Post on 10-Mar-2020
CONSIDERACIONES DE INFORMÁTICA FORENSE PARA
AUDITORES INTERNOS
Ing. Manrique González Avellaneda +54(911)4474-3578, mga@iwayusa.net,
www.linkedin.com/in/gonzalezavellaneda
Lic. Federico Luis Wallbrecher +54(911)3784-0575, flw@iwayusa.net
Ciudad de Buenos Aires, Argentina
7 de Junio de 2019
TALLER DE INFORMÁTICA FORENSE• ¿Cómo proceder, como auditores internos, frente a la posible
comisión de un delito sobre o mediante equipos informáticos?
• ¿Cómo colaborar con un perito informático de parte para lograr
una correcta identificación, recolección, preservación, análisis y
presentación de la evidencia digital para evitar nulidades
procesales?
• Veremos ejemplos en distintos fueros.
• Se mostrarán algunos dispositivos de hardware y software aptos
para las tareas informático-forenses.
INFORMÁTICA FORENSE
Es el conjunto multidisciplinario de teorías, técnicas y
métodos de análisis, que brindan soporte conceptual y
procedimental, a la investigación de la prueba
indiciaria informática.
LA INFORMÁTICA FORENSE SE APOYA EN:
1.Informática.
2.Marco legal y regulatorio (varía según la
jurisdicción y el fuero).
3.Criminalística.
APLICACIONES FRECUENTES DE LA INFORMÁTICA FORENSE EN EL ÁMBITO CORPORATIVO
• Distintos tipos de Fraude.
• Apropiación de activos (informáticos, información , propiedades, stocks, valores,
• Ciberataques de origen interno o externo que comprometa la seguridad de la información y su
infraestructura(C.I.A.). – Se deberá Mitigar, Identificar y preservar la evidencia.
• Incumplimiento de Políticas y/o regulaciones que afectan a la empresa (Compliance).
• Conflictos laborales.
• Soporte tecnológico a conflictos legales, societarios, Due Dilligence
• Uso inadecuado de los recursos informáticos de la empresa.
POLÍTICA DE USO ACEPTABLE DE INTERNET
• Es especialmente importante en el ámbito corporativo el establecimiento políticas
claras que puedan tener validez ante la justicia. Para ello deben darse ciertos
factores:
• No debe estar atada al contrato de trabajo.
• Ser firmada por el trabajador.
• Redacción muy clara.
• Debe demostrarse la decisión de la empresa de hacerla cumplir en el tiempo
mediante capacitaciones periódicas, evaluaciones, monitoreo y sanciones iguales
para todos los infractores desde el primer día en adelante.
• Ejemplo de Política de uso aceptable de internet:
http://www.legistdf.gob.ar/index.php/politica-de-uso-aceptable-de-internet/
CAPACITACIÓN Y CONCIENTIZACIÓN
• Además de las capacitaciones peródicas sobre las polícas de uso aceptable de los recursos informáticos de la
empresa necesarias para sostener la validez de las mismas ante una judicialización, existen otras que son
igualmente recomendables:
• Charlas de concientización sobre temas de ciberseguridad de origen interno y externo. La mayoría de los
incidentes de seguridad informática se originan desde dentro de la organización que es donde es más
vulnerable.
• Charlas de concientización sobre temas de ciberdelitos de origen internos y externos Ej. Delitos informáticos
propios e impropios.
Subtipos de Informática Forense
Digital Forensics
Digital Forensics
Digital Forensics
Digital Forensics
Digital Forensics
PARADIGMA INFORMÁTICO FORENSE1.IDENTIFICACIÓN
Se debe identificar los dispositivos físicos o virtuales
donde hallar la información relevante para nuestra
investigación.
PARADIGMA INFORMÁTICO FORENSE1.IDENTIFICACIÓN
1.Estos pueden ser visibles y evidentes como discos
rígidos, Medios ópticos, Pen drives, discos portátiles,
etc.
2.O no tanto como, Memoria Ram, almacenamiento
en la nube, Dispositivos de red, móviles, ocultos,
cámaras de seguridad, Discos de formato menos
tradicional M2, o en SD, dispositivos IOT, GPS, etc.
PARADIGMA INFORMÁTICO FORENSE2.RECOLECCIÓN
Principio fundamental: No alterar la evidencia.
• La recolección debe ser hecha por personal entrenado y
con metodología forense. La prioridad se debe
establecer según el caso. Ej. RAM> Swap> Disk> DVDs
• Establecer la cadena de custodia, que debe mantenerse
para probar que los datos recolectados no resultaran
alterados y documentar TODO.
PARADIGMA INFORMÁTICO FORENSE2.RECOLECCIÓN
1.Etapa de preservación de la evidencia. En el ambiente
corporativo nos abocarnos a la preconstitución de la
prueba anticipada. Esto debe hacerse de forma de
minimizar el impacto operacional.
2.El resguardo debe hacerse con acta notarial contando
con la presencia de el requirente (apoderado), el
escribano certificante y el experto en informática forense.
PARADIGMA INFORMÁTICO FORENSE2.RECOLECCIÓN
Adquisición de las imágenes forenses.
Se deben utilizar bloqueadores de escritura y hashes
para garantizar que no se modifica la evidencia,
herramientas de hardware y software probadas y
confiables para propósitos forenses y con las
licencias correspondientes.
BLOQUEADORES DE ESCRITURA
Se trata dispositivos de hardware o de software que permite acceder a la
evidencia digital garantizando que no se modifique la misma. De esta forma se
puede hacer la adquisición de la imagen forense de la evidencia que consiste en
una copia bit a bit de la misma (obteniendo no una simple copia sino un original
que puede ser autenticado y verificado mediante un digesto matemático o hash)
HASH
Digesto o síntesis o resumen de los datos. El hash o checksum criptográfico, es una función
matemática unidireccional e irreversible que convierte cualquier tamaño de los datos, en un
número de longitud fija. Es una función de autenticación.
Características del hash:
• Irreversible: dado un hash o resumen de los datos, debería ser imposible encontrar los
datos, a partir del hash o resumen.
• Compresión: el hash o resumen debe tener una longitud fija y debería ser menor al
tamaño de dicho conjunto de datos.
• Simple: el cálculo del hash o resumen a partir de un conjunto de datos, debe ser fácil y
sencillo.
• Complejo: el resumen o hash del conjunto de datos, debe ser una función compleja de
todos los bits que conforman el conjunto de datos.
• Libre de colisiones: las colisiones ocurren cuando dos entradas diferentes pueden
producir la misma salida. Será computacionalmente difícil encontrar dos conjuntos de
datos que devuelvan el mismo resultado de hash o resumen: hash(conjunto de datos) =
hash(conjunto de datos´).
HASH
Existen diversos algoritmos de Hash que se pueden utilizar. Los más habituales son
md5 y sha1 combinados. Sobre todo porque los equipos de adquisición de
imágenes forenses comprados por nuestras fuerzas policiales y de seguridad
utilizan dichos algoritmos. Frente a los casos reportados de colisiones por
separado de estos algoritmos algunos utilizamos sha2 (256) y/o sha2 (512)
METADATOS
Es información que forma parte integral de los archivos y que es generada por los
sistemas en forma automática. Esta información normalmente no queda a la vista
del usuario al abrir el archivo.
Puede contener por ejemplo, distintas fechas (modificación, acceso, creación, última
impresión, en qué máquina , con qué usuario, geolocalización, etc
Resultan de vital importancia en informática Forense desde para ver qué pasó con
un archivo, hasta para autenticar un mail.
https://blog.woodpecker.co/cold-email/spf-dkim/
https://www.metaspike.com/leveraging-dkim-email-
forensics/?utm_campaign=leveraging-dkim-in-email-
forensics&utm_medium=social_link&utm_source=missinglettr
CADENA DE CUSTODIA
La Cadena de Custodia Informático Forense, tiene por objeto asegurar que la prueba documental
informática ofrecida cumple con los requisitos exigibles procesalmente para la misma, implica que debe
asegurar:
1. Trazabilidad: Se trata de establecer un mecanismo que permita realizar un seguimiento estricto de los
elementos probatorios, desde su detección hasta el momento de su disposición definitiva.
La trazabilidad es:
• Humana (determinación de responsabilidades en la manipulación de la prueba, desde su detección y
recolección, hasta su disposición final).
• Física (incluyendo la totalidad de los equipos locales o remotos involucrados en la tarea, sean estos de
almacenamiento, procesamiento o comunicaciones)
• Lógica (descripción y modelización de las estructuras de distribución de la información accedida y
resguardada)
2. Confiabilidad (integridad, autenticidad, confidencialidad, no repudio)
CADENA DE CUSTODIA
Para que la prueba documental informática sea tenida por válida y adquiera fuerza probatoria
ante la justicia, es necesario que la prueba sea garantizada respecto de su confiabilidad,
evitando suplantaciones, modificaciones, alteraciones, adulteraciones o simplemente su destrucción
(algo muy común en la evidencia digital, ya sea mediante borrado o denegación de servicio).
Desde su recolección, hasta su disposición final, debe implementarse un procedimiento con
soporte teórico científico, metodológico criminalístico, estrictamente técnico y procesalmente
adecuado.
Si carece de alguno de estos componentes, la prueba documental informática recolectada no
habrá alcanzado el valor probatorio pretendido.
Este procedimiento se caracteriza por involucrar múltiples actores, los que deben estar
profundamente consustanciados de su rol a cumplir dentro del mismo, sus actividades a
desarrollar durante la manipulación de la prueba y sus responsabilidades derivadas.
Arellano - Darahuge 2019
TÉCNICAS ANTIFORENSESExiste un número creciente de tipos de técnicas y productos que buscan dificultar el acceso a las
posibles evidencias digitales. Por ejemplo, cifrado, fuga de información, usos no autorizados de
los activos informáticos, malware, datos en general, y todo tipo de cibercrímenes.
Es importante tratar de detectar el uso de estas herramientas para aplicar las técnicas y
herramientas que puedan recuperar la evidencia digital tanto en la etapa 2 del paradigma
informático forense (recolección) como en la 3 (Análisis).
CONCLUSIONES:• Labor de equipo experto.
• Planificar y trabajar pensando siempre en la judicialización.
• Resguardar con acta notarial y hashes.
• Respetar siempre las mejores prácticas y conservar la cadena de
custodia.
• Las tareas pueden insumir mucho tiempo y recursos. Requieren de
paciencia.
• Un paso en falso en el inicio puede hacer que la prueba no sirva.
- DIGITAL FORENSICS LAB –
A LOS EFECTOS DE ESTE TALLER NOS CONCENTRAREMOS AHORA EN LA ETAPA DE
RECOLECCIÓN DEL PARADIGMA DE INFORMÁTICA FORENSE.
Ing. Manrique González Avellaneda +54(911)4474-3578, mga@iwayusa.net,
www.linkedin.com/in/gonzalezavellaneda
Lic. Federico Luis Wallbrecher +54(911)3784-0575, flw@iwayusa.net