clasificación /identificación) y de donde proviene (evaluación dela fuente). El proceso de identificación involucra,clasificación de objetos digitales basado encaracterísticas similares llamadas clases decaracterísticas.
  137. 137. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminación y Análisis: (cont.)- Características de Clases / Individual yEvaluación de Fuentes (cont.)Es útil formalizar las diferentes formas en queuna pieza de evidencia puede ser relacionada conuna fuente. A continuación se muestra una tablaque detalla dichas relaciones y que no sonmutuamente exclusivas.
  138. 138. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminación y Análisis: (cont.)- Características de Clases / Individual yEvaluación de Fuentes (cont.)Producción / Fuente que produce la evidencia /Archivos tar comprimidos, imágnes creadas en unacámara digitalS egmento / La fuente es dividida en partes y laspartes del todo estan dispersos. / Fragmentos deun documento word encontrado en espacio sinasignar.
  139. 139. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminación y Análisis: (cont.)- Características de Clases / Individual yEvaluación de Fuentes (cont.)Alteración / La fuentes es un agente o proceso quealtera o modifica la evidencia. / Photoshoputilizado para cambiar imágenes.Localización / La fuente es un punto en el espacio./ Fotografías digitales muestran una porción deuna cama o mueble.
  140. 140. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminación y Análisis: (cont.)- Recuperación de Datos / SalvaciónEn general, cuando un archivo es borrado, losdatos contenidos quedan en el disco por untiempo y pueden ser recuperados. Los detalles dela recuperación y reestructuración de evidenciadigital depende del tipo de datos, su condición, elsistema operativo que ejecuta,el tipo de hardware y software,y sus configuraciones.
  141. 141. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminación y Análisis: (cont.)- Recuperación de Datos / Salvación (cont.)Tales recuperaciones son mas fáciles para tipos dearchivos que tienen componentes entendiblespara humanos, tales como un documento en Word,debido a que un individuopuede algunas veces inferirel orden y la importancia decada componente.
  142. 142. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasExaminación y Análisis: (cont.)- Recuperación de Datos / Salvación (cont.)Existen también archivos binarios en unacomputadora que contienen grandes cantidades deinformación. Por ejemplo, muchos sistemasoperativos y programas de computadora utilizanun archivo "swap", para almacenar informacióntemporal mientras esta no es utilizada.
  143. 143. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasReconstrucción :La investigación de reconstrucción proporciona uncuadro completo de un crímen, lo que ocurrió,quién causo los eventos, donde, como, y porque.Los tres tipos fundamentales de reconstrucción,son temporal, relacional, y funcional.
  144. 144. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasReconstrucción: (cont.)- Análisis Funcional: En un investigación, existenrazones para conocer el funcionamiento. Para determinar si el individuo o computadora escapaz de realizar acciones necesarias del crímen.. Para tener un mejor entendimiento de una piezadigital de evidencia o un crímen en su totalidad.. Para probar que la evidencia se trató de forzar.. Para tener un entendimiento del agresor y susmotivaciones.. Para determinar el adecuado trabajo del sistemadurante un periodo relevante de tiempo
  145. 145. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasReconstrucción: (cont.)- Análisis RelacionalEn un esfuerzo para determinar relaciones entresospechosos, víctimas, y escena del crímen, puedeser útil crear nodos que representan lugares quese conocen, direcciones de correo eletrónico,direcciones IP utilizadas, transacciones financieras,números telefónicos marcados, etc, y determinar sihay conexiones significativas entre los nodos.
  146. 146. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasReconstrucción: (cont.)- Análisis TemporalCuando se investiga un crímen, se debe conocer eltiempo y la secuencia de los eventos.Afortunadamente, además de almacenar,recuperar, manipular, y transmitir datos, lascomputadoras dan cuenta del tiempo. Por ejemplo,muchos sistemas operativos, mantienen pistas decreación, última modificación, y tiempos de accesode archivos y carpetas.
  147. 147. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasReportando:La última fase de la examinación de la evidenciadigital consiste en integrar todos los hallazgos yconclusiones en un reporte final que muestre, loshallazgos a otra información, que el examinadorpueda presentar en la corte.Escribir un reporte es una de las fases importantesdel proceso debido a que será la visión completade otras personas sobre el proceso.
  148. 148. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasReportando: (cont.)- Introducción: número de caso, quién solicito elreporte buscado, quién escribió el reporte, cuando,y que se halló.- S umario de la Evidencia: sumarizar que evidenciafué examinada y cuando, valores MD5, número deentrega al laboratorio, cuando y donde la evidenciafué obtenida, de quién y su condición.- S umario de Examinación: Sumarizar lasherramientas para realizar el exámen, como losdatos importantes fueron recuperados, y como losdatos irrelevantes fueron eliminados.
  149. 149. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasReportando: (cont.)- Examinación del S istema de Archivos: inventario delos archivos importantes, directorios, datosrecuperados que son relevantes a la investigacióncon importantes características como ruta,nombre, fecha y hora, valor MD5, y sectores físicosde localización en el disco.- Análisis: describe e interpreta análisis temporal,funcional y relacional, así como otros análisisrealizados, tales como la evaluación de la fuente.- Conclusiones: sumario de conclusiones debeseguir logicamente a las secciones previas en elreporte y debe referenciar la evidencia.
  150. 150. ALONSOCABALLERO-ReYDeS-Instituto de Pericias Criminalísticas y Capacitación “HANS GROSS”Aplicando la Ciencia Forense a las ComputadorasReportando: (cont.)- Glosario de terminos: explicación sobre terminostécnicos utilizados en el reporte.- Apéndice de objetos expuestos de soporte:evidencia digital utilizada para llegar a lasconclusiones, claramente numeradas para fácilreferencia.<->
  151. 151. Muchas Gracias por suatenciónAlonso E. Caballero Quezadaaka ReYDeSArea de Sistemas de La Cámara de Comercio de La LibertadIntegrante del Grupo Peruano de Seguridad Informática SWP “SecurityWari Projects”e-mail: ReYDeS @ gmail.comWebPage: alonsocaballero.informatizate.net

×