Informatica forense

3,724 views

Published on

ES USADA PARA BUSCAR EVIDENCIAS

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,724
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
102
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Informatica forense

  1. 1. INSTITUTO TECNOLOGICO SUPERIOR+ iiii PARTICULARPl,l “SAN GABRIEL” insjuhouioiuoINTITUTO TECNOLOGICO SUPERIOR PARTICULAR “SAN GABRIEL” TEMA: INFORMATICA FORENSE ESPECIALIDAD: INFORMATICA AUTOR: GALO TORRES FECHA: 28 - 09 - 2012 RIOBAMBA ECUADOR¿QUE ES INFORMATICA FORENSE ?
  2. 2. INTRODUCCIÓN A LA INFORMÁTICAFORENSECuarenta años atrás, las computadoras eranmáquinas colosales que sólo eran utilizadas porcorporaciones multinacionales y agenciasgubernamentales en países poderosos. Estasmáquinas eran tan grandes y tan complejas, queinclusive requerían sus propios ambientes contemperatura controlada, para que los equiposfuncionaran apropiadamente. Desde ese tiempo,podemos decir que han sufrido una metamorfosishasta convertirse en equipos domésticos comunes,tan comunes que forman parte de nuestra vidacotidiana, como un teléfono o como un televisor.En vista de que la mayoría de nosotros usamos lascomputadoras para comunicarnos, aprender,trabajar e inclusive para entretenimiento, llegamos apercibir a nuestros computadores como unaextensión de nosotros mismos. Por esta razón,nuestras computadoras, en la mayoría de los casos,contienen información muy importante que puedeser usada como prueba o evidencia en procesoslegales, tanto en materia penal como en civil,inclusive en el caso en que la evidencia no seadirectamente relacionada con las computadoras.Esta prueba o evidencia contenida en lascomputadoras, puede ser vasta, desde e-mail, afotografías o documentos confidenciales. Másimportante aún, esta prueba o evidencia puede serfrecuentemente recuperada de una computadora
  3. 3. sospechosa, inclusive si el dueño o usuario de estamáquina borró la información, desfragmentó el discoo inclusive si lo formateó.Es aquí donde aparece un área nueva de la CienciaForense, como es la Informática Forense que seimplementará en una segunda etapa en el Institutode Ciencia Forense e Investigación Criminal deUNIVALLE (I.C.F.I.C. – UNIVALLE). La definiciónbásica del área de qué trata este artículo es: "Lapráctica especializada de investigar datos decomputadora con el propósito de descubrir y analizarinformación disponible, borrada u oculta que puedaser usada como evidencia en un proceso legal".La Informática Forense puede ser usada paradescubrir evidencia potencial en una variedad decasos, incluyendo: Delitos contra la Propiedad Intelectual, en caso de Software Pirata o documentos con el debido registro de derechos de Autor. LEY No. 1322 DE 13 DE ABRIL DE 1992. Robo de Propiedad Intelectual y Espionaje industrial (que aunque no se crea, sí existe en nuestro país). Lavado de Dinero, vía transferencia de fondos por Internet. Acoso Sexual (vía e-mail); Chantaje o amenazas (vía e-mail). Acceso no autorizado a propiedad intelectual. Corrupción. Destrucción de Información Confidencial. Fraude (en apuestas, compras, etc. Vía e-mail).
  4. 4. Pornografía en todas sus formas, inclusive en la más devastadora: Pornografía infantil.La Informática Forense combina técnicasespecializadas con el uso de software sofisticadopara ver y analizar información a la que no puedeacceder el usuario ordinario. Esta información pudohaber sido "borrada" por el usuario meses o añosantes de la investigación o inclusive pudo no habersido guardada, pero puede aún estar presente entodo o en parte, en el disco duro de la computadora.Es siempre recomendable para precautelar el interésdel abogado, del cliente y de otros aspectos legalesque se está tratando, el encontrar a un especialistaque nos asista en todas las etapas, en lapreparación de un proceso judicial, incluyendoaspectos como: Determinar si la computadora en cuestión tiene o no información relevante al proceso judicial. Asistir en la preparación y respuesta a interrogatorios. Recibir y examinar información que está sólo accesible a través del uso de métodos y programas forenses. Planificar y proveer testimonio del perito.Para determinar si la computadora contieneinformación que puede servir como prueba oevidencia, el profesional debe, primero, crear unacopia del disco duro en cuestión, que la llamaremos"imagen exacta del disco duro". El experto sóloexaminará esta copia, protegiendo así el disco
  5. 5. original de alteraciones inadvertidas. Esta imagendebe ser real BIT a BIT o milímetro a milímetro deloriginal, no una simple copia de la información deloriginal, sino una copia completa. Adquirir estascopias exactas, requiere el uso de técnicas forensesespecializadas.Estas copias "imagen exacta" son muy importantes,ya que cada vez que alguien enciende unacomputadora, muchos cambios sonautomáticamente hechos en la mayoría de losarchivos. Por ejemplo, en un sistema Windowsconvencional, más de 160 alteraciones son hechas alos archivos, cuando una computadora esencendida. Estos cambios no son visibles para elusuario, pero estos cambios, que sí ocurren, puedenalterar o inclusive borrar evidencia, por ejemplo:fechas importantes relacionadas con la actividadcriminal.Asegurar la cadena de la prueba (que se refierebásicamente al momento desde la sospecha delabogado o de la parte, de que alguna informaciónque puede ser usada como evidencia, está en unacomputadora, el primer acercamiento y evaluacióndel experto hasta el informe final) es tan importantepara el especialista que hace la primera evaluacióndel disco y la evaluación de la información por suvalor como evidencia, así como lo es para un médicoforense en su área. El especialista en InformáticaForense usa los denominados HASH CODES oCódigos Aleatorios para asegurar la cadena decustodia. Estos son cifras numéricas realmentelargas, específicas para cada archivo y para cada
  6. 6. disco, que son calculadas matemáticamente. Si unarchivo o disco es cambiado inclusive en su másmínima parte, este Código Aleatorio tambiéncambiará.El análisis de informática forense es siempre útil enaspectos que aparentemente parecen pocorelacionados con las computadoras. En algunoscasos, información personal en una computadora,por ejemplo, en un caso de divorcio, el esposopuede haber escondido fondos mancomunados enuna cuenta de banco secreta. En otro caso, unempleado, para comenzar su propia empresa, puedehaber renombrado un paquete de computacióndesarrollado por su actual empleador. A pesar deque todos los actores en los casos mencionados hanborrado la información que tienen en suscomputadoras, el especialista en InformáticaForense puede recuperar esta información de losdiscos duros de las computadoras.Pero, ¿cómo es posible recuperar información oevidencia borrada? El sistema operativo de unacomputadora utiliza un directorio que contiene elnombre y la ubicación de cada archivo en el discoduro. Cuando un archivo es borrado, varios eventostienen lugar en una computadora. Un archivomarcador de status es revelado para indicar que unarchivo ha sido borrado. Un marcador de estado deldisco es revelado para indicar que el espacio esahora disponible para uso. Así, el usuario no puedever el archivo listado en ningún directorio, pero enrealidad nada se ha hecho al archivo. Este nuevoespacio es denominado espacio libre o no usado,
  7. 7. hasta que otro archivo reescriba sobre este espacio;el especialista en Informática Forense puederecuperar este archivo en su integridad. Elsobreescribir sobre el archivo puede ser causado poruna variedad de actividades del usuario, entre ellasañadir un nuevo programa o crear nuevosdocumentos que son archivados donde el archivo"borrado" está. Solo cuando la información es sobreescrita por nueva información, esa parte o todo elarchivo no es más recuperable a través de técnicasde informática forense.El espacio libre o disponible para uso en los discosduros de las computadoras es dividido en sectoresde igual tamaño. Cuando el usuario necesitaalmacenar información, el sistema operativo de lacomputadora automáticamente determina cuál deesos sectores será utilizado para almacenar estainformación. En muchos casos, la información a seralmacenada no utiliza todo el espacio disponible enel sector o sectores designados. Cuando estosucede, la información que fue previamentealmacenada en el disco duro, permanece en elsector no usado al que lo denominan "sectorinactivo". Lo cual implica que si parte del disco hasido sobre escrito con nueva información, haytodavía la posibilidad de que alguna evidenciaincriminante todavía quede en ese sector inactivo.Información importante o crítica para algún casopuede ser también recuperable a través de lasdiferentes técnicas de informática forense.Esta información oculta o no visible para el usuario,está llena de detalles sobre el uso de la
  8. 8. computadora, como ser páginas web visitadas, e-mail enviado y recibido, información sobretransacciones bancarias realizadas a través deInternet, documentos, cartas y fotografías que fueroncreadas, modificadas o visitadas en muchos de loscasos, inclusive si esta información no fue guardadaen el computador por el usuario.¿Cómo sucede esto? Para hacer que la informaciónsea visible en el monitor de la computadora, elsistema almacena información en un archivotemporal. Cuando la computadora es posteriormenteapagada, la información continúa existiendo en esearchivo temporal, pese a no haber sido guardada porel usuario.Cuando un usuario accede a Internet, el buscadormantiene registros de los lugares visitados mediantelas "cookies" que son archivos que el buscador usapara rastrear la actividad del usuario en Internet.Ellos proveen claves de acceso y otra informaciónrelevante para la actividad en Internet del usuario.Programas específicos, incluyendo Microsoft Word,retienen información sobre cada documento que escreado, modificado o accedido dentro de los mismosdocumentos. Esta información, conocida como"metadata" narra la historia del documento,incluyendo la información del usuario que modificó yguardó el archivo, también el directorio y el archivoen el que ha sido guardado y si el documento hasido impreso y en qué impresora. El especialista eninformática forense puede recuperar metadata yconocer toda la información acerca de la vida
  9. 9. pasada de ese archivo.En muchos casos, aun cuando el usuario hadesfragmentado o reformateado el disco, laevidencia puede ser aún recuperada. Muchoslugares de almacenamiento en el disco oreceptáculos no son alterados por el proceso dedesfragmentación, ya que, como se dijo arriba,muchos documentos contienen información internaque describe fechas, usuarios y otra información quepuede ser de gran valor para el caso. Y si bien escierto que el reformateado de un disco reconstruyetodo el sistema de archivos, no remueve lainformación que existió previamente en ese disco.Un especialista en informática forense puede, con elsoftware correcto y con la experiencia necesaria,recuperar la mayor parte de lo que estaba en eldisco.¿Qué debe hacer el abogado si sospecha que estetipo de evidencia puede estar en la computadora desu cliente? Primero que nada, controlar y reprimir su curiosidad natural. Recuerde que el simple hecho de encender una computadora cambia muchos archivos; esos cambios pueden alterar fechas importantes y cualquier acceso al disco es arriesgarse a borrar información pertinente y destruir así la cadena de custodia que debe existir. Tratar de hacer lo posible para asegurar que la computadora permanezca intacta hasta que un especialista pueda crear una copia certificada
  10. 10. (imagen exacta) del disco duro. Esta imagen o copia milímetro a milímetro puede ser examinada sin arriesgar la investigación.Supongamos ahora que se tiene la sospecha de quealguien ya trató de ver el disco duro de lacomputadora en cuestión. Lo mejor es dejar lamáquina tal cual está, ya sea que ésta esté prendidao apagada. Explique la situación al experto, quienpuede manejar este caso y esas circunstancias.En muchas situaciones, la evidencia resultante de lainvestigación del Informático Forense puede ser ladiferencia entre ganar y perder un caso.Usualmente, la única evidencia que existe ademásde evidencia circunstancial, es la evidencia quepuede ser encontrada como resultado de la labor delexperto. Los Archivos de Datos en papeles puedenser destruidos o perdidos. Los testigos puedenolvidar los hechos tal cual ocurrieron, o sólo recordarlo que les conviene o le conviene a la parte que lospropuso para el proceso, sea éste civil, penal, etc.La evidencia de informática forense no puede serrefutada, ya que es el resultado de un procesocientífico y existe en forma obviamente tangible.Finalmente, para los lectores de Brújula, esnecesario hacer una aclaración. Este artículo sólotiene la intención de proveer una descripción simpley elemental de los hechos que rodean la labor de laInformática Forense. No es posible citar todos losposibles escenarios en que el especialista podríaverse, ya que las posibilidades son virtualmenteilimitadas. Sin embargo, los hechos presentados son
  11. 11. verdaderos y es la forma usual de proceder.A la vez, también es la intención de este artículoproveer sólo una imagen general del proceso que seda en la informática forense; sería poco práctico yexcesivo describir más detalles o aspectos mástécnicos del análisis del disco. Para mayorinformación sobre aspectos técnicos de laInvestigación en Informática Forense, visítenos en elInstituto de Ciencia Forense e Investigación CriminalICFIC-UNIVALLE o también la página web de laAsociación Internacional de Especialistas enInvestigación de computadoras.QUE ES INFORMATICA FORENSEEl valor de la información en nuestra sociedad, ysobre todo en las empresas, es cada vez másimportante para el desarrollo de negocio decualquier organización. Derivado de este aspecto, laimportancia de la Informática forense –sus usos yobjetivos- adquiere cada vez mayor trascendencia.
  12. 12. ¿En qué consiste esta técnica relativamentereciente?Productos recomendados:Le recomendamos que eche un ojo a los productospara pequeñas y medianas empresas de Microsoft.Resumen:1.Si como empresa ha sufrido -o quiere evitar sufrir- vulneraciones derivadas del uso que sus empleados hacen de sus sistemas de información, la respuesta está en la Informática forense. Aquí una guía orientativa sobre las cuestiones básicas principales: para qué sirve, en qué consiste, cuáles son sus objetivos y su metodología y cómo ha de llevarse a cabo para adecuarse al derecho.La Informática forense permite la solución deconflictos tecnológicos relacionados con seguridadinformática y protección de datos. Gracias a ella, lasempresas obtienen una respuesta a problemas deprivacidad, competencia desleal, fraude, robo deinformación confidencial y/o espionaje industrialsurgidos a través de uso indebido de las tecnologíasde la información. Mediante sus procedimientos seidentifican, aseguran, extraen, analizan y presentanpruebas generadas y guardadas electrónicamentepara que puedan ser aceptadas en un proceso legal.- ¿Para qué sirve?
  13. 13. Para garantizar la efectividad de las políticas deseguridad y la protección tanto de la informacióncomo de las tecnologías que facilitan la gestión deesa información.- ¿En qué consiste?Consiste en la investigación de los sistemas deinformación con el fin de detectar evidencias de lavulneración de los sistemas.- ¿Cuál es su finalidad?Cuando una empresa contrata servicios deInformática forense puede perseguir objetivospreventivos, anticipándose al posible problema uobjetivos correctivos, para una solución favorableuna vez que la vulneración y las infracciones ya sehan producido.- ¿Qué metodologías utiliza la Informáticaforense?Las distintas metodologías forenses incluyen larecogida segura de datos de diferentes mediosdigitales y evidencias digitales, sin alterar los datosde origen. Cada fuente de información se catalogapreparándola para su posterior análisis y sedocumenta cada prueba aportada. Las evidenciasdigitales recabadas permiten elaborar un dictamenclaro, conciso, fundamentado y con justificación delas hipótesis que en él se barajan a partir de laspruebas recogidas.
  14. 14. - ¿Cuál es la forma correcta de proceder?Y, ¿por qué? Todo el procedimiento debe hacersetenido en cuenta los requerimientos legales para novulnerar en ningún momento los derechos deterceros que puedan verse afectados. Ello para que,llegado el caso, las evidencias sean aceptadas porlos tribunales y puedan constituir un elemento deprueba fundamental, si se plantea un litigio, paraalcanzar un resultado favorable.OBJETIVOS DE LA INFORMATICA FORENSEEn conclusión, estamos hablando de la utilización dela informática forense con una finalidad preventiva,en primer término. Como medida preventiva sirve alas empresas para auditar, mediante la práctica dediversas pruebas técnicas, que los mecanismos deprotección instalados y las condiciones de seguridadaplicadas a los sistemas de información sonsuficientes. Asimismo, permite detectar lasvulnerabilidades de seguridad con el fin decorregirlas. Cuestión que pasa por redactar yelaborar las oportunas políticas sobre uso de lossistemas de información facilitados a los empleadospara no atentar contra el derecho a la intimidad deesas personas.Por otro lado, cuando la seguridad de la empresa yaha sido vulnerada, la informática forense permite
  15. 15. recoger rastros probatorios para averiguar, siguiendolas evidencias electrónicas, el origen del ataque (sies una vulneración externa de la seguridad) o lasposibles alteraciones, manipulaciones, fugas odestrucciones de datos a nivel interno de la empresapara determinar las actividades realizadas desdeuno o varios equipos concretos.CUESTIONES TECNICAS Y LEGALES DE LAINFORMATICA FORENSEPara realizar un adecuado análisis de Informáticaforense se requiere un equipo multidisciplinar queincluya profesionales expertos en derecho de las TIy expertos técnicos en metodología forense. Esto esasí porque se trata de garantizar el cumplimientotanto de los requerimientos jurídicos como losrequerimientos técnicos derivados de la metodologíaforense.Informática forenseActualmente la tecnología está avanzando a pasosagigantados, y con ella la forma en que todosoperamos. Ahora toda la información es almacenadaen los ordenadores de manera automática, adiferencia de épocas anteriores en donde lainformación se almacenaba de manera manual y enpapel. Esto conlleva cierto tipo de ventajas ydesventajas.
  16. 16. Las ventajas son evidentes, mayor facilidad en elmanejo de la información, rapidez en la recolección yanálisis de la misma, alta disponibilidad tanto entiempo como en localidad. Sin embargo, lasdesventajas y riesgos en los que se incurre no sontan obvios. Entre estos, la vulnerabilidad de lainformación a ser borrada, la fácil replicación de lainformación, la explotación de la información porvulnerabilidades en el sistema.Con todo el riesgo que se corre al manejarinformación debemos de tener una manera deprotegernos y de proteger a las personas de las quemantenemos información. Para poder garantizar laspolíticas de seguridad y la protección de lainformación y las tecnologías que facilitan la gestiónde la información surge la Informática forense.Según el FBI, la informática (o computación) forensees la ciencia de adquirir,preservar, obtener y presentar datos que han sidoprocesados electrónicamente yguardados en un medio computacional.La informática forense consiste en investigarsistemas de información con el fin de detectarevidencias de vulnerabilidad en los mismos. Lafinalidad de la informática forense, para un ente quela requiera, es perseguir objetivos preventivos(anticipándose al posible problema) u objetivoscorrectivos (para una solución favorable una vez quela vulnerabilidad y las infracciones ya se hanproducido).
  17. 17. En conclusión, la informática forense tiene un papel,en primer lugar, como sistema preventivo. Sirve paraauditar, mediante la práctica de diversas técnicaspara probar que los sistemas de seguridadinstalados cumplen con ciertas condiciones básicasde seguridad. Los resultados de las auditoríasservirán para poder corregir los errores encontradosy poder mejorar el sistema. Así mismo, lograr laelaboración de políticas de seguridad y uso de lossistemas para mejorar el rendimiento y la seguridadde todo el sistema de información.En segundo lugar, sí el sistema ha sido penetrado, lainformática forense permite realizar un rastreo de laintrusión y poder descubrir el daño realizado. Asícomo la recopilación de evidencias electrónicas,detectar el origen del ataque o las alteracionesrealizadas al sistema (fugas de información, perdidao manipulación de datos). Para que, posteriormente,se utilicen las evidencias encontradas en la capturade los criminales que atacaron el sistema, y seproceda de manera legal según las regulaciones decada país.CONCLUSIONESEn la actualidad el valor de la información está enaumento, con ello debemos de preocuparnos máspor protegerla. La informática forense nace a raíz deesta preocupación, buscando tanto la prevencióncomo la reacción y corrección a problemas quepuedan afectar los sistemas de información.Para la buena aplicación preventiva de la informáticaforense es necesaria la realización de auditorías
  18. 18. continuas en los sistemas, y la corrección de loserrores encontrados en los mismos. También senecesita establecer políticas de seguridad parausuarios y para el uso de los sistemas deinformación, con el fin de minimizar la posibilidad deinfiltraciones por alguna negligencia por parte de losusuarios o alguna falla en los procedimientos.Por otro lado, en cuanto a la parte reactiva de lainformática forense se necesita el uso de programaspara la detección de la intrusión en el sistema deinformación y los cambios realizados a lainformación (manipulación o borrado). Así como unequipo multidisciplinario para poder cubrir de maneraefectiva las áreas que traspasadas durante el ataquey poder rastrear los daños y al atacante.Para que todo lo realizado en la informática forensesea exitoso, es necesario que se tenganregulaciones jurídicas que penalicen a los atacantesy que pueda sentenciarse les por los crímenescometidos. Cada país necesita reconocer el valor dela información de sus habitantes y poder protegerlosmediante leyes. De manera que todos los crímenesinformáticos no queden impunes.BIBLIOGRAFIA Ausejo Prieto, Rafael. Análisis forense. http://www.ausejo.net/seguridad/forense.htm. Delitos Informáticos Programa Acceso Máximo. http://youtube.com/watch?v=vqu5vR7_Od0. Forensics Wiki. http://www.forensicswiki.org/.
  19. 19. López, O. y Amaya H. y León R. Informáticaforense: Generalidades, aspectos técnicos yherramientas. Universidad de los Andes.Colombia.Pérez Gómez, Elena. ¿Qué es la informáticaforense o Forensic?.http://www.microsoft.com/spain/empresas/legal/forensic.mspx.Recovering and Examining Computer ForensicEvidence.http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm.

×