UNIVERSIDAD DE GUAYAQUILrepositorio.ug.edu.ec/bitstream/redug/6814/1/Tesis Completa-297-2010.pdf ·...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN SISTEMAS

COMPUTACIONALES

Estudio de informática forense acerca de delitos ocurridos entre la

interoperabilidad de sistemas operativos cliente de plataforma

Windows y servidores con plataforma de software libre

Linux dentro de redes hibridas

TESIS DE GRADO

Previa a la obtención del Título de:

INGENIERO EN SISTEMAS COMPUTACIONALES

AUTOR: CARLOS ALBERTO LUCAS AYORA

TUTOR: ING. JUAN SANCHEZ H.

GUAYAQUIL – ECUADOR

2010




COMPUTACIONALES





TESIS DE GRADO

Previa a la obtención del Título de:

INGENIERO EN SISTEMAS COMPUTACIONALES

CARLOS ALBERTO LUCAS AYORA

TUTOR: ING. JUAN SANCHEZ H.

GUAYAQUIL – ECUADOR

2010

Guayaquil, ……………… 2010

i

APROBACION DEL TUTOR

En mi calidad de Tutor del trabajo de investigación, “Estudio de informática

forense acerca de delitos ocurridos entre la interoperabilidad de

sistemas operativos cliente de plataforma Windows y servidores con

plataforma de software libre Linux dentro de redes

hibridas“ elaborado por el Sr.

CARLOS ALBERTO LUCAS AYORA, egresado de la Carrera de Ingeniería en

Sistemas Computacionales, Facultad de Ciencias Matemáticas y Físicas de la

Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Sistemas,

me permito declarar que luego de haber orientado, estudiado y revisado, la Apruebo

en todas sus partes.

Atentamente

………………………………….

Ing. JUAN SANCHEZ H.

TUTOR

ii

DEDICATORIA

Este trabajo de tesis va dedicado a mi

familia, mi madre, mi padre y mi hermano;

han sido el soporte, la compañía, la ayuda,

el amor, la comprensión, la paciencia, todo

aquello que un ser humano necesita

rodearse y sentir para poder alcanzar sus

objetivos en la vida.

iii

AGRADECIMIENTO

A ti Rossana, sin tu amor, sin tu empuje

esto no hubiera sido posible. Quiero

agradecer a mis familiares cercanos que

siempre estuvieron pendientes de mis

avances para la obtención de mis objetivos,

a mis amigos siempre con sus palabras de

apoyo, a la Universidad de Guayaquil por

brindarme las herramientas y el

conocimiento para realizar este trabajo, a

todas esas personas muchas gracias.

iv

TRIBUNAL DE GRADO

Ing. Frenando Abad Montero Ing. Juan Chanabá Alcócer

DECANO DE LA FACULTAD DIRECTOR

CIENCIAS MATEMATICAS Y FISICAS

MIEMBRO DEL TRIBUNAL MIEMBRO DEL TRIBUNAL

MIEMBRO DEL TRIBUNAL (TUTOR) SECRETARIO

v




COMPUTACIONALES





RESUMEN

El presente proyecto de tesis tiene como objetivo dar a conocer a nuestra sociedad

tecnológica una herramienta muy nueva, pero por esto no deja de ser importante. Vemos cada vez el

creciente número de incidentes, ataques o siniestros ocurridos en los centros de datos, estos en mayor

numero ocurren por ataques externos, intrusos que logran vulnerar las seguridades de los mismos

accediendo a información delicada y a su vez averiando la estructura física tecnológica. La informática

forense es una ciencia que basa su principios científicos en el análisis de los datos en los dispositivos

electrónicos, para lograr establecer daños causados y encontrar rastros de quien o quienes fueron los

posibles autores de dicha intrusión. Este estudio explica los pasos que los especialistas deben seguir y

que herramientas disponibles pueden hacer uso para encontrar evidencia suficiente y precisa para

identificar el daño así como los autores. Esta ciencia guarda mucha relación con otras, en especial con

la forense, ya que sigue el mismo patrón de procedimientos y también con las ciencias humanísticas,

las legales. Esto es, porque toda aquella evidencia que se logre encontrar puede ser utilizada como

pruebas para un proceso legal que sea llevado en una corte. Debemos estar a la altura de la situación,

los riesgos cada vez son más grandes, por las cantidades de información que manejan los centros de

datos, y se debe tener en cuenta todo el abanico de opciones y herramientas que permiten una mejor

administración de los mismos. Pero así mismo estas acciones y procesos no pueden llevarse a

cabalidad sino existe un respaldo legal eficiente y bien estructurado, sino se diseñan cuerpos legales

que consideren este campo muy amplio y que tengan definiciones más apropiadas para afrontar este

tipo de hechos.

Autor: Carlos Lucas Ayora

Tutor:Ing. Juan Sanchez H.

vi




COMPUTACIONALES

___________________________________________________

Estudio de informática forense acerca de delitos ocurridos

entre la interoperabilidad de sistemas operativos

cliente de plataforma Windows y servidores

con plataforma de software libre

Linux dentro de

redes hibridas

________________________________________

Proyecto de trabajo de grado que se presenta como requisito para optar por el título de

INGENIERO en SISTEMAS COMPUTACIONALES

Auto/a CARLOS LUCAS AYORA

C.I. 0923048102

Tutor: Ing. JUAN SANCHEZ H.

Guayaquil, ______de_____

Mes

vii

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del Primer Curso de Fin de Carrera, nombrado por el

Departamento de Graduación y la Dirección de la Carrera de Ingeniería en Sistemas

Computacionales de la Universidad de Guayaquil,

CERTIFICO:

Que he analizado el Proyecto de Grado presentado por el/la egresado(a)

CARLOS ALBERTO LUCAS AYORA, como requisito previo para optar por el

título de Ingeniero cuyo problema es:

“Estudio de informática forense acerca de delitos ocurridos entre la



Linux dentro de redes hibridas“

considero aprobado el trabajo en su totalidad.

Presentado por:

LUCAS AYORA CARLOS ALBERTO 0923048102

Apellidos y Nombres completos Cédula de ciudadanía N°

Tutor: ING. JUAN SANCHEZ H.

Guayaquil, ______de_____

Mes

i

ii

INDICE GENERAL

CARATULA i

CARTA DE ACEPTACION DEL TUTOR ii

INDICE GENERAL iii

RESUMEN iv

INTRODUCCION v

CAPITULO I .- EL PROBLEMA 1

1.1 Ubicación del problema en un contexto 1

1.2 Situación, conflictos, nudos críticos 2

1.3 Causas y consecuencias del problema 3

1.4 Delimitación del problema 4

1.5 Formulación del problema 5

1.6 Objetivos 6

1.7 Justificación e Importancia 8

CAPITULO II .- MARCO TEORICO 10

2.1 Antecedentes 10

2.1.1 Los principios en entrenamiento 10

2.1.2 El organismo especializado (IOCE) 10

2.1.3 Finales de los 90's 11

2.1.4 La primera década del siglo 21 11

2.2 Fundamentación Legal 11

2.2.1 Ley de Comercio Electrónico, firmas electrónicas y mensajes de datos 12

2.3 Fundamentación Teórica 15

2.3.1 Informática forense 17

2.3.2 Principios Forenses 19

2.3.3 Evidencia Digital 20

2.4 Metodología de trabajo para el análisis de datos 21

2.4.1 La identificación de la evidencia digital 22

2.4.2 La extracción y preservación del material informático 23

2.4.3 Análisis de datos 25

2.4.4 La presentación del dictamen pericial 26

2.5 Hipótesis y Variables 28

2.5.1 Definiciones 28

2.6 Conceptos y definiciones 29

2.6.1 Siniestro 29

2.6.1.1 Clases de Siniestro 30

2.6.1.1.1 Por el grado de intensidad del daño producido 30

2.6.1.1.1.1 Siniestro Parcial 30

2.6.1.1.1.2 Siniestro Total 30

2.6.1.1.2 Por el estado del trámite en que se encuentran 30

2.6.1.1.2.1 Siniestro Declarado 30

2.6.1.1.2.1 Siniestro Pendiente 30

2.6.1.1.2.1 Siniestro Liquidado 30

2.6.1.1.3 Según lo común del siniestro 31

2.6.1.1.3.1 Siniestro Ordinario 31

2.6.1.1.3.1 Siniestro Extraordinario o Catastrófico 31

2.6.1.1.4 Siniestro Informático 32

2.6.1.1.4.1 Concepto 32

2.6.1.1.4.1 Tipos de Siniestro Informático 32

2.6.1.1.4.1.1 Bomba ilícita o cronológica 32

2.6.1.1.4.1.2 Piratas informáticos o hackers 32

CAPITULO III .- METODOLOGIA 34

3.1 Diseño de la Investigación 34

3.1.1 Modalidad de la investigación 34

3.1.2 Tipo de investigación 35

3.1.3 Población y muestra 38

3.2 Operacionalizacion de las variables 40

3.2.1 Variable independiente 40

3.2.2 Variable dependiente 41

3.2.3 Técnicas para el procesamiento y análisis de datos 42

CAPITULO IV .- MARCO ADMINISTRATIVO 44

4.1 Cronograma 44

4.2 Presupuesto 44

CAPITULO V .- MARCO LEGAL 45

5.1 Conceptos y definiciones 45

5.1.1 Delito Informático 45

5.1.2 Criminología 45

5.1.3 Criminalística 46

5.1.4 Evidencia Digital 46

5.1.5 Perito Informático 46

5.1.6 Informática forense 46

5.1.7 Auditoria forense 47

5.2 Leyes y normativas legales sobre derecho informático 47

5.2.1 Derecho informático en Europa 48

5.2.2 Derecho informático en Norteamérica 49

5.2.3 Derecho informático en México 50

5.2.3 Derecho informático en Latinoamérica 51

5.2.3 Derecho informático en Ecuador 53

5.3 El papel fundamental de la evidencia física dentro de un proceso legal basado en

delitos informáticos 56

5.3.1 Proceso de recuperación de evidencia 56

5.3 Reconocimiento de la evidencia 59

5.3 Recomendaciones legales básicas 63

REFERENCIAS BIBLIOGRAFICAS 67

ANEXOS 70

Instalacion y configuración del SLEUTHKIT y ATOPSY BROWSER 71

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS


COMPUTACIONALES

ESTUDIO DE INFORMÁTICA FORENSE ACERCA DE

DELITOS OCURRIDOS ENTRE LA INTEROPERABILIDAD DE

SISTEMAS OPERATIVOS CLIENTE DE PLATAFORMA

WINDOWS Y SERVIDORES CON PLATAFORMA DE

SOFTWARE LIBRE LINUX DENTRO DE REDES HIBRIDAS

Autor/a: CARLOS LUCAS AYORA

Tutor/a: ING: JUAN SANCHEZ H.

RESUMEN

Las infraestructuras de TI son cada día mucho mejor implementadas en cuanto a

costos, elementos y diseños; para obtener el mayor rendimiento posible de las

mismas. Es por eso que para su diseño y mantenimiento se deben tener mecanismo de

seguridad tanto preventiva como correctiva. Antivirus, Antispyware, Firewalls,

restricciones, VPN's, un sin número de métodos que se pueden implementar para la

seguridad de TI. Pero en Ocasiones cuando las seguridades fallan, sean estas por

descuido de los administradores o por intrusiones malintencionadas, es cuando las

medidas correctivas son llevadas a cabo, ahí es donde hace su aparición la informática

forense, una ciencia naciente que permite por medio de procesos y métodos

científicos la obtención de evidencias que guíen a los autores de un ataque a la

estructura de TI, así como de los daños que esto causo y de las correcciones que

deben tomarse para restablecer los servicios. La informática forense es una ciencia

que recién está comenzando a ser aceptada y utilizada, una gran utilidad de la misma

es que se involucra con el ámbito legal, ya que mediante los análisis forenses se

podrán identificar a los culpables de hechos dolosos que atenten contra la estructura

de los centros de datos, pudiendo poner a estos ante la justicia con evidencias

incriminatorias. El objetivo del desarrollo de esta tesis es poner en conocimiento de

los administradores de TI una herramienta muy útil, así como de explicar la

aplicación de la misma para el mantenimiento de los centros de datos. En nuestro país

estos conceptos aun son muy poco conocidos y menos aun utilizados. La informática

forense abre un abanico de soluciones ya que puede interactuar con muchos campos

del desarrollo tecnológico, telecomunicaciones, hardware, software, obteniendo un

rango muy amplio de acción.

vi



CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES

ESTUDIO DE INFORMÁTICA FORENSE ACERCA DE

DELITOS OCURRIDOS ENTRE LA INTEROPERABILIDAD DE

SISTEMAS OPERATIVOS CLIENTE DE PLATAFORMA

WINDOWS Y SERVIDORES CON PLATAFORMA DE

SOFTWARE LIBRE LINUX DENTRO DE REDES HIBRIDAS

ABSTRACT

It infraestructures are improving every day, but these implies costs, designing, and

very complex devices; in order to keep best perfomance on those estructures. That is

the reason of why they have security programs and strutctures as preventive and for

repairment. Antivirus, Antiphising, Antispyware, security policies, and others ways

that can be developed for IT security structures. Even though of those efforts

sometimes this systems can fail, those can be consequences of a security policies not

correctly implanted, some administrators are not capable to solve some situations and

problems that can be seen in a IT structure, intruders trying to cause damages. This is

the right moment when administrators using they policies, in this case to repairs

damages and errors caused before. Computer forensics is one of the most powerful

tools in this matter, this the base of this document. Computer Forensics is a neraly age

science, its based on scientifics process and sizing. Its used to obtain phisic evidence

from several electronics devices like computers, pda's, hard disks, etc. This newly

science allows the investigators get leads about those who may do the intrusion or

damage in that case. INVOLVES procedures to make planing of fixing events that

take down the services of IT. Because this procedures, methods and results of these

are catalog as evidence, this evidence can be show in a law process sucha as trial, for

these reason computer forensics is mixing with so many other sciences. This

document of thesis pretend stablish a way of thinking between IT administrators and

people involve in technology, nowadays there so many treaths, so many ways to

brake securities, and reach very important information as many devices. that's why

people who work or develop solutions for theese problems have to be awareness of

this matter. We take a look arround and every are technology, and every we bring

more solutions to our world.

v

INTRODUCCION

Debido a que en la actualidad las personas, las empresas, los gobiernos e instituciones

utilizan sistemas informáticos para el manejo de sus operaciones o a su vez

almacenamiento de datos, sean estos programas, equipos de computación y que a

medida que se incrementa esta demanda hacen que estos equipos y programas sean

vulnerables a ataques e incidentes que pongan en peligro la integridad de dichos

elementos produciendo daños en las plataformas tecnológicas, perjuicios economicos,

etc. Por este motivo debe de dársele la importancia necesaria para establecer normas

de seguridad, implementar planes de respuesta inmediata y asegurar un marco legal

adecuado para salvaguardar las infraestructuras tecnológicas así como la integridad de

la información.

A medida que va aumentando y diversificando el uso de plataformas tecnológicas, las

vulnerabilidades aparecen continuamente. Los intrusos o usuarios mal intencionados

buscan cuentas sin contraseña, servicios mal configurados, contraseñas mal

estructuradas, vulnerabilidades en los protocolos, de sistemas operativos

aprovechándose además de la deficiencia en la cultura sobre seguridad computacional

que existe en la sociedad.

Nombrando incidentes y ataques más comunes que deben tomarse en cuenta para

mantener la seguridad de un equipo o sistema tenemos: robo de contraseñas,

troyanos, virus y gusanos, puertas traseras, negación de servicios (DOS), correo no

deseado, sniffers, hoaxes, buffer overflow, e IP spooling, entre otros.

Para combatir este tipo de delitos, existe la Informática Forense como una

herramienta clave en la investigación de estas peligrosas prácticas. Esta ciencia

involucra aspectos como la preservación, descubrimiento, identificación, extracción,

documentación y la interpretación de datos informáticos; analizando a partir de esto,

los elementos de la tecnología de información que sean una evidencia digital llevando

así a la solución funcional y/o judicial del delito padecido por compañía o persona

natural.

En nuestro país esta ciencia usada como herramienta es muy poco aplicada, ya que o

existe desconocimiento de la misma o no hay la información ni los mecanismos

adecuados para su aprovechamiento, dando lugar a que la mayoría de estos problemas

se queden sin soluciones o inclusive en ciertos casos sin reparo en los perjuicios

ocasionados.

Más aun en nuestra sociedad, cuando se trata de infraestructura tecnológica existen

muchos vacios o vulnerabilidades tales como fallas humanas, procedimentales o

inclusive propias de la tecnología las que son aprovechadas por intrusos para

ocasionar daños.

La informática forense hace su aparición como una disciplina auxiliar para la justicia

en estos tiempos donde los delitos han cambiado y se presentan distintas figuras

legales. Con esta disciplina podemos hacer frente a los desafíos y técnicas utilizadas

por los intrusos informáticos, así como para proporcionarnos garantía en lo que a

evidencia digital concierne para que esta pueda ser aportada en un proceso judicial.

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

El fraude, extorsión, robo de información, venganza o simplemente el reto de

vulnerar un sistema son varios de los objetivos con los cuales un empleado interno o

atacantes externos pueden llegar a afectar la estructura tecnológica de una compañía.

Si una compañía no diseña procedimientos, políticas y asigna recursos para la

seguridad de sus sistemas puede fácilmente ser víctima de estas situaciones. En

nuestro país muy pocas empresas y personas toman muy en serio el ámbito de la

seguridad de sus plataformas ya que comprenden la importancia de estas para el

funcionamiento del negocio.

Mientras las personas encargadas de administrar los sistemas, los recursos

tecnológicos no procedan con cautela ante estos posibles ataques o no tomen las

medidas preventivas ni correctivas, se podrán encontrar frecuentemente con estos

problemas.

La informática forense aparte de ser una medida correctiva, también se la puede

aplicar antes de que estos sucesos ocurran para no sufrir en un futuro los

inconvenientes que un ataque a la plataforma tecnológica pueda causar.

En nuestro país estas técnicas y procedimientos de la informática forense son nuevos,

por lo tanto no son muy aplicados, aparte de su desconocimiento. Cabe nombrar que

las leyes que existen para tipificar lo que es un delito de índole informática son muy

escasas, además no son muy explicitas al momento de especificar un hecho de esta

naturaleza, por lo cual se deben actualizar dichas leyes para afrontar los hechos y

situaciones que se van presentando a medida que la tecnología avanza.

1

CAPÍTULO I

1. EL PROBLEMA

1.1 UBICACIÓN DEL PROBLEMA EN UN CONTEXTO

Debido a que en la actualidad las personas, las empresas, los gobiernos e instituciones

utilizan sistemas informáticos para el manejo de sus operaciones o a su vez

almacenamiento de datos, sean estos programas, equipos de computación y que a

medida que se incrementa esta demanda hacen que estos equipos y programas sean

vulnerables a ataques e incidentes que pongan en peligro la integridad de dichos

elementos produciendo daños en las plataformas tecnológicas, perjuicios económicos,

etc. Por este motivo debe de dársele la importancia necesaria para establecer normas

de seguridad, implementar planes de respuesta inmediata y asegurar un marco legal

adecuado para salvaguardar las infraestructuras tecnológicas así como la integridad de

la información.

A medida que va aumentando y diversificando el uso de plataformas tecnológicas, las

vulnerabilidades aparecen continuamente. Los intrusos o usuarios mal intencionados

buscan cuentas sin contraseña, servicios mal configurados, contraseñas mal

estructuradas, vulnerabilidades en los protocolos, de sistemas operativos

aprovechándose además de la deficiencia en la cultura sobre seguridad computacional

que existe en la sociedad.

Nombrando incidentes y ataques más comunes que deben tomarse en cuenta para

mantener la seguridad de un equipo o sistema tenemos: robo de contraseñas,

troyanos, virus y gusanos, puertas traseras, negación de servicios (DOS), correo no

deseado, sniffers, hoaxes, buffer overflow, e IP spooling, entre otros.

2

Para combatir este tipo de delitos, existe la Informática Forense como una

herramienta clave en la investigación de estas peligrosas prácticas. Esta ciencia

involucra aspectos como la preservación, descubrimiento, identificación, extracción,

documentación y la interpretación de datos informáticos; analizando a partir de esto,

los elementos de la tecnología de información que sean una evidencia digital llevando

así a la solución funcional y/o judicial del delito padecido por compañía o persona

natural.

En nuestro país esta ciencia usada como herramienta es muy poco aplicada, ya que o

existe desconocimiento de la misma o no hay la información ni los mecanismos

adecuados para su aprovechamiento, dando lugar a que la mayoría de estos problemas

se queden sin soluciones o inclusive en ciertos casos sin reparo en los perjuicios

ocasionados.

Más aun en nuestra sociedad, cuando se trata de infraestructura tecnológica existen

muchos vacios o vulnerabilidades tales como fallas humanas, procedimentales o

inclusive propias de la tecnología las que son aprovechadas por intrusos para

ocasionar daños.

La informática forense hace su aparición como una disciplina auxiliar para la justicia

en estos tiempos donde los delitos han cambiado y se presentan distintas figuras

legales. Con esta disciplina podemos hacer frente a los desafíos y técnicas utilizadas

por los intrusos informáticos, así como para proporcionarnos garantía en lo que a

evidencia digital concierne para que esta pueda ser aportada en un proceso judicial.

1.2 SITUACIÓN CONFLICTO NUDOS CRÍTICOS

El crecimiento en el uso de plataformas tecnológicas para la administración de los

datos de las empresas o gobiernos también produce un mayor número de

vulnerabilidades dentro de estos sistemas. Estas vulnerabilidades se encuentran

porque existen personas malintencionadas que persiguen causar un perjuicio u

3

obtener información confidencial, utilizando técnicas y procedimientos técnicos para

alcanzar este fin.

En una compañía, un empleado puede comprometer las seguridades en los sistemas

de la compañía, en casos por inexperiencia o también con conocimiento de culpa.

Podemos encontrar que un trabajador obtiene una contraseña de seguridad para

obtener mayores privilegios dentro de una base de datos, sin conocimiento puede

permitir el acceso al sistema de un virus o algún otro programa dañino, obtiene

información confidencial para proporcionársela a la competencia.

Por la falta de cultura de seguridad informática que existe las empresas pueden ser

víctimas de delincuentes especializados en este tipo de acciones. Un banco puede

sufrir una pérdida de información por un intruso en sus sistemas. Una empresa

comercial que posee un servidor externo para clientes, si no está debidamente

configurado y no posee las seguridades necesarias puede ser víctima de un hacker y

puede sufrir daños en su infraestructura tecnológica.

Ante todas estas situaciones problemáticas se puede hacer uso de la informática

forense tanto para la recuperación de los daños sufridos por intrusos o aplicaciones

peligrosas, así como la identificación de los posibles culpables que ocasionaron el

daño y además la recolección de evidencia confiable para que esta pueda ser tomada

en una acusación formal de los supuestos agresores.

1.3 CAUSAS Y CONSECUENCIAS DEL PROBLEMA

El fraude, extorsión, robo de información, venganza o simplemente el reto de

vulnerar un sistema son varios de los objetivos con los cuales un empleado interno o

atacantes externos pueden llegar a afectar la estructura tecnológica de una compañía.

4

Si una compañía no diseña procedimientos, políticas y asigna recursos para la

seguridad de sus sistemas puede fácilmente ser víctima de estas situaciones. En

nuestro país muy pocas empresas y personas toman muy en serio el ámbito de la

seguridad de sus plataformas ya que comprenden la importancia de estas para el

funcionamiento del negocio.

Mientras las personas encargadas de administrar los sistemas, los recursos

tecnológicos no procedan con cautela ante estos posibles ataques o no tomen las

medidas preventivas ni correctivas, se podrán encontrar frecuentemente con estos

problemas.

La informática forense aparte de ser una medida correctiva, también se la puede

aplicar antes de que estos sucesos ocurran para no sufrir en un futuro los

inconvenientes que un ataque a la plataforma tecnológica pueda causar.

En nuestro país estas técnicas y procedimientos de la informática forense son nuevos,

por lo tanto no son muy aplicados, aparte de su desconocimiento. Cabe nombrar que

las leyes que existen para tipificar lo que es un delito de índole informática son muy

escasas, además no son muy explicitas al momento de especificar un hecho de esta

naturaleza, por lo cual se deben actualizar dichas leyes para afrontar los hechos y

situaciones que se van presentando a medida que la tecnología avanza.

1.4 DELIMITACIÓN DEL PROBLEMA

El estudio actual se va a centrar en el análisis de hechos acontecidos o que puedan

ocurrir en la plataforma cliente, Windows XP en todas sus versiones, ya que es el

sistema operativo que más se ha comercializado y más utilizado aun en estos

momentos. En esta plataforma es donde más problemas de seguridad ocurren por el

hecho de su uso, entre mas se masifica más problemas se encuentran a medida de su

utilización.

5

La plataforma de Microsoft, Windows XP, es la que más sufre de atentados de

seguridad ya sea en una empresa o en caso de uso personal. Esto sucede por la

masificación existente, para ello la informática forense posee herramientas para la

detección de estos ataques para su correspondiente camino de acciones posteriores.

También se presentara casos de violaciones de seguridad en servidores Linux ya que

en mayor parte las empresas están adoptando el uso de estos sistemas operativos para

el manejo de sus sistemas.

De la misma manera se propondrá soluciones legales para proceder en estos casos, se

realizara recomendaciones para asesorar cuando se es víctima de un delito

informático.

1.5 FORMULACIÓN DEL PROBLEMA

En nuestro país los delitos informáticos ocurren con mucha frecuencia, no son tan

difundidos porque en mayor parte de los casos no se logra hallar a los autores de

dichos delitos, porque las empresas no dedican recursos a obtener resultados haciendo

investigaciones y porque las leyes diseñadas para identificar y sancionar dichos

hechos no son acorde a la realidad o son muy pasadas de época, ya que no existe una

reforma en ese campo.

El objeto de este estudio es identificar problemas de seguridad que se identifiquen en

los sistemas operativas tanto de Windows como Linux para proceder con sus

correcciones, recuperación y recolección de evidencia digital para evaluación en un

litigio.

6

1.6 OBJETIVOS

Mediante el análisis informático forense, se rastrean las pruebas en los elementos

digitales, discos duros y dispositivos de almacenamiento, componentes de una red,

con el fin de reconstruir el escenario de cualquier incidente o ataque informático para

recolectar evidencias y que esta sirvan para establecer los daños ocurridos así como la

identificación de los posible agresores.

El objetivo primordial de la realización de esta tesis, es la elaboración de un estudio

acerca de la aplicación de la informática forense en caso de supuestos ataques que

puedan ocurrir dentro del ambiente de una empresa u organización, dentro de

parámetros debidamente delineados.

La informática forense es una ciencia relativamente nueva en la cual aun no existen

estándares aceptados por lo cual se pueden hacer uso de varias herramientas

conceptuales y procedimentales, así como de herramientas de software que permite la

consecución de la meta que es el encontrar la evidencia necesaria para determinar un

delito informático.

La informática forense en primer lugar se usa como sistema preventivo, ya que

permiten analizar las diferentes fallas o inseguridades dentro de los sistemas para

poder ser corregidas antes de que ocurra un hecho desfavorable para la actividad de la

empresa o negocio.

Luego la informática forense se llega a utilizar como una herramienta correctiva, ya

que permitirá encontrar las fallas de seguridad para poder elaborar un plan de acción

así también obtendremos indicios de los posibles culpables que ocasionaron el daño,

además de recopilar evidencia necesaria para encontrar el mecanismo de ataque así

como para poder ser tomadas en cuenta en las acusaciones que se puedan emprender

en contra de los atacantes.

7

Es por eso que en este estudio realizaremos un caso de prueba en cual mediante una

estación de trabajo conectada mediante un ruteador hacia otro equipo que hará de

servidor, ejecutaremos una simulación de ataque desde esta, el usuario de este equipo

lograra tener acceso al servidor y copiar unos archivos de acceso restringido, así

como de eliminar dichos archivos ubicados en el servidor.

Luego de realizar dicha simulación se ejecutará un procedimiento de informática

forense para determinar los daños causados por dicho intruso, con el cual se evaluara

la información obtenida. Se dimensionaran los daños causados, que información se

sustrajo o elimino del servidor y desde donde realizo dicho ataque.

Se planificara un curso de acción para determinar la manera en que se violo el acceso

al servidor, como logro ingresar que fue lo que realizo, que información logro obtener

del mismo, así como también de recuperar el daño realizado. Recoger las evidencias

del ataque para poder elaborar un informe posterior sobre lo sucedido en este ataque.

En el desarrollo de esta tesis se utilizara herramientas de software libre, las cuales se

procederá a descargar del internet, con cuales podremos demostrar ciertos casos de

ataques dentro de la interoperabilidad que existen entre los sistemas operativos

mencionados en el titulo de esta misma. Estas aplicaciones nos permitirán examinar

los casos propuestos elaborando un plan de acción para la obtención de la

información necesaria que permita demostrar el uso de las herramientas así como

demostrar los objetivos para los cuales se estableció la informática forense.

Se demostrará con el uso de las aplicaciones de software libre diseñadas para la

informática forense el cumplimiento de los objetivos principales de la misma que son

la detección del ataque, resarcimiento de los daños sufridos y obtención de evidencia

digital para su uso correspondiente.

8

Se propondrá un grupo de lineamientos legales que deberían ser tomados en cuenta en

este ámbito, involucrándose un poco en la parte legal de la informática. Ya que

hablamos de delitos y estos como tales deben ser sancionados por leyes que los

definan y hayan penas para los mismos. En nuestro país esto aun no es un tema de

mayor análisis por lo cual este trabajo también se proyectara hacia allá planteando

normativas o especificaciones que se pueden hacer uso dentro de la ley de comercio

electrónico que es la que regula este campo dentro del sistema legal ecuatoriano.

1.7 JUSTIFICACIÓN E IMPORTANCIA

La realización de este estudio tiene como meta principal dar a conocer a la

informática forense como una poderosa herramienta dentro del campo de seguridad

digital.

Este estudio se justifica por el uso que realizan las organizaciones, gobiernos y

personas de recursos informáticos, los cuales necesitan ser estructurados con políticas

y medidas de seguridad, para garantizar su continuo funcionamiento y

desenvolvimiento para el beneficio de los usuarios y de las organizaciones.

El conocimiento de herramientas para la informática forense es otra de las metas que

se pretende realizando este estudio, ya que en la actualidad existen programas de

código libre que ayudan en la consecución de los objetivos planteados.

La informática forense es un tema reciente en nuestro país, por lo el cual este trabajo

pretende ser una guía y/o plataforma para investigaciones y trabajos en lo posterior.

Las empresas, organizaciones y personas podrán hacer uso de este estudio para lograr

una optima estructuración es sus políticas de seguridad informática, y favorecer su

productividad y desarrollo.

9

Con la ayuda de la informática forense se pueden identificar delitos de índole digital

los cuales luego de su análisis, podrán ser clasificados, tipificados y podrán pasar a

formar parte de los delitos que la ley enuncia y establecer castigos para los mismos.

10

CAPÍTULO II

2. MARCO TEÓRICO

2.1 ANTECEDENTES

El estudio de la informática forense comprende la extracción, análisis y

documentación de la evidencia de un sistema informático o de una red. Es usualmente

utilizada por agentes de la ley para encontrar evidencia dentro de un juicio criminal.

Esta disciplina es relativamente nueva, teniendo su aparición en 1980.

En la década de los 80’s, cuando los computadores personales se convirtieron

en una muy buena opción para los consumidores ya que les permitía automatizar sus

tareas. El FBI creo en 1984, un programa conocido en ese tiempo como Magnetic

Media Program, el cual en estos días paso a llamarse Computer Analysis and

Response Team (CART). Poco después el hombre conocido como “el padre de la

informática forense” comienzo a trabajar en este campo. Este hombre era Michael

Anderson, fue un agente especial de la división de investigaciones criminales en el

IRS. Anderson trabajo para el gobierno hasta mediados de los 90’s, para luego fundar

New Technologies Inc., una firma líder en el ámbito de la informática forense.

2.1.1 Los principios en entrenamiento

En Oregon en 1988 se programa una reunión que dio lugar a la

formación del IACIS (International Association of Computer Investigative

Specialist). Poco tiempo después la primera promoción se entreno en SCERS

(Seized Computer Evidence Recovery Especialist).

2.1.2 El organismo especializado (IOCE)

El continuo crecimiento de esta disciplina dio lugar en los 90’s a la

primera conferencia sobre la recolección de evidencia informática en el año de

11

1993. Dos años más tarde se estableció la International Organization on

Computer Evidence (IOCE).

2.1.3 Finales de los 90’s

Para 1997, fue ampliamente reconocido el refuerzo de los ejecutantes

de la ley alrededor del mundo entero necesitaban estar bien al tanto de cómo

adquirir evidencia desde un sistema computacional, un hecho evidente que

ocurrió en un comunicado del G8 en ese año. Luego la INTERPOL organizo

un simposio sobre informática forense el siguiente año y en 1999 el CART

perteneciente al FBI logro resolver 2,000 casos.

2.1.4 La primera década del siglo 21

El CART del FBI continúo en constante crecimiento. Tanto que en

1999, logro analizar 17 Terabytes de datos, siendo para el año 2003 782

Terabytes de datos en tan solo un año. Con los avances tecnológicos, la

proliferación del acceso a internet, el rol de la informática forense comenzó a

ser de mucha importancia dentro del ámbito legal. Con el advenimiento de los

smartphones y PDAs, se convierten en vías para que los criminales tengas más

opciones en quebrantar la ley y es en donde la informática forense juega un

papel muy importante.

12

2.2 FUNDAMENTACION LEGAL

2.2.1 LEY DE COMERCIO ELECTRONICO, FIRMAS ELECTRONICAS

Y MENSAJES DE DATOS

La actual LEY DE COMERCIO ELECTRONICO, FIRMAS Y MENSAJES DE

DATOS fue publicada en R.O. Suplemento 557 de 17 de Abril del 2002

Artículo 1.- Objeto de la Ley.- Esta Ley regula los mensajes de datos, la firma

electrónica, los servicios de certificación, la contratación electrónica y telemática, la

prestación de servicios electrónicos, a través de redes de información, incluido el

comercio electrónico y la protección a los usuarios de estos sistemas.

Artículo 2.- Reconocimiento jurídico de los mensajes de datos.- Los mensajes de

datos tendrá igual valor jurídico que los documentos escritos. Su eficacia, valoración

y efectos se someterá al cumplimiento de lo establecido en esta Ley y su reglamento.

Artículo 4.- Propiedad Intelectual.- Los mensajes de datos estarán sometidos a las

leyes, reglamentos y acuerdos internacionales relativos a la propiedad intelectual.

Artículo 5.- Confidencialidad y reserva.- Se establecen los principios de

confidencialidad y reserva para los mensajes de datos, cualquiera sea su forma, medio

o intención. Toda violación a estos principios, principalmente aquellas referidas a la

intrusión electrónica, transferencia ilegal de mensajes de datos o violación del secreto

profesional, será sancionada conforme a lo dispuesto en esta Ley y demás normas que

rigen la materia.

Artículo 44.- Cumplimiento de formalidades.- Cualquier actividad, transacción

mercantil, financiera o de servicios, que se realice con mensajes de datos, a través de

13

redes electrónicas, se someterá a los requisitos y solemnidades establecidos en la Ley

que las rija, en todo lo que fuere aplicable, y tendrá el mismo valor y los mismos

efectos jurídicos que los señalados en dicha Ley.

Artículo 47.- Jurisdicción.- En caso de controversias las partes se someterán a la

jurisdicción estipulada en el contrato; a falta de ésta, se sujetarán a las normas

previstas por el Código de Procedimiento Civil Ecuatoriano y esta Ley, siempre que

no se trate de un contrato sometido a la Ley Orgánica de Defensa del Consumidor, en

cuyo caso se determinará como domicilio el del consumidor o usuario.

Para la identificación de la procedencia de un mensaje de datos, se utilizarán los

medios tecnológicos disponibles, y se aplicarán las disposiciones señaladas en esta

Ley y demás normas legales aplicables.

Cuando las partes pacten someter las controversias a un procedimiento arbitral, en la

formalización del convenio de arbitraje como en su aplicación, podrán emplearse

medios telemáticos y electrónicos, siempre que ello no sea incompatible con las

normas reguladoras del arbitraje.

Artículo 57.- Infracciones Informáticas.- Se considerarán infracciones

informáticas, las de carácter administrativo y las que se tipifican, mediante reformas

al Código Penal, en la presente Ley.

Artículo 61.- A continuación del Art. 415 del Código Penal, inclúyanse los siguientes

artículos enumerados:

“Art.....- Daños informáticos.- El que dolosamente, de cualquier modo o utilizando

cualquier método, destruya, altere, inutilice, suprima o dañe, de forma temporal o

definitiva, los programas, datos, bases de datos, información o cualquier mensaje de

datos contenido en un sistema de información o red electrónica, será reprimido con

14

prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los

Estados Unidos de Norteamérica.

La pena de prisión será de tres a cinco años y multa de doscientos a seis cientos

dólares de los Estados Unidos de Norteamérica, cuando se trate de programas, datos,

bases de datos, información o cualquier mensaje de datos contenido en un sistema de

información o red electrónica, destinada a prestar un servicio público o vinculado con

la defensa nacional.

Art. .....- Si no se tratare de un delito mayor, la destrucción, alteración o inutilización

de la infraestructura o instalaciones físicas necesarias para la transmisión, recepción o

procesamiento de mensajes de datos, será reprimida con prisión de ocho meses a

cuatro años y multa de doscientos a seis cientos dólares de los Estados Unidos de

Norteamérica.”.

Artículo 64.- A continuación del numeral 19 del Art. 606 añádase el siguiente: (VER

CODIGO PENAL)

19. Los que causaren cualquier daño o perjuicio en las instalaciones u obras

destinadas a la provisión de alumbrado, agua potable, u en los focos, lámparas o

faroles, etc., destinados al servicio público, si el acto no fuere delito.

“..... Los que violaren el derecho a la intimidad, en los términos establecidos en la

Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.”.

15

2.3 FUNDAMENTACION TEORICA

“En una sociedad que, cada día, basa más sus dinámicas en sistemas de

cómputo, comunicaciones, redes y conectividad, la seguridad debe pasar de ser una

tarea más a una prioridad para los gobiernos, instituciones, compañías e individuos,

solidificándose así una política clara e integral de seguridad informática”, señaló un

informe de ETEK (ETEK es una corporación en soluciones integrales de Seguridad

de la Información).

A medida que se incrementa y abarca más campos de desarrollo humano se

intensifica el uso de sistemas informáticos, de la misma manera aumentan los riesgos

de ataques e incidentes a estos equipos utilizados en los sistemas de computo y demás

dispositivos electrónicos que ponen en peligro la integridad de los datos que se

almacena, procesa, registra o transfieren esos elementos; de aquí nace la necesidad de

diseñar e implementar medidas preventivas y correctivas, planes de emergencia y

tiempos de respuesta inmediatos para salvaguardar la estructura IT y las aplicaciones,

protegiendo la información.

Vemos cada vez más en los medios de comunicación, reportes sobre

vulnerabilidades encontradas, el aprovechamiento de fallas ya sean estas humanas,

tecnológicas o procedimentales sobre estructuras tecnológicas alrededor del mundo,

ofreciendo el escenario adecuado para la proliferación de tendencias relacionas con la

intrusión dentro de sistemas informáticos.

La motivación de los intrusos es de diversa índole, ya que sus alcances y

estrategias varían causando desconcierto entre los especialistas, ya sean estos

analistas, consultores etc. Ya que las modalidades de ataque se diferencia de un

ataque a otro.

Por muy difíciles que parezcan los escenarios presentados existe la criminalística que

nos ofrece un espacio de análisis y estudio permitiéndonos una reflexión detallada

16

sobre los hechos y las evidencias en el lugar donde ocurrieron las acciones

catalogadas como criminales. Justo en ese momento se necesita definir qué conjunto

de herramientas así como un curso de acción se procederá a tomar para descubrir en

los elementos de un sistema informático las evidencias digitales relevantes que

sustente y valide los argumentos que sobre los hechos criminales se han materializado

en el caso bajo análisis.

Es entonces que la informática forense hace su aparición como una disciplina

y herramienta para la justicia moderna, para hacer frente a los mecanismos y técnicas

utilizadas por los intrusos informáticos, así también garantizar la verdad alrededor de

la evidencia digital que se pudiese obtener y contribuir al proceso.

El aumento de infracciones informáticas es causa de preocupación por parte

de los responsables de la seguridad de las estructuras tecnológicas alrededor del globo

ya que estas están produciendo grandes pérdidas económicas especialmente en los

sectores comercial y bancario, en donde por poner un ejemplo las manipulaciones

fraudulentas de información ganan terreno. Se estima que las pérdidas ocasionadas

por estos siniestros superan con facilidad los dos millones de dólares, además de esto

se pierde la credibilidad y fiabilidad institucional, lo cual se traduce en un daño

incuantificable.

“Una herramienta para encontrar soluciones a estos problemas es la

informática forense. Calificada como una ciencia criminalística, que combinada con

las tecnologías de información y de la comunicación en todos los diferentes ámbitos

en que se desarrolla el hombre, está adquiriendo un lugar privilegiado debido a la

globalización de la sociedad de la información” (DR. Santiago Acurio del Pino,

Introducción a la Informática Forense página 1 y 2). A pesar de ser catalogada como

una ciencia no posee un método estandarizado, motivo por el cual su admisibilidad

puede ser cuestionada dentro de un proceso judicial, a pesar de esta dificultad no

17

puede ser menospreciada y debe ser manejada con base a rígidos principios

científicos, normas legales y procedimentales.

Cabe mencionar que son los operadores de justicia así como los profesionales

en informática, los llamados a combatir este tipo de delitos tecnológicos, ya que los

mencionados en primer lugar conocen la forma de pensar de un delincuente, mientras

que los segundos poseen pleno conocimiento de los equipos y redes informáticas. La

fusión de los dos conforma la llave para el éxito en contra de los delitos informáticos.

2.3.1 Informática Forense

La parte del proceso de descubrimiento que se centra en la búsqueda

de evidencia electrónica, especialmente en un sistema informático, es

conocida como “E-discovery” o eletronic discovery (descubrimiento

electrónico). El análisis forense se especializa en la recopilación de evidencia

dispersa por el sistema para el posterior análisis de la misma; esta evidencia

entre más completa y precisa resulte se dará mayor validez al análisis

realizado. Un aspecto fundamental dentro de la investigación es la adecuada

conservación de la información contenida en el sistema original ya que el

procesamiento de esta debería llevarse a cabo en una copia de los datos del

sistema original. La disposición de una copia exacta del sistema es el objetivo

ideal de la recopilación de evidencia, pero esto en muchas ocasiones es una

misión imposible ya que mientras se realiza el proceso de recolección los

usuarios u otros programas pueden ocasionar cambios en el sistema,

destruyendo así parte de la evidencia.

Existen diversas definiciones sobre el concepto de la informática

forense, un concepto que abarca bastante lo que esta disciplina contempla es el

que detalla el Dr. Santiago Acurio del Pino, Profesor de la Universidad

Católica del Ecuador:

18

“Es una ciencia forense que se ocupa de la utilización de los métodos

científicos aplicables a la investigación de los delitos, no solo informáticos y

donde se utiliza el análisis forense de la evidencias digitales, en fin toda

información o datos que se guardan en una computadora o sistema

informático, en conclusión, la informática forense es la ciencia forense que se

encarga de la preservación, identificación, extracción, documentación, e

interpretación de la evidencia digital, para luego esta ser presentada en una

Corte de Justicia.” (Introducción a la Informática Forense, pág 7)

La informática forense se utiliza como un medio para localizar y

canalizar de forma correcta los hechos jurídicos informáticos más relevantes

dentro de una investigación.

La ciencia forense como la mayoría de las ciencias es sistemática y se

base en hechos previamente diseñados para recopilar pruebas para su posterior

análisis. La tecnología utilizada en cada fase del análisis forense ocupa un

papeo de suma importancia ya que son las aplicaciones que permitirán

recaudar la información y los elementos de convicción necesarios. Es así, que

se define como la escena del crimen al computador y la red a la cual este está

conectado.

La informática forense tiene como objetivo principal la recuperación

de registros y mensajes de datos existentes dentro de un equipo informático,

de tal forma que toda esta evidencia digital pueda ser usada como prueba

válida ante un tribunal de justicia.

La informática forense, según Ajoy Ghosh, en Guidelines of

Management of IT evidence, comprende cuatro elementos claves:

19

I. La identificación de la evidencia digital: Este es el primer paso en el

proceso forense. Reconocer donde está presente la evidencia, donde

esta almacenada y como esta almacenada, esto es vital para el proceso

ya que va a determinar que procesos van a ser empleados para facilitar

la recuperación. Además, el examinador de informática forense debe

ser capaz de identificar el tipo de información almacenada en los

dispositivos así como el formato en cual están para así proceder a la

extracción de la misma.

II. La preservación de la evidencia digital: Debido al prolijo escrutinio de

las cortes jurídicas, es imperativo que cualquier examen de los

paquetes de datos almacenados debe ser con el mayor cuidado posible.

Habrá circunstancias en que los cambios producidos a los datos serán

inevitables, pero es importante controlar que ocurran el mínimo de

cambios posibles. En las circunstancias en que los cambios sean

imposibles de evitar deben ser explicados estos cambios desde la

naturaleza y la razón por la que ocurrieron dichos cambios.

III. El análisis de la evidencia digital: una vez extraída, procesada e

interpretada la información digital, esta debe ser organizada de la

mejor manera para que las personas puedan entenderlas.

IV. La presentación de la evidencia digital: involucra en si la presentación

en una corte de justicia. Esta incluye la manera de presentación, la

pericia y experiencia del presentador y el proceso de credibilidad

empleado para producir el efecto propuesto de la evidencia presentada.

2.3.2 Principios Forenses

Existen varios principios básicos que son necesarios al momento de

examinar un cadáver. Tales principios, los podemos aplicar al analizar un

computador. Estos principios han sido descritos en innumerables artículos y/o

programas de televisión y los podemos resumir en los siguientes puntos:

20

- Evitar la contaminación: En televisión vemos a los médicos forenses

vestidos de batas blancas y guantes, recogiendo las evidencias con pinzas

y colocándolas en bolsas de plástico selladas. Todo este procedimiento

para evitar la contaminación de la evidencia. En este momento es donde se

pueden echar a perder las evidencias.

- Actuar metódicamente: Debido al uso de la evidencia que se recopila, esta

debe ser justificada en cada una de sus acciones, ya que se pueden utilizar

en un juicio. Si se procede de manera científica y metódica, documentando

todo cuidadosamente, esta justificación será mucho más fácil. Esto

también permite que otras personas pueden retomar el trabajo realizado o a

su vez verificar si no se ha cometido algún error que pueda poner en duda

la evidencia obtenida.

- Cadena de evidencia: Desde el comienzo de la investigación forense hasta

la presentación final en el juicio, se debe mantener la cadena de obtención

de información, para así poder justificar quienes ya que se tenido acceso.

Esto permite eliminar las posibilidades de que alguien haya podido

sabotear o falsificar la evidencia recuperada.

- Metodología: Debido a que aun no se establecen estándares generalmente

aceptados para una metodología a seguir, se debe establecer un curso de

acción para de esa forma obtendremos resultados finales fiables.

2.3.3 Evidencia Digital

La evidencia digital se puede definir como cualquier información, que

ha sido:

Sujeta a manipulación humana u otra semejante,

Extraída de un sistema o elemento informático.

21

Siendo así, la evidencia digital, es el término utilizado para describir de

manera amplia a cualquier registro generado o almacenado en un sistema

computacional que puede ser utilizado como tal en un proceso legal.

La evidencia digital posee ciertos elementos que la catalogan como un

desafío constante para los que la identifican y analizan:

a) Volátil

b) Anónima

c) Posible duplicarla

d) Alterable y modificable

e) Susceptible de ser eliminada

2.4 METODOLOGÍA DE TRABAJO PARA EL ANÁLISIS DE

DATOS

El siguiente cuadro muestra el procedimiento ordenado para evaluar la

evidencia digital

Fuente: http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx

22

2.4.1 La identificación de la evidencia digital

Identificar la evidencia digital representa una tarea caracterizada por

distintos aspectos. Entre ellos podemos mencionar el factor humano, que

realiza la recolección de material informático. En muchos casos, la

identificación y recolección de potencial evidencia digital es realizada por

personal que no cuenta con los conocimientos adecuados para llevar a cabo las

tareas en cuestión (por ejemplo un allanamiento policial, o un administrador

no instruido).

La omisión de algunos aspectos técnicos puede llevar a la perdida de

datos probatorios o a la imposibilidad de analizar cierta información digital. A

modo de ejemplo podemos mencionar la incautación de terminales durante un

allanamiento omitiendo traer el servidor; o apagar las computadoras

eliminando la posibilidad de realizar un análisis sobre ciertos elementos

volátiles (registros, procesos, memoria, estado de la red). Por otra parte, el

desconocimiento puede llevar a que se causen perjuicios innecesarios a la

persona/entidad investigada, como la incautación masiva de equipamiento

informático o de material irrelevante para la investigación.

Otro aspecto crítico relativo a la identificación de la evidencia digital

se refiere a la correcta rotulación y detalle de los elementos informáticos.

Sucede con frecuencia que durante un procedimiento judicial no se etiquetan

todos los elementos secuestrados. Si no se toman ciertos recaudos durante el

allanamiento, y se verifica que se dispone en el laboratorio pericial de la

tecnología necesaria, el faltante de algún elemento puede retrasar o impedir la

realización de la investigación.

23


2.4.2 La extracción y preservación del material informático

Extraer y Preservar el material informático durante las incautaciones

implica considerar la fragilidad de los medios de almacenamiento de datos y

la volatilidad de la información. Sobre este aspecto, cabe destacar que existe

una gran falencia en lo que se conoce como “Cadena de Custodia”, cuyo

objetivo consiste en mantener el registro de todas las operaciones que se

realizan sobre la evidencia digital en cada uno de los pasos de investigación

detallados. Si al realizar un análisis de datos se detecta que la información

original ha sido alterada, la evidencia pierde su valor probatorio.

Las cuestiones inherentes al transporte de la evidencia digital no son

menos importantes. Es común que los elementos informáticos a analizar

lleguen sin los más mínimos resguardos.

Usualmente, la incautación de material informático tiene un

tratamiento muy similar al de otros elementos –armas, papeles contables, etc.-

y no se le da el cuidado que realmente merece, pudiendo algún golpe

ocasionar roturas en el equipamiento informático. Debe considerarse además

24

que la información digital es sensible a la temperatura, y en algunos casos a

los campos electromagnéticos.

Por último, preservar implica los aspectos técnicos relativos a la no

alteración (integridad) de la evidencia original. La utilización de algún

software que genere un valor hash a partir de un conjunto de datos es de gran

ayuda. Existen diferentes algoritmos para calcular un checksum criptográfico

seguro o valor resumen hash (SHA-1, MD5), estos algoritmos son muy

utilizados por las herramientas forenses. Para realizar copias de la evidencia

original debe usarse algún software Forense que realice una imagen a nivel de

bit-stream y no una simple copia de archivos, en la que se pierde información

que puede ser usada como potencial evidencia. Asimismo, debe quedar claro

que aunque por principio general se debe trabajar sobre imágenes de la

evidencia original, sólo el perito podrá determinar cuándo debe o no aplicarse

este tipo de medida.

En muchos casos resulta impracticable realizar copias de la evidencia

original por impedimentos técnicos u otras razones de tiempo y lugar. En estos

casos se deberán extremar las precauciones durante la investigación, siempre

aplicando técnicas de análisis de datos no-invasivas y utilizando todas las

herramientas forenses que estén al alcance, a fin de no alterar la evidencia.

25


2.4.3 El análisis de datos

Analizar involucra aquellas tareas referidas a extraer evidencia digital

de los dispositivos de almacenamiento. Una de las claves a la hora de analizar

es la localización de información específica vinculada con una determinada

causa. La experiencia demuestra que en muchos casos, el análisis de datos

requerirá un trabajo interdisciplinario entre el perito y el operador judicial -

juez, fiscal- que lleve la causa, a fin de determinar aquellas palabras clave

(keywords) que son de interés para la investigación.

En casi la totalidad de los casos el análisis de datos se realiza sobre

sistemas operativos Windows y Unix. En el primero de ellos, se debe

profundizar en aspectos técnicos del sistema de archivos NTFS, ya que es

utilizado por las últimas versiones. NTFS almacena atributos de archivos y

directorios en un archivo del sistema llamado MFT (Master File Table) y

escribe los datos en espacios llamados clusters. Los atributos de mayor interés

para el investigador forense son: el nombre del archivo, MAC Times (fecha y

hora de la última Modificación, Acceso o Cambio de un archivo) y los datos

(si el archivo es suficientemente pequeño) o la ubicación de los datos en el

disco. Asimismo, el archivo utilizado como memoria virtual del sistema

operativo (Swap file), el espacio libre que puede quedar entre un archivo y el

cluster en el cual reside (Slack space), la papelera de reciclaje (Recycle bin),

clusters que contienen parte que los archivos borrados (Unallocatable space),

los accesos directos, los archivos temporarios y los de Internet, son algunos de

los elementos sobre los que se realiza habitualmente el análisis de datos. Por

otro lado, un examen del registro de Windows permite conocer el hardware y

software instalado en un determinado equipo.

26

El análisis sobre sistemas Unix es similar al de Windows, ya que se

investiga sobre los elementos citados precedentemente. Unix utiliza el

concepto de nodos índices (i-node) para representar archivos. Cada i-node

contiene punteros a los datos en el disco, así como también los atributos del

archivo. Los datos se escriben en unidades llamadas bloques (blocks) siendo

un concepto análogo a los clusters de Windows. En Unix todo es tratado como

un archivo, y puede estar almacenado en formato binario o texto.


2.4.4 La presentación del dictamen pericial

Presentar consiste en elaborar el dictamen pericial con los resultados

obtenidos en las etapas anteriores.

La eficacia probatoria de los dictámenes informáticos radica

fundamentalmente en la continuidad del aseguramiento de la prueba desde el

momento de su secuestro. Realizado ello en debida forma es poco probable

que, si la investigación preliminar se dirigió correctamente, el material

peritado no arroje elementos contundentes para la prueba del delito.

Expuesta la situación actual en materia de pericias informáticas,

interesa conocer cómo debe realizarse un dictamen pericial sobre análisis de

27

datos, de manera tal que sea objetivo, preciso y contenga suficientes

elementos para repetir el proceso en caso de ser necesario.

La estructura básica de cualquier informe atendería al siguiente

esquema:

· Antecedentes (Solicitante, encargo profesional o tipo de trabajo.

Situación. Redactor)

· Documentos facilitados, recopilados y examinados (Proyectos,

expedientes administrativos, contratos, escrituras, datos registrales, etc.)

· Inspecciones realizadas (Pruebas requeridas en función del material a

analizar y del tipo de daño a valorar).

· Metodología del informe (Criterios para su elaboración).

· Dictamen (Conclusiones, que recogerá de modo resumido los aspectos

más determinantes del trabajo).

· Anexos (Estará compuesto por los diferentes documentos obtenidos en

las investigaciones: fotografías, resultados de los análisis, documentación

relevante como prueba, normativa infringida, etc.).

28


2.5 HIPOTESIS y VARIABLES

2.5.1 Definiciones

La informática forense es una disciplina emergente, por lo

tanto, es una herramienta nueva que aparece a medida del continuo

avance de la tecnología, las formas en que se almacenan los datos,

políticas de seguridad. Esta herramienta es utilizada para la

determinación de siniestros ocurridos dentro de un sistema

informático, ósea donde se hayan producido ataques y/o adquisición

fraudulenta de información contenida dentro de estos sistemas, la

permitirá mediante procedimientos estructurados y herramientas

adicionales poder descubrir la forma y autores de aquel delito

suscitado.

Esta disciplina tiene como objetivo recobrar evidencia digital

de los sistemas siniestrados para proceder a evaluarlas analizarlas

29

mediante estándares específicos para estas puedan ser presentadas en

un proceso legal y tengan validez objetiva.

Debido al acceso de información existente, a la aparición de nuevas

técnicas, mecanismos y formas de ejecutar un ataque a los sistemas

informáticos, los delincuentes informáticos cada vez son más especializados.

Elaboran procedimientos más complejos y efectivos que deriven en una

acción delictiva eficaz, haciendo la labor de los especialistas y representantes

de la ley mucho más complicada debido a la dificultad con que estos delitos

fueron cometidos.

2.6 Conceptos y definiciones

2.6.1 Siniestro

Según el italiano Carlos Sarzana: “El siniestro es la destrucción

fortuita o pérdida importante que sufren las personas o la propiedad,

en especial por muerte, incendio o naufragio.”

Según el Ing. Cueto-López: “El siniestro es un hecho súbito,

accidental e imprevisto, cuyas consecuencias dañosas estén cubiertas

por las garantías dadas.”

Según el diccionario Laurrose: “El siniestro es un hecho

violento, súbito, externo y ajeno a la intencionalidad del asegurado,

cuyas consecuencias pueden estar cubiertas por alguna garantía del

seguro. Constituye un solo y único accidente el conjunto de daños

derivados de un mismo hecho.”

30

En conclusión, el siniestro es acontecimiento espontaneo o planeado, que es

ejecutado por terceros con el objetivo de perjudicar los activos o bienes de una

empresa.

2.6.2 Clases de Siniestros

Según los Consultores de Javelles S.A las clases de siniestros se clasifican,

según:

2.6.2.1 Por el grado de intensidad del daño producido

2.6.2.1.1 Siniestro Total. Es aquél cuyas consecuencias han

afectado a la totalidad del objeto asegurado, destruyéndolo completa o

casi completamente.

2.6.2.1.2 Siniestro Parcial. Es aquél cuyas consecuencias sólo

afectan parte del objeto asegurado, sin destruirlo completamente.

2.6.2.2 Por el estado del trámite en que se encuentran:

2.6.2.2.1 Siniestro Declarado. Aquél que ha sido comunicado

por el asegurado a su entidad aseguradora.

2.6.2.2.2 Siniestro Pendiente. Es aquél cuyas consecuencias

económicas aún no han sido totalmente indemnizadas por la entidad

aseguradora.

31

2.6.2.2.3 Siniestro Liquidado. Aquél cuyas

consecuencias económicas han sido completamente

indemnizadas o reparadas por la entidad aseguradora.

2.6.2.3 Según lo común del siniestro

2.6.2.3.1 Siniestro Ordinario. Es el que tiene su

origen en la ocurrencia de un riesgo ordinario.

2.6.2.3.2 Siniestro Extraordinario o

Catastrófico. Es el que esta originado por un riesgo de

naturaleza extraordinaria o excepcional.

Los siniestros dentro de las organizaciones en algunas

ocasiones, están vinculados con los fraudes, ya que pueden ser

cometidos de forma intencional y afectar económicamente a la

empresa

Por ejemplo se mencionan algunos:

Violación de Seguridad

Ocultamiento de documentos

Borrado fraudulento de archivos

Robo de dinero

Competencia desleal

Destrucción de Archivos

Perdida de datos y bienes

32

2.6.3 Siniestro Informático

2.6.3.1 Concepto.-Según Miguel Antonio Cano C: “El siniestro

informático implica actividades criminales como robos, hurtos, falsificaciones, estafa,

sabotaje, etc. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha

creado nuevas posibilidades del uso indebido de computadoras lo que ha propiciado a

su vez la necesidad de regulación por parte del derecho. “

2.6.3.2 Tipos de Siniestros Informáticos

El Dr. Julio Téllez Valdez menciona que los siniestros

informáticos Incluye los cometidos contra el sistema y los cometidos

por medio de sistemas informáticos ligados con Telemática, o a los

bienes jurídicos que se han relacionado con la información: datos,

documentos electrónicos, dinero electrónico, etc. Predominan:

2.6.3.2.1 Bomba ilícita o cronológica. Exige conocimientos

especializados ya que requiere programar la destrucción o

modificación de datos en el futuro. Lo contrario de los virus o

los gusanos, las bombas lógicas son difíciles de detectar antes

de que exploten; por eso entre todos los dispositivos

informáticos criminales, la bombas lógicas son las que poseen

el máximo potencial de daño. Su activación puede programarse

para que cause el máximo de daño y para que tenga lugar

mucho tiempo después de que se haya marchado el delincuente.

Puede utilizarse como material de extorsión y se puede pedir un

rescate a cambio de dar a conocer el lugar en donde se halla la

bomba.

2.6.3.2.2 Piratas informáticos o hackers. El acceso se efectúa

a menudo desde un lugar exterior, recurriendo a uno de los

diversos medios

33

Aprovechar la falta de rigor de las medidas de seguridad para

obtener acceso o puede descubrir deficiencias en las medidas

vigentes de seguridad o en los procedimientos del sistema.

Los piratas informáticos se hacen pasar por

usuarios legítimos del sistema; esto suele suceder con

frecuencia en los sistemas en los que los usuarios pueden

emplear contraseñas comunes o contraseñas de mantenimiento

que están en el propio sistema.

En todos estos casos se producen pérdidas de dinero

provocadas por las conductas descritas.

Robo de información.- En principio, todos los computadores

contienen alguna información de interés para alguien. Es cierto que no

siempre tendrá el mismo valor, pero siempre puede existir alguien interesado

en conseguirla. Por consiguiente, uno de los ataques más comunes está

dirigido a extraer información confidencial de un sistema.

Destrucción de información.-Existen métodos indirectos que

permiten explorar los contenidos del disco duro.

34

CAPÍTULO III

METODOLOGÍA

3.1 DISEÑO DE LA INVESTIGACIÓN

3.1.1 Modalidad de la investigación

Por investigación se entiende: “El proceso mediante el cual a través del

cumplimiento de pasos en forma sistemática se obtiene un conocimiento. Es un

proceso humano, metódico y su fin es la producción de nuevos conocimientos y

solución de problemas prácticos. ( Finol y Navas, 1993, Proceso y Producto de la

Investigación Documental)”

También citamos: “Para Webster la investigación es un examen cuidadoso o

crítico en la búsqueda de hechos o principios; una diligente pesquisa para averiguar

algo”. Esta definición se complementa con la presentada por Sánchez (1993), La

educación como factor del desarrollo integral socioeconómico, cuando expresa,

“toda investigación busca el desarrollo tecnológico y satisfacer necesidades urgentes

de la sociedad y los individuos particulares”.

La investigación realizada para este trabajo de tesis es de tipo bibliográfica, ya

que desde el inicio de la misma me decidí por un tema investigativo teórico. Este

tema se ha venido desarrollando en su mayor parte por recopilación de información

teórica, alcanzando un 70% de estudio teórico e investigación de literatura

directamente relacionada con la Informática forense, tema central del presente estudio

para elaborar la tesis de grado.

35

Adicionalmente, el presente trabajo no solo aborda la parte teórica, que

involucra la mayor parte de este estudio para la tesis; también comprende una parte

que es de campo, completando así el 30% restante del estudio. Esta parte de campo

involucra una breve demostración acerca del uso de la informática forense como una

herramienta tecnológica para afrontar los nuevos retos de seguridad informática que

se presentan en la actualidad.

La elaboración de esta tesis, con carácter investigativo y de estudio, su

estructura principal se fundamenta en una ciencia en crecimiento como lo es la

informática forense. Para el desarrollo de este estudio se recopilo información textual

acerca de su origen, fundamentos, primeros lineamientos de acción y de análisis; así

como de herramientas utilizadas para complementar esta ciencia en crecimiento.

3.1.2 Tipo de investigación

La investigación utilizada para la elaboración de la tesis es de tipo

exploratorio, ya que el tema principal de la misma no es ampliamente conocido por el

autor del presente estudio. Se describe como exploratoria porque me involucro en un

campo poco conocido, en el cual necesito conocer y ampliar mis conocimientos en la

parte conceptual de esta ciencia, su aparición, sus precursores y las razones por la

cual se convirtió en una herramienta muy utilizada en los últimos tiempos.

Dentro de la investigación, entro en un campo de acción o de incidencia de

esta ciencia, poco explorado por mi persona, este campo es el ámbito legal. Estos dos

conceptos el de la informática forense y las normativas legales se conjugan muy a

menudo. Esto es por el impacto que tiene la informática forense dentro del análisis de

un delito informático, depende de este análisis, la recopilación de evidencia no

contaminada, la que podrá ser utilizada dentro un proceso legal, es por esto que estas

dos ciencias tienen una conexión muy especial.

36

La investigación de este tema de estudio tiene la característica de ser

descriptivo, ya que menciona algunos conceptos elaborados por expertos en el tema

forense, también ciertos lineamientos legales mencionados por conocedores del

ámbito legal. El estudio comprende la descripción conceptual de la informática

forense, técnicas utilizadas, fundamentos que comprende la informática forense, bases

de la misma, así como mecanismos de utilización y aplicación de la informática

forense como una herramienta practica y esencial dentro de la administración de

seguridad informática.

Dentro del estudio de informática forense, se describen herramientas que

aplican los fundamentos de esta ciencia. Se muestra el uso y aplicación de dichas

herramientas, así como de los resultados que estas concluyan.

Al detallar el uso de las herramientas que utilizan los conceptos de informática

forense, este estudio de tesis se presenta como explicativa, ya que provee los pasos

concernientes a la aplicación de conceptos, así como de guías para el uso de dichas

herramientas para lograr un resultado objetivo y valido.

En el presente estudio también se analiza la situación en que se encuentra

nuestra legislación en lo concerniente a los delitos informáticos, y de qué manera se

puede establecer mejoras para canalizarlas en una ley que responda a la actualidad

informática en la que se encuentra nuestra sociedad.

El estudio de informática forense que elaboro en esta tesis posee la

característica de evaluativo. Tiene esta característica porque someto a evaluación y

comprobación una de las herramientas que existen para ejecutar un análisis forense,

con la cual puedo demostrar los conceptos en los cuales se basa la informática

forense. Desarrollar una prueba de laboratorio controlada en la cual se evaluara una

muestra, en este caso un ataque, una imagen de un disco que posee un sistema

operativo que ha sido atacado. Con esto se procede a realizar una prueba ejecutando

37

varios pasos que se detallan más adelante, para obtener, después del análisis, las

evidencias que podrían ser evaluadas en procesos legales.

Podemos mencionar que este proyecto de tesis utiliza la investigación

aplicada, con el adicional de ser tecnológica. Una definición de este concepto se

puede encontrar en siguiente enlace web

http://www.google.com.ec/search?client=firefox-a&rls=org.mozilla%3Aes-

ES%3Aofficial&channel=s&hl=es&source=hp&q=investigacion+aplicada&meta=&b

tnG=Buscar+con+Google, el cual nos detalla este tipo de investigación en los

siguientes términos: “La investigación aplicada tecnológica, o simplemente

investigación tecnológica, se entendería como aquella que genera conocimientos o

métodos dirigidos al sector productivo de bienes y servicios, ya sea con el fin de

mejorarlo y hacerlo más eficiente, o con el fin de obtener productos nuevos y

competitivos en dicho sector” . Este concepto nos dice muy claramente que el uso de

este tipo de investigación es para generar conocimientos que sean útiles para el sector

productivo, tanto para mejorarlo así como para ser más eficientes. Esto quiere decir

que este estudio de informática forense pretende generar un conocimiento acerca de

este campo con el uso de herramientas que permitan fomentar la eficiencia de

productos o servicios que permitan la difusión de esta ciencia.

Ya que para este estudio realizare una prueba de laboratorio, también

podemos describir la investigación como de laboratorio por el lugar en que se

realizara dicha prueba.

Esta investigación es de naturaleza de acción, ya que el resultado de esta tesis

generara una solución para problemas existentes dentro del campo de la seguridad

informática, los cuales se suelen presentar de manera concurrente en estos días.

Una característica adicional de esta investigación es que es un proyecto

factible, ya que propone un modelo práctico aplicable que permite solucionar

problemas de seguridad informática así como de índole legal por motivo de que

http://www.google.com.ec/search?client=firefox-a&rls=org.mozilla%3Aes-ES%3Aofficial&channel=s&hl=es&source=hp&q=investigacion+aplicada&meta=&btnG=Buscar+con+Google



38

propone mejoras a las contemplaciones legales con respecto a los delitos

informáticos. La factibilidad de este proyecto radica en que se provee una

herramienta muy útil para afrontar retos modernos dentro del campo informático, así

como de presentar opciones para tomarlas en medidas de seguridad así como de

manejo de incidentes.

Parte de su factibilidad esta también porque se involucra mucho con el ámbito

legal ya que propone mejoras para la estructura legal que existe en nuestro país para

el reconocimiento y sanción de delitos informáticos.

3.1.3 Población y muestra

Debido a que este estudio para desarrollo de tesis, involucra un tema muy

extenso, que posee un campo de acción de gran tamaño así como de diversidad dentro

de nuestra sociedad se procederá a limitarla tomando en cuenta ciertos parámetros.

Este estudio está especialmente dirigido hacia personas involucradas o

interesadas en el campo tecnológico, siendo más específicos, para personas que

desarrollen sus conocimientos y habilidades en la seguridad de la información, para

aquellas personas que se dedican a solucionar problemas y falencias en seguridad

dentro de los sistemas informáticos.

Para delimitar la muestra nos remitiremos al ambiente de empresas de

mediano tamaño. Este tipo de empresas poseen en promedio unos 150 usuarios

registrados con diferentes características y jerarquía de acceso a los sistemas de la

compañía. Así como también el uso de recursos compartidos, especialmente las

unidades almacenamiento.

Si analizamos una empresa típica, encontraremos que dentro del departamento

de sistemas que posee dicha empresa, se encuentran los equipos servidores, alojados

39

en un cuarto especial, los cuales proporcionan las aplicaciones necesarias para el

correcto funcionamiento del negocio.

Para nuestro ejemplo, en este departamento se encuentra el jefe de sistemas, al

administrador de base datos y un encargado de soporte al usuario. Estos tres

personajes son los encargados de manejar la seguridad tanto de los equipos así como

de los accesos y de las aplicaciones que se encuentran en el departamento de

cómputo.

Dentro de la población de individuos que trabajan en el campo de tecnologías

de información, delimitamos la muestra a un grupo pequeño de profesionales que

están involucrados en el campo de la informática, en un departamento que es esencial

dentro de la infraestructura de la compañía, como es el de sistemas.

Variables Dimensiones Indicadores Técnicas y/o Instrumentos

V. D.

Modos o

mecanismos de

defensa contra

agresores

externos o

internos hacia los

la integridad de

los sistemas

Medidas de

seguridad dentro

de los sistemas

Un 80% de las

empresas poseen

mecanismos de

defensa

Firewalls

Antivirus

Políticas de seguridad

Contraseñas, jerarquías de

usuarios

Terminal Server

V.D.

Mecanismos de

ataques

Programas o

técnicas que

buscas fallas o

falencias en los

sistemas

Su utilización es

masiva

Exploits, algoritmos de búsqueda

de puertos abiertos

40

3.2 OPERACIONALIZACIÓN DE VARIABLES

3.2.1 Variables Independientes

3.2.2 Variables Dependientes

Variables Dimensiones Indicadores Técnicas y/o Instrumentos

V. I.

Atacante que

diseña o utiliza

un mecanismo de

agresión hacia un

sistema

computacional,

ocasionando

daños, perdidas y

disminuyendo los

tiempos de

respuesta

Área informática,

estudiantes,

personas que

desean obtener

recursos de forma

fraudulenta

Tecnicas de hackeo

Exploits

Rootkits

Virus, keyloggers, backdoors

Algoritmos

Usuarios mal

intencionados

Un 3% de usuarios

que causan daños

de forma

consciente o sin

intención

keyloggers

Tecnicas de hackeo

V.I.

Leyes,

normativas y

disposiciones

generales sobre

los delitos

informáticos, así

como del manejo

de información

digital

Legal Constitución, códigos, leyes de

otros países

41

3.2.3 Instrumentos de la investigación

Procediendo a enumerar los instrumentos de navegación, podemos

decir que son los de más acogida y uso en estos momentos. El más utilizado es

la lectura comprensiva, sea esta informativa, investigativa y analítica. El uso

de este instrumento es el que más abarca recursos para la investigación, ya que

la estructura de la tesis es un estudio, por ende la mayor parte de esta se

conforma por la lectura.

La lectura comprende documentos tales como, reportes de ataques a

sistemas informáticos, análisis de evidencias con el uso de herramientas

forenses, tratados y artículos sobre conceptos y fundamentos de la informática

forense, manuales de las herramientas forenses.

Además de los documentos mencionados, por el hecho de que el

estudio también incluye conclusiones legales acerca de este tema, se hace la

lectura y análisis de publicaciones de autores conocedores del ámbito legal de

la informática, como el derecho informático, leyes y normativas sobre la

propiedad de información, leyes de propiedad intelectual, etc. En adición, la

procedencia de estos documentos no solo incluyen a nuestro país sino también

a varios de Latinoamérica y de habla inglesa que se encuentran en otro nivel

respecto a les leyes de este tipo.

Actualmente, sin lugar a dudas, el mayor instrumento de investigación

es el internet. Basta con decir que de todos los documentos mencionados

arriba, el 95% de ellos fue obtenido o encontrado en el internet. Siendo esta la

mayor fuente de información recopilada para la conformación de este estudio

de tesis.

3.2.4 Técnicas para el procesamiento y análisis de datos

42

La técnica utilizada para el análisis y procesamiento de datos es

la revisión de los instrumentos utilizados mediante la información

recopilada y revisada para el desarrollo de esta tesis, ya que se procesa

la información ordenada para complementar el desarrollo del

documento.

Luego de la revisión y procesamiento de la información se

obtiene las conclusiones necesarias plasmadas en este trabajo de tesis,

las cuales serán la materia prima para generar las recomendaciones y

conclusiones finales, en este caso de carácter legal que es lo que se

presentara al final en el capitulo V, que también abarcara las

recomendaciones sobre seguridad informática pertinentes para el uso

de las herramientas forenses.

43

CAPITULO IV

MARCO ADMINISTRATIVO

4.1 CRONOGRAMA

Diagrama de gant realizado en Project 2007 sobre la distribución de tiempo y

tareas para el desarrollo del proyecto

Venido desde Project

4.2 PRESUPUESTO

Detalles de Egresos

EGRESOS DÓLARES

Suministros de oficina y computación $ 100.00

Fotocopias 10.00

Libros y documentos 10.00

Computadora y servicios de Internet 40.00

Transporte 50.00

Refrigerio 30.00

Impresiones, empastado, anillado de tesis de

grado

50.00

TOTAL……………………………………… $ 290.00

44

CAPITULO V

MARCO LEGAL

5.1 Conceptos y definiciones

5.1.1 Delito informático

Un delito informático es aquel ataque dirigido contra la

confidencialidad, integridad y disponibilidad de los sistemas informáticos,

redes y datos que estos sistemas involucren, así como el abuso de los mismos.

Los ámbitos de acción de estos delitos o ataques son el Hardware y el

Software que son los elementos esenciales de los sistemas informáticos. Estos

elementos presentan vulnerabilidades que si no son encontradas y eliminadas

podrán ser la puerta de entrada para los malintencionados agresores que

pretenden causar daño a la integridad de dichos sistemas.

5.1.2 Criminología

La criminología resulta en una ciencia que interactúa en muchos

campos del desarrollo de la sociedad, se basa en fundamentos tomados de la

sociología, psicología y de la antropología social, dando como resultado un

marca conceptual para delimitar al derecho penal. Estudia las causas que

ocasionan un crimen y patrocina las soluciones a la conducta antisocial del

individuo. Las principales aéreas de investigación involucran la incidencia y

formas del crimen así como las causas y efectos de los mismos. También

suma las reacciones sociales y normas gubernamentales que existen respecto

al crimen.

45

5.1.3 Criminalística

La criminalística tiene como objetivo el encontrar pruebas y

explicaciones de los delitos, así también identificar a sus autores y victimas.

Utiliza métodos, procedimientos y técnicas científicas para la reconstrucción

de los hechos. El conglomerado de disciplinas que la conforman se denomina

ciencias forenses.

5.1.4 Evidencia digital

La evidencia digital es cualquier es cualquier mensaje de datos

almacenado y transmitido por medio de un sistema de información que tenga

relación con el cometimiento de un acto que comprometa gravemente dicho

sistema y que posteriormente guie a los investigadores al descubrimiento de

los posibles infractores. En definitiva son campos magnéticos y pulsos

electrónicos que pueden ser recogidos y analizados usando técnicas y

herramientas especiales.1

5.1.5 Perito Informático

Perito especializado en el área de las tecnologías de la información que

de acuerdo con el tema requerido puede ser seleccionado según su

competencia y experiencia para una labor de análisis.

5.1.6 Informática Forense

Constituye una ciencia que permite adquirir, preservar, obtener y

presentar datos que han sido procesados electrónicamente y almacenados en

un medio digital o a su vez magnético.

1 CASEY Eoghan, Handbook of Computer Investigation, Elsevier Academia Press, 2005

46

5.1.7 Auditoria Forense

Técnica que es utilizada para la prevención y detección de fraudes de

maneras especializadas. En estos procesos intervienen contadores, auditores,

abogados, investigadores, informáticos.

5.2 Leyes y normativas sobre derecho informático

5.2.1 Derecho informático en Europa

En España desde hace ya varios años se vienen dando, en las

Facultades de Derecho, conferencias y simposio importantes sobre el uso que

tiene la informática aplicada al campo del derecho; podemos citar como

ejemplo que a través del Seminario de Informática y Derecho de la

Universidad de Zaragoza, se han organizado y realizado, los 3 primeros

Congresos Iberoamericanos de Informática y Derecho: El primero celebrado

en Santo Domingo, República Dominicana en 1984; el segundo dado en

Guatemala, Guatemala en 1989; y el tercero, celebrado en Mérida, España en

1992; por lo que se puede decir como conclusión que este ámbito del derecho

está tomando su autonomía propia para desarrollarse como una nueva rama

jurídica.

Es de gran importancia mencionar a la legislación que ha desarrollado

España, sobre informática y derecho, destaca el proyecto de ley sobre firma

electrónica que ha sido aprobado por la Unión Europea (compuesta por doce

artículos y dos disposiciones). En la que detalla: Se creara un carnet de

identidad para poder navegar con seguridad por Internet, y que surtirá la

misma eficacia jurídica que una firma manuscrita sobre papel y será admisible

como prueba para efectos procesales, a través de cualesquiera de los medios

admitidos en Derecho, dicha firma electrónica tendrá el tamaño y el precio

aproximado de una tarjeta de crédito y funcionará con un módem especial, de

precio reducido.

47

Dentro del ámbito universitario, España cuenta con un "Máster en

Informática y Derecho", ofrecido por el Instituto Español de Informática y

Derecho (IEID) y la Facultad de Derecho de la Universidad Complutense de

Madrid, en el cual se estudian, tanto a la informática jurídica como al derecho

de la informática, y también materias complementarias y prácticas en

organizaciones y empresas. Además, el departamento de Derecho Político de

la Facultad de Derecho de la Universidad Nacional de Estudios a Distancia

(UNED), ofrece un programa de estudios titulado "Derechos constitucionales

e informática.

Francia cuenta con el DEA de Informática Jurídica y Derecho de la

Informática, de la Facultad de Derecho de la Universidad de Montpellier I. La

Universidad de Montpellier I, actualmente se encuentra adscrita a la Red

CHASQUI2 (perteneciente al Programa Alfa de la Unión Europea).

Uno de los países más desarrollados en cuanto a la legislación sobre

derecho informático es Italia. Siendo el primer país, en la opinión de Antonio

A. Martino3, que dio una solución integral al problema relativo a la autoridad

de certificación, sobre la firma digital asimétrica, problema que ha desatado

una gran competencia internacional en toda Europa, pues existen grupos y

categorías que quisieran tener el monopolio de esta autoridad. Se llevan a cabo

cada año, congresos internacionales sobre inteligencia artificial y derecho. Es

2 Es una red académica constituida entre Universidades e Instituciones de la Unión Europea y de América Latina,

cuyo objetivo es promover el estudio y la introducción de las tecnologías de la información y la comunicación en

el ámbito de la justicia.

3 Abogado graduado en la Universidad de Buenos Aires, Facultad de Derecho y Ciencias Sociales en 1962. Doctor

en Derecho y Ciencias Sociales, Universidad de Buenos Aires, Facultad de Derecho y Ciencias Sociales, 1974.

Universidad del Salvador, Departamento de Investigación y Desarrollo. Vicerrectorado de Investigación y desarrollo. Desde 1994.

48

necesario destacar que la Universidad de Pisa (Universitá degli Studi di Pisa),

está constituida como la coordinadora de la ya mencionada Red Chasqui.

Japón se encuentra dentro de la quinta generación del desarrollo de la

informática en el mundo, la cual considera la comunicación con la

computadora en lenguaje natural y la utilización de sistemas expertos.

5.2.2 Derecho informático en Norteamérica

En la actualidad Estados Unidos cuenta con la mejor base de datos

jurídica a nivel mundial (Lexis-Nexis), y existen proyectos desde hace años

sobre el uso de la inteligencia artificial aplicada al derecho (p.e. el Taxman Ii

de McCarty y Sheridan y Rand Corporation de Waterman y Peterson), razón

por la cual se puede establecer que se encuentra en la tendencia culminante o

innovadora del desarrollo de la materia.

Mencionamos a los institutos o centros de investigación que poseen

programas dedicados a este ámbito de la jurisprudencia:

Instituto para la ley del Ciberespacio. Universidad de Georgetown.

Chicago-Kent Centro para el derecho y la Informática. Universidad de Kent.

Centro para el derecho de las Tecnologías de la información y la Privacidad

J.M.F. Escuela de Derecho.

Instituto para el derecho y la Tecnología. Universidad de Dayton.

Centro para la enseñanza del Derecho asistida por Ordenador.

Law and Technology. Stanford Law School. California.

Centro para el Derecho y la tecnología de la Universidad de Stanford.

Asociación para el Derecho Informático y Derecho de internet. Universidad de

Florida.

Asociación para el Derecho y la Tecnología. Universidad de Florida.

Asociación de Derecho Informático.

49

5.2.3 Derecho informático en México

Es claro destacar que actualmente la mayoría de información se la maneja

a través del internet, este se ha convertido en una herramienta muy útil, la cual

permite manejo de información importante que son procesadas por entidades

bancarias, instituciones gubernamentales, empresas privadas y un sin número de

instituciones que procesan información a través de esta herramienta, que se

convierte también en una puerta abierta para que personas con conocimiento en la

materia puedan cometer hechos ilícitos que afecten al derecho ajeno y que en

ciertas ocasiones quedan impunes por el simple hecho de no existir la norma legal

que sancione el hecho especifico.

Por tales motivos la entes legislativos de México vieron la necesidad de

crear cuerpo legales que tomen en cuenta este tipo de acciones ilícitas y que sean

penadas de acuerdo a su gravedad, es así, que realizan la forma a la ley penal

emitiendo reformas de fecha 17 de mayo de 2000 publicadas en el Diario Oficial

de la Federación. Se crearon artículos que en lo principal, tipifican

comportamientos de los llamados Hackers o Crackers. En resumen las reformas

de este cuerpo legal sanciona a un sujeto que acceda ilegalmente a un sistema y

los altere, cause daño y/o modifique provocando pérdidas de información

contenida en dichos sistemas.

Pero más allá de las reformas realizadas y cambios hechos en las

normativas legales y los buenos deseos de los legisladores mexicanos, en todos

lados no solo en México el fenómeno de la tecnología trae nuevas formas y

métodos de delinquir a través de la misma haciendo casi inútiles los esfuerzos de

los colegiados para poder contrarrestar dichas acciones ilegales.

Las facultades de derecho en México están creando nuevas materias,

nuevas especialidades, así como también nuevos tipos penales para impulsar la

creación de normas enfocadas a los delitos informáticos, para poder respaldar el

50

trabajo de las instituciones encargadas de la investigación criminal. Es tanto así

que en México existe una Unidad de Policía Cibernética, dependiente de la

Policía Federal Preventiva4

5.2.4 Derecho Informático en Latinoamérica

La Universidad Externado de Colombia, cuenta con un departamento de

informática jurídica, el cual se dedica a la recopilación, clasificación, análisis y

sistematización de legislación y jurisprudencia de los altos tribunales judiciales; el

departamento ofrece a la comunidad su colección de bases de datos jurídicos.

Perú lleva la materia de informática jurídica en la Facultad de Derecho y

Ciencias Políticas de la Universidad de Lima.

Chile cuenta con el Centro de Informática Jurídica de la Facultad de

Derecho de la Universidad de Chile, el cual se encarga del procesamiento y

recuperación de información de las principales leyes de ese país. Respecto a la

legislación del derecho informático, Chile ha emitido una de las pocas leyes de

América Latina, que regulan los llamados delitos informáticos (LEY-19223), la

cual cuenta únicamente con 4 artículos, emitida por Enrique Krauss Rusque,

Vicepresidente de la República, Santiago de Chile, 28 de mayo de 1993.

En el aspecto legislativo sobre el derecho informático, en Costa Rica

existe una propuesta de legislación del recurso del Habeas Data -presentada a la

asamblea legislativa -, proyecto de ley que pretende reformar la Ley de la

Jurisdicción Constitucional, con el fin de incorporar dicho recurso del Habeas

4 El gobierno mexicano ha formado en Grupo de Coordinación Interinstitucional de Combate a Delitos

Cibernéticos formado por: la Procuraduría General de la República, la Procuraduría General de Justicia del

Distrito Federal, la Policía Federal Preventiva, el Centro de Investigación y Seguridad Nacional, la Asociación

Mexicana de Internet, la Secretaría del Trabajo y Previsión Social, la Secretaría de la Defensa y de la Marina, la

Presidencia de la República, E-México, la Universidad Nacional Autónoma de México, Teléfonos de México,

Avantel, Alestra y la Alianza Mexicana de Cybercafés

51

Data en Costa Rica, el cual resulta interesante debido a que intenta recoger una

necesidad sentida de proteger la intimidad, dignidad y autodeterminación de los

ciudadanos frente a los retos que ofrece el procesamiento automatizado de datos

personales.

Argentina cuenta con uno de los mejores bancos de datos legislativos de

América Latina, el Sistema Argentino de Informática Jurídica (SAIJ), en el

aspecto académico, se imparte en la Facultad de Derecho y Ciencias Políticas de

la Universidad Católica de Buenos Aires, un "Postgrado de Derecho de la Alta

Tecnología", también en la Facultad de Derecho y Ciencias Sociales de la

Universidad de Buenos Aires, se ofrece un "Curso de Actualización en

Informática Jurídica".

Por otro lado, en la Universidad del Salvador, se imparte la "Maestría en

Ciencia de la Legislación", en forma conjunta con la Universitá degli Studi di

Pisa, Dipartimento di Sienze della Politica de Italia, también existe en la

Universidad Nacional de Lánus, la maestría denominada "Nuevas Tecnologías

para la Justicia", la cual cuenta con profesores de Italia, Inglaterra, Francia,

Argentina, Chile, Paraguay y Uruguay, así como funcionarios de justicia de Italia

y Argentina. Esta Universidad se encuentra adscrita también a la Red

Universitaria Internacional CHASQUI. En cuanto a la legislación sobre el

derecho informático, la Corte Suprema de Justicia, había ratificado los fallos de

instancias inferiores que declaraban que no correspondía perseguir penalmente a

quienes reproducían programas sin el permiso del autor, en virtud de existir un

vacío legal, el cual ha sido subsanado al emitirse la ley que pena la piratería del

software. Los diputados de este país (comisiones de legislación penal, de

comunicaciones, de ciencia y tecnología y de legislación general), se encontraban

trabajando sobre un nuevo proyecto de ley sobre delitos informáticos, en dicho

proyecto se toman en cuenta el acceso ilegítimo a datos, el daño y el fraude

informático, entre otros temas.

52

Uruguay cuenta con el CINADE (Centro de Informática Aplicada al

Derecho), en dicho centro se desarrollan importantes proyectos de la materia,

tuvieron a su encargo el desarrollo del VI Congreso Iberoamericano de

Informática y Derecho, celebrado en el mes de mayo del 1998.

5.2.5 Derecho Informático en Ecuador

El Congreso Nacional ahora Asamblea Nacional, debatió la

Ley de Protección contra las conductas ilícitas relacionadas con la

informática, adecuando la normativa legal a la era moderna, ya que

existe una ausencia considerable la tipificación de estos delitos,

permitiendo así la impunidad. Uno de los asuntos más preocupantes es

que mediante el uso del internet cualquier persona puede ser víctima de

un delito cuyo autor se puede encontrar en cualquier parte del mundo,

lo que lleva a la necesidad de acuerdos internacionales de extradición.

Dentro del proyecto de ley mencionado se establece entre otras cosas

lo siguiente:

En el Art. 1 algunos términos como: abuso de confianza,

atentado contra la seguridad nacional, contrato informático,

divulgación de datos privados, documento electrónico, espionaje,

fraude,, negligencia informática, tarjeta de crédito, virus, etc.

En el Art.2 menciona los delitos y las formas de cómo serán

reprimidos, con prisión de seis meses a cinco años y multa de 500

dólares. Los delitos contra la seguridad nacional se penalizan con

reclusión mayor de 12 años a 16 años y multa de 1000 a 2000 dólares.

53

La legislación en el Ecuador posee varias leyes y códigos que

hacen referencia al derecho informático ya sea esta especificando las

normas que rigen dicho ámbito o también determinando los delitos y

castigos que esta impone si se comete un acto ilícito. Entre las cuales

mencionamos

Además de las leyes mencionadas se debe incluir al Código de

Procedimiento Penal (CPP) y a su vez el Código de Procedimiento Civil

(CPC).

En el cuadro siguiente destacamos algunas de las infracciones

contempladas en ciertos artículos del Código de Procedimiento Penal que se

refieren a las infracciones informáticas, con sus respectivas sanciones:

Ley Orgánica de transparencia y Acceso a la Información Pública

Ley de Comercio electrónico Firmas Electrónicas y Mensajes de Datos

Ley de Propiedad Intelectual

Ley Especial de Telecomunicaciones

Ley de Control Institucional (Habeas Data)

54

INFRACCIONES INFORMATICAS REPRESION MULTAS

Delitos contra la información protegida (CPP Art.

202)

1. Violentando claves o sistemas 6 m - 1 año $500 a $100

2. Seg. Nacional o secretos comerciales o

industriales 3 años

$1000 a

$1500

3. Divulgación o utilización fraudulenta 3 a 6 años

$2000 a

$10000

4. Divulgación o utilización fraudulenta por

custodios 9 años

$2000 a

$10000

5. obtención y uso no autorizados 2 m a 2 años

$1000 a

$2000

Destrucción maliciosa de documentos (CPP Art.

262) 6 años

Falsificación Electrónica (CPP Art. 353) 6 años

Daños Informáticos (CPP Art. 415)

1. Daño dolosamente 6 m a 3 años $60 a $150

2. Serv. Publico o vinculado con la defensa

nacional 5 años $200 a $600

3. No delito mayor 8 m a 4 años $200 a $2000

Apropiación ilícita (CPP Art. 553)

1. Uso fraudulento 6 m a 5 años $500 a $1000

2. uso de medios (claves, tarjetas magnéticas, etc.) 5 años

$1000 a $

2000

Estafa(CPP Art. 563) 5 años $500 a $2000

55

5.3 El papel fundamental de la evidencia física dentro de un proceso legal

basado en delitos informáticos.

5.3.1 Procesos de recuperación de evidencia

El hardware comprende todos componentes físicos de

un sistema informático, mientras que la información, se refiere

a todos los datos, mensajes de datos y programas almacenados

procesados, transmitidos y usados por un sistema informático.

Así podemos definir que el hardware usado

fraudulentamente no está autorizado por la ley; Por ejemplo

podemos citar los decodificadores de señal por cable, la

manipulación y el uso de estos representa una violación a los

derechos de propiedad intelectual, especificado como un delito.

De la misma forma el hardware obtenido mediante hurto, robo,

fraude u otra clase de infracción también corresponde a un

delito.

Cuando el hardware es usado para cometer un delito, se

dice que es usado como un arma o una herramienta, tal como

un cuchillo o arma de fuego. Se puede tomar como ejemplo los

sniffers y otros dispositivos que interceptan tráfico en la red o

comunicaciones.

Cuando se comete un delito usando un elemento físico,

como en este caso, el hardware se constituye en una prueba

dentro del proceso que va a probar el delito.

De la misma forma la información se considera ilegal

cuando su tenencia no es permitida por la ley, se cita como

ejemplo la pornografía infantil. También cuando es el fruto de

cometer un delito como una copia pirata de un programa.

56

Cuando la información es usada para cometer un delito

como sería el caso del uso de programas para romper

contraseñas o dan acceso no autorizado.

La información es evidencia, esta característica es la

más importante dentro del ámbito legal para la comprobación

de un delito y en la que se basa este estudio de tesis. Se puede

conseguir mucha información de evidencia, por ejemplo la

información de los proveedores de internet de servicios

bancarios, etc.

Dentro del proceso de recolección de evidencia se deben

tomar en consideración muchos pasos y procesos los cuales

serán muy útiles para la validez de la misma. El investigador

debe obtener la correspondiente autorización judicial para

incautar elementos de hardware o software para poder acceder

al contenido de dichos elementos.

Antes de realizar la incautación de equipos un

investigador debe tomar en cuenta estos siguientes pasos5:

1. ¿a qué hora debe realizarse?

Para minimizar destrucción de equipos, datos

El sospechoso tal vez estará en línea

Seguridad de investigadores

2. Entrar sin previo aviso

5 Manual de Manejo de Evidencias Digitales y entornos informáticos, año 2009. Dr. Manuel Acurio del

Pino

57

Utilizar seguridad

Evitar destrucción y alteración de los equipos, o la

evidencia contenida en esta.

3. Materiales Previamente preparados (Cadena de custodia)

Embalajes de papel

Etiquetas

Discos vacios

Herramientas

Cámara fotográfica

4. Realizar simultáneamente los allanamientos e incautación

en sitios diferentes

Datos pueden estar en más de un lugar

5. Examen de equipos

6. Aparatos no especificados en la orden de allanamiento

7. Creación de respaldos en el lugar , creación de imágenes de

datos

Autorización para duplicar, reproducir datos

encontrados

8. Fijar/grabar escena

Cámaras, videos etiquetas

9. Códigos, claves de acceso, contraseñas

10. Busca documentos que contienen información de acceso,

conexiones de redes, etc.

58

11. Cualquier otro tipo de consideración especial

(consideraciones de la persona involucrada: médicos,

abogados, información privilegiada, etc.)

5.4 Reconocimiento de la evidencia para el proceso legal

El incorporar la tecnología a la vida cotidiana, a procesos de

administración, de gestión, de producción, incluso de telecomunicaciones. Se

ha visto la necesidad de incluir a los dispositivos informáticos como

elementos de carácter probatorio, ya que estos pueden formar parte de pruebas

de manifestaciones o hechos de relevación legal o jurídica.

La gran problemática existente al tratar de incorporar este clase de

hechos dentro de un proceso legal, es que se piensa que dichas pruebas han

sido creadas, modificadas o en su caso destruidas y que por estas razones sea

difícil el ser utilizadas en un proceso judicial.

El término “evidencia digital” está relacionado con el término digital y

a su vez se ha asimilado al término “virtual” lo que quiere decir como no real

o casi real, convirtiéndose en un total contraste con la evidencia física. A

pesar de esto cabe mencionar que dicha evidencia digital siempre estará

almacenada en un soporte real, que vienen a ser los dispositivos de

almacenamiento sean estos magnéticos, de algún otro tipo, convirtiendo este

tipo de evidencia en física.

Debido a los avances tecnológicos se modifican las formas de

perpetuar un delito, lo que conlleva también al cambio de las legislaciones,

tipificando como un delito un gran grupo de hechos en los que intervienen los

computadores. Podemos citar como analogía los cambios que se producen en

el establecimiento de delitos como por ejemplo la violación de la

59

correspondencia electrónica, así como el acceso no autorizado a información o

programas contenidos en sistemas informáticos. Así también existe la

falsificación de documentos que ya no solo es a nivel físico, sino que de

manera electrónica se falsifican registros así también como documentos

electrónicos. Debido a todos estos factores y a que el comercio global se ve en

la necesidad del uso de internet hace que los elementos que aplican la lean

sean estos abogados, jueces o policías se involucren mas en este vasto

universo.

La evidencia digital se cataloga como un tipo de evidencia física, y

posee la característica de ser menos tangible que otros tipos. Una de las

grandes ventajas de la evidencia digital es que esta puede ser reproducida o

duplicada de forma exacta, lo que permite realizar numerosos análisis y

pruebas sin tener presente el riesgo de alterar o dañar dicha evidencia. En

adición, a pesar de lo que se piensa es fácil encontrar que la evidencia digital

ha sido alterada ya que se puede hacer comparaciones con la original y

analizando sus metadatos se pueden hallar las diferencias.

El hardware en conjunto con los sistemas operativos realizan la

ubicación de archivos y programas, para poder ser visualizados o ejecutados,

dando acceso a archivos. Aquí intervienen los meta archivos que cumplen la

función de índices, que contienen toda la información necesaria para localizar

datos específicos encontrados en los discos duros. Es por eso que la evidencia

digital no puede ser destruida fácilmente ya que si se ejecuta una acción de

borrado lo que se pierde es la información de ubicación de dicho archivo mas

no el archivo en si, por lo que con las herramientas adecuadas se puede

recuperar esa información sin que el usuario este consciente de aquello.

60

Así como en criminalística es manejada la evidencia, para el caso de la

evidencia digital se aplica los mismos procesos y criterios de recolección los

cuales se pueden resumir en varias fases:

Reconocimiento: Se debe aislar los equipos o hardware, en el

caso de que se tenga acceso, y hacer una descripción completa de los

sistemas operativos y aplicaciones que se encuentran instaladas. Así

como la identificación de datos relevantes al caso, dependiendo de qué

fue lo que se utilizo para cometer el hecho.

Aquí los peritos deben tener mucho cuidado ya que por

sobrepasarse en el análisis pericial este pude convertirse en un delito

electrónico.

Para la recolección de evidencia en un caso penal debe

realizarse en su estado original. Justamente para lograr la integridad y

conservación precisa de estos datos. El proceso para lograr esto es la

copia bit a bit, con el cual se garantiza que los datos contenidos en un

medio de almacenamiento, sean copiados exactamente como están

desde su origen.

Los archivos temporales que manejan los sistemas operativos,

la memoria virtual, que es la que contiene trazas de procesos

realizados, imágenes, y otros tipos de datos, el perito debe hacer uso de

herramientas especializadas para recuperar esta información a pesar de

que haya intentos de borrado.

Un aspecto importante es la garantía que el perito debe ofrecer

a las partes y al juez, debido a que los análisis se realizan sobre copias

fieles y exactas, es la correspondencia entre los originales y las copias.

61

Esto se lo realiza a través de la tabla de valores matemáticos de

comprobación llamado “Hash”6. El valor Hash debe ser idéntico entre

los archivos originales y los copiados.

Clasificación: El perito debe ubicar según las características

generales de los archivos y de los datos para individualizar la evidencia

para poder establecer los tipos de archivos. Esta clasificación se logra

analizando los metadatos, en otras palabras los datos sobre los datos.

Esta información contiene datos como títulos, autores, tamaños, fechas

de creación, modificación, etc. Algunos programas añaden a los

metadatos información del hardware o de los equipos en que se

encuentran, lo que sirve para algunos casos como prueba inequívoca de

que un archivo fue generado o procesado en un equipo de computación

determinado.

Reconstrucción: La reconstrucción incluye los pasos que se

siguieron o procesos que se realizaron en un computador o también en

las redes, la recuperación de evidencia averiada también se incluye en

este paso.

Una parte importante de la investigación forense digital es el

registro de cada una de las acciones, la reconstrucción de los hechos

informáticos. Elaborar una línea en el tiempo para evaluar los hechos.

Los hechos informáticos tienen su base en procesos

matemáticos es por eso que le son aplicables leyes científicas que no

pueden ser cuestionadas, pese a esto no significa que toda análisis

6 Una tabla hash o mapa hash es una estructura de datos que asocia llaves o claves con valores.

Funciona transformando la clave con una función hash en un hash, un número que la tabla hash utiliza

para localizar el valor deseado. (Fuente Wikipedia)

http://es.wikipedia.org/wiki/Estructura_de_datos

http://es.wikipedia.org/wiki/Funci%C3%B3n_hash

http://es.wikipedia.org/wiki/Hash

62

forense informático sea totalmente cierto o en su caso adecuado para el

proceso judicial. El análisis forense con la debida aplicación de las

fases de preservación y manejo de evidencia, además del uso de juicios

correctos para la aplicación de otros métodos científicos es lo que va

existir como verdadero garante de aquella evidencia presentada.

Además de esto el perito debe tomar en cuenta que al presentar dicha

información debe hacerlo en el lenguaje entendible para los jueces ya

que estos poseen criterios humanísticos y en los cuales pueden existir

renuencia a la informática o desconfianza sobre los resultados que se

obtengan de estos métodos nuevos de análisis de peritos informáticos.

5.5 Recomendaciones legales básicas

Nuestro país aun está en pleno desarrollo tecnológico, estamos viendo

nuevos mercados que se abren aquí debido a la exigencia del medio. Se están

mejorando procesos, adquiriendo estándares, las empresas cada vez son más

competitivas. Todos estos elementos de evolución promueven el uso de

tecnologías ya probadas o en su caso nacientes, y el uso de estas nuevas

herramientas también involucran nuevas reglas del juego.

En el campo de tecnología no se pueden dar las cosas por sentadas

porque es un mundo en constante renovación, se crean nuevos estándares en

telecomunicaciones, en diseños de redes, nuevos componentes de hardware y

así van apareciendo nuevas herramientas para solucionar problemas que van

apareciendo en la mejora de procesos.

La leyes de nuestro país por el contrario no han ido a la par con el

desarrollo tecnológico por el que estamos pasando. Recién en el año 2002 el

63

Congreso Nacional de ese entonces emitió en el Registro Oficial La Ley de

comercio electrónico, firmas y mensajes de datos.

En la nombrada ley detalla que los mensajes de datos tienen igual valor

que los físicos o escritos y que serán valorados de acuerdo al sometimiento

que le da esta misma ley y el reglamento, así como de la propiedad intelectual,

de los contratos electrónicos y de cómo estos son tratados en la ley.

En gran parte la Ley de Comercio Electrónico detalla que documentos,

objetos y demás son validos ante los representantes judiciales que existen en

el Ecuador, así como también de la jurisdicción que estos poseen.

El Código Penal vigente, en ciertas reformas realizada a partir de la

promulgación de esta ley se refiere al tipo de daño informático que puede

causarse y de las sanciones que estas pueden acarrear. Como lo son el daño

intencional de equipos de computación que contengan información

importante, el daño de bases de datos, el robo de información y cualquier tipo

de acción que limite o detenga el funcionamiento de un sistema o red.

Las sanciones van desde 3 a 6 años y con multas económicas, pero

realmente esta sanciones no suelen ser aplicadas o no son lo suficientemente

fuertes para que sean un castigo verdadero acorde con la magnitud que estos

actos con dolo suelen ocurrir.

Las leyes actuales que poseemos son muy limitadas acorde con el

abanico de elementos tecnológicos que existen en nuestro medio, la ley de

comercio electrónico refiere a los documentos que se pueden generar en una

transacción electrónica y todo el respaldo que existe para esto. También habla

de la propiedad intelectual y de las firmas electrónicas y su validez ante la ley.

64

Dentro de los cuerpos legales existentes en nuestro país no están

especificadas muchas acciones de delitos informáticos, como la de un hacker

que mediante el uso de internet puede acceder a una red interna de una

compañía, comenzando a utilizar algoritmos de prueba de puertos abiertos o

programas que se implanten cuando son abiertos ciertos correos como los

conocidos rootkits. Estas actividades delictivas son muy comunes existen

algunas de mucha mayor complejidad, pero el punto a denotar es que este tipo

de actividades delictivas, porque un hacker actúa de manera dolosa, no son

identificadas en la ley.

La propiedad intelectual es algo que prácticamente no se aplica en

nuestro medio, somos actores directos de este delito. Utilizamos copias de

programas infringiendo leyes internacionales de derecho de autoría y así como

las propias. Esto trae consecuencias de diversa índole, podemos poner como

ejemplo que en una empresa se esté utilizando una copia pirata de un sistema

operativo, al hacer esto elimina todo soporte, actualizaciones y beneficIos que

conlleva una licencia original. El gerente dirá que se ahorra ese gasto en dicha

licencia, pero al no existir soporte alguno se vuelve totalmente vulnerable a

ataques externos por no mencionar los internos. Un intruso fácilmente puede

acceder a dicho equipo con esa copia no autorizada instalada y pude causar

grandes perjuicios a dicha empresa sobrepasando el valor de los daños al de

que pudo costar la licencia.

En bueno recalcar que en estos momentos los representantes de la ley

como son la policía esta diseñando y ejecutando operativos en donde se evita

este tipo de usos no permitidos de programas de software, pero a pesar de

aquello estos esfuerzos pueden parecer minúsculos, porque no se cuenta con

un respaldo real como lo sería una buena ley focalizada y determinada a

tipificar este tipo de actos indebidos y a su respectivos castigos.

65

Tenemos muchos ejemplos cercanos en la región, Colombia posee

reformas legales que permiten llevar a un tribunal de justicia a una persona

natural o jurídica que realice un acto de delito informático, posee policía

especializada en este tipo de asuntos. A si mismo Perú, Bolivia poseen peritos

informáticos que son los investigadores para este tipo de delitos. Tienen

modificaciones en los pensum universitarios, dictando cursos, materias en los

cuales se trata esta problemática de la cual ya somos víctimas, no podemos

negar aquello.

Se deben pensar pronto en reformas a las leyes, los llamados a esto son

los miembros de la Asamblea Nacional que deben incluir proyectos de ley

respecto a este tema en sus debates. Estamos en la era tecnológica donde

prácticamente todos nuestros aspectos de la vida los manejamos a través de un

computador, nuestro dinero en el banco, nuestro trabajo, nuestra salud, nuestro

estilo de vida está prácticamente basado en la tecnología, es por eso que no

podemos dejar de lado el ámbito legal del mismo, estamos desprotegidos en

ese sentido, nuestras leyes son muy débiles al momento de contemplar un

delito informático.

Seguro es ver que existen organizaciones que invierten en seguridad

tecnológica, diseñan métodos de protección, instalan plataformas de seguridad

y terminan invirtiendo mucho dinero en esto y les resulta pero si se analiza a

fondo el tema este tipo de inversiones son el resultado del temor que es

causado por un débil sistema legal en materia tecnológico. Es verdad que

también es parte de un proyecto de seguridad para la organización que es parte

de un todo cuando se implementa un centro de datos, pero a pesar de ello estos

serian más seguros con el espaldarazo que representa un cuerpo legal

debidamente estructurado.

66

BIBLIOGRAFIA

CONCEPTOS E INFORMACIÓN TEORICA

http://www.acis.org.co/fileadmin/Revista_96/

http://www.areino.com/forensics-1/

http://gecti.uniandes.edu.co/docs/NasTecnologias3.pdf

http://gecti.uniandes.edu.co/docs/buenas%20practica%20evidencia%20digita...

http://gecti.uniandes.edu.co/docs/Evidencia%20digital%20Rueda%20&%20Cano...


http://www.nobosti.com/spip.php?article47

http://www.yanapti.com/fca/

http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx

http://www.ausejo.net/seguridad/forense.htm

http://www.criptored.upm.es/guiateoria/gt_m180b.htm

http://www.seguridad.unam.mx/eventos/reto/--casos practicos

http://fraudit.blogspot.com/2008/09/laboratorio-e-forense.html

http://www.forensics-intl.com/ev-info.html

http://pdf.rincondelvago.com/informatica-forense.html

http://www.geronet.com.ar/?p=228

http://www.conectronica.com/seguridad/seguridad-forense-tecnicas-antiforenses-

respuesta-a-incidentes-y-gestion-de-evidencias-digitales

http://www.virusprot.com/Eintrues.html

http://www.sleuthkit.org/informer/

http://www.acis.org.co/fileadmin/Revista_96/

http://www.areino.com/forensics-1/


http://gecti.uniandes.edu.co/docs/buenas%20practica%20evidencia%20digita

http://gecti.uniandes.edu.co/docs/Evidencia%20digital%20Rueda%20&%20Cano


http://www.nobosti.com/spip.php?article47

http://www.yanapti.com/fca/

http://geeks.ms/blogs/cfouz/archive/2007/05/17/inform-225-tica-forense.aspx

http://www.ausejo.net/seguridad/forense.htm

http://www.criptored.upm.es/guiateoria/gt_m180b.htm

http://fraudit.blogspot.com/2008/09/laboratorio-e-forense.html

http://www.forensics-intl.com/ev-info.html

http://pdf.rincondelvago.com/informatica-forense.html

http://www.geronet.com.ar/?p=228

http://www.conectronica.com/seguridad/seguridad-forense-tecnicas-antiforenses-respuesta-a-incidentes-y-gestion-de-evidencias-digitales

http://www.conectronica.com/seguridad/seguridad-forense-tecnicas-antiforenses-respuesta-a-incidentes-y-gestion-de-evidencias-digitales

http://www.virusprot.com/Eintrues.html

http://www.sleuthkit.org/informer/

67

http://www.digital-detective.co.uk/testimonials.asp

http://www.monografias.com/trabajos6/delin/delin.shtml

http://materias.fi.uba.ar/6669/alumnos/2007-1/Informatica%20Forense%20-

%20G3.pdf

http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=http://www.sy

mantec.com/connect/articles/windows-forensics-case-study-part-1

http://www.amazon.co.uk/gp/reader/0072131829/ref=sib_dp_pt#reader-page

http://unpan1.un.org/intradoc/groups/public/documents/apcity/unpan016411.pdf

http://materias.fi.uba.ar/6669/alumnos/2007-1/Informatica%20Forense%20-

%20G3.pdf

http://www.isecauditors.com/downloads/present/hm2k4.pdf

http://www.pc-history.org/forensics.htm

http://www.computer-forensics-recruiter.com/home/computer_forensics_history.html

http://www.google.com.ec/url?sa=t&source=web&cd=3&ved=0CCkQFjAC&url=htt

p%3A%2F%2Fwww.middlesexcc.edu%2Ffaculty%2Fsteven_zale%2FComputer_%2

520Forensics.ppt&rct=j&q=history+of+computer+forensics&ei=bQ4NTLa4D8aqlAe

Kw-CLDg&usg=AFQjCNF0b4_GaZSnyI6llsS09BQ1NPvsfA

http://www.ehow.com/about_5813564_history-computer-forensics.html

http://www.google.com.ec/url?sa=t&source=web&cd=9&ved=0CE4QFjAI&url=http

%3A%2F%2Fwww.isaca-atlanta.org%2Fdocs%2F03-27-

08%2520Computer%2520Forensics.ppt&rct=j&q=history+of+computer+forensics&e

i=bQ4NTLa4D8aqlAeKw-CLDg&usg=AFQjCNEaozE0_HzuQj1tr_Qfjv03PY4BqA

http://www.computer-forensic.com/old_site/presentations/ASIS_Presentation.pdf

http://www2.tech.purdue.edu/cpt/courses/TECH581A/meyersrogers_ijde.pdf

http://www.digital-detective.co.uk/testimonials.asp

http://www.monografias.com/trabajos6/delin/delin.shtml

http://materias.fi.uba.ar/6669/alumnos/2007-1/Informatica%20Forense%20-%20G3.pdf


http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=http://www.symantec.com/connect/articles/windows-forensics-case-study-part-1

http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=http://www.symantec.com/connect/articles/windows-forensics-case-study-part-1

http://www.amazon.co.uk/gp/reader/0072131829/ref=sib_dp_pt#reader-page

http://unpan1.un.org/intradoc/groups/public/documents/apcity/unpan016411.pdf



http://www.isecauditors.com/downloads/present/hm2k4.pdf

http://www.pc-history.org/forensics.htm

http://www.computer-forensics-recruiter.com/home/computer_forensics_history.html

http://www.google.com.ec/url?sa=t&source=web&cd=3&ved=0CCkQFjAC&url=http%3A%2F%2Fwww.middlesexcc.edu%2Ffaculty%2Fsteven_zale%2FComputer_%2520Forensics.ppt&rct=j&q=history+of+computer+forensics&ei=bQ4NTLa4D8aqlAeKw-CLDg&usg=AFQjCNF0b4_GaZSnyI6llsS09BQ1NPvsfA




http://www.ehow.com/about_5813564_history-computer-forensics.html

http://www.google.com.ec/url?sa=t&source=web&cd=9&ved=0CE4QFjAI&url=http%3A%2F%2Fwww.isaca-atlanta.org%2Fdocs%2F03-27-08%2520Computer%2520Forensics.ppt&rct=j&q=history+of+computer+forensics&ei=bQ4NTLa4D8aqlAeKw-CLDg&usg=AFQjCNEaozE0_HzuQj1tr_Qfjv03PY4BqA




http://www.computer-forensic.com/old_site/presentations/ASIS_Presentation.pdf

http://www2.tech.purdue.edu/cpt/courses/TECH581A/meyersrogers_ijde.pdf

68

HERRAMIENTAS

http://www.sleuthkit.org/

http://www.porcupine.org/forensics/

CASOS PRACTICOS

http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=http://www.ne

wyorkcomputerforensics.com/learn/resources.php

http://www.forensics-intl.com/thetools.html

http://sourceforge.net/projects/dftt/files/Test%20Images/9_%20FAT%20Volume%20

Label%20%231/9-fat-label.zip/download

http://old.honeynet.org/

INFORMACIÓN LEGAL

http://www.bibliojuridica.org/libros/1/313/4.pdf

http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-

informaticos-en-colombia

Rios Estavillo Juan Jose, 1997 Derecho en informática en Mexico, Universidad

autónoma de Mexico Primera Edición

Tellez Valdes Julio, 1991-Mexico Derecho informático Universidad autónoma de

Mexico Primera Edición

LEY DE COMERCIO ELECTRONICO, FIRMAS ELECTRONICAS Y

MENSAJES DE DATOS R.O. Suplemento 557 de 17 de Abril del 2002

http://www.sleuthkit.org/

http://www.porcupine.org/forensics/

http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=http://www.newyorkcomputerforensics.com/learn/resources.php

http://translate.google.com.ec/translate?hl=es&langpair=en%7Ces&u=http://www.newyorkcomputerforensics.com/learn/resources.php

http://www.forensics-intl.com/thetools.html

http://sourceforge.net/projects/dftt/files/Test%20Images/9_%20FAT%20Volume%20Label%20%231/9-fat-label.zip/download

http://sourceforge.net/projects/dftt/files/Test%20Images/9_%20FAT%20Volume%20Label%20%231/9-fat-label.zip/download

http://old.honeynet.org/

http://www.bibliojuridica.org/libros/1/313/4.pdf

http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia

http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia

69

ANEXO I

70

1. Instalacion de la Herramienta Sleuthkit

1.1. Instalacion de Sleuthkit

The Sleuth Kit conforma una serie de herramientas de línea de comandos basada en el

original The Coroner´s Toolkit. El primer paso es proceder a la descarga del

instalador o su código fuente, ya que es opensource desde el siguiente link mostrado

a continuación:

http://www.sleuthkit.org/sleuthkit/download.php

Una vez descargada la aplicación nos dirigimos al directorio escogido para la

instalación y se procede a desempaquetar todo el contenido del tarball:

Cd /usr/local

Tar xvzf ~/sleuthkit-x.xx.tar.gz

Regresamos al root y se procede con la instalación, para eso no desplazamos al

directorio que definimos , no sin antes crear el enlace simbolico de forma que siempre

apunte al directorio con los fuentes del sleuthkit:

Su –

Cd /usr/local

Ln –s sleuthkit-x.xx/ sleuthkit

Sleuthkit

Make

Si se desee tener disponibles las paginas del manual, asi como tambien los binarios

desde cualqier ubicacion en la que nos encontremos deberemos añadir dichos

directorios anteriores a las variables de entorno PATH y MANPATH:

Vi /etc/enviroment

LANG=”es_ES.UTF-8”

PATH=/usr/local/sleuthkit/bin:$PATH

MANPATH=/usr/local/sleuthkit/man:$MANPATH

http://www.sleuthkit.org/sleuthkit/download.php

71

Se procede a cargar las variables de entorno ya modificadas :

Source /etc/enviroment

1.2. Instalacion de Autopsy

Procederemos a la instalación de Autopsy que es un frontend el cual permite utilizar

sleuthkit mediante un navegador web, el cual se descarga de la dirección a

continuación:

http://www.sleuthkit.org/autopsy/download.php

Prodedemos de igual manera accedemos al directorio donde se lo desea instalar y

descomprimimos el tarball:

Cd /usr/local

Tar xvzf ~/autopsy-x.xx.tar.gz

Se ingresa al directorio recién obtenido después de la descompresión del archivo

anterior y se ejecuta el proceso de instalación. Durante la ejecución de la misma nos

preguntara la ubicación de sleuthkit asi como donde esta instalada la librería NSRL,

la cual no es indispensable. El directorio donde se almacenaran las imágenes

utilizadas durante las investigaciones. No sin antes crear un enlace simbolico

apuntando al directorio que contiene el código fuente:

/usr/local/autopsy# ln –s autopsy-x.xx/ autopsy

/usr/local/autopsy# cd autopsy

/usr/local/autopsy# make

En este momento empieza a ejecutarse la instalacion del Autopsy Forensic Browser.

http://www.sleuthkit.org/autopsy/download.php

72

1.3. Iniciando el programa

Una vez instalado y configurado solo bastara con llamarlo a ejecución. Asi se podrá

llamar la interfaz grafica del Autopsy:

73

Una vez trabajado con Autopsy, para porceder a cerrarlo simplemente se regresa a la

consola de ejecución y se presiona la combinación de teclas Ctrl + C

2. Abriendo un caso de estudio

2.1. Los primeros pasos en Sleuthkit y Autopsy Browser

Se crean los directorios en donde se almacenaran las imágenes proporcionadas para el

análisis .

Mkdir /usr/local/imágenes

Cd usr/local/imágenes

Tar –xvf ~/challenge-images.tar

Se ejecuta Autopsy normalmente y en el navegador pondremos la siguiente dirección:

74

http://localhost:9999/autopsy

una gran ventaja de Sleuthkit/Autopsy es que trabaja dividiendo por casos cada

investigación. Asi cada caso investigado puede ser contenido en uno o mas host y

estos a su ves pueden contener una o varias imágenes de un sistema de ficheros.

Se empieza dando clic en “Nuevo Caso” y asi aparecerá la pantalla que se presenta a

continuación:

Los campos mostrados son opcionales, una vez completa la acción le damos clic en

“Nuevo Caso” , se creara una carpeta con el nombre de PrimerCaso en el directorio

que se selecciono durante la instalación de autopsy en este caso /usr/local/evidence.

http://localhost:9999/autopsy

75

Se crea un host para el análisis donde se albergaran las imagenes que se analizaran:

77

Procedemos a cargar las imagenes de las unidades que se desea analizar. Se debe

utilizar la particion / donde se almacena el directorio raiz y, por ende el fichero que

contiene el nombre del host y que se almacena en /etc

Se utilizan algunos comandos para prepara las imagenes que han sido cargadas para

el analisis, debemos montarlas para poder examinarlas:

/usr/local/images# file honeypot.hda8.dd

/uss/local/images# mount -o loop,ro -t ext2 honeypot.hda8.dd /mnt/imagen

Luego debemos averiguar que sistema operativo esta instalado en la imagen del

equipo que fue vulnerado. Usualmente nos encontraremos con sistemas como Red

Hat ya que son os mas utilizados para servidores:

/usr/local/imagenes# cat /mnt/imagen/etc/redhat-release

79

- La primera opcion necesita una ruta absoluta de la ubicacion del fichero de la

imagen de disco completo

- La segunda opcion permite espeficicar si se trata de una imagen de disco completo o

solo una partición.

- La tercera opción afecta el tratamiento de la imagen . Con symlink se creara un

enlance simbolico en el directorio del caso y que apuntara a la ubicacion original para

la imagen. Las otras opciones permiten mover allí el fichero o tan solo copiarlo.

Le damos clic en siguiente y procedemos a registrar mas informacion sobre la imagen

que se desea analizar:

- El contenido para los campos suma md5 y punto de omntaje los podremos obtener

del fichero readme que viene con las imagenes.

80

- Indicando las opciones "Add the following MD5 hash value for this image:" y

"Verify hash after importing" provocaremos la comprobacion de la suma md5 para el

fichero de imagen

Autopsy posee esta apariencia una vez agregados los servidores que se desean

analizar :

81

Se muestra el listado de todas las imagenes que se quieren analizar:

82

3. Analisis de las imagenes del sistema

Se carga el Autopsy Browser y procedemos abrir el caso creado anteriormente

pulsando sobre "Abrir Caso", le damos en OK y luego en OK otra vez.

Se puede comenzar analizando lso ficheros log, asi seleccionaremos /var como punto

de montaje y pulsaremos "Analizar"

En la parte superior aparecen los diferentes tipos de analisis que se pueden aplicar

sobre el sistema de ficheros que estemos analizando. Aqui pulsaremos en "File

Analysis", luego en log para revisra los ficheros del registro de la maquina.

Revisamos el contenido del fichero /var/log/secure, el que contiene la informacion

sobre accesos a la maquina y cuestiones relacionadas con la seguridad del sistema.

83

Cabe destacar las opciones en el frame izquierdo de la interfaz del Autopsy

- La primera permite buscar un directorio determinado

- El segundo campo de texto ermite buscar un fechero/directorio por su nombre con la

posibilidad de utilizar expresiones regulares en los terminos de busqueda

- El siguiente boton mostrara unicamente los ficheros que hayan sido eleiminados de

la particion que esta siendo analizada.

- Por ultimo "Expand Directories"mostrara una estructura en arbol con todo el

contenido de la particion.

84

Procederemos en este momento con el análisis de la partición /, para lo que

mostraremos todos los ficheros/directorios eliminados. Pulsaremos pues sobre “All

deleted files” y veremos omo aparecen diferentes ficheros interesantes: varios

temporales eliminados y dos ficheros con la terminación RPMDELETE, que parecen

indicar que existe una librería compartida utilizada por varios procesos y que parece

haber sido eliminada.

Ahora les llega el turno a los ficheros temporales que han sido eliminados.

Observando el contenido del fichero /tmp/ccbvMzZr.i notaremos como aparecen

mencionadas varias librerías interesantes: tclegg.h, eggdrop.h, modvals.h, tandem.h y

cmdt.h. Todo lo anterior unido a las terminaciones de los ficheros temporales

encontrados (.i, .ld, .c) nos llevan a la conclusión de que se realizó la compilación e

instalación de un bot de IRC, en concreto eggdrop. El proceso debió tener lugar a las

15:58:57 del 8 de noviembre de 2000. También es de destacar el UID y GID

asociados a los ficheros, el 500:500, el cual debió pertenecer a un usuario eliminado

del sistema. Por el momento hemos terminado de examinar el directorio raíz, por lo

que lo cerraremos pulsando sobre “Close”.

Aquí destacaremos otra característica de autopsy, el “Event Sequencer”, que permite

incluir notas sobre los eventos que consideremos más destacables y que aparecerán

ordenados en el tiempo. Dado que no se nos ocurren muchas opciones por las que

continuar echaremos mano de las líneas de tiempo. Si accedemos a dicha

característica pulsando sobre el botón “File Activity Timelines”, y siguiendo los pasos

que se mencionan a continuación podremos generar una lista de sucesos relacionados

con la actividad sobre ficheros que aparecerán organizados en el tiempo. Para ello

primero pulsaremos sobre “Create Data File” y marcaremos todas las imágenes.

Seleccionaremos también todas las opciones del segundo apartado, es decir,

“Allocated Files, Unallocated Files y Unallocated Meta Data Structures”. Por último

dejaremos el nombre que se le asignará por defecto y marcaremos la opción de

85

eneración de la suma MD5 de comprobación del fichero. Una vez pulsado sobre el

botón “OK” comenzará el proceso.

UNIVERSIDAD DE GUAYAQUILrepositorio.ug.edu.ec/bitstream/redug/6814/1/Tesis Completa-297-2010.pdf ·...

Documents

Transcript of UNIVERSIDAD DE GUAYAQUILrepositorio.ug.edu.ec/bitstream/redug/6814/1/Tesis Completa-297-2010.pdf ·...