TESIS - Iniciosepi.esimez.ipn.mx/msistemas/archivos/Palacios Ugalde Arturo.pdf · METODOLOGÍA PARA...

INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD PROFESIONAL “ADOLFO LOPEZ MATEOS”

SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN

PROGRAMA DE POSGRADO EN INGENIERÍA DE SISTEMAS

MAESTRÍA EN CIENCIAS EN INGENIERÍA DE SISTEMAS.

“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS

DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL”

TESIS

QUE PARA OBTENER EL GRADO DE:

MAESTRO EN CIENCIAS EN INGENIERÍA DE SISTEMAS.

PRESENTA:

ING. ARTURO PALACIOS UGALDE.

DIRECTOR DE TESIS:

M. EN C. LEOPOLDO ALBERTO GALINDO SORIA.

MÉXICO D.F. OCTUBRE DE 2010.

METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.

Ing. Arturo Palacios Ugalde.

Resumen y Abstract.

“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL”

RESUMEN

En el presente proyecto de tesis, se presenta explícitamente la problemática

existente de la falta de una metodología de análisis pericial forense en el entorno de la

informática forense, por lo que se propone y aplica una metodología forense para el

análisis de sistemas de redes y equipos de cómputo personal, además se estudian

algunos dispositivos de interés, detallando de forma particular, el análisis sobre una

computadora personal de escritorio, dicho producto de la presente Tesis se pretende funja

como herramienta fundamental para la resolución de contiendas y denuncias judiciales.

La metodología propuesta se encuentra compuesta por cinco Fases: I.-

Planteamiento del problema, II.- Identificación detallada del material objeto de estudio, III.-

Adquisición de evidencia, IV.- Análisis de datos y V.- Presentación de resultados

obtenidos, las presentes Fases se consideran herramientas ineludibles y básicas a la hora

de investigar un hecho delictivo, las mismas nos permitirán efectuar un trabajo sistémico

metodológicamente estructurado y sistemáticamente fundamentado, considerando que la

metodología propuesta sea aplicada por un perito en informática forense en auxilio de la

autoridad judicial.

Con el presente trabajo se busca establecer un marco referencial base de cualquier

investigador forense digital en aspectos técnicos y jurídicos que procure generar y

fortalecer iniciativas multidisciplinarias para la modernización y avance de la

administración de justicia en el contexto de una sociedad digital y de la información.

La metodología propuesta se aplicó, dentro del presente proyecto de tesis, en un

caso de estudio, presentado en el ―Capítulo 4.- Localización de un archivo con

información específica‖, con el fin de iniciar la evaluación de su aplicabilidad.



Resumen y Abstract.

“METHODOLOGY FOR THE FORENSIC COMPUTING ANALYSIS IN

NETWORKS SYSTEMS AND PERSONAL COMPUTING EQUIPMENTS”

ABSTRACT

In this thesis Project, it is explicitly presented the existing problems due to the lack of

a methodology for the forensic expert analysis in computing, so it is proposed and applied

a forensic methodology for the analysis of networks systems and personal computing

equipments. Also, some interesting devices are studied, particularly detailing the analysis

on a personal desk computer. The result of the present thesis is intended to function as a

basic tool for the resolution of judicial controversies and complaints.

The proposed methodology consists of five stages: I.- Approach of the problem, II.-

Detailed identification of the material subject to study, III.- Obtention of evidence, IV.- Data

analysis, and V.- Presentation of the results obtained. The present stages are considered

as necessary and basic tools at the time of investigating a criminal act, and such tools will

enable us to carry out a systemic work which shall be methodologically structured and

systematically founded, considering that the methodology being proposed shall be applied

by forensic expert in computing, in assistance of the judicial authority.

The present work seeks to establish a basic reference framework for any digital

forensic investigator regarding technical and juridical aspects, tending to generate and

strengthen multidisciplinary initiatives for the modernization and improvement of justice

administration in the context of a digital society and computing.

The methodology proposed was applied within the present thesis project, in a case

under study presented in ―Chapter 4.- Localization of a file with specific information‖, with

the purpose of starting an evaluation of its applicability.



Agradecimientos.

Agradecimientos

A Dios:

Por darme la fortaleza y esperanza en los momentos difíciles.

A mi Madre:

Gloria Ugalde y Guzmán

Por su amor infinito, su paciencia, su ánimo, su apoyo durante todos los días

de mi vida, por su espíritu inquebrantable y sus sabios consejos que me han

ayudado a vencer las adversidades y lograr mis metas. Gracias por toda la

confianza que en su momento, depositaste en mí.

A mis Hermanos:

Gabriel, Martin, Armando y Jonathan

Por ayudarme y apoyarme. Gracias por facilitarme las cosas.

A mi Hijo:

Emiliano Palacios Fernández

Porque llegaste a iluminar mi vida, por tu sonrisa que me llena de esperanza

y alegría, por ser mi motor y mi fuerza para seguir adelante.

A mi Familia:

Por todo su amor, cariño y comprensión.



Agradecimientos.

Al Instituto Politécnico Nacional:

Por crear en mí el sentimiento de orgullo.

A mi Director de tesis:

El Profesor Prof. Leopoldo A. Galindo Soria

Por sus invaluables sugerencias y acertados aportes durante la realización de esta tesis, por su generosidad al brindarme la oportunidad de recurrir y compartir conmigo su talento y experiencia, en un marco de confianza, afecto y amistad, fundamentales para la concreción de este trabajo.

A todos aquellos que sin querer omito:

Son muchas las personas a las que me gustaría agradecer su apoyo, ánimo

y compañía en las diferentes etapas de mi vida. Algunas están aquí conmigo y

otras en mis recuerdos y en el corazón. Sin importar en dónde estén quiero darles

las gracias por formar parte de mí y por todo lo que me han brindado.


i Ing. Arturo Palacios Ugalde.

Indice.

Índice General.

Índice General i

Índice de figuras y tablas iv

Glosario de Términos viii

Introducción xiii

0.1 Presentación del Proyecto de Tesis xiii

0.2 Marco Metodológico para el desarrollo del proyecto de Tesis xv

Capítulo 1.- Marco Conceptual y Contextual

1.1. Marco Conceptual 2

1.1.1 Pirámide Conceptual 3

1.1.2 Descripción de conceptos clave definidos en la Pirámide 5 Conceptual del Proyecto de Tesis

1.2 Marco Contextual 11

1.2.1 Marco contextual acorde a la pirámide conceptual 11 1.2.2. Descripción del procedimiento básico en informática forense 13

Capítulo 2.- Identificación y Análisis de la Situación Actual

2.1 Antecedentes 22

2.2 Análisis de la situación actual al inicio del Proyecto de Tesis 25

2.3 Justificación del proyecto de Tesis 33

2.4 Definición de Objetivos del Proyecto de Tesis 33


ii Ing. Arturo Palacios Ugalde.

Indice.

Capítulo 3.- Desarrollo de la Metodología Propuesta

3.1 Introducción a la Metodología Propuesta 36

3.2 Presentación esquemática de la Metodología Propuesta 41

3.2.1 Fase I. Planteamiento del Problema 45

3.2.2 Fase II. Identificación detallada del material objeto de estudio 45

3.2.3 Fase III. Adquisición de evidencia 46

3.2.4 Fase IV Análisis de datos 47

3.2.5 Fase V. Presentación de resultados obtenidos 48

3.3 Descripción detallada de las Fases de la Metodología Propuesta 51

3.3.1 Fase I. Planteamiento del Problema 51

3.3.2 Fase II. Identificación detallada del material objeto de estudio 55

3.3.3 Fase III. Adquisición de evidencia 78

3.3.4 Fase IV Análisis de datos 89

3.3.5 Fase V. Presentación de resultados obtenidos 106

Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de Estudio

4.1 Aplicación de la Fase I. Planteamiento del Problema 117

4.2 Aplicación de la Fase II. Identificación detallada del material objeto

de estudio 120

4.3 Aplicación de la Fase III. Adquisición de evidencia 153

4.4 Aplicación de la Fase IV. Análisis de datos 176

4.5 Aplicación de la Fase V. Presentación de Resultados Obtenidos 209


iii Ing. Arturo Palacios Ugalde.

Indice.

Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones

5.1 Valoración de Objetivos 238

5.2 Trabajos Futuros 241

5.3 Conclusiones 243

Bibliografía 246

Referencias a Internet 247


iv Ing. Arturo Palacios Ugalde.

Indice.

Índice de figuras y tablas.

Número de Figura o Tabla.

Descripción: Página.

Capítulo 1: Marco Conceptual y Contextual.

Figura 1.1 Pirámide Conceptual de los principales conceptos implicados en el

proyecto motivo de estudio. 4

Figura 1.2 Reglas generales de la informática forense. 9

Figura 1.3 Representación esquemática de la intervención pericial en

informática forense. 11

Figura 1.4 Representación esquemática del Proceso de Investigación. 13

Figura 1.5 Modelo básico de la informática forense. 18

Figura 1.6 Modelo de informática forense complementario. 18

Figura 1.7 Productos a obtener bajo la aplicación de la Metodología Propuesta

en el presente proyecto de tesis. 19

Capítulo 2: Identificar y Analizar la Situación Actual.

Figura 2.1 Estándares y directrices, relacionados con la informática forense y

la seguridad de la información. 26

Tabla 2.1 Comparativo de ventajas y desventajas de Metodologías y

Estándares actuales. 28

Capítulo 3: Desarrollo de la Metodología Propuesta.

Figura 3.1 Presentación Esquemática de la Metodología Propuesta. 42

Figura 3.2 Presentación Secuencial de la Metodología Propuesta. 42

Figura 3.3 Presentación detallada de la Metodología Propuesta. 44

Figura 3.4 Imagen en la que se ilustra la posible variedad en cuanto, al

material a analizar. 57

Figura 3.5

Ejemplo en el que se presenta, la forma en que se identifica un

posible material objeto de estudio, el cual se describirá a detalle en

el respectivo Dictamen Pericial y/o Documento Final.

58


v Ing. Arturo Palacios Ugalde.

Indice.



Figura 3.6 Imagen que se presenta a manera de Ilustrar un posible lugar de los hechos.

60

Figura 3.7 Imagen con la que se ilustra una posible manera de etiquetar las conexiones de un equipo de cómputo a analizar.

61

Figura 3.8 Se debe restringir el acceso al lugar de los hechos. 62

Figura 3.9 Imagen en la que se ilustra la firma de archivos de acuerdo a su aplicación que lo genero, para tres archivos.

72

Figura 3.10 Salida tipo pantalla, en la que se muestra el análisis al archivo Index.dat, con el fin de mostrar las cookies almacenadas en éste.

104

Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.

Figura 4.1 Identificación del material objeto de estudio. 121

Figura 4.2 Identificación del disco duro asociado al material objeto de estudio. 122

Figura 4.3

Fijación fotográfica del material objeto de estudio, teniendo mayor relevancia para el presente caso el disco duro asociado a la computadora cuestionada, toda vez que es el elemento en donde se almacena toda la información procesada.

133

Figura 4.4

Una vez que se tuvo identificado plenamente al elemento base (principal fuente de información), para realizar su análisis correspondiente, se procedió a colocarle un bloqueador de escritura.

142

Figura 4.5 Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖), con la que fue detectado el disco duro, asociado al material objeto de estudio.

146

Figura 4.6 Salida tipo pantalla en la que se ilustra el número de serie lógico del volumen (―#L##-###L‖).

147

Figura 4.7 Como primer paso se tuvo que montar el Disco Duro al Software. 159

Figura 4.8 Salida tipo pantalla en la que se observa el contenido del disco a

través del software forense AccessData FTK Imager.

160

Figura 4.9 Salida tipo pantalla en la que se ilustra el ingreso de los datos del

caso de estudio.

161


vi Ing. Arturo Palacios Ugalde.

Indice.



Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se le indican al software forense, el destino de la imagen.

162

Figura 4.11 Salida tipo pantalla en la que se observa el progreso en la obtención de la imagen total del disco duro.

163

Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de la carpeta ―Documents and Settings‖.

164

Figura 4.13 Salida tipo pantalla en que se muestra el termino del proceso para adquirir la imagen de la carpeta ―Documents and Settings‖.

165

Figura 4.14 Vista de los archivos generados al finalizar el procedimiento de obtención de la Imagen de la información seleccionada (archivos con extensión: .ad1 y .ad2).

166

Figura 4.15 Vista del contenido del archivo generados con el valor Hash de la imagen del disco duro.

169

Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia

adquirida. 177

Figura 4.17 Vista del archivo que generó el Software Forense al obtener la

imagen del disco duro motivo de estudio. 184

Figura 4.18 Exploración de la imagen forense obtenida.

185

Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos

archivos que dan respuesta al Planteamiento del Problema.

186

Figura 4.20 Salida tipo pantalla en la que se observa como se realiza el proceso de exportación de archivos ubicados.

188

Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos

de los archivos localizados.

197

Figura 4.22 Conexión del Disco Duro bajo estudio al protector contra escritura. 217

Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito.

218

Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que

conforman la Imagen Forense del presente caso bajo estudio.

219

Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos,

localizados y que se apegan al criterio especificado en el

Planteamiento del Problema.

220


vii Ing. Arturo Palacios Ugalde.

Indice.



Figura 4.26 Conexión del Disco Duro bajo estudio al protector contra escritura. 225

Figura 4.27 Salida tipo pantalla en donde se muestra que el proceso de

obtención de la Imagen Forense, se efectuó con éxito. 226

Figura 4.28 Salida tipo pantalla en donde se muestran los dos archivos que

conforman la Imagen Forense del presente caso bajo estudio. 227

Figura 4.29

Salida tipo pantalla en donde se muestran los dos archivos,

localizados y que se apegan al criterio especificado en el


228

Capítulo 5: Valoración de Objetivos, Trabajos Futuros y Conclusiones.

Tabla 5.1 Valoración de los Objetivos Particulares. 241


viii Ing. Arturo Palacios Ugalde.

Glosario de términos.

GLOSARIO DE TÉRMINOS.

Para tener una mejor comprensión de la Tesis, a continuación se describen la siguiente

serie de términos usados, se puede observar que varias definiciones se toman con base a

referencias de sitios o páginas de Internet, confiables.

Análisis Forense Digital [http://archivos.diputados.gob.mx/Comisiones/Especiales/

Acceso_Digital/Presentaciones/Procuracion_justicia_PGR.pdf]: conjunto de principios y

técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y

presentación de evidencias digitales y que llegado el caso puedan ser aceptadas

legalmente en un proceso judicial.

Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste

en establecer las responsabilidades y controles de cada una de las personas que manipulen

la evidencia, (The Organization of American States (OAS), La Organización de los Estados

Americanos (OEA)).

Delitos Informáticos [http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg0000

7.html]: son todos los actos que permiten la comisión de agravios, daños o perjuicios en

contra de las personas, grupos de ellas, entidades o instituciones y que por lo general son

ejecutados por medio del uso de computadoras y a través del mundo virtual de Internet.

Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos

medios, sino también a partir de los mismos.

Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema

encomendado para producir una explicación consistente.


ix

Ing. Arturo Palacios Ugalde. Glosario de términos.

Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias

fundamentales del estudio efectuado, los métodos y medios importantes empleados, una

exposición razonada y coherente, las conclusiones, fecha y firma.

A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe

Pericial.

Si los peritos no concuerdan deberá nombrarse un tercero para dirimir la discordia, quien

puede disentir de sus colegas.

Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de

datos en formato binario, esto es, comprende los archivos, su contenido o referencias a

éstos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.

Forense [http://www.rae.es/rae.html]: adj. Perteneciente o relativo al foro. Lugar en que los

tribunales actúan y determinan las causas: foro público.

Hash [http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt]: En informática, hash se refiere

a una función o método para generar claves o llaves que representen de manera casi

unívoca a un documento, registro, archivo, procedimiento que autentica la información o

dato en cuestión (firma digital).

Incidente de Seguridad Informática [http://www.oas.org/juridico/spanish/cyb_analisis

_foren.pdf]: puede considerarse como una violación o intento de violación de la política de

seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los

sistemas informáticos.

http://www.monografias.com/trabajos11/metods/metods.shtml

http://www.monografias.com/trabajos14/medios-comunicacion/medios-comunicacion.shtml

http://www.monografias.com/trabajos7/expo/expo.shtml

http://www.rae.es/rae.html

http://es.wikipedia.org/wiki/Inform%C3%A1tica

http://es.wikipedia.org/wiki/Funci%C3%B3n_%28programaci%C3%B3n%29

http://es.wikipedia.org/wiki/Clave_%28criptograf%C3%ADa%29

http://es.wikipedia.org/wiki/Documento

http://es.wikipedia.org/wiki/Registro

http://es.wikipedia.org/wiki/Archivo_inform%C3%A1tico


x


Indicio [http://www.bibliojuridica.org/]: El término indicio proviene de latín indictum, que

significa signo aparente y probable de que existe alguna cosa, y a su vez es sinónimo de

señal, muestra o indicación. Por lo tanto, es todo material sensible significativo que se

percibe con los sentidos y que tiene relación con un hecho delictuoso; al decir material

sensible significativo se entiende que está constituido por todos aquellos elementos que son

aprehendidos y percibidos mediante la aplicación de nuestros órganos de los sentidos.

A fin de lograr una adecuada captación del material sensible, nuestros sentidos deben estar

debidamente ejercitados para esos menesteres y, de preferencia, deben ser aplicados

conjuntamente al mismo objeto. De este modo se evita toda clase de errores y distorsiones

en la selección del material que será sometido a estudio. Cuando se comprueba que está

íntimamente relacionado con el hecho que se investiga, se convierte ya en evidencia.

Lugar de los hechos [http://www.bibliojuridica.org/]: Se entiende como el lugar de los

hechos ―El sitio donde se ha cometido un hecho que puede ser delito‖. Toda investigación

criminal tiene su punto de partida casi siempre en el lugar de los hechos, y muchos

criminalistas ya han expresado: ―que cuando no se recogen y estudian los indicios en el

escenario del crimen, toda investigación resulta más difícil‖. Por tal motivo, es imperativo

proteger adecuadamente en primer término ―el lugar de los hechos‖ o como lo denominan

los especialistas ―el sitio del suceso‖, (en los países de habla inglesa se utiliza el término

―escena del crimen‖).

Metodología [Van Gigch, 1987]: Se refiere a los métodos de investigación que se siguen

para alcanzar una gama de objetivos.

Metodología Suave [Checkland, 2005]: La Metodología de Sistemas Suaves (SSM por sus

siglas en inglés) de Peter Checkland; es una técnica cualitativa qué se puede utilizar para

aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse

de los problemas situacionales en los cuales hay un alto componente social, político y

humano.


xi


Partición swap [http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.ht

ml]: Una partición swap (al menos 256 MB) — Las particiones swap son utilizadas para

soportar la memoria virtual. En otras palabras, los datos son escritos en la swap cuando no

hay memoria suficiente disponible para contener los datos que su ordenador está

procesando.

Peritaje [Orellana, 1975]: Es el examen y estudio que realiza el perito sobre el problema

encomendado para luego entregar su informe o dictamen pericial con sujeción a lo

dispuesto por la ley.

Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional

dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores,

que suministra información u opinión fundada a los tribunales de justicia sobre los puntos

litigiosos que son materia de su dictamen.

Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas

partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio.

Sistema [Van Gigch, 1987]: Es una reunión o conjunto de elementos relacionados. Estos

elementos pueden ser objetos, conceptos, sujetos; como un sistema hombre-máquina, que

comprende las tres clases de elementos.

Por tanto, un sistema es un agregado de entidades, viviente o no viviente o ambas.

Software [RODAO, 2005]: Se conoce como software al equipamiento lógico o soporte

lógico de una computadora digital; comprende el conjunto de los componentes lógicos

necesarios que hacen posible la realización de tareas específicas, en contraposición a los

componentes físicos del sistema, llamados hardware.

http://www.monografias.com/trabajos12/guiainf/guiainf.shtml

http://www.monografias.com/trabajos4/leyes/leyes.shtml

http://es.wikipedia.org/wiki/Tribunal

http://es.wikipedia.org/wiki/Computadora

http://es.wikipedia.org/wiki/Hardware


xii


Tales componentes lógicos incluyen, entre muchos otros, aplicaciones informáticas como el

procesador de textos, que permite al usuario realizar todas las tareas concernientes a la

edición de textos o el software de sistema tal como el sistema operativo, que básicamente,

permite al resto de los programas funcionar adecuadamente.

http://es.wikipedia.org/wiki/Aplicaci%C3%B3n_inform%C3%A1tica

http://es.wikipedia.org/wiki/Procesador_de_textos

http://es.wikipedia.org/wiki/Software_de_sistema

http://es.wikipedia.org/wiki/Sistema_operativo


xiii Ing. Arturo Palacios Ugalde.

Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.

INTRODUCCIÓN.

0.1 PRESENTACIÓN DEL PROYECTO DE TESIS.

El desarrollo de la tecnología informática ha abierto las puertas a nuevas

posibilidades de delincuencia. Los daños ocasionados son a menudo superiores a lo usual

en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que

no lleguen a descubrirse o castigarse estos hechos. El delito informático implica actividades

criminales que los especialistas en legislación, han tratado de encuadrar en figuras típicas

de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas,

sabotajes.

Ante el suceso de un delito informático u otro delito en el que se considere que

equipos de cómputo pueden presentar evidencias, es necesaria la intervención de un perito

en informática forense.

La falta de una metodología para realizar un peritaje en informática forense ante el

suceso de un delito informático en cualquier persona física o moral, pueden impactar de

varias formas tales como: que la evidencia se pierda viéndose alterada y por ende nunca

descubrir al culpable del acto ilícito que nos ocupa, o también podría fincársele una

responsabilidad para el perito en informática forense así como el de no presentar elementos

suficientes como evidencia o que pierdan su valor probatorio frente a un tribunal por que no

se halla preservado la integridad de la información o manejado adecuadamente (cadena de

custodia).

Por lo anterior y de no adoptarse una metodología de peritaje en informática forense,

ante un suceso que así lo amerite, no se tendrá un peritaje confiable recalcando el hecho de

que en nuestro país la informática forense ha tenido un nulo crecimiento en lo que a

desarrollo tecnológico y metodológico se refiere.

METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.

xiv Ing. Arturo Palacios Ugalde.


De lograr el empleo de una metodología en informática forense, se contará con una

herramienta formal que permita realizar un análisis, estudio e inspección, del elemento

causa del peritaje informático en forma eficiente, confiable, segura y que le dará certidumbre

a los resultados obtenidos.

Por tales motivos, es que se desarrolla el presente trabajo cuya finalidad es la

creación de una “Metodología para el análisis forense informático en sistemas de redes y

equipos de cómputo personal”, para que sea la base fundamental de cualquier peritaje

informático.

Considerando lo anterior, a continuación se muestra el Marco Metodológico que

servirá de guía para el desarrollo del presente trabajo de tesis:


xv Ing. Arturo Palacios Ugalde.


0.2 MARCO METODOLÓGICO PARA EL DESARROLLO DEL PROYECTO DE TESIS.

En todo trabajo de investigación, se hace necesario, que los hechos estudiados, los

resultados obtenidos y las evidencias significativas encontradas en relación al problema

investigado, reúnan las condiciones de confiabilidad, objetividad y validez; para lo cual, se

requiere definir los métodos, técnicas y procedimientos metodológicos, a través de los

cuales se intenta dar respuestas a las interrogantes objeto de investigación.

El marco metodológico, para el desarrollo de este Proyecto de Tesis, donde se

propone un “Análisis Forense Informático en Sistemas de Redes y Equipos de

Computo Personal”; indica el conjunto de métodos, técnicas y protocolos instrumentales

que se emplearán en el proceso de recolección de los datos requeridos en el presente

trabajo de investigación. Es importante señalar que tal conjunto de técnicas y herramientas

especializadas deben ser guiadas por una metodología apropiada, basada en el desarrollo

de la ―Tabla Metodológica‖ [Galindo, 2008], en tal sentido, en la siguiente Tabla, se

describen las actividades necesarias para así cumplir con la(s) meta(s) que se ha fijado y

lograr los objetivos o productos deseados, además de indicar las técnicas y herramientas

que se consideran más adecuadas.


xvi Ing. Arturo Palacios Ugalde.


Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis [Galindo, 2008].

Metodología Actividades Propias del Proyecto

(¿Qué hacer?)

Técnicas (¿Cómo hacer?)

Herramientas (¿Con qué

hacer?)

Metas (¿Qué Obtener en

particular?)

Avocarse a la tarea de la recopilación y análisis de una metodología a seguir para el desarrollo del proyecto de tesis Uso de los Métodos Analítico y Sintético.

Investigación y cotejo de diversas metodologías acordes al presente proyecto de tesis.

Consulta de bibliografía.

La selección de la metodología a seguir.

Inicio de la aplicación de la metodología para el desarrollo de la Tesis.

Tener bien claro el objetivo a alcanzar.

Inicio del proyecto de Tesis.

Definir cuál es o será el tema del proyecto de Tesis.

Búsqueda de información acerca de interés y que contribuyan a resolver un problema.

Computadora personal, acceso a Internet, Bibliografía.

El tema de Tesis.

Identificar y conocer el medio ambiente correspondiente.

Identificar los elementos sistémicos.

Observación. Computadora e Internet. Investigación Bibliográfica.

El alcance y el enfoque que tendrá la Tesis.

Crear una pirámide conceptual, para definir el Marco Conceptual.

Aplicación del método Deductivo es decir ubicar de lo general a lo particular los elementos que intervienen.

Computadora e Internet. Investigación Bibliográfica.

Representar gráficamente el proyecto de Tesis y el producto principal a obtener.

Hacer una descripción de los conceptos definidos en la pirámide conceptual.

Hacer una lista de los conceptos incluidos en la pirámide conceptual.

Computadora e Internet. Investigación Bibliográfica.

Explicar los conceptos en forma breve dando el marco conceptual donde se ubicará el proyecto de Tesis.

Hacer un análisis de la situación actual, del área y procesos bajo estudio y realizar una evaluación y diagnóstico correspondiente.

Creando un cuadro comparativo con ventajas y desventajas.

Observación. Investigación, Cuestionarios. Entrevistas. Computadora e Internet Procesador de Palabras, Hoja de cálculo.

Información para justificar la Tesis.


xvii Ing. Arturo Palacios Ugalde.


Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Continuación)

Metodología, Actividades Propias del Proyecto

(¿Qué hacer?)


Herramientas (¿Con qué

hacer?)

Metas (¿Qué

Obtener en particular?)

Definir la justificación del proyecto de Tesis.

Llevar a cabo el Análisis del cuadro comparativo citado con antelación.

Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes.

Justificar la Tesis.

Definir el objetivo particular y los generales del Proyecto de Tesis.

Definir la aportación principal del proyecto de Tesis y de lo que se obtiene en el proceso de desarrollo.

Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes

Definir los objetivos.

Desarrollo del producto principal del Proyecto de Tesis. Proponer la Metodología en Informática Forense.

Basándose en metodologías previamente identificadas y analizadas, así como diseñando y proponiendo la metodología del trabajo de Tesis.

Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes Observación, Análisis e investigación.

Metodología a usar en la Tesis.

Aplicar la Metodología propuesta.

Siguiendo las actividades de la Metodología propuesta.

Con las herramientas necesarias en cada Actividad de la Metodología.

Alcanzar los niveles de pericia y especialización necesarios para llevar a cabo una intervención pericial en Informática Forense precisa, confiable y por ende irrefutable.


xviii Ing. Arturo Palacios Ugalde.


Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Final)

Metodología, Actividades Propias del Proyecto

(¿Qué hacer?)


Herramientas (¿Con qué hacer?)

Metas (¿Qué Obtener en

particular?)

Redacción del documento de Tesis

Conforme avance en trabajo la Tesis.

Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación.

Escribir el documento de Tesis

Valoración del cumplimiento de los objetivos.

Revisando el cumplimiento de los objetivos.


Conclusiones acerca del cumplimiento de los objetivos.

Definición de trabajos futuros.

Proponiendo mejoras continuas y seguimiento al trabajo.


Definir trabajos a futuro.

Conclusiones del proyecto de Tesis.

Redactar los beneficios y la utilidad que representa el trabajo de Tesis.


Conclusiones referentes al trabajo de Tesis.

Con el fin de cumplimentar lo plasmado con antelación, se emplea la ―Metodología para el

Desarrollo y Redacción de un Proyecto de Tesis de Maestría‖ [Galindo, 2005], propuesta por

el Prof. Leopoldo Galindo Soria; misma que será la metodología a aplicar para la

elaboración y la redacción del proyecto en comento.


xix Ing. Arturo Palacios Ugalde.


Estructura del Documento de Tesis.

El cuerpo de la Tesis se encuentra dividido en 5 capítulos, una sección para conclusiones y

una sección dedicada a trabajos futuros, a continuación se realiza una breve descripción de

cada uno de los capítulos que integran esta tesis, cuya estructura es la siguiente:

Capítulo 1.- Marco Conceptual y Contextual.

Se definen las bases para desarrollar el trabajo de investigación, con el fin de ayudar a

identificar los conceptos y elementos involucrados en esta investigación y el Marco

Contextual, referirá la interacción de los diversos elementos que intervienen en una

intervención pericial en informática forense.

Capítulo 2.- Identificar y analizar la situación actual.

Presenta una definición general de metodología, así mismo se describe el proceso forense

en informática, mostrando un análisis del modelo de informática forense, de manera

adicional se realiza una comparativa teniendo como elemento de cotejo a las guías

internacionales de mayor importancia, de las mejores prácticas en informática forense y la

metodología propuesta, razón por la cual se justifica proponer como proyecto de Tesis el

contar con una nueva metodología en Informática forense, que pueda ser aplicada en

México.

Capítulo 3.- Desarrollo de la Metodología Propuesta.

Se presentan las fases y métodos que la integran, se describe el proceso forense

informático, mostrando un análisis del modelo de informática forense.


xx Ing. Arturo Palacios Ugalde.


Dada esta base teórica, es posible integrar en el proyecto aquellos requisitos más

específicos con los que la metodología propuesta deba cumplir.

La Metodología Propuesta, tiene como base el tener un enfoque sistémico la cual consiste

en: Plantear el Problema, Identificación detallada del material objeto de estudio, Adquisición

de la evidencia, Análisis de los datos, y Presentación de los resultados (la información o

datos obtenidos). En el presente capítulo se genera la estrategia de creación de la

metodología. Esta estrategia considera: la aplicación del método científico, utilización de

metodologías (en el área de la informática forense) para el manejo de la evidencia digital

reconocidas a nivel internacional.

Capítulo 4.- Aplicación de la Metodología Propuesta en un caso de Estudio.

En este capítulo se presenta la aplicación de la metodología propuesta en un caso práctico;

proponiendo con el fin de mostrar su utilidad y funcionalidad la ―Localización de un archivo

con información específica‖, es decir se propuso la Ubicación de información cuestionable.

Razón por la cual es que en este capítulo se desarrollan todas y cada una de las fases que

integran la metodología propuesta.

Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones.

Se analizarán los resultados obtenidos durante el desarrollo de este proyecto, además se

propondrán las posibles adecuaciones para mejorar o ampliar la Metodología Propuesta,

por último se presenta la Bibliografía y Referencias a Internet.

En síntesis, en la siguiente lámina se presenta la estructura general del proyecto de tesis:


xxi Ing. Arturo Palacios Ugalde.


―Antes‖ ―Cambio‖ ―Después‖ Introducción.

Presentación del Proyecto de Tesis.

-Presentación del proyecto de tesis. -Marco metodológico para el desarrollo del proyecto de tesis.

-Estructura del documento del proyecto de tesis.

Capítulo 1 El marco conceptual y contextual

-Introducción al marco conceptual y contextual. -Pirámide Conceptual.

-Descripción de Términos.

Capítulo 2 -Análisis, evaluación y diagnóstico de la situación al inicio del proyecto de tesis. -Identificar y analizar la situación actual. -Análisis de la situación actual al inicio del proyecto de tesis. -Justificación del proyecto de tesis.

-Objetivos del proyecto de tesis.

CAPITULO 3

DESARROLLO DE LA METODOLOGÍA PROPUESTA: FASE I, FASE II, FASE III, FASE IV y FASE V.

FASE I


FASE II Identificación detallada del

material objeto de estudio.

FASE III

Adquisición de evidencia.

FASE IV

Análisis de datos.

FASE V

Presentación de resultados obtenidos.

IMPARTICIÓN DE JUSTICIA.

SITUACIÓN ACTUAL: ―AUTORIDAD COMPETENTE‖.

―ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS

DE CÓMPUTO PERSONAL‖.

Por medio de:

¿Cómo llegar? Para obtener:

FASE I

FASE II

FASE III

FASE IV

FASE V

INSTITUCIÓN DE PROCURACIÓN DE JUSTICIA.

SITUACIÓN MEJORADA DE LA INSTITUCIÓN DE PROCURACIÓN

DE JUSTICIA.

Capítulo 4.- Aplicación de la

Metodología Propuesta en un Caso de Estudio.

APLICACIÓN DE LAS FASES, DE LA

METODOLOGÍA PROPUESTA.

Capítulo 4


1 Ing. Arturo Palacios Ugalde.

Capitulo 1: Marco Conceptual y Contextual.

Capítulo 1.-

Marco Contextual y Conceptual




CAPÍTULO 1. MARCO CONTEXTUAL Y CONCEPTUAL.

El Marco Conceptual y Contextual, servirá como Marco de Referencia que se usará en el

presente trabajo de Tesis.

Así, el Marco Conceptual, ayudará a identificar los conceptos y elementos involucrados en

esta investigación y el Marco Contextual, referirá la interacción de los diversos factores que

intervienen en la Informática Forense.

A continuación, se detalla el Marco Conceptual y Contextual.

Tal y como se ha manifestado con antelación en el presente trabajo las nuevas tecnologías

se hacen cada día más importantes; la gente usa el Internet para comprar, las grandes

corporaciones se valen del correo electrónico para funcionar de forma más eficiente y los

delincuentes se hacen diestros en la utilización de los avances tecnológicos como

herramienta para delinquir. La prueba documental y el arma homicida están perdiendo

vigencia con rapidez.

En el presente proyecto de tesis se aborda el tema de la Informática Forense, de la

evidencia digital, de la manipulación de la misma y de los retos que esta tarea conlleva,

dándole un vistazo a las diferentes directrices de manipulación de pruebas electrónicas y de

evidencia digital que los países más avezados en estos temas han planteado como solución

a los problemas de admisibilidad y a otros retos que usualmente se le presentan a un

operador jurídico que pretende usar información almacenada en medios electrónicos como

prueba, razón por la cual, se hace cada vez más necesario que los aparatos judiciales

tengan a su disposición funcionarios y colaboradores que posean los conocimientos

informáticos, técnicos y jurídicos necesarios para ofrecer certeza sobre la integridad de la

evidencia obtenida en entornos digitales.




Cabe señalar que al momento de la redacción del presente trabajo se consideraron las

guías generadas en países con mayor desarrollo y experiencia en esta área científica, con

el fin de identificar los rasgos y características esenciales sin el ánimo de realizar juicios a

priori, algunos de estos rasgos considerados esenciales fueron tomados como base para la

creación de la metodología en informática forense motivo del presente proyecto de tesis y

otros procedimientos de los que se hace referencia en materia de peritaje informático.

Una vez concluida esta primera parte del trabajo tendremos una visión holística sobre la

tendencia mundial en materia de Informática Forense aplicada al peritaje informático y sin el

temor de caer en la trampa del etnocentrismo, estaremos en condiciones de realizar una

sugerencia informada para ayudar a la implementación de lo que sería el estándar

Mexicano de buenas prácticas en materia de peritaje informático.

1.1 Marco conceptual

1.1.1 Pirámide conceptual. [Galindo, 2005]

La pirámide conceptual ayuda en gran medida a identificar todos aquellos conceptos y

elementos involucrados que se emplearán en esta investigación, así como, también a

identificar el producto y ver la mejora en el medio ambiente, su estructura de operación y

lectura es de abajo (conceptos más generales) hacia arriba ( conceptos más particulares) y

de izquierda a derecha.

A continuación, se presenta la Pirámide Conceptual, la cual es usada durante el proyecto de

Tesis para definir los conceptos principales:




Figura 1.1.- Pirámide Conceptual de los principales conceptos implicados en el proyecto motivo de estudio. (Adaptada de [Galindo, 2005]).

CONTAR CON UNA

METODOLOGÍA EN

INFORMÁTICA FORENSE

APLICABLE EN MÉXICO.




1.1.2 Descripción de conceptos clave definidos en la Pirámide Conceptual del Proyecto de Tesis Estos conceptos representan la base para una mejor comprensión del contenido del

presente proyecto de Tesis. Presentación en orden según su estructura de la Pirámide

Conceptual, de abajo hacia arriba y de izquierda a derecha.

Metodología [Van Gigch, 1987 ]: Se refiere a los métodos de investigación que se siguen

para alcanzar una gama de objetivos.

Metodología Suave [Checkland, 2005]: La metodología de Sistemas Suaves (SSM por sus

siglas en inglés) de Peter Checkland es una técnica cualitativa que se puede utilizar para

aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse

de los problemas situacionales en los cuales hay un alto componente social, político y

humano.

El delito [http://www.bibliojuridica.org/]: en sentido estricto, es definido como una conducta,

acción u omisión típica (tipificada por la ley), antijurídica (contraria a Derecho), culpable y

punible. Supone una conducta infraccional del Derecho penal, es decir, una acción u

omisión tipificada y penada por la ley. La palabra delito deriva del verbo latino delinquiere,

que significa abandonar, apartarse del buen camino, alejarse del sendero señalado por la

ley.

Delito informático [Shinder, 2002]: son todos los actos que permiten la comisión de

agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o

instituciones y que por lo general son ejecutados por medio del uso de computadoras y a

través del mundo virtual de Internet.

Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos

medios, sino también a partir de los mismos.

http://es.wikipedia.org/wiki/Tipo_penal

http://es.wikipedia.org/wiki/Antijuridicidad

http://es.wikipedia.org/wiki/Derecho

http://es.wikipedia.org/wiki/Culpable

http://es.wikipedia.org/wiki/Derecho_penal




Legislación Mexicana [http://www.bibliojuridica.org/]: Recopilación de leyes, decretos,

bandos, reglamentos, circulares y providencias de los supremos poderes y otras

autoridades de la República Mexicana.

Peritaje [Orellana,1975]: Es el examen y estudio que realiza el perito sobre el problema

encomendado para luego entregar su informe o dictamen pericial con sujeción a lo

dispuesto por la ley.

Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional

dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores,

que suministra información u opinión fundada a los tribunales de justicia sobre los puntos

litigiosos que son materia de su dictamen. Existen dos tipos de peritos, los nombrados

judicialmente y los propuestos por una o ambas partes (y luego aceptados por el juez),

ambos ejercen la misma influencia en el juicio.

Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema

encomendado para producir una explicación consistente. Esa actividad cognoscitiva será

condensada en un documento que refleje las secuencias fundamentales del estudio

efectuado, los métodos y medios importantes empleados, una exposición razonada y

coherente, las conclusiones, fecha y firma.

A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe

Pericial.

Criminalística [Moreno, 2009]: es ‖la disciplina que tiene por objeto el descubrimiento,

explicación y prueba de los delitos, así como la detección de sus autores y víctimas‖.

http://www.monografias.com/trabajos12/guiainf/guiainf.shtml

http://www.monografias.com/trabajos4/leyes/leyes.shtml

http://es.wikipedia.org/wiki/Tribunal

http://www.monografias.com/trabajos11/metods/metods.shtml

http://www.monografias.com/trabajos14/medios-comunicacion/medios-comunicacion.shtml

http://www.monografias.com/trabajos7/expo/expo.shtml




La Criminalística es la disciplina coadyuvante del Derecho Penal y de la propia Criminología

frente a un delito.

La Criminalística registra estas interrogantes ¿Cómo?, ¿Por qué?, ¿Quiénes?, ¿Qué

instrumentos Utilizaron?, ¿Dónde?, ¿Cuándo?, etcétera. Consecuentemente la

Criminalística utilizando una serie de técnicas procedimientos y ciencias establecen la

verdad jurídica acerca de dicho acto criminal.

La Criminalística se vale obviamente de todos los métodos y técnicas de investigación

posibles, proporcionados por las más diversas áreas del saber científico; ello en cuanto

sirvan a su objeto. Pero, a su tiempo, va desenvolviendo su propio cuerpo de conocimientos

y adquiriendo autonomía disciplinaria.

Algunos estudiosos han incluido las fuentes de la Criminalística en su concepto:

Así para Moreno González, por ejemplo, la Criminalística "es la disciplina que aplica

fundamentalmente los conocimientos, métodos y técnicas de investigación de las ciencias

naturales en el examen del material sensible significativo relacionado con un presunto

hecho delictuoso con el fin de determinar en auxilio de los órganos encargados de

administrar justicia, su existencia o bien reconstruirlo, o bien señalar y precisar la

intervención de uno o varios sujetos en el mismo".

Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de

datos en formato binario, esto es, comprende los archivos, su contenido o referencias a

estos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.

Indicio [Moreno, 2009]: El término indicio proviene de latín indictum, que significa signo

aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o

indicación. Por lo tanto, es todo material sensible significativo que se percibe con los

sentidos y que tiene relación con un hecho delictuoso;




Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste

en establecer las responsabilidades y controles de cada una de las personas que manipulen

la evidencia.

Prueba [Moreno, 2003]: Indicio, muestra o señal de una cosa. Razón testimonio u otro

medio con que se pretende probar una cosa. Criminalisticamente es el indicio o evidencia

que habiendo sido examinado, estudiado y analizado con la opinión de un experto se

fundamenta.

NIST [http://www.nist.gov/index.html]: Instituto Nacional de Estándares y Tecnología, (NIST, por sus siglas en inglés).

NIJ [http://www.ojp.usdoj.gov/nij/funding/welcome.htm]: Departamento de Justicia de

EE.UU., (NIJ, por sus siglas en inglés).

FBI [http://www.fbi.gov/]: Buró Federal de Investigaciones, (FBI, por sus siglas en inglés).

Análisis Forense Digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]:

Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos,

unos procedimientos y métodos de análisis que nos permitan identificar, recuperar,

reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas

necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios

para realizar nuestra investigación, ya sea criminal o no.

Si llevamos al plano de los sistemas informáticos a la Ciencia Forense, entonces hablamos

de Análisis Forense Digital.




De manera más formal podemos definir el Análisis Forense Digital como un conjunto de

principios y técnicas que comprende el proceso de identificación, adquisición, preservación,

análisis y documentación-presentación de evidencias digitales y que llegado el caso puedan

ser aceptadas legalmente en un proceso judicial.

Dado que el último producto del proceso forense (Dictamen) está sujeto al análisis judicial,

es importante que las reglas que lo gobiernan se sigan. Aunque estas reglas son generales

para aplicar a cualquier proceso en la informática forense, su cumplimiento es fundamental

para asegurar la admisibilidad de cualquier evidencia en un juzgado. Dado que la

metodología que se emplee será determinada por el especialista forense, el proceso

escogido debe aplicarse de forma que no se vulneren las reglas básicas de la informática

forense (Figura 1.2).

Por evidencia digital se entiende al conjunto de datos en formato binario, esto es,

comprende los archivos, su contenido o referencias a éstos (meta-datos) que se encuentren

en los soportes físicos o lógicos (equipamiento lógico) del sistema atacado.

Figura 1.2.- Reglas generales de la informática forense [Fuente propia].




Dentro del Análisis Forense Digital Básico, podemos destacar las siguientes fases, que

serán desarrolladas con más detalle a lo largo de este documento:

1ª. Identificación del incidente.

2ª. Adquisición o recopilación de evidencias.

3ª. Preservación de la evidencia.

4ª. Análisis de la evidencia.

5ª. Documentación y presentación de los resultados.

Principio de intercambio de Locard [Locard, 1963]: Este principio fundamental viene a

decir que cualquiera o cualquier objeto que entra en la escena del crimen (lugar de los

hechos), deja un rastro en la escena o en la víctima y viceversa (se lleva consigo), en otras

palabras: ―cada contacto deja un rastro‖.

En el mundo real significa que: ―si piso la escena del crimen (término anglosajón, en

México se usa el de Lugar de Hechos) con toda seguridad dejaré algo mío ahí, que puede

ser: pelo, sudor, huellas, etc. Pero, también me llevaré algo conmigo cuando abandone la

escena del crimen, ya sea barro, olor, una fibra, etc.‖ [Locard, 1963]. Con algunas de estas

evidencias, los forenses podrán demostrar que hay una posibilidad muy alta de que el

criminal estuviera en la escena del crimen.




1.2 Marco contextual general.

1.2.1 Marco contextual acorde a la pirámide conceptual.

En la Figura 1.2, se muestra la forma de interacción de los diversos factores que intervienen

en un Peritaje de Informática Forense, como son Delito – Legislación - Denuncia –

Intervención Pericial – Dictamen Pericial, con un enfoque sistémico.

La siguiente figura muestra a manera de ilustración el escenario en donde se desenvuelve

un peritaje informático, así como los elementos y/o eventos que se ven involucrados para tal

efecto:

Figura 1.3.- Representación Esquemática de la Intervención Pericial en Informática Forense

[Fuente propia].

Variedad en

Metodologias

Situación

Actual

Legislación

Aplicación de Metodología en

Informática Forense, Software y

Herramientas Adecuadas

Situación Futura

Malas

Prácticas

Forenses.

Certeza, Confiabilidad

y Precisión en el

Análisis realizado

sobre el equipo de

cómputo motivo de

estudio.

Metodología en

Informática Forense

aplicada por un Perito en

Informática




Bajo el enfoque de la figura 1.2, se observa que la aplicación de la Informática forense se

encuentra apoyada por nuestra legislación; siendo que la sociedad en general rara vez

espera los cambios legislativos para modificar sus conductas, más bien ésta y su realidad

concreta suelen estar varios pasos delante de legisladores y juristas. Si a esta situación

habitual sumamos el hecho de que la informática interactúa con la sociedad a velocidades

exponenciales en lugar que las lineales de las ciencias jurídicas, nos encontraremos ante la

cruda verdad de que, de no hacerse algo de manera inmediata, nos hallaremos cada día

más lejos de la verdad de las conductas que pudieran resultar incriminables en defensa de

los valores reconocidos como protegibles por la sociedad que ampara al orden jurídico o

que éste debe intentar salvaguardar [Cámpoli, 2007].

Sabemos por experiencia, que los medios informáticos alteran al menos en parte, los

esquemas tradicionales de interacción social y ofrecen nuevas formas de relación

interpersonal. De aquí se desprende, como consecuencia necesaria e indispensable, el

hecho de que además sirven como medios de comisión de delitos; es aquí, en donde

resalta la importancia de aplicar una metodología que proporcione a la autoridad una

valoración técnica que sea totalmente confiable.




1.2.2. Descripción del procedimiento básico en informática forense.

Las etapas que se describen a detalle a continuación tienen como base las metodologías de

informática forense y procedimientos para la obtención de evidencia digital, las cuales están

consideradas dentro de algunas guías y metodologías en informática forense y serán

descritas con mayor o menor detalle dependiendo de la relevancia que tenga dentro del

presente proyecto de Tesis.

Un análisis en informática forense para que pueda ser válido ante una instancia judicial del

orden civil o penal, debe cumplir por lo menos con dos características esenciales, el empleo

del método científico y el mantener la integridad de la evidencia desde el inicio hasta el final

del proceso de análisis forense informático.

A continuación, se describen las etapas de la metodología básica aplicada al peritaje

informático:

Figura 1.4 Representación Esquemática del Proceso de Investigación [Fuente propia].

Planteamiento del Problema

Identificación

Preservación

Análisis

Adquisición

Presentación Búsquedas

Filtros

Línea del Tiempo

Visualización de

Archivos

Se identifica al elemento cuestionado, equipo

comprometido o Intrusión realizada.

Descripción a detalle de cada elemento de

estudio.

Imagen bit a bit de la información,

motivo de estudio (copia idéntica).

Esta etapa busca mantener la

integridad de la evidencia, la cual

este caso particular es muy frágil.

Interpretación de datos

obtenidos.

Se presenta la evidencia final obtenida,

un registro detallado y en palabras

simples.




En la figura anterior, el ―Proceso de Investigación‖, es representado como una escalera en

donde los pasos o etapas son secuenciales y ascendentes estructurada de tal forma que

conforma, una exhaustiva y rigurosa investigación, garantizando un adecuado tratamiento

de las pruebas, reduciendo de esta forma la probabilidad de errores creados por

improvisaciones, careciendo de metodología alguna y otros peligros potenciales. Este

proceso es aplicado en las investigaciones de carácter penal para una intervención pericial.

1. Planteamiento del Problema.- El planteamiento del problema de la investigación es

la delimitación clara y precisa del objeto de la investigación que se realiza por medio de

preguntas, lecturas (para el caso de archivos ―logs‖ o bitácoras), encuestas pilotos,

entrevistas, etc. En esta etapa cabe tener presente el siguiente pensamiento ―Es más

importante para la ciencia, saber formular problemas, que encontrar soluciones‖ (Albert

Einstein).

La función del planteamiento del problema consiste en revelarle al perito investigador si su

proyecto de investigación es viable, dentro de sus tiempos (considerando y matizando que

cuando existen personas detenidas por algún acto ilícito, la premura es un factor

determinante) y recursos disponibles.

2.- Identificación.- Tiene como fin la localización de las fuentes de información de una

manera lógica, clara exacta e inteligente, cuestionándose que información se requiere para

poder realizar la investigación, por ejemplo estas son algunas de las preguntas básicas que

tienen que hacerse:

¿Qué marca, modelo y características del hardware tiene el equipo o dispositivos

motivo de estudio?

¿El equipo se encuentra encendido o apagado?




Si el equipo se encuentra encendido, identificar el Sistema Operativo, características

técnicas (versión del Sistema Operativo, cantidad de memoria RAM, tipo de

microprocesador), dirección IP, MAC address (Media Access Control o control de

acceso al medio).

Ubicar las evidencias e indicios en el sistema - equipo comprometido o vulnerado.

Resguardante del equipo.

3.- Adquisición de la imagen del disco (en general cualquier unidad de almacenamiento)

o recopilación de evidencias. Consiste en llevar a cabo el plan diseñado, de acuerdo a la

información obtenida de la fase de identificación y tiene como objetivo obtener la imagen

(copia bit a bit) de la evidencia digital e información que será necesaria para la fase de

análisis forense, en esta etapa es de suma importancia no alterar la evidencia digital, es

decir, evitar en todo momento que sea modificada la evidencia por la manipulación del

software o hardware, por consiguiente es necesario tomar las medidas de seguridad

necesarias para mantener aislado en lo posible el equipo a inspeccionar.

Dentro de la adquisición de la evidencia digital, el procedimiento será centralizado

principalmente en mantener la técnica apropiada para la informática forense, lo anterior para

tener la certeza de que la evidencia adquirida será aceptada como prueba en un

procedimiento legal, teniendo la posibilidad de ser duplicada y si es necesario que esta

pueda ser analizada por terceras personas.

A continuación se listan algunos aspectos que son indispensables en la fase de adquisición

de la evidencia:

Evaluar y documentar el lugar del incidente (planimetría, fotografía, croquis de

conexiones, etc.).

Manejo adecuado de la documentación y evaluación.

http://es.wikipedia.org/wiki/Control_de_acceso_al_medio






Etiquetar y embalar adecuadamente la evidencia para que no sean alterados.

¿Metodología empleada para documentar el material motivo de estudio?

4.- Preservación de la evidencia. Busca mantener la integridad de la evidencia desde su

obtención hasta la fase de presentación. Es difícil demostrar que la evidencia que dejo la

persona que cometió la falta o el delito no fue alterada por las personas que se encontraban

en el lugar de los hechos y que el perito en informática forense que recopilo u obtuvo la

información lo hizo de una manera adecuada y sin alteración alguna.

En la preservación se integra la cadena de custodia que es un elemento clave durante todo

el proceso de la informática forense, que ayuda de manera importante a dar valides y

sustento al hecho ocurrido ante cualquier autoridad.

Con la cadena de custodia se ubica fielmente al material cuestionado o bajo análisis, bajo

resguardo de quienes se encuentra, donde se encuentra almacenada, quien o quienes la

han manipulado, que proceso ha seguido durante su aseguramiento o decomiso, etc.

Esto último es útil, para el perito en informática forense porque se les hace difícil a los

jueces discutir con éxito la integridad de la evidencia digital presentada.

Para demostrar que la evidencia digital no fue alterada desde la fase de adquisición, se le

extrae una huella digital o firma digital (―hash‖, el cual representa de manera unívoca a un

archivo) de la unidad de almacenamiento correspondiente al equipo de cómputo a ser

analizado, esta huella digital es un valor numérico calculado que resume una cantidad de

información, es decir, que un archivo de determinado tamaño al aplicarle esta función, dará

como resultado un valor numérico único, si el archivo llega a ser modificado en cualquiera

de sus partes y se le aplica nuevamente esta función ―hash‖, el resultado será diferente del

original.

Algunos algoritmos criptográficos usados con este propósito son: MD5 o SHA-1.




Otro elemento de ayuda para mantener la integridad de la evidencia digital es el uso de

equipos y herramientas que no permitan la escritura en la evidencia o copia digital obtenida

(bloqueadores de escritura), así como el trabajar única y exclusivamente sobre la imagen de

la evidencia digital (copia idéntica bit a bit del original, por ejemplo la imagen de un disco

duro o de una memoria USB).

5.- Análisis de la evidencia.- Se refiere a la interpretación de los datos obtenidos y a la

colocación de estos en un formato lógico y útil, proporciona la evidencia que se busca y está

en función de las habilidades del perito en informática forense.

La fase de análisis debe documentarse en todas sus partes y seguir un método científico

que permita independientemente de la metodología utilizada por el perito en informática

forense, repetir el suceso cuantas veces sea necesario para demostrar que el resultado

obtenido del análisis es el correcto. Es decir:

Se debe extraer la información, procesarla e interpretarla.

Extraerla producirá archivos binarios.

Procesarla generará información entendible.

Interpretarla es la parte más importante del proceso.

El proceso debe poder rehacerse y producir el mismo resultado.

6.- Presentación y documentación de los resultados. Está enfocada a la creación final

de un documento o un reporte para presentar la evidencia final obtenida, debe contener las

conclusiones a detalle de la investigación y análisis.

La información del reporte debe ser completa, clara, acertada, exhaustiva y escrita a

manera de que sea entendible para cualquier lector, conteniendo anexos a manera de

ilustrar a la autoridad competente. Lo anterior se resume como:

En esta etapa se presentan los resultados obtenidos a la empresa, abogados,

autoridad competente, etc.




La aceptación de la misma dependerá de:

Forma de presentación.

Antecedentes y calificación de la persona que realizó el análisis.

La credibilidad del proceso que fue utilizado para la preservación y análisis de la

evidencia.

Con el propósito de obtener la mayor cantidad de información necesaria para realizar el

proceso forense y dar pie a la integración de una metodología se realizó un análisis del

modelo de informática forense, el cual se muestra en las figuras 1.5 y 1.6.

Figura 1.5 Modelo básico de la informática forense [Fuente propia].

Figura 1.6 Modelo de informática forense complementario [Fuente propia].

Etapa de

Identificación.Etapa de Obtención. Etapa de Análisis.

Etapa de

Presentación.

Etapa de

Identificación.Etapa de Obtención. Etapa de Análisis.

Etapa de

Presentación.

Etapa de

Documentación.




Considerando lo anterior, ahora se presentará un panorama general de los subsistemas a

obtener, con el fin de que el lector pueda identificar los elementos esenciales que

componen un Sistema de Análisis Forense Informático en Redes y Equipos de Cómputo

Personal.

Figura 1.7 Productos a obtener para el Análisis Forense Informático en Sistemas de Redes y Equipo de Cómputo [Fuente propia].

De la figura anterior, se observa que el primer elemento a obtener, es el contar con una

―Solicitud Clara y Objetiva‖, ya que de aquí derivará la aplicación de la metodología

propuesta, una vez obtenida esta solicitud se tendrá una ―Situación definida e identificada‖,

de igual manera se obtendrá una adecuada ―Cadena de Custodia‖ para que los resultados

que arroje la metodología sean validos, así mismo se tendrá el ―Material Objeto de Estudio

Asegurado‖ y remitido al perito en informática para su análisis; posteriormente, y en el

mismo orden de ideas se obtendrá la imagen de la evidencia (copia bit a bit o Idéntica), con

el fin de trabajar sobre ella, finalmente se tendrá que obtener el correspondiente Peritaje o

Dictamen Informático.




Resumen del Capítulo:

En este capítulo, se presentó el marco conceptual y contextual que se manejará en el

Proyecto de Tesis; además, de describir los conceptos principalmente usados en el

desarrollo del trabajo de Tesis, marcando la diferencia entre Perito, Peritaje e Informática

Forense, el primer concepto hace referencia a un experto en una ciencia o arte cuya

actividad es vital en la resolución de conflictos judiciales, el segundo concepto nos habla del

estudio en sí, que realiza un perito bajo un planteamiento especifico y el tercer concepto nos

refiere que se trata de una disciplina de las Ciencias forenses, que considerando las tareas

propias asociadas con la evidencia, procura descubrir e interpretar la información en los

medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el

caso bajo estudio, como la disciplina científica y especializada que entendiendo los

elementos propios de las tecnologías de los equipos de computación ofrece un análisis de

la información residente en dichos equipos. Por último, se presenta un modelo del Sistema

de ―Análisis Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal‖,

que se desea obtener.

Ahora en el siguiente capítulo, se entrará a la situación actual al inicio del trabajo de tesis,

para identificar que metodologías tratan de obtener o llegar al Sistema, últimamente

referido, para establecer sus ventajas y desventajas, para de esta manera hacer un

diagnóstico de las mismas y entonces definir la posible necesidad de proponer una

metodología, así como la justificación de la misma.



Capítulo 2: Identificar y analizar la situación actual.

Capítulo 2.-

Identificación y Análisis de la

Situación Actual.


22 Ing. Arturo Placios Ugalde.


Capítulo 2. Identificación y Análisis de la Situación Actual.

En el capítulo anterior, se presentó el marco conceptual y contextual que se manejará en el

Proyecto de Tesis, también se dió una descripción del procedimiento básico en informática

forense, por último se mostro, el modelo del Sistema de Análisis Forense Informático, en

Sistemas de Redes y Equipos de Cómputo Personal que se desea obtener, ahora se

presentará un riguroso análisis de la situación actual, considerando las metodologías y

estándares actuales.

2.1 Antecedentes.

En nuestro país el análisis forense informático presenta todavía un serio rezago en cuanto

al desarrollo y aplicación de metodologías al m<omento de enfrentarse con una

investigación de carácter forense.

Para solventar la situación anterior, se han desarrollado trabajos internacionales que han

destacado la importancia de contar con una metodología formal y estandarizada al

momento de manejar la evidencia durante el proceso de investigación, tal como el

desarrollado por Jim McMillan en donde cita ―Obedecer una metodología estándar es crucial

para realizar un análisis exitoso y efectivo en la informática forense. Tal como los

programadores profesionales utilizan una metodología minuciosa de programación, los

profesionales forenses también deberían utilizar una metodología de investigación

detallada‖ y además agrega que ―una metodología estándar proporcionará protección y

ciertos pasos comunes que deberán ser realizados durante el proceso de investigación‖,

[http://www.moreilly.com/CISSP/DomA-3-Importance%20of%20a%20Standard%20Methodol

ogy%20in%20Computer%20Forensics.pdf].




En el mismo sentido, el Grupo de Trabajo Científico en la Evidencia Digital (SWGDE, por

sus siglas en inglés) [http://www.swgde.org/], resalta la necesidad de contar con procesos

estandarizados, para lo cual presenta un escenario en donde la aplicación de la ley se

enfrenta a un mundo global de transacciones económicas compuesto de dos características

principales: a) muchas de ellas son de carácter internacional y b) los criminales al momento

de actuar pudieran involucrar a naciones diferentes. Aclara que cada nación tiene su propio

sistema legal y que no es razonable esperar que cada una de las naciones conozca de

manera precisa las reglas y leyes que rigen a otros países. Por lo tanto, indica que es

necesario encontrar un mecanismo que permita el intercambio seguro y estandarizado de

evidencia.

Dado que en México no se tienen claros avances de una metodología en la Informática

Forense, de acuerdo a la experiencia personal del suscrito, se concluyó realizar una

investigación a través de Internet orientada a la exploración de documentos relacionados

con el manejo de la evidencia digital, lo anterior ya que en éste, es donde encuentra la

mayor cantidad de información sobre este tema, así como el más actualizado.

La investigación produjo resultados interesantes, pues mediante ella fue posible reconocer a

organizaciones trabajando en conjunto con diversos investigadores. Estos esfuerzos se han

orientado al desarrollo de trabajos que permitan establecer un marco de referencia

coherente.

En el ámbito internacional se identifican algunos organismos cuya cualidad principal, es que

su fin es la investigación sobre el manejo de la evidencia digital. Algunas de estas

organizaciones son: Centro Nacional de Delitos de Cuello Blanco (―National White Collar

Crime Center‖,NW3C, por sus siglas en inglés), [http://www.nw3c.org/], Grupo de Trabajo

Científico en la Evidencia Digital (―Scientific Working Group on Digital Evidence”, SWGDE,

por sus siglas en inglés), [http://www.swgde.org/], Centro Australiano de Alta Tecnología del

Delito (―Australian High Tech Crime Centre‖), [http://www.afp.gov.au/policing/e-

crime.aspx],Centro Nacional de Ciencias Forenses (―National Center for Forensic




Science‖,NCSF, por sus siglas en inglés), Sociedad Internacional de Examinadores

Forenses (―International Society of Forensic Computer Examiners‖,ISFCE, por sus siglas en

inglés), [http://www.isfce.com/], Organización Internacional de la evidencia informática,

(―International Organization on Computer Evidence‖,IOCE, por sus siglas en inglés),

[http://www.ioce.org/core.php?ID=1], UNAM-CERT(Equipo de Respuesta a Incidentes de

Seguridad en Cómputo), etc.

Sin embargo, destacan también organismos como la Asociación de Jefes de Policía de

Inglaterra, Gales e Irlanda del Norte (―Association of Chief Police Officers Of England, Wales

and Northern Ireland‖, ACPO, por sus siglas en inglés), [http://www.acpo.police.uk/], Taller

de Investigación Forense Digital (―Digital Forensics Research Workshop‖, DFRW, por sus

siglas en inglés), [http://www.dfrws.org/], Instituto Nacional de Justicia, EE.UU.

Departamento de Justicia (―National Institute of Justice, U.S. Department of Justice‖, NIJ,

por sus siglas en inglés) y el Instituto Nacional de Estándares y Tecnología (―National

Institute of Standards and Technology‖, NIST, por sus siglas en inglés),

[http://www.nist.gov/index.html], por su trayectoria en la última década, ya sea por haber

establecido las bases para el manejo de la evidencia, por abrirse a la comunidad científica,

por pertenecer a un organismo de carácter oficial y sobre todo, por el trabajo continuo

realizado sobre el manejo de la evidencia digital tratando de mantenerse a la vanguardia al

generar documentos actualizados y relacionados con la informática forense.

Guías Mejores Prácticas: Existen gran cantidad de guías y buenas prácticas que nos

muestran como llevar a cabo la gestión de la evidencia digital.

Las guías consideradas para la elaboración del presente trabajo, tienen como objetivo

identificar evidencia digital con el fin de que pueda ser usada dentro de una investigación.




Estas guías se basan en el método científico para concluir o deducir algo acerca de la

información. Presentan una serie de etapas para recuperar la mayor cantidad de fuentes

digitales con el fin de asistir en la reconstrucción posterior de eventos.

2.2 Análisis de la situación actual al inicio del Proyecto de Tesis.

Ahora, en el siguiente mapa mental [Buzan, 1996], se pretende identificar algunas de

directrices, guías, y estándares existentes relacionados con la Informática Forense,

obteniendo la orientación de estos, para así identificar bajo qué área de oportunidad o

contexto se estará trabajando durante el proyecto de Tesis:




Figura 2.1 Estándares y directrices, relacionados con la Informática Forense y la Seguridad de la Información [Fuente propia].




En general, él análisis se hará para identificar las metodologías existentes relacionadas con

las tecnologías de la Información, en particular se verá la forma de análisis con respecto a la

Informática Forense, para así obtener sus ventajas y desventajas.

Para ésto; se basará en:

1.- Norma ISO-27001:2005, (norma sobre Seguridad de la Información).

2.- Estándar, ―Secure Hash Standard (SHS) Federal Information Processing Standards

Publications (FIPS PUB 180-3)‖, emitido por el Instituto Nacional de Estándares y

Tecnología (NIST), USA, [http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf].

3.- El ―RFC 3227: Guidelines for Evidence Collection and Archiving‖ (Guía Para Recolectar y

Archivar Evidencia), escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea,

Ingenieros del Network Working Group, USA, [http://www.ietf.org/rfc/rfc3227.txt].

4.- ―Handbook Guidelines for the management of IT evidence HB171:2003‖. (Guía Para El

Manejo De Evidencia En IT), Australia, [http://www.saiglobal.com/PDFTemp/Previews/OSH/

as/misc/handbook/HB171.PDF].

5.- ―Best Practices For Seizing Electronic Evidence v.3 A Pocket Guide for First Responders.

- U.S. Department of Homeland Security United States Secret Service‖. (Mejores Prácticas

para la adquisición de Pruebas electrónicas v. 3 Una guía de Bolsillo para respuesta a un

incidente - Departamento de Seguridad de Homeland Estados Unidos Servicio Secreto),

[http://www.ncjrs.gov/App/publications/Abstract.aspx?id=239359].




Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales.

Estándar y/o Metodología Ventajas Desventajas

ISO-27001:2005. Es una norma estándar, la cual

describe las buenas prácticas de

la Seguridad de la Información.

Se consideran como controles o

normas, pero no es en sí un

modelo o una metodología.

Es el único estándar aceptado

internacionalmente para la

administración de la seguridad de

la información y aplica a todo tipo

de organizaciones, tanto por su

tamaño como por su actividad.

No indica que hacer en caso de

que el sistema se vea

comprometido.

Cuenta con una guía de

implantación.

Esta guía es compleja y genérica,

no está pensada en cómo

reaccionar ante una eventual

intrusión al sistema.

Manifiesta las necesidades de la

Evaluación del Riesgo.

No indica en forma clara y

explícita el cómo obtener tales

necesidades, es decir no indica

con que herramientas o

mecanismos será detectado

determinado riesgo (scanner de

puertos, auditorias etcétera.).

Es un punto de partida. Marca pautas pero no indica

cómo aplicarlas ante una

vulnerabilidad del sistema cuando

se ha sufrido un ataque por parte

de un Hacker.

Estándar, ―Secure Hash Standard

(SHS) Federal Information

Processing Standards

Publications (FIPS PUB 180-3)‖.

Es un estándar en cuanto al

procedimiento matemático de

obtención del valor Hash por

medio de los algoritmos: SHA-1,

SHA-224, SHA-256, SHA-384, y

SHA-512.

No es en sí un modelo o una

metodología, sino que más bien

pudiese formar parte de esta.

Considera a los algoritmos de

reducción criptográfica SHA-1,

SHA-224, SHA-256, SHA-384, y

SHA-512, como base de este

Standard.

No se hace referencia al algoritmo

de reducción criptográfica MD5

(abreviatura de Message-Digest

Algorithm 5, Algoritmo de

Resumen del Mensaje 5) el cual

es un algoritmo de reducción

criptográfica de 128 bits y que

todavía es ampliamente usado

por muchos lenguajes.

http://es.wikipedia.org/wiki/Algoritmo

http://es.wikipedia.org/wiki/Bit




Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales

(continuación). Estándar y/o Metodología Ventajas Desventajas

Presenta de forma escrupulosa el desarrollo matemático así como la demostración para la obtención de los valores del HASH a partir de determinadas condiciones.

Una de sus principales falencias respecto al tema abordado en este trabajo de investigación es que no es tratado el HASH como una evidencia digital, mucho menos refiere en qué casos es importante obtenerlo ni en qué etapa de la investigación calcularlo.

RFC 3227: Guidelines for Evidence Collection and Archiving (Guía Para Recolectar y Archivar Evidencia).

Determina una serie de buenas prácticas, para la recogida, almacenamiento y análisis de las evidencias.

Se encuentra sometida a la supeditación de las normativas vigentes en cada País es algo muy claro, máxime en el caso de las evidencias digitales, debido a la facilidad de su alteración y manipulación. Por ejemplo la RFC establece la necesidad de tomar evidencias en función de la volatilidad de las mismas, no indicando cómo y con que realizar el análisis.

Hace hincapié en una correcta recopilación de la evidencia digital.

Ignora las circunstancias que varían en función de muchas características tales como: - Los sistemas operativos involucrados. - Donde se encuentra la información. - Las consecuencias legales. - Que herramientas utilizamos para la toma de información.

Especifica el orden de la volatilidad de los datos en un sistema basado en Windows. Esta lista se utiliza para recopilar datos y evidencias volátiles en un orden determinado para evitar cualquier error en la recolección de evidencias electrónicas (desde lo más volátil a lo menos volátil).

No se detalla en cómo ni con que realizar el análisis de los elementos volátiles tales como: - Registros, caché. - contenidos de la Memoria. - Estado de las conexiones de red. - Estado de los procesos en ejecución. - Sistemas de archivos temporales. - Contenido del Disco duro. - Configuración física, topología de la red.





(continuación).


Sugiere el minimizar al máximo

los cambios a los datos

recolectados tales como tiempos

de acceso.

No hace referencia al uso de

Hardware para evitar la escritura

sobre cualquier medio de

almacenamiento.

Menciona que los métodos

utilizados para recopilar las

pruebas deben ser transparentes

y reproducibles.

No se detalla en los métodos a

aplicar, no ofreciendo más

detalles, por ejemplo para la

recolección de archivos con

determinado contenido y/o

formato.

Sugiere la obtención y generación

de una prueba criptográfica de la

información.

No obliga a la generación de un

valor Hash, para asegurar la

Cadena de Custodia.

Handbook Guidelines for the management of IT evidence HB171:2003, (Guía Para El Manejo De Evidencia En IT), Australia.

El documento nos provee de una

guía para el manejo de registros

electrónicos para que estos

puedan ser usados como

evidencia judicial o en un

procedimiento administrativo,

planteado como defensor o

testigo.

Se considera como una serie de

recomendaciones o sugerencias a

seguir pero en si no es un modelo

o una metodología.

De acuerdo con lo previsto en

este documento se detalla el ciclo

de administración de la evidencia

digital y sus respectivos

elementos.

Resulta impráctico en la vida real.

Hace hincapié en fortalecer la

admisibilidad y relevancia de la

evidencia producida por las

tecnologías de la información.

No hace referencia a técnicas ni

precauciones a tomar al arribar al

lugar de los hechos, para

asegurar dicha admisibilidad.

Enuncia algunas

recomendaciones sobre el

escrutinio de registros (archivos).

Margina de manera absoluta que

éste, debe ser en estricto apego a

una solicitud expresa por una

autoridad Judicial competente

para no incurrir en algún delito

(Intervención de comunicaciones

privadas en el caso de e-mail).

Refiere el mantener el control de

la integridad de los registros

electrónicos, que permita

identificar cambios que se hayan

presentado en ellos.

No describe ningún mecanismo

que ayude a preservar la

evidencia digital intacta.





(continuación).


En todo su desarrollo realza la

importancia del buen manejo

de la evidencia digital por su

cualidad de frágil y volátil.

No toma en cuenta la

relevancia que tiene la

evidencia no digital

(contraseñas escritas en

papeles, impresiones,

topología de red, posición del

Mouse que nos indica si el

usuario es zurdo o diestro y/o

huellas dactilares en teclados),

así como la red de vínculos

con respecto la investigación.

No hace referencia al manejo

de este tipo de evidencia, la no

digital y que se encuentra

íntimamente ligada a la digital.

―Best Practices For Seizing

Electronic Evidence v.3 A

Pocket Guide for First

Responders. - U.S.

Department of Homeland

Security United States Secret

Service‖. (Mejores Prácticas

para la adquisición de Pruebas

electrónicas v. 3 Una guía de

Bolsillo para respuesta a un

incidente - Departamento de

Seguridad de Homeland

Estados Unidos Servicio

Secreto).

Presenta un compendio de los

problemas mas comunes

encontrados en el lugar de los

hechos, donde se hallan

cometido delitos informáticos

(electrónicos).

Esta guía presenta una serie

de reglas, consejos y medidas

preventivas a efectuar, cuando

se tiene la presunción de un

delito informático (electrónico);

pero carece de un método

sistematizado para aplicar

tales medidas y no provee al

investigador de una

metodología propiamente.

Resulta práctica en cuanto a

su volumen de información.

Una de sus falencias más

perceptibles es que resulta

tácita, ya que no abunda en la

información proporcionada,

carece de gráficos, ejemplos y

diagramas.

Marca consideraciones legales

muy específicas.

Estas consideraciones legales

son proporcionadas por una

guía extranjera.




En la Tabla 2.1, se puede apreciar que no se cuenta actualmente con guías y Metodologías

que estén alineadas al contexto Mexicano debido a que:

No indican en forma clara y explícita la obtención de la evidencia digital.

Describen sus etapas en forma teórica (no entrando a detalle), no presentan

ejemplos.

Se asume que se cuentan con los recursos tecnológicos para cada caso a investigar,

no presentando métodos alternativos más económicos con los cuales se puedan

obtener los mismos resultados.

Son de origen extranjero y algunas marcan consideraciones legales muy específicas,

recordando que nuestro país posee todavía en la práctica un Sistema Penal que

diverge al de otros países tal es el caso del Europeo, el Americano y el de algunos

países Sudamericanos como Chile por ejemplo, en el cual su sistema penal está

basado en los Juicios Orales.

Ante el escenario comparativo anterior, a continuación se obtiene la justificación del

proyecto de Tesis.




2.3 Justificación del proyecto de Tesis.

Con base en el análisis, la evaluación y el diagnóstico de los estándares y las metodologías

anteriores, se observa que no cumplen con las necesidades de los procesos de análisis

forense informático para el entorno de la sociedad mexicana. Por lo tanto, es necesario

establecer un nuevo conjunto de: estrategias, metodologías, acciones y herramientas para

descubrir en los medios informáticos, la evidencia digital que sustente y verifique las

afirmaciones que sobre los hechos delictivos se han materializado en el caso bajo estudio y

que sean ampliamente aplicables en nuestro país.

De donde en esta tesis se propone una ―Metodología para el Análisis Forense Informático

en Sistemas de Redes y Equipos de Cómputo Personal”, para así afrontar de forma más

adecuada, vanguardista y progresiva, el contexto de los delitos informáticos en México. Para

llegar a lo anterior, se proponen los siguientes:

2.4 Definición de Objetivos del Proyecto de Tesis. Objetivo General:

Proponer una Metodología con un enfoque sistémico para el análisis forense informático en

sistemas de redes y equipos de cómputo personal.

Objetivos Particulares:

Conocer el medio ambiente en cuanto a los delitos informáticos, para conocer el

mecanismo de cómo se debe responder ante un eventual ataque informático.

Analizar las Metodologías y estándares en cuanto a evidencia digital se refiere para

efectuar una evaluación y diagnóstico de la situación actual.

Aplicar la metodología propuesta en un caso de estudio real para iniciar la evaluación

de su implementación.





En este Capítulo, se analizó la situación actual al inicio del proyecto de Tesis, para lo cual

se realizó un comparativo entre las Metodologías para la adquisición y estudio de evidencia

digital, para de esta manera efectuar su correspondiente evaluación y diagnóstico.

Ahora en el siguiente capítulo, se verá en forma detallada en qué consiste la Metodología

Propuesta para efectuar un adecuado análisis forense en informática que nos permita

describir y presentar a la autoridad competente, "cualquier registro generado o almacenado

en un sistema informático que puede ser utilizado como evidencia en un proceso legal".



Capítulo 3: Desarrollo de la Metodología Propuesta.

Capítulo 3.-

Desarrollo de la Metodología

Propuesta.



Capítulo 3:Desarrollo de la Metodología Propuesta.

Capítulo 3.- Desarrollo de la Metodología Propuesta.

En el presente capítulo, se exponen las fases y métodos que la integran, se describe el

proceso forense informático, mostrando un análisis del modelo de informática forense; dada

esta base teórica, es posible integrar en el proyecto aquellos requisitos más específicos con

los que la metodología propuesta deba cumplir.

En el presente capítulo, se genera la estrategia de creación de la metodología. Esta

estrategia considera: la aplicación del método científico, utilización de metodologías (en el

área de la informática forense) para el manejo de la evidencia digital reconocidas a nivel

internacional.

3.1 Introducción a la Metodología Propuesta.

Con el rápido desarrollo de Internet, todo tipo de usuario es cada vez más dependiente del

uso de redes públicas y privadas, volviendo crítica la protección de la estabilidad de la

infraestructura nacional y mundial que componen la nueva e-economía emergente.

Un Dictamen Pericial es uno de los medios probatorios con más auge en los procesos

civiles, mercantiles y penales, debido al incremento del desarrollo de la ciencia y tecnología

en diversos campos del saber, lo que permite aplicar nuevos métodos de estudio

(metodologías) en la búsqueda de la verdad.




La incorporación de las tecnologías de información a la vida personal cotidiana, procesos

administrativos, de gestión y de telecomunicaciones ha marcado la necesidad de incluir a

los medios informáticos como elementos de carácter probatorio, toda vez que los mismos

pueden constituir fácilmente pruebas de manifestaciones de voluntad, consentimiento u

otros hechos de relevancia jurídica.

Uno de los grandes problemas con los que nos encontramos al tratar de incorporar estos

hechos al proceso, es el pensar que las pruebas informáticas son fácilmente creadas,

modificadas o destruidas y que por ello difícilmente podrían ser utilizadas en un proceso

judicial. La realidad es que dentro de la Criminalística o Investigación Científica Judicial, se

ha venido desarrollando una nueva disciplina denominada Informática Forense, la cual

tiene como objeto el estudio de la Evidencia Digital.

El término evidencia ha sido en principio adminiculado al de física dando como resultado el

concepto de ―Evidencia Física‖, lo cual parece ser contrastante con el término ―Evidencia

Digital‖, por cuanto, todo aquello relacionado con el término ―Digital‖ se ha asimilado al

término ―Virtual‖, es decir, como no real o casi real.

Es importante aclarar que los Datos o Evidencia Digital, casi siempre estarán almacenados

en un soporte real, como lo son los medios de almacenamiento magnéticos o magneto

ópticos u otros que se encuentran en fase de desarrollo, siendo todos estos de tipo físicos

por lo que este tipo de evidencia es igualmente física.




Es innegable y evidente, que la aparición de la informática marcó el comienzo de la

utilización de nuevos Modus Operandi para comisión de delitos convencionales. De igual

manera es innegable que los ataques contra la infraestructura computacional están

aumentando de frecuencia, en sofisticación y en escala. Esta amenaza cada vez mayor

requiere un acercamiento y colaboración con varias organizaciones públicas, privadas y

académicas, que tomen el papel de liderazgo y coordinación.

Derivado de estos hechos es que se ha generado la aparición de novedosas legislaciones

en los países anglosajones y de habla hispana, tipificando como delitos una gran cantidad

de hechos en los cuales intervienen directa o indirectamente los ordenadores o

computadoras.

Son diversas las variantes de los delitos convencionales que por analogía en la forma de su

comisión se han establecido doctrinariamente como delitos de tipo electrónico, como lo son

por ejemplo, el delito de intersección y espionaje de comunicaciones electrónicas,

asimilables a los delitos de intervenciones telefónicas y grabaciones ilícitas.

La analogía entre el correo convencional y el electrónico, ha dado lugar al establecimiento

de delitos de violación de correspondencia electrónica, así como el acceso indebido a

información contenida en sistemas informáticos.

La falsificación de documentos ya no es exclusiva de las falsificaciones materiales en

soportes de papel, sino que ya existen como delitos: la falsificación de registros y

documentos de tipo electrónico (como la falsificación de documentos públicos y privados).




La inclusión de los sistemas de comunicación electrónica, como el correo y transacciones a

través de Internet en el mundo del comercio han terminado de impulsar la necesidad

probatoria sobre los hechos que ocurren en este mundo informático.

Ahora bien, para decidir llevar este tipo de hechos por vía de pruebas al proceso judicial, es

necesario contar con una metodología clara, confiable y veraz, la cual se describe en el

presente proyecto de Tesis resultado de un exhaustivo trabajo de investigación.

Dicha metodología toma en cuenta algunas de las buenas prácticas para la realización de

un adecuado peritaje informático, proponiéndose la siguiente ―Metodología para el Análisis

Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal”, que tendría

un foco operacional en cuanto a las cuestiones fundamentales a las que se enfrenta un

perito en informática forense.

Teniendo claro que en una metodología se deben detallar, los procedimientos, técnicas,

actividades y demás estrategias metodológicas requeridas para la investigación. En esta

deberá indicarse el proceso a seguir en la recolección de la información, así como en la

organización, sistematización y análisis de los datos.

Entonces, la metodología propuesta en el proyecto de tesis será la base para planificar

todas las actividades que demande cualquier investigación forense informática y para

determinar los recursos humanos y financieros requeridos.




Si bien no es algo definitivo e infalible (dependiendo del caso se deberá adecuar el método

a emplear), si constituye un conjunto de normas elementales que ahorran esfuerzo y tiempo.

La misma, será una especie de brújula en la que no se produce automáticamente el saber,

pero que evitará que nos perdamos en el caos aparente del universo de la información que

se maneja hoy en día en los medios informáticos, así como no sucumbir en el embrujo de

nuestros prejuicios predilectos.




3.2 Presentación esquemática de la Metodología Propuesta.

Considerando lo anterior, la metodología propuesta (Figura 3.1), tiene como base, tener un

Enfoque Sistémico realizando primero el reconocimiento de la razón que tendría una

intervención pericial; es decir Fase I: Planteamiento del Problema; lo anterior, servirá

como entrada o acceso para poder hacer una Fase II: Identificación a detalle, por medio

de la evaluación de los recursos, alcance y objetivos necesarios para realizar la

investigación y así documentarse de todas las acciones y antecedentes que preceden la

investigación.

A partir de ahí, se estará en posibilidad de tener pleno conocimiento del tipo de evidencia

que se busca preservándola; para posteriormente proceder a realizar la Fase III:

Adquisición de la evidencia, para la obtención de la misma sin alterarla o dañarla; así

mismo, el perito en informática forense deberá autenticar que la información de la evidencia

obtenida sea igual a la original, De esta manera se podrá realizar la Fase IV: Análisis de

Datos e identificar como interactúa la información adquirida del material motivo de estudio o

equipo cuestionado.

Para que, finalmente, se esté en condiciones de poder obtener la Fase V: Presentación de

Resultados Obtenidos.

Entonces, ahora se presenta en un esquema general la Metodología propuesta:




Figura 3.1 Representación Esquemática de la Metodología Propuesta

[Fuente Propia].

Ahora se muestra la misma metodología en una estructura tipo secuencial:

Figura 3.2 Presentación Secuencial de la Metodología Propuesta

[Fuente propia].

FASE I

Planteamiento

del problema.

FASE II Identificación detallada del

material objeto de estudio.

FASE III

Adquisición de

evidencia.

FASE IV

Análisis de

datos.

FASE V

Presentación

de resultados

obtenidos.




Entonces la figura 3.2, muestra la secuencia de la metodología propuesta en el presente

trabajo, cuyo orden de precedencia debe ser rigurosamente respetado, en cuanto a las

fases.

De esta manera el proceso de investigación logra posicionalidad, consistencia, precisión y

objetividad en la búsqueda de la potencial Evidencia Digital.

A continuación, se presenta una descripción detallada de las fases de la Metodología

Propuesta:




Figura 3.3 Presentación detallada de la Metodología Propuesta

[Fuente propia].

Ahora, a continuación se presentan las fases, en forma general, de la Metodología Propuesta:

Fase I

Planteamiento del

Problema

Actividad 1.1 Definir adecuadamente el planteamiento del problema.

Actividad 1.2 Evaluar la

disponibilidad de los

recursos con los que se

cuenta.

Fase II

Identificación

Detallada del Material

Objeto de Estudio.

Actividad 2.1

Aseguramiento del

material objeto de estudio

y consideraciones

generales.

Actividad 2.2 Evaluación del caso.

Fase III

Adquisición de

Evidencia.

Actividad 3.1

Consideraciones

previas.

Actividad 3.2 Elaboración de la guía para la obtención de los datos volátiles.

Actividad 3.3 Elaboración de la guía para la obtención de los datos no volátiles.

Actividad 3.4 Plan de la investigación para la obtención de datos.

Actividad 3.5 Procedimiento para la adquisición de la imagen.

Fase IV

Análisis de Datos.

Actividad 4.1 Preparación, para realizar el análisis correspondiente al caso de estudio.

Actividad 4.2 Extracción de evidencia.

Actividad 4.3 Extracción lógica de evidencia.

Actividad 4.4 Análisis de los datos extraídos.

Actividad 4.5 Análisis de tiempo de los eventos.

Actividad 4.6 Análisis de datos ocultos.

Actividad 4.7 Análisis de aplicaciones y archivos.

Actividad 4.8 Análisis de datos de la Red.

Fase V

Presentación de

Resultados Obtenidos.

Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la presente Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el documento final.

Actividad 5.2 Analizar y considerar todas las Subactividades, que conforman la presente actividad, con el fin de elaborar el documento final.




FASE I

FASE II

FASE III

FASE IV

FASE V

FASE I

FASE II

FASE III

FASE IV

FASE V

3.2.1 Fase I. Planteamiento del Problema.

En esta Fase, se le presenta al forense informático de una manera clara y precisa el objeto

de la investigación, es decir el fin que tendrá su intervención.

Para cumplir con dicho fin objetivo se sugieren llevar a cabo las siguientes actividades:


Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.

3.2.2 Fase II. Identificación detallada del material objeto de estudio.

Para realizar cualquier análisis forense informático, es necesario conocer previamente el

material objeto de estudio, los datos, dónde están localizados y cómo están almacenados.

Al ser un universo tan heterogéneo el de los sistemas de información donde se pueden

encontrar evidencias digitales, se hace necesaria una clasificación para poder organizar las

mismas.

Para tal, fin se requiere llevar a cabo las siguientes actividades:

Actividad 2.1 Aseguramiento del material objeto de estudio y consideraciones generales.

Actividad 2.2 Evaluación del caso.




FASE I

FASE II

FASE III

FASE IV

FASE V

3.2.3 Fase III. Adquisición de evidencia.

Esta es, la fase más importante y crítica de la aplicación de la metodología, puesto que

una vez que se halla comprobado el delito informático el denunciante, la empresa o

institución dañada normalmente deseará llevar a un proceso judicial al atacante. Para ello

es necesario poseer evidencias digitales adquiridas y preservadas de tal forma que no haya

duda alguna de su verosimilitud y siempre de acuerdo a las leyes vigentes.

En general, la evidencia deberá poseer las siguientes características para ser considerada

como tal, de acuerdo a los criterios que requiere la autoridad competente actualmente:

Adminisible.

Autentica.

Completa.

Confiable.

Creíble.

Este proceso de adquisición y preservación se debe realizar tan pronto como sea posible.

Siempre que sea posible hay que evitar los cambios en las evidencias y si no se logra,

registrarlo, documentarlo y justificarlo, siempre que sea posible con la autoridad competente

y/o testigos que puedan corroborar las acciones.

Para tal fin, se requiere llevar a cabo las siguientes actividades:

Actividad 3.1 Consideraciones previas.

Actividad 3.2 Elaboración de la guía para la obtención de los datos volátiles.

Actividad 3.3 Elaboración de la guía para la obtención de los datos no volátiles.

Actividad 3.4 Plan de la investigación para la obtención de datos.

Actividad 3.5 Procedimiento para la adquisición de la imagen.




FASE I

FASE II

FASE III

FASE IV

FASE V

3.2.4 Fase IV. Análisis de Datos.

El concepto de evidencia digital se forma (normalmente) por el contenido de los archivos

(datos) y la información sobre los archivos (metadatos).

La evidencia almacenada debe ser analizada para extraer la información relevante

(relacionada con la investigación) y recrear la cadena de eventos sucedidos. El análisis

requiere un conocimiento profundo de lo que se está buscando y como obtenerlo. Hay que

asegurarse que la persona que analiza la evidencia está totalmente cualificada para ello.

Analizar las evidencias digitales va a depender del tipo de datos a analizar, del tipo de

sistema en el cual se clasifique el dispositivo comprometido (ordenadores, dispositivos

móviles, etc.). Además, en función del tipo de delito (fraude, pornografía infantil, drogas,

etc.) se deberán analizar unos tipos de evidencias y en un determinado orden (el orden

permitirá al investigador forense llegar lo antes posible y de la forma más precisa a las

evidencias digitales para llegar a resolver el delito informático).

Para tal fin, se requiere llevar a cabo las siguientes actividades:

Actividad 4.1 Preparación, para realizar el análisis correspondiente al caso de estudio.

Actividad 4.2 Extracción de evidencia.

Actividad 4.3 Extracción lógica de evidencia.

Actividad 4.4 Análisis de los datos extraídos.

Actividad 4.5 Análisis de tiempo de los eventos.

Actividad 4.6 Análisis de datos ocultos.

Actividad 4.7 Análisis de aplicaciones y archivos.

Actividad 4.8 Análisis de datos de la Red.




FASE I

FASE II

FASE III

FASE IV

FASE V

3.2.5 Fase V. Presentación de Resultados Obtenidos.

Basándose en las fases anteriores, en toda la documentación disponible del caso y

apoyándose también en la cadena de custodia (conjunto de pasos o procedimientos

seguidos para preservar la prueba digital que permita convertirla y usarla como evidencia

digital en un proceso judicial), la presentación y/o sustentación del Dictamen Pericial es la

fase de comunicar el significado de la evidencia digital, los hechos, sus conclusiones y

justificar el procedimiento empleado.

El propósito de la presentación del Dictamen Pericial en Informática Forense es

proporcionar al lector toda la Información relevante de las evidencias de forma clara,

concisa, estructurada y sin ambigüedad para hacer la tarea de asimilación de la información

tan fácil como sea posible.

La forma de presentación es muy importante y debe ser entendible por personas no

conocedoras del tema en discusión.

Es decisivo que el perito en Informática Forense presente las evidencias en un formato

sencillo de entender, acompañado de explicaciones que eviten la jerga y la terminología

técnica.

Durante un juicio la investigación debe presentar evidencias informáticas de una manera

lógica, precisa y persuasiva de forma que el juez entenderá y que el abogado de la parte

opuesta no podrá contradecir.




Esto requiere que las acciones del perito en Informática Forense puedan ser reconstruidas

paso a paso con fechas, horas, cuadros y gráficos (el uso de programas como Excel, Word,

PowerPoint, etc.; puede ser de gran ayuda en este punto).

Si el abogado del sospechoso (o contraparte) es capaz de levantar dudas sobre la

integridad de la prueba o si es capaz de demostrar que el investigador realizó algún

procedimiento no sustentable, todo el Dictamen Pericial puede ser rechazado.

Es importante, más allá de lo que esté escrito en el Dictamen Pericial, que el forense

informático sustente correctamente ante el juez cada tarea realizada en su investigación.

Para tal fin se requiere llevar a cabo las siguientes actividades:

Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la presente

Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el documento

final.

Actividad 5.2 Analizar y considerar todas las Subactividades, que conforman la presente

actividad, con el fin de elaborar el documento final.

Ahora se describe en profundidad cada una de las fases, en cada una de las cuales se

intentará ser lo más genérico posible para poder abarcar el mayor número de tipos de

evidencias posibles (debido a que existen sistemas, software y hardware muy

heterogéneos).




Se da por hecho que el receptor de esta metodología sabrá que, dependiendo del tipo de

delito informático, de los sistemas, de los componentes hardware y software involucrados en

el mismo, podrá aplicar o no las distintas actividades que compongan cada Fase.

Para terminar esta introducción a la metodología vale la pena comentar que siempre que

sea posible los pasos deben ser dados con testigos o notarios ó en presencia de la

autoridad competente con el fin de poder corroborar lo realizado por el experto forense.

Una vez presentada la metodología propuesta, en forma general, a continuación se muestra

en forma detallada:




3.3 Descripción detallada de las Fases de la Metodología Propuesta.

3.3.1 Fase I. Planteamiento del Problema.

3.3.1.0 Introducción.

En esta etapa se lleva a cabo la delimitación clara y precisa del objeto de la investigación.

La función del planteamiento del problema consiste entonces en revelarle al perito en

Informática Forense si su proyecto de investigación es viable, dentro de sus tiempos y

recursos disponibles. Por ejemplo, si se le solicita al forense informático que imprima todos

los archivos contenidos en un disco duro con capacidad de un Terabyte, tal Planteamiento

de Problema demandará una cantidad de recursos inconmensurables por lo que se tendrá

que hacer un replanteamiento del problema y acotar para que el análisis sea viable.

Plantear el problema es más bien afinar y estructurar la idea de investigación [Hernández,

1998]. El mismo debe ser verbalizado en forma clara y precisa, de manera que se pueda

investigar con procedimientos científicos, cuando sea posible orientar a la autoridad

competente en como plantear sus cuestionamientos ya que en muchas ocasiones estos

pueden llegar a no ser del todo claros.

De donde el Planteamiento del Problema es una fase que se caracteriza por ser descriptiva,

analítica y objetiva.

Entonces, hay que puntualizar que el perito en Informática Forense deberá ser un experto

en su materia y no tendría por que conocer y/o intervenir en otras áreas del conocimiento

científico (acústica, antropología, medicina, etc.), por lo que se tendrá que tener

precauciones al momento de realizar el Planteamiento del Problema, esto porque al emitir

un dictamen este tendrá que ser ratificado, protestado de decir verdad y defendido ante un

juzgado, en el que se podría tener a un perito (de la contraparte) en una de estas áreas

científicas invadidas por descuido o por desconocimiento de las penas en las que se podría

incurrir por realizar alguna aseveración sin ser especialista en otra área ajena a la nuestra.

FASE I

FASE II

FASE III

FASE IV

FASE V




En este punto bien cabe citar un ejemplo, al perito en informática forense se le solicita emitir

un dictamen pericial sobre pornografía infantil, si bien por sentido común se tiene la idea de

¿que se tendrá que buscar?, lo idóneo será realizar un replanteamiento del problema

estableciendo un criterio de búsqueda de archivos de imágenes y/o video conteniendo

imágenes al parecer de menores de edad con desnudos de parcial a total, teniendo

relaciones sexuales y/o en escenas de sexo explicito.

De esta manera se evitarán futuros problemas legales ya que a un perito en Informática

Forense no le compete determinar si se trata de pornografía infantil ó si es menor de edad,

en su caso sería un abogado el que podría tipificar el delito o un doctor o un antropólogo el

que determinaría si las personas que aparecen en los archivos de imagen y/o video

corresponden a menores de edad.

Otro ejemplo, para denotar la importancia del planteamiento del problema es el siguiente: en

el caso de un fraude consumado por un cajero de un banco, se le podría estar solicitando al

perito en informática forense que: ―Determine si la persona que responde al nombre de X,

con cargo de cajero en tal sucursal bancaria fue la que realizo tales traslados de dinero de

una cuenta a otra‖; un perito en informática no podría asegurar con certeza que fue tal

persona, pero si podría obtener una bitácora de registros ó movimientos de la cuenta

cuestionada (también se le conoce en el medio como ―log‖) y los números de empleados

bancarios que realizaron tales movimientos.

Ahora, a continuación, se describen las actividades de esta fase con mayor detallé:

3.3.1.1 Actividad 1.1 Definir adecuadamente el planteamiento del problema.

El objetivo de esta actividad es que: el perito en Informática Forense se valdrá de su calidad

de experto en la materia para definir de una manera clara y precisa el motivo de su

intervención, orientando a la autoridad competente sobre cómo debe plantear su

cuestionamiento, así como haciéndole saber su competencia y limites. Para ello se tendrá

que hacer lo siguiente:

Identificar de forma general el tipo de intervención a efectuar.




Razonar la información de interés (evidencia) por parte de la autoridad competente y

determinar si es competencia de la especialidad de informática ó no. Por ejemplo, se

le solicita al forense informático analicé un CPU, (relacionado con la falsificación de

documentos oficiales) a efecto de sustraer todos los documentos públicos y privados

que se encuentran almacenados en su disco duro y determinar si son falsos.

En este caso, al forense informático si le corresponde realizar la sustracción de todos

los formatos con tales características especificadas pero no así el de determinar si

son auténticos ó falsos, más bien esto sería tarea de la especialidad de

documentoscopía y/o grafoscopía.

3.3.1.2 Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.

Es a partir de esta fase que el perito en Informática Forense: evaluará la disponibilidad de

los recursos con los que cuenta y los que le serán necesarios, sean estos tangibles o

intangibles como el tiempo, esto es, a partir de esta etapa se estará en posibilidades de

realizar un requerimiento pericial; es decir si lo que se solícita es viable o es demasiado

subjetivo, por ejemplo si lo que se solicita es ―determinar el deterioro de un software‖, se le

podrá solicitar que sea más objetivo el motivo de estudio o cuestionamiento.

Entonces, algunos de los recursos a evaluar dentro de esta actividad serán los siguientes:

Temporales, recordar que el factor tiempo en cualquier intervención pericial dentro de

un proceso legal es de suma importancia.

Humanos, toda vez que habrá ocasiones en las que se requiera la intervención de

más de un especialista trabajando en el caso objeto de estudio.




Materiales, este punto hace referencia al Hardware que necesite el especialista

forense informático, que por lo general siempre será diferente y acorde al caso bajo

estudio.

Organizacionales, este recurso cobra relevancia en intervenciones, en donde se

requiera un alto nivel organizacional, por ejemplo cuando es necesario realizar varias

visitas, a una determinada empresa en un horario definido, con el fin de realizar un

análisis a determinados equipos, que por necesidades de la empresa no puedan salir

de la misma ni ser apagados.

Ahora, se presenta la Fase II, de la presente metodología, la cual tiene como fin principal, el

llevar a cabo la identificación del material objeto de estudio, el conocer los datos, donde

están localizados y cómo están almacenados:




3.3.2 Fase II. Identificación detallada del material objeto de estudio.

3.3.2.0 Introducción. En esta fase, se realiza la identificación de la evidencia, determinando entre otras cosas el

tipo de información que está disponible, así mismo se determina como puede llevarse de

forma segura y finalmente determina que forma parte de la evidencia.

Entre las diligencias urgentes, ocupa el primer plano la realización de la inspección ocular a

cargo de la autoridad competente u órgano investigador, para estar en condiciones de

documentar, todo cuanto le corresponde, disponiendo como primera medida que no haya

alteración alguna de todo cuanto se relaciona con el objeto del acto ilícito y el estado del

lugar donde se cometió.

Una vez que la autoridad competente ha adoptado todas las medidas adecuadas para que

no se altere nada relacionado con el objeto del crimen y el estado del lugar donde se

cometió, debe arbitrar los medios para facilitar la inmediata intervención del equipo de sus

auxiliares directos (peritos, policía judicial, policía preventiva, servicio médico forense etc.),

para que sean ellos los primeros en visitar la escena del delito en procurar de los indicios

que les suministraron "los testigos mudos", tendientes a constatar que realmente se ha

cometido un hecho considerado delictuoso por la legislación penal vigente y todo aquello

que conduzca a la positiva identificación de su autor o autores.

Ese equipo de auxiliares del órgano investigador no actúa en forma indiscriminada, sino

siguiendo un ordenamiento, que permita su actuación ponderable y eficaz para alcanzar el

mejor de los resultados.

A continuación, se hace referencia al orden de expertos que intervendrán bajo un hipotético

casó (posterior a su denuncia), en que esté involucrado un medio informático.

El orden será el siguiente:

FASE I

FASE II

FASE III

FASE IV

FASE V




Perito Fotógrafo: Para documentar fidedignamente todo cuanto se relaciona con el lugar de

los hechos y sus adyacencias, antes de que se toque o remueva nada; porque de lo

contrario, difícilmente se podrán de acuerdo el personal interviniente para determinar que

lugar ocupa cada cosa removida antes de su documentación fotográfica total o en detalle.

Perito Criminalista: Dentro de sus funciones está la de intervenir para tomar por si y verificar

todas las medidas que le permitan confeccionar con exactitud y fidelidad los diversos

croquis que, completándose con la fotografía, brindaran a la autoridad competente y a las

partes, todo cuanto sea de utilidad para alcanzar la verdad en el proceso penal.

Perito en Dactiloscopia: para examinar todos los objetos o lugares idóneos para captar y

preservar las impresiones dactilares producidas por las crestas papilares que se localizan

en los pulpejos de los dedos de las manos, con el fin de identificar científicamente a una

persona. Es conveniente enfatizar que estas impresiones dactilares fueron posiblemente

dejadas por el delincuente y que conducirán a establecer su identidad por medios directos.

Posterior a estas intervenciones entraría en escena el perito en Informática forense, si el

caso involucra computadoras. En el caso de la realización de tomas fotográficas este podrá

solicitar todas las que el crea conveniente.

Satisfechas las tareas preliminares el perito en Informática Forense procederá a identificar

los elementos que necesita para su caso (elementos de estudio).

Recordar, que sin pruebas realmente lo que se tiene no es más que una opinión. Cada caso

es diferente, así que es probable que se necesiten diferentes tipos de pruebas para cada

caso. Saber la clase de evidencia que se necesita es una parte integral de una exitosa

investigación (cartera de clientes, datos que se almacenan en una banda magnética de una

tarjeta plástica o bancaria, etc.). Una premisa esencial es tomar todo lo necesario.

Desafortunadamente, existen cuestiones legales y logísticas relacionadas con este enfoque.

El perito en Informática Forense, debe ser muy cauteloso en el ejercicio de sus funciones,

por cuanto la extralimitación en el encargo pericial puede traducirse fácilmente en un delito

electrónico.




Apegarse estrictamente a la cadena de custodia, directrices así como etiquetar todo tal y

como sea removido, conexiones etc.

Figura 3.4 Imagen en la que se ilustra la posible variedad en cuanto, al material a analizar.

La Figura anterior, muestra a manera de ilustración la variedad en cuanto a soportes para

almacenar información.

Ahora, en la Figura 3.5, se ilustra con un posible ejemplo cómo se identifica al material

objeto de estudio:




Figura 3.5 Ejemplo en el que se presenta, la forma en que se identifica un posible material objeto de estudio, el cual se describirá a detalle en el respectivo Dictamen Pericial y/o Documento Final. Los hechos que rodean el objetivo de la investigación determinarán el método a utilizar, las

cuales se podrán justificar dentro del Dictamen pericial y/o informe en un apartado de

―Consideraciones Técnicas‖.

Cuando se accede al lugar de los hechos o donde presuntamente se haya cometido algún

delito, se deberá mirar todo cuidadosamente, partiendo del hecho de que ya, se hallan fijado

los elementos de interés así como del visto bueno de la autoridad competente, solo así y

haciendo uso de guantes de látex (para preservar toda impresión dactilar, que no se halla

tomado), se estará en condiciones para tomar algún objeto, con el fin de recabar algún dato

relevante tal como: el número de serie del equipo de computo, modelo etc.




Considerar que el lugar de los hechos se clasifican en tres tipos; de acuerdo con sus

condiciones y características pueden ser: lugares cerrados, lugares abiertos y mixtos.

Siempre documentar el lugar de los hechos con tomas fotográficas, a este proceso se le

llama fijación (Figura 3.7). No debe olvidarse que las buenas intenciones no sustituyen a la

experiencia y al adiestramiento.

La fotografía adecuada en este tipo de trabajo requiere la intervención de un experto

provisto de un equipo adecuado. Es preferible esperar una o varias horas y lograr su

cooperación a confiar en un aficionado.

El registró y documentación fotográfica de una escena del delito y sus adyacencias, debe

hacerse cubriendo las mismas etapas señaladas al hablar de los procedimientos escritos.

Tal operación debe llevarse a cabo desde afuera hacia adentro y en sentido de las agujas

del reloj, en forma piramidal, tratando de documentar todas las etapas cubiertas por el

delincuente.

Realizar dibujos, croquis o bocetos de conexiones, y escritos haciendo descripciones de lo

que se vea (por ejemplo si un equipo se encuentra en tal recámara o área de estudio,

apagado o encendido si es esto último que programas se están ejecutando o cuales

archivos fueron los más recientes etc.), de igual manera se tendrá que tener en cuenta

alguna nota al lado del teclado o cercano al equipo de computo donde posiblemente exista

información relacionada con la investigación ó contraseñas.




Figura 3.6 Imagen en la que se presenta a manera de ilustración, un posible lugar de los hechos.

Las notas que se tomaron y fotografías (de preferencia con una cámara réflex o si es digital

del archivo o archivos se deberán obtener su ―hash‖ (En informática, Hash se refiere a una

función o método para generar claves o llaves que representen de manera casi unívoca a

un documento, registro, archivo, etc.)) o dibujos, juntos forman la primera encuesta sobre el

sitio. Conforme avance la investigación esta información recabada nos dará más pistas

sobre donde poder buscar más evidencias, por ejemplo el mouse se encontró en posición

para zurdos, hora en el sistema bajo estudio, hora en la que se efectúo la diligencia etc.










Figura 3.7 Imagen con la que se ilustra una posible manera de etiquetar las conexiones de

un equipo de cómputo a analizar.

De lo expuesto con antelación se puede colegir que la presente fase permite tener un

panorama general del caso a investigar; por lo que se deben de realizar las acciones que a

continuación reafirmo, presentándolas de forma desglosada y sistematizada para una mejor

apreciación:




3.3.2.1 Actividad 2.1 Aseguramiento del material motivo de estudio y consideraciones

generales.

La presente actividad se refiere a que todo material que sea considerado como evidencia y

por ende para un posible análisis deberá resguardarse adecuadamente bajo las mas

estrictas medidas de seguridad.

3.3.2.1.1 SubActividad 2.1.1 Establecer el perímetro de protección del equipo o equipos

afectados.

El objetivo principal de esta actividad es evitar que la evidencia original sea alterada por las

personas que intervienen en el lugar de los hechos o bien ajenas a esta.

Figura 3.8 Se debe restringir el acceso al lugar de los hechos.




3.3.2.1.2 SubActividad 2.1.2 Tener la capacidad para poder determinar lo que ha sucedido

y reconstruir los hechos.

Para tal fin es imprescindible estudiar el lugar del hecho así como la recolección de todos

los indicios, lo cual es materialmente imposible cuando el sitio del suceso no ha sido

protegido y conservado adecuadamente, por lo que se deberá restringir el acceso al lugar

de los hechos, tanto de personas, como de acceso a otros equipos con el mismo fin que el

anterior.

3.3.2.1.3 SubActividad 2.1.3 Preservar toda impresión dactilar abandonada ó ubicada

(huella dactilar latente).

Lo cual será útil para facilitar la identificación del supuesto sospechoso o sospechosos.

Razón por la cual es recomendable el uso de guantes de látex, con el fin de evitar

contaminar los equipos o dispositivos a ser investigados.

3.3.2.1.4 SubActividad 2.1.4 Emplear brazaletes antiestáticos.

Esto con el fin de evitar alterar la evidencia por cargas electrostáticas de aquellas personas

que manipulen los equipos o dispositivos. Así mismo será conveniente el contar con bolsas

antiestáticas para un adecuado y seguro embalaje de la evidencia.

3.3.2.1.5 SubActividad 2.1.5 Determinar la ocurrencia de cualquier incidente y de su

impacto.

Esto con el fin de proveerle a la autoridad competente de una idea general de lo acontecido

y tratar de determinar el tipo de incidente suscitado de acuerdo a la experiencia del

investigador en informática forense, de esta manera el titular de la investigación podrá

determinar el giro que tome la misma.




3.3.2.1.6 SubActividad 2.1.6 Considerar todos los componentes que pueden estar

relacionados de alguna forma con la computadora y/o elemento cuestionado.

Se deben considerar todos los elementos relacionados con la especialidad (en el caso

particular Informática), y que forman parte de la cadena de eventos que conducen al hecho

denunciado, ya que con la conjunción de todo el equipo involucrado, se incrementa el área

para realizar la investigación (mayor información aportada al titular de la investigación) y

proporcionar más evidencias durante el caso a investigar.

3.3.2.1.7 SubActividad 2.1.7 Conocer las debilidades, fortalezas y otros conocimientos

relacionados a las fuentes, incluyendo factores humanos y electrónicos.

Con la aplicación de esta actividad se estará en posibilidad de identificar el área probable

donde se pudo haber presentado el incidente y dar una respuesta acertada a lo ocurrido. De

igual modo se le dará una idea al titular de la investigación del tiempo que requiere el

análisis que está solicitando.

3.3.2.1.8 SubActividad 2.1.8 Estar consciente de las limitaciones de sus capacidades

científicas, técnicas o temporales ante el caso expuesto.

De esta forma se podrá evitar que la evidencia se altere por el mal manejo de está (por

ejemplo si no se cuenta con material adecuado para respaldar la información), así como el

de obtener resultados poco confiables o no tenerlos en tiempo y forma, considerando que

muchas veces se contará con sospechosos detenidos relacionados con los hechos que se

investigan.

3.3.2.1.9 SubActividad 2.1.9 Realizar una evaluación de los recursos (en el ámbito de la

información y acceso a la misma, por ejemplo la determinación del origen de un correo

electrónico estará supeditado a la información proporcionada por el proveedor de servicios

de Internet), alcance y objetivos necesarios para realizar la investigación.




Al desarrollar esta actividad se podrá determinar, si se estará en posibilidades de poder

desahogar, todos y cada uno de los puntos requeridos por la autoridad competente.

3.3.2.1.10 SubActividad 2.1.10 Contar con un laboratorio de informática forense que

permita realizar el proceso de obtención y análisis.

Esto con la intención de dar un alto valor a la evidencia digital entregada en lo que se refiere

a su manejo y custodia, es recomendable tener un área de acceso restringido con caja

fuerte para el resguardo del material motivo de estudio. Debe considerarse, además, que la

información digital es sensible a la temperatura, y en algunos casos a los campos

electromagnéticos.

3.3.2.1.11 SubActividad 2.1.11 Obtener por escrito la autorización para iniciar la

intervención pericial en Informática Forense, (sea ésta por parte de la autoridad competente

o del dueño del equipo cuestionado, Investigación de equipos). Teniéndose presente, el

principio de secrecía dentro de toda la investigación.

3.3.2.1.12 SubActividad 2.1.12 Documentar todas las acciones y antecedentes que

preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el

incidente y su respuesta al incidente.

Esto determinará el curso de acción a seguir en la Investigación. Se deberá anotar la fecha,

la hora exacta en que se recibió la llamada solicitando la intervención pericial en informática,

medio por el cual se recibió la llamada. Al llegar al lugar de los hechos se deberá anotar: la

hora exacta de llegada, la dirección correcta, nombre de la autoridad que encabeza la

investigación y la persona que le pone a la vista el equipo cuestionado.




3.3.2.1.13 SubActividad 2.1.13 Organizar y definir el equipo de Investigación.

Establecer límites, funciones y responsabilidades (por ejemplo en el caso de cuentas de

correo electrónico, contar con un oficio emitido por la autoridad competente en la que se

autorice la intervención a las comunicaciones privadas, especificando periodos de tiempo

para la abertura de mensajes de correo electrónico), en algunos casos será indispensable

que de fe la autoridad competente (esto es que la autoridad se encuentre presente y que tal

acción obre en el expediente), para validar el análisis efectuado.

3.3.2.1.14 SubActividad 2.1.14 Realizar una Investigación preliminar.

Esta misma que se podrá incluir en el Dictamen en Informática en un apartado como

Antecedentes (documentar) que le permita describir la situación actual, si se realizo un

traslado a un lugar, que persona lo atendió, quien le puso a la vista el equipo, hechos, las

partes afectadas, posibles causantes, gravedad y criticidad de la situación, infraestructura

afectada, para lograr una compresión total de la situación actual del incidente y definir un

curso de acción acorde a la situación.

3.3.2.1.15 SubActividad 2.1.15 Identificar el Impacto y la sensibilidad de la información (de

clientes, financieros, comerciales, de Investigación y desarrollo, etc.)

3.3.2.1.16 SubActividad 2.1.16 Analizar el Impacto de los negocios a través de la

investigación del Incidente.

Esto cobra relevancia en los casos en donde el incidente afecta a empresas las cuales

sufren de tiempos de inactividad ó sufren la perdida de información confidencial. De igual

manera resulta importante el determinar el posible costo de un equipo afectado o dañado,

así como las perdidas en ingresos y/o costos de recuperación.

http://www.dragonjar.org/tag/informacion




3.3.2.1.17 SubActividad 2.1.17 Identificar la topología de red y tipología de red, equipos

afectados (servidores, estaciones de trabajo, Sistemas Operativos, Router, Switches, etc.).

3.3.2.1.18 SubActividad 2.1.18 Identificar los dispositivos de almacenamiento o elementos

informáticos.

Tales dispositivos de almacenamiento pueden ser: Discos Duros, Pen drive, memorias,

tarjetas ―Flash‖, ―Zip Disk‖, Discos Ópticos CDs y DVDs, ―Disquettes‖, etc., que se

consideren comprometidos o cuestionados y sean determinados como evidencia, su marca,

modelo, características, seriales, etc.; así como fijarlos fotográficamente.

3.3.2.1.19 SubActividad 2.1.19 Ejecutar adecuadamente los procedimiento sobre sistemas

vivos (análisis en vivo), para no perder la continuidad en producción de los equipos y su uso

en las instalaciones, evitando la perdida de los datos volátiles.

Es decir, se procederá de acuerdo al criterio del forense informático acorde a las

circunstancias, por ejemplo cuando se trabaje en una Terminal bancaria en donde no se

pueden interrumpir los procesos que se encuentren ejecutándose.

3.3.2.1.20 SubActividad 2.1.20 Identificar los posibles implicados o funcionarios que tengan

relación con la investigación ó que pudieran aportar mayor información.

En este punto bien cabe la posibilidad de efectuar entrevistas, ya sea con usuarios o

administradores responsables de los sistemas (administradores de red o de servidores de

correo), documentar todo y tratar de lograr un conocimiento total de la situación.

http://www.dragonjar.org/category/entrevistas

http://www.dragonjar.org/tag/administradores




3.3.2.1.21 SubActividad 2.1.21 Realizar una recuperación de los ―logs‖ de los equipos de

comunicación y dispositivos de red, involucrados en la topología de la red.

3.3.2.1.22 SubActividad 2.1.22 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quién

es el primero que tiene la evidencia?

3.3.2.1.23 SubActividad 2.1.23 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quien

examino la evidencia? (Si anterior a nuestra intervención, intervino alguien mas, por ejemplo

la policía cibernética).

3.3.2.1.24 SubActividad 2.1.24 Responder a las preguntas: ¿Quién va a tener custodia de

la evidencia? y ¿Por cuánto tiempo la tendrá?

Documentar a detalle tal acción.

3.3.2.1.25 SubActividad 2.1.25 Responder a las preguntas: ¿Quién? y ¿Cómo se embaló

y/o almacenó la evidencia?

Documentar de manera detallada.

3.3.2.1.26 SubActividad 2.1.26 Responder a las preguntas: ¿Cuándo se realiza el cambio

de custodia? y ¿Cómo se realiza la transferencia?

Documentar turno, personal y área jurisdiccional (por ejemplo Delegación).




3.3.2.2 Actividad 2.2 Efectuar la evaluación del caso.

Aquí el perito en Informática forense valúa la información por su valor como evidencia.

3.3.2.2.1 SubActividad 2.2.1 Situar el status del caso que el perito en Informática Forense

investigará.

Aquí se determina qué sentido tomará la investigación, definiéndose si es simplemente la

violación de una política, normas, lineamientos o bien se trate de un delito.

3.3.2.2.2. SubActividad 2.2.2 Conocer detalles sobre el caso.

El investigador forense antes de llegar a la escena del delito donde se presento el incidente,

debe conocer la mayor cantidad de detalles, tanto del área, equipos, personal, sistemas

operativos que se manejan (plataforma), dispositivos, etc., para saber ante que se

encontrará y acudir con la herramienta y software necesario para la investigación.

3.3.2.2.3 SubActividad 2.2.3 Definir el tipo de evidencia a manejar.

Se refiere al tipo de dispositivo o equipo a investigar, por ejemplo: CD, DVD, disco duro,

USB, computadoras, por ejemplo hacer la diferencia entre un chip y una micro memoria

para equipo fotográfico, etc. Elementos que podrían estar relacionados de alguna forma con

los hechos a investigar.

3.3.2.2.4 SubActividad 2.2.4 Evaluar de manera inicial respecto al caso.

Ésto se refiere a que los forenses informáticos, deben hacer preguntas a las personas

relacionadas con el caso, a los administradores de red y a los encargados de seguridad

para posteriormente documentar las respuestas obtenidas y relacionarlas o vincularlas con

el incidente. Por ejemplo si para la realización de una acción determinada basta con una

cuenta de usuario o se tienen otros candados u otras cuentas para autorizar tal acción.




3.3.2.2.5 SubActividad 2.2.5 Rastrear fuentes de información en la estructura

organizacional.

• Perfiles de usuario.

• Investigación en progreso de un determinado lugar o un análisis nuevo.

Se deben de verificar las políticas de uso de equipos o dispositivos de cómputo así como

manuales operativos, para determinar los perfiles de usuarios y verificar que pueden o no

hacer, así como también, ver quiénes pueden acceder al sistema de manera remota, y con

esto delimitar el área de investigación o determinar otra área para llevarla a cabo. Lo

anterior, se ve claramente en los casos de fraude por desvió de fondos relacionados con

sucursales bancarias en donde para realizar tales movimientos financieros (traslados de

dinero de una cuenta a otra ilícitamente por un empleado del banco) en las cuentas de los

clientes es indispensable que más de una cuenta autorizada para dicho fin intervenga es

decir que para realizar tal acción y por citar un ejemplo se requerirá la cuenta de un cajero

un supervisor, un subgerente y si el monto lo amerita hasta del gerente.

3.3.2.2.6 SubActividad 2.2.6 Ubicar, ¿Cuáles son las fuentes de información?

•Localización lógica o física de la evidencia. El perito en Informática Forense puede hacer

uso de alguna herramienta grafica, ejemplo: un administrador de archivos (previa utilización

de un bloqueador de escritura, para no alterar los metadatos de los archivos), un

visualizador de archivos, etc. usados normalmente en una computadora, un análisis físico

desde el punto de vista forense es puramente físico, en este no se considera el sistema de

archivos per se.

Se debe de determinar donde se ubica la evidencia que se está buscando, por ejemplo si

fue cometido el delito por la extracción de información al acceder de manera indebida un

dispositivo de almacenamiento masivo y extraer información confidencial.




En este punto bien cabe señalar que el perito en Informática Forense cuenta con una amplia

variedad de software del tipo ―Open Source‖ (gratis); esto gracias a que la comunidad de

Internet ha ido desarrollando gran cantidad de herramientas, que pueden equipararse (si no

por separado, si de forma conjunta) a las herramientas comerciales, con unos costes por

licencia al alcance de muy pocos, algunos programas establecidos por el tipo de licencia

GPL (―General Public License‖) son:

The Coroner‘s Toolkit.

The Sleuth Kit / Autopsy.

Foundstone Forensic Toolkit.

FLAG – Forensic and Log Analysis GUI.

Foremost.

Para ver la imagen desde la perspectiva del sistema de archivos se requiere del uso de un

editor hexadecimal y similares herramientas.

Por ejemplo, para ver y analizar la firma de una aplicación computacional se hará uso de un

procedimiento automatizado para la identificación de las posibles evidencias. Una firma de

archivo es un encabezado o un pie de página (o ambos) en un archivo que indica la

aplicación asociada con un archivo típico, es decir, el "tipo" de archivo.

Lo anterior, se muestra haciendo uso de un editor hexadecimal (WinHex) con el fin de hacer

un análisis de la firma de las siguientes aplicaciones, en este caso un documento de Word,

un archivo grafico JPG y un archivo de Adobe Acrobat.

Las firmas (en hexadecimal) son:

25h 50h 44h 46h, para Adobe Acrobat Reader files (PDF).

FFh D8h FFh, para JPEG archivo de formato gráfico; y

D0h CFh 11h E0h A1h B1h 1Ah E1h, para archivos de Microsoft Office.




Figura 3.9 Imagen en la que se ilustra la firma de archivos de acuerdo a su aplicación que lo

generó, para tres archivos.

Las firmas de archivos son útiles para evaluar si un sujeto está tratando de "ocultar

archivos‖, en un plano oculto cambiando las extensiones de archivo. Por ejemplo, renombrar

un gráfico desnudo.jpg a tareas.doc puede ser eficaz para darle clandestinidad a un archivo

ante los curiosos, aunque ingenuo a los ojos de un perito en informática.




3.3.2.2.7 SubActividad 2.2.7 Identificar las fuentes de información, tanto de personas,

como de aquellas que se encuentran almacenadas de manera lógica.

Se realiza para delimitar el área de búsqueda.

3.3.2.2.8 SubActividad 2.2.8 Determinar el diseño preliminar o enfoque del caso.

En este paso se prepara un resumen general para hacer la investigación de manera

acotada, (en condiciones de cierta premura podría servir como un avance de Dictamen

Pericial (un Dictamen con muy poco tiempo a disposición del investigador)).

3.3.2.2.9 SubActividad 2.2.9 Fijar el lugar de los hechos con tomas fotográficas y

grabaciones de diferentes ángulos en el área del lugar de los hechos antes de la

recolección de la evidencia.

Esta acción se hace para verificar en ellas si algo no fue considerado durante la

intervención pericial y además es de utilidad como evidencia de lo encontrado.

3.3.2.2.10 SubActividad 2.2.10 Fijar fotográficamente los periféricos (teclado, ―mouse‖,

impresora, escáner, etc.), que se encuentran en el lugar de los hechos.

Ayuda a mantener una correlación de eventos y proporciona mayor oportunidad de

encontrar la evidencia.

3.3.2.2.11 SubActividad 2.2.11 Fijar fotográficamente las conexiones físicas del equipo

motivo de estudio.

Esto servirá para demostrar cómo se encontró el equipo a ser investigado.




3.3.2.2.12 SubActividad 2.2.12 Documentar la información observable.

Debe de anotarse de manera estructurada la información observable por parte del perito en

informática forense, con la intención de hilar ideas y escribir en el Dictamen pericial lo

observado desde el inicio del proceso de la investigación.

3.3.2.2.13 SubActividad 2.2.13 Identificar si el equipo se encuentra encendido o apagado.

Ayuda a determinar los pasos a seguir para la etapa de obtención.

3.3.2.2.14 SubActividad 2.2.14 Reconocer el sistema operativo (sistema de archivos) del

dispositivo del cual se obtendrá la información.

Ayuda a determinar la estructura de archivos y permite definir el tipo de software a utilizar.

3.3.2.2.15 SubActividad 2.2.15 Documentar la fecha y hora del sistema, para demostrar la

hora en la que se dio inicio a la investigación.

Por ejemplo si se trata de mensajes de correos electrónico checar la zona horaria, está

información cobra relevancia en los casos de algún cateo ó en el caso en el que se discute

la fecha de creación de un archivo.

3.3.2.2.16 SubActividad 2.2.16 Interrumpir las conexiones de la red de cómputo.

Se lleva a la práctica para evitar que alguien de manera remota altere la evidencia.




3.3.2.2.17 SubActividad 2.2.17 Realizar movimientos con el Mouse (ratón) de forma

periódica.

Lo anterior, siempre y cuando el investigador acceda a la escena del delito y el equipo de

cómputo cuestionado se encuentre encendido. Considerar que algunos equipos cuentan

con contraseña en el protector de pantalla por lo que será necesario realizar movimientos de

Mouse a efecto de fijar la pantalla que se encuentra activa, así como programas ejecutados

y archivos abiertos, en la etapa de adquisición se describirá el orden de obtención de

información volátil.

3.3.2.2.19 SubActividad 2.2.18 Preparar un diseño detallado.

• Ajuste a nivel detallado de las necesidades actuales.

• Consideración de la preparación del tiempo estimado, y los recursos requeridos para

completar cada caso.

3.3.2.2.21 SubActividad 2.2.19 Determinación de recursos requeridos para la investigación

con respecto al hardware, software y herramientas de informática forense.

3.3.2.2.22 SubActividad 2.2.20 Marco legal relacionado al incidente

• Detalles generales a nivel internacional

• Detalles generales del fuero federal

• Detalles generales del fuero común

Este punto es muy importante, ya que deben considerarse antes de proceder con la

obtención de información y ver a qué delito corresponde, así como si es del fuero común o

federal.




Recordando que uno de los mayores inconvenientes que presentan los delitos informáticos

es la frecuente extraterritorialidad que traen aparejados, ya que los delitos pueden ser

cometidos por una persona que se encuentra físicamente en un país y los efectos pueden

producirse en otro, instalando interrogantes sobre la autoridad competente para juzgar

dichos delitos.

3.3.2.2.23 SubActividad 2.2.21 Enumerar los pasos a ser realizados durante la

investigación, previa información obtenida.

Una vez asegurado el lugar de los hechos y obtenida la información relacionada al

incidente, se prepara el procedimiento a seguir para la obtención de información, cuyo

propósito es poder reconstruir los eventos realizados durante la etapa de adquisición, por lo

que se requiere que éste sea documentado en cada uno de los pasos a seguir.

3.3.2.2.24 SubActividad 2.2.22 Corroborar diseño de investigación.

Se hace con el propósito de verificar que los pasos decididos son correctos, acordes y

justificados con la situación del incidente.

3.3.2.2.25 SubActividad 2.2.23 Identificar el riesgo implicado.

Se orienta a que el forense informático debe documentar los problemas que espera

encontrarse o que obliga a que puedan ocurrir, se podrá incluir en el correspondiente

dictamen un apartado de consideraciones técnicas.




Por ejemplo; cuando el material motivo de estudio es una cuenta de correo electrónico

gratuita (previa autorización del propietario de la cuenta), conviene informar dentro del

Dictamen Pericial que en la creación de la misma no se contó con ninguna medida de

autenticación, con respecto a los datos del creador de dicha cuenta de correo electrónico,

así mismo se deberá informar, que todo aquel que conozca el nombre de usuario y

contraseña podrá ingresar a la misma y por ende modificarla; por último, se deberá poner

del conocimiento a la autoridad competente que tales cuentas de correo electrónico

gratuitas, pierden su vigencia si no se consultan periódicamente, es decir desaparecen.

El producto final de esta fase, debe proporcionarle a la peritación que se está llevando a

cabo, la información que permita definir un punto de inicio para la adquisición de datos y

para la elaboración del documento final.




3.3.3 Fase III. Adquisición de Evidencia.


En esta Fase se procede a adquirir la evidencia sin alterarla o dañarla, se autentica que la

información de la evidencia sea igual a la original.

Aquí se juega un papel muy importante durante el proceso legal de la informática forense,

en la que se mantiene la integridad de la evidencia obtenida y se establece la cadena de

custodia para demostrar el manejo que le fue dado a la evidencia digital por parte del

forense informático que realiza la investigación.

Se deberán definir los equipos y herramientas determinadas para llevar a cabo la

investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación.

3.3.3.1 Actividad 3.1 Efectuar consideraciones previas.

De no contar con lo necesario para conservar intacta la información digital y/o desahogar el

estudio requerido (por ejemplo: si el perito en informática forense requiere para emitir su

Dictamen, el acceso a algún equipo ó base datos, se le deberá permitir el mismo),

informarlo a la autoridad competente, suspendiendo por el momento el estudio requerido.

Se tendrá que tener especial cuidado en las implicaciones legales al intervenir y obtener

información de un medio electrónico (el Ministerio Público tendrá que dar fe del análisis), así

como el de no alterar los metadatos de la información almacenada.

3.3.3.1.1 SubActividad 3.1.1 Estudiar de la mejor manera posible, las condiciones que

se presentan previas a la adquisición de la evidencia.

• Implicaciones legales de la adquisición de datos, (metodología aplicada en la obtención de

información, para su debida legalidad y autenticidad).

FASE I

FASE II

FASE III

FASE IV

FASE V

http://www.dragonjar.org/tag/herramientas




• Documentar la cadena de custodia.

El perito en Informática Forense, después de haber cubierto la etapa de identificación, debe

tomar en cuenta estas consideraciones para mantener la cadena de custodia y estar en

posibilidades de garantizar la individualización, seguridad y preservación de los elementos

materiales y evidencias (en el caso particular evidencia digital), recolectados de acuerdo a

su naturaleza o incorporados en toda investigación, destinados a garantizar su autenticidad

para los efectos del proceso.

3.3.3.1.2 SubActividad 3.1.2 Requisitar por escrito la autorización, para realizar el análisis

forense en informática.

Este punto es recomendable que se tenga resuelto ya sea antes de proceder con la

obtención de la imagen forense o bien antes de empezar con el análisis en vivo sobre el

dispositivo informático cuestionado.

3.3.3.1.3 SubActividad 3.1.3 Documentar la configuración y características del hardware

del sistema.

Esta SubActividad tiene como fin el de lograr la plena identificación del material objeto de

estudio, evitando con ésto que se dude de la autenticidad de un equipo, dichas

características deben de anotarse dentro del formato u oficio de la cadena de custodia.

3.3.3.1.4 SubActividad 3.1.4 Elaborar el plan de adquisición de la evidencia digital.

• Información adquirida a través de tomas fotográficas.

• Información obtenida durante la intervención del perito en informática forense e

investigación en curso.




En esta Fase se considera la metodología (métodos y/o técnicas), con la que se llevará a

cabo la adquisición de datos, identificando que es lo más conveniente de acuerdo a las

características del incidente, priorizando la obtención de datos volátiles del dispositivo y

posteriormente aquellos que no lo son.

3.3.3.2 Actividad 3.2 Elaborar la guía para la obtención de los datos volátiles.

Cuando se realiza la recolección de evidencia, se debe proceder de lo volátil a lo menos

volátil. Si el equipo se encontró encendido no apagarlo hasta que este completa la

obtención de la evidencia.

Por otro lado mucha información podría perderse si se enciende el equipo, considerando

que el atacante halla modificado el proceso de inicio/apagado con algún ―Script‖ (código que

se ejecuta cuando se enciende o apaga la maquina), para destruir la evidencia.

A continuación se enumeran de acuerdo a su volatilidad, los elementos a considerar para la

obtención de evidencia:

1. Registros, ―cache‖ (es una parte de la memoria de la memoria principal que se puede

utilizar como buffer (En informática, un ―buffer‖ de datos es una ubicación de la

memoria en una computadora o en un instrumento digital reservada para el

almacenamiento temporal de información digital, mientras que está esperando ser

procesada)para guardar temporalmente los datos transferidos con el disco).

2. Tabla de procesos, estadísticas del kernel (En informática, un núcleo o kernel es un

software que actúa de sistema operativo).


http://es.wikipedia.org/wiki/Buffer_de_datos

http://es.wikipedia.org/wiki/Computadora


http://es.wikipedia.org/wiki/Software

http://es.wikipedia.org/wiki/Sistema_operativo




3. Tablas de ruteo. Para mostrar la tabla de enrutamiento IP en equipos que ejecutan

sistemas operativos Windows Server 2003, puede escribir ―route print” (comando

que se ejecuta) en el símbolo del sistema. También puede examinarse la tabla de

ruteo de una máquina con el comando netstat. La opción -r del mismo muestra la

tabla de ruteo (la opción -n es para no convertir números en nombres).

4. ―Cache ARP‖ (del inglés ―ADDRESS RESOLUTION PROTOCOL‖, tabla donde se

almacenan las direcciones IP de internet, ARP convierte un protocolo de Internet (IP)

a su dirección física de red correspondiente).

5. Sesiones abiertas.

6. Configuración de la red.

7. Memoria RAM (RAM son las siglas en ingles de ―random access memory‖, un tipo de

memoria de computadora a la que se puede acceder aleatoriamente; es decir, se

puede acceder a cualquier byte de memoria sin acceder a los bytes precedentes. La

memoria RAM es el tipo de memoria más común en computadoras y otros

dispositivos como impresoras).

8. Directorios temporales del sistema.

9. Estado de la red.

10. Directorios abiertos.

11. Archivos abiertos.

http://translate.googleusercontent.com/translate_c?hl=es&sl=en&u=http://www.encyclopedia.com/doc/1O12-AddressResolutionProtocol.html&prev=/search%3Fq%3Ddefine%2BCache%2BARP%26hl%3Des&rurl=translate.google.com.mx&usg=ALkJrhjSXXetqPorU2MY6dVDNLIdyo58bA

http://translate.googleusercontent.com/translate_c?hl=es&sl=en&u=http://compnetworking.about.com/library/glossary/bldef-ipaddress.htm&prev=/search%3Fq%3Ddefine%2BCache%2BARP%26hl%3Des&rurl=translate.google.com.mx&usg=ALkJrhgMPi75qsjCvq2RTpaVqL83rod_XQ




12. Configuración física, topología de red.

13. Disco.

Tomándose como base las condiciones presentes del equipo o dispositivos a ser

analizados, se prepara la guía que determinará cuál será la fuente inicial de obtención de

información, misma que tratará de no ser alterada por el perito en Informática Forense y

debe considerar además, que ésta puede variar de un momento a otro por los procesos que

se están ejecutando dentro del equipo o dispositivo.

El orden que debe seguirse es de lo más volátil a lo menos volátil.

Cabe señalar que al momento de obtener evidencia de medios magnéticos tales como

discos duros, será indispensable el uso de bloqueadores de escritura con el fin de preservar

y no alterar la evidencia. Esto puede observarse cuando se accede a un archivo y se

modifican sus metadatos tales como la fecha de modificación.

3.3.3.3 Actividad 3.3 Elaborar la guía para la obtención de los datos no volátiles.

A continuación se enumeran algunos de los elementos a considerar para la obtención de

evidencia, los cuales por sus características no se consideran volátiles:

1. CPU,monitor, teclado.

7. Discos duros, disquetes, CD y DVD.

8. Memorias Usb.

9. Impresora y escáner.

10. Tarjetas de red, módems, routers, hubs, switch etc.




El perito en Informática Forense debe seleccionar cuales serán las fuentes de información

con las que iniciará la investigación, dando prioridad a aquellos que considere de mayor

relevancia.

3.3.3.4 Actividad 3.4 Elaborar el plan de la investigación para la obtención de datos.

1. Descubrir datos relevantes.

• No obtener información innecesaria.

2. Encontrar la evidencia.

Este plan consiste en descartar la información no relacionada con el incidente para acotar la

búsqueda de la evidencia.

3.3.3.5 Actividad 3.5 Crear el procedimiento para la adquisición de la imagen.

De acuerdo al soporte donde se encuentre almacenada la información se deberá establecer

el mecanismo (es decir software y tamaño de archivos generados por este), para la

obtención de su respectiva imagen forense (copia bit a bit), si es necesario calcular el Hash

de la imagen adquirida.

3.3.3.5.1 SubActividad 3.3.1 Crear una copia física exacta de la evidencia.

Documentar el proceso de obtención de la imagen forense. Para la obtención de la imagen

forense de un disco duro por ejemplo se podrá hacer uso del programa: Forensic Toolkit

(FTK) de AccessData (este programa realiza imágenes de originales como parte de su

funcionalidad) [http://www.accessdata.com/], el cual en su portal de Internet permite bajar

una versión demo o bien hacer uso de software ―Open Source‖ para tal efecto.




En muchos casos resulta impracticable realizar copias de la evidencia original por

impedimentos técnicos u otras razones de tiempo y lugar. En estos casos se deberán

extremar las precauciones durante la investigación, siempre aplicando técnicas de análisis

de datos no-invasivas y utilizando todas las herramientas forenses (bloqueador de escritura)

que estén al alcance, a fin de no alterar la evidencia.

Éste paso es indispensable hacerlo de manera detallada, ya que forma parte del documento

final que tiene como objetivo el análisis y es un elemento esencial para reconstruir el

desarrollo del estudio técnico.

3.3.3.5.2 SubActividad 3.3.2 Determinar los tipos específicos y cantidad de medios de los

cuales se obtendrá la imagen forense (copias bit a bit).

Si existe diferentes dispositivos a los cuales se les obtendrá la imagen se deben etiquetar

correctamente a fin de no cometer errores en el manejo y custodia.

3.3.3.5.3 SubActividad 3.3.3 Usar hardware o software para bloqueo de escritura.

Es indispensable contar con este tipo protección para no alterar la evidencia original y

mantener su integridad, desde el inicio de la investigación.

3.3.3.5.4 SubActividad 3.3.4 Verificar la integridad de nuestra evidencia calculando el

―Hash‖ por medio de los algoritmos MD5 ó SHA-1.

Este procedimiento nos permitirá corroborar que la imagen forense obtenida es una copia

duplicada bit a bit de la evidencia original. Este valor será guardado en un archivo de

preferencia de texto plano .txt para presentarlo si es requerido.




Entonces lo anterior se traduce a que se verificara la integridad de nuestra evidencia con el

cálculo del hash al disco original y de la imagen forense. Si los hashes son los mismos,

entonces podemos asegurar que la copia hecha es un duplicado bit a bit de la evidencia

original.

Ejemplo de valor ―Hash‖: 04c09fa404ac7611b20a1acc28e7546c

3.3.3.5.5 SubActividad 3.3.5 Custodiar el dispositivo de donde se obtendrá la imagen

forense, hasta su creación, verificación de la imagen forense y su respectivo respaldo, para

evitar que esta sea alterada de manera intencional.

3.3.3.5.6 SubActividad 3.3.6 Esterilizar el medio forense donde se almacenará la imagen.

Antes de que la imagen se deposite en un disco duro es una buena práctica esterilizar o

limpiar esté medio de destino en la computadora forense. Una limpieza forense remueve

cualquier vestigio o contenido previo en el disco duro, asegurando que el abogado de la

defensa no pueda pretender argumentar que cualquiera de las pruebas obtenidas

corresponde a contenidos anteriores en el disco, causado por la mezcla de la evidencia.

Una limpieza forense es diferente a formatear un disco duro. Una limpieza forense puede

lograrse con el comando dd (linux):

# dd if=/dev/zero of=/dev/hdb1 bs=2048

La instrucción /dev/zero provee tantos caracteres null (caracteres nulos), (ASCII NUL, 0x00;

no el carácter ASCII "0", 0x30) como se lean desde él.

http://es.wikipedia.org/wiki/ASCII




El dispositivo lógico / dev / zero es una fuente infinita de ceros. Debido a que hemos

especificado nuestra salida a / dev/hdb1 escribirá una serie de ceros a cada sector de la

primera partición del segundo disco duro IDE. El argumento de BS especifica que dd debe

leer en bloques de 2048 bytes, reemplazando el valor predeterminado de 512 bytes.

Podemos comprobar que el procedimiento fue realizado con éxito utilizando el comando

grep.

# grep –v ‗0‘ /dev/hdb1

―Grep‖ es una utilidad que realiza búsquedas de palabras clave dentro de archivos. Estamos

buscando la cadena "0" en el dispositivo lógico / dev/hdb1. El argumento -v especifica algo

de una búsqueda inversa, es decir, despliega todo lo que aparece en el medio que no sea

‗0‘. Si grep encuentra algo que no es ‗0‘, se imprimirá el resultado en pantalla.

3.3.3.5.7 SubActividad 3.3.7 Llevar un manejo adecuado en el almacenamiento de

múltiples imágenes.

Si por razones de falta de medios de almacenamiento se utiliza un único dispositivo, y si

fuera el caso que existieran diferentes imágenes almacenadas en un disco duro este debe

ser organizado (por directorios), de manera adecuada para no confundirse en el manejo de

su contenido, (tener presente que una imagen forense de un disco duro estará formada por

varios archivos generados por el software forense empleado).

3.3.3.5.8 SubActividad 3.3.8 Asegurar que el medio que almacene la imagen, no sea

utilizado para imágenes posteriores, a menos que se le aplique un procedimiento que

garantice su esterilización.




Esto evitará que información almacenada en un dispositivo contenedor antes utilizado

contenga información que pueda desvirtuar la evidencia original.

3.3.3.5.9 SubActividad 3.3.9 Crear otra imagen de respaldo, y procurar trabajar sobre está.

3.3.3.5.10 SubActividad 3.3.10 Registrar cualquier anomalía o circunstancia inusual

encontrada durante la creación de la imagen por medio de algún formato (capturas de

pantalla, etc.), para estar en posibilidades de hacer alguna aclaración.

3.3.3.5.11 SubActividad 3.3.11 Registrar cualquier acción efectuada, para investigar y

rectificar los errores de la obtención de la imagen, los cuales deberán ser documentados.

3.3.3.5.12 SubActividad 3.3.12 Establecer que cualquier desviación del procedimiento para

la obtención de la imagen ó intervención sobre la evidencia requerirá de la aprobación del

perito en informática forense y ser documentado, es decir que no se puede manipular la

imagen sin autorización del perito en informática responsable.

3.3.3.5.13 SubActividad 3.3.13 Establecer una política del manejo y almacenamiento de la

evidencia para mantener su integridad.

Deben definirse claramente las acciones a seguir con el manejo de la evidencia.

3.3.3.5.14 SubActividad 3.3.14 Establecer, las condiciones posteriores a la adquisición:

• Manejo de imágenes forenses

• Manejo de la evidencia obtenida

• Conservación

• Transporte




Existen varios tipos de mecanismos que son utilizados para asegurar el transporte de la

evidencia, debido a que esta debe hacerse en bolsas antiestáticas, aislantes de

comunicaciones y en un buen contenedor para evitar que esta se dañe. Otro punto,

importante para asegurar la evidencia es que se deben mantener bajo un ambiente

específico de humedad y temperatura, si el ambiente es muy cálido, húmedo o frío los

componentes electrónicos y medios magnéticos pueden ser dañados.

Ahora, a continuación se presenta la fase IV:




3.3.4 Fase IV. Análisis de Datos.


De manera similar a la fase anterior se deberán definir criterios de búsqueda con objetivos

claros, debido a la gran cantidad de información disponible, que nos pueda desviar la

atención o sencillamente complicar el proceso de análisis de la información.

Esta fase permite determinar las causas que originaron un incidente informático y debe ser

documentada en todas sus partes, para reconstruir las veces que sea necesaria la forma en

la que se encontró o encontraron las evidencias digitales. Es importante mencionar que está

es una metodología general en la que se contemplan de manera global cada uno de los

pasos que deben ser considerados durante esta fase, ya que para realizar el análisis

específico de cada tipo de estructura de archivos y/o sistemas operativos, dispositivos de

almacenamiento, discos compactos CD y DVD, memorias USB, etc. deben elaborarse

metodologías específicas para cada uno de ellos.

3.3.4.1 Actividad 4.1 Preparar, el análisis correspondiente al caso de estudio.

Corroborar que ya se cuenta con una imagen forense, de información y/o respaldo de la

misma.

3.3.4.1.1 SubActividad 4.1.1 Contar con disponibilidad de datos:

Es recomendable tener a la mano las copias forenses correspondientes al material objeto de

estudio con el fin de llevar a cabo su respectivo análisis.

• Copias forenses: análisis y respaldos

FASE I

FASE II

FASE III

FASE IV

FASE V




Una buena práctica a llevar a cabo es la de utilizar la copia del segundo original, a su vez el

segundo original preservarlo manteniendo un buen uso de la cadena de custodia.

Así mismo, antes de iniciar con la fase de análisis, se recomienda se tenga la cantidad de

copias necesarias para la realización de todas las pruebas necesarias que requiera la

investigación.

3.3.4.1.2 SubActividad 4.1.2 Determinar el alcance del incidente, la extensión del daño

originado por él así como la naturaleza del mismo.

Disponer de una estrategia de respuesta, que permita abordar el problema de manera clara

y precisa.

3.3.4.1.3 SubActividad 4.1.3 Evitar lo más que se pueda el uso de la computadora si está

se encuentra encendida y/o evaluar si conviene realizar el análisis de evidencia digital en

vivo y/o post-mortem (apagado).

Un análisis en vivo es aquel que utiliza el sistema operativo u otros recursos del sistema

investigado para encontrar pruebas. Un análisis post-mortem es aquel que utiliza

aplicaciones de confianza en un entorno seguro para encontrar pruebas, es decir es el

análisis que se realiza con un equipo dedicado específicamente para fines forenses para

examinar discos duros, datos o cualquier tipo de información recabada de un sistema que

ha sufrido un incidente.




Con un análisis en vivo es posible obtener información falsa, ya que el sistema podría estar

ocultando o falsificando maliciosamente la información (utilizando algún tipo de ―rootkit‖, por

ejemplo).

Es importante tener presente que un ―rootkit‖ es una herramienta (algún tipo de código de

programa), o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder

otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten

al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer

información sensible.

3.3.4.1.4 SubActividad 4.1.4 Evitar encender la computadora, en la medida de lo posible.

Esto es como se menciono en la actividad anterior por la posibilidad de encontrar algún

programa que se ejecute al inicializarse el equipo de computo ó mas aun por la posibilidad

de alterar la información almacenada en el disco duro, sobra decir que en este caso el

análisis será realizado extrayendo su o sus medios de almacenamiento (de información),

previa colocación de un bloqueador de escritura.

3.3.4.1.5 SubActividad 4.1.5 Fijar fotográficamente la pantalla de la computadora, si está

se encuentra encendida, y de preferencia cuando se observe algo de interés para la

investigación.

3.3.4.1.6 SubActividad 4.1.6 Realizar movimientos periódicos del Mouse.

Lo anterior cuando la computadora (cuestionada ó bajo estudio), se encuentre encendida

(ésto mostrará la imagen en la pantalla). Después cuando la imagen aparezca, fotografiar la

pantalla.

http://es.wikipedia.org/wiki/Programa_computacional

http://es.wikipedia.org/wiki/Proceso_%28inform%C3%A1tica%29

http://es.wikipedia.org/wiki/Archivo

http://es.wikipedia.org/wiki/Directorio

http://es.wikipedia.org/wiki/Registro_de_windows

http://es.wikipedia.org/wiki/Informaci%C3%B3n




3.3.4.1.7 SubActividad 4.1.7 Apagar la computadora del cable de alimentación (cuando el

investigador se apersone en el lugar de los hechos ó escena del delito y la computadora

este encendida).

Si la computadora es una ―laptop‖ y no se apaga cuando el cable es retirado, localizar y

retirar la batería. La batería es comúnmente colocada en el fondo, y generalmente hay un

botón o conmutador que permite la supresión de la batería. Una vez que la batería es

retirada, no la regrese a la computadora portátil. Retirar la batería evitará encendidos

involuntarios de la ―laptop‖.

Lo anterior, es recomendable cuando se posee software de análisis forense y se tiene el

propósito de efectuar la recuperación de datos en el espacio del disco duro llamado ―swap‖.

En informática, el espacio de intercambio es una zona del disco (un archivo ó partición) que

se usa para guardar las imágenes (procesos temporales) de los procesos que no han de

mantenerse en memoria física (permite hacer creer a los programas que tienen más

memoria (RAM) que la que disponen realmente). A este espacio se le suele llamar swap, del

inglés "intercambiar", (por lo que al apagar la maquina este espacio se elimina, acompañado

de su información).

3.3.4.1.8 SubActividad 4.1.8 Considerar manuales e instructivos, documentos y notas que

se considere aporte datos a la investigación.

3.3.4.1.9 SubActividad 4.1.9 Buscar información relacionada con el criterio de búsqueda

(descrito en el Planteamiento del Problema).

Es decir el tipo de evidencia que se está buscando por ejemplo documentos, fotografías,

nombres, cadenas de caracteres (como las usadas para las tarjetas de crédito), bases de

datos, grabaciones de audio, correos electrónicos, etc.


http://es.wikipedia.org/wiki/Disco_duro

http://es.wikipedia.org/wiki/Partici%C3%B3n_de_disco

http://es.wikipedia.org/wiki/Proceso_%28inform%C3%A1tica%29

http://es.wikipedia.org/wiki/Memoria_RAM




3.3.4.1.10 SubActividad 4.1.10 Determinar si los archivos no tienen algún tipo de cifrado.

3.3.4.1.11 SubActividad 4.1.11 Preparar el directorio o directorios de trabajo.

Con base a toda la información previa, se debe seleccionar el área de trabajo bajo la cual se

iniciará el análisis, considerando el tamaño de la información a analizar.

3.3.4.1.12 SubActividad 4.1.12 Crear una estructura para directorios y archivos

recuperados.

Es importante llevar un estricto control al momento de recuperar información, por lo que se

deberá tener especial cuidado al momento de obtener el ―path‖ (ruta de ubicación original

del archivo recuperado). El comando ―Dir‖ de Ms-Dos es puede ser una útil herramienta

para este fin, pero tener en consideración que este comando no es una herramienta

Forense, (no lista archivos en espacio por asignar y otros detalles que a un Software

Forense no se le escapan).

3.3.4.2 Actividad 4.2 Efectuar la extracción de Evidencia.

Una vez que se cuenta con la imagen Forense de la evidencia digital adquirida, se estará en

condiciones de explorar y obtener ó desechar, lo que motiva la intervención del perito en

Informática Forense.

3.3.4.2.1 SubActividad 4.2.1 Efectuar la extracción física de evidencia.

Se llevará a cabo la sustracción de todos y cada uno de los archivos relacionados con los

hechos que se investigan, así como cualquier otra información ó dato requerido por la

autoridad competente.




3.3.4.2.2 SubActividad 4.2.2 Documentar los procedimientos seguidos durante toda la

etapa de análisis.

Lo anterior con el fin de que todo procedimiento que se lleve a cabo sea repetible y

verificable por otro Investigador Forense con el propósito de reconstruir lo realizado durante

la investigación.

3.3.4.2.3 SubActividad 4.2.3 Identificar y recuperar los datos en los dispositivos físicos.

Esto es, obtener las características físicas del dispositivo a ser analizado, para que

posteriormente sean verificadas, por ejemplo, capacidad de almacenamiento, número de

serie, etc.

3.3.4.2.4 SubActividad 4.2.4 Recavar información, nombres de usuario e información del

AD (Directorio Activo).

Active Directory es una implementación de servicio de directorio en una red distribuida

centralizado que facilita el control, la administración y la consulta de todos los elementos

lógicos de una red (como pueden ser usuarios, equipos y recursos).

3.3.4.2.5 SubActividad 4.2.5 Recuperar archivos y fragmentos de archivos útiles de los

directorios corruptos o perdidos.

Los cuales se encuentran en el dispositivo y que no puedan ser descritos por el sistema de

archivos o por el sistema operativo. Algunos de los programas lideres en análisis forense

informático son: Forensic Toolkit (FTK) de AccessData o EnCase de Guidance Software.

3.3.4.2.6 SubActividad 4.2.6 Identificar y recuperar los archivos objetivo (determinados por

algunos criterios, ejemplo aquellos que han sido afectados por el incidente).

Y si se quiere comparar su hash (archivos del sistema operativo y/o aplicaciones) con los

hash de archivos que nos facilita la http://www.nsrl.nist.gov/, o sítios como:

http://www.nsrl.nist.gov/




http://www.wotsit.org/

http://www.processlibrary.com/

Es importante señalar que una vez que ubicamos un archivo de sistema y que se tenga la

duda de que se encuentre alterado o que sea el oficial y legítimo publicado por la fuente

oficial, la solución por ejemplo será el revisar el Hash MD5 que es publicado por la empresa

o desarrollador de software que publica el archivo, y compararlo contra el Hash MD5 que

una herramienta calcule con base al archivo que nosotros bajamos (existen varias en

Internet).

3.3.4.2.7 SubActividad 4.2.7 Llevar a cabo la recuperación de archivos, archivos borrados

y la recuperación de información oculta intencionalmente.

3.3.4.3 Actividad 4.3 Efectuar la extracción, lógica de evidencia.

3.3.4.3.1 SubActividad 4.3.1 Identificar y recuperar archivos y datos basados en la

instalación del sistema operativo, sistema de archivos y / o aplicaciones.

3.3.4.3.3 SubActividad 4.3.3 Utilizar la herramienta adecuada para realizar el análisis.

Debe definirse la herramienta a ser utilizada para llevar a cabo el análisis y documentarse

sus resultados.

3.3.4.3.4 SubActividad 4.3.4 Extraer la información del sistema de archivos, para revelar

las características de la estructura de directorios, atributos, nombres, estampas de tiempo,

tamaño y localización de archivos.

http://www.wotsit.org/

http://www.processlibrary.com/




3.3.4.3.5 SubActividad 4.3.5 Extraer los archivos pertinentes para la evaluación,

basándose en nombre y extensión del archivo, cabecera de archivos, contenido y ubicación

dentro del dispositivo de almacenamiento.

3.3.4.3.6 SubActividad 4.3.6 Recuperar archivos borrados o archivos en espacios sin

asignar (―Unallocated File Space‖).

Es indispensable recuperar los archivos que se hallan eliminado ya que en ellos se podría

encontrar información valiosa para ayudar a esclarecer los hechos que se investigan.

Esto es cuando los archivos son borrados o suprimidos en DOS, Win9x, WinNT/2000, el

contenido de los archivos no es verdaderamente borrado. A menos, que se utilice algún

software especial que ofrezca un alto grado de seguridad en el proceso de eliminación, los

datos "borrados", permanecen en un área llamada espacio de almacenamiento no-asignado

(―Unallocated File Space‖).

Igual sucede con el ―file slack‖( El espacio de almacenamiento de datos que existe desde el

final del archivo hasta el final del cluster se llama "file slack", los sistemas basados en DOS,

Windows 95/98/ME/XP y Windows NT/2000 almacenan los archivos en bloques de tamaño

fijo llamados ―clusters‖, en los cuales raramente el tamaño de los archivos coinciden

perfectamente con el tamaño de uno o muchos ―clusters‖), asociado al archivo antes de que

éste fuera borrado. Consecuentemente, siguen existiendo los datos, escondidos pero

presentes, y pueden ser detectados mediante herramientas de software para el análisis

forense informático.

3.3.4.3.7 SubActividad 4.3.7 Extraer archivos protegidos con ―passwords‖ (contraseña),

encriptados y datos comprimidos.

Si se tiene la lista de ―passwords‖ (contraseñas) de usuarios y la colaboración de los

usuarios, la investigación será más fácil, de no ser así deberá documentarse el empleo de

herramientas que permitirán efectuar la extracción de contraseñas.




3.3.4.3.8 SubActividad 4.3.8 Utilizar software enfocado al análisis forense informático con

el fin de extraer la información del “file slack”.

Desde un punto de vista de la investigación, el ―file slack‖ es un entorno rico para encontrar

pistas y evidencia.

Por ejemplo el ―file slack‖ puede contener pistas y evidencia en forma de fragmentos de

procesador de palabras, correo electrónico, chats en Internet, noticias de Internet y la

actividad de navegación por Internet.

Los sistemas basados en DOS, Windows 95/98/ME/XP y Windows NT/2000 almacenan los

archivos en bloques de tamaño fijo llamados clusters, en los cuales raramente el tamaño de

los archivos coinciden perfectamente con el tamaño de uno o muchos clusters.

El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final

del cluster se llama "file slack". Los tamaños de los clusters varían en longitud dependiendo

del sistema operativo involucrado y, en el caso de Windows 95/98/ME/XP, del tamaño de la

partición lógica implicada.

Un tamaño más grande en los ―clusters‖ significan más ―file slack‖ y también mayor pérdida

de espacio de almacenamiento. Sin embargo, esta debilidad de la seguridad del

computador crea ventajas para el investigador forense, porque el ―file slack‖ es una fuente

significativa de evidencia y pistas.

3.3.4.3.9 SubActividad 4.3.9 Obtener información del Archivo ―Swap‖ de Windows.

Los sistemas operativos Microsoft Windows utilizan un archivo especial como un "cuaderno

de apuntes" para escribir datos cuando se necesita memoria de acceso aleatorio adicional.

En Windows 95/98/ME/XP, a estos archivos se les conoce como Archivos ―Swap‖ de

Windows.




En Windows NT/2000 se conocen como directorios de página de Windows pero tiene

esencialmente las mismas características que los de Win9x.

Los archivos de intercambio son potencialmente enormes y la mayoría de los usuarios de

PC son inconscientes de su existencia.

El tamaño de estos archivos puede extenderse desde 20MB a 200MB, el potencial de estos

es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes

electrónicos, la actividad en Internet (cookies, etc), ―logs‖ de entradas a bases de datos y de

casi cualquier otro trabajo que haya ocurrido durante las últimas sesiones. Todo ésto,

genera un problema de seguridad, porque el usuario del computador nunca es informado de

este almacenamiento transparente.

Los Archivos ―Swap‖ de Windows actualmente proporcionan a los especialistas en

informática forense pistas con las cuales investigar, y que no se podrían conseguir de otra

manera.

3.3.4.4 Actividad 4.4 Analizar los datos extraídos.

3.3.4.4.1 SubActividad 4.4.1 Conceptualizar: agregación, correlación, filtrado y generación

de metadatos.

El perito en Informática Forense debe estar familiarizado con estos conceptos para

descubrir de manera eficiente la evidencia que se está buscando

3.3.4.4.2 SubActividad 4.4.2 Efectuar un pre análisis de la evidencia.

• Agregación y transformación: Unificación y recuperación de datos.

• Generación de metadatos: categorización e indexación, esto es se registraran

ordenadamente los datos e información obtenida de la evidencia.




3.3.4.4.3 SubActividad 4.4.3 Efectuar análisis de flujo de datos y procesos.

En él se determina si existen procesos ajenos a los propios del sistema operativo o de las

aplicaciones.

3.3.4.4.4 SubActividad 4.4.4 Relacionar datos y evidencia.

• Diferencia entre datos y evidencia, aislamiento y su contextualización.

• Como relacionar los datos obtenidos con la evidencia.

• Sostenimiento de la evidencia

La evidencia es todo aquello que pueda convertirse en una prueba que constate un hecho

de lo ocurrido, por lo que el perito en Informática Forense debe saber diferenciar entre una

evidencia y un dato.

3.3.4.5 Actividad 4.5 Efectuar el análisis de tiempo de los eventos.

Consiste en considerar fechas y tiempos en los archivos analizados.

3.3.4.5.1 SubActividad 4.5.1 Determinar cuando ocurrieron los eventos en un dispositivo de

cómputo.

Obtener datos de fecha y tiempo de la información comprometida y con base a ello concluir

cuando ocurrió determinado evento.

3.3.4.5.2 SubActividad 4.5.2 Realizar el correspondiente estudio de los metadatos, (en

especial identificar las marcas de tiempo, creación, actualización, acceso, modificación,

etc.).




Documentar estos metadatos de los archivos bajo estudio (de interés para la presente

investigación), con el fin de correlacionar los eventos y demostrar con ello la creación,

modificación y último acceso.

Con esta información el perito en informática forense podrá establecer una línea del tiempo.

3.3.4.5.3 SubActividad 4.5.3 Revisar los registros del sistema y aplicaciones.

Lo anterior con el fin de localizar posibles indicios de alguna intrusión y/o por el que se halla

comprometido el sistema.

3.3.4.6 Actividad 4.6 Analizar los datos ocultos (de sistema).

Efectuar un exhaustivo análisis a Archivos de sistema, por ejemplo el archivo SAM en Win

NT/2000/XP.

3.3.4.6.1 SubActividad 4.6.1 Detectar y recuperar datos ocultos.

Esta actividad al igual que la anterior puede proporcionar información importante. Existe en

la red un sin número de aplicaciones gratuitas (muchas de ellas en ambiente Linux), que

permiten realizar análisis forenses informáticos, incluso existen ―Live CD‖ (Disco que

funciona como disco de ―Booteo‖ (Disco que inicializa un equipo)), tales como ―Live CD

Helix3‖ de e-fense , ―Live CD Forense Raptor‖ ó el ―Live CD de Informática Forense DEFT‖.

3.3.4.6.2 SubActividad 4.6.2 Correlacionar los encabezados de archivos a su

correspondiente extensión para identificar alguna discrepancia, esto se logra con editores

hexadecimales, como WinHex.

3.3.4.7 Actividad 4.7 Analizar las aplicaciones instaladas.

Se identifican y analizan aplicaciones y/o los archivos que generan tales aplicaciones

instaladas en el equipo objeto de estudio.




3.3.4.7.1 SubActividad 4.7.1 Obtener información relevante relacionada con la

investigación obtenida de los archivos y aplicaciones.

La presente actividad servirá, para la toma de medidas adicionales que deben de adoptarse

en la extracción y análisis de procesos, (por ejemplo un software destino a la grabación de

bandas magnéticas, como las de las tarjetas de crédito).

3.3.4.7.2 SubActividad 4.7.2 Efectuar una revisión de nombres de archivos para determinar

su relevancia.

Tratar de obtener información adicional, basada en el nombre de los archivos bajo estudio.

3.3.4.7.3 SubActividad 4.7.3 Explorar el contenido de los archivos.

Abrir y analizar el contenido de archivos sospechosos o motivos de estudio.

3.3.4.7.4 SubActividad 4.7.4 Determinar el tipo del sistema operativo y/o sistema de

archivos.

De acuerdo al material motivo de estudio y contando con la herramienta adecuada el perito

determinara el sistema de archivos en el que se encuentra éste.

Por ejemplo la mayoría de los equipos de computo con Windows XP se encuentra bajo el

sistema de archivos NTFS (NTFS (NT ―File System‖) es un sistema de archivos de Windows

NT incluido en las versiones de Windows 2000, Windows XP, Windows Server 2003,

Windows Server 2008, Windows Vista y Windows 7), Linux se encuentra en Ext3/Ext4

(―fourth extended filesystem‖ o cuarto sistema de archivos extendido), etc.

http://es.wikipedia.org/wiki/Sistema_de_archivos

http://es.wikipedia.org/wiki/Windows_NT

http://es.wikipedia.org/wiki/Windows_NT

http://es.wikipedia.org/wiki/Windows_2000

http://es.wikipedia.org/wiki/Windows_XP

http://es.wikipedia.org/wiki/Windows_Server_2003

http://es.wikipedia.org/wiki/Windows_Server_2008

http://es.wikipedia.org/wiki/Windows_Vista

http://es.wikipedia.org/wiki/Windows_7




La importancia de esto radica en que una maquina en NTFS no puede visualizar particiones

de Linux, pero Linux si puede visualizar particiones de Windows.

3.3.4.7.5 SubActividad 4.7.5 Obtener información sobre el Software instalado,

actualizaciones y parches.

Determinar el Sistema Operativo (si utiliza Windows XP, Linux etc.), el software instalado,

actualizaciones de Windows y por supuesto las configuraciones de red.

3.3.4.7.6 SubActividad 4.7.6 Correlacionar los archivos de las aplicaciones instaladas.

Determinar, si los archivos creados por el usuario del equipo de computo motivo de estudio,

corresponden con el software instalado en el mismo.

3.3.4.7.7 SubActividad 4.7.7 Identificar archivos desconocidos (raros dentro de la

instalación del software), para determinar su valor en la información.

Identificar archivos fuera de lo común (extensiones irregulares, ejemplo: archivo.upsss) y

que posiblemente le fue cambiado su nombre de manera intencional con el propósito de

esconder información.

3.3.4.7.8 SubActividad 4.7.8 Evaluar el lugar de almacenamiento por omisión de los

usuarios con lo que respecta a sus aplicaciones y a la estructura de archivos.

Esto para determinar si la información se ha almacenado en el lugar por defecto o en otro

lugar.

http://www.dragonjar.org/tag/actualizaciones




3.3.4.7.9 SubActividad 4.7.9 Evaluar las configuraciones del perfil de usuario.

El perfil de usuario proporciona información muy importante sobre la configuración del

entorno de trabajo de cada usuario. Define un entorno de escritorio personalizado, en el que

se incluye la configuración individual de la pantalla, así como las conexiones de red, las

impresoras, recursos a los que se tiene acceso (directorios o carpetas compartidas) y otros

a los que no, etc. Cada usuario puede tener un perfil asociado a su nombre de usuario que

se guarda en su equipo de computo, por lo general el administrador de sistema define este

perfil de usuario.

3.3.4.7.10 SubActividad 4.7.10 Buscar patrones de conducta del sospechoso, historial de

Internet, ―cookies‖ etc.

Una cookie es un fragmento de información que se almacena en el disco duro del visitante

de una página web (dirección electrónica que visita el usuario), a través de su navegador, a

petición del servidor de la página. Esta información puede ser luego recuperada por el

servidor en posteriores visitas. En ocasiones también se le llama "huella".

Por lo anterior, las cookies proporcionan importante información, la cual puede tener

relación con los hechos que se investigan, en la figura 3.10 se muestra la obtención de las

cookies con el programa ―WinTaylor 2.1 for Caine‖, para su posterior análisis.

http://es.wikipedia.org/wiki/Disco_duro

http://es.wikipedia.org/wiki/P%C3%A1gina_web

http://es.wikipedia.org/wiki/Navegador_web

http://es.wikipedia.org/wiki/Servidor




Figura 3.10 Salida tipo pantalla, en la que se muestra el análisis al archivo Index.dat, con el

fin de mostrar las cookies almacenadas en éste.

El análisis efectuado en la figura 3.10, fue obtenido como se dijo antes, utilizando

―WinTaylor 2.1 for Caine‖, el cual es un software forense gratuito [http://www.caine-live.net/],

existen varias versiones.




3.3.4.8 Actividad 4.8 Analizar datos de la Red de cómputo.

Búsqueda de información relacionada con dispositivos y/o elementos técnicos que

conforman la red de cómputo.

3.3.4.8.1 SubActividad 4.8.1 Identificar los dispositivos de comunicación y de defensa perimetral.

Tales como: Servidores Web, ―Firewall‖, IDS‘s (Intrusion Detection System, es un programa

usado para detectar accesos no autorizados a un computador o a una red), IPS‘s (Intrusion

Prevention Systems), éstos combinan múltiples funcionalidades, como: Firewall, IDS, y

detección de anomalías de protocolo, antivirus, valoración de vulnerabilidades, filtrado de

contenidos, etc., ―Proxys‖, Filtros de Contenido, Analizadores de Red, Servidores de ―Logs‖,

etc., que están en la Red, con la finalidad de recuperar los ―Logs‖ que se han tomado como

parte de la gestión de red.

A continuación, se presenta la fase V:

http://www.dragonjar.org/tag/servidores




3.3.5 Fase V. Presentación de Resultados Obtenidos.


Es la fase final y la más delicada e importante la cual será el documento que sustentará una

prueba en un proceso legal.

Es la Fase que tiene como fin la presentación y entrega de los resultados obtenidos de la

investigación del análisis forense informático. La claridad con la que se presente el

resultado de la investigación, marcará la diferencia entre si es aceptada la evidencia o no en

un proceso legal, debiendo evitarse al máximo los tecnicismos en su redacción, esto es el

Dictamen Pericial deberá ser concreto, libre de jerga propia de la disciplina, pedagógico y

sobre manera, consistente con los hechos y resultados obtenidos.

Los especialistas en el análisis forense informático que apoyan las labores en el ciclo de

administración de la evidencia digital no deben contar con altos niveles de ética, sino con

los más altos estándares y niveles de ética, pues en ellos recaen los conceptos sobre los

cuales el juez toma sus decisiones.

FASE I

FASE II

FASE III

FASE IV

FASE V




3.3.5.1 Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la

presente Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el

documento final.

De acuerdo al caso bajo estudio, nivel de complejidad y/o al criterio del perito en informática

forense, la elaboración del documento final (llámesele Dictamen ó Reporte técnico), se

realizará en estricto apego a las actividades que conforman la presente Fase.

3.3.5.1.1 SubActividad 5.1.1 Definir las secciones (estructura) del cuerpo del documento

final.

De manera general deberá contener los apartados correspondientes a: los ―Antecedentes‖,

el ―Planteamiento del Problema‖, la ―Identificación del material objeto de estudio‖

(descripción a detalle del material objeto de estudio), las ―Consideraciones Técnicas‖ si es

que las hay, el desarrollo del ―Estudio técnico‖, ―Conclusiones ó Conclusión‖ a la que se ha

llegado, así como secciones complementarias, como un ―Glosario‖, ―Apéndice‖ y ―Anexos‖.

3.3.5.1.2 SubActividad 5.1.2 Explicar claramente el objetivo del Dictamen Pericial y motivo

por el cual se realizo determinado estudio.

3.3.5.1.3 SubActividad 5.1.3 Incluir en el cuerpo del Dictamen el apartado correspondiente

a los Antecedentes.

El cual consistirá, en una breve narración de los hechos precedentes a la intervención

pericial, tales como la manera en la que se pone del conocimiento los hechos delictivos que

se investigan, quien solicita nuestra intervención pericial, a qué lugar se tendrá que trasladar

el perito en informática forense, quien le pone a la vista el equipo objeto de estudio, persona

que lo recibe, hora de inicio del estudio y cualquier otra circunstancia que se relacione con

los hechos que se investigan, tal como si fue necesario consultar el expediente de la




averiguación previa o si se contó con el apoyo de cualquier otra persona a efecto de llevar a

cabo el estudio correspondiente. De igual manera será importante señalar si la autoridad

competente o el titular de la investigación gira alguna instrucción específica no obstante que

se le haya advertido de los riesgos que se corren al ejecutar tal instrucción.

3.3.5.1.4 SubActividad 5.1.4 Estudiar, el apartado correspondiente al ―Planteamiento del

Problema‖.

El cual deberá indicarle, al perito en informática forense, de una manera clara y objetiva el

motivo de su intervención pericial.

3.3.5.1.5 SubActividad 5.1.5 Incluir un apartado con la ―Identificación del material objeto de

estudio‖, (descripción a detalle del material objeto de estudio).

En el cual se especifique por ejemplo el tipo de equipo, marca, modelo, numero de serie y/o

inventario, alguna observación tal como si se encuentra en buen estado ó si se encuentra

funcionando, así como si se encuentra rotulado con alguna leyenda escrita, por ejemplo

esto último es típico en los discos compactos CD/DVD.

3.3.5.1.6 SubActividad 5.1.6 Incluir un apartado para establecer las ―Consideraciones

Técnicas‖, necesarias para llevar a cabo el estudio correspondiente.

3.3.5.1.7 SubActividad 5.1.7 Establecer a detalle el desarrollo del estudio técnico.

Especificar la metodología empleada para el estudio requerido por la autoridad competente,

así como todos y cada uno de los procedimientos realizados para llegar a los resultados

obtenidos.




Recordando que todo procedimiento deberá ser repetible y verificable (por otro

investigador). Incluir irregularidades encontradas o cualquier acción que pudiese ser

irregular durante el análisis de la evidencia.

3.3.5.1.8 SubActividad 5.1.8 Definir la conclusión ó conclusiones a la que se ha llegado, de

una manera clara y precisa.

La intervención pericial emite una conclusión que viene formulada sobre concretos datos

arrojados por el estudio técnico, por lo que en esté apartado, se escriben la ó las

conclusiones a las que se ha llegado de una manera clara, corta y objetiva.

Evitar los juicios de valor o afirmaciones no verificables, utilizar palabras simples, no las

rebuscadas, evitarse las redundancias.

Se pueden emplear términos técnicos necesarios, pero siempre de una forma clara y

simple, pensando en quien va a recibir el documento final producto de la presente

metodología.

3.3.5.1.9 SubActividad 5.1.9 Elaboración de Dictamen Pericial basado en la evidencia final

obtenida, para que ésta sea presentada.

3.3.5.1.10 SubActividad 5.1.10 Plasmar la rúbrica del Autor en el Dictamen Pericial.

3.3.5.1.11 SubActividad 5.1.11 Incluir secciones complementarias, tales como la

realización de un glosario, apéndice y anexos.




De igual manera no olvidar incluir en el cuerpo del Dictamen, todas las personas que de

alguna manera intervinieron en el caso bajo estudio (por ejemplo durante la realización de

un cateo, interviene una gran variedad de personal tales como: peritos, policía judicial y

ministerio público, entre otros), incluyendo sus cargos y las responsabilidades durante toda

la investigación.

3.3.5.2 Actividad 5.2 Analizar y considerar todas las subactividades, que conforman la

presente actividad, con el fin de elaborar el documento final.

3.3.5.2.1 SubActividad 5.2.1 Explicar los resultados del análisis, donde se detallen con

claridad los hallazgos.

Es indispensable que los hallazgos sobre la evidencia y/o resultados del análisis sean

vertidos dentro del apartado correspondiente al estudio técnico en donde se desarrollarán a

detalle todos y cada uno de los procedimientos efectuados para su obtención.

3.3.5.2.2 SubActividad 5.2.2 Realizar una bitácora de uso y aplicación de los

procedimientos técnicos utilizados.

Esta bitácora podrá ser manejada como un anexo, en el cual se muestre a detalle los

procedimientos y/o métodos aplicados a los elementos objeto de estudio.

3.3.5.2.3 SubActividad 5.2.3 Cumplir con exhaustivo cuidado con los procedimientos

previstos para el mantenimiento de la cadena de custodia.

Es recomendable que todo elemento objeto de estudio que se reciba o se entregue sea

acompañado con un oficio en el que se especifiquen los elementos que se reciben y/o se

entregan así como también se obtenga la firma de la persona que reciba dicho oficio,




acompañado de los elementos objeto de estudio, no está por demás decir que en dicho

oficio se detallaran las características de los elementos objeto de estudio.

3.3.5.2.4 SubActividad 5.2.4 Contar con todos los oficios recibidos y/o utilizados durante

toda la investigación.

Es posible que en el desarrollo de la investigación se extravié algún documento y/o

elemento objeto de estudio por lo que será de suma importancia el contar con la

documentación necesaria para deslindarse de cualquier responsabilidad.

3.3.5.2.5 SubActividad 5.2.5 Describir las herramientas enfocadas a la informática forense,

utilizadas durante el análisis.

Se deberá justificar y explicar el porqué del uso de alguna herramienta, sea ésta informática

(software) o electrónica así como su función dentro de la investigación.

SubActividad 5.2.6 Citar a las pruebas, de una manera concreta con el fin de hacer

entendible la conclusión.

Esto se hará, sin dar excesivos detalles acerca de cómo se obtuvieron estas, este tipo de

información es recomendable citarla en el apartado del estudio técnico.

3.3.5.2.7 SubActividad 5.2.7 Proporcionar una lista completa de todos los documentos

justificativos o de apoyo.

Lo anterior, se justifica cuando se está trabajando un caso (investigando), demasiado

complejo en cuanto a indagatorias (expediente de la averiguación previa), por ejemplo la

información que obra en actuaciones de la averiguación previa.




Cabe señalar que en muchas ocasiones habrá averiguaciones previas que estén

relacionadas con otras y cada una de ellas podrá estar constituida por varios volúmenes ó

tomos, por lo que cobra relevancia el tener documentado a que foja se toma alguna

información ó elemento de estudio, esto último por ejemplo cuando a determinada foja se

hace referencia a un portal de Internet ó dirección electrónica.

3.3.5.2.8 SubActividad 5.2.8 Incluir antes de la firma del autor o autores, una nota

aclaratoria en la que se especifique que se entrega el material objeto de estudio de la

misma forma en la que se recibió.

Esta nota aclaratoria es de suma importancia ya que muchas veces se entrega tanto el

Dictamen Pericial como el equipo bajo estudio al correspondiente resguardante y este último

no toma las medidas cautelares necesarias, teniendo como resultado el daño del equipo o

la pérdida del mismo, por lo que ante la ausencia de esta nota aclaratoria el único

responsable sería el perito en informática forense por no prever tal situación.

SubActividad 5.2.9 Obtener siempre un acuse de recibido del Dictamen Pericial, producto

de la aplicación de la presente metodología.

Lo anterior, a efecto de poder corroborar la entrega y recepción del Documento Final

producto de esta metodología, por lo general firmado por la autoridad competente y titular

de la investigación, especificando en el mismo que se recibe el material objeto de estudio,

fecha, hora y nombre de quien lo recibe.

Es importante aclarar que la persona que reciba tal documento, deberá indicar que lo que

está recibiendo es un Dictamen ó un Informe.

3.3.5.2.10 SubActividad 5.2.10 Realizar cualquier observación, dentro del documento final

antes de estampar la rúbrica (con el fin, de evitar que se invalide tal observación), se

recomienda firmar al margen todas y cada una de las fojas que constituyan el Documento

Final.




Siempre que se tenga algún tipo de observación ó detalle respecto a la investigación, tal

como: la entrega de algún anexo (llámesele disco compacto y/o tomas fotográficas, etc.),

alguna aclaración respecto a la entrega del Dictamen (retardo y/o evento circunstancial).

En lo que se refiere a la redacción del Dictamen evitar dejar espacios en blanco (en

particular grandes) y firmar al margen todas y cada una de la fojas que constituyan el

Dictamen, producto de la presente metodología.





En el Capítulo 3, se desarrolló la Metodología Propuesta, la cual tiene como base el tener

un enfoque Sistémico, en el presente capítulo se expusieron las fases y métodos que la

integran, se describió el proceso forense informático para lo cual se mostró el análisis del

modelo de informática forense, así como se mostraron gráficamente las fases que integran

la metodología propuesta.

En el Capítulo 3, se generó la estrategia de creación de la metodología propuesta. Lo

anterior le permitirá a un investigador forense informático el poder contar con una

metodología válida y confiable para la correcta obtención de evidencia digital.

Ahora en el siguiente Capítulo, se tendrá un caso de estudio, con la finalidad de poner en

práctica la Metodología Propuesta.




Capítulo 4.-

Aplicación de la Metodología Propuesta en un Caso de Estudio:

Localización de un archivo con información específica.




Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de

Estudio:

Localización de un archivo con información específica.

Ubicación de Información cuestionable.

Para la aplicación de la Metodología Propuesta, está se aplicará en un caso hipotético en el

que se le plantea al perito en informática forense: ―Localizar un archivo de texto con

Información Bancaria‖, relacionado con un fraude Bancario, teniendo como objetivo principal

el identificar cualquier información relacionada con tarjetas bancarias. Para tal fin, se

requiere conocer el elemento objeto de estudio, el cual, en este caso en particular, se trata

de una Computadora Personal, puesto a disposición de la autoridad competente y

relacionado con un fraude bancario.

Recordando que tal y como se estableció en el Capítulo anterior, dependerá del caso

de estudio; así como del criterio del perito en informática forense, el aplicar ó no

todas y cada una de las actividades y subfases que conforman la presente

metodología propuesta.

Entonces, para apoyo a la presentación de la metodología propuesta se empleará la

siguiente iconografía:

Para un recordatorio breve de la Actividad o Fase, es decir el ¿Qué hacer básico?

Resultados obtenidos:

Este otro icono, servirá para presentar los resultados obtenidos de dicha Actividad

en su aplicación en el caso práctico, en algunos casos también será usado para

identificación de la forma en que fue aplicada la Actividad o Fase.




FASE I

FASE II

FASE III

FASE IV

FASE V

Conociendo lo anterior, se procederá a la aplicación de las Fases de la Metodología

propuesta:

4.1 . Fase I. Planteamiento del Problema.

¿Qué hacer básico (recordatorio)?

Durante esta Fase se le presenta al forense informático de una manera clara y precisa el

objeto de la investigación, siendo por lo tanto la Fase que determinara la viabilidad del

Análisis, ya que como se trató en el capitulo anterior, de acuerdo a la forma en que se

plantea el problema se estará en posibilidades de intervenir en dicho caso a investigar o no.

Para tal fin, se sugiere llevar a cabo las siguientes actividades:



Hace referencia a él objeto de la investigación, es decir, el fin que tendrá la intervención

pericial.




Forma de Aplicación de la Actividad.

Para la presente actividad se recomienda se le haga una toma fotográfica al oficio, haciendo

énfasis en la parte donde se realiza la petición del tipo de análisis o bien se proceda como a

continuación:

Para el presente caso hipotético se tiene el siguiente Planteamiento del Problema: A la letra

dice: ―…localizar archivos de texto con Información Bancaria…‖

Una vez definido el planteamiento del problema, ahora se tiene que:

Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.

Se evalúa la disponibilidad de los recursos con los que se cuenta, sean estos Temporales,

Humanos, Materiales u Organizacionales.

En el presente caso práctico se hizo uso de una herramienta para desmontar el disco duro

de la computadora objeto de estudio, un bloqueador de escritura para el disco duro,

software forense para obtener la imagen del disco duro, así como su ―Hash‖ (En informática:

Hash, se refiere a una función o método para generar claves o llaves que representen de

manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato),

un disco duro limpio o esterilizado para respaldar la correspondiente imagen y un equipo de

cómputo para la realización de su respectivo análisis, para el presente caso con la

participación de un sólo especialista será suficiente.









http://es.wikipedia.org/wiki/Dato




Ahora se continúa con la aplicación de la:




FASE I

FASE II

FASE III

FASE IV

FASE V

4.2 . Aplicación de la Fase II. Identificación detallada del material objeto

de estudio.

Con el fin de llevar a cabo una adecuada intervención pericial en informática forense: es

necesario, conocer previamente el material objeto de estudio.

Para tal, fin se sugiere llevar a cabo las siguientes actividades:

Actividad 2.1 Aseguramiento del material objeto de estudio y consideraciones

generales.

Se tiene que hacer un resguardo adecuado del material motivo de estudio.

En el presente caso se da por hecho que la autoridad competente ya tiene asegurado el

equipo a analizar







Para el presente caso de estudio el CPU, cuestionado y bajo análisis tiene las siguientes

características:

No. Descripción Marca Modelo No. Serie Disco Asociado

01 CPU (gabinete

minitorre), color negro,

con un disco duro.

Marca ####-L# L# ##LLL####LL 1.- Marca de 320 GB

S/N: #LL#L#L#

Figura 4.1 Identificación del material objeto de estudio.

Es importante tomar en cuenta que un CPU almacena su información a través de sus discos

duros, por lo que será necesario identificar dicho elemento como se ejemplifica en la

siguiente figura:




Figura 4.2 Identificación del disco duro asociado al material objeto de estudio.

SubActividad 2.1.1 Establecer el perímetro de protección del equipo o equipos

afectados.

Evitar que la evidencia original sea alterada por las personas que intervienen en el lugar de

los hechos.





Derivado de que para el presente caso materia de estudio, se da por hecho que el equipo

se encuentra ya a disposición de la autoridad competente (en otra área distinta al lugar de

los hechos), la presente actividad no aplica en el presente caso motivo de estudio.

SubActividad 2.1.2 Tener la capacidad para poder determinar lo que ha sucedido y

reconstruir los hechos.

Analizar adecuadamente el lugar de los hechos y los indicios recogidos en el mismo.

Tomando en cuenta que para el presente caso materia de estudio, se da por hecho que el

equipo se encuentra ya a disposición de la autoridad competente (en otra área distinta al

lugar de los hechos), la presente actividad no aplica en el presente caso motivo de estudio.

SubActividad 2.1.3 Preservar toda impresión dactilar abandonada ó ubicada (huella

dactilar latente).







Con el fin de facilitar la identificación del supuesto sospechoso o sospechosos se deberá

preservar toda impresión dactilar.

Corroborar con el titular de la investigación que se haya preservado toda impresión dactilar,

no obstante se tendrá que tomar cualquier parte del equipo objeto de estudio con el debido

cuidado y haciendo uso de guantes de látex con el fin de evitar contaminar los equipos o

dispositivos a ser investigados.

SubActividad 2.1.4 Emplear brazaletes antiestáticos.

Se recomienda el uso de brazaletes antiestáticos, para evitar alterar la evidencia por cargas

electrostáticas.

Para el presente caso de estudio se hizo uso de brazaletes antiestáticos, con el fin de evitar

alterar la evidencia por cargas electrostáticas por la manipulación de los equipos o

dispositivos. Así mismo, se contó con bolsas antiestáticas para el adecuado y seguro

embalaje de la evidencia.








SubActividad 2.1.5 Determinar la ocurrencia de cualquier incidente y de su impacto.

En este punto se determinará la ocurrencia de cualquier otro dato y/o información

relacionada con los hechos que se investigan.

Para el presente punto se determinará la ocurrencia de cualquier otro incidente y/o detalle

que se observe del material objeto de estudio, por ejemplo: si el equipo muestra evidencia

de que haya sido abierto (marcas de herramienta), si derivado de la inspección del interior

del gabinete del CPU se observa algo inusual (por ejemplo, ausencia de polvo por el uso

normal en algunas áreas); cualquier anomalía y/o detalle inusual observable se le informará

por escrito al titular de la investigación.

Para el presente caso se hará hincapié en que el equipo tiene marcas propias de uso.

SubActividad 2.1.6 Considerar todos los componentes que pueden estar relacionados

de alguna forma con la computadora y/o elemento cuestionado.

Considerar todos los elementos relacionados con la especialidad de Informática con la

finalidad de aportar mayor información al titular de la investigación.







Para el presente caso motivo de estudio se tomaron, como elementos de análisis el

gabinete (chasis de la computadora) y su disco duro.

SubActividad 2.1.7 Conocer las debilidades, fortalezas y otros conocimientos

relacionados a las fuentes, incluyendo factores humanos y electrónicos.

Se hará un recuento de ventajas, desventajas relacionadas al caso de estudio y/o sobre

cualquier imprevisto.

Se le dio parte al titular de la investigación sobre la falta del cable de datos para conectar el

disco duro (en el presente caso se trata de un disco SATA), así como se informo el tiempo

estimado para el análisis del presente disco duro objeto de estudio.

SubActividad 2.1.8 Estar consciente de las limitaciones de sus capacidades

científicas, técnicas o temporales ante el caso expuesto.

Evitar que la evidencia se altere por el mal manejo de está, así como el de no tenerlos en

tiempo y forma.








En el presente caso motivo de estudio, la aplicación de esta actividad no aplica, ya que se

considera que se cuenta con todos los elementos necesarios para desahogar la solicitud de

la autoridad competente.

SubActividad 2.1.9 Realizar una evaluación de los recursos (en el ámbito de la

información y acceso a la misma, por ejemplo la determinación del origen de un

correo electrónico estará supeditado a la información proporcionada por el proveedor

de servicios de Internet), alcance y objetivos necesarios para realizar la investigación.

Determinar si se cuenta con los elementos mínimos necesarios (en cuanto a información y

acceso a la misma), para llevar a cabo la investigación.

Para el presente caso bajo estudio, la aplicación de esta actividad no aplica, ya que se

considera que se cuenta con el elemento indispensable para darle el debido cumplimiento a

lo requerido por la autoridad competente, que en el presente caso es el disco duro de la

computadora cuestionada.







SubActividad 2.1.10 Contar con un laboratorio de informática forense que permita

realizar el proceso de obtención y análisis.

Contar con la herramienta técnica necesaria y que asegure la preservación de la integridad

de la evidencia digital.

Para el presente caso, objeto de análisis, la aplicación de esta actividad no aplica, ya que se

considera que se cuenta con los elementos técnicos necesarios para dar el debido

cumplimiento a lo requerido por la autoridad competente.

SubActividad 2.1.11 Obtener por escrito la autorización para iniciar la intervención

Pericial en Informática Forense, (sea esta por parte de la autoridad competente o del

dueño del equipo cuestionado,Investigación de equipos). Teniéndose presente, el

principio de secrecia dentro de toda la investigación.

Poseer por escrito la autorización para intervenir el equipo, objeto de estudio.







Se obtuvo formalmente y por escrito la autorización para iniciar la intervención Pericial en

Informática Forense sobre el equipo objeto de estudio.

SubActividad 2.1.12 Documentar todas las acciones y antecedentes que preceden la

investigación. Los acontecimientos y decisiones que se adoptaron durante el

incidente y su respuesta al incidente.

Se deberá anotar la fecha, la hora exacta en que se recibió la llamada solicitando la

intervención pericial en informática, medio por el cual se recibió la llamada. Al llegar al lugar

de los hechos se deberá anotar: la hora exacta de llegada, la dirección correcta, nombre de

la autoridad que encabeza la investigación y la persona que le pone a la vista el equipo

cuestionado.

En el presente problema planteado y objeto de esté estudio, la aplicación de esta actividad

no aplica.







SubActividad 2.1.13 Organizar y definir el equipo de Investigación.

Se deberá acreditar legalmente la intervención pericial por parte de la autoridad

competente.

En el presente caso objeto de estudio, la aplicación de esta actividad no aplica, toda vez

que se da por hecho que se cuenta con la documentación que habilita legalmente la

intervención del perito.

SubActividad 2.1.14 Realizar una Investigación preliminar.

Se documentan todos los Antecedentes, que el perito crea conveniente citar.

Para el presente caso motivo de estudio, la aplicación de esta actividad no aplica.








SubActividad 2.1.15 Identificar el Impacto y la sensibilidad de la información (de

asuntos y/o de clientes, financieros, comerciales, de Investigación y desarrollo, etc.)

Identificar la relevancia que guarda el manejar cierto tipo de información (cuentas bancarias,

de gobierno etc.).

Se identificó el Impacto y la sensibilidad de la presente información que para el presente

caso planteado se podría tratar por ejemplo de información correspondiente al contenido de

las bandas magnéticas de tarjetas plásticas (bancarias), la cual se deberá manejar de

manera sigilosa y con el debido cuidado.

SubActividad 2.1.16 Analizar el Impacto de los negocios a través de la investigación

del Incidente.

Determinar si el incidente le impide a una empresa realizar sus actividades de manera

normal y éste no le provoca algún tipo de perdida.









Para el presente, planteamiento del problema que se tiene por objeto de estudio, la

aplicación de esta actividad no aplica.

SubActividad 2.1.17 Identificar la topología de red y tipología de red, equipos

afectados (servidores, estaciones de trabajo, Sistemas Operativos, Router, Switches,

etc.)

Se identifican los elementos más importantes dentro de una red de computadoras y que

pudieran aportar alguna información a la investigación.

En el presente caso motivo de estudio, ésta actividad no aplica.

SubActividad 2.1.18 Identificar los dispositivos de almacenamiento o elementos

informáticos.







Identificar los elementos que puedan aportar información relacionada a los hechos que se

investigan y que motiva el caso objeto de estudio.

Para el presente caso de estudio se procedió a fijar fotográficamente la computadora objeto

de estudio, así como a fijar fotográficamente su disco duro, resaltando datos como su

número de serie y capacidad.

Figura 4.3 Fijación Fotográfica del material objeto de estudio, teniendo mayor relevancia

para el presente caso el disco duro asociado a la computadora cuestionada, toda vez que

es el elemento en donde se almacena toda la información procesada.






SubActividad 2.1.19 Ejecutar adecuadamente los procedimiento sobre sistemas vivos

(análisis en vivo), para no perder la continuidad en producción de los equipos y su

uso en las instalaciones, evitando la perdida de los datos volátiles.

Se procederá de acuerdo al criterio del forense informático acorde a las circunstancias y de

acuerdo a lo requerido por la autoridad competente.

Para el presente caso motivo de estudio, la aplicación de esta actividad se ve reflejada en la

metodología desarrollada para resolver el Problema Planteado.

SubActividad 2.1.20 Identificar los posibles implicados o funcionarios que tengan

relación con la investigación ó que pudieran aportar mayor información.

Con el fin de obtener mayor información relacionada con los hechos que se investigan,

hacer uso de entrevistas, ya sea con usuarios o administradores responsables de los

sistemas.




http://www.dragonjar.org/category/entrevistas

http://www.dragonjar.org/tag/administradores




Para dar respuesta a lo requerido, en el presente Planteamiento de Problema propuesto, la

aplicación de esta actividad no aplica, ya que el darle respuesta a esta interrogante u

obtener está información no forma parte del Planteamiento del Problema para el presente

caso motivo de estudio y obtenerla significaría un exceso en las funciones del perito en

informática forense, pudiendo derivar en alguna sanción, incluso de carácter penal.

SubActividad 2.1.21 Realizar una recuperación de los “logs” (bitácora de

movimientos), de los equipos de comunicación y dispositivos de red, involucrados en

la topología de la red.

Llevar a cabo la recuperación de ―logs‖ de acuerdo al caso bajo estudio.

Para la presente investigación objeto de estudio, la aplicación de esta actividad no aplica, ya

que el darle respuesta a esta interrogante u obtener está información no forma parte del

Planteamiento del Problema para el presente caso motivo de estudio.

SubActividad 2.1.22 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quién es el

primero que tiene la evidencia?.







Determinar la cadena de custodia.

Para el presente caso motivo de estudio, la aplicación de esta actividad se encuentra

implícita en el desarrollo del documento final y consiste en llevar a cabo una adecuada

manipulación de la evidencia, así como el de llevar un claro registro de quien y en que

momento tuvo su resguardo.

SubActividad 2.1.23 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quien

examino la evidencia? (Si anterior a nuestra intervención, intervino alguien mas, por

ejemplo la policía cibernética).

Documentar cualquier intervención (análisis) con el material objeto de estudio.

La aplicación de esta actividad se encuentra implícita en el desarrollo del documento final.








SubActividad 2.1.24 Responder a las preguntas: ¿Quien va a tener custodia de la

evidencia? y ¿Por cuánto tiempo la tendrá?

Documentarlo detalladamente.

Para el presente caso motivo de estudio, la aplicación de esta actividad se encuentra

implícita en el desarrollo del documento final.

SubActividad 2.1.25 Responder a las preguntas: ¿Quién? y ¿Cómo se embaló y/o

almacenó la evidencia?

Documentar este punto detalladamente.

Para el presente objeto de análisis, el empleo de esta actividad no aplica, toda vez que se

dio por hecho que el equipo asegurado se recibió para su estudio directamente de la









SubActividad 2.1.26 Responder a las preguntas: ¿Cuándo se realiza el cambio de

custodia? y ¿Cómo se realiza la transferencia?

Documentar turno, personal y área jurisdiccional (por ejemplo Delegación ó el nombre del

Ministerio Público).

Para el presente caso motivo de estudio, el uso de esta actividad se muestra en el

desarrollo del documento final (Dictamen Pericial).

Actividad 2.2 Efectuar la evaluación del caso.

Se valoraran (con base al contenido de archivos ubicados), los elementos de mayor

relevancia localizados en el material objeto de estudio y que tengan relación con la de la

investigación y/o hechos que se investigan.







Para el presente caso objeto de estudio, la búsqueda de información se centro en la

búsqueda de archivos de tipo texto, sea este del tipo plano (por ejemplo archivos con

extensión .txt) ó enriquecido (por ejemplo archivos con extensión .doc).

SubActividad 2.2.1 Situar el status del caso, que el perito en informática forense

investigará.

Determinar qué sentido tomará la investigación, definiéndose si es simplemente la violación

de una política, normas, lineamientos o bien se trate de un delito.

Para el presente asunto bajo estudio, la aplicación de esta actividad no aplica, ya que el

Planteamiento del Problema es puntual y objetivo: ―Buscar información Bancaria‖.

SubActividad 2.2.2 Conocer detalles sobre el caso.

Conocer la mayor cantidad de detalles antes de llegar a la escena del delito donde se

presento el incidente, de ser posible realizar una lectura del expediente de la averiguación

previa.








En la presente investigación, la utilización de esta actividad no aplica, ya que para darle

respuesta al presente Planteamiento del Problema, no se requiere mayor información (ya

que en algunas ocasiones será necesario leer el expediente de la averiguación previa), que

avocarse a la búsqueda de información requerida por la autoridad competente.

SubActividad 2.2.3 Definir el tipo de evidencia a manejar.

Tener bien claro el tipo de evidencia que se va a manejar, por ejemplo hacer la diferencia

entre un chip y una micro memoria para equipo fotográfico.

En la presente investigación, esta actividad consistió en definir el tipo de evidencia a

localizar y/o a manipular, así como a analizar, siendo que para el presente caso, el estudio

del disco duro, derivo en localizar dos archivos de texto con información bancaria.

SubActividad 2.2.4 Evaluar de manera inicial respecto al caso.

Recabar información con las personas relacionadas con el caso para posteriormente

documentar las respuestas recabadas y relacionarlas con la evidencia obtenida.








Para el presente caso se le solicitó al personal bancario sobre las características de la

información que podría venir almacenada en la computadora objeto de estudio (series de

números con determinadas características: los cuales, probablemente correspondan a

tarjetas bancarias ó cuentas bancarias beneficiarias del fraude), que para el presente caso

se buscaron las palabras claves ―Track1:‖ y ―Track2:‖, así como búsqueda de cadena de

caracteres numéricos de 16 dígitos.

SubActividad 2.2.5 Rastrear fuentes de información en la estructura organizacional.

• Perfiles de usuario.

• Investigación en progreso de un determinado lugar o un análisis nuevo.

Verificar los lineamientos de las políticas de uso de equipos, de igual manera considerar los

manuales operativos institucionales con el fin de obtener mayor información.

Para la presente investigación, la aplicación de esta actividad no aplica, ya que no forma

parte del Planteamiento del Problema.

SubActividad 2.2.6 Ubicar, ¿Cuales son las fuentes de información?








Localización lógica o física de la evidencia digital, que tenga que ver con los hechos que se

investigan.

En este punto se ha identificado al disco duro asociado a la computadora objeto de estudio

como un elemento imprescindible en el presente análisis.

Razón por la cual se determina realizar una búsqueda de información relacionada con

tarjetas bancarias a través de la siguiente acción:

1) Búsqueda en el disco duro de cualquier información relacionada con tarjetas

bancarias.

Es importante señalar que para realizar el análisis del disco, se utilizó un bloqueador

o protector contra escritura (Figura 4.4), de tal forma que la información del disco

duro no fue alterada durante el análisis, preservándose de esta forma la integridad de

la evidencia.

Figura 4.4 Una vez que se tuvo identificado plenamente al elemento base (fuente de

información), para realizar su análisis correspondiente, se procedió a colocarle un

bloqueador de escritura.





En la figura anterior se observa la conexión del bloqueador de escritura, a efecto de llevar a

cabo su exploración sin alterar la información contenida en este soporte magnético (disco

duro).

SubActividad 2.2.7 Identificar las fuentes de información, tanto de personas, como de

aquellas que se encuentran almacenadas de manera lógica.

Delimitar el área de búsqueda, especificada por el Planteamiento del Problema, planteado

por la autoridad competente.

Se identificó al personal de las instituciones bancarias idóneas, para proveer de información

que pudiera ser útil para la investigación.

SubActividad 2.2.8 Determinar el diseño preliminar o enfoque del caso.

Se prepara un resumen general para hacer la investigación de manera acotada, (en

condiciones de cierta premura podría servir como un avance de Dictamen Pericial (un

Dictamen con muy poco tiempo a disposición del investigador)).







Para el caso particular bajo estudio, no aplica la presente actividad, por el hecho de no ser

un caso urgente, así como considerar que el volumen de información manejada como

evidencia es poca (dos archivos de texto).

SubActividad 2.2.9 Fijar el lugar de los hechos con tomas fotográficas y grabaciones

de diferentes ángulos en el área del lugar de los hechos antes de la recolección de la

evidencia.

Realizar tomas fotográficas y/o grabaciones del lugar de los hechos ó escena del delito.

Derivado que para el presenta caso motivo de estudio se da por hecho que el material para

análisis es puesto a la vista por la autoridad competente y que esté (material ó equipo

cuestionado), ya fue asegurado (sustraído) de la escena del delito y por ende ya fue fijado el

lugar de los hechos, razón por la cual se aplica la presente actividad de manera parcial, es

decir para el presente proyecto se fijo el material de estudio únicamente.

SubActividad 2.2.10 Fijar fotográficamente los periféricos (teclado, mouse, impresora,

scaner etc.), que se encuentran en el lugar de los hechos.








Se fijan los periféricos en el lugar de los hechos o lugar de la investigación.

Para el presente caso motivo de estudio, el empleo de esta actividad no aplica, ya que el

material objeto de estudio, fue recibido a través de la autoridad competente y para el

presente caso se consideró que se recibió únicamente el gabinete de la computadora (sin

cables, monitor, teclado etc.).

SubActividad 2.2.11 Fijar fotográficamente las conexiones físicas del equipo motivo

de estudio.

Realizar tomas fotográficas del arreglo de las conexiones del equipo ó equipos

cuestionados.

Para darle respuesta al presente problema planteado, el uso de esta actividad no aplica, ya

que para el caso bajo estudio no se consideró ir al lugar de los hechos ó lugar donde se

aseguro el equipo de cómputo, (el gabinete objeto de estudio, lo presento la autoridad

competente).

SubActividad 2.2.12 Documentar la información observable.








Debe registrarse toda la información útil observable y que puede en un momento dado ser

necesaria, en el desarrollo de la investigación.

Se procede a documentar datos importantes como la unidad con que fue identificado por el

equipo al que se conecto, etiqueta del volumen, el número de serie lógico del volumen

(disco duro), así como el sistema de archivos en el que se encuentra la información

almacenada en el disco duro objeto de estudio, con el propósito de dejar en claro el escrito

final, resultante del estudio realizado.

Figura 4.5 Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖) con la que fue detectado

el disco duro, asociado al material objeto de estudio.





Figura 4.6 Salida tipo pantalla en la que se ilustra el número de serie lógico del volumen

(―#L##-###L‖).

SubActividad 2.2.13 Identificar si el equipo se encuentra encendido o apagado.

Corroborar el estado de encendido ó apagado de un equipo, (en situaciones en donde se

acude al lugar de los hechos).

En el caso bajo análisis, el empleo de esta actividad no aplica, ya que se consideró que el

equipo se recibió apagado.

SubActividad 2.2.14 Reconocer el sistema operativo (sistema de archivos) del

dispositivo del cual se obtendrá la información.






Identificar el sistema de archivos en el que se va a trabajar.

Para el presente caso motivo de estudio, esta actividad no aplica, toda vez que no forma parte del


SubActividad 2.2.15 Documentar la fecha y hora del sistema, para demostrar la hora

en la que se dio inicio a la investigación.

Documentar fecha y hora del equipo cuestionado (bajo estudio).

Para el presente caso motivo de estudio, esta actividad no aplica, ya que el equipo se

recibió apagado.

SubActividad 2.2.16 Interrumpir las conexiones de la red de computo.

Desconectar los equipos de la red.









Para el presente caso motivo de estudio, la actividad no se aplica, ya que el equipo de

cómputo, se recibió para su estudio apagado y de manera individual.

SubActividad 2.2.17 Realizar movimientos con el Mouse (ratón) de forma periódica.

Cuando se tiene a la vista, en la escena del delito una computadora (y se va a realizar un

análisis en vivo), es recomendable realizar movimientos con el Mouse para evitar activar el

protector de pantalla el cual en ocasiones viene acompañado de contraseña.

Para el presente caso motivo de estudio, la actividad no se aplica, debido a que el equipo

de cómputo se recibió apagado.

SubActividad 2.2.18 Preparar un diseño detallado.

• Ajuste a nivel detallado de las necesidades actuales.

• Consideración de la preparación del tiempo estimado, y los recursos requeridos

para completar cada caso.

Estimación del tiempo necesario para realizar un análisis completo.








Para el presente caso motivo de estudio, la actividad no se aplica, ya que el volumen de

información que se maneja, en lo que hace al material objeto de estudio (un solo disco

duro), así como evidencia digital localizada, se considera manejable.

SubActividad 2.2.19 Determinación de recursos requeridos para la investigación con

respecto al hardware, software y herramientas de informática forense.

Ver las necesidades que enfrenta el investigador, a efecto de poder desahogar en tiempo y

forma el Problema Planteado.

Para el presente caso motivo de estudio, el empleo de esta actividad no aplica, ya que para

el presente caso motivo de estudio, ya se cuentan con los elementos necesarios para darle

respuesta.

SubActividad 2.2.20 Marco legal relacionado al incidente

• Detalles generales a nivel internacional

• Detalles generales del fuero federal

• Detalles generales del fuero común

Tener presente las implicaciones legales que tiene cualquier tipo de intervención pericial.








Para el presente caso motivo de estudio, esta actividad no se aplica, ya que en la presente

investigación se tiene el supuesto de que la autoridad competente es quien habilita ó hace

legal la presente intervención pericial. La presente actividad será útil, cuando se acude a la

escena del delito como por ejemplo en un cateo, en un lugar donde se falsifiquen

documentos públicos y/o privados.

SubActividad 2.2.21 Enumerar los pasos a ser realizados durante la investigación,

previa información obtenida.

Una vez asegurado el lugar de los hechos y obtenida la información relacionada al

incidente, se prepara el procedimiento a seguir para la obtención de información.

Para el presente caso motivo de estudio, esta actividad no se aplica, ya que por la falta de

complejidad del presente caso, se considero innecesario.

SubActividad 2.2.22 Corroborar diseño de investigación.

Verificar que los pasos decididos son correctos, acordes y justificados con la situación del

incidente.








En la presente investigación, esta actividad no se aplica, ya que no se considera necesario

por ser relativamente simple. La presente actividad será útil en asuntos complejos, sea por

el volumen de información y/o por la especialización que requieran tales casos.

SubActividad 2.2.23 Identificar el riesgo implicado.

Documentar los problemas que se espera encontrar o que obliga a que puedan ocurrir, se

podrá incluir en el correspondiente dictamen un apartado de consideraciones técnicas.

Para el presente caso motivo de estudio, esta actividad no se emplea, ya que la presente

intervención pericial se efectuó en estricto apego a la legalidad (recordando que caso bajo

estudio es hipotético), y para el caso no se consideran mayores complicaciones.

Continuando con el presente estudio, se desarrolla la Fase III:







FASE I

FASE II

FASE III

FASE IV

FASE V

4.3 Aplicación de la Fase III. Adquisición de evidencia.

Se obtiene la evidencia sin alterarla o dañarla, se autentica que la información de la

evidencia sea igual a la original.

Para tal, fin se sugiere llevar a cabo las siguientes actividades:

Actividad 3.1 Efectuar consideraciones Previas.

Se tendrá que tener especial cuidado al realizar una intervención pericial y obtener

información de un medio electrónico así como el de no alterar los metadatos de la

información almacenada (conservar intacta la información digital), es de recalcar que

siempre se deberán tener presentes las implicaciones legales al intervenir y obtener

información de un medio electrónico.

De no contar con el equipo necesario informarlo a la autoridad competente y suspender por

el momento el estudio requerido.






Por lo que se refiere al presente caso objeto de estudio, la aplicación de esta actividad se ve

reflejada en el hecho de que para efectos del mismo, se da por hecho que un representante

de la autoridad competente dio fe del análisis efectuado (es decir estuvo presente), de igual

forma se da por hecho que se cuenta con los oficios que habilitan y permiten el presente

estudio.

SubActividad 3.1.1 Estudiar de la mejor manera posible, las condiciones que se

presentan previas a la adquisición de la evidencia.

• Implicaciones legales de la adquisición de datos, (metodología aplicada en la

obtención de información, para su debida legalidad y autenticidad).

• Documentar la cadena de custodia.

Se debe de garantizar la individualización, seguridad y preservación de los elementos

materiales y evidencias (en el caso particular evidencia digital), recolectados de acuerdo a

su naturaleza o incorporados en toda investigación, destinados a garantizar su autenticidad

para los efectos del proceso.

Para el caso particular propuesto, objeto de análisis, la aplicación de esta actividad se ve

reflejada en los puntos en los que se hace referencia a la identificación del material objeto

de estudio, la metodología aplicada, así como las herramientas forenses aplicadas (software

y hardware) con el fin de darle respuesta al Planteamiento del Problema.







SubActividad 3.1.2 Requisitar por escrito la autorización para realizar el análisis forense en

informática.

Obtener la autorización por escrito para la intervención pericial, sea ésta por parte de la

autoridad competente (por ejemplo: a través del Agente del Ministerio Público).

A efectos del presente caso motivo de estudio, la aplicación de esta actividad se da por

hecho, esto debido a las consideraciones que se han venido tomando en el presente trabajo

tales como, que el equipo a ser analizado fue asegurado por una autoridad y esta a su vez

la entrego para su análisis al perito en informática forense.

SubActividad 3.1.3 Documentar la configuración y características del hardware del

sistema.

Lograr la plena identificación del material objeto de estudio, evitando con ésto que se dude

de la autenticidad de un equipo.

En el caso particular del presente caso motivo de estudio, la aplicación de esta actividad se

ve implícita en el desarrollo del estudio técnico que se le efectúa al material objeto de

estudio, ya que en el mismo se documento las características técnicas de la unidad de disco








duro cuando este fue montado a otra computadora (en el ―argot‖, esto se refiere a que el

disco se conecto a otra computadora).

SubActividad 3.1.4 Plan de adquisición de la evidencia digital.

Metodología aplicada, con la que se llevará a cabo la adquisición de los datos, identificando

que es lo más conveniente de acuerdo a las características del incidente ó material objeto

de estudio.

La metodología aplicada al presente caso objeto de estudio, fue la siguiente:

1. Observación directa del dispositivo (computadora) e información contenida en el

disco duro asociado a la misma.

2. Descripción detallada del estudio técnico.

3. Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con

base en la lógica formal.

Que para el presente caso la búsqueda se centro en la localización de información bancaria.

Actividad 3.2 Elaborar la guía para la obtención de los datos volátiles.






Cuando se realiza la recolección de evidencia digital, se debe proceder de lo volátil a lo

menos volátil.

A efectos del presente análisis, esta actividad no se aplica, toda vez que se tuvo acceso al

material objeto de estudio (computadora), cuando esta ya estaba apagada por lo que se

procedió a efectuar su análisis, directamente sobre su disco duro.

Actividad 3.3 Elaborar la guía para la obtención de los datos no volátiles.

Se consideran los elementos asociados a la computadora y que por sus características no

se considera que generen ó proporcionen información volátil.

Para el presente caso se seleccionó como fuente de información principal al disco duro

asociado a la computadora objeto de estudio (ver Figura 4.4).

Actividad 3.4 Elaborar el plan de la investigación para la obtención de datos.

1. Descubrir datos relevantes.

• No obtener información innecesaria.

2. Encontrar la evidencia.








Descartar la información no relacionada con el incidente para acotar la búsqueda de la

evidencia digital.

En el presente caso motivo de estudio, esta actividad se aplicó, definiendo y centrando la

búsqueda a la localización de información bancaria.

Actividad 3.5 Crear el procedimiento para la adquisición de la imagen.

Se elige el software para adquirir la imagen (copia bit a bit) de la evidencia digital y se

establece la forma (tamaño de archivos generados al obtener la correspondiente imagen,

por ejemplo archivos de 700 MB para guardarlos en CDs), en la que se adquirirá la imagen

forense, copia bit a bit del disco duro, objeto de estudio, así mismo si el caso de estudio así

lo amerita se obtendrá el ―Hash‖ de la imagen adquirida.

A efectos de realizar el presente análisis forense en informática, se eligió: la herramienta de

apoyo de Software Forense FTK Imager de AccessData Corp. [http://www.accessdata.com/]








Luego de haber realizado una somera revisión y con el fin de agilizar el análisis así como

ahorrar en espacio de almacenamiento (recalcando en este punto el uso del protector contra

escritura), se opto por obtener la imagen de una parte del disco duro.

Una vez identificado el material objeto de estudio y con el fin de ilustrar el procedimiento de

obtención de la imagen forense del disco duro objeto de estudio, primeramente se

presentan las siguientes pantallas en las que se muestra tal proceso de obtención:

Figura 4.7 Como primer paso se tuvo que montar el Disco Duro al Software.




En la figura anterior se observa la adición como evidencia a analizar con la herramienta de

Software Forense AccessData FTK Imager.

Figura 4.8 Salida tipo pantalla en la que se observa el contenido del disco a través del

software forense AccessData FTK Imager.

Así mismo se observa como este programa permite una vista previa de los archivos

almacenados en el disco duro, incluso los eliminados.

Archivo Borrado y

visualizado en FTK

Imager.




Figura 4.9 Salida tipo pantalla en la que se ilustra el ingreso de los datos del caso de

estudio.

De la figura anterior, es importante resaltar que con la información proporcionada a este

software, se creará la imagen de todo el disco duro bajo análisis (si se opta por la imagen

del Disco Duro Completo).




Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se le indican al

software forense, el destino de la imagen.

De la figura anterior, es importante señalar que el destino donde se guardará la imagen

tendrá que ser el suficiente para cumplir tal propósito, también es importante considerar el

nombre de los archivos generados y el tamaño de los fragmentos generados (archivos).




Figura 4.11 Salida tipo pantalla en la que se observa el progreso en la obtención de la

imagen total del disco duro.

Como se hizo referencia en líneas anteriores, para el presente estudio se opto por adquirir

la imagen de una sección de información (carpeta ―Documents and Settings‖), del disco duro

objeto de estudio, por lo que a continuación se presentan las pantallas que ilustran este

procedimiento personalizado:




Una vez que se montó el disco duro objeto de estudio (se adicionó como evidencia en el

software), se seleccionó la carpeta ―Documents and Settings‖, para lo que posteriormente se

seleccionó la opción ―Export Logical Image (AD1)‖, procedimiento que se muestra en la

siguiente Figura:

Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de la carpeta

―Documents and Settings‖.




Posteriormente y como resultado de ejecutar la opción ―Export Logical Image (AD1)…‖,

sobre el directorio elegido y antes especificado, se visualizaron tres recuadros con la

información que se muestra a continuación en la figura 4.13.

Figura 4.13 Salida tipo pantalla en que se muestra el termino del proceso para adquirir la

imagen de la carpeta ―Documents and Settings‖.

De la figura anterior, se observa que el software genero tres reportes: Creación de la

imagen al 100 %, Creación del directorio en forma de lista al 100 % y el ―Hash‖ (o firma

digital de la información) de la imagen.




Figura 4.14 Vista de los archivos generados al finalizar el procedimiento de obtención de la

Imagen de la información seleccionada (archivos con extensión: .ad1 y .ad2).

SubActividad 3.3.1 Crear una copia física exacta de la evidencia.

Se obtiene la imagen (copia bit a bit) de la evidencia digital.

En el presente caso objeto de estudio, esta actividad se aplicó de manera parcial ya que

como se definió con antelación fue la carpeta ―Documents and Settings‖, de la cual se

obtuvo su imagen forense.

SubActividad 3.3.2 Determinar los tipos específicos y cantidad de medios de los

cuales se obtendrá la imagen.






Cuando se obtengan las imágenes forenses (copias bit a bit), de diferentes equipos (discos

duros, memorias etc.), se deberán etiquetar de manera adecuada y correctamente a fin de

no cometer errores en el manejo y custodia.

En el presente estudio, el material fue identificado como ―01‖ y siendo un sólo elemento a

analizar, no hubo mayor problema con respecto a la individualización de su imagen forense.

SubActividad 3.3.3 Usar hardware o software para bloqueo de escritura.

Hacer uso de protectores contra escritura (para la exploración de evidencia digital).

Para la realización del presente estudio se contó con un bloqueador de escritura con el fin

de no alterar la evidencia original y mantener su la integridad de la información almacenada

intacta.

SubActividad 3.3.4 Verificar la integridad de nuestra evidencia calculando el “Hash”

por medio de los algoritmos MD5 ó SHA-1.








De acuerdo al software forense seleccionado se verifica la integridad de nuestra evidencia

calculando el ―Hash‖.

Derivado del proceso de obtención de imagen forense, se obtuvo el valor ―Hash‖ (guardado

en el archivo: ―Imagen del Disco Duro Objeto de Estudio.ad1.txt‖), que se muestra en la

siguiente figura:

Para el presente caso objeto de estudio se obtuvieron los siguientes valores ―Hash‖:

MD5 checksum: 2262c6f33fe0ed18e328a24e01523bb6

SHA1 checksum: a61e29c88aad2972c95e253451fafbd1aef43b4c

Lo anterior, se puede corroborar observando la figura que se muestra a continuación:






Figura 4.15 Vista del contenido del archivo generados con el valor ―Hash‖ de la imagen del

disco duro.

SubActividad 3.3.5 Custodiar el dispositivo de donde se obtendrá la imagen forense,

hasta su creación, verificación y respaldo, para evitar que esta sea alterada de

manera intencional.

Asegurarse que el material objeto de estudio se encuentre bien protegido.





Se mantuvo el equipo de cómputo bajo resguardo y protegido de cualquier eventualidad, de

igual manera se almaceno la imagen forense obtenida, bajo un medio ó soporte esterilizado

(para el presente caso motivo de estudio considérese que se uso para el resguardo de la

imagen forense, un disco duro nuevo) así mismo, se obtuvo el ―Hash‖ de la información

adquirida (obtenida).

SubActividad 3.3.6 Esterilizar el medio forense donde se almacenará la imagen.

Antes de que la imagen se deposite en un disco duro es una buena práctica esterilizar o

limpiar esté medio de destino.

Para el presente caso particular bajo estudio, la aplicación de esta actividad no aplica, toda

vez que considerando el tamaño (7.31 GB (7.856.263.168 bytes)) de los dos archivos que

conforman la imagen forense adquirida, no fue necesario utilizar un disco duro para su

almacenamiento, sino que basto el resguardarlos en un Disco Compacto DVD de doble

capa (estos discos tienen una capacidad de 8.5 GB).







SubActividad 3.3.7 Llevar un manejo adecuado en el almacenamiento de múltiples

imágenes.

Organizar adecuadamente el disco destino en el que se guardarán las imágenes forenses.

Para el presente caso motivo de estudio, la imagen forense se resguardo en un disco

compacto DVD de los llamados de doble capa, nuevo.

SubActividad 3.3.8 Asegurar que el medio que almacene la imagen, no sea utilizado

para imágenes posteriores, a menos que se le aplique un procedimiento que

garantice su esterilización.

No reutilizar un disco duro para el resguardo de evidencia, a menos que se realice un

procedimiento que asegure su esterilización.

Para el presente caso motivo de estudio, la aplicación de esta actividad no aplica, ya que

fue utilizado para el resguardo de las imágenes forenses adquiridas un disco compacto DVD

de doble capa.








SubActividad 3.3.9 Crear otra imagen de respaldo, y procurar trabajar sobre está.

Trabajar siempre sobre un respaldo y no sobre la evidencia.

En el presente análisis se trabajo sobre la imagen forense adquirida.

SubActividad 3.3.10 Registrar cualquier anomalía o circunstancia inusual encontrada

durante la creación de la imagen por medio de algún formato (capturas de pantalla,

etc.), para estar en posibilidades de hacer alguna aclaración.

Notificar y documentar cualquier desperfecto a la hora de obtener la imagen forense de la

información a analizar.

En el presente caso motivo de estudio, no se presentó ninguna anomalía en la obtención de

la imagen forense.








SubActividad 3.3.11 Registrar cualquier acción efectuada, para investigar y rectificar

los errores de la obtención de la imagen, los cuales deberán ser documentados.

Cualquier procedimiento encaminado a la rectificación de un error debe ser documentado.

En lo concerniente al presente caso motivo de estudio, la aplicación de esta actividad no

aplica, ya que no se produjo ningún error durante el estudio técnico desarrollado para dar

respuesta al Planteamiento del Problema.

SubActividad 3.3.12 Establecer que cualquier desviación del procedimiento para la

obtención de la imagen requiere de aprobación del perito en informática forense y ser

documentado, es decir que no se puede manipular la imagen sin autorización del

perito en informática responsable.

Cualquier intervención sobre la evidencia requerirá de la aprobación del perito en

informática forense y a su vez ser documentado.

A efectos del presente caso motivo de estudio, se estableció que la imagen forense se

obtenía de manera parcial y no del total del disco duro, toda vez que de la exploración que

se efectuó del disco duro, bajo estudio se observó que la información de interés se

localizaba en un directorio (se obtuvo la imagen forense de la carpeta: ―Documents and

Settings‖).








SubActividad 3.3.13 Establecer una política del manejo y almacenamiento de la

evidencia para mantener su integridad.

Deben definirse claramente las acciones a seguir con el manejo de la evidencia.

Por lo que respecta al presente caso motivo de estudio, se estableció el ocupar un disco

compacto DVD de doble capa para el resguardo de la imagen forense, derivado del tamaño

de los dos archivos generados.

SubActividad 3.3.14 Establecer, las condiciones posteriores a la adquisición:

• Manejo de imágenes forenses

• Manejo de la evidencia obtenida

• Conservación

• Transporte

Existen varios tipos de mecanismos que son utilizados para asegurar el transporte de la

evidencia, debido a que esta debe hacerse en bolsas antiestáticas, aislantes de

comunicaciones y en un buen contenedor para evitar que esta se dañe.







En lo concerniente al presente caso motivo de estudio, se hizo uso de bolsas antiestáticas

para salvaguardar el disco duro bajo estudio y se resguardo en un estuche plástico el disco

compacto DVD en el que se almacenaron las imágenes forenses obtenidas.

A continuación se desarrolla la Fase IV, de la presente Metodología:





4.4 Aplicación de la Fase IV. Análisis de Datos.

Se definen los criterios de búsqueda con objetivos claros, en el proceso de análisis de la

información.

Actividad 4.1 Preparar, el análisis correspondiente al caso de estudio.

Revisión de las imágenes forenses, para efectuar el análisis correspondiente.

Por lo que respecta al presente caso de estudio se procedió a montar los dos archivos

generados de imagen, al Software Forense para su respectivo análisis, como se muestra en

la siguiente figura:

FASE I

FASE II

FASE III

FASE IV

FASE V







Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia adquirida.

SubActividad 4.1.1 Contar con disponibilidad de datos:

Tener a la mano todas y cada una de las copias forenses correspondientes a la evidencia

adquirida de cada uno de los dispositivos bajo estudio.





En lo concerniente al caso objeto de estudio, se tuvo a la mano los archivos de la imagen

adquirida con el Software Forense, la cual se observó en la Figura 4.16.

SubActividad 4.1.2 Determinar el alcance del incidente, la extensión del daño

originado por él así como la naturaleza del mismo.

Contar con una estrategia de respuesta al incidente objeto de estudio; es importante

establecer, junto con las buenas prácticas de seguridad, estrategias para la identificación y

recolección de la evidencia del incidente. Por lo anterior es clave desarrollar y contar con

experiencia y entrenamiento en labores forenses en informática que permitan mayor

confianza en los procesos mencionados.

Considerar que si la evidencia es recogida de una manera adecuada, habrá mayores

posibilidades de establecer una ruta hacia el atacante y contar con mayores elementos

probatorios en el evento de una persecución y juzgamiento del intruso.

Con respecto al presente caso motivo de estudio no aplica esta Actividad ya que no es parte

del problema planteado.







SubActividad 4.1.3 Evitar lo más que se pueda, el uso de la computadora si está se

encuentra encendida y/o evaluar si conviene realizar el análisis de evidencia digital en

vivo y/o post-mortem (apagado).

Evaluar si conviene realizar el análisis en vivo (con la computadora encendida) y/o apagada.

En lo referente al presente caso motivo de estudio, el análisis se realizó sustrayendo el

disco duro de la computadora cuestionada (análisis post-mortem).

SubActividad 4.1.4 Evitar encender la computadora, en la medida de lo posible.

Si el equipo de cómputo se encuentra apagado, sustraerle el disco duro y hacer uso de

algún tipo de herramienta forense; por ningún motivo se deberá encender dicho equipo.

Para la realización del presente análisis la computadora cuestionada nunca fue encendida y

su estudio fue realizado haciendo uso de un protector de escritura.








SubActividad 4.1.5 Fijar fotográficamente la pantalla de la computadora, si ésta se

encuentra encendida, y de preferencia cuando se observe algo de interés para la

investigación.

Fijar fotográficamente cualquier dato de interés.

A efectos del presente caso objeto de estudio, la actividad en comento, no aplica ya que el

equipo se recibió apagado.

SubActividad 4.1.6 Realizar movimientos periódicos del Mouse.

Evitar que aparezca el protector de pantalla.

Por lo que se refiere a la presente investigación, esta actividad no aplica, ya que la

computadora bajo análisis, se recibió apagada.








SubActividad 4.1.7 Apagar la computadora del cable de alimentación (cuando el

investigador se apersone en el lugar de los hechos ó escena del delito y la computadora

este encendida).

Desconectar la computadora del cable de alimentación y/o quitar batería.

Para el presente caso objeto de estudio no aplica, ya que la computadora se recibió

apagada.

SubActividad 4.1.8 Considerar manuales e instructivos, documentos y notas que se

considere aporte datos a la investigación.

De ser necesario considerar cualquier documental que facilite el presente análisis motivo de

estudio.

Por lo que se refiere a la presente investigación, esta actividad no aplica, ya que se trata de

una computadora comercial sin equipo adicional, así como el Planteamiento del Problema

no requiere de un estudio más detallado.








SubActividad 4.1.9 Buscar información relacionada con el criterio de búsqueda

(descrito en el Planteamiento del Problema).

Centralizar la búsqueda de información en estricto apego al Problema Planteado.

Para el presente caso de estudio la búsqueda se centralizó en archivos de texto (plano ó

enriquecido), conteniendo información bancaria.

SubActividad 4.1.10 Determinar si los archivos no tienen algún tipo de cifrado.

Verificar si los archivos contienen algún tipo de cifrado.

En lo que concierne al presente caso objeto de estudio se procedió a abrir los archivos, sin

tener ningún problema.








SubActividad 4.1.11 Preparar el directorio o directorios de trabajo.

Se deberá seleccionar el área de trabajo (Subdirectorio, Carpetas ó Disco Duro), bajo la

cual se iniciará el análisis.

Por lo que refiere al presente caso objeto de estudio se determinó trabajar en la carpeta ó

directorio ―Documents and Settings‖.

SubActividad 4.1.12 Crear una estructura para directorios y archivos recuperados.

Tener un estricto control y orden al momento de recuperar información (archivos).

Derivado del desarrollo de la ―Actividad 3.5 Procedimiento para la adquisición de la imagen‖,

se obtuvo un archivo con extensión ―.csv‖, el cual contiene el directorio del disco duro bajo

análisis, el cual se muestra en la siguiente Figura:








Figura 4.17 Vista del archivo que generó el Software Forense al obtener la imagen del disco

duro motivo de estudio.

Actividad 4.2 Efectuar la extracción de evidencia.

Llevar a cabo la exploración sobre las Imágenes Forenses adquiridas con el fin de localizar

información relacionada con el Planteamiento del Problema.





Una vez obtenida la imagen (en este caso del directorio de interés y antes citado), se

procedió a trabajar sobre él, llevándose a cabo una exploración exhaustiva sobre las

Imágenes Forenses adquiridas con el Software Forense FTK Imager, con el fin de obtener la

información solicitada.

Figura 4.18 Exploración de la imagen forense obtenida.





Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos archivos que dan

respuesta al Planteamiento del Problema.




Derivado de la aplicación de la presente actividad, se localizaron dos archivos objetivo, que

se pueden visualizar en la Figura 4.19, los cuales corresponden a: ―bins.txt‖ y ―bolsa.doc‖.

SubActividad 4.2.1 Efectuar la extracción física de evidencia.

Se lleva a cabo la sustracción de archivos relacionados con los hechos que se investigan.

Una vez localizada la información requerida se procedió a sustraerla (Exportarla a otro

medio), con el fin de respaldarla y anexarla al documento final:






Figura 4.20 Salida tipo pantalla en la que se observa cómo se realiza el proceso de

exportación de archivos ubicados.

En la figura anterior se muestra la evidencia adquirida, (archivos que se localizaron,

trabajando sobre la imagen forense).

Cabe señalar que para el presente caso y tomando en consideración que la información

recuperada no representa un volumen grande de información, se tomo la decisión de

respaldarla en un disco compacto CD, el cual corresponde a un medio de solo lectura.




SubActividad 4.2.2 Documentar los procedimientos seguidos durante toda la etapa de

análisis.

Escribir a detalle el estudio técnico realizado sobre el material objeto de estudio.

Se procedió a documentar todo el estudio técnico como se observa en las figuras que

ilustran la presente Fase IV: ―Análisis de datos‖.

SubActividad 4.2.3 Identificar y recuperar los datos en los dispositivos físicos.

Obtener características físicas del dispositivo a ser analizado.

En el correspondiente caso objeto de estudio se tomo información recavada de la Actividad

2.1, SubActividad 2.2.12 y la Actividad 3.5. Dicha información consistió en datos como la

capacidad de almacenamiento físico (corroborándolo con el lógico en la Actividad 3.5),

número de serie (documentando el número de serie lógico recavado en la Actividad 3.5),

marca, modelo y algunas observaciones respecto a su estado físico.








SubActividad 4.2.4 Recabar información, nombres de usuario e información del AD

(Directorio Activo).

Recabar información correspondiente a los nombres de usuario y del directorio activo.

La presente actividad, no aplica en la investigación objeto de estudio toda vez que no es


SubActividad 4.2.5 Recuperar archivos y fragmentos de archivos útiles de los

directorios corruptos o perdidos.

Recuperación de archivos y fragmentos de archivos útiles.

No aplica en el presente caso motivo de estudio.

SubActividad 4.2.6 Identificar y recuperar los archivos objetivo (determinados por algunos

criterios, por ejemplo aquellos que han sido afectados por el incidente).








Identificar y recuperar los archivos objetivo, comparando sus valores ―Hash‖, (siempre y

cuando sean archivos de sistema).

En lo concerniente al presente caso objeto de estudio, se procedió a darle respuesta a lo

solicitado por la autoridad competente, en estricto apego a su Planteamiento del Problema,

para lo cual se procedió a localizar y extraer los archivos, con las características que

satisfacían su requerimiento.

SubActividad 4.2.7 Llevar a cabo la recuperación de archivos, archivos borrados y la

recuperación de información escondida.

Llevar a cabo la recuperación de archivos.

La presente actividad no aplica para el actual caso objeto de estudio, ya que no forma parte

del Planteamiento del Problema.








Actividad 4.3 Efectuar la extracción, lógica de evidencia.

Obtener información sobre el sistema de archivos.

No aplica en el presente caso motivo de estudio, ya que no forma parte del Planteamiento

del Problema.

SubActividad 4.3.1 Identificar y recuperar archivos y datos basados en la instalación

del sistema operativo, sistema de archivos y / o aplicaciones.

Identificación de datos basados en la instalación del sistema operativo.

En lo que se refiere al presente caso motivo de estudio, esta actividad no aplica, ya que no

es parte del Planteamiento del Problema.

SubActividad 4.3.3 Utilizar la herramienta adecuada para realizar el análisis.

Definir las herramientas a utilizar, para realizar el análisis.









Para dar cumplimiento a la presente actividad se determino trabajar con el Software

Forense FTK Imager de AccessData.

SubActividad 4.3.4 Extraer la información del sistema de archivos, para revelar las

características de la estructura de directorios, atributos, nombres, estampas de

tiempo, tamaño y localización de archivos.

Extracción de información del sistema de archivos.

Ésta actividad no aplica para el presente análisis, ya que no forma parte del Planteamiento

del Problema.

SubActividad 4.3.5 Extraer los archivos pertinentes para la evaluación, basándose en

nombre y extensión del archivo, cabecera de archivos, contenido y ubicación dentro

del dispositivo de almacenamiento.

Extracción de archivos pertinentes para la evaluación, basándose en nombre y extensión

del archivo.








Derivado de la exhaustiva exploración sobre el disco duro motivo de estudio, enfocándose

en los datos generados por el usuario y en estricto apego al Planteamiento del Problema se

obtuvieron dos archivos de texto, los cuales al abrirlos y visualizar su contenido

correspondieron a su extensión por lo que no fue necesario visualizar su cabecera

(haciendo uso de un editor hexadecimal).

SubActividad 4.3.6 Recuperar archivos borrados o archivos en espacios sin asignar

(Unallocated File Space).

Recuperación de archivos eliminados.

En lo concerniente al presente caso motivo de estudio, ésta actividad no aplica ya que no

forma parte del Planteamiento del Problema.

SubActividad 4.3.7 Extraer archivos protegidos, con passwords (contraseña),

encriptados y datos comprimidos.

Si se tiene la lista de password de usuarios y la colaboración de los usuarios, la

investigación será más fácil, de no ser así deberá documentarse el empleo de

herramientas que permitieron efectuar la extracción de contraseñas.







Extracción de archivos protegidos con passwords (contraseña), encriptados y datos

comprimidos.

Ésta actividad no aplica en el presente caso motivo de estudio, ya que los archivos

localizados y considerados como evidencia no poseen estos atributos, es decir no cuentan

con contraseña ó alguna otra característica que impida su apertura.

SubActividad 4.3.8 Utilizar software enfocado al análisis forense informático con el fin

de extraer la información del “file slack”.

Extraer la información del ―file slack‖.

No aplica en el presente caso motivo de estudio, ya que no es parte del Planteamiento del

Problema.

SubActividad 4.3.9 Obtener información del Archivo ―Swap‖ de Windows.

Obtención de información del archivo Swap.









En lo concerniente al presente caso motivo de análisis, esta actividad no aplica, ya que no

forma parte del Planteamiento del Problema.

Actividad 4.4 Analizar los datos extraídos.

Llevar a cabo un exhaustivo análisis de los archivos obtenidos.

Una vez extraídos los archivos producto de su búsqueda exhaustiva, se procedió a efectuar

su análisis.

SubActividad 4.4.1 Conceptualizar: agregación, correlación, filtrado y generación de

metadatos.

Se deberá interpretar adecuadamente los metadatos de cada archivo.

Se obtuvo información importante tal como la fecha de modificación, hora, nombre,

extensión y el tamaño de los archivos sustraídos, lo cual se muestra en la siguiente figura:









Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos de los

archivos localizados.

SubActividad 4.4.2 Efectuar un pre análisis de la evidencia.

• Agregación y transformación: Unificación y recuperación de datos.

• Generación de metadatos: categorización e indexación, esto es se registrarán

ordenadamente los datos e información obtenida de la evidencia.

Para el presente caso motivo de estudio, por el hecho de manejar poco volumen de

información localizada (dos archivos encontrados como evidencia), la información recabada

sobre la evidencia se presento directamente tal y como se obtuvieron sus pantallas en el

Software Forense y que se observa en la Figura 4.21.






SubActividad 4.4.3 Efectuar análisis de flujo de datos y procesos.

Determinar si existen procesos ajenos a los propios del sistema operativo o de las

aplicaciones.

No aplica en el presente caso motivo de estudio, ya que para el presente caso por recibirse

el equipo apagado y desconectado de cualquier red de cómputo, no se consideró necesario

e incluso tomando en cuenta que no forma parte de nuestro Planteamiento de Problema.

SubActividad 4.4.4 Relacionar datos y evidencia.

• Diferencia entre datos y evidencia, aislamiento y su contextualización.

• Como relacionar los datos obtenidos con la evidencia.

• Sostenimiento de la evidencia

En lo referente al caso motivo de estudio, la información recabada ó encontrada (dos

archivos), se le presentaron a la autoridad competente y se tomo la decisión de tomarlos

como evidencia.








Actividad 4.5 Efectuar el análisis de tiempo de los eventos.

Consiste en considerar fechas y tiempos en los archivos analizados.

No aplica en el presente caso motivo de estudio, ya que no forma parte del Planteamiento

del Problema.

SubActividad 4.5.1 Determinar cuando ocurrieron los eventos en un dispositivo de

cómputo.

Obtener datos de fecha y tiempo de la información comprometida y con base a ello concluir

cuando ocurrió determinado evento.

Ésta actividad no aplica para el presente caso motivo de estudio, ya que no forma parte del









SubActividad 4.5.2 Realizar el correspondiente estudio de los metadatos, (en especial

identificar las marcas de tiempo, creación, actualización, acceso, modificación, etc.).

Correlacionar los eventos y demostrar con ello la creación, modificación y último acceso.

Por lo que se refiere a la presente actividad, ésta no aplica para el presente caso motivo de

estudio, ya que no forma parte del Planteamiento del Problema.

SubActividad 4.5.3 Revisar los registros del sistema y aplicaciones.

Localizar posibles indicios de alguna intrusión y/o por el que se halla comprometido el

sistema.

La presente actividad no aplica en el para éste caso motivo de estudio, por no formar parte

del Planteamiento del Problema.








Actividad 4.6 Analizar los datos ocultos (de sistema).

Si la investigación así lo amerita efectuar un estudio detallado, sobre los archivos de

sistema.

No aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del

Problema.

SubActividad 4.6.1 Detectar y recuperar datos ocultos.

Para llevar a cabo dicha actividad el investigador puede apoyarse en un sin número de

aplicaciones gratuitas (muchas de ellas en ambiente Linux), que permiten realizar análisis

forenses informáticos, incluso existen Live CD (Disco que funciona como disco de ―Booteo‖

(Disco que inicializa un equipo)), tales como Live CD Helix3 de e-fense® , Live CD Forense

Raptor ó el Live CD de Informática Forense DEFT.

En lo referente a la presente actividad ésta no aplica para este caso, por no formar parte del









SubActividad 4.6.2 Correlacionar los encabezados de archivos a su correspondiente

extensión para identificar alguna discrepancia, esto se logra con editores

hexadecimales, como WinHex.

Después de elegir algún editor hexadecimal con el fin de explorar un archivo para corroborar

que corresponde el tipo de archivo con su extensión.

Para el presente caso motivo de estudio, no aplica ésta actividad por no formar parte del


Actividad 4.7 Analizar las aplicaciones instaladas.

Se identifican y analizan aplicaciones (herramientas informáticas, es decir programas de

aplicación).

Ésta actividad no aplica en el presente caso motivo de estudio, por no formar parte del









SubActividad 4.7.1 Obtener información relevante relacionada con la investigación

obtenida de los archivos y aplicaciones.

Obtener información que servirá, para la toma de medidas adicionales que deben de

adoptarse en la extracción y análisis de procesos.

Por lo que se refiere a esta actividad, para el presente caso motivo de estudio, no aplica.

SubActividad 4.7.2 Efectuar una revisión de nombres de archivos para determinar su

relevancia.

Tratar de obtener información adicional, basada en el nombre de los archivos bajo estudio.

Derivado del poco volumen de información que se manejo para el presente análisis, ésta

actividad no aplica.

SubActividad 4.7.3 Explorar el contenido de los archivos.









Efectuar la exploración de los archivos, considerados evidencia dentro del caso de estudio.

Para el presente caso motivo de estudio se procedió a abrir todos y cada uno de los

archivos obtenidos bajo el análisis y derivado de ello fueron considerados como evidencia.

SubActividad 4.7.4 Determinar el tipo del sistema operativo y/o sistema de archivos.

Efectuar la identificación del Sistema operativo y/o Sistema de archivos, del material objeto

de estudio.

La presente actividad no se aplica, por no formar parte del Planteamiento del Problema.

SubActividad 4.7.5 Obtener información sobre el Software instalado, actualizaciones y

parches.

Documentar la paquetería y actualizaciones con la que cuenta el elemento de estudio.

Ésta no se aplica para el presente caso motivo de estudio, por no ser parte del







http://www.dragonjar.org/tag/actualizaciones




SubActividad 4.7.6 Correlacionar los archivos de las aplicaciones instaladas.

Encontrar relación entre los archivos encontrados en el material de estudio y las

aplicaciones instaladas en el mismo.

La actividad antes citada no se aplica para el presente caso motivo de estudio, por no

formar parte del Planteamiento del Problema.

SubActividad 4.7.7 Identificar archivos desconocidos (raros dentro de la instalación

del software), para determinar su valor en la información.

Identificar archivos desconocidos y determinar su valor dentro de la investigación.

La actividad antes citada no aplica para el presente caso motivo de estudio, por no formar


SubActividad 4.7.8 Evaluar el lugar de almacenamiento por omisión de los usuarios

con lo que respecta a sus aplicaciones y a la estructura de archivos.









Determinar si la información se ha almacenado en el lugar por defecto o en otro lugar

(modificación de la configuración).

No aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del

Problema.

SubActividad 4.7.9 Evaluar las configuraciones del perfil de usuario.

Documentar la configuración del perfil de usuario del material motivo de estudio.

Para el presente caso motivo de estudio no se aplica ésta actividad, por no formar parte del


SubActividad 4.7.10 Buscar patrones de conducta del sospechoso, historial de

Internet, cookies etc.

El principal objetivo de esta actividad es recabar la información generada por el navegador

(motor de búsqueda) y vincularla a los hechos que se investigan.









La actividad no se aplica para el presente caso motivo de estudio, por no formar parte del


Actividad 4.8 Analizar datos de la Red de cómputo.

Documentar información relacionada con los dispositivos y/o elementos técnicos que

conforman la red de cómputo.

Ésta actividad no se aplica para el presente caso motivo de estudio, por no formar parte del


SubActividad 4.8.1 Identificar los dispositivos de comunicación y de defensa

perimetral.

Identificar dispositivos tales como: Servidores Web, ―Firewall‖, IDS‘s (Intrusion Detection

System), IPS‘s (Intrusion Prevention Systems), ―Proxys‖, Servidores de ―Logs‖, etc.

En lo que concierne al presente caso motivo de estudio, ésta actividad no aplica por no

formar parte del Planteamiento del Problema.





http://www.dragonjar.org/tag/servidores




Ahora finalmente a continuación, se desarrolla la Fase V de la metodología propuesta, para

lo cual es necesario que se hayan realizado a cabalidad las fases anteriores de la presente

metodología.




4.5 Aplicación de la Fase V. Presentación de Resultados Obtenidos.

Se redacta y estructura el documento final que sustentará una prueba en un proceso legal.

Es la Fase que tiene como fin la presentación y entrega de los resultados obtenidos de la

investigación del análisis forense informático

Actividad 5.1 Considerar todas y cada una de las Actividades que conforman la

presente Fase a fin de cumplimentar lo necesario para estar en posibilidad de

redactar el documento final.

Tener presente todas las generalidades, sobre la elaboración del documento final y en el

cual se obtendrán la(s) conclusión (es) del caso bajo estudio.

Para la elaboración del Dictamen en la especialidad de Informática Forense, se

consideraron todas y cada una de las actividades que conforman la presente Fase, en lo

que concierne a la estructura del documento final.

FASE I

FASE II

FASE III

FASE IV

FASE V







SubActividad 5.1.1 Definir las secciones (estructura) del cuerpo del documento final.

El Dictamen en Informática Forense, podrá estar conformado de acuerdo a la experiencia

personal, por los apartados correspondientes a:

I) Antecedentes.

II) Planteamiento del Problema.

III) Identificación del material objeto de estudio.

IV) Consideraciones Técnicas.

V) Estudio técnico.

VI) Conclusiones ó Conclusión.

Así como secciones complementarias, como un ―Glosario‖, ―Apéndice‖ y/o ―Anexos‖.

Una vez practicadas las fases anteriores, se recabo la información obtenida de las mismas,

por lo que se opto para el presente caso objeto de estudio, incluir los siguientes apartados

dentro del documento final:

I) Antecedentes.





VI) Conclusiones ó Conclusión.






Tomando en cuenta, que en lo que respecta al apartado correspondiente a las

―Consideraciones Técnicas‖, esté estará sujeto a la consideración del perito que lleva el

caso (si de acuerdo al estudio realizado, se deriva alguna consideración técnica).

Posteriormente se verán desarrollados cada uno de estos aparatados.

SubActividad 5.1.2 Explicar claramente el objetivo del Dictamen Pericial y motivo por

el cual se realizó este estudio determinado.

Razón en la cual se motiva determinado análisis forense, sobre el material objeto de

estudio.

La presente intervención pericial estuvo motivada en la solicitud expresa de la autoridad

competente.

SubActividad 5.1.3 Incluir en el cuerpo del Dictamen el apartado correspondiente a

los Antecedentes.

El cual consistirá, en una breve narración de los hechos precedentes a la intervención

pericial, tales como la manera en la que se pone del conocimiento los hechos delictivos que

se investigan, quien solicita nuestra intervención pericial, a que lugar se tendrá que trasladar

el perito en informática forense, quien le pone a la vista el equipo objeto de estudio, persona

que lo recibe, hora de inicio del estudio y cualquier otra circunstancia que se relacione con

los hechos que se investigan, tal como si fue necesario consultar el expediente de la







averiguación previa o si se contó con el apoyo de cualquier otra persona a efecto de llevar a

cabo el estudio correspondiente.

Para el presente caso motivo de estudio, se tomó la decisión de incluir el apartado

correspondiente a los ―Antecedentes‖, por creerlo necesario ya que aclara algunos detalles

dentro de la investigación, quedando de la siguiente manera:

I) Antecedentes.

En atención a su oficio de petición de fecha 18 de diciembre de 2009, solicitado por la

C. Autoridad Competente, Lic. X, mediante el cual solicita se designe perito en

materia de informática, a efecto de que se trasladé y presente el día viernes 25 de

abril del año en curso, al domicilio de la Delegación X, la cual se encuentra ubicada

en X.

Una vez enterado de su petición me presente al lugar indicado en su oficio de

petición, lugar en donde fui recibido por el Lic. X, Titular de la Unidad Uno Con

Detenido, quien me informó que sería necesario realizar un análisis a un equipo de

cómputo, de igual manera me informa que previo a mi intervención pericial se

encuentra la de la policía en cómputo.

Una vez constituido en el interior de esta Delegación, el Lic. X, Titular de la Unidad X

Con Detenido, tuvo a bien ponerme a la vista el equipo de cómputo motivo de

estudio.





Cabe señalar que al momento de llevar a cabo la presente intervención pericial, el

equipo de computo bajo estudio, esté se encontraba apagado, sin cable alguno, sin

monitor, teclado y Mouse, es decir solo se recibió únicamente el gabinete el cual se

aprecia con marcas propias de uso.

De igual forma le informo, que el suscrito procedió a fijar fotográficamente el equipo

para constatar el estado en que se recibió contando con el apoyo del perito fotógrafo

el C. X.

SubActividad 5.1.4 Estudiar el apartado, correspondiente al “Planteamiento del

Problema”.

Le indica al perito en informática forense, de una manera clara y objetiva el motivo de su

intervención pericial.

Después de efectuar una atenta lectura al ―Planteamiento del Problema‖, se procedió a

realizar el estudio técnico, correspondiente con el fin de darle respuesta a lo requerido por la



A la letra dice: ―…localizar archivos de texto con Información Bancaria…‖






SubActividad 5.1.5 Incluir un apartado con la “Identificación del material objeto de

estudio”, (descripción a detalle del material objeto de estudio).

Se especifica por ejemplo el tipo de equipo, marca, modelo, numero de serie y/o inventario,

alguna observación tal como si se encuentra en buen estado ó maltratado.

Se llevo a cabo la Identificación plena del material objeto de estudio, quedando de la

siguiente manera:



01 CPU (gabinete

minitorre), color negro,

con un disco duro.


S/N: #LL#L#L#

Observación: El presente material objeto de estudio presenta marcas propias de uso, así

mismo se informa que el equipo es armado (sin marca).






SubActividad 5.1.6 Incluir un apartado para establecer las ―Consideraciones Técnicas‖,

necesarias para llevar a cabo el estudio correspondiente.

Se establecen las razones por las cuales se procederá de tal manera y/o justificaciones del

uso ó no de alguna herramienta informática.

Se establecieron una serie de consideraciones técnicas a tomar en cuenta en el documento

final, a fin de dar respuesta a futuras preguntas y justificar la manera en que se realizo el

estudio técnico, esto se puede observar a continuación:


El presente análisis se llevo a cabo en presencia del personal ministerial quien da fe

del estudio técnico efectuado.

A efecto de realizar la exploración del disco duro, este se sustrajo del gabinete objeto

de estudio (descrito en el apartado III del cuerpo de este documento), con el fin de

llevar a cabo su análisis en otro equipo de cómputo, haciendo uso de un protector

contra escritura y software de análisis forense. Una vez terminado su respectivo

estudio el disco duro fue ensamblado nuevamente en su ubicación original.

En lo que se refiere al uso del protector contra escritura, este dispositivo permite la

exploración de un disco duro con la propiedad de sólo lectura, con la finalidad de

preservar su contenido intacto.






En lo que se refiere al Disco Duro bajo análisis, éste fue reconocido, por el software

forense al que se monto (con el que se examino), como ―PHYSICALDRIVE0‖.

En cuanto a las pantallas presentadas en el presente documento, estas son

presentadas a escala para una mejor apreciación.

SubActividad 5.1.7 Establecer a detalle el desarrollo del estudio técnico.

Se determina la metodología a utilizar para el correspondiente análisis, acorde al problema

planteado.

Se estableció la metodología a implementar dentro del respectivo estudio técnico a seguir

durante el caso de estudio, el cual consistió en:



Observación directa aplicada al dispositivo (computadora) e información contenida en

el disco duro asociado a la misma.

Descripción a detalle del estudio técnico.

Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con







El presente estudio se dio inicio en las instalaciones de la Delegación X, Una vez

teniendo identificado el material motivo de estudio y en presencia de la fe ministerial

se procedió de la siguiente manera:

1.- En relación al gabinete descrito en el apartado III e identificado como 01 en el cuerpo de

este documento, se le procedió a sustraer su disco duro (marca: X, de 320 GB, Número de

Serie: ―#LL#L#L#‖), para posteriormente interconectarlo a una computadora que se le facilitó

al suscrito a efecto de llevar a cabo el presente estudio, previo la colocación de un protector

contra escritura marca X, Modelo: X, numero de serie:‖XXXXX‖ con el fin de mantener su

información almacenada intacta, al efectuar el presente estudio (exploración del disco duro).

Seguido y al momento de conectar el disco duro, en un equipo de cómputo auxiliar para

llevar a cabo su análisis se observó que fue identificado como: ―F:\‖, (Letra asignada a la

unidad de disco duro objeto de estudio y la cual se mostró cuando se exploró en Mi PC).

Figura 4.22 Conexión del Disco Duro bajo estudio al protector contra escritura.




Posteriormente, usando el software forense se procedió a obtener la imagen forense de la

información de interés:

Una vez obtenida la imagen forense, de la cual en el caso bajo estudio resultaron dos

archivos (―Imagen del Disco Duro Objeto de Estudio.ad1‖ y ―Imagen del Disco Duro Objeto

de Estudio.ad2‖), se procedió a montarlos (adicionarlos como evidencia en el software) en el

software forense, con el fin de llevar a cabo una búsqueda exhaustiva, de todo archivo de

texto que pudiera tener relación con el criterio de búsqueda especificada por la C. Autoridad

Competente (Planteamiento del Problema).

Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito.




Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que conforman la

Imagen Forense del presente caso bajo estudio.




Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se

apegan al criterio especificado en el Planteamiento del Problema.

Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el

mismo de la misma manera en que se recibió.

SubActividad 5.1.8 Definir la conclusión ó conclusiones a la que se ha llegado, de una

manera clara y precisa.

La intervención pericial emite una conclusión que viene formulada sobre concretos datos

arrojados por el estudio técnico.





Con base a la aplicación de la presente metodología se llego a la siguiente:

VI) Conclusión:

Única: En el material objeto de estudio descrito en el apartado correspondiente a la

Identificación del material objeto de estudio e identificado como 01, se localizaron dos

archivos de texto: ―bins.txt‖ y ―bolsa.doc‖, los cuales se apegan al criterio especificado en

el Planteamiento del Problema.

SubActividad 5.1.9 Elaboración de Dictamen Pericial basado en la evidencia final

obtenida, para que esta sea presentada.

Con la información obtenida mediante la aplicación de la presente metodología se redacta el

Dictamen Pericial, que es, el objeto de la aplicación de la metodología que se presenta.

Se redactó, estructuró y elaboró el Dictamen en Informática Forense, incluyendo los

aparatados propuestos en la SubActividad 5.1.1.

Considerando el caso motivo de estudio a continuación se presentan los apartados

sugeridos en esta actividad, de acuerdo a como deberían presentarse en el documento

final:







I) Antecedentes.

En atención a su oficio de petición de fecha 18 de diciembre de 2009, solicitado por el

C. Autoridad Competente, Lic. X, mediante el cual solicita se designe perito en

materia de informática, a efecto de que se trasladé y presente el día viernes 25 de

abril del año en curso, al domicilio de la Delegación X, la cual se encuentra ubicada

en Y.

Una vez designado para atender su requerimiento, me presente al lugar indicado en

su oficio de petición, lugar en donde fui recibido por el Lic. X, Titular de la Unidad Uno

Con Detenido, quien me informó que, sería necesario realizar un análisis a un equipo

de cómputo, de igual manera, me informa que previo a mi intervención pericial se

encuentra la de la policía en cómputo.

Una vez constituido en el interior de esta Delegación, el Lic. X, Titular de la Unidad X

Con Detenido, tuvo a bien ponerme a la vista el equipo de cómputo motivo de

estudio.

Cabe señalar, que al momento de llevar a cabo la presente intervención pericial, el

equipo de cómputo bajo estudio, esté se encontraba apagado, sin cable alguno, sin

monitor, teclado y Mouse, es decir solo se recibió únicamente el gabinete el cual se

aprecia con marcas propias de uso.

De igual forma le informo, que el suscrito procedió a fijar fotográficamente el equipo

para constatar el estado en que se recibió contando con el apoyo del perito fotógrafo

el C. X.





A la letra dice: ―…localizar archivos de texto con Información Bancaria…‖



01 CPU (gabinete

minitorre), color

beige, con un disco

duro.


S/N: #LL#L#L#

Observación: El presente material objeto de estudio presenta marcas propias de uso, así

mismo se informa que el equipo es armado (sin marca).


El presente análisis se llevo a cabo en presencia del personal ministerial quien da fe

del estudio técnico efectuado.




A efecto de realizar la exploración del disco duro, éste se sustrajo del gabinete objeto

de estudio (descrito en el apartado III del cuerpo de este documento), con el fin de

llevar a cabo su análisis en otro equipo de cómputo, haciendo uso de un protector

contra escritura y software de análisis forense. Una vez terminado su respectivo

estudio el disco duro fue ensamblado nuevamente en su ubicación original.

En lo concerniente al uso del protector contra escritura, cabe señalar que el mismo

permite la exploración de un disco duro con la propiedad de sólo lectura, con la

finalidad de preservar su contenido intacto.

Por lo que se refiere al Disco Duro bajo análisis, éste fue reconocido, por el software

forense al que se monto (con el que se examino), como ―PHYSICALDRIVE0‖.

En cuanto a las pantallas presentadas en el presente documento, estas son

presentadas a escala para una mejor apreciación.



Observación directa aplicada al dispositivo (computadora) e información contenida en

el disco duro asociado a la misma.

Descripción a detalle del estudio técnico.

Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con





El presente estudio se dio inicio en las instalaciones de la Delegación X, Una vez

teniendo identificado el material motivo de estudio y en presencia de la fe ministerial

se procedió de la siguiente manera:

1.- En relación al gabinete descrito en el apartado III e identificado como 01 en el cuerpo de

este documento, se le procedió a sustraer su disco duro (marca: X, de 320 GB, Número de

Serie: ―#LL#L#L#‖), para posteriormente interconectarlo a una computadora que se le facilito

al suscrito a efecto de llevar a cabo el presente estudio, previo la colocación de un protector

contra escritura marca X, Modelo: X, numero de serie:‖XXXXX‖ con el fin de mantener su

información almacenada intacta, al efectuar el presente estudio (exploración del disco duro).

Seguido y al momento de conectar el disco duro objeto de estudio al equipo de computo

auxiliar (computadora), con el fin de efectuar su exploración, el mismo fue identificado con la

Unidad: ―F:\‖, lo que se mostró seleccionando Mi PC y observando las unidades de disco

duro identificadas.

Figura 4.26 Conexión del Disco Duro bajo estudio al protector contra escritura.




Posteriormente usando el software forense se procedió a obtener la imagen forense de la

información de interés, lo cual se muestra a continuación.

Figura 4.27 Salida tipo pantalla en donde se muestra que el proceso de obtención de la

Imagen Forense, se efectuó con éxito.

Una vez obtenida la imagen forense, de la cual en el caso bajo estudio resultaron dos

archivos (―Imagen del Disco Duro Objeto de Estudio.ad1‖ y ―Imagen del Disco Duro Objeto

de Estudio.ad2‖), se procedió a montarlos (adicionarlos como evidencia en el software) en el

software forense, con el fin de llevar a cabo una búsqueda exhaustiva, de todo archivo de

texto que pudiera tener relación con el criterio de búsqueda especificada por la C. Autoridad

Competente (Planteamiento del Problema).




Figura 4.28 Salida tipo pantalla en donde se muestran los dos archivos que conforman la

Imagen Forense del presente caso bajo estudio.




Figura 4.29 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se

apegan al criterio especificado en el Planteamiento del Problema.

Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el

mismo de la misma manera en que se recibió.

Con base en lo anterior se determina la siguiente:

VI) Conclusión:

Única: En el material objeto de estudio descrito en el apartado correspondiente a la

Identificación del material objeto de estudio e identificado como 01, se localizaron dos

archivos de texto: ―bins.txt‖ y ―bolsa.doc‖, los cuales se apegan al criterio especificado en

el Planteamiento del Problema.




Observación: Se adjunta al presente documento, Disco Compacto DVD (con número de

serie: XXXXX), conteniendo los archivos extraídos, mismos que se apegan al requerimiento

especificado en el Planteamiento del Problema.

SubActividad 5.1.10 Plasmar la rúbrica del Autor en el Dictamen Pericial.

Firmar el Dictamen, así mismo no olvidar incluir en el cuerpo del Dictamen a todas las

personas que de alguna manera intervinieron en el caso bajo estudio.

Una vez conformado el presente Dictamen, se procedió a rubricarlo (firmarlo).

SubActividad 5.1.11 Incluir secciones complementarias, tales como la realización de

un glosario, apéndice y anexos.

El perito determinará, la necesidad de acompañar su Dictamen de otras secciones

complementarias que lo ilustren y lo complementen.

Para el presente caso motivo de estudio se acompaña el Dictamen de un disco compacto

DVD conteniendo los dos archivos encontrados y tomados como evidencia.








Actividad 5.2 Analizar y considerar todas las subactividades, que conforman la

presente actividad, con el fin de elaborar el documento final.

Al momento de realizar el documento final, será recomendable el tomar en consideración

todas y cada una de las subactividades que conforman la presente actividad.

Al momento de elaborar el Documento final motivo de la presente metodología, se

consideraron todas las subactividades que integran la respectiva actividad.

SubActividad 5.2.1 Explicar los resultados del análisis, donde se detallen con claridad

los hallazgos.

Utilizar un lenguaje claro y preciso para explicar los resultados obtenidos.

Como resultado de la aplicación de esta metodología, se redactó la conclusión obtenida de

una manera clara y precisa.

SubActividad 5.2.2 Realizar una bitácora de uso y aplicación de los procedimientos

técnicos utilizados.








Llevar a cabo una bitácora de los procedimientos a emplear.

Para el presente caso motivo de estudio, la actividad no aplica ya que por haber realizado

un estudio técnico relativamente sencillo en cuanto a procedimientos, en este caso no fue

necesario el realizar una bitácora.

SubActividad 5.2.3 Cumplir con exhaustivo cuidado con los procedimientos previstos

para el mantenimiento de la cadena de custodia.

Realizar un minucioso recuento en cuanto a la cadena de custodia efectuada.

Se redacto en el documento final una observación en la que se especifica la devolución del

material objeto de estudio (en el presente caso, una computadora).

SubActividad 5.2.4 Contar con todos los oficios recibidos y/o utilizados durante toda

la investigación.

Tener a la mano y por duplicado todos los oficios recibidos y/o redactados durante la

investigación.









Para el presente caso motivo de estudio, se da por hecho el haber llevado a cabalidad la

presente actividad.

SubActividad 5.2.5 Describir las herramientas enfocadas a la informática forense,

utilizadas durante el análisis.

Dar una breve explicación del uso de la aplicación informática ó hardware empleado durante

la investigación.

Se justificó el uso del protector contra escritura, así como su funcionamiento.

SubActividad 5.2.6 Citar a las pruebas, de una manera concreta con el fin de hacer

entendible la conclusión.

Las pruebas que se localicen y/o cualquier hallazgo se hará sin dar excesivos detalles

acerca de cómo se obtuvieron estas. Cualquier descripción a detalle, colocarlo en el

apartado correspondiente al estudio técnico.








Se redactó el apartado correspondiente a las conclusiones con un lenguaje sencillo y claro,

dejando cualquier detalle para el apartado correspondiente al estudio técnico.

SubActividad 5.2.7 Proporcionar una lista completa de todos los documentos

justificativos o de apoyo.

Tener bien documentado cualquier consulta a: indagatorias (expedientes de averiguaciones

previas), manuales (llámesele manual operativo, respecto a algún procedimiento) y/o

manuales institucionales, reglamentos etc.

En lo concerniente a la actual problemática bajo estudio, la presente actividad no aplica ya

que no se considero ningún manual ó documento de cotejo (comparativo) para realizar la

búsqueda de información bancaria.

SubActividad 5.2.8 Incluir antes de la firma del autor o autores, una nota aclaratoria

en la que se especifique que se entrega el material objeto de estudio de la misma

forma en la que se recibió.

Incluir una nota u observación en la que se especifique la entrega del material motivo de

estudio.








Se incluyó en el cuerpo del Documento Final, la siguiente leyenda: ―Una vez concluido el

análisis del material proporcionado para su estudio, se devolvió el mismo de la misma

manera en que se recibió.‖; de esta manera, se tendrá un mecanismo más para deslindarse

de cualquier responsabilidad por el daño ó perdida del material motivo de estudio.

SubActividad 5.2.9 Obtener siempre un acuse de recibido del Dictamen Pericial,

producto de la aplicación de la presente metodología.

Una vez terminado el Dictamen Pericial, se deberá tener el cuidado suficiente al momento

de ser entregado, cuidando detalles tales como, que la persona que reciba, escriba: su

nombre, firma, fecha (en ocasiones si se cree conveniente la hora también), y especifique

bien, que lo que está recibiendo es un Dictamen ó bien un informe o se establezca si recibe

anexos y por ultimo precise que recibe el material motivo de estudio.

Para el presente caso motivo de estudio la presente actividad se da por realizada (por

tratarse de un caso supuesto).

SubActividad 5.2.10 Realizar cualquier observación, dentro del documento final antes

de estampar la rúbrica (con el fin, de evitar que se invalide tal observación), se

recomienda firmar al margen todas y cada una de las fojas que constituyan el

Documento Final.







Se recomienda que todo texto vaya antes de firmar el dictamen, se recomienda firmar todas

las fojas que constituyan el mismo, así como no dejar espacios en blanco pronunciados.

Al elaborar el Dictamen, se llevaron a cabo todas las recomendaciones dadas por esta

actividad.







En este Capítulo, se desarrollaron las cinco Fases de la Metodología Propuesta, de acuerdo

a cada una de sus Actividades.

Con esto se verifica la funcionalidad y la viabilidad de la Metodología para ser aplicada por

un investigador forense en informática.

Se presentó la forma adecuada de realizar una intervención pericial en Informática Forense

ante la presunción de un delito informático, lo anterior mediante procedimientos para

identificar, asegurar, extraer, analizar y presentar las evidencias encontradas y guardadas

electrónicamente para que puedan ser aceptadas en un proceso legal. Se demostró la

importancia de realizar un claro, objetivo y puntual Planteamiento del Problema, así como, el

que cada fuente de información se catalogue e identifique preparándola para su posterior

análisis y la adecuada documentación de cada prueba aportada.

También se hizo hincapié en que las evidencias digitales, deberán ser obtenidas bajo la

aplicación de un adecuado estudio técnico, que garantice la integridad de ésta, permitiendo

elaborar un dictamen claro, conciso, fundamentado y justificado en las hipótesis que en él

se barajan a partir de las pruebas recogidas.

Ahora, para finalizar el documento de Tesis, en el siguiente Capítulo, se hará la valoración

de Objetivos, Trabajos Futuros y las Conclusiones del trabajo de Tesis.



Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.

Capítulo 5.-

Valoración de Objetivos, Trabajos Futuros y

Conclusiones.




Capítulo 5. Valoración de Objetivos, Trabajos Futuros y Conclusiones.

5.0 Presentación.

En el Capítulo anterior, se aplicó la Metodología Propuesta para desarrollar todas y cada

una de sus Fases, compuesta por la: Fase I. Planteamiento del Problema, Fase II.

Identificación Detallada del Material objeto de estudio, Fase III. Adquisición de Evidencia,

Fase IV. Análisis de Datos y la Fase V. Presentación de Resultados Obtenidos.

Ahora en el presente Capítulo, se presenta la valoración de los objetivos, los trabajos a

futuro aplicables a la Metodología Propuesta, las conclusiones de este trabajo y por último

se anexa, la bibliografía utilizada de apoyo para la elaboración del presente proyecto de

Tesis.

5.1 Valoración de Objetivos.

5.1.1 Valoración del Objetivo General.

En el trabajo de Tesis se obtuvo una Metodología para llevar a cabo una intervención

pericial en Informática Forense, la cual puede ser muy útil al intervenir dentro de una

investigación donde se halla suscitado un incidente informático.

Con esto, se infiere que la Metodología Propuesta, puede ser aplicada en cualquier

investigación relacionada con delitos informáticos.




El objetivo general presentado: Proponer una Metodología con un enfoque sistémico para

su aplicación en la Informática Forense, en auxilio de la Justicia Moderna, el cual se cumple

a lo largo del desarrollo de los capítulos anteriores, así, como de los objetivos específicos.

La aplicación de la Metodología Propuesta dejó ver que el vasto mundo de la informática,

requiere de métodos y procedimientos flexibles y adaptables acorde a la vida real,

desarrollándose y aplicándose las cinco Fases que la integran.

Lo anterior, basado en un Enfoque Sistémico para la Realización de peritajes en informática

y bajo el fin mediato de la Criminalística (llegar a la verdad objetiva del hecho).

A continuación, se mostrarán los objetivos particulares alcanzados al finalizar el presente

proyecto de Tesis:

5.1.2 Valoración de Objetivos particulares.

Se considera, que se dio cumplimiento a los objetivos particulares de la tesis, debido a que

se realizó un trabajo para identificar las circunstancias y elementos a considerar al momento

de realizar una intervención pericial en la vida real.

A continuación, se muestra una tabla referente a los objetivos particulares:




Tabla 5.1 Valoración de los Objetivos Particulares. Objetivo a Verificar

¿Qué hacer?

Objetivo Verificado

¿Qué se obtuvo?

Conocer el medio ambiente en cuanto a

los delitos informáticos, para conocer el

mecanismo de cómo se debe responder

ante un eventual ataque informático.

Permitió obtener una visión del medio

ambiente donde se desarrollaron las

fases de la Metodología Propuesta, así

como el tener presentes algunas

consideraciones imprescindibles al

momento de llevar a cabo una

intervención pericial.

Analizar las Metodologías y estándares

en cuanto a evidencia digital se refiere

para efectuar una evaluación y

diagnóstico de la situación actual.

Fue esencial el conocer bajo que Medio

Ambiente se desenvuelve la Informática

Forense, bajo el contexto legal en el

marco de una intervención pericial.

Aplicar la metodología propuesta en un

caso de estudio real para iniciar la

evaluación de su implementación.

Se presentaron las actividades que

integran la Metodología bajo un contexto

técnico – legal, encaminadas a obtener la

verdad histórica de los hechos que se

investigan.

Como se observa, en general se cumplieron los objetivos del proyecto de tesis; sin embargo

se puede considerar que, dentro de la aplicación de la Informática Forense existen otros

factores que son muy importantes, como son: el considerar los aspectos operacionales

como requerimientos técnicos para adquisición de evidencia, colaboración con otros grupos

u organismos de investigación, gestión de casos, la realización de cualquier estudio técnico

bajo el soporte de la Ley, desarrollo de políticas de seguridad para respuesta a incidentes y

plan preventivo y de continuidad. Esto se puede tomar en cuenta para los siguientes:




5.2 Trabajos Futuros:

En este apartado se engloban una serie de propuestas de continuación al trabajo iniciado

en esta tesis. Estas propuestas, quedan definidas mediante los siguientes puntos:

Evaluación constante: Un aspecto importante que complementará el desarrollo de la

metodología propuesta consistirá en someter la metodología a una evaluación formal

y constante. Esta evaluación deberá ser guiada a través de criterios o mecanismos

establecidos por algún modelo – guía existente o bien, desarrollar la adaptación del

modelo ó guía para que pueda ser aplicado. Los resultados de la evaluación deberán

proporcionar información que permita detectar puntos débiles de la metodología, y de

esta manera, realizar una mejora en los procesos de la propuesta.

Evidencia en la red: El presente trabajo presenta una metodología generalizada

aplicada a la Informática Forense, poniendo especial atención en los equipos de

cómputo (computadoras personales). Una propuesta de trabajo a futuro, puede

consistir en un proyecto que estudie ó proponga el desarrollo de métodos y técnicas

especializadas para efectuar el análisis sobre una red de cómputo, sea Internet,

intranet y sus elementos principales que la integran (por ejemplo los delitos

cometidos sobre el tráfico en la red a través de los llamados ―Sniffers‖).

Tecnologías de comunicación: Adaptar la propuesta para aplicar la metodología a

equipos de telefonía celular, ya que los avances tecnológicos le han permitido a

estos dispositivos, el cumplir con varias de las funciones, que un equipo de cómputo

personal realiza.




Vinculación con Instituciones de Justicia. Realizar los trámites y ajustes necesarios

para que la metodología se adapte al marco jurídico de estas Instituciones y, de esta

manera, pueda ser aceptada como parte de sus mecanismos auxiliares contra

aquellos delitos o incidentes que se requieran atender y resolver.

Crear una empresa que ofrezca servicios de consultoría en Análisis Forense

Informático en Sistemas de Redes y Equipos de Computo Personal, ya que este tipo

de análisis es bien remunerado, siendo que un dictamen pericial sencillo esta valuado

en $ 8000.00 pesos incrementándose según su complejidad y el número de

elementos a estudiar.




5.3 Conclusiones del proyecto de tesis.

5.3.1 Conclusiones Generales.

A lo largo del desarrollo del presente trabajo se pudo llegar a comprender que el análisis

forense informático se traduce como: la ciencia que mediante la aplicación de

procedimientos técnicos permite identificar, adquirir, preservar, analizar, presentar y

sustentar la información que ha sido procesada electrónicamente y almacenada en un

medio computacional.

En el presente proyecto de tesis se expuso la problemática existente por la falta de

métodos, técnicas y procedimientos para la realización de intervenciones periciales, en

informática forense, dentro del marco legal mexicano.

No obstante de que la informática se encuentra inmiscuida en gran parte de nuestra vida

diaria, es perceptible en nuestra sociedad, la falta de difusión de la informática forense a

nivel nacional e institucional, lo que ha contribuido a que la gente pase por alto situaciones

que puedan ser consideradas como delitos o faltas administrativas.

Se propuso y aplicó una Metodología en la que se presentaron los resultados, de un

meticuloso análisis exploratorio, sobre el peritaje informático en México, así como de

algunas de las experiencias profesionales adquiridas en la actividad laboral del que

suscribe.

Estableciendo un marco referencial base, para cualquier investigador forense digital, en

aspectos técnicos, procurando la generación y fortalecimiento de iniciativas

multidisciplinarías, para la modernización y el avance de la administración de justicia, en el

contexto de una sociedad digital y de la información.




Con el empleo de la metodología propuesta, se contará con una herramienta sistemática

que permita realizar un análisis, estudio e inspección, del elemento causa del peritaje

informático, en forma: eficiente, confiable, segura y que le dará mayor veracidad a los

resultados obtenidos.

A pesar de que el desarrollo de la tesis no contempla el marco legal, la metodología

propuesta es capaz de auxiliar a aquellos organismos encargados de administrar justicia,

pues permite: guiar en el proceso de investigación digital, mantener la cadena de custodia y

establecer un dictamen confiable en el que se presentan los resultados de manera clara y

concisa.

Se presentaron y describieron algunas herramientas, que permiten realizar el análisis de la

evidencia digital, sobre el material objeto de estudio. Sin embargo, ninguna de ellas resulta

ser mejor que otra, más bien se complementan. Por lo tanto, es importante utilizar varias de

ellas para mejorar el proceso del análisis forense informático.

5.3.2 Conclusiones personales sobre el desarrollo del Proyecto de Tesis.

El presente proyecto de tesis ha sido posible gracias a que se llevaron a cabo una

integración y aplicación de conocimientos adquiridos en la ―Maestría en Ciencias en

Ingeniería de Sistemas‖. El saber aplicar la visión sistémica u holística, me permitió

obtener una nueva visión del mundo. Mediante el uso de Metodologías se obtienen

resultados concretos en la solución de problemas, ya que de esta manera se tienen

bases sólidas a partir de las cuales se obtienen resultados confiables que permiten

presentar un contenido claro y conciso en fondo y en forma.

Cabe señalar que este proyecto de tesis, representó para el suscrito una inestimable

oportunidad para aumentar y practicar los conocimientos adquiridos durante la

maestría, compaginado con la experiencia profesional.




La madurez y experiencias obtenidas, son el mayor de los logros a nivel personal y

profesional que serán aplicadas en el futuro en esos ambientes.

De manera particular y personal pienso que el cursar la ―Maestría en Ciencias en

Ingeniería de Sistemas‖, significó para mí un considerable crecimiento profesional y

el realizar la tesis refrendo el mismo y me permitió tener otra visión del desarrollo de

sistemas.



Bibliografía.

Bibliografía:

[Buzan, 1996], Buzan T., ―El libro de los mapas mentales‖, Ediciones Urano, España, 1996.

[Cámpoli, 2007], Cámpoli G., ―Delitos informáticos en la legislación mexicana‖, Instituto

Nacional de Ciencias Penales, México, 2007.

[Checkland,1994], Checkland P., ―La metodología de sistemas suaves en acción‖, Noriega

Editores, 1994.

[Galindo, 2005] Galindo L., ―Una Metodología para el Desarrollo y Redacción de un

Proyecto de Maestría‖. Memorias del 1er Congreso Internacional de Metodología de la

Ciencia y de la Investigación para la Educación; Instituto Tecnológico de Sonora y

Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C., 12 de Enero,

Ciudad Obregón, Sonora. Pp. 1505-1522.

[Galindo, 2008] Galindo L., ―Metodología para la creación de la‖Tabla Metodológica‖ o

―Solución Integral‖ como Apoyo al Desarrollo de Sistemas‖, Memorias del 4º Congreso

Internacional de Metodología de la Ciencia y de la Investigación para la Educación.

Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C. y CFIE del

IPN, 25 de Junio de 2008, México, D.F.

[Galindo, 2007] Galindo L., ―Una Metodología Básica para el Desarrollo de Sistemas‖,

Memorias del 3er. Congreso Internacional de Metodología de la Ciencia y de la

Investigación para la Educación, Asociación Mexicana de Metodología de la Ciencia y de la

Investigación, A.C. e Instituto Campechano; 23 de Marzo de 2007, Campeche, Camp.

[Hernández,1998] Hernández R., ―Metodología de la Investigación‖, McGraw Hill

Interamericana, México, 1998.

[Locard, 1963] Locard E., ―Manual de Técnica Policiaca‖. Editorial José Montesó, 1963.

[Moreno, 2009] Moreno R., ―Introducción a la Criminalística‖, Editorial Porrúa, México, 2009.

[Orellana, 1975] Orellana J., ―Tratado de Grafoscopía y Grafocrítica‖, Editorial Diana,

México, 1975.



Bibliografía.

[Rodao, 2005] Rodao J., ―Piratas Cibernéticos, Cybewars, Seguridad Informática e

Internet‖. Grupo Editorial Alfa Omega, México, Primera Edición, 2005.

[Shinder,2002], Shinder D., ―Prevención y Detección de Delitos Informáticos‖, Editorial

Anaya Multimedia, Primera Edición, México, 2002.

[Van Gigch, 1987] Van Gigch J. P, ―Teoría General de Sistemas‖.

Editorial Trillas, México D. F. MÉXICO, 1987.

Referencias a Internet:

http://archivos.diputados.gob.mx/Comisiones/Especiales/Acceso_Digital/Presentaciones/Pro

curacion_justicia_PGR.pdf

http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf

http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg00007.html


http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt


http://www.bibliojuridica.org/

http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.html

http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf

http://www.nist.gov/index.html

http://www.ojp.usdoj.gov/nij/funding/welcome.htm

http://www.fbi.gov/

http://www.caine-live.net/


TESIS - Iniciosepi.esimez.ipn.mx/msistemas/archivos/Palacios Ugalde Arturo.pdf · METODOLOGÍA PARA...

Documents

Transcript of TESIS - Iniciosepi.esimez.ipn.mx/msistemas/archivos/Palacios Ugalde Arturo.pdf · METODOLOGÍA PARA...