View
228
Download
1
Category
Preview:
Citation preview
INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD PROFESIONAL “ADOLFO LOPEZ MATEOS”
SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN
PROGRAMA DE POSGRADO EN INGENIERÍA DE SISTEMAS
MAESTRÍA EN CIENCIAS EN INGENIERÍA DE SISTEMAS.
“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS
DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL”
TESIS
QUE PARA OBTENER EL GRADO DE:
MAESTRO EN CIENCIAS EN INGENIERÍA DE SISTEMAS.
PRESENTA:
ING. ARTURO PALACIOS UGALDE.
DIRECTOR DE TESIS:
M. EN C. LEOPOLDO ALBERTO GALINDO SORIA.
MÉXICO D.F. OCTUBRE DE 2010.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Ing. Arturo Palacios Ugalde.
Resumen y Abstract.
“METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL”
RESUMEN
En el presente proyecto de tesis, se presenta explícitamente la problemática
existente de la falta de una metodología de análisis pericial forense en el entorno de la
informática forense, por lo que se propone y aplica una metodología forense para el
análisis de sistemas de redes y equipos de cómputo personal, además se estudian
algunos dispositivos de interés, detallando de forma particular, el análisis sobre una
computadora personal de escritorio, dicho producto de la presente Tesis se pretende funja
como herramienta fundamental para la resolución de contiendas y denuncias judiciales.
La metodología propuesta se encuentra compuesta por cinco Fases: I.-
Planteamiento del problema, II.- Identificación detallada del material objeto de estudio, III.-
Adquisición de evidencia, IV.- Análisis de datos y V.- Presentación de resultados
obtenidos, las presentes Fases se consideran herramientas ineludibles y básicas a la hora
de investigar un hecho delictivo, las mismas nos permitirán efectuar un trabajo sistémico
metodológicamente estructurado y sistemáticamente fundamentado, considerando que la
metodología propuesta sea aplicada por un perito en informática forense en auxilio de la
autoridad judicial.
Con el presente trabajo se busca establecer un marco referencial base de cualquier
investigador forense digital en aspectos técnicos y jurídicos que procure generar y
fortalecer iniciativas multidisciplinarias para la modernización y avance de la
administración de justicia en el contexto de una sociedad digital y de la información.
La metodología propuesta se aplicó, dentro del presente proyecto de tesis, en un
caso de estudio, presentado en el ―Capítulo 4.- Localización de un archivo con
información específica‖, con el fin de iniciar la evaluación de su aplicabilidad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Ing. Arturo Palacios Ugalde.
Resumen y Abstract.
“METHODOLOGY FOR THE FORENSIC COMPUTING ANALYSIS IN
NETWORKS SYSTEMS AND PERSONAL COMPUTING EQUIPMENTS”
ABSTRACT
In this thesis Project, it is explicitly presented the existing problems due to the lack of
a methodology for the forensic expert analysis in computing, so it is proposed and applied
a forensic methodology for the analysis of networks systems and personal computing
equipments. Also, some interesting devices are studied, particularly detailing the analysis
on a personal desk computer. The result of the present thesis is intended to function as a
basic tool for the resolution of judicial controversies and complaints.
The proposed methodology consists of five stages: I.- Approach of the problem, II.-
Detailed identification of the material subject to study, III.- Obtention of evidence, IV.- Data
analysis, and V.- Presentation of the results obtained. The present stages are considered
as necessary and basic tools at the time of investigating a criminal act, and such tools will
enable us to carry out a systemic work which shall be methodologically structured and
systematically founded, considering that the methodology being proposed shall be applied
by forensic expert in computing, in assistance of the judicial authority.
The present work seeks to establish a basic reference framework for any digital
forensic investigator regarding technical and juridical aspects, tending to generate and
strengthen multidisciplinary initiatives for the modernization and improvement of justice
administration in the context of a digital society and computing.
The methodology proposed was applied within the present thesis project, in a case
under study presented in ―Chapter 4.- Localization of a file with specific information‖, with
the purpose of starting an evaluation of its applicability.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Ing. Arturo Palacios Ugalde.
Agradecimientos.
Agradecimientos
A Dios:
Por darme la fortaleza y esperanza en los momentos difíciles.
A mi Madre:
Gloria Ugalde y Guzmán
Por su amor infinito, su paciencia, su ánimo, su apoyo durante todos los días
de mi vida, por su espíritu inquebrantable y sus sabios consejos que me han
ayudado a vencer las adversidades y lograr mis metas. Gracias por toda la
confianza que en su momento, depositaste en mí.
A mis Hermanos:
Gabriel, Martin, Armando y Jonathan
Por ayudarme y apoyarme. Gracias por facilitarme las cosas.
A mi Hijo:
Emiliano Palacios Fernández
Porque llegaste a iluminar mi vida, por tu sonrisa que me llena de esperanza
y alegría, por ser mi motor y mi fuerza para seguir adelante.
A mi Familia:
Por todo su amor, cariño y comprensión.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
Ing. Arturo Palacios Ugalde.
Agradecimientos.
Al Instituto Politécnico Nacional:
Por crear en mí el sentimiento de orgullo.
A mi Director de tesis:
El Profesor Prof. Leopoldo A. Galindo Soria
Por sus invaluables sugerencias y acertados aportes durante la realización de esta tesis, por su generosidad al brindarme la oportunidad de recurrir y compartir conmigo su talento y experiencia, en un marco de confianza, afecto y amistad, fundamentales para la concreción de este trabajo.
A todos aquellos que sin querer omito:
Son muchas las personas a las que me gustaría agradecer su apoyo, ánimo
y compañía en las diferentes etapas de mi vida. Algunas están aquí conmigo y
otras en mis recuerdos y en el corazón. Sin importar en dónde estén quiero darles
las gracias por formar parte de mí y por todo lo que me han brindado.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
i Ing. Arturo Palacios Ugalde.
Indice.
Índice General.
Índice General i
Índice de figuras y tablas iv
Glosario de Términos viii
Introducción xiii
0.1 Presentación del Proyecto de Tesis xiii
0.2 Marco Metodológico para el desarrollo del proyecto de Tesis xv
Capítulo 1.- Marco Conceptual y Contextual
1.1. Marco Conceptual 2
1.1.1 Pirámide Conceptual 3
1.1.2 Descripción de conceptos clave definidos en la Pirámide 5 Conceptual del Proyecto de Tesis
1.2 Marco Contextual 11
1.2.1 Marco contextual acorde a la pirámide conceptual 11 1.2.2. Descripción del procedimiento básico en informática forense 13
Capítulo 2.- Identificación y Análisis de la Situación Actual
2.1 Antecedentes 22
2.2 Análisis de la situación actual al inicio del Proyecto de Tesis 25
2.3 Justificación del proyecto de Tesis 33
2.4 Definición de Objetivos del Proyecto de Tesis 33
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
ii Ing. Arturo Palacios Ugalde.
Indice.
Capítulo 3.- Desarrollo de la Metodología Propuesta
3.1 Introducción a la Metodología Propuesta 36
3.2 Presentación esquemática de la Metodología Propuesta 41
3.2.1 Fase I. Planteamiento del Problema 45
3.2.2 Fase II. Identificación detallada del material objeto de estudio 45
3.2.3 Fase III. Adquisición de evidencia 46
3.2.4 Fase IV Análisis de datos 47
3.2.5 Fase V. Presentación de resultados obtenidos 48
3.3 Descripción detallada de las Fases de la Metodología Propuesta 51
3.3.1 Fase I. Planteamiento del Problema 51
3.3.2 Fase II. Identificación detallada del material objeto de estudio 55
3.3.3 Fase III. Adquisición de evidencia 78
3.3.4 Fase IV Análisis de datos 89
3.3.5 Fase V. Presentación de resultados obtenidos 106
Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de Estudio
4.1 Aplicación de la Fase I. Planteamiento del Problema 117
4.2 Aplicación de la Fase II. Identificación detallada del material objeto
de estudio 120
4.3 Aplicación de la Fase III. Adquisición de evidencia 153
4.4 Aplicación de la Fase IV. Análisis de datos 176
4.5 Aplicación de la Fase V. Presentación de Resultados Obtenidos 209
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
iii Ing. Arturo Palacios Ugalde.
Indice.
Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones
5.1 Valoración de Objetivos 238
5.2 Trabajos Futuros 241
5.3 Conclusiones 243
Bibliografía 246
Referencias a Internet 247
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
iv Ing. Arturo Palacios Ugalde.
Indice.
Índice de figuras y tablas.
Número de Figura o Tabla.
Descripción: Página.
Capítulo 1: Marco Conceptual y Contextual.
Figura 1.1 Pirámide Conceptual de los principales conceptos implicados en el
proyecto motivo de estudio. 4
Figura 1.2 Reglas generales de la informática forense. 9
Figura 1.3 Representación esquemática de la intervención pericial en
informática forense. 11
Figura 1.4 Representación esquemática del Proceso de Investigación. 13
Figura 1.5 Modelo básico de la informática forense. 18
Figura 1.6 Modelo de informática forense complementario. 18
Figura 1.7 Productos a obtener bajo la aplicación de la Metodología Propuesta
en el presente proyecto de tesis. 19
Capítulo 2: Identificar y Analizar la Situación Actual.
Figura 2.1 Estándares y directrices, relacionados con la informática forense y
la seguridad de la información. 26
Tabla 2.1 Comparativo de ventajas y desventajas de Metodologías y
Estándares actuales. 28
Capítulo 3: Desarrollo de la Metodología Propuesta.
Figura 3.1 Presentación Esquemática de la Metodología Propuesta. 42
Figura 3.2 Presentación Secuencial de la Metodología Propuesta. 42
Figura 3.3 Presentación detallada de la Metodología Propuesta. 44
Figura 3.4 Imagen en la que se ilustra la posible variedad en cuanto, al
material a analizar. 57
Figura 3.5
Ejemplo en el que se presenta, la forma en que se identifica un
posible material objeto de estudio, el cual se describirá a detalle en
el respectivo Dictamen Pericial y/o Documento Final.
58
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
v Ing. Arturo Palacios Ugalde.
Indice.
Número de Figura o Tabla.
Descripción: Página.
Figura 3.6 Imagen que se presenta a manera de Ilustrar un posible lugar de los hechos.
60
Figura 3.7 Imagen con la que se ilustra una posible manera de etiquetar las conexiones de un equipo de cómputo a analizar.
61
Figura 3.8 Se debe restringir el acceso al lugar de los hechos. 62
Figura 3.9 Imagen en la que se ilustra la firma de archivos de acuerdo a su aplicación que lo genero, para tres archivos.
72
Figura 3.10 Salida tipo pantalla, en la que se muestra el análisis al archivo Index.dat, con el fin de mostrar las cookies almacenadas en éste.
104
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.1 Identificación del material objeto de estudio. 121
Figura 4.2 Identificación del disco duro asociado al material objeto de estudio. 122
Figura 4.3
Fijación fotográfica del material objeto de estudio, teniendo mayor relevancia para el presente caso el disco duro asociado a la computadora cuestionada, toda vez que es el elemento en donde se almacena toda la información procesada.
133
Figura 4.4
Una vez que se tuvo identificado plenamente al elemento base (principal fuente de información), para realizar su análisis correspondiente, se procedió a colocarle un bloqueador de escritura.
142
Figura 4.5 Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖), con la que fue detectado el disco duro, asociado al material objeto de estudio.
146
Figura 4.6 Salida tipo pantalla en la que se ilustra el número de serie lógico del volumen (―#L##-###L‖).
147
Figura 4.7 Como primer paso se tuvo que montar el Disco Duro al Software. 159
Figura 4.8 Salida tipo pantalla en la que se observa el contenido del disco a
través del software forense AccessData FTK Imager.
160
Figura 4.9 Salida tipo pantalla en la que se ilustra el ingreso de los datos del
caso de estudio.
161
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
vi Ing. Arturo Palacios Ugalde.
Indice.
Número de Figura o Tabla.
Descripción: Página.
Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se le indican al software forense, el destino de la imagen.
162
Figura 4.11 Salida tipo pantalla en la que se observa el progreso en la obtención de la imagen total del disco duro.
163
Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de la carpeta ―Documents and Settings‖.
164
Figura 4.13 Salida tipo pantalla en que se muestra el termino del proceso para adquirir la imagen de la carpeta ―Documents and Settings‖.
165
Figura 4.14 Vista de los archivos generados al finalizar el procedimiento de obtención de la Imagen de la información seleccionada (archivos con extensión: .ad1 y .ad2).
166
Figura 4.15 Vista del contenido del archivo generados con el valor Hash de la imagen del disco duro.
169
Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia
adquirida. 177
Figura 4.17 Vista del archivo que generó el Software Forense al obtener la
imagen del disco duro motivo de estudio. 184
Figura 4.18 Exploración de la imagen forense obtenida.
185
Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos
archivos que dan respuesta al Planteamiento del Problema.
186
Figura 4.20 Salida tipo pantalla en la que se observa como se realiza el proceso de exportación de archivos ubicados.
188
Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos
de los archivos localizados.
197
Figura 4.22 Conexión del Disco Duro bajo estudio al protector contra escritura. 217
Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito.
218
Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que
conforman la Imagen Forense del presente caso bajo estudio.
219
Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos,
localizados y que se apegan al criterio especificado en el
Planteamiento del Problema.
220
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
vii Ing. Arturo Palacios Ugalde.
Indice.
Número de Figura o Tabla.
Descripción: Página.
Figura 4.26 Conexión del Disco Duro bajo estudio al protector contra escritura. 225
Figura 4.27 Salida tipo pantalla en donde se muestra que el proceso de
obtención de la Imagen Forense, se efectuó con éxito. 226
Figura 4.28 Salida tipo pantalla en donde se muestran los dos archivos que
conforman la Imagen Forense del presente caso bajo estudio. 227
Figura 4.29
Salida tipo pantalla en donde se muestran los dos archivos,
localizados y que se apegan al criterio especificado en el
Planteamiento del Problema.
228
Capítulo 5: Valoración de Objetivos, Trabajos Futuros y Conclusiones.
Tabla 5.1 Valoración de los Objetivos Particulares. 241
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
viii Ing. Arturo Palacios Ugalde.
Glosario de términos.
GLOSARIO DE TÉRMINOS.
Para tener una mejor comprensión de la Tesis, a continuación se describen la siguiente
serie de términos usados, se puede observar que varias definiciones se toman con base a
referencias de sitios o páginas de Internet, confiables.
Análisis Forense Digital [http://archivos.diputados.gob.mx/Comisiones/Especiales/
Acceso_Digital/Presentaciones/Procuracion_justicia_PGR.pdf]: conjunto de principios y
técnicas que comprende el proceso de adquisición, conservación, documentación, análisis y
presentación de evidencias digitales y que llegado el caso puedan ser aceptadas
legalmente en un proceso judicial.
Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste
en establecer las responsabilidades y controles de cada una de las personas que manipulen
la evidencia, (The Organization of American States (OAS), La Organización de los Estados
Americanos (OEA)).
Delitos Informáticos [http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg0000
7.html]: son todos los actos que permiten la comisión de agravios, daños o perjuicios en
contra de las personas, grupos de ellas, entidades o instituciones y que por lo general son
ejecutados por medio del uso de computadoras y a través del mundo virtual de Internet.
Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos
medios, sino también a partir de los mismos.
Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema
encomendado para producir una explicación consistente.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
ix
Ing. Arturo Palacios Ugalde. Glosario de términos.
Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias
fundamentales del estudio efectuado, los métodos y medios importantes empleados, una
exposición razonada y coherente, las conclusiones, fecha y firma.
A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe
Pericial.
Si los peritos no concuerdan deberá nombrarse un tercero para dirimir la discordia, quien
puede disentir de sus colegas.
Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de
datos en formato binario, esto es, comprende los archivos, su contenido o referencias a
éstos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.
Forense [http://www.rae.es/rae.html]: adj. Perteneciente o relativo al foro. Lugar en que los
tribunales actúan y determinan las causas: foro público.
Hash [http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt]: En informática, hash se refiere
a una función o método para generar claves o llaves que representen de manera casi
unívoca a un documento, registro, archivo, procedimiento que autentica la información o
dato en cuestión (firma digital).
Incidente de Seguridad Informática [http://www.oas.org/juridico/spanish/cyb_analisis
_foren.pdf]: puede considerarse como una violación o intento de violación de la política de
seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los
sistemas informáticos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
x
Ing. Arturo Palacios Ugalde. Glosario de términos.
Indicio [http://www.bibliojuridica.org/]: El término indicio proviene de latín indictum, que
significa signo aparente y probable de que existe alguna cosa, y a su vez es sinónimo de
señal, muestra o indicación. Por lo tanto, es todo material sensible significativo que se
percibe con los sentidos y que tiene relación con un hecho delictuoso; al decir material
sensible significativo se entiende que está constituido por todos aquellos elementos que son
aprehendidos y percibidos mediante la aplicación de nuestros órganos de los sentidos.
A fin de lograr una adecuada captación del material sensible, nuestros sentidos deben estar
debidamente ejercitados para esos menesteres y, de preferencia, deben ser aplicados
conjuntamente al mismo objeto. De este modo se evita toda clase de errores y distorsiones
en la selección del material que será sometido a estudio. Cuando se comprueba que está
íntimamente relacionado con el hecho que se investiga, se convierte ya en evidencia.
Lugar de los hechos [http://www.bibliojuridica.org/]: Se entiende como el lugar de los
hechos ―El sitio donde se ha cometido un hecho que puede ser delito‖. Toda investigación
criminal tiene su punto de partida casi siempre en el lugar de los hechos, y muchos
criminalistas ya han expresado: ―que cuando no se recogen y estudian los indicios en el
escenario del crimen, toda investigación resulta más difícil‖. Por tal motivo, es imperativo
proteger adecuadamente en primer término ―el lugar de los hechos‖ o como lo denominan
los especialistas ―el sitio del suceso‖, (en los países de habla inglesa se utiliza el término
―escena del crimen‖).
Metodología [Van Gigch, 1987]: Se refiere a los métodos de investigación que se siguen
para alcanzar una gama de objetivos.
Metodología Suave [Checkland, 2005]: La Metodología de Sistemas Suaves (SSM por sus
siglas en inglés) de Peter Checkland; es una técnica cualitativa qué se puede utilizar para
aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse
de los problemas situacionales en los cuales hay un alto componente social, político y
humano.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
xi
Ing. Arturo Palacios Ugalde. Glosario de términos.
Partición swap [http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.ht
ml]: Una partición swap (al menos 256 MB) — Las particiones swap son utilizadas para
soportar la memoria virtual. En otras palabras, los datos son escritos en la swap cuando no
hay memoria suficiente disponible para contener los datos que su ordenador está
procesando.
Peritaje [Orellana, 1975]: Es el examen y estudio que realiza el perito sobre el problema
encomendado para luego entregar su informe o dictamen pericial con sujeción a lo
dispuesto por la ley.
Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional
dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores,
que suministra información u opinión fundada a los tribunales de justicia sobre los puntos
litigiosos que son materia de su dictamen.
Existen dos tipos de peritos, los nombrados judicialmente y los propuestos por una o ambas
partes (y luego aceptados por el juez), ambos ejercen la misma influencia en el juicio.
Sistema [Van Gigch, 1987]: Es una reunión o conjunto de elementos relacionados. Estos
elementos pueden ser objetos, conceptos, sujetos; como un sistema hombre-máquina, que
comprende las tres clases de elementos.
Por tanto, un sistema es un agregado de entidades, viviente o no viviente o ambas.
Software [RODAO, 2005]: Se conoce como software al equipamiento lógico o soporte
lógico de una computadora digital; comprende el conjunto de los componentes lógicos
necesarios que hacen posible la realización de tareas específicas, en contraposición a los
componentes físicos del sistema, llamados hardware.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
xii
Ing. Arturo Palacios Ugalde. Glosario de términos.
Tales componentes lógicos incluyen, entre muchos otros, aplicaciones informáticas como el
procesador de textos, que permite al usuario realizar todas las tareas concernientes a la
edición de textos o el software de sistema tal como el sistema operativo, que básicamente,
permite al resto de los programas funcionar adecuadamente.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
xiii Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
INTRODUCCIÓN.
0.1 PRESENTACIÓN DEL PROYECTO DE TESIS.
El desarrollo de la tecnología informática ha abierto las puertas a nuevas
posibilidades de delincuencia. Los daños ocasionados son a menudo superiores a lo usual
en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que
no lleguen a descubrirse o castigarse estos hechos. El delito informático implica actividades
criminales que los especialistas en legislación, han tratado de encuadrar en figuras típicas
de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas,
sabotajes.
Ante el suceso de un delito informático u otro delito en el que se considere que
equipos de cómputo pueden presentar evidencias, es necesaria la intervención de un perito
en informática forense.
La falta de una metodología para realizar un peritaje en informática forense ante el
suceso de un delito informático en cualquier persona física o moral, pueden impactar de
varias formas tales como: que la evidencia se pierda viéndose alterada y por ende nunca
descubrir al culpable del acto ilícito que nos ocupa, o también podría fincársele una
responsabilidad para el perito en informática forense así como el de no presentar elementos
suficientes como evidencia o que pierdan su valor probatorio frente a un tribunal por que no
se halla preservado la integridad de la información o manejado adecuadamente (cadena de
custodia).
Por lo anterior y de no adoptarse una metodología de peritaje en informática forense,
ante un suceso que así lo amerite, no se tendrá un peritaje confiable recalcando el hecho de
que en nuestro país la informática forense ha tenido un nulo crecimiento en lo que a
desarrollo tecnológico y metodológico se refiere.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xiv Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
De lograr el empleo de una metodología en informática forense, se contará con una
herramienta formal que permita realizar un análisis, estudio e inspección, del elemento
causa del peritaje informático en forma eficiente, confiable, segura y que le dará certidumbre
a los resultados obtenidos.
Por tales motivos, es que se desarrolla el presente trabajo cuya finalidad es la
creación de una “Metodología para el análisis forense informático en sistemas de redes y
equipos de cómputo personal”, para que sea la base fundamental de cualquier peritaje
informático.
Considerando lo anterior, a continuación se muestra el Marco Metodológico que
servirá de guía para el desarrollo del presente trabajo de tesis:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xv Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
0.2 MARCO METODOLÓGICO PARA EL DESARROLLO DEL PROYECTO DE TESIS.
En todo trabajo de investigación, se hace necesario, que los hechos estudiados, los
resultados obtenidos y las evidencias significativas encontradas en relación al problema
investigado, reúnan las condiciones de confiabilidad, objetividad y validez; para lo cual, se
requiere definir los métodos, técnicas y procedimientos metodológicos, a través de los
cuales se intenta dar respuestas a las interrogantes objeto de investigación.
El marco metodológico, para el desarrollo de este Proyecto de Tesis, donde se
propone un “Análisis Forense Informático en Sistemas de Redes y Equipos de
Computo Personal”; indica el conjunto de métodos, técnicas y protocolos instrumentales
que se emplearán en el proceso de recolección de los datos requeridos en el presente
trabajo de investigación. Es importante señalar que tal conjunto de técnicas y herramientas
especializadas deben ser guiadas por una metodología apropiada, basada en el desarrollo
de la ―Tabla Metodológica‖ [Galindo, 2008], en tal sentido, en la siguiente Tabla, se
describen las actividades necesarias para así cumplir con la(s) meta(s) que se ha fijado y
lograr los objetivos o productos deseados, además de indicar las técnicas y herramientas
que se consideran más adecuadas.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xvi Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis [Galindo, 2008].
Metodología Actividades Propias del Proyecto
(¿Qué hacer?)
Técnicas (¿Cómo hacer?)
Herramientas (¿Con qué
hacer?)
Metas (¿Qué Obtener en
particular?)
Avocarse a la tarea de la recopilación y análisis de una metodología a seguir para el desarrollo del proyecto de tesis Uso de los Métodos Analítico y Sintético.
Investigación y cotejo de diversas metodologías acordes al presente proyecto de tesis.
Consulta de bibliografía.
La selección de la metodología a seguir.
Inicio de la aplicación de la metodología para el desarrollo de la Tesis.
Tener bien claro el objetivo a alcanzar.
Inicio del proyecto de Tesis.
Definir cuál es o será el tema del proyecto de Tesis.
Búsqueda de información acerca de interés y que contribuyan a resolver un problema.
Computadora personal, acceso a Internet, Bibliografía.
El tema de Tesis.
Identificar y conocer el medio ambiente correspondiente.
Identificar los elementos sistémicos.
Observación. Computadora e Internet. Investigación Bibliográfica.
El alcance y el enfoque que tendrá la Tesis.
Crear una pirámide conceptual, para definir el Marco Conceptual.
Aplicación del método Deductivo es decir ubicar de lo general a lo particular los elementos que intervienen.
Computadora e Internet. Investigación Bibliográfica.
Representar gráficamente el proyecto de Tesis y el producto principal a obtener.
Hacer una descripción de los conceptos definidos en la pirámide conceptual.
Hacer una lista de los conceptos incluidos en la pirámide conceptual.
Computadora e Internet. Investigación Bibliográfica.
Explicar los conceptos en forma breve dando el marco conceptual donde se ubicará el proyecto de Tesis.
Hacer un análisis de la situación actual, del área y procesos bajo estudio y realizar una evaluación y diagnóstico correspondiente.
Creando un cuadro comparativo con ventajas y desventajas.
Observación. Investigación, Cuestionarios. Entrevistas. Computadora e Internet Procesador de Palabras, Hoja de cálculo.
Información para justificar la Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xvii Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Continuación)
Metodología, Actividades Propias del Proyecto
(¿Qué hacer?)
Técnicas (¿Cómo hacer?)
Herramientas (¿Con qué
hacer?)
Metas (¿Qué
Obtener en particular?)
Definir la justificación del proyecto de Tesis.
Llevar a cabo el Análisis del cuadro comparativo citado con antelación.
Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes.
Justificar la Tesis.
Definir el objetivo particular y los generales del Proyecto de Tesis.
Definir la aportación principal del proyecto de Tesis y de lo que se obtiene en el proceso de desarrollo.
Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes
Definir los objetivos.
Desarrollo del producto principal del Proyecto de Tesis. Proponer la Metodología en Informática Forense.
Basándose en metodologías previamente identificadas y analizadas, así como diseñando y proponiendo la metodología del trabajo de Tesis.
Computadora e Internet Procesador de Palabras, Hoja de cálculo. Diseñador de imágenes Observación, Análisis e investigación.
Metodología a usar en la Tesis.
Aplicar la Metodología propuesta.
Siguiendo las actividades de la Metodología propuesta.
Con las herramientas necesarias en cada Actividad de la Metodología.
Alcanzar los niveles de pericia y especialización necesarios para llevar a cabo una intervención pericial en Informática Forense precisa, confiable y por ende irrefutable.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xviii Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Tabla0.1.- Marco Metodológico para el desarrollo del proyecto de Tesis. (Final)
Metodología, Actividades Propias del Proyecto
(¿Qué hacer?)
Técnicas (¿Cómo hacer?)
Herramientas (¿Con qué hacer?)
Metas (¿Qué Obtener en
particular?)
Redacción del documento de Tesis
Conforme avance en trabajo la Tesis.
Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación.
Escribir el documento de Tesis
Valoración del cumplimiento de los objetivos.
Revisando el cumplimiento de los objetivos.
Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación.
Conclusiones acerca del cumplimiento de los objetivos.
Definición de trabajos futuros.
Proponiendo mejoras continuas y seguimiento al trabajo.
Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación.
Definir trabajos a futuro.
Conclusiones del proyecto de Tesis.
Redactar los beneficios y la utilidad que representa el trabajo de Tesis.
Computadora Procesador de Palabras, Hoja de cálculo, Presentación. Observación, Análisis e investigación.
Conclusiones referentes al trabajo de Tesis.
Con el fin de cumplimentar lo plasmado con antelación, se emplea la ―Metodología para el
Desarrollo y Redacción de un Proyecto de Tesis de Maestría‖ [Galindo, 2005], propuesta por
el Prof. Leopoldo Galindo Soria; misma que será la metodología a aplicar para la
elaboración y la redacción del proyecto en comento.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xix Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Estructura del Documento de Tesis.
El cuerpo de la Tesis se encuentra dividido en 5 capítulos, una sección para conclusiones y
una sección dedicada a trabajos futuros, a continuación se realiza una breve descripción de
cada uno de los capítulos que integran esta tesis, cuya estructura es la siguiente:
Capítulo 1.- Marco Conceptual y Contextual.
Se definen las bases para desarrollar el trabajo de investigación, con el fin de ayudar a
identificar los conceptos y elementos involucrados en esta investigación y el Marco
Contextual, referirá la interacción de los diversos elementos que intervienen en una
intervención pericial en informática forense.
Capítulo 2.- Identificar y analizar la situación actual.
Presenta una definición general de metodología, así mismo se describe el proceso forense
en informática, mostrando un análisis del modelo de informática forense, de manera
adicional se realiza una comparativa teniendo como elemento de cotejo a las guías
internacionales de mayor importancia, de las mejores prácticas en informática forense y la
metodología propuesta, razón por la cual se justifica proponer como proyecto de Tesis el
contar con una nueva metodología en Informática forense, que pueda ser aplicada en
México.
Capítulo 3.- Desarrollo de la Metodología Propuesta.
Se presentan las fases y métodos que la integran, se describe el proceso forense
informático, mostrando un análisis del modelo de informática forense.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xx Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
Dada esta base teórica, es posible integrar en el proyecto aquellos requisitos más
específicos con los que la metodología propuesta deba cumplir.
La Metodología Propuesta, tiene como base el tener un enfoque sistémico la cual consiste
en: Plantear el Problema, Identificación detallada del material objeto de estudio, Adquisición
de la evidencia, Análisis de los datos, y Presentación de los resultados (la información o
datos obtenidos). En el presente capítulo se genera la estrategia de creación de la
metodología. Esta estrategia considera: la aplicación del método científico, utilización de
metodologías (en el área de la informática forense) para el manejo de la evidencia digital
reconocidas a nivel internacional.
Capítulo 4.- Aplicación de la Metodología Propuesta en un caso de Estudio.
En este capítulo se presenta la aplicación de la metodología propuesta en un caso práctico;
proponiendo con el fin de mostrar su utilidad y funcionalidad la ―Localización de un archivo
con información específica‖, es decir se propuso la Ubicación de información cuestionable.
Razón por la cual es que en este capítulo se desarrollan todas y cada una de las fases que
integran la metodología propuesta.
Capítulo 5.- Valoración de Objetivos, Trabajos Futuros y Conclusiones.
Se analizarán los resultados obtenidos durante el desarrollo de este proyecto, además se
propondrán las posibles adecuaciones para mejorar o ampliar la Metodología Propuesta,
por último se presenta la Bibliografía y Referencias a Internet.
En síntesis, en la siguiente lámina se presenta la estructura general del proyecto de tesis:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE COMPUTO PERSONAL.
xxi Ing. Arturo Palacios Ugalde.
Introducción, Marco Metodológico y Presentación del Trabajo de Tesis.
―Antes‖ ―Cambio‖ ―Después‖ Introducción.
Presentación del Proyecto de Tesis.
-Presentación del proyecto de tesis. -Marco metodológico para el desarrollo del proyecto de tesis.
-Estructura del documento del proyecto de tesis.
Capítulo 1 El marco conceptual y contextual
-Introducción al marco conceptual y contextual. -Pirámide Conceptual.
-Descripción de Términos.
Capítulo 2 -Análisis, evaluación y diagnóstico de la situación al inicio del proyecto de tesis. -Identificar y analizar la situación actual. -Análisis de la situación actual al inicio del proyecto de tesis. -Justificación del proyecto de tesis.
-Objetivos del proyecto de tesis.
CAPITULO 3
DESARROLLO DE LA METODOLOGÍA PROPUESTA: FASE I, FASE II, FASE III, FASE IV y FASE V.
FASE I
Planteamiento del Problema.
FASE II Identificación detallada del
material objeto de estudio.
FASE III
Adquisición de evidencia.
FASE IV
Análisis de datos.
FASE V
Presentación de resultados obtenidos.
IMPARTICIÓN DE JUSTICIA.
SITUACIÓN ACTUAL: ―AUTORIDAD COMPETENTE‖.
―ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS
DE CÓMPUTO PERSONAL‖.
Por medio de:
¿Cómo llegar? Para obtener:
FASE I
FASE II
FASE III
FASE IV
FASE V
INSTITUCIÓN DE PROCURACIÓN DE JUSTICIA.
SITUACIÓN MEJORADA DE LA INSTITUCIÓN DE PROCURACIÓN
DE JUSTICIA.
Capítulo 4.- Aplicación de la
Metodología Propuesta en un Caso de Estudio.
APLICACIÓN DE LAS FASES, DE LA
METODOLOGÍA PROPUESTA.
Capítulo 4
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
1 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Capítulo 1.-
Marco Contextual y Conceptual
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
2 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
CAPÍTULO 1. MARCO CONTEXTUAL Y CONCEPTUAL.
El Marco Conceptual y Contextual, servirá como Marco de Referencia que se usará en el
presente trabajo de Tesis.
Así, el Marco Conceptual, ayudará a identificar los conceptos y elementos involucrados en
esta investigación y el Marco Contextual, referirá la interacción de los diversos factores que
intervienen en la Informática Forense.
A continuación, se detalla el Marco Conceptual y Contextual.
Tal y como se ha manifestado con antelación en el presente trabajo las nuevas tecnologías
se hacen cada día más importantes; la gente usa el Internet para comprar, las grandes
corporaciones se valen del correo electrónico para funcionar de forma más eficiente y los
delincuentes se hacen diestros en la utilización de los avances tecnológicos como
herramienta para delinquir. La prueba documental y el arma homicida están perdiendo
vigencia con rapidez.
En el presente proyecto de tesis se aborda el tema de la Informática Forense, de la
evidencia digital, de la manipulación de la misma y de los retos que esta tarea conlleva,
dándole un vistazo a las diferentes directrices de manipulación de pruebas electrónicas y de
evidencia digital que los países más avezados en estos temas han planteado como solución
a los problemas de admisibilidad y a otros retos que usualmente se le presentan a un
operador jurídico que pretende usar información almacenada en medios electrónicos como
prueba, razón por la cual, se hace cada vez más necesario que los aparatos judiciales
tengan a su disposición funcionarios y colaboradores que posean los conocimientos
informáticos, técnicos y jurídicos necesarios para ofrecer certeza sobre la integridad de la
evidencia obtenida en entornos digitales.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
3 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Cabe señalar que al momento de la redacción del presente trabajo se consideraron las
guías generadas en países con mayor desarrollo y experiencia en esta área científica, con
el fin de identificar los rasgos y características esenciales sin el ánimo de realizar juicios a
priori, algunos de estos rasgos considerados esenciales fueron tomados como base para la
creación de la metodología en informática forense motivo del presente proyecto de tesis y
otros procedimientos de los que se hace referencia en materia de peritaje informático.
Una vez concluida esta primera parte del trabajo tendremos una visión holística sobre la
tendencia mundial en materia de Informática Forense aplicada al peritaje informático y sin el
temor de caer en la trampa del etnocentrismo, estaremos en condiciones de realizar una
sugerencia informada para ayudar a la implementación de lo que sería el estándar
Mexicano de buenas prácticas en materia de peritaje informático.
1.1 Marco conceptual
1.1.1 Pirámide conceptual. [Galindo, 2005]
La pirámide conceptual ayuda en gran medida a identificar todos aquellos conceptos y
elementos involucrados que se emplearán en esta investigación, así como, también a
identificar el producto y ver la mejora en el medio ambiente, su estructura de operación y
lectura es de abajo (conceptos más generales) hacia arriba ( conceptos más particulares) y
de izquierda a derecha.
A continuación, se presenta la Pirámide Conceptual, la cual es usada durante el proyecto de
Tesis para definir los conceptos principales:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
4 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Figura 1.1.- Pirámide Conceptual de los principales conceptos implicados en el proyecto motivo de estudio. (Adaptada de [Galindo, 2005]).
CONTAR CON UNA
METODOLOGÍA EN
INFORMÁTICA FORENSE
APLICABLE EN MÉXICO.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
5 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
1.1.2 Descripción de conceptos clave definidos en la Pirámide Conceptual del Proyecto de Tesis Estos conceptos representan la base para una mejor comprensión del contenido del
presente proyecto de Tesis. Presentación en orden según su estructura de la Pirámide
Conceptual, de abajo hacia arriba y de izquierda a derecha.
Metodología [Van Gigch, 1987 ]: Se refiere a los métodos de investigación que se siguen
para alcanzar una gama de objetivos.
Metodología Suave [Checkland, 2005]: La metodología de Sistemas Suaves (SSM por sus
siglas en inglés) de Peter Checkland es una técnica cualitativa que se puede utilizar para
aplicar los sistemas estructurados a las situaciones complejas. Es una manera de ocuparse
de los problemas situacionales en los cuales hay un alto componente social, político y
humano.
El delito [http://www.bibliojuridica.org/]: en sentido estricto, es definido como una conducta,
acción u omisión típica (tipificada por la ley), antijurídica (contraria a Derecho), culpable y
punible. Supone una conducta infraccional del Derecho penal, es decir, una acción u
omisión tipificada y penada por la ley. La palabra delito deriva del verbo latino delinquiere,
que significa abandonar, apartarse del buen camino, alejarse del sendero señalado por la
ley.
Delito informático [Shinder, 2002]: son todos los actos que permiten la comisión de
agravios, daños o perjuicios en contra de las personas, grupos de ellas, entidades o
instituciones y que por lo general son ejecutados por medio del uso de computadoras y a
través del mundo virtual de Internet.
Los Delitos Informáticos no necesariamente pueden ser cometidos totalmente por estos
medios, sino también a partir de los mismos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
6 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Legislación Mexicana [http://www.bibliojuridica.org/]: Recopilación de leyes, decretos,
bandos, reglamentos, circulares y providencias de los supremos poderes y otras
autoridades de la República Mexicana.
Peritaje [Orellana,1975]: Es el examen y estudio que realiza el perito sobre el problema
encomendado para luego entregar su informe o dictamen pericial con sujeción a lo
dispuesto por la ley.
Perito [http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf]: es un profesional
dotado de conocimientos especializados y reconocidos, a través de sus estudios superiores,
que suministra información u opinión fundada a los tribunales de justicia sobre los puntos
litigiosos que son materia de su dictamen. Existen dos tipos de peritos, los nombrados
judicialmente y los propuestos por una o ambas partes (y luego aceptados por el juez),
ambos ejercen la misma influencia en el juicio.
Dictamen [Orellana, 1975]: Los peritos realizarán el estudio acucioso, riguroso del problema
encomendado para producir una explicación consistente. Esa actividad cognoscitiva será
condensada en un documento que refleje las secuencias fundamentales del estudio
efectuado, los métodos y medios importantes empleados, una exposición razonada y
coherente, las conclusiones, fecha y firma.
A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe
Pericial.
Criminalística [Moreno, 2009]: es ‖la disciplina que tiene por objeto el descubrimiento,
explicación y prueba de los delitos, así como la detección de sus autores y víctimas‖.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
7 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
La Criminalística es la disciplina coadyuvante del Derecho Penal y de la propia Criminología
frente a un delito.
La Criminalística registra estas interrogantes ¿Cómo?, ¿Por qué?, ¿Quiénes?, ¿Qué
instrumentos Utilizaron?, ¿Dónde?, ¿Cuándo?, etcétera. Consecuentemente la
Criminalística utilizando una serie de técnicas procedimientos y ciencias establecen la
verdad jurídica acerca de dicho acto criminal.
La Criminalística se vale obviamente de todos los métodos y técnicas de investigación
posibles, proporcionados por las más diversas áreas del saber científico; ello en cuanto
sirvan a su objeto. Pero, a su tiempo, va desenvolviendo su propio cuerpo de conocimientos
y adquiriendo autonomía disciplinaria.
Algunos estudiosos han incluido las fuentes de la Criminalística en su concepto:
Así para Moreno González, por ejemplo, la Criminalística "es la disciplina que aplica
fundamentalmente los conocimientos, métodos y técnicas de investigación de las ciencias
naturales en el examen del material sensible significativo relacionado con un presunto
hecho delictuoso con el fin de determinar en auxilio de los órganos encargados de
administrar justicia, su existencia o bien reconstruirlo, o bien señalar y precisar la
intervención de uno o varios sujetos en el mismo".
Evidencia digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: conjunto de
datos en formato binario, esto es, comprende los archivos, su contenido o referencias a
estos (meta-datos) que se encuentren en los soportes físicos o lógicos del sistema atacado.
Indicio [Moreno, 2009]: El término indicio proviene de latín indictum, que significa signo
aparente y probable de que existe alguna cosa, y a su vez es sinónimo de señal, muestra o
indicación. Por lo tanto, es todo material sensible significativo que se percibe con los
sentidos y que tiene relación con un hecho delictuoso;
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
8 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Cadena de custodia [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]: consiste
en establecer las responsabilidades y controles de cada una de las personas que manipulen
la evidencia.
Prueba [Moreno, 2003]: Indicio, muestra o señal de una cosa. Razón testimonio u otro
medio con que se pretende probar una cosa. Criminalisticamente es el indicio o evidencia
que habiendo sido examinado, estudiado y analizado con la opinión de un experto se
fundamenta.
NIST [http://www.nist.gov/index.html]: Instituto Nacional de Estándares y Tecnología, (NIST, por sus siglas en inglés).
NIJ [http://www.ojp.usdoj.gov/nij/funding/welcome.htm]: Departamento de Justicia de
EE.UU., (NIJ, por sus siglas en inglés).
FBI [http://www.fbi.gov/]: Buró Federal de Investigaciones, (FBI, por sus siglas en inglés).
Análisis Forense Digital [http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf]:
Organizar un equipo de respuesta a incidentes requiere establecer, entre otros aspectos,
unos procedimientos y métodos de análisis que nos permitan identificar, recuperar,
reconstruir y analizar evidencias de lo ocurrido y una de las ciencias que cubren estas
necesidades es la Ciencia Forense, la cual nos aporta las técnicas y principios necesarios
para realizar nuestra investigación, ya sea criminal o no.
Si llevamos al plano de los sistemas informáticos a la Ciencia Forense, entonces hablamos
de Análisis Forense Digital.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
9 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
De manera más formal podemos definir el Análisis Forense Digital como un conjunto de
principios y técnicas que comprende el proceso de identificación, adquisición, preservación,
análisis y documentación-presentación de evidencias digitales y que llegado el caso puedan
ser aceptadas legalmente en un proceso judicial.
Dado que el último producto del proceso forense (Dictamen) está sujeto al análisis judicial,
es importante que las reglas que lo gobiernan se sigan. Aunque estas reglas son generales
para aplicar a cualquier proceso en la informática forense, su cumplimiento es fundamental
para asegurar la admisibilidad de cualquier evidencia en un juzgado. Dado que la
metodología que se emplee será determinada por el especialista forense, el proceso
escogido debe aplicarse de forma que no se vulneren las reglas básicas de la informática
forense (Figura 1.2).
Por evidencia digital se entiende al conjunto de datos en formato binario, esto es,
comprende los archivos, su contenido o referencias a éstos (meta-datos) que se encuentren
en los soportes físicos o lógicos (equipamiento lógico) del sistema atacado.
Figura 1.2.- Reglas generales de la informática forense [Fuente propia].
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
10 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Dentro del Análisis Forense Digital Básico, podemos destacar las siguientes fases, que
serán desarrolladas con más detalle a lo largo de este documento:
1ª. Identificación del incidente.
2ª. Adquisición o recopilación de evidencias.
3ª. Preservación de la evidencia.
4ª. Análisis de la evidencia.
5ª. Documentación y presentación de los resultados.
Principio de intercambio de Locard [Locard, 1963]: Este principio fundamental viene a
decir que cualquiera o cualquier objeto que entra en la escena del crimen (lugar de los
hechos), deja un rastro en la escena o en la víctima y viceversa (se lleva consigo), en otras
palabras: ―cada contacto deja un rastro‖.
En el mundo real significa que: ―si piso la escena del crimen (término anglosajón, en
México se usa el de Lugar de Hechos) con toda seguridad dejaré algo mío ahí, que puede
ser: pelo, sudor, huellas, etc. Pero, también me llevaré algo conmigo cuando abandone la
escena del crimen, ya sea barro, olor, una fibra, etc.‖ [Locard, 1963]. Con algunas de estas
evidencias, los forenses podrán demostrar que hay una posibilidad muy alta de que el
criminal estuviera en la escena del crimen.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
11 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
1.2 Marco contextual general.
1.2.1 Marco contextual acorde a la pirámide conceptual.
En la Figura 1.2, se muestra la forma de interacción de los diversos factores que intervienen
en un Peritaje de Informática Forense, como son Delito – Legislación - Denuncia –
Intervención Pericial – Dictamen Pericial, con un enfoque sistémico.
La siguiente figura muestra a manera de ilustración el escenario en donde se desenvuelve
un peritaje informático, así como los elementos y/o eventos que se ven involucrados para tal
efecto:
Figura 1.3.- Representación Esquemática de la Intervención Pericial en Informática Forense
[Fuente propia].
Variedad en
Metodologias
Situación
Actual
Legislación
Aplicación de Metodología en
Informática Forense, Software y
Herramientas Adecuadas
Situación Futura
Malas
Prácticas
Forenses.
Certeza, Confiabilidad
y Precisión en el
Análisis realizado
sobre el equipo de
cómputo motivo de
estudio.
Metodología en
Informática Forense
aplicada por un Perito en
Informática
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
12 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Bajo el enfoque de la figura 1.2, se observa que la aplicación de la Informática forense se
encuentra apoyada por nuestra legislación; siendo que la sociedad en general rara vez
espera los cambios legislativos para modificar sus conductas, más bien ésta y su realidad
concreta suelen estar varios pasos delante de legisladores y juristas. Si a esta situación
habitual sumamos el hecho de que la informática interactúa con la sociedad a velocidades
exponenciales en lugar que las lineales de las ciencias jurídicas, nos encontraremos ante la
cruda verdad de que, de no hacerse algo de manera inmediata, nos hallaremos cada día
más lejos de la verdad de las conductas que pudieran resultar incriminables en defensa de
los valores reconocidos como protegibles por la sociedad que ampara al orden jurídico o
que éste debe intentar salvaguardar [Cámpoli, 2007].
Sabemos por experiencia, que los medios informáticos alteran al menos en parte, los
esquemas tradicionales de interacción social y ofrecen nuevas formas de relación
interpersonal. De aquí se desprende, como consecuencia necesaria e indispensable, el
hecho de que además sirven como medios de comisión de delitos; es aquí, en donde
resalta la importancia de aplicar una metodología que proporcione a la autoridad una
valoración técnica que sea totalmente confiable.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
13 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
1.2.2. Descripción del procedimiento básico en informática forense.
Las etapas que se describen a detalle a continuación tienen como base las metodologías de
informática forense y procedimientos para la obtención de evidencia digital, las cuales están
consideradas dentro de algunas guías y metodologías en informática forense y serán
descritas con mayor o menor detalle dependiendo de la relevancia que tenga dentro del
presente proyecto de Tesis.
Un análisis en informática forense para que pueda ser válido ante una instancia judicial del
orden civil o penal, debe cumplir por lo menos con dos características esenciales, el empleo
del método científico y el mantener la integridad de la evidencia desde el inicio hasta el final
del proceso de análisis forense informático.
A continuación, se describen las etapas de la metodología básica aplicada al peritaje
informático:
Figura 1.4 Representación Esquemática del Proceso de Investigación [Fuente propia].
Planteamiento del Problema
Identificación
Preservación
Análisis
Adquisición
Presentación Búsquedas
Filtros
Línea del Tiempo
Visualización de
Archivos
Se identifica al elemento cuestionado, equipo
comprometido o Intrusión realizada.
Descripción a detalle de cada elemento de
estudio.
Imagen bit a bit de la información,
motivo de estudio (copia idéntica).
Esta etapa busca mantener la
integridad de la evidencia, la cual
este caso particular es muy frágil.
Interpretación de datos
obtenidos.
Se presenta la evidencia final obtenida,
un registro detallado y en palabras
simples.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
14 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
En la figura anterior, el ―Proceso de Investigación‖, es representado como una escalera en
donde los pasos o etapas son secuenciales y ascendentes estructurada de tal forma que
conforma, una exhaustiva y rigurosa investigación, garantizando un adecuado tratamiento
de las pruebas, reduciendo de esta forma la probabilidad de errores creados por
improvisaciones, careciendo de metodología alguna y otros peligros potenciales. Este
proceso es aplicado en las investigaciones de carácter penal para una intervención pericial.
1. Planteamiento del Problema.- El planteamiento del problema de la investigación es
la delimitación clara y precisa del objeto de la investigación que se realiza por medio de
preguntas, lecturas (para el caso de archivos ―logs‖ o bitácoras), encuestas pilotos,
entrevistas, etc. En esta etapa cabe tener presente el siguiente pensamiento ―Es más
importante para la ciencia, saber formular problemas, que encontrar soluciones‖ (Albert
Einstein).
La función del planteamiento del problema consiste en revelarle al perito investigador si su
proyecto de investigación es viable, dentro de sus tiempos (considerando y matizando que
cuando existen personas detenidas por algún acto ilícito, la premura es un factor
determinante) y recursos disponibles.
2.- Identificación.- Tiene como fin la localización de las fuentes de información de una
manera lógica, clara exacta e inteligente, cuestionándose que información se requiere para
poder realizar la investigación, por ejemplo estas son algunas de las preguntas básicas que
tienen que hacerse:
¿Qué marca, modelo y características del hardware tiene el equipo o dispositivos
motivo de estudio?
¿El equipo se encuentra encendido o apagado?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
15 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Si el equipo se encuentra encendido, identificar el Sistema Operativo, características
técnicas (versión del Sistema Operativo, cantidad de memoria RAM, tipo de
microprocesador), dirección IP, MAC address (Media Access Control o control de
acceso al medio).
Ubicar las evidencias e indicios en el sistema - equipo comprometido o vulnerado.
Resguardante del equipo.
3.- Adquisición de la imagen del disco (en general cualquier unidad de almacenamiento)
o recopilación de evidencias. Consiste en llevar a cabo el plan diseñado, de acuerdo a la
información obtenida de la fase de identificación y tiene como objetivo obtener la imagen
(copia bit a bit) de la evidencia digital e información que será necesaria para la fase de
análisis forense, en esta etapa es de suma importancia no alterar la evidencia digital, es
decir, evitar en todo momento que sea modificada la evidencia por la manipulación del
software o hardware, por consiguiente es necesario tomar las medidas de seguridad
necesarias para mantener aislado en lo posible el equipo a inspeccionar.
Dentro de la adquisición de la evidencia digital, el procedimiento será centralizado
principalmente en mantener la técnica apropiada para la informática forense, lo anterior para
tener la certeza de que la evidencia adquirida será aceptada como prueba en un
procedimiento legal, teniendo la posibilidad de ser duplicada y si es necesario que esta
pueda ser analizada por terceras personas.
A continuación se listan algunos aspectos que son indispensables en la fase de adquisición
de la evidencia:
Evaluar y documentar el lugar del incidente (planimetría, fotografía, croquis de
conexiones, etc.).
Manejo adecuado de la documentación y evaluación.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
16 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Etiquetar y embalar adecuadamente la evidencia para que no sean alterados.
¿Metodología empleada para documentar el material motivo de estudio?
4.- Preservación de la evidencia. Busca mantener la integridad de la evidencia desde su
obtención hasta la fase de presentación. Es difícil demostrar que la evidencia que dejo la
persona que cometió la falta o el delito no fue alterada por las personas que se encontraban
en el lugar de los hechos y que el perito en informática forense que recopilo u obtuvo la
información lo hizo de una manera adecuada y sin alteración alguna.
En la preservación se integra la cadena de custodia que es un elemento clave durante todo
el proceso de la informática forense, que ayuda de manera importante a dar valides y
sustento al hecho ocurrido ante cualquier autoridad.
Con la cadena de custodia se ubica fielmente al material cuestionado o bajo análisis, bajo
resguardo de quienes se encuentra, donde se encuentra almacenada, quien o quienes la
han manipulado, que proceso ha seguido durante su aseguramiento o decomiso, etc.
Esto último es útil, para el perito en informática forense porque se les hace difícil a los
jueces discutir con éxito la integridad de la evidencia digital presentada.
Para demostrar que la evidencia digital no fue alterada desde la fase de adquisición, se le
extrae una huella digital o firma digital (―hash‖, el cual representa de manera unívoca a un
archivo) de la unidad de almacenamiento correspondiente al equipo de cómputo a ser
analizado, esta huella digital es un valor numérico calculado que resume una cantidad de
información, es decir, que un archivo de determinado tamaño al aplicarle esta función, dará
como resultado un valor numérico único, si el archivo llega a ser modificado en cualquiera
de sus partes y se le aplica nuevamente esta función ―hash‖, el resultado será diferente del
original.
Algunos algoritmos criptográficos usados con este propósito son: MD5 o SHA-1.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
17 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Otro elemento de ayuda para mantener la integridad de la evidencia digital es el uso de
equipos y herramientas que no permitan la escritura en la evidencia o copia digital obtenida
(bloqueadores de escritura), así como el trabajar única y exclusivamente sobre la imagen de
la evidencia digital (copia idéntica bit a bit del original, por ejemplo la imagen de un disco
duro o de una memoria USB).
5.- Análisis de la evidencia.- Se refiere a la interpretación de los datos obtenidos y a la
colocación de estos en un formato lógico y útil, proporciona la evidencia que se busca y está
en función de las habilidades del perito en informática forense.
La fase de análisis debe documentarse en todas sus partes y seguir un método científico
que permita independientemente de la metodología utilizada por el perito en informática
forense, repetir el suceso cuantas veces sea necesario para demostrar que el resultado
obtenido del análisis es el correcto. Es decir:
Se debe extraer la información, procesarla e interpretarla.
Extraerla producirá archivos binarios.
Procesarla generará información entendible.
Interpretarla es la parte más importante del proceso.
El proceso debe poder rehacerse y producir el mismo resultado.
6.- Presentación y documentación de los resultados. Está enfocada a la creación final
de un documento o un reporte para presentar la evidencia final obtenida, debe contener las
conclusiones a detalle de la investigación y análisis.
La información del reporte debe ser completa, clara, acertada, exhaustiva y escrita a
manera de que sea entendible para cualquier lector, conteniendo anexos a manera de
ilustrar a la autoridad competente. Lo anterior se resume como:
En esta etapa se presentan los resultados obtenidos a la empresa, abogados,
autoridad competente, etc.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
18 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
La aceptación de la misma dependerá de:
Forma de presentación.
Antecedentes y calificación de la persona que realizó el análisis.
La credibilidad del proceso que fue utilizado para la preservación y análisis de la
evidencia.
Con el propósito de obtener la mayor cantidad de información necesaria para realizar el
proceso forense y dar pie a la integración de una metodología se realizó un análisis del
modelo de informática forense, el cual se muestra en las figuras 1.5 y 1.6.
Figura 1.5 Modelo básico de la informática forense [Fuente propia].
Figura 1.6 Modelo de informática forense complementario [Fuente propia].
Etapa de
Identificación.Etapa de Obtención. Etapa de Análisis.
Etapa de
Presentación.
Etapa de
Identificación.Etapa de Obtención. Etapa de Análisis.
Etapa de
Presentación.
Etapa de
Documentación.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
19 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Considerando lo anterior, ahora se presentará un panorama general de los subsistemas a
obtener, con el fin de que el lector pueda identificar los elementos esenciales que
componen un Sistema de Análisis Forense Informático en Redes y Equipos de Cómputo
Personal.
Figura 1.7 Productos a obtener para el Análisis Forense Informático en Sistemas de Redes y Equipo de Cómputo [Fuente propia].
De la figura anterior, se observa que el primer elemento a obtener, es el contar con una
―Solicitud Clara y Objetiva‖, ya que de aquí derivará la aplicación de la metodología
propuesta, una vez obtenida esta solicitud se tendrá una ―Situación definida e identificada‖,
de igual manera se obtendrá una adecuada ―Cadena de Custodia‖ para que los resultados
que arroje la metodología sean validos, así mismo se tendrá el ―Material Objeto de Estudio
Asegurado‖ y remitido al perito en informática para su análisis; posteriormente, y en el
mismo orden de ideas se obtendrá la imagen de la evidencia (copia bit a bit o Idéntica), con
el fin de trabajar sobre ella, finalmente se tendrá que obtener el correspondiente Peritaje o
Dictamen Informático.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
20 Ing. Arturo Palacios Ugalde.
Capitulo 1: Marco Conceptual y Contextual.
Resumen del Capítulo:
En este capítulo, se presentó el marco conceptual y contextual que se manejará en el
Proyecto de Tesis; además, de describir los conceptos principalmente usados en el
desarrollo del trabajo de Tesis, marcando la diferencia entre Perito, Peritaje e Informática
Forense, el primer concepto hace referencia a un experto en una ciencia o arte cuya
actividad es vital en la resolución de conflictos judiciales, el segundo concepto nos habla del
estudio en sí, que realiza un perito bajo un planteamiento especifico y el tercer concepto nos
refiere que se trata de una disciplina de las Ciencias forenses, que considerando las tareas
propias asociadas con la evidencia, procura descubrir e interpretar la información en los
medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el
caso bajo estudio, como la disciplina científica y especializada que entendiendo los
elementos propios de las tecnologías de los equipos de computación ofrece un análisis de
la información residente en dichos equipos. Por último, se presenta un modelo del Sistema
de ―Análisis Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal‖,
que se desea obtener.
Ahora en el siguiente capítulo, se entrará a la situación actual al inicio del trabajo de tesis,
para identificar que metodologías tratan de obtener o llegar al Sistema, últimamente
referido, para establecer sus ventajas y desventajas, para de esta manera hacer un
diagnóstico de las mismas y entonces definir la posible necesidad de proponer una
metodología, así como la justificación de la misma.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
21 Ing. Arturo Palacios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
Capítulo 2.-
Identificación y Análisis de la
Situación Actual.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
22 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
Capítulo 2. Identificación y Análisis de la Situación Actual.
En el capítulo anterior, se presentó el marco conceptual y contextual que se manejará en el
Proyecto de Tesis, también se dió una descripción del procedimiento básico en informática
forense, por último se mostro, el modelo del Sistema de Análisis Forense Informático, en
Sistemas de Redes y Equipos de Cómputo Personal que se desea obtener, ahora se
presentará un riguroso análisis de la situación actual, considerando las metodologías y
estándares actuales.
2.1 Antecedentes.
En nuestro país el análisis forense informático presenta todavía un serio rezago en cuanto
al desarrollo y aplicación de metodologías al m<omento de enfrentarse con una
investigación de carácter forense.
Para solventar la situación anterior, se han desarrollado trabajos internacionales que han
destacado la importancia de contar con una metodología formal y estandarizada al
momento de manejar la evidencia durante el proceso de investigación, tal como el
desarrollado por Jim McMillan en donde cita ―Obedecer una metodología estándar es crucial
para realizar un análisis exitoso y efectivo en la informática forense. Tal como los
programadores profesionales utilizan una metodología minuciosa de programación, los
profesionales forenses también deberían utilizar una metodología de investigación
detallada‖ y además agrega que ―una metodología estándar proporcionará protección y
ciertos pasos comunes que deberán ser realizados durante el proceso de investigación‖,
[http://www.moreilly.com/CISSP/DomA-3-Importance%20of%20a%20Standard%20Methodol
ogy%20in%20Computer%20Forensics.pdf].
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
23 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
En el mismo sentido, el Grupo de Trabajo Científico en la Evidencia Digital (SWGDE, por
sus siglas en inglés) [http://www.swgde.org/], resalta la necesidad de contar con procesos
estandarizados, para lo cual presenta un escenario en donde la aplicación de la ley se
enfrenta a un mundo global de transacciones económicas compuesto de dos características
principales: a) muchas de ellas son de carácter internacional y b) los criminales al momento
de actuar pudieran involucrar a naciones diferentes. Aclara que cada nación tiene su propio
sistema legal y que no es razonable esperar que cada una de las naciones conozca de
manera precisa las reglas y leyes que rigen a otros países. Por lo tanto, indica que es
necesario encontrar un mecanismo que permita el intercambio seguro y estandarizado de
evidencia.
Dado que en México no se tienen claros avances de una metodología en la Informática
Forense, de acuerdo a la experiencia personal del suscrito, se concluyó realizar una
investigación a través de Internet orientada a la exploración de documentos relacionados
con el manejo de la evidencia digital, lo anterior ya que en éste, es donde encuentra la
mayor cantidad de información sobre este tema, así como el más actualizado.
La investigación produjo resultados interesantes, pues mediante ella fue posible reconocer a
organizaciones trabajando en conjunto con diversos investigadores. Estos esfuerzos se han
orientado al desarrollo de trabajos que permitan establecer un marco de referencia
coherente.
En el ámbito internacional se identifican algunos organismos cuya cualidad principal, es que
su fin es la investigación sobre el manejo de la evidencia digital. Algunas de estas
organizaciones son: Centro Nacional de Delitos de Cuello Blanco (―National White Collar
Crime Center‖,NW3C, por sus siglas en inglés), [http://www.nw3c.org/], Grupo de Trabajo
Científico en la Evidencia Digital (―Scientific Working Group on Digital Evidence”, SWGDE,
por sus siglas en inglés), [http://www.swgde.org/], Centro Australiano de Alta Tecnología del
Delito (―Australian High Tech Crime Centre‖), [http://www.afp.gov.au/policing/e-
crime.aspx],Centro Nacional de Ciencias Forenses (―National Center for Forensic
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
24 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
Science‖,NCSF, por sus siglas en inglés), Sociedad Internacional de Examinadores
Forenses (―International Society of Forensic Computer Examiners‖,ISFCE, por sus siglas en
inglés), [http://www.isfce.com/], Organización Internacional de la evidencia informática,
(―International Organization on Computer Evidence‖,IOCE, por sus siglas en inglés),
[http://www.ioce.org/core.php?ID=1], UNAM-CERT(Equipo de Respuesta a Incidentes de
Seguridad en Cómputo), etc.
Sin embargo, destacan también organismos como la Asociación de Jefes de Policía de
Inglaterra, Gales e Irlanda del Norte (―Association of Chief Police Officers Of England, Wales
and Northern Ireland‖, ACPO, por sus siglas en inglés), [http://www.acpo.police.uk/], Taller
de Investigación Forense Digital (―Digital Forensics Research Workshop‖, DFRW, por sus
siglas en inglés), [http://www.dfrws.org/], Instituto Nacional de Justicia, EE.UU.
Departamento de Justicia (―National Institute of Justice, U.S. Department of Justice‖, NIJ,
por sus siglas en inglés) y el Instituto Nacional de Estándares y Tecnología (―National
Institute of Standards and Technology‖, NIST, por sus siglas en inglés),
[http://www.nist.gov/index.html], por su trayectoria en la última década, ya sea por haber
establecido las bases para el manejo de la evidencia, por abrirse a la comunidad científica,
por pertenecer a un organismo de carácter oficial y sobre todo, por el trabajo continuo
realizado sobre el manejo de la evidencia digital tratando de mantenerse a la vanguardia al
generar documentos actualizados y relacionados con la informática forense.
Guías Mejores Prácticas: Existen gran cantidad de guías y buenas prácticas que nos
muestran como llevar a cabo la gestión de la evidencia digital.
Las guías consideradas para la elaboración del presente trabajo, tienen como objetivo
identificar evidencia digital con el fin de que pueda ser usada dentro de una investigación.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
25 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
Estas guías se basan en el método científico para concluir o deducir algo acerca de la
información. Presentan una serie de etapas para recuperar la mayor cantidad de fuentes
digitales con el fin de asistir en la reconstrucción posterior de eventos.
2.2 Análisis de la situación actual al inicio del Proyecto de Tesis.
Ahora, en el siguiente mapa mental [Buzan, 1996], se pretende identificar algunas de
directrices, guías, y estándares existentes relacionados con la Informática Forense,
obteniendo la orientación de estos, para así identificar bajo qué área de oportunidad o
contexto se estará trabajando durante el proyecto de Tesis:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
26 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
Figura 2.1 Estándares y directrices, relacionados con la Informática Forense y la Seguridad de la Información [Fuente propia].
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
27 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
En general, él análisis se hará para identificar las metodologías existentes relacionadas con
las tecnologías de la Información, en particular se verá la forma de análisis con respecto a la
Informática Forense, para así obtener sus ventajas y desventajas.
Para ésto; se basará en:
1.- Norma ISO-27001:2005, (norma sobre Seguridad de la Información).
2.- Estándar, ―Secure Hash Standard (SHS) Federal Information Processing Standards
Publications (FIPS PUB 180-3)‖, emitido por el Instituto Nacional de Estándares y
Tecnología (NIST), USA, [http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf].
3.- El ―RFC 3227: Guidelines for Evidence Collection and Archiving‖ (Guía Para Recolectar y
Archivar Evidencia), escrito en febrero de 2002 por Dominique Brezinski y Tom Killalea,
Ingenieros del Network Working Group, USA, [http://www.ietf.org/rfc/rfc3227.txt].
4.- ―Handbook Guidelines for the management of IT evidence HB171:2003‖. (Guía Para El
Manejo De Evidencia En IT), Australia, [http://www.saiglobal.com/PDFTemp/Previews/OSH/
as/misc/handbook/HB171.PDF].
5.- ―Best Practices For Seizing Electronic Evidence v.3 A Pocket Guide for First Responders.
- U.S. Department of Homeland Security United States Secret Service‖. (Mejores Prácticas
para la adquisición de Pruebas electrónicas v. 3 Una guía de Bolsillo para respuesta a un
incidente - Departamento de Seguridad de Homeland Estados Unidos Servicio Secreto),
[http://www.ncjrs.gov/App/publications/Abstract.aspx?id=239359].
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
28 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales.
Estándar y/o Metodología Ventajas Desventajas
ISO-27001:2005. Es una norma estándar, la cual
describe las buenas prácticas de
la Seguridad de la Información.
Se consideran como controles o
normas, pero no es en sí un
modelo o una metodología.
Es el único estándar aceptado
internacionalmente para la
administración de la seguridad de
la información y aplica a todo tipo
de organizaciones, tanto por su
tamaño como por su actividad.
No indica que hacer en caso de
que el sistema se vea
comprometido.
Cuenta con una guía de
implantación.
Esta guía es compleja y genérica,
no está pensada en cómo
reaccionar ante una eventual
intrusión al sistema.
Manifiesta las necesidades de la
Evaluación del Riesgo.
No indica en forma clara y
explícita el cómo obtener tales
necesidades, es decir no indica
con que herramientas o
mecanismos será detectado
determinado riesgo (scanner de
puertos, auditorias etcétera.).
Es un punto de partida. Marca pautas pero no indica
cómo aplicarlas ante una
vulnerabilidad del sistema cuando
se ha sufrido un ataque por parte
de un Hacker.
Estándar, ―Secure Hash Standard
(SHS) Federal Information
Processing Standards
Publications (FIPS PUB 180-3)‖.
Es un estándar en cuanto al
procedimiento matemático de
obtención del valor Hash por
medio de los algoritmos: SHA-1,
SHA-224, SHA-256, SHA-384, y
SHA-512.
No es en sí un modelo o una
metodología, sino que más bien
pudiese formar parte de esta.
Considera a los algoritmos de
reducción criptográfica SHA-1,
SHA-224, SHA-256, SHA-384, y
SHA-512, como base de este
Standard.
No se hace referencia al algoritmo
de reducción criptográfica MD5
(abreviatura de Message-Digest
Algorithm 5, Algoritmo de
Resumen del Mensaje 5) el cual
es un algoritmo de reducción
criptográfica de 128 bits y que
todavía es ampliamente usado
por muchos lenguajes.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
29 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales
(continuación). Estándar y/o Metodología Ventajas Desventajas
Presenta de forma escrupulosa el desarrollo matemático así como la demostración para la obtención de los valores del HASH a partir de determinadas condiciones.
Una de sus principales falencias respecto al tema abordado en este trabajo de investigación es que no es tratado el HASH como una evidencia digital, mucho menos refiere en qué casos es importante obtenerlo ni en qué etapa de la investigación calcularlo.
RFC 3227: Guidelines for Evidence Collection and Archiving (Guía Para Recolectar y Archivar Evidencia).
Determina una serie de buenas prácticas, para la recogida, almacenamiento y análisis de las evidencias.
Se encuentra sometida a la supeditación de las normativas vigentes en cada País es algo muy claro, máxime en el caso de las evidencias digitales, debido a la facilidad de su alteración y manipulación. Por ejemplo la RFC establece la necesidad de tomar evidencias en función de la volatilidad de las mismas, no indicando cómo y con que realizar el análisis.
Hace hincapié en una correcta recopilación de la evidencia digital.
Ignora las circunstancias que varían en función de muchas características tales como: - Los sistemas operativos involucrados. - Donde se encuentra la información. - Las consecuencias legales. - Que herramientas utilizamos para la toma de información.
Especifica el orden de la volatilidad de los datos en un sistema basado en Windows. Esta lista se utiliza para recopilar datos y evidencias volátiles en un orden determinado para evitar cualquier error en la recolección de evidencias electrónicas (desde lo más volátil a lo menos volátil).
No se detalla en cómo ni con que realizar el análisis de los elementos volátiles tales como: - Registros, caché. - contenidos de la Memoria. - Estado de las conexiones de red. - Estado de los procesos en ejecución. - Sistemas de archivos temporales. - Contenido del Disco duro. - Configuración física, topología de la red.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
30 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales
(continuación).
Estándar y/o Metodología Ventajas Desventajas
Sugiere el minimizar al máximo
los cambios a los datos
recolectados tales como tiempos
de acceso.
No hace referencia al uso de
Hardware para evitar la escritura
sobre cualquier medio de
almacenamiento.
Menciona que los métodos
utilizados para recopilar las
pruebas deben ser transparentes
y reproducibles.
No se detalla en los métodos a
aplicar, no ofreciendo más
detalles, por ejemplo para la
recolección de archivos con
determinado contenido y/o
formato.
Sugiere la obtención y generación
de una prueba criptográfica de la
información.
No obliga a la generación de un
valor Hash, para asegurar la
Cadena de Custodia.
Handbook Guidelines for the management of IT evidence HB171:2003, (Guía Para El Manejo De Evidencia En IT), Australia.
El documento nos provee de una
guía para el manejo de registros
electrónicos para que estos
puedan ser usados como
evidencia judicial o en un
procedimiento administrativo,
planteado como defensor o
testigo.
Se considera como una serie de
recomendaciones o sugerencias a
seguir pero en si no es un modelo
o una metodología.
De acuerdo con lo previsto en
este documento se detalla el ciclo
de administración de la evidencia
digital y sus respectivos
elementos.
Resulta impráctico en la vida real.
Hace hincapié en fortalecer la
admisibilidad y relevancia de la
evidencia producida por las
tecnologías de la información.
No hace referencia a técnicas ni
precauciones a tomar al arribar al
lugar de los hechos, para
asegurar dicha admisibilidad.
Enuncia algunas
recomendaciones sobre el
escrutinio de registros (archivos).
Margina de manera absoluta que
éste, debe ser en estricto apego a
una solicitud expresa por una
autoridad Judicial competente
para no incurrir en algún delito
(Intervención de comunicaciones
privadas en el caso de e-mail).
Refiere el mantener el control de
la integridad de los registros
electrónicos, que permita
identificar cambios que se hayan
presentado en ellos.
No describe ningún mecanismo
que ayude a preservar la
evidencia digital intacta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
31 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
Tabla 2.1: Comparativo de ventajas y desventajas de Metodologías y Estándares actuales
(continuación).
Estándar y/o Metodología Ventajas Desventajas
En todo su desarrollo realza la
importancia del buen manejo
de la evidencia digital por su
cualidad de frágil y volátil.
No toma en cuenta la
relevancia que tiene la
evidencia no digital
(contraseñas escritas en
papeles, impresiones,
topología de red, posición del
Mouse que nos indica si el
usuario es zurdo o diestro y/o
huellas dactilares en teclados),
así como la red de vínculos
con respecto la investigación.
No hace referencia al manejo
de este tipo de evidencia, la no
digital y que se encuentra
íntimamente ligada a la digital.
―Best Practices For Seizing
Electronic Evidence v.3 A
Pocket Guide for First
Responders. - U.S.
Department of Homeland
Security United States Secret
Service‖. (Mejores Prácticas
para la adquisición de Pruebas
electrónicas v. 3 Una guía de
Bolsillo para respuesta a un
incidente - Departamento de
Seguridad de Homeland
Estados Unidos Servicio
Secreto).
Presenta un compendio de los
problemas mas comunes
encontrados en el lugar de los
hechos, donde se hallan
cometido delitos informáticos
(electrónicos).
Esta guía presenta una serie
de reglas, consejos y medidas
preventivas a efectuar, cuando
se tiene la presunción de un
delito informático (electrónico);
pero carece de un método
sistematizado para aplicar
tales medidas y no provee al
investigador de una
metodología propiamente.
Resulta práctica en cuanto a
su volumen de información.
Una de sus falencias más
perceptibles es que resulta
tácita, ya que no abunda en la
información proporcionada,
carece de gráficos, ejemplos y
diagramas.
Marca consideraciones legales
muy específicas.
Estas consideraciones legales
son proporcionadas por una
guía extranjera.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
32 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
En la Tabla 2.1, se puede apreciar que no se cuenta actualmente con guías y Metodologías
que estén alineadas al contexto Mexicano debido a que:
No indican en forma clara y explícita la obtención de la evidencia digital.
Describen sus etapas en forma teórica (no entrando a detalle), no presentan
ejemplos.
Se asume que se cuentan con los recursos tecnológicos para cada caso a investigar,
no presentando métodos alternativos más económicos con los cuales se puedan
obtener los mismos resultados.
Son de origen extranjero y algunas marcan consideraciones legales muy específicas,
recordando que nuestro país posee todavía en la práctica un Sistema Penal que
diverge al de otros países tal es el caso del Europeo, el Americano y el de algunos
países Sudamericanos como Chile por ejemplo, en el cual su sistema penal está
basado en los Juicios Orales.
Ante el escenario comparativo anterior, a continuación se obtiene la justificación del
proyecto de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
33 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
2.3 Justificación del proyecto de Tesis.
Con base en el análisis, la evaluación y el diagnóstico de los estándares y las metodologías
anteriores, se observa que no cumplen con las necesidades de los procesos de análisis
forense informático para el entorno de la sociedad mexicana. Por lo tanto, es necesario
establecer un nuevo conjunto de: estrategias, metodologías, acciones y herramientas para
descubrir en los medios informáticos, la evidencia digital que sustente y verifique las
afirmaciones que sobre los hechos delictivos se han materializado en el caso bajo estudio y
que sean ampliamente aplicables en nuestro país.
De donde en esta tesis se propone una ―Metodología para el Análisis Forense Informático
en Sistemas de Redes y Equipos de Cómputo Personal”, para así afrontar de forma más
adecuada, vanguardista y progresiva, el contexto de los delitos informáticos en México. Para
llegar a lo anterior, se proponen los siguientes:
2.4 Definición de Objetivos del Proyecto de Tesis. Objetivo General:
Proponer una Metodología con un enfoque sistémico para el análisis forense informático en
sistemas de redes y equipos de cómputo personal.
Objetivos Particulares:
Conocer el medio ambiente en cuanto a los delitos informáticos, para conocer el
mecanismo de cómo se debe responder ante un eventual ataque informático.
Analizar las Metodologías y estándares en cuanto a evidencia digital se refiere para
efectuar una evaluación y diagnóstico de la situación actual.
Aplicar la metodología propuesta en un caso de estudio real para iniciar la evaluación
de su implementación.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
34 Ing. Arturo Placios Ugalde.
Capítulo 2: Identificar y analizar la situación actual.
Resumen del Capítulo:
En este Capítulo, se analizó la situación actual al inicio del proyecto de Tesis, para lo cual
se realizó un comparativo entre las Metodologías para la adquisición y estudio de evidencia
digital, para de esta manera efectuar su correspondiente evaluación y diagnóstico.
Ahora en el siguiente capítulo, se verá en forma detallada en qué consiste la Metodología
Propuesta para efectuar un adecuado análisis forense en informática que nos permita
describir y presentar a la autoridad competente, "cualquier registro generado o almacenado
en un sistema informático que puede ser utilizado como evidencia en un proceso legal".
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
35 Ing. Arturo Palacios Ugalde.
Capítulo 3: Desarrollo de la Metodología Propuesta.
Capítulo 3.-
Desarrollo de la Metodología
Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
36 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Capítulo 3.- Desarrollo de la Metodología Propuesta.
En el presente capítulo, se exponen las fases y métodos que la integran, se describe el
proceso forense informático, mostrando un análisis del modelo de informática forense; dada
esta base teórica, es posible integrar en el proyecto aquellos requisitos más específicos con
los que la metodología propuesta deba cumplir.
En el presente capítulo, se genera la estrategia de creación de la metodología. Esta
estrategia considera: la aplicación del método científico, utilización de metodologías (en el
área de la informática forense) para el manejo de la evidencia digital reconocidas a nivel
internacional.
3.1 Introducción a la Metodología Propuesta.
Con el rápido desarrollo de Internet, todo tipo de usuario es cada vez más dependiente del
uso de redes públicas y privadas, volviendo crítica la protección de la estabilidad de la
infraestructura nacional y mundial que componen la nueva e-economía emergente.
Un Dictamen Pericial es uno de los medios probatorios con más auge en los procesos
civiles, mercantiles y penales, debido al incremento del desarrollo de la ciencia y tecnología
en diversos campos del saber, lo que permite aplicar nuevos métodos de estudio
(metodologías) en la búsqueda de la verdad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
37 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
La incorporación de las tecnologías de información a la vida personal cotidiana, procesos
administrativos, de gestión y de telecomunicaciones ha marcado la necesidad de incluir a
los medios informáticos como elementos de carácter probatorio, toda vez que los mismos
pueden constituir fácilmente pruebas de manifestaciones de voluntad, consentimiento u
otros hechos de relevancia jurídica.
Uno de los grandes problemas con los que nos encontramos al tratar de incorporar estos
hechos al proceso, es el pensar que las pruebas informáticas son fácilmente creadas,
modificadas o destruidas y que por ello difícilmente podrían ser utilizadas en un proceso
judicial. La realidad es que dentro de la Criminalística o Investigación Científica Judicial, se
ha venido desarrollando una nueva disciplina denominada Informática Forense, la cual
tiene como objeto el estudio de la Evidencia Digital.
El término evidencia ha sido en principio adminiculado al de física dando como resultado el
concepto de ―Evidencia Física‖, lo cual parece ser contrastante con el término ―Evidencia
Digital‖, por cuanto, todo aquello relacionado con el término ―Digital‖ se ha asimilado al
término ―Virtual‖, es decir, como no real o casi real.
Es importante aclarar que los Datos o Evidencia Digital, casi siempre estarán almacenados
en un soporte real, como lo son los medios de almacenamiento magnéticos o magneto
ópticos u otros que se encuentran en fase de desarrollo, siendo todos estos de tipo físicos
por lo que este tipo de evidencia es igualmente física.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
38 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Es innegable y evidente, que la aparición de la informática marcó el comienzo de la
utilización de nuevos Modus Operandi para comisión de delitos convencionales. De igual
manera es innegable que los ataques contra la infraestructura computacional están
aumentando de frecuencia, en sofisticación y en escala. Esta amenaza cada vez mayor
requiere un acercamiento y colaboración con varias organizaciones públicas, privadas y
académicas, que tomen el papel de liderazgo y coordinación.
Derivado de estos hechos es que se ha generado la aparición de novedosas legislaciones
en los países anglosajones y de habla hispana, tipificando como delitos una gran cantidad
de hechos en los cuales intervienen directa o indirectamente los ordenadores o
computadoras.
Son diversas las variantes de los delitos convencionales que por analogía en la forma de su
comisión se han establecido doctrinariamente como delitos de tipo electrónico, como lo son
por ejemplo, el delito de intersección y espionaje de comunicaciones electrónicas,
asimilables a los delitos de intervenciones telefónicas y grabaciones ilícitas.
La analogía entre el correo convencional y el electrónico, ha dado lugar al establecimiento
de delitos de violación de correspondencia electrónica, así como el acceso indebido a
información contenida en sistemas informáticos.
La falsificación de documentos ya no es exclusiva de las falsificaciones materiales en
soportes de papel, sino que ya existen como delitos: la falsificación de registros y
documentos de tipo electrónico (como la falsificación de documentos públicos y privados).
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
39 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
La inclusión de los sistemas de comunicación electrónica, como el correo y transacciones a
través de Internet en el mundo del comercio han terminado de impulsar la necesidad
probatoria sobre los hechos que ocurren en este mundo informático.
Ahora bien, para decidir llevar este tipo de hechos por vía de pruebas al proceso judicial, es
necesario contar con una metodología clara, confiable y veraz, la cual se describe en el
presente proyecto de Tesis resultado de un exhaustivo trabajo de investigación.
Dicha metodología toma en cuenta algunas de las buenas prácticas para la realización de
un adecuado peritaje informático, proponiéndose la siguiente ―Metodología para el Análisis
Forense Informático en Sistemas de Redes y Equipos de Cómputo Personal”, que tendría
un foco operacional en cuanto a las cuestiones fundamentales a las que se enfrenta un
perito en informática forense.
Teniendo claro que en una metodología se deben detallar, los procedimientos, técnicas,
actividades y demás estrategias metodológicas requeridas para la investigación. En esta
deberá indicarse el proceso a seguir en la recolección de la información, así como en la
organización, sistematización y análisis de los datos.
Entonces, la metodología propuesta en el proyecto de tesis será la base para planificar
todas las actividades que demande cualquier investigación forense informática y para
determinar los recursos humanos y financieros requeridos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
40 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Si bien no es algo definitivo e infalible (dependiendo del caso se deberá adecuar el método
a emplear), si constituye un conjunto de normas elementales que ahorran esfuerzo y tiempo.
La misma, será una especie de brújula en la que no se produce automáticamente el saber,
pero que evitará que nos perdamos en el caos aparente del universo de la información que
se maneja hoy en día en los medios informáticos, así como no sucumbir en el embrujo de
nuestros prejuicios predilectos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
41 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.2 Presentación esquemática de la Metodología Propuesta.
Considerando lo anterior, la metodología propuesta (Figura 3.1), tiene como base, tener un
Enfoque Sistémico realizando primero el reconocimiento de la razón que tendría una
intervención pericial; es decir Fase I: Planteamiento del Problema; lo anterior, servirá
como entrada o acceso para poder hacer una Fase II: Identificación a detalle, por medio
de la evaluación de los recursos, alcance y objetivos necesarios para realizar la
investigación y así documentarse de todas las acciones y antecedentes que preceden la
investigación.
A partir de ahí, se estará en posibilidad de tener pleno conocimiento del tipo de evidencia
que se busca preservándola; para posteriormente proceder a realizar la Fase III:
Adquisición de la evidencia, para la obtención de la misma sin alterarla o dañarla; así
mismo, el perito en informática forense deberá autenticar que la información de la evidencia
obtenida sea igual a la original, De esta manera se podrá realizar la Fase IV: Análisis de
Datos e identificar como interactúa la información adquirida del material motivo de estudio o
equipo cuestionado.
Para que, finalmente, se esté en condiciones de poder obtener la Fase V: Presentación de
Resultados Obtenidos.
Entonces, ahora se presenta en un esquema general la Metodología propuesta:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
42 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Figura 3.1 Representación Esquemática de la Metodología Propuesta
[Fuente Propia].
Ahora se muestra la misma metodología en una estructura tipo secuencial:
Figura 3.2 Presentación Secuencial de la Metodología Propuesta
[Fuente propia].
FASE I
Planteamiento
del problema.
FASE II Identificación detallada del
material objeto de estudio.
FASE III
Adquisición de
evidencia.
FASE IV
Análisis de
datos.
FASE V
Presentación
de resultados
obtenidos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
43 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Entonces la figura 3.2, muestra la secuencia de la metodología propuesta en el presente
trabajo, cuyo orden de precedencia debe ser rigurosamente respetado, en cuanto a las
fases.
De esta manera el proceso de investigación logra posicionalidad, consistencia, precisión y
objetividad en la búsqueda de la potencial Evidencia Digital.
A continuación, se presenta una descripción detallada de las fases de la Metodología
Propuesta:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
44 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Figura 3.3 Presentación detallada de la Metodología Propuesta
[Fuente propia].
Ahora, a continuación se presentan las fases, en forma general, de la Metodología Propuesta:
Fase I
Planteamiento del
Problema
Actividad 1.1 Definir adecuadamente el planteamiento del problema.
Actividad 1.2 Evaluar la
disponibilidad de los
recursos con los que se
cuenta.
Fase II
Identificación
Detallada del Material
Objeto de Estudio.
Actividad 2.1
Aseguramiento del
material objeto de estudio
y consideraciones
generales.
Actividad 2.2 Evaluación del caso.
Fase III
Adquisición de
Evidencia.
Actividad 3.1
Consideraciones
previas.
Actividad 3.2 Elaboración de la guía para la obtención de los datos volátiles.
Actividad 3.3 Elaboración de la guía para la obtención de los datos no volátiles.
Actividad 3.4 Plan de la investigación para la obtención de datos.
Actividad 3.5 Procedimiento para la adquisición de la imagen.
Fase IV
Análisis de Datos.
Actividad 4.1 Preparación, para realizar el análisis correspondiente al caso de estudio.
Actividad 4.2 Extracción de evidencia.
Actividad 4.3 Extracción lógica de evidencia.
Actividad 4.4 Análisis de los datos extraídos.
Actividad 4.5 Análisis de tiempo de los eventos.
Actividad 4.6 Análisis de datos ocultos.
Actividad 4.7 Análisis de aplicaciones y archivos.
Actividad 4.8 Análisis de datos de la Red.
Fase V
Presentación de
Resultados Obtenidos.
Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la presente Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el documento final.
Actividad 5.2 Analizar y considerar todas las Subactividades, que conforman la presente actividad, con el fin de elaborar el documento final.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
45 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
FASE I
FASE II
FASE III
FASE IV
FASE V
FASE I
FASE II
FASE III
FASE IV
FASE V
3.2.1 Fase I. Planteamiento del Problema.
En esta Fase, se le presenta al forense informático de una manera clara y precisa el objeto
de la investigación, es decir el fin que tendrá su intervención.
Para cumplir con dicho fin objetivo se sugieren llevar a cabo las siguientes actividades:
Actividad 1.1 Definir adecuadamente el planteamiento del problema.
Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.
3.2.2 Fase II. Identificación detallada del material objeto de estudio.
Para realizar cualquier análisis forense informático, es necesario conocer previamente el
material objeto de estudio, los datos, dónde están localizados y cómo están almacenados.
Al ser un universo tan heterogéneo el de los sistemas de información donde se pueden
encontrar evidencias digitales, se hace necesaria una clasificación para poder organizar las
mismas.
Para tal, fin se requiere llevar a cabo las siguientes actividades:
Actividad 2.1 Aseguramiento del material objeto de estudio y consideraciones generales.
Actividad 2.2 Evaluación del caso.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
46 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
FASE I
FASE II
FASE III
FASE IV
FASE V
3.2.3 Fase III. Adquisición de evidencia.
Esta es, la fase más importante y crítica de la aplicación de la metodología, puesto que
una vez que se halla comprobado el delito informático el denunciante, la empresa o
institución dañada normalmente deseará llevar a un proceso judicial al atacante. Para ello
es necesario poseer evidencias digitales adquiridas y preservadas de tal forma que no haya
duda alguna de su verosimilitud y siempre de acuerdo a las leyes vigentes.
En general, la evidencia deberá poseer las siguientes características para ser considerada
como tal, de acuerdo a los criterios que requiere la autoridad competente actualmente:
Adminisible.
Autentica.
Completa.
Confiable.
Creíble.
Este proceso de adquisición y preservación se debe realizar tan pronto como sea posible.
Siempre que sea posible hay que evitar los cambios en las evidencias y si no se logra,
registrarlo, documentarlo y justificarlo, siempre que sea posible con la autoridad competente
y/o testigos que puedan corroborar las acciones.
Para tal fin, se requiere llevar a cabo las siguientes actividades:
Actividad 3.1 Consideraciones previas.
Actividad 3.2 Elaboración de la guía para la obtención de los datos volátiles.
Actividad 3.3 Elaboración de la guía para la obtención de los datos no volátiles.
Actividad 3.4 Plan de la investigación para la obtención de datos.
Actividad 3.5 Procedimiento para la adquisición de la imagen.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
47 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
FASE I
FASE II
FASE III
FASE IV
FASE V
3.2.4 Fase IV. Análisis de Datos.
El concepto de evidencia digital se forma (normalmente) por el contenido de los archivos
(datos) y la información sobre los archivos (metadatos).
La evidencia almacenada debe ser analizada para extraer la información relevante
(relacionada con la investigación) y recrear la cadena de eventos sucedidos. El análisis
requiere un conocimiento profundo de lo que se está buscando y como obtenerlo. Hay que
asegurarse que la persona que analiza la evidencia está totalmente cualificada para ello.
Analizar las evidencias digitales va a depender del tipo de datos a analizar, del tipo de
sistema en el cual se clasifique el dispositivo comprometido (ordenadores, dispositivos
móviles, etc.). Además, en función del tipo de delito (fraude, pornografía infantil, drogas,
etc.) se deberán analizar unos tipos de evidencias y en un determinado orden (el orden
permitirá al investigador forense llegar lo antes posible y de la forma más precisa a las
evidencias digitales para llegar a resolver el delito informático).
Para tal fin, se requiere llevar a cabo las siguientes actividades:
Actividad 4.1 Preparación, para realizar el análisis correspondiente al caso de estudio.
Actividad 4.2 Extracción de evidencia.
Actividad 4.3 Extracción lógica de evidencia.
Actividad 4.4 Análisis de los datos extraídos.
Actividad 4.5 Análisis de tiempo de los eventos.
Actividad 4.6 Análisis de datos ocultos.
Actividad 4.7 Análisis de aplicaciones y archivos.
Actividad 4.8 Análisis de datos de la Red.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
48 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
FASE I
FASE II
FASE III
FASE IV
FASE V
3.2.5 Fase V. Presentación de Resultados Obtenidos.
Basándose en las fases anteriores, en toda la documentación disponible del caso y
apoyándose también en la cadena de custodia (conjunto de pasos o procedimientos
seguidos para preservar la prueba digital que permita convertirla y usarla como evidencia
digital en un proceso judicial), la presentación y/o sustentación del Dictamen Pericial es la
fase de comunicar el significado de la evidencia digital, los hechos, sus conclusiones y
justificar el procedimiento empleado.
El propósito de la presentación del Dictamen Pericial en Informática Forense es
proporcionar al lector toda la Información relevante de las evidencias de forma clara,
concisa, estructurada y sin ambigüedad para hacer la tarea de asimilación de la información
tan fácil como sea posible.
La forma de presentación es muy importante y debe ser entendible por personas no
conocedoras del tema en discusión.
Es decisivo que el perito en Informática Forense presente las evidencias en un formato
sencillo de entender, acompañado de explicaciones que eviten la jerga y la terminología
técnica.
Durante un juicio la investigación debe presentar evidencias informáticas de una manera
lógica, precisa y persuasiva de forma que el juez entenderá y que el abogado de la parte
opuesta no podrá contradecir.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
49 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Esto requiere que las acciones del perito en Informática Forense puedan ser reconstruidas
paso a paso con fechas, horas, cuadros y gráficos (el uso de programas como Excel, Word,
PowerPoint, etc.; puede ser de gran ayuda en este punto).
Si el abogado del sospechoso (o contraparte) es capaz de levantar dudas sobre la
integridad de la prueba o si es capaz de demostrar que el investigador realizó algún
procedimiento no sustentable, todo el Dictamen Pericial puede ser rechazado.
Es importante, más allá de lo que esté escrito en el Dictamen Pericial, que el forense
informático sustente correctamente ante el juez cada tarea realizada en su investigación.
Para tal fin se requiere llevar a cabo las siguientes actividades:
Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la presente
Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el documento
final.
Actividad 5.2 Analizar y considerar todas las Subactividades, que conforman la presente
actividad, con el fin de elaborar el documento final.
Ahora se describe en profundidad cada una de las fases, en cada una de las cuales se
intentará ser lo más genérico posible para poder abarcar el mayor número de tipos de
evidencias posibles (debido a que existen sistemas, software y hardware muy
heterogéneos).
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
50 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Se da por hecho que el receptor de esta metodología sabrá que, dependiendo del tipo de
delito informático, de los sistemas, de los componentes hardware y software involucrados en
el mismo, podrá aplicar o no las distintas actividades que compongan cada Fase.
Para terminar esta introducción a la metodología vale la pena comentar que siempre que
sea posible los pasos deben ser dados con testigos o notarios ó en presencia de la
autoridad competente con el fin de poder corroborar lo realizado por el experto forense.
Una vez presentada la metodología propuesta, en forma general, a continuación se muestra
en forma detallada:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
51 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3 Descripción detallada de las Fases de la Metodología Propuesta.
3.3.1 Fase I. Planteamiento del Problema.
3.3.1.0 Introducción.
En esta etapa se lleva a cabo la delimitación clara y precisa del objeto de la investigación.
La función del planteamiento del problema consiste entonces en revelarle al perito en
Informática Forense si su proyecto de investigación es viable, dentro de sus tiempos y
recursos disponibles. Por ejemplo, si se le solicita al forense informático que imprima todos
los archivos contenidos en un disco duro con capacidad de un Terabyte, tal Planteamiento
de Problema demandará una cantidad de recursos inconmensurables por lo que se tendrá
que hacer un replanteamiento del problema y acotar para que el análisis sea viable.
Plantear el problema es más bien afinar y estructurar la idea de investigación [Hernández,
1998]. El mismo debe ser verbalizado en forma clara y precisa, de manera que se pueda
investigar con procedimientos científicos, cuando sea posible orientar a la autoridad
competente en como plantear sus cuestionamientos ya que en muchas ocasiones estos
pueden llegar a no ser del todo claros.
De donde el Planteamiento del Problema es una fase que se caracteriza por ser descriptiva,
analítica y objetiva.
Entonces, hay que puntualizar que el perito en Informática Forense deberá ser un experto
en su materia y no tendría por que conocer y/o intervenir en otras áreas del conocimiento
científico (acústica, antropología, medicina, etc.), por lo que se tendrá que tener
precauciones al momento de realizar el Planteamiento del Problema, esto porque al emitir
un dictamen este tendrá que ser ratificado, protestado de decir verdad y defendido ante un
juzgado, en el que se podría tener a un perito (de la contraparte) en una de estas áreas
científicas invadidas por descuido o por desconocimiento de las penas en las que se podría
incurrir por realizar alguna aseveración sin ser especialista en otra área ajena a la nuestra.
FASE I
FASE II
FASE III
FASE IV
FASE V
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
52 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
En este punto bien cabe citar un ejemplo, al perito en informática forense se le solicita emitir
un dictamen pericial sobre pornografía infantil, si bien por sentido común se tiene la idea de
¿que se tendrá que buscar?, lo idóneo será realizar un replanteamiento del problema
estableciendo un criterio de búsqueda de archivos de imágenes y/o video conteniendo
imágenes al parecer de menores de edad con desnudos de parcial a total, teniendo
relaciones sexuales y/o en escenas de sexo explicito.
De esta manera se evitarán futuros problemas legales ya que a un perito en Informática
Forense no le compete determinar si se trata de pornografía infantil ó si es menor de edad,
en su caso sería un abogado el que podría tipificar el delito o un doctor o un antropólogo el
que determinaría si las personas que aparecen en los archivos de imagen y/o video
corresponden a menores de edad.
Otro ejemplo, para denotar la importancia del planteamiento del problema es el siguiente: en
el caso de un fraude consumado por un cajero de un banco, se le podría estar solicitando al
perito en informática forense que: ―Determine si la persona que responde al nombre de X,
con cargo de cajero en tal sucursal bancaria fue la que realizo tales traslados de dinero de
una cuenta a otra‖; un perito en informática no podría asegurar con certeza que fue tal
persona, pero si podría obtener una bitácora de registros ó movimientos de la cuenta
cuestionada (también se le conoce en el medio como ―log‖) y los números de empleados
bancarios que realizaron tales movimientos.
Ahora, a continuación, se describen las actividades de esta fase con mayor detallé:
3.3.1.1 Actividad 1.1 Definir adecuadamente el planteamiento del problema.
El objetivo de esta actividad es que: el perito en Informática Forense se valdrá de su calidad
de experto en la materia para definir de una manera clara y precisa el motivo de su
intervención, orientando a la autoridad competente sobre cómo debe plantear su
cuestionamiento, así como haciéndole saber su competencia y limites. Para ello se tendrá
que hacer lo siguiente:
Identificar de forma general el tipo de intervención a efectuar.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
53 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Razonar la información de interés (evidencia) por parte de la autoridad competente y
determinar si es competencia de la especialidad de informática ó no. Por ejemplo, se
le solicita al forense informático analicé un CPU, (relacionado con la falsificación de
documentos oficiales) a efecto de sustraer todos los documentos públicos y privados
que se encuentran almacenados en su disco duro y determinar si son falsos.
En este caso, al forense informático si le corresponde realizar la sustracción de todos
los formatos con tales características especificadas pero no así el de determinar si
son auténticos ó falsos, más bien esto sería tarea de la especialidad de
documentoscopía y/o grafoscopía.
3.3.1.2 Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.
Es a partir de esta fase que el perito en Informática Forense: evaluará la disponibilidad de
los recursos con los que cuenta y los que le serán necesarios, sean estos tangibles o
intangibles como el tiempo, esto es, a partir de esta etapa se estará en posibilidades de
realizar un requerimiento pericial; es decir si lo que se solícita es viable o es demasiado
subjetivo, por ejemplo si lo que se solicita es ―determinar el deterioro de un software‖, se le
podrá solicitar que sea más objetivo el motivo de estudio o cuestionamiento.
Entonces, algunos de los recursos a evaluar dentro de esta actividad serán los siguientes:
Temporales, recordar que el factor tiempo en cualquier intervención pericial dentro de
un proceso legal es de suma importancia.
Humanos, toda vez que habrá ocasiones en las que se requiera la intervención de
más de un especialista trabajando en el caso objeto de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
54 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Materiales, este punto hace referencia al Hardware que necesite el especialista
forense informático, que por lo general siempre será diferente y acorde al caso bajo
estudio.
Organizacionales, este recurso cobra relevancia en intervenciones, en donde se
requiera un alto nivel organizacional, por ejemplo cuando es necesario realizar varias
visitas, a una determinada empresa en un horario definido, con el fin de realizar un
análisis a determinados equipos, que por necesidades de la empresa no puedan salir
de la misma ni ser apagados.
Ahora, se presenta la Fase II, de la presente metodología, la cual tiene como fin principal, el
llevar a cabo la identificación del material objeto de estudio, el conocer los datos, donde
están localizados y cómo están almacenados:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
55 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2 Fase II. Identificación detallada del material objeto de estudio.
3.3.2.0 Introducción. En esta fase, se realiza la identificación de la evidencia, determinando entre otras cosas el
tipo de información que está disponible, así mismo se determina como puede llevarse de
forma segura y finalmente determina que forma parte de la evidencia.
Entre las diligencias urgentes, ocupa el primer plano la realización de la inspección ocular a
cargo de la autoridad competente u órgano investigador, para estar en condiciones de
documentar, todo cuanto le corresponde, disponiendo como primera medida que no haya
alteración alguna de todo cuanto se relaciona con el objeto del acto ilícito y el estado del
lugar donde se cometió.
Una vez que la autoridad competente ha adoptado todas las medidas adecuadas para que
no se altere nada relacionado con el objeto del crimen y el estado del lugar donde se
cometió, debe arbitrar los medios para facilitar la inmediata intervención del equipo de sus
auxiliares directos (peritos, policía judicial, policía preventiva, servicio médico forense etc.),
para que sean ellos los primeros en visitar la escena del delito en procurar de los indicios
que les suministraron "los testigos mudos", tendientes a constatar que realmente se ha
cometido un hecho considerado delictuoso por la legislación penal vigente y todo aquello
que conduzca a la positiva identificación de su autor o autores.
Ese equipo de auxiliares del órgano investigador no actúa en forma indiscriminada, sino
siguiendo un ordenamiento, que permita su actuación ponderable y eficaz para alcanzar el
mejor de los resultados.
A continuación, se hace referencia al orden de expertos que intervendrán bajo un hipotético
casó (posterior a su denuncia), en que esté involucrado un medio informático.
El orden será el siguiente:
FASE I
FASE II
FASE III
FASE IV
FASE V
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
56 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Perito Fotógrafo: Para documentar fidedignamente todo cuanto se relaciona con el lugar de
los hechos y sus adyacencias, antes de que se toque o remueva nada; porque de lo
contrario, difícilmente se podrán de acuerdo el personal interviniente para determinar que
lugar ocupa cada cosa removida antes de su documentación fotográfica total o en detalle.
Perito Criminalista: Dentro de sus funciones está la de intervenir para tomar por si y verificar
todas las medidas que le permitan confeccionar con exactitud y fidelidad los diversos
croquis que, completándose con la fotografía, brindaran a la autoridad competente y a las
partes, todo cuanto sea de utilidad para alcanzar la verdad en el proceso penal.
Perito en Dactiloscopia: para examinar todos los objetos o lugares idóneos para captar y
preservar las impresiones dactilares producidas por las crestas papilares que se localizan
en los pulpejos de los dedos de las manos, con el fin de identificar científicamente a una
persona. Es conveniente enfatizar que estas impresiones dactilares fueron posiblemente
dejadas por el delincuente y que conducirán a establecer su identidad por medios directos.
Posterior a estas intervenciones entraría en escena el perito en Informática forense, si el
caso involucra computadoras. En el caso de la realización de tomas fotográficas este podrá
solicitar todas las que el crea conveniente.
Satisfechas las tareas preliminares el perito en Informática Forense procederá a identificar
los elementos que necesita para su caso (elementos de estudio).
Recordar, que sin pruebas realmente lo que se tiene no es más que una opinión. Cada caso
es diferente, así que es probable que se necesiten diferentes tipos de pruebas para cada
caso. Saber la clase de evidencia que se necesita es una parte integral de una exitosa
investigación (cartera de clientes, datos que se almacenan en una banda magnética de una
tarjeta plástica o bancaria, etc.). Una premisa esencial es tomar todo lo necesario.
Desafortunadamente, existen cuestiones legales y logísticas relacionadas con este enfoque.
El perito en Informática Forense, debe ser muy cauteloso en el ejercicio de sus funciones,
por cuanto la extralimitación en el encargo pericial puede traducirse fácilmente en un delito
electrónico.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
57 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Apegarse estrictamente a la cadena de custodia, directrices así como etiquetar todo tal y
como sea removido, conexiones etc.
Figura 3.4 Imagen en la que se ilustra la posible variedad en cuanto, al material a analizar.
La Figura anterior, muestra a manera de ilustración la variedad en cuanto a soportes para
almacenar información.
Ahora, en la Figura 3.5, se ilustra con un posible ejemplo cómo se identifica al material
objeto de estudio:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
58 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Figura 3.5 Ejemplo en el que se presenta, la forma en que se identifica un posible material objeto de estudio, el cual se describirá a detalle en el respectivo Dictamen Pericial y/o Documento Final. Los hechos que rodean el objetivo de la investigación determinarán el método a utilizar, las
cuales se podrán justificar dentro del Dictamen pericial y/o informe en un apartado de
―Consideraciones Técnicas‖.
Cuando se accede al lugar de los hechos o donde presuntamente se haya cometido algún
delito, se deberá mirar todo cuidadosamente, partiendo del hecho de que ya, se hallan fijado
los elementos de interés así como del visto bueno de la autoridad competente, solo así y
haciendo uso de guantes de látex (para preservar toda impresión dactilar, que no se halla
tomado), se estará en condiciones para tomar algún objeto, con el fin de recabar algún dato
relevante tal como: el número de serie del equipo de computo, modelo etc.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
59 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Considerar que el lugar de los hechos se clasifican en tres tipos; de acuerdo con sus
condiciones y características pueden ser: lugares cerrados, lugares abiertos y mixtos.
Siempre documentar el lugar de los hechos con tomas fotográficas, a este proceso se le
llama fijación (Figura 3.7). No debe olvidarse que las buenas intenciones no sustituyen a la
experiencia y al adiestramiento.
La fotografía adecuada en este tipo de trabajo requiere la intervención de un experto
provisto de un equipo adecuado. Es preferible esperar una o varias horas y lograr su
cooperación a confiar en un aficionado.
El registró y documentación fotográfica de una escena del delito y sus adyacencias, debe
hacerse cubriendo las mismas etapas señaladas al hablar de los procedimientos escritos.
Tal operación debe llevarse a cabo desde afuera hacia adentro y en sentido de las agujas
del reloj, en forma piramidal, tratando de documentar todas las etapas cubiertas por el
delincuente.
Realizar dibujos, croquis o bocetos de conexiones, y escritos haciendo descripciones de lo
que se vea (por ejemplo si un equipo se encuentra en tal recámara o área de estudio,
apagado o encendido si es esto último que programas se están ejecutando o cuales
archivos fueron los más recientes etc.), de igual manera se tendrá que tener en cuenta
alguna nota al lado del teclado o cercano al equipo de computo donde posiblemente exista
información relacionada con la investigación ó contraseñas.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
60 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Figura 3.6 Imagen en la que se presenta a manera de ilustración, un posible lugar de los hechos.
Las notas que se tomaron y fotografías (de preferencia con una cámara réflex o si es digital
del archivo o archivos se deberán obtener su ―hash‖ (En informática, Hash se refiere a una
función o método para generar claves o llaves que representen de manera casi unívoca a
un documento, registro, archivo, etc.)) o dibujos, juntos forman la primera encuesta sobre el
sitio. Conforme avance la investigación esta información recabada nos dará más pistas
sobre donde poder buscar más evidencias, por ejemplo el mouse se encontró en posición
para zurdos, hora en el sistema bajo estudio, hora en la que se efectúo la diligencia etc.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
61 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Figura 3.7 Imagen con la que se ilustra una posible manera de etiquetar las conexiones de
un equipo de cómputo a analizar.
De lo expuesto con antelación se puede colegir que la presente fase permite tener un
panorama general del caso a investigar; por lo que se deben de realizar las acciones que a
continuación reafirmo, presentándolas de forma desglosada y sistematizada para una mejor
apreciación:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
62 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.1 Actividad 2.1 Aseguramiento del material motivo de estudio y consideraciones
generales.
La presente actividad se refiere a que todo material que sea considerado como evidencia y
por ende para un posible análisis deberá resguardarse adecuadamente bajo las mas
estrictas medidas de seguridad.
3.3.2.1.1 SubActividad 2.1.1 Establecer el perímetro de protección del equipo o equipos
afectados.
El objetivo principal de esta actividad es evitar que la evidencia original sea alterada por las
personas que intervienen en el lugar de los hechos o bien ajenas a esta.
Figura 3.8 Se debe restringir el acceso al lugar de los hechos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
63 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.1.2 SubActividad 2.1.2 Tener la capacidad para poder determinar lo que ha sucedido
y reconstruir los hechos.
Para tal fin es imprescindible estudiar el lugar del hecho así como la recolección de todos
los indicios, lo cual es materialmente imposible cuando el sitio del suceso no ha sido
protegido y conservado adecuadamente, por lo que se deberá restringir el acceso al lugar
de los hechos, tanto de personas, como de acceso a otros equipos con el mismo fin que el
anterior.
3.3.2.1.3 SubActividad 2.1.3 Preservar toda impresión dactilar abandonada ó ubicada
(huella dactilar latente).
Lo cual será útil para facilitar la identificación del supuesto sospechoso o sospechosos.
Razón por la cual es recomendable el uso de guantes de látex, con el fin de evitar
contaminar los equipos o dispositivos a ser investigados.
3.3.2.1.4 SubActividad 2.1.4 Emplear brazaletes antiestáticos.
Esto con el fin de evitar alterar la evidencia por cargas electrostáticas de aquellas personas
que manipulen los equipos o dispositivos. Así mismo será conveniente el contar con bolsas
antiestáticas para un adecuado y seguro embalaje de la evidencia.
3.3.2.1.5 SubActividad 2.1.5 Determinar la ocurrencia de cualquier incidente y de su
impacto.
Esto con el fin de proveerle a la autoridad competente de una idea general de lo acontecido
y tratar de determinar el tipo de incidente suscitado de acuerdo a la experiencia del
investigador en informática forense, de esta manera el titular de la investigación podrá
determinar el giro que tome la misma.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
64 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.1.6 SubActividad 2.1.6 Considerar todos los componentes que pueden estar
relacionados de alguna forma con la computadora y/o elemento cuestionado.
Se deben considerar todos los elementos relacionados con la especialidad (en el caso
particular Informática), y que forman parte de la cadena de eventos que conducen al hecho
denunciado, ya que con la conjunción de todo el equipo involucrado, se incrementa el área
para realizar la investigación (mayor información aportada al titular de la investigación) y
proporcionar más evidencias durante el caso a investigar.
3.3.2.1.7 SubActividad 2.1.7 Conocer las debilidades, fortalezas y otros conocimientos
relacionados a las fuentes, incluyendo factores humanos y electrónicos.
Con la aplicación de esta actividad se estará en posibilidad de identificar el área probable
donde se pudo haber presentado el incidente y dar una respuesta acertada a lo ocurrido. De
igual modo se le dará una idea al titular de la investigación del tiempo que requiere el
análisis que está solicitando.
3.3.2.1.8 SubActividad 2.1.8 Estar consciente de las limitaciones de sus capacidades
científicas, técnicas o temporales ante el caso expuesto.
De esta forma se podrá evitar que la evidencia se altere por el mal manejo de está (por
ejemplo si no se cuenta con material adecuado para respaldar la información), así como el
de obtener resultados poco confiables o no tenerlos en tiempo y forma, considerando que
muchas veces se contará con sospechosos detenidos relacionados con los hechos que se
investigan.
3.3.2.1.9 SubActividad 2.1.9 Realizar una evaluación de los recursos (en el ámbito de la
información y acceso a la misma, por ejemplo la determinación del origen de un correo
electrónico estará supeditado a la información proporcionada por el proveedor de servicios
de Internet), alcance y objetivos necesarios para realizar la investigación.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
65 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Al desarrollar esta actividad se podrá determinar, si se estará en posibilidades de poder
desahogar, todos y cada uno de los puntos requeridos por la autoridad competente.
3.3.2.1.10 SubActividad 2.1.10 Contar con un laboratorio de informática forense que
permita realizar el proceso de obtención y análisis.
Esto con la intención de dar un alto valor a la evidencia digital entregada en lo que se refiere
a su manejo y custodia, es recomendable tener un área de acceso restringido con caja
fuerte para el resguardo del material motivo de estudio. Debe considerarse, además, que la
información digital es sensible a la temperatura, y en algunos casos a los campos
electromagnéticos.
3.3.2.1.11 SubActividad 2.1.11 Obtener por escrito la autorización para iniciar la
intervención pericial en Informática Forense, (sea ésta por parte de la autoridad competente
o del dueño del equipo cuestionado, Investigación de equipos). Teniéndose presente, el
principio de secrecía dentro de toda la investigación.
3.3.2.1.12 SubActividad 2.1.12 Documentar todas las acciones y antecedentes que
preceden la investigación. Los acontecimientos y decisiones que se adoptaron durante el
incidente y su respuesta al incidente.
Esto determinará el curso de acción a seguir en la Investigación. Se deberá anotar la fecha,
la hora exacta en que se recibió la llamada solicitando la intervención pericial en informática,
medio por el cual se recibió la llamada. Al llegar al lugar de los hechos se deberá anotar: la
hora exacta de llegada, la dirección correcta, nombre de la autoridad que encabeza la
investigación y la persona que le pone a la vista el equipo cuestionado.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
66 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.1.13 SubActividad 2.1.13 Organizar y definir el equipo de Investigación.
Establecer límites, funciones y responsabilidades (por ejemplo en el caso de cuentas de
correo electrónico, contar con un oficio emitido por la autoridad competente en la que se
autorice la intervención a las comunicaciones privadas, especificando periodos de tiempo
para la abertura de mensajes de correo electrónico), en algunos casos será indispensable
que de fe la autoridad competente (esto es que la autoridad se encuentre presente y que tal
acción obre en el expediente), para validar el análisis efectuado.
3.3.2.1.14 SubActividad 2.1.14 Realizar una Investigación preliminar.
Esta misma que se podrá incluir en el Dictamen en Informática en un apartado como
Antecedentes (documentar) que le permita describir la situación actual, si se realizo un
traslado a un lugar, que persona lo atendió, quien le puso a la vista el equipo, hechos, las
partes afectadas, posibles causantes, gravedad y criticidad de la situación, infraestructura
afectada, para lograr una compresión total de la situación actual del incidente y definir un
curso de acción acorde a la situación.
3.3.2.1.15 SubActividad 2.1.15 Identificar el Impacto y la sensibilidad de la información (de
clientes, financieros, comerciales, de Investigación y desarrollo, etc.)
3.3.2.1.16 SubActividad 2.1.16 Analizar el Impacto de los negocios a través de la
investigación del Incidente.
Esto cobra relevancia en los casos en donde el incidente afecta a empresas las cuales
sufren de tiempos de inactividad ó sufren la perdida de información confidencial. De igual
manera resulta importante el determinar el posible costo de un equipo afectado o dañado,
así como las perdidas en ingresos y/o costos de recuperación.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
67 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.1.17 SubActividad 2.1.17 Identificar la topología de red y tipología de red, equipos
afectados (servidores, estaciones de trabajo, Sistemas Operativos, Router, Switches, etc.).
3.3.2.1.18 SubActividad 2.1.18 Identificar los dispositivos de almacenamiento o elementos
informáticos.
Tales dispositivos de almacenamiento pueden ser: Discos Duros, Pen drive, memorias,
tarjetas ―Flash‖, ―Zip Disk‖, Discos Ópticos CDs y DVDs, ―Disquettes‖, etc., que se
consideren comprometidos o cuestionados y sean determinados como evidencia, su marca,
modelo, características, seriales, etc.; así como fijarlos fotográficamente.
3.3.2.1.19 SubActividad 2.1.19 Ejecutar adecuadamente los procedimiento sobre sistemas
vivos (análisis en vivo), para no perder la continuidad en producción de los equipos y su uso
en las instalaciones, evitando la perdida de los datos volátiles.
Es decir, se procederá de acuerdo al criterio del forense informático acorde a las
circunstancias, por ejemplo cuando se trabaje en una Terminal bancaria en donde no se
pueden interrumpir los procesos que se encuentren ejecutándose.
3.3.2.1.20 SubActividad 2.1.20 Identificar los posibles implicados o funcionarios que tengan
relación con la investigación ó que pudieran aportar mayor información.
En este punto bien cabe la posibilidad de efectuar entrevistas, ya sea con usuarios o
administradores responsables de los sistemas (administradores de red o de servidores de
correo), documentar todo y tratar de lograr un conocimiento total de la situación.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
68 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.1.21 SubActividad 2.1.21 Realizar una recuperación de los ―logs‖ de los equipos de
comunicación y dispositivos de red, involucrados en la topología de la red.
3.3.2.1.22 SubActividad 2.1.22 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quién
es el primero que tiene la evidencia?
3.3.2.1.23 SubActividad 2.1.23 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quien
examino la evidencia? (Si anterior a nuestra intervención, intervino alguien mas, por ejemplo
la policía cibernética).
3.3.2.1.24 SubActividad 2.1.24 Responder a las preguntas: ¿Quién va a tener custodia de
la evidencia? y ¿Por cuánto tiempo la tendrá?
Documentar a detalle tal acción.
3.3.2.1.25 SubActividad 2.1.25 Responder a las preguntas: ¿Quién? y ¿Cómo se embaló
y/o almacenó la evidencia?
Documentar de manera detallada.
3.3.2.1.26 SubActividad 2.1.26 Responder a las preguntas: ¿Cuándo se realiza el cambio
de custodia? y ¿Cómo se realiza la transferencia?
Documentar turno, personal y área jurisdiccional (por ejemplo Delegación).
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
69 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.2 Actividad 2.2 Efectuar la evaluación del caso.
Aquí el perito en Informática forense valúa la información por su valor como evidencia.
3.3.2.2.1 SubActividad 2.2.1 Situar el status del caso que el perito en Informática Forense
investigará.
Aquí se determina qué sentido tomará la investigación, definiéndose si es simplemente la
violación de una política, normas, lineamientos o bien se trate de un delito.
3.3.2.2.2. SubActividad 2.2.2 Conocer detalles sobre el caso.
El investigador forense antes de llegar a la escena del delito donde se presento el incidente,
debe conocer la mayor cantidad de detalles, tanto del área, equipos, personal, sistemas
operativos que se manejan (plataforma), dispositivos, etc., para saber ante que se
encontrará y acudir con la herramienta y software necesario para la investigación.
3.3.2.2.3 SubActividad 2.2.3 Definir el tipo de evidencia a manejar.
Se refiere al tipo de dispositivo o equipo a investigar, por ejemplo: CD, DVD, disco duro,
USB, computadoras, por ejemplo hacer la diferencia entre un chip y una micro memoria
para equipo fotográfico, etc. Elementos que podrían estar relacionados de alguna forma con
los hechos a investigar.
3.3.2.2.4 SubActividad 2.2.4 Evaluar de manera inicial respecto al caso.
Ésto se refiere a que los forenses informáticos, deben hacer preguntas a las personas
relacionadas con el caso, a los administradores de red y a los encargados de seguridad
para posteriormente documentar las respuestas obtenidas y relacionarlas o vincularlas con
el incidente. Por ejemplo si para la realización de una acción determinada basta con una
cuenta de usuario o se tienen otros candados u otras cuentas para autorizar tal acción.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
70 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.2.5 SubActividad 2.2.5 Rastrear fuentes de información en la estructura
organizacional.
• Perfiles de usuario.
• Investigación en progreso de un determinado lugar o un análisis nuevo.
Se deben de verificar las políticas de uso de equipos o dispositivos de cómputo así como
manuales operativos, para determinar los perfiles de usuarios y verificar que pueden o no
hacer, así como también, ver quiénes pueden acceder al sistema de manera remota, y con
esto delimitar el área de investigación o determinar otra área para llevarla a cabo. Lo
anterior, se ve claramente en los casos de fraude por desvió de fondos relacionados con
sucursales bancarias en donde para realizar tales movimientos financieros (traslados de
dinero de una cuenta a otra ilícitamente por un empleado del banco) en las cuentas de los
clientes es indispensable que más de una cuenta autorizada para dicho fin intervenga es
decir que para realizar tal acción y por citar un ejemplo se requerirá la cuenta de un cajero
un supervisor, un subgerente y si el monto lo amerita hasta del gerente.
3.3.2.2.6 SubActividad 2.2.6 Ubicar, ¿Cuáles son las fuentes de información?
•Localización lógica o física de la evidencia. El perito en Informática Forense puede hacer
uso de alguna herramienta grafica, ejemplo: un administrador de archivos (previa utilización
de un bloqueador de escritura, para no alterar los metadatos de los archivos), un
visualizador de archivos, etc. usados normalmente en una computadora, un análisis físico
desde el punto de vista forense es puramente físico, en este no se considera el sistema de
archivos per se.
Se debe de determinar donde se ubica la evidencia que se está buscando, por ejemplo si
fue cometido el delito por la extracción de información al acceder de manera indebida un
dispositivo de almacenamiento masivo y extraer información confidencial.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
71 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
En este punto bien cabe señalar que el perito en Informática Forense cuenta con una amplia
variedad de software del tipo ―Open Source‖ (gratis); esto gracias a que la comunidad de
Internet ha ido desarrollando gran cantidad de herramientas, que pueden equipararse (si no
por separado, si de forma conjunta) a las herramientas comerciales, con unos costes por
licencia al alcance de muy pocos, algunos programas establecidos por el tipo de licencia
GPL (―General Public License‖) son:
The Coroner‘s Toolkit.
The Sleuth Kit / Autopsy.
Foundstone Forensic Toolkit.
FLAG – Forensic and Log Analysis GUI.
Foremost.
Para ver la imagen desde la perspectiva del sistema de archivos se requiere del uso de un
editor hexadecimal y similares herramientas.
Por ejemplo, para ver y analizar la firma de una aplicación computacional se hará uso de un
procedimiento automatizado para la identificación de las posibles evidencias. Una firma de
archivo es un encabezado o un pie de página (o ambos) en un archivo que indica la
aplicación asociada con un archivo típico, es decir, el "tipo" de archivo.
Lo anterior, se muestra haciendo uso de un editor hexadecimal (WinHex) con el fin de hacer
un análisis de la firma de las siguientes aplicaciones, en este caso un documento de Word,
un archivo grafico JPG y un archivo de Adobe Acrobat.
Las firmas (en hexadecimal) son:
25h 50h 44h 46h, para Adobe Acrobat Reader files (PDF).
FFh D8h FFh, para JPEG archivo de formato gráfico; y
D0h CFh 11h E0h A1h B1h 1Ah E1h, para archivos de Microsoft Office.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
72 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Figura 3.9 Imagen en la que se ilustra la firma de archivos de acuerdo a su aplicación que lo
generó, para tres archivos.
Las firmas de archivos son útiles para evaluar si un sujeto está tratando de "ocultar
archivos‖, en un plano oculto cambiando las extensiones de archivo. Por ejemplo, renombrar
un gráfico desnudo.jpg a tareas.doc puede ser eficaz para darle clandestinidad a un archivo
ante los curiosos, aunque ingenuo a los ojos de un perito en informática.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
73 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.2.7 SubActividad 2.2.7 Identificar las fuentes de información, tanto de personas,
como de aquellas que se encuentran almacenadas de manera lógica.
Se realiza para delimitar el área de búsqueda.
3.3.2.2.8 SubActividad 2.2.8 Determinar el diseño preliminar o enfoque del caso.
En este paso se prepara un resumen general para hacer la investigación de manera
acotada, (en condiciones de cierta premura podría servir como un avance de Dictamen
Pericial (un Dictamen con muy poco tiempo a disposición del investigador)).
3.3.2.2.9 SubActividad 2.2.9 Fijar el lugar de los hechos con tomas fotográficas y
grabaciones de diferentes ángulos en el área del lugar de los hechos antes de la
recolección de la evidencia.
Esta acción se hace para verificar en ellas si algo no fue considerado durante la
intervención pericial y además es de utilidad como evidencia de lo encontrado.
3.3.2.2.10 SubActividad 2.2.10 Fijar fotográficamente los periféricos (teclado, ―mouse‖,
impresora, escáner, etc.), que se encuentran en el lugar de los hechos.
Ayuda a mantener una correlación de eventos y proporciona mayor oportunidad de
encontrar la evidencia.
3.3.2.2.11 SubActividad 2.2.11 Fijar fotográficamente las conexiones físicas del equipo
motivo de estudio.
Esto servirá para demostrar cómo se encontró el equipo a ser investigado.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
74 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.2.12 SubActividad 2.2.12 Documentar la información observable.
Debe de anotarse de manera estructurada la información observable por parte del perito en
informática forense, con la intención de hilar ideas y escribir en el Dictamen pericial lo
observado desde el inicio del proceso de la investigación.
3.3.2.2.13 SubActividad 2.2.13 Identificar si el equipo se encuentra encendido o apagado.
Ayuda a determinar los pasos a seguir para la etapa de obtención.
3.3.2.2.14 SubActividad 2.2.14 Reconocer el sistema operativo (sistema de archivos) del
dispositivo del cual se obtendrá la información.
Ayuda a determinar la estructura de archivos y permite definir el tipo de software a utilizar.
3.3.2.2.15 SubActividad 2.2.15 Documentar la fecha y hora del sistema, para demostrar la
hora en la que se dio inicio a la investigación.
Por ejemplo si se trata de mensajes de correos electrónico checar la zona horaria, está
información cobra relevancia en los casos de algún cateo ó en el caso en el que se discute
la fecha de creación de un archivo.
3.3.2.2.16 SubActividad 2.2.16 Interrumpir las conexiones de la red de cómputo.
Se lleva a la práctica para evitar que alguien de manera remota altere la evidencia.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
75 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.2.2.17 SubActividad 2.2.17 Realizar movimientos con el Mouse (ratón) de forma
periódica.
Lo anterior, siempre y cuando el investigador acceda a la escena del delito y el equipo de
cómputo cuestionado se encuentre encendido. Considerar que algunos equipos cuentan
con contraseña en el protector de pantalla por lo que será necesario realizar movimientos de
Mouse a efecto de fijar la pantalla que se encuentra activa, así como programas ejecutados
y archivos abiertos, en la etapa de adquisición se describirá el orden de obtención de
información volátil.
3.3.2.2.19 SubActividad 2.2.18 Preparar un diseño detallado.
• Ajuste a nivel detallado de las necesidades actuales.
• Consideración de la preparación del tiempo estimado, y los recursos requeridos para
completar cada caso.
3.3.2.2.21 SubActividad 2.2.19 Determinación de recursos requeridos para la investigación
con respecto al hardware, software y herramientas de informática forense.
3.3.2.2.22 SubActividad 2.2.20 Marco legal relacionado al incidente
• Detalles generales a nivel internacional
• Detalles generales del fuero federal
• Detalles generales del fuero común
Este punto es muy importante, ya que deben considerarse antes de proceder con la
obtención de información y ver a qué delito corresponde, así como si es del fuero común o
federal.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
76 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Recordando que uno de los mayores inconvenientes que presentan los delitos informáticos
es la frecuente extraterritorialidad que traen aparejados, ya que los delitos pueden ser
cometidos por una persona que se encuentra físicamente en un país y los efectos pueden
producirse en otro, instalando interrogantes sobre la autoridad competente para juzgar
dichos delitos.
3.3.2.2.23 SubActividad 2.2.21 Enumerar los pasos a ser realizados durante la
investigación, previa información obtenida.
Una vez asegurado el lugar de los hechos y obtenida la información relacionada al
incidente, se prepara el procedimiento a seguir para la obtención de información, cuyo
propósito es poder reconstruir los eventos realizados durante la etapa de adquisición, por lo
que se requiere que éste sea documentado en cada uno de los pasos a seguir.
3.3.2.2.24 SubActividad 2.2.22 Corroborar diseño de investigación.
Se hace con el propósito de verificar que los pasos decididos son correctos, acordes y
justificados con la situación del incidente.
3.3.2.2.25 SubActividad 2.2.23 Identificar el riesgo implicado.
Se orienta a que el forense informático debe documentar los problemas que espera
encontrarse o que obliga a que puedan ocurrir, se podrá incluir en el correspondiente
dictamen un apartado de consideraciones técnicas.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
77 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Por ejemplo; cuando el material motivo de estudio es una cuenta de correo electrónico
gratuita (previa autorización del propietario de la cuenta), conviene informar dentro del
Dictamen Pericial que en la creación de la misma no se contó con ninguna medida de
autenticación, con respecto a los datos del creador de dicha cuenta de correo electrónico,
así mismo se deberá informar, que todo aquel que conozca el nombre de usuario y
contraseña podrá ingresar a la misma y por ende modificarla; por último, se deberá poner
del conocimiento a la autoridad competente que tales cuentas de correo electrónico
gratuitas, pierden su vigencia si no se consultan periódicamente, es decir desaparecen.
El producto final de esta fase, debe proporcionarle a la peritación que se está llevando a
cabo, la información que permita definir un punto de inicio para la adquisición de datos y
para la elaboración del documento final.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
78 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.3 Fase III. Adquisición de Evidencia.
3.3.3.0 Introducción.
En esta Fase se procede a adquirir la evidencia sin alterarla o dañarla, se autentica que la
información de la evidencia sea igual a la original.
Aquí se juega un papel muy importante durante el proceso legal de la informática forense,
en la que se mantiene la integridad de la evidencia obtenida y se establece la cadena de
custodia para demostrar el manejo que le fue dado a la evidencia digital por parte del
forense informático que realiza la investigación.
Se deberán definir los equipos y herramientas determinadas para llevar a cabo la
investigación. Lograr un entorno de trabajo adecuado para el análisis y la investigación.
3.3.3.1 Actividad 3.1 Efectuar consideraciones previas.
De no contar con lo necesario para conservar intacta la información digital y/o desahogar el
estudio requerido (por ejemplo: si el perito en informática forense requiere para emitir su
Dictamen, el acceso a algún equipo ó base datos, se le deberá permitir el mismo),
informarlo a la autoridad competente, suspendiendo por el momento el estudio requerido.
Se tendrá que tener especial cuidado en las implicaciones legales al intervenir y obtener
información de un medio electrónico (el Ministerio Público tendrá que dar fe del análisis), así
como el de no alterar los metadatos de la información almacenada.
3.3.3.1.1 SubActividad 3.1.1 Estudiar de la mejor manera posible, las condiciones que
se presentan previas a la adquisición de la evidencia.
• Implicaciones legales de la adquisición de datos, (metodología aplicada en la obtención de
información, para su debida legalidad y autenticidad).
FASE I
FASE II
FASE III
FASE IV
FASE V
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
79 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
• Documentar la cadena de custodia.
El perito en Informática Forense, después de haber cubierto la etapa de identificación, debe
tomar en cuenta estas consideraciones para mantener la cadena de custodia y estar en
posibilidades de garantizar la individualización, seguridad y preservación de los elementos
materiales y evidencias (en el caso particular evidencia digital), recolectados de acuerdo a
su naturaleza o incorporados en toda investigación, destinados a garantizar su autenticidad
para los efectos del proceso.
3.3.3.1.2 SubActividad 3.1.2 Requisitar por escrito la autorización, para realizar el análisis
forense en informática.
Este punto es recomendable que se tenga resuelto ya sea antes de proceder con la
obtención de la imagen forense o bien antes de empezar con el análisis en vivo sobre el
dispositivo informático cuestionado.
3.3.3.1.3 SubActividad 3.1.3 Documentar la configuración y características del hardware
del sistema.
Esta SubActividad tiene como fin el de lograr la plena identificación del material objeto de
estudio, evitando con ésto que se dude de la autenticidad de un equipo, dichas
características deben de anotarse dentro del formato u oficio de la cadena de custodia.
3.3.3.1.4 SubActividad 3.1.4 Elaborar el plan de adquisición de la evidencia digital.
• Información adquirida a través de tomas fotográficas.
• Información obtenida durante la intervención del perito en informática forense e
investigación en curso.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
80 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
En esta Fase se considera la metodología (métodos y/o técnicas), con la que se llevará a
cabo la adquisición de datos, identificando que es lo más conveniente de acuerdo a las
características del incidente, priorizando la obtención de datos volátiles del dispositivo y
posteriormente aquellos que no lo son.
3.3.3.2 Actividad 3.2 Elaborar la guía para la obtención de los datos volátiles.
Cuando se realiza la recolección de evidencia, se debe proceder de lo volátil a lo menos
volátil. Si el equipo se encontró encendido no apagarlo hasta que este completa la
obtención de la evidencia.
Por otro lado mucha información podría perderse si se enciende el equipo, considerando
que el atacante halla modificado el proceso de inicio/apagado con algún ―Script‖ (código que
se ejecuta cuando se enciende o apaga la maquina), para destruir la evidencia.
A continuación se enumeran de acuerdo a su volatilidad, los elementos a considerar para la
obtención de evidencia:
1. Registros, ―cache‖ (es una parte de la memoria de la memoria principal que se puede
utilizar como buffer (En informática, un ―buffer‖ de datos es una ubicación de la
memoria en una computadora o en un instrumento digital reservada para el
almacenamiento temporal de información digital, mientras que está esperando ser
procesada)para guardar temporalmente los datos transferidos con el disco).
2. Tabla de procesos, estadísticas del kernel (En informática, un núcleo o kernel es un
software que actúa de sistema operativo).
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
81 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3. Tablas de ruteo. Para mostrar la tabla de enrutamiento IP en equipos que ejecutan
sistemas operativos Windows Server 2003, puede escribir ―route print” (comando
que se ejecuta) en el símbolo del sistema. También puede examinarse la tabla de
ruteo de una máquina con el comando netstat. La opción -r del mismo muestra la
tabla de ruteo (la opción -n es para no convertir números en nombres).
4. ―Cache ARP‖ (del inglés ―ADDRESS RESOLUTION PROTOCOL‖, tabla donde se
almacenan las direcciones IP de internet, ARP convierte un protocolo de Internet (IP)
a su dirección física de red correspondiente).
5. Sesiones abiertas.
6. Configuración de la red.
7. Memoria RAM (RAM son las siglas en ingles de ―random access memory‖, un tipo de
memoria de computadora a la que se puede acceder aleatoriamente; es decir, se
puede acceder a cualquier byte de memoria sin acceder a los bytes precedentes. La
memoria RAM es el tipo de memoria más común en computadoras y otros
dispositivos como impresoras).
8. Directorios temporales del sistema.
9. Estado de la red.
10. Directorios abiertos.
11. Archivos abiertos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
82 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
12. Configuración física, topología de red.
13. Disco.
Tomándose como base las condiciones presentes del equipo o dispositivos a ser
analizados, se prepara la guía que determinará cuál será la fuente inicial de obtención de
información, misma que tratará de no ser alterada por el perito en Informática Forense y
debe considerar además, que ésta puede variar de un momento a otro por los procesos que
se están ejecutando dentro del equipo o dispositivo.
El orden que debe seguirse es de lo más volátil a lo menos volátil.
Cabe señalar que al momento de obtener evidencia de medios magnéticos tales como
discos duros, será indispensable el uso de bloqueadores de escritura con el fin de preservar
y no alterar la evidencia. Esto puede observarse cuando se accede a un archivo y se
modifican sus metadatos tales como la fecha de modificación.
3.3.3.3 Actividad 3.3 Elaborar la guía para la obtención de los datos no volátiles.
A continuación se enumeran algunos de los elementos a considerar para la obtención de
evidencia, los cuales por sus características no se consideran volátiles:
1. CPU,monitor, teclado.
7. Discos duros, disquetes, CD y DVD.
8. Memorias Usb.
9. Impresora y escáner.
10. Tarjetas de red, módems, routers, hubs, switch etc.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
83 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
El perito en Informática Forense debe seleccionar cuales serán las fuentes de información
con las que iniciará la investigación, dando prioridad a aquellos que considere de mayor
relevancia.
3.3.3.4 Actividad 3.4 Elaborar el plan de la investigación para la obtención de datos.
1. Descubrir datos relevantes.
• No obtener información innecesaria.
2. Encontrar la evidencia.
Este plan consiste en descartar la información no relacionada con el incidente para acotar la
búsqueda de la evidencia.
3.3.3.5 Actividad 3.5 Crear el procedimiento para la adquisición de la imagen.
De acuerdo al soporte donde se encuentre almacenada la información se deberá establecer
el mecanismo (es decir software y tamaño de archivos generados por este), para la
obtención de su respectiva imagen forense (copia bit a bit), si es necesario calcular el Hash
de la imagen adquirida.
3.3.3.5.1 SubActividad 3.3.1 Crear una copia física exacta de la evidencia.
Documentar el proceso de obtención de la imagen forense. Para la obtención de la imagen
forense de un disco duro por ejemplo se podrá hacer uso del programa: Forensic Toolkit
(FTK) de AccessData (este programa realiza imágenes de originales como parte de su
funcionalidad) [http://www.accessdata.com/], el cual en su portal de Internet permite bajar
una versión demo o bien hacer uso de software ―Open Source‖ para tal efecto.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
84 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
En muchos casos resulta impracticable realizar copias de la evidencia original por
impedimentos técnicos u otras razones de tiempo y lugar. En estos casos se deberán
extremar las precauciones durante la investigación, siempre aplicando técnicas de análisis
de datos no-invasivas y utilizando todas las herramientas forenses (bloqueador de escritura)
que estén al alcance, a fin de no alterar la evidencia.
Éste paso es indispensable hacerlo de manera detallada, ya que forma parte del documento
final que tiene como objetivo el análisis y es un elemento esencial para reconstruir el
desarrollo del estudio técnico.
3.3.3.5.2 SubActividad 3.3.2 Determinar los tipos específicos y cantidad de medios de los
cuales se obtendrá la imagen forense (copias bit a bit).
Si existe diferentes dispositivos a los cuales se les obtendrá la imagen se deben etiquetar
correctamente a fin de no cometer errores en el manejo y custodia.
3.3.3.5.3 SubActividad 3.3.3 Usar hardware o software para bloqueo de escritura.
Es indispensable contar con este tipo protección para no alterar la evidencia original y
mantener su integridad, desde el inicio de la investigación.
3.3.3.5.4 SubActividad 3.3.4 Verificar la integridad de nuestra evidencia calculando el
―Hash‖ por medio de los algoritmos MD5 ó SHA-1.
Este procedimiento nos permitirá corroborar que la imagen forense obtenida es una copia
duplicada bit a bit de la evidencia original. Este valor será guardado en un archivo de
preferencia de texto plano .txt para presentarlo si es requerido.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
85 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Entonces lo anterior se traduce a que se verificara la integridad de nuestra evidencia con el
cálculo del hash al disco original y de la imagen forense. Si los hashes son los mismos,
entonces podemos asegurar que la copia hecha es un duplicado bit a bit de la evidencia
original.
Ejemplo de valor ―Hash‖: 04c09fa404ac7611b20a1acc28e7546c
3.3.3.5.5 SubActividad 3.3.5 Custodiar el dispositivo de donde se obtendrá la imagen
forense, hasta su creación, verificación de la imagen forense y su respectivo respaldo, para
evitar que esta sea alterada de manera intencional.
3.3.3.5.6 SubActividad 3.3.6 Esterilizar el medio forense donde se almacenará la imagen.
Antes de que la imagen se deposite en un disco duro es una buena práctica esterilizar o
limpiar esté medio de destino en la computadora forense. Una limpieza forense remueve
cualquier vestigio o contenido previo en el disco duro, asegurando que el abogado de la
defensa no pueda pretender argumentar que cualquiera de las pruebas obtenidas
corresponde a contenidos anteriores en el disco, causado por la mezcla de la evidencia.
Una limpieza forense es diferente a formatear un disco duro. Una limpieza forense puede
lograrse con el comando dd (linux):
# dd if=/dev/zero of=/dev/hdb1 bs=2048
La instrucción /dev/zero provee tantos caracteres null (caracteres nulos), (ASCII NUL, 0x00;
no el carácter ASCII "0", 0x30) como se lean desde él.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
86 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
El dispositivo lógico / dev / zero es una fuente infinita de ceros. Debido a que hemos
especificado nuestra salida a / dev/hdb1 escribirá una serie de ceros a cada sector de la
primera partición del segundo disco duro IDE. El argumento de BS especifica que dd debe
leer en bloques de 2048 bytes, reemplazando el valor predeterminado de 512 bytes.
Podemos comprobar que el procedimiento fue realizado con éxito utilizando el comando
grep.
# grep –v ‗0‘ /dev/hdb1
―Grep‖ es una utilidad que realiza búsquedas de palabras clave dentro de archivos. Estamos
buscando la cadena "0" en el dispositivo lógico / dev/hdb1. El argumento -v especifica algo
de una búsqueda inversa, es decir, despliega todo lo que aparece en el medio que no sea
‗0‘. Si grep encuentra algo que no es ‗0‘, se imprimirá el resultado en pantalla.
3.3.3.5.7 SubActividad 3.3.7 Llevar un manejo adecuado en el almacenamiento de
múltiples imágenes.
Si por razones de falta de medios de almacenamiento se utiliza un único dispositivo, y si
fuera el caso que existieran diferentes imágenes almacenadas en un disco duro este debe
ser organizado (por directorios), de manera adecuada para no confundirse en el manejo de
su contenido, (tener presente que una imagen forense de un disco duro estará formada por
varios archivos generados por el software forense empleado).
3.3.3.5.8 SubActividad 3.3.8 Asegurar que el medio que almacene la imagen, no sea
utilizado para imágenes posteriores, a menos que se le aplique un procedimiento que
garantice su esterilización.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
87 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Esto evitará que información almacenada en un dispositivo contenedor antes utilizado
contenga información que pueda desvirtuar la evidencia original.
3.3.3.5.9 SubActividad 3.3.9 Crear otra imagen de respaldo, y procurar trabajar sobre está.
3.3.3.5.10 SubActividad 3.3.10 Registrar cualquier anomalía o circunstancia inusual
encontrada durante la creación de la imagen por medio de algún formato (capturas de
pantalla, etc.), para estar en posibilidades de hacer alguna aclaración.
3.3.3.5.11 SubActividad 3.3.11 Registrar cualquier acción efectuada, para investigar y
rectificar los errores de la obtención de la imagen, los cuales deberán ser documentados.
3.3.3.5.12 SubActividad 3.3.12 Establecer que cualquier desviación del procedimiento para
la obtención de la imagen ó intervención sobre la evidencia requerirá de la aprobación del
perito en informática forense y ser documentado, es decir que no se puede manipular la
imagen sin autorización del perito en informática responsable.
3.3.3.5.13 SubActividad 3.3.13 Establecer una política del manejo y almacenamiento de la
evidencia para mantener su integridad.
Deben definirse claramente las acciones a seguir con el manejo de la evidencia.
3.3.3.5.14 SubActividad 3.3.14 Establecer, las condiciones posteriores a la adquisición:
• Manejo de imágenes forenses
• Manejo de la evidencia obtenida
• Conservación
• Transporte
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
88 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Existen varios tipos de mecanismos que son utilizados para asegurar el transporte de la
evidencia, debido a que esta debe hacerse en bolsas antiestáticas, aislantes de
comunicaciones y en un buen contenedor para evitar que esta se dañe. Otro punto,
importante para asegurar la evidencia es que se deben mantener bajo un ambiente
específico de humedad y temperatura, si el ambiente es muy cálido, húmedo o frío los
componentes electrónicos y medios magnéticos pueden ser dañados.
Ahora, a continuación se presenta la fase IV:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
89 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.4 Fase IV. Análisis de Datos.
3.3.4.0 Introducción.
De manera similar a la fase anterior se deberán definir criterios de búsqueda con objetivos
claros, debido a la gran cantidad de información disponible, que nos pueda desviar la
atención o sencillamente complicar el proceso de análisis de la información.
Esta fase permite determinar las causas que originaron un incidente informático y debe ser
documentada en todas sus partes, para reconstruir las veces que sea necesaria la forma en
la que se encontró o encontraron las evidencias digitales. Es importante mencionar que está
es una metodología general en la que se contemplan de manera global cada uno de los
pasos que deben ser considerados durante esta fase, ya que para realizar el análisis
específico de cada tipo de estructura de archivos y/o sistemas operativos, dispositivos de
almacenamiento, discos compactos CD y DVD, memorias USB, etc. deben elaborarse
metodologías específicas para cada uno de ellos.
3.3.4.1 Actividad 4.1 Preparar, el análisis correspondiente al caso de estudio.
Corroborar que ya se cuenta con una imagen forense, de información y/o respaldo de la
misma.
3.3.4.1.1 SubActividad 4.1.1 Contar con disponibilidad de datos:
Es recomendable tener a la mano las copias forenses correspondientes al material objeto de
estudio con el fin de llevar a cabo su respectivo análisis.
• Copias forenses: análisis y respaldos
FASE I
FASE II
FASE III
FASE IV
FASE V
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
90 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Una buena práctica a llevar a cabo es la de utilizar la copia del segundo original, a su vez el
segundo original preservarlo manteniendo un buen uso de la cadena de custodia.
Así mismo, antes de iniciar con la fase de análisis, se recomienda se tenga la cantidad de
copias necesarias para la realización de todas las pruebas necesarias que requiera la
investigación.
3.3.4.1.2 SubActividad 4.1.2 Determinar el alcance del incidente, la extensión del daño
originado por él así como la naturaleza del mismo.
Disponer de una estrategia de respuesta, que permita abordar el problema de manera clara
y precisa.
3.3.4.1.3 SubActividad 4.1.3 Evitar lo más que se pueda el uso de la computadora si está
se encuentra encendida y/o evaluar si conviene realizar el análisis de evidencia digital en
vivo y/o post-mortem (apagado).
Un análisis en vivo es aquel que utiliza el sistema operativo u otros recursos del sistema
investigado para encontrar pruebas. Un análisis post-mortem es aquel que utiliza
aplicaciones de confianza en un entorno seguro para encontrar pruebas, es decir es el
análisis que se realiza con un equipo dedicado específicamente para fines forenses para
examinar discos duros, datos o cualquier tipo de información recabada de un sistema que
ha sufrido un incidente.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
91 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Con un análisis en vivo es posible obtener información falsa, ya que el sistema podría estar
ocultando o falsificando maliciosamente la información (utilizando algún tipo de ―rootkit‖, por
ejemplo).
Es importante tener presente que un ―rootkit‖ es una herramienta (algún tipo de código de
programa), o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder
otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten
al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer
información sensible.
3.3.4.1.4 SubActividad 4.1.4 Evitar encender la computadora, en la medida de lo posible.
Esto es como se menciono en la actividad anterior por la posibilidad de encontrar algún
programa que se ejecute al inicializarse el equipo de computo ó mas aun por la posibilidad
de alterar la información almacenada en el disco duro, sobra decir que en este caso el
análisis será realizado extrayendo su o sus medios de almacenamiento (de información),
previa colocación de un bloqueador de escritura.
3.3.4.1.5 SubActividad 4.1.5 Fijar fotográficamente la pantalla de la computadora, si está
se encuentra encendida, y de preferencia cuando se observe algo de interés para la
investigación.
3.3.4.1.6 SubActividad 4.1.6 Realizar movimientos periódicos del Mouse.
Lo anterior cuando la computadora (cuestionada ó bajo estudio), se encuentre encendida
(ésto mostrará la imagen en la pantalla). Después cuando la imagen aparezca, fotografiar la
pantalla.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
92 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.4.1.7 SubActividad 4.1.7 Apagar la computadora del cable de alimentación (cuando el
investigador se apersone en el lugar de los hechos ó escena del delito y la computadora
este encendida).
Si la computadora es una ―laptop‖ y no se apaga cuando el cable es retirado, localizar y
retirar la batería. La batería es comúnmente colocada en el fondo, y generalmente hay un
botón o conmutador que permite la supresión de la batería. Una vez que la batería es
retirada, no la regrese a la computadora portátil. Retirar la batería evitará encendidos
involuntarios de la ―laptop‖.
Lo anterior, es recomendable cuando se posee software de análisis forense y se tiene el
propósito de efectuar la recuperación de datos en el espacio del disco duro llamado ―swap‖.
En informática, el espacio de intercambio es una zona del disco (un archivo ó partición) que
se usa para guardar las imágenes (procesos temporales) de los procesos que no han de
mantenerse en memoria física (permite hacer creer a los programas que tienen más
memoria (RAM) que la que disponen realmente). A este espacio se le suele llamar swap, del
inglés "intercambiar", (por lo que al apagar la maquina este espacio se elimina, acompañado
de su información).
3.3.4.1.8 SubActividad 4.1.8 Considerar manuales e instructivos, documentos y notas que
se considere aporte datos a la investigación.
3.3.4.1.9 SubActividad 4.1.9 Buscar información relacionada con el criterio de búsqueda
(descrito en el Planteamiento del Problema).
Es decir el tipo de evidencia que se está buscando por ejemplo documentos, fotografías,
nombres, cadenas de caracteres (como las usadas para las tarjetas de crédito), bases de
datos, grabaciones de audio, correos electrónicos, etc.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
93 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.4.1.10 SubActividad 4.1.10 Determinar si los archivos no tienen algún tipo de cifrado.
3.3.4.1.11 SubActividad 4.1.11 Preparar el directorio o directorios de trabajo.
Con base a toda la información previa, se debe seleccionar el área de trabajo bajo la cual se
iniciará el análisis, considerando el tamaño de la información a analizar.
3.3.4.1.12 SubActividad 4.1.12 Crear una estructura para directorios y archivos
recuperados.
Es importante llevar un estricto control al momento de recuperar información, por lo que se
deberá tener especial cuidado al momento de obtener el ―path‖ (ruta de ubicación original
del archivo recuperado). El comando ―Dir‖ de Ms-Dos es puede ser una útil herramienta
para este fin, pero tener en consideración que este comando no es una herramienta
Forense, (no lista archivos en espacio por asignar y otros detalles que a un Software
Forense no se le escapan).
3.3.4.2 Actividad 4.2 Efectuar la extracción de Evidencia.
Una vez que se cuenta con la imagen Forense de la evidencia digital adquirida, se estará en
condiciones de explorar y obtener ó desechar, lo que motiva la intervención del perito en
Informática Forense.
3.3.4.2.1 SubActividad 4.2.1 Efectuar la extracción física de evidencia.
Se llevará a cabo la sustracción de todos y cada uno de los archivos relacionados con los
hechos que se investigan, así como cualquier otra información ó dato requerido por la
autoridad competente.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
94 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.4.2.2 SubActividad 4.2.2 Documentar los procedimientos seguidos durante toda la
etapa de análisis.
Lo anterior con el fin de que todo procedimiento que se lleve a cabo sea repetible y
verificable por otro Investigador Forense con el propósito de reconstruir lo realizado durante
la investigación.
3.3.4.2.3 SubActividad 4.2.3 Identificar y recuperar los datos en los dispositivos físicos.
Esto es, obtener las características físicas del dispositivo a ser analizado, para que
posteriormente sean verificadas, por ejemplo, capacidad de almacenamiento, número de
serie, etc.
3.3.4.2.4 SubActividad 4.2.4 Recavar información, nombres de usuario e información del
AD (Directorio Activo).
Active Directory es una implementación de servicio de directorio en una red distribuida
centralizado que facilita el control, la administración y la consulta de todos los elementos
lógicos de una red (como pueden ser usuarios, equipos y recursos).
3.3.4.2.5 SubActividad 4.2.5 Recuperar archivos y fragmentos de archivos útiles de los
directorios corruptos o perdidos.
Los cuales se encuentran en el dispositivo y que no puedan ser descritos por el sistema de
archivos o por el sistema operativo. Algunos de los programas lideres en análisis forense
informático son: Forensic Toolkit (FTK) de AccessData o EnCase de Guidance Software.
3.3.4.2.6 SubActividad 4.2.6 Identificar y recuperar los archivos objetivo (determinados por
algunos criterios, ejemplo aquellos que han sido afectados por el incidente).
Y si se quiere comparar su hash (archivos del sistema operativo y/o aplicaciones) con los
hash de archivos que nos facilita la http://www.nsrl.nist.gov/, o sítios como:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
95 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
http://www.wotsit.org/
http://www.processlibrary.com/
Es importante señalar que una vez que ubicamos un archivo de sistema y que se tenga la
duda de que se encuentre alterado o que sea el oficial y legítimo publicado por la fuente
oficial, la solución por ejemplo será el revisar el Hash MD5 que es publicado por la empresa
o desarrollador de software que publica el archivo, y compararlo contra el Hash MD5 que
una herramienta calcule con base al archivo que nosotros bajamos (existen varias en
Internet).
3.3.4.2.7 SubActividad 4.2.7 Llevar a cabo la recuperación de archivos, archivos borrados
y la recuperación de información oculta intencionalmente.
3.3.4.3 Actividad 4.3 Efectuar la extracción, lógica de evidencia.
3.3.4.3.1 SubActividad 4.3.1 Identificar y recuperar archivos y datos basados en la
instalación del sistema operativo, sistema de archivos y / o aplicaciones.
3.3.4.3.3 SubActividad 4.3.3 Utilizar la herramienta adecuada para realizar el análisis.
Debe definirse la herramienta a ser utilizada para llevar a cabo el análisis y documentarse
sus resultados.
3.3.4.3.4 SubActividad 4.3.4 Extraer la información del sistema de archivos, para revelar
las características de la estructura de directorios, atributos, nombres, estampas de tiempo,
tamaño y localización de archivos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
96 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.4.3.5 SubActividad 4.3.5 Extraer los archivos pertinentes para la evaluación,
basándose en nombre y extensión del archivo, cabecera de archivos, contenido y ubicación
dentro del dispositivo de almacenamiento.
3.3.4.3.6 SubActividad 4.3.6 Recuperar archivos borrados o archivos en espacios sin
asignar (―Unallocated File Space‖).
Es indispensable recuperar los archivos que se hallan eliminado ya que en ellos se podría
encontrar información valiosa para ayudar a esclarecer los hechos que se investigan.
Esto es cuando los archivos son borrados o suprimidos en DOS, Win9x, WinNT/2000, el
contenido de los archivos no es verdaderamente borrado. A menos, que se utilice algún
software especial que ofrezca un alto grado de seguridad en el proceso de eliminación, los
datos "borrados", permanecen en un área llamada espacio de almacenamiento no-asignado
(―Unallocated File Space‖).
Igual sucede con el ―file slack‖( El espacio de almacenamiento de datos que existe desde el
final del archivo hasta el final del cluster se llama "file slack", los sistemas basados en DOS,
Windows 95/98/ME/XP y Windows NT/2000 almacenan los archivos en bloques de tamaño
fijo llamados ―clusters‖, en los cuales raramente el tamaño de los archivos coinciden
perfectamente con el tamaño de uno o muchos ―clusters‖), asociado al archivo antes de que
éste fuera borrado. Consecuentemente, siguen existiendo los datos, escondidos pero
presentes, y pueden ser detectados mediante herramientas de software para el análisis
forense informático.
3.3.4.3.7 SubActividad 4.3.7 Extraer archivos protegidos con ―passwords‖ (contraseña),
encriptados y datos comprimidos.
Si se tiene la lista de ―passwords‖ (contraseñas) de usuarios y la colaboración de los
usuarios, la investigación será más fácil, de no ser así deberá documentarse el empleo de
herramientas que permitirán efectuar la extracción de contraseñas.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
97 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.4.3.8 SubActividad 4.3.8 Utilizar software enfocado al análisis forense informático con
el fin de extraer la información del “file slack”.
Desde un punto de vista de la investigación, el ―file slack‖ es un entorno rico para encontrar
pistas y evidencia.
Por ejemplo el ―file slack‖ puede contener pistas y evidencia en forma de fragmentos de
procesador de palabras, correo electrónico, chats en Internet, noticias de Internet y la
actividad de navegación por Internet.
Los sistemas basados en DOS, Windows 95/98/ME/XP y Windows NT/2000 almacenan los
archivos en bloques de tamaño fijo llamados clusters, en los cuales raramente el tamaño de
los archivos coinciden perfectamente con el tamaño de uno o muchos clusters.
El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final
del cluster se llama "file slack". Los tamaños de los clusters varían en longitud dependiendo
del sistema operativo involucrado y, en el caso de Windows 95/98/ME/XP, del tamaño de la
partición lógica implicada.
Un tamaño más grande en los ―clusters‖ significan más ―file slack‖ y también mayor pérdida
de espacio de almacenamiento. Sin embargo, esta debilidad de la seguridad del
computador crea ventajas para el investigador forense, porque el ―file slack‖ es una fuente
significativa de evidencia y pistas.
3.3.4.3.9 SubActividad 4.3.9 Obtener información del Archivo ―Swap‖ de Windows.
Los sistemas operativos Microsoft Windows utilizan un archivo especial como un "cuaderno
de apuntes" para escribir datos cuando se necesita memoria de acceso aleatorio adicional.
En Windows 95/98/ME/XP, a estos archivos se les conoce como Archivos ―Swap‖ de
Windows.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
98 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
En Windows NT/2000 se conocen como directorios de página de Windows pero tiene
esencialmente las mismas características que los de Win9x.
Los archivos de intercambio son potencialmente enormes y la mayoría de los usuarios de
PC son inconscientes de su existencia.
El tamaño de estos archivos puede extenderse desde 20MB a 200MB, el potencial de estos
es contener archivos sobrantes del tratamiento de los procesadores de texto, los mensajes
electrónicos, la actividad en Internet (cookies, etc), ―logs‖ de entradas a bases de datos y de
casi cualquier otro trabajo que haya ocurrido durante las últimas sesiones. Todo ésto,
genera un problema de seguridad, porque el usuario del computador nunca es informado de
este almacenamiento transparente.
Los Archivos ―Swap‖ de Windows actualmente proporcionan a los especialistas en
informática forense pistas con las cuales investigar, y que no se podrían conseguir de otra
manera.
3.3.4.4 Actividad 4.4 Analizar los datos extraídos.
3.3.4.4.1 SubActividad 4.4.1 Conceptualizar: agregación, correlación, filtrado y generación
de metadatos.
El perito en Informática Forense debe estar familiarizado con estos conceptos para
descubrir de manera eficiente la evidencia que se está buscando
3.3.4.4.2 SubActividad 4.4.2 Efectuar un pre análisis de la evidencia.
• Agregación y transformación: Unificación y recuperación de datos.
• Generación de metadatos: categorización e indexación, esto es se registraran
ordenadamente los datos e información obtenida de la evidencia.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
99 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.4.4.3 SubActividad 4.4.3 Efectuar análisis de flujo de datos y procesos.
En él se determina si existen procesos ajenos a los propios del sistema operativo o de las
aplicaciones.
3.3.4.4.4 SubActividad 4.4.4 Relacionar datos y evidencia.
• Diferencia entre datos y evidencia, aislamiento y su contextualización.
• Como relacionar los datos obtenidos con la evidencia.
• Sostenimiento de la evidencia
La evidencia es todo aquello que pueda convertirse en una prueba que constate un hecho
de lo ocurrido, por lo que el perito en Informática Forense debe saber diferenciar entre una
evidencia y un dato.
3.3.4.5 Actividad 4.5 Efectuar el análisis de tiempo de los eventos.
Consiste en considerar fechas y tiempos en los archivos analizados.
3.3.4.5.1 SubActividad 4.5.1 Determinar cuando ocurrieron los eventos en un dispositivo de
cómputo.
Obtener datos de fecha y tiempo de la información comprometida y con base a ello concluir
cuando ocurrió determinado evento.
3.3.4.5.2 SubActividad 4.5.2 Realizar el correspondiente estudio de los metadatos, (en
especial identificar las marcas de tiempo, creación, actualización, acceso, modificación,
etc.).
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
100 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Documentar estos metadatos de los archivos bajo estudio (de interés para la presente
investigación), con el fin de correlacionar los eventos y demostrar con ello la creación,
modificación y último acceso.
Con esta información el perito en informática forense podrá establecer una línea del tiempo.
3.3.4.5.3 SubActividad 4.5.3 Revisar los registros del sistema y aplicaciones.
Lo anterior con el fin de localizar posibles indicios de alguna intrusión y/o por el que se halla
comprometido el sistema.
3.3.4.6 Actividad 4.6 Analizar los datos ocultos (de sistema).
Efectuar un exhaustivo análisis a Archivos de sistema, por ejemplo el archivo SAM en Win
NT/2000/XP.
3.3.4.6.1 SubActividad 4.6.1 Detectar y recuperar datos ocultos.
Esta actividad al igual que la anterior puede proporcionar información importante. Existe en
la red un sin número de aplicaciones gratuitas (muchas de ellas en ambiente Linux), que
permiten realizar análisis forenses informáticos, incluso existen ―Live CD‖ (Disco que
funciona como disco de ―Booteo‖ (Disco que inicializa un equipo)), tales como ―Live CD
Helix3‖ de e-fense , ―Live CD Forense Raptor‖ ó el ―Live CD de Informática Forense DEFT‖.
3.3.4.6.2 SubActividad 4.6.2 Correlacionar los encabezados de archivos a su
correspondiente extensión para identificar alguna discrepancia, esto se logra con editores
hexadecimales, como WinHex.
3.3.4.7 Actividad 4.7 Analizar las aplicaciones instaladas.
Se identifican y analizan aplicaciones y/o los archivos que generan tales aplicaciones
instaladas en el equipo objeto de estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
101 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.4.7.1 SubActividad 4.7.1 Obtener información relevante relacionada con la
investigación obtenida de los archivos y aplicaciones.
La presente actividad servirá, para la toma de medidas adicionales que deben de adoptarse
en la extracción y análisis de procesos, (por ejemplo un software destino a la grabación de
bandas magnéticas, como las de las tarjetas de crédito).
3.3.4.7.2 SubActividad 4.7.2 Efectuar una revisión de nombres de archivos para determinar
su relevancia.
Tratar de obtener información adicional, basada en el nombre de los archivos bajo estudio.
3.3.4.7.3 SubActividad 4.7.3 Explorar el contenido de los archivos.
Abrir y analizar el contenido de archivos sospechosos o motivos de estudio.
3.3.4.7.4 SubActividad 4.7.4 Determinar el tipo del sistema operativo y/o sistema de
archivos.
De acuerdo al material motivo de estudio y contando con la herramienta adecuada el perito
determinara el sistema de archivos en el que se encuentra éste.
Por ejemplo la mayoría de los equipos de computo con Windows XP se encuentra bajo el
sistema de archivos NTFS (NTFS (NT ―File System‖) es un sistema de archivos de Windows
NT incluido en las versiones de Windows 2000, Windows XP, Windows Server 2003,
Windows Server 2008, Windows Vista y Windows 7), Linux se encuentra en Ext3/Ext4
(―fourth extended filesystem‖ o cuarto sistema de archivos extendido), etc.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
102 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
La importancia de esto radica en que una maquina en NTFS no puede visualizar particiones
de Linux, pero Linux si puede visualizar particiones de Windows.
3.3.4.7.5 SubActividad 4.7.5 Obtener información sobre el Software instalado,
actualizaciones y parches.
Determinar el Sistema Operativo (si utiliza Windows XP, Linux etc.), el software instalado,
actualizaciones de Windows y por supuesto las configuraciones de red.
3.3.4.7.6 SubActividad 4.7.6 Correlacionar los archivos de las aplicaciones instaladas.
Determinar, si los archivos creados por el usuario del equipo de computo motivo de estudio,
corresponden con el software instalado en el mismo.
3.3.4.7.7 SubActividad 4.7.7 Identificar archivos desconocidos (raros dentro de la
instalación del software), para determinar su valor en la información.
Identificar archivos fuera de lo común (extensiones irregulares, ejemplo: archivo.upsss) y
que posiblemente le fue cambiado su nombre de manera intencional con el propósito de
esconder información.
3.3.4.7.8 SubActividad 4.7.8 Evaluar el lugar de almacenamiento por omisión de los
usuarios con lo que respecta a sus aplicaciones y a la estructura de archivos.
Esto para determinar si la información se ha almacenado en el lugar por defecto o en otro
lugar.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
103 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.4.7.9 SubActividad 4.7.9 Evaluar las configuraciones del perfil de usuario.
El perfil de usuario proporciona información muy importante sobre la configuración del
entorno de trabajo de cada usuario. Define un entorno de escritorio personalizado, en el que
se incluye la configuración individual de la pantalla, así como las conexiones de red, las
impresoras, recursos a los que se tiene acceso (directorios o carpetas compartidas) y otros
a los que no, etc. Cada usuario puede tener un perfil asociado a su nombre de usuario que
se guarda en su equipo de computo, por lo general el administrador de sistema define este
perfil de usuario.
3.3.4.7.10 SubActividad 4.7.10 Buscar patrones de conducta del sospechoso, historial de
Internet, ―cookies‖ etc.
Una cookie es un fragmento de información que se almacena en el disco duro del visitante
de una página web (dirección electrónica que visita el usuario), a través de su navegador, a
petición del servidor de la página. Esta información puede ser luego recuperada por el
servidor en posteriores visitas. En ocasiones también se le llama "huella".
Por lo anterior, las cookies proporcionan importante información, la cual puede tener
relación con los hechos que se investigan, en la figura 3.10 se muestra la obtención de las
cookies con el programa ―WinTaylor 2.1 for Caine‖, para su posterior análisis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
104 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Figura 3.10 Salida tipo pantalla, en la que se muestra el análisis al archivo Index.dat, con el
fin de mostrar las cookies almacenadas en éste.
El análisis efectuado en la figura 3.10, fue obtenido como se dijo antes, utilizando
―WinTaylor 2.1 for Caine‖, el cual es un software forense gratuito [http://www.caine-live.net/],
existen varias versiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
105 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.4.8 Actividad 4.8 Analizar datos de la Red de cómputo.
Búsqueda de información relacionada con dispositivos y/o elementos técnicos que
conforman la red de cómputo.
3.3.4.8.1 SubActividad 4.8.1 Identificar los dispositivos de comunicación y de defensa perimetral.
Tales como: Servidores Web, ―Firewall‖, IDS‘s (Intrusion Detection System, es un programa
usado para detectar accesos no autorizados a un computador o a una red), IPS‘s (Intrusion
Prevention Systems), éstos combinan múltiples funcionalidades, como: Firewall, IDS, y
detección de anomalías de protocolo, antivirus, valoración de vulnerabilidades, filtrado de
contenidos, etc., ―Proxys‖, Filtros de Contenido, Analizadores de Red, Servidores de ―Logs‖,
etc., que están en la Red, con la finalidad de recuperar los ―Logs‖ que se han tomado como
parte de la gestión de red.
A continuación, se presenta la fase V:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
106 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.5 Fase V. Presentación de Resultados Obtenidos.
3.3.5.0 Introducción.
Es la fase final y la más delicada e importante la cual será el documento que sustentará una
prueba en un proceso legal.
Es la Fase que tiene como fin la presentación y entrega de los resultados obtenidos de la
investigación del análisis forense informático. La claridad con la que se presente el
resultado de la investigación, marcará la diferencia entre si es aceptada la evidencia o no en
un proceso legal, debiendo evitarse al máximo los tecnicismos en su redacción, esto es el
Dictamen Pericial deberá ser concreto, libre de jerga propia de la disciplina, pedagógico y
sobre manera, consistente con los hechos y resultados obtenidos.
Los especialistas en el análisis forense informático que apoyan las labores en el ciclo de
administración de la evidencia digital no deben contar con altos niveles de ética, sino con
los más altos estándares y niveles de ética, pues en ellos recaen los conceptos sobre los
cuales el juez toma sus decisiones.
FASE I
FASE II
FASE III
FASE IV
FASE V
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
107 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
3.3.5.1 Actividad 5.1 Considerar todas y cada una de las Actividades, que conforman la
presente Fase, a fin de cumplimentar lo necesario para estar en posibilidad de redactar el
documento final.
De acuerdo al caso bajo estudio, nivel de complejidad y/o al criterio del perito en informática
forense, la elaboración del documento final (llámesele Dictamen ó Reporte técnico), se
realizará en estricto apego a las actividades que conforman la presente Fase.
3.3.5.1.1 SubActividad 5.1.1 Definir las secciones (estructura) del cuerpo del documento
final.
De manera general deberá contener los apartados correspondientes a: los ―Antecedentes‖,
el ―Planteamiento del Problema‖, la ―Identificación del material objeto de estudio‖
(descripción a detalle del material objeto de estudio), las ―Consideraciones Técnicas‖ si es
que las hay, el desarrollo del ―Estudio técnico‖, ―Conclusiones ó Conclusión‖ a la que se ha
llegado, así como secciones complementarias, como un ―Glosario‖, ―Apéndice‖ y ―Anexos‖.
3.3.5.1.2 SubActividad 5.1.2 Explicar claramente el objetivo del Dictamen Pericial y motivo
por el cual se realizo determinado estudio.
3.3.5.1.3 SubActividad 5.1.3 Incluir en el cuerpo del Dictamen el apartado correspondiente
a los Antecedentes.
El cual consistirá, en una breve narración de los hechos precedentes a la intervención
pericial, tales como la manera en la que se pone del conocimiento los hechos delictivos que
se investigan, quien solicita nuestra intervención pericial, a qué lugar se tendrá que trasladar
el perito en informática forense, quien le pone a la vista el equipo objeto de estudio, persona
que lo recibe, hora de inicio del estudio y cualquier otra circunstancia que se relacione con
los hechos que se investigan, tal como si fue necesario consultar el expediente de la
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
108 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
averiguación previa o si se contó con el apoyo de cualquier otra persona a efecto de llevar a
cabo el estudio correspondiente. De igual manera será importante señalar si la autoridad
competente o el titular de la investigación gira alguna instrucción específica no obstante que
se le haya advertido de los riesgos que se corren al ejecutar tal instrucción.
3.3.5.1.4 SubActividad 5.1.4 Estudiar, el apartado correspondiente al ―Planteamiento del
Problema‖.
El cual deberá indicarle, al perito en informática forense, de una manera clara y objetiva el
motivo de su intervención pericial.
3.3.5.1.5 SubActividad 5.1.5 Incluir un apartado con la ―Identificación del material objeto de
estudio‖, (descripción a detalle del material objeto de estudio).
En el cual se especifique por ejemplo el tipo de equipo, marca, modelo, numero de serie y/o
inventario, alguna observación tal como si se encuentra en buen estado ó si se encuentra
funcionando, así como si se encuentra rotulado con alguna leyenda escrita, por ejemplo
esto último es típico en los discos compactos CD/DVD.
3.3.5.1.6 SubActividad 5.1.6 Incluir un apartado para establecer las ―Consideraciones
Técnicas‖, necesarias para llevar a cabo el estudio correspondiente.
3.3.5.1.7 SubActividad 5.1.7 Establecer a detalle el desarrollo del estudio técnico.
Especificar la metodología empleada para el estudio requerido por la autoridad competente,
así como todos y cada uno de los procedimientos realizados para llegar a los resultados
obtenidos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
109 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Recordando que todo procedimiento deberá ser repetible y verificable (por otro
investigador). Incluir irregularidades encontradas o cualquier acción que pudiese ser
irregular durante el análisis de la evidencia.
3.3.5.1.8 SubActividad 5.1.8 Definir la conclusión ó conclusiones a la que se ha llegado, de
una manera clara y precisa.
La intervención pericial emite una conclusión que viene formulada sobre concretos datos
arrojados por el estudio técnico, por lo que en esté apartado, se escriben la ó las
conclusiones a las que se ha llegado de una manera clara, corta y objetiva.
Evitar los juicios de valor o afirmaciones no verificables, utilizar palabras simples, no las
rebuscadas, evitarse las redundancias.
Se pueden emplear términos técnicos necesarios, pero siempre de una forma clara y
simple, pensando en quien va a recibir el documento final producto de la presente
metodología.
3.3.5.1.9 SubActividad 5.1.9 Elaboración de Dictamen Pericial basado en la evidencia final
obtenida, para que ésta sea presentada.
3.3.5.1.10 SubActividad 5.1.10 Plasmar la rúbrica del Autor en el Dictamen Pericial.
3.3.5.1.11 SubActividad 5.1.11 Incluir secciones complementarias, tales como la
realización de un glosario, apéndice y anexos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
110 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
De igual manera no olvidar incluir en el cuerpo del Dictamen, todas las personas que de
alguna manera intervinieron en el caso bajo estudio (por ejemplo durante la realización de
un cateo, interviene una gran variedad de personal tales como: peritos, policía judicial y
ministerio público, entre otros), incluyendo sus cargos y las responsabilidades durante toda
la investigación.
3.3.5.2 Actividad 5.2 Analizar y considerar todas las subactividades, que conforman la
presente actividad, con el fin de elaborar el documento final.
3.3.5.2.1 SubActividad 5.2.1 Explicar los resultados del análisis, donde se detallen con
claridad los hallazgos.
Es indispensable que los hallazgos sobre la evidencia y/o resultados del análisis sean
vertidos dentro del apartado correspondiente al estudio técnico en donde se desarrollarán a
detalle todos y cada uno de los procedimientos efectuados para su obtención.
3.3.5.2.2 SubActividad 5.2.2 Realizar una bitácora de uso y aplicación de los
procedimientos técnicos utilizados.
Esta bitácora podrá ser manejada como un anexo, en el cual se muestre a detalle los
procedimientos y/o métodos aplicados a los elementos objeto de estudio.
3.3.5.2.3 SubActividad 5.2.3 Cumplir con exhaustivo cuidado con los procedimientos
previstos para el mantenimiento de la cadena de custodia.
Es recomendable que todo elemento objeto de estudio que se reciba o se entregue sea
acompañado con un oficio en el que se especifiquen los elementos que se reciben y/o se
entregan así como también se obtenga la firma de la persona que reciba dicho oficio,
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
111 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
acompañado de los elementos objeto de estudio, no está por demás decir que en dicho
oficio se detallaran las características de los elementos objeto de estudio.
3.3.5.2.4 SubActividad 5.2.4 Contar con todos los oficios recibidos y/o utilizados durante
toda la investigación.
Es posible que en el desarrollo de la investigación se extravié algún documento y/o
elemento objeto de estudio por lo que será de suma importancia el contar con la
documentación necesaria para deslindarse de cualquier responsabilidad.
3.3.5.2.5 SubActividad 5.2.5 Describir las herramientas enfocadas a la informática forense,
utilizadas durante el análisis.
Se deberá justificar y explicar el porqué del uso de alguna herramienta, sea ésta informática
(software) o electrónica así como su función dentro de la investigación.
SubActividad 5.2.6 Citar a las pruebas, de una manera concreta con el fin de hacer
entendible la conclusión.
Esto se hará, sin dar excesivos detalles acerca de cómo se obtuvieron estas, este tipo de
información es recomendable citarla en el apartado del estudio técnico.
3.3.5.2.7 SubActividad 5.2.7 Proporcionar una lista completa de todos los documentos
justificativos o de apoyo.
Lo anterior, se justifica cuando se está trabajando un caso (investigando), demasiado
complejo en cuanto a indagatorias (expediente de la averiguación previa), por ejemplo la
información que obra en actuaciones de la averiguación previa.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
112 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Cabe señalar que en muchas ocasiones habrá averiguaciones previas que estén
relacionadas con otras y cada una de ellas podrá estar constituida por varios volúmenes ó
tomos, por lo que cobra relevancia el tener documentado a que foja se toma alguna
información ó elemento de estudio, esto último por ejemplo cuando a determinada foja se
hace referencia a un portal de Internet ó dirección electrónica.
3.3.5.2.8 SubActividad 5.2.8 Incluir antes de la firma del autor o autores, una nota
aclaratoria en la que se especifique que se entrega el material objeto de estudio de la
misma forma en la que se recibió.
Esta nota aclaratoria es de suma importancia ya que muchas veces se entrega tanto el
Dictamen Pericial como el equipo bajo estudio al correspondiente resguardante y este último
no toma las medidas cautelares necesarias, teniendo como resultado el daño del equipo o
la pérdida del mismo, por lo que ante la ausencia de esta nota aclaratoria el único
responsable sería el perito en informática forense por no prever tal situación.
SubActividad 5.2.9 Obtener siempre un acuse de recibido del Dictamen Pericial, producto
de la aplicación de la presente metodología.
Lo anterior, a efecto de poder corroborar la entrega y recepción del Documento Final
producto de esta metodología, por lo general firmado por la autoridad competente y titular
de la investigación, especificando en el mismo que se recibe el material objeto de estudio,
fecha, hora y nombre de quien lo recibe.
Es importante aclarar que la persona que reciba tal documento, deberá indicar que lo que
está recibiendo es un Dictamen ó un Informe.
3.3.5.2.10 SubActividad 5.2.10 Realizar cualquier observación, dentro del documento final
antes de estampar la rúbrica (con el fin, de evitar que se invalide tal observación), se
recomienda firmar al margen todas y cada una de las fojas que constituyan el Documento
Final.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
113 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Siempre que se tenga algún tipo de observación ó detalle respecto a la investigación, tal
como: la entrega de algún anexo (llámesele disco compacto y/o tomas fotográficas, etc.),
alguna aclaración respecto a la entrega del Dictamen (retardo y/o evento circunstancial).
En lo que se refiere a la redacción del Dictamen evitar dejar espacios en blanco (en
particular grandes) y firmar al margen todas y cada una de la fojas que constituyan el
Dictamen, producto de la presente metodología.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
114 Ing. Arturo Palacios Ugalde.
Capítulo 3:Desarrollo de la Metodología Propuesta.
Resumen del Capítulo:
En el Capítulo 3, se desarrolló la Metodología Propuesta, la cual tiene como base el tener
un enfoque Sistémico, en el presente capítulo se expusieron las fases y métodos que la
integran, se describió el proceso forense informático para lo cual se mostró el análisis del
modelo de informática forense, así como se mostraron gráficamente las fases que integran
la metodología propuesta.
En el Capítulo 3, se generó la estrategia de creación de la metodología propuesta. Lo
anterior le permitirá a un investigador forense informático el poder contar con una
metodología válida y confiable para la correcta obtención de evidencia digital.
Ahora en el siguiente Capítulo, se tendrá un caso de estudio, con la finalidad de poner en
práctica la Metodología Propuesta.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
115 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Capítulo 4.-
Aplicación de la Metodología Propuesta en un Caso de Estudio:
Localización de un archivo con información específica.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
116 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Capítulo 4.- Aplicación de la Metodología Propuesta en un Caso de
Estudio:
Localización de un archivo con información específica.
Ubicación de Información cuestionable.
Para la aplicación de la Metodología Propuesta, está se aplicará en un caso hipotético en el
que se le plantea al perito en informática forense: ―Localizar un archivo de texto con
Información Bancaria‖, relacionado con un fraude Bancario, teniendo como objetivo principal
el identificar cualquier información relacionada con tarjetas bancarias. Para tal fin, se
requiere conocer el elemento objeto de estudio, el cual, en este caso en particular, se trata
de una Computadora Personal, puesto a disposición de la autoridad competente y
relacionado con un fraude bancario.
Recordando que tal y como se estableció en el Capítulo anterior, dependerá del caso
de estudio; así como del criterio del perito en informática forense, el aplicar ó no
todas y cada una de las actividades y subfases que conforman la presente
metodología propuesta.
Entonces, para apoyo a la presentación de la metodología propuesta se empleará la
siguiente iconografía:
Para un recordatorio breve de la Actividad o Fase, es decir el ¿Qué hacer básico?
Resultados obtenidos:
Este otro icono, servirá para presentar los resultados obtenidos de dicha Actividad
en su aplicación en el caso práctico, en algunos casos también será usado para
identificación de la forma en que fue aplicada la Actividad o Fase.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
117 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
FASE I
FASE II
FASE III
FASE IV
FASE V
Conociendo lo anterior, se procederá a la aplicación de las Fases de la Metodología
propuesta:
4.1 . Fase I. Planteamiento del Problema.
¿Qué hacer básico (recordatorio)?
Durante esta Fase se le presenta al forense informático de una manera clara y precisa el
objeto de la investigación, siendo por lo tanto la Fase que determinara la viabilidad del
Análisis, ya que como se trató en el capitulo anterior, de acuerdo a la forma en que se
plantea el problema se estará en posibilidades de intervenir en dicho caso a investigar o no.
Para tal fin, se sugiere llevar a cabo las siguientes actividades:
Actividad 1.1 Definir adecuadamente el planteamiento del problema.
¿Qué hacer básico (recordatorio)?
Hace referencia a él objeto de la investigación, es decir, el fin que tendrá la intervención
pericial.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
118 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Forma de Aplicación de la Actividad.
Para la presente actividad se recomienda se le haga una toma fotográfica al oficio, haciendo
énfasis en la parte donde se realiza la petición del tipo de análisis o bien se proceda como a
continuación:
Para el presente caso hipotético se tiene el siguiente Planteamiento del Problema: A la letra
dice: ―…localizar archivos de texto con Información Bancaria…‖
Una vez definido el planteamiento del problema, ahora se tiene que:
Actividad 1.2 Evaluar la disponibilidad de los recursos con los que se cuenta.
Se evalúa la disponibilidad de los recursos con los que se cuenta, sean estos Temporales,
Humanos, Materiales u Organizacionales.
En el presente caso práctico se hizo uso de una herramienta para desmontar el disco duro
de la computadora objeto de estudio, un bloqueador de escritura para el disco duro,
software forense para obtener la imagen del disco duro, así como su ―Hash‖ (En informática:
Hash, se refiere a una función o método para generar claves o llaves que representen de
manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato),
un disco duro limpio o esterilizado para respaldar la correspondiente imagen y un equipo de
cómputo para la realización de su respectivo análisis, para el presente caso con la
participación de un sólo especialista será suficiente.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
119 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Ahora se continúa con la aplicación de la:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
120 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
FASE I
FASE II
FASE III
FASE IV
FASE V
4.2 . Aplicación de la Fase II. Identificación detallada del material objeto
de estudio.
Con el fin de llevar a cabo una adecuada intervención pericial en informática forense: es
necesario, conocer previamente el material objeto de estudio.
Para tal, fin se sugiere llevar a cabo las siguientes actividades:
Actividad 2.1 Aseguramiento del material objeto de estudio y consideraciones
generales.
Se tiene que hacer un resguardo adecuado del material motivo de estudio.
En el presente caso se da por hecho que la autoridad competente ya tiene asegurado el
equipo a analizar
¿Qué hacer básico (recordatorio)?
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
121 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para el presente caso de estudio el CPU, cuestionado y bajo análisis tiene las siguientes
características:
No. Descripción Marca Modelo No. Serie Disco Asociado
01 CPU (gabinete
minitorre), color negro,
con un disco duro.
Marca ####-L# L# ##LLL####LL 1.- Marca de 320 GB
S/N: #LL#L#L#
Figura 4.1 Identificación del material objeto de estudio.
Es importante tomar en cuenta que un CPU almacena su información a través de sus discos
duros, por lo que será necesario identificar dicho elemento como se ejemplifica en la
siguiente figura:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
122 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.2 Identificación del disco duro asociado al material objeto de estudio.
SubActividad 2.1.1 Establecer el perímetro de protección del equipo o equipos
afectados.
Evitar que la evidencia original sea alterada por las personas que intervienen en el lugar de
los hechos.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
123 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Derivado de que para el presente caso materia de estudio, se da por hecho que el equipo
se encuentra ya a disposición de la autoridad competente (en otra área distinta al lugar de
los hechos), la presente actividad no aplica en el presente caso motivo de estudio.
SubActividad 2.1.2 Tener la capacidad para poder determinar lo que ha sucedido y
reconstruir los hechos.
Analizar adecuadamente el lugar de los hechos y los indicios recogidos en el mismo.
Tomando en cuenta que para el presente caso materia de estudio, se da por hecho que el
equipo se encuentra ya a disposición de la autoridad competente (en otra área distinta al
lugar de los hechos), la presente actividad no aplica en el presente caso motivo de estudio.
SubActividad 2.1.3 Preservar toda impresión dactilar abandonada ó ubicada (huella
dactilar latente).
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
124 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Con el fin de facilitar la identificación del supuesto sospechoso o sospechosos se deberá
preservar toda impresión dactilar.
Corroborar con el titular de la investigación que se haya preservado toda impresión dactilar,
no obstante se tendrá que tomar cualquier parte del equipo objeto de estudio con el debido
cuidado y haciendo uso de guantes de látex con el fin de evitar contaminar los equipos o
dispositivos a ser investigados.
SubActividad 2.1.4 Emplear brazaletes antiestáticos.
Se recomienda el uso de brazaletes antiestáticos, para evitar alterar la evidencia por cargas
electrostáticas.
Para el presente caso de estudio se hizo uso de brazaletes antiestáticos, con el fin de evitar
alterar la evidencia por cargas electrostáticas por la manipulación de los equipos o
dispositivos. Así mismo, se contó con bolsas antiestáticas para el adecuado y seguro
embalaje de la evidencia.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
125 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 2.1.5 Determinar la ocurrencia de cualquier incidente y de su impacto.
En este punto se determinará la ocurrencia de cualquier otro dato y/o información
relacionada con los hechos que se investigan.
Para el presente punto se determinará la ocurrencia de cualquier otro incidente y/o detalle
que se observe del material objeto de estudio, por ejemplo: si el equipo muestra evidencia
de que haya sido abierto (marcas de herramienta), si derivado de la inspección del interior
del gabinete del CPU se observa algo inusual (por ejemplo, ausencia de polvo por el uso
normal en algunas áreas); cualquier anomalía y/o detalle inusual observable se le informará
por escrito al titular de la investigación.
Para el presente caso se hará hincapié en que el equipo tiene marcas propias de uso.
SubActividad 2.1.6 Considerar todos los componentes que pueden estar relacionados
de alguna forma con la computadora y/o elemento cuestionado.
Considerar todos los elementos relacionados con la especialidad de Informática con la
finalidad de aportar mayor información al titular de la investigación.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
126 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para el presente caso motivo de estudio se tomaron, como elementos de análisis el
gabinete (chasis de la computadora) y su disco duro.
SubActividad 2.1.7 Conocer las debilidades, fortalezas y otros conocimientos
relacionados a las fuentes, incluyendo factores humanos y electrónicos.
Se hará un recuento de ventajas, desventajas relacionadas al caso de estudio y/o sobre
cualquier imprevisto.
Se le dio parte al titular de la investigación sobre la falta del cable de datos para conectar el
disco duro (en el presente caso se trata de un disco SATA), así como se informo el tiempo
estimado para el análisis del presente disco duro objeto de estudio.
SubActividad 2.1.8 Estar consciente de las limitaciones de sus capacidades
científicas, técnicas o temporales ante el caso expuesto.
Evitar que la evidencia se altere por el mal manejo de está, así como el de no tenerlos en
tiempo y forma.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
127 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
En el presente caso motivo de estudio, la aplicación de esta actividad no aplica, ya que se
considera que se cuenta con todos los elementos necesarios para desahogar la solicitud de
la autoridad competente.
SubActividad 2.1.9 Realizar una evaluación de los recursos (en el ámbito de la
información y acceso a la misma, por ejemplo la determinación del origen de un
correo electrónico estará supeditado a la información proporcionada por el proveedor
de servicios de Internet), alcance y objetivos necesarios para realizar la investigación.
Determinar si se cuenta con los elementos mínimos necesarios (en cuanto a información y
acceso a la misma), para llevar a cabo la investigación.
Para el presente caso bajo estudio, la aplicación de esta actividad no aplica, ya que se
considera que se cuenta con el elemento indispensable para darle el debido cumplimiento a
lo requerido por la autoridad competente, que en el presente caso es el disco duro de la
computadora cuestionada.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
128 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 2.1.10 Contar con un laboratorio de informática forense que permita
realizar el proceso de obtención y análisis.
Contar con la herramienta técnica necesaria y que asegure la preservación de la integridad
de la evidencia digital.
Para el presente caso, objeto de análisis, la aplicación de esta actividad no aplica, ya que se
considera que se cuenta con los elementos técnicos necesarios para dar el debido
cumplimiento a lo requerido por la autoridad competente.
SubActividad 2.1.11 Obtener por escrito la autorización para iniciar la intervención
Pericial en Informática Forense, (sea esta por parte de la autoridad competente o del
dueño del equipo cuestionado,Investigación de equipos). Teniéndose presente, el
principio de secrecia dentro de toda la investigación.
Poseer por escrito la autorización para intervenir el equipo, objeto de estudio.
¿Qué hacer básico (recordatorio)?
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
129 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Se obtuvo formalmente y por escrito la autorización para iniciar la intervención Pericial en
Informática Forense sobre el equipo objeto de estudio.
SubActividad 2.1.12 Documentar todas las acciones y antecedentes que preceden la
investigación. Los acontecimientos y decisiones que se adoptaron durante el
incidente y su respuesta al incidente.
Se deberá anotar la fecha, la hora exacta en que se recibió la llamada solicitando la
intervención pericial en informática, medio por el cual se recibió la llamada. Al llegar al lugar
de los hechos se deberá anotar: la hora exacta de llegada, la dirección correcta, nombre de
la autoridad que encabeza la investigación y la persona que le pone a la vista el equipo
cuestionado.
En el presente problema planteado y objeto de esté estudio, la aplicación de esta actividad
no aplica.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
130 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 2.1.13 Organizar y definir el equipo de Investigación.
Se deberá acreditar legalmente la intervención pericial por parte de la autoridad
competente.
En el presente caso objeto de estudio, la aplicación de esta actividad no aplica, toda vez
que se da por hecho que se cuenta con la documentación que habilita legalmente la
intervención del perito.
SubActividad 2.1.14 Realizar una Investigación preliminar.
Se documentan todos los Antecedentes, que el perito crea conveniente citar.
Para el presente caso motivo de estudio, la aplicación de esta actividad no aplica.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
131 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 2.1.15 Identificar el Impacto y la sensibilidad de la información (de
asuntos y/o de clientes, financieros, comerciales, de Investigación y desarrollo, etc.)
Identificar la relevancia que guarda el manejar cierto tipo de información (cuentas bancarias,
de gobierno etc.).
Se identificó el Impacto y la sensibilidad de la presente información que para el presente
caso planteado se podría tratar por ejemplo de información correspondiente al contenido de
las bandas magnéticas de tarjetas plásticas (bancarias), la cual se deberá manejar de
manera sigilosa y con el debido cuidado.
SubActividad 2.1.16 Analizar el Impacto de los negocios a través de la investigación
del Incidente.
Determinar si el incidente le impide a una empresa realizar sus actividades de manera
normal y éste no le provoca algún tipo de perdida.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
132 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para el presente, planteamiento del problema que se tiene por objeto de estudio, la
aplicación de esta actividad no aplica.
SubActividad 2.1.17 Identificar la topología de red y tipología de red, equipos
afectados (servidores, estaciones de trabajo, Sistemas Operativos, Router, Switches,
etc.)
Se identifican los elementos más importantes dentro de una red de computadoras y que
pudieran aportar alguna información a la investigación.
En el presente caso motivo de estudio, ésta actividad no aplica.
SubActividad 2.1.18 Identificar los dispositivos de almacenamiento o elementos
informáticos.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
133 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Identificar los elementos que puedan aportar información relacionada a los hechos que se
investigan y que motiva el caso objeto de estudio.
Para el presente caso de estudio se procedió a fijar fotográficamente la computadora objeto
de estudio, así como a fijar fotográficamente su disco duro, resaltando datos como su
número de serie y capacidad.
Figura 4.3 Fijación Fotográfica del material objeto de estudio, teniendo mayor relevancia
para el presente caso el disco duro asociado a la computadora cuestionada, toda vez que
es el elemento en donde se almacena toda la información procesada.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
134 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 2.1.19 Ejecutar adecuadamente los procedimiento sobre sistemas vivos
(análisis en vivo), para no perder la continuidad en producción de los equipos y su
uso en las instalaciones, evitando la perdida de los datos volátiles.
Se procederá de acuerdo al criterio del forense informático acorde a las circunstancias y de
acuerdo a lo requerido por la autoridad competente.
Para el presente caso motivo de estudio, la aplicación de esta actividad se ve reflejada en la
metodología desarrollada para resolver el Problema Planteado.
SubActividad 2.1.20 Identificar los posibles implicados o funcionarios que tengan
relación con la investigación ó que pudieran aportar mayor información.
Con el fin de obtener mayor información relacionada con los hechos que se investigan,
hacer uso de entrevistas, ya sea con usuarios o administradores responsables de los
sistemas.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
135 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para dar respuesta a lo requerido, en el presente Planteamiento de Problema propuesto, la
aplicación de esta actividad no aplica, ya que el darle respuesta a esta interrogante u
obtener está información no forma parte del Planteamiento del Problema para el presente
caso motivo de estudio y obtenerla significaría un exceso en las funciones del perito en
informática forense, pudiendo derivar en alguna sanción, incluso de carácter penal.
SubActividad 2.1.21 Realizar una recuperación de los “logs” (bitácora de
movimientos), de los equipos de comunicación y dispositivos de red, involucrados en
la topología de la red.
Llevar a cabo la recuperación de ―logs‖ de acuerdo al caso bajo estudio.
Para la presente investigación objeto de estudio, la aplicación de esta actividad no aplica, ya
que el darle respuesta a esta interrogante u obtener está información no forma parte del
Planteamiento del Problema para el presente caso motivo de estudio.
SubActividad 2.1.22 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quién es el
primero que tiene la evidencia?.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
136 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Determinar la cadena de custodia.
Para el presente caso motivo de estudio, la aplicación de esta actividad se encuentra
implícita en el desarrollo del documento final y consiste en llevar a cabo una adecuada
manipulación de la evidencia, así como el de llevar un claro registro de quien y en que
momento tuvo su resguardo.
SubActividad 2.1.23 Responder a las preguntas: ¿Dónde?, ¿Cuándo? y ¿Quien
examino la evidencia? (Si anterior a nuestra intervención, intervino alguien mas, por
ejemplo la policía cibernética).
Documentar cualquier intervención (análisis) con el material objeto de estudio.
La aplicación de esta actividad se encuentra implícita en el desarrollo del documento final.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
137 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 2.1.24 Responder a las preguntas: ¿Quien va a tener custodia de la
evidencia? y ¿Por cuánto tiempo la tendrá?
Documentarlo detalladamente.
Para el presente caso motivo de estudio, la aplicación de esta actividad se encuentra
implícita en el desarrollo del documento final.
SubActividad 2.1.25 Responder a las preguntas: ¿Quién? y ¿Cómo se embaló y/o
almacenó la evidencia?
Documentar este punto detalladamente.
Para el presente objeto de análisis, el empleo de esta actividad no aplica, toda vez que se
dio por hecho que el equipo asegurado se recibió para su estudio directamente de la
autoridad competente.
¿Qué hacer básico (recordatorio)?
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
138 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 2.1.26 Responder a las preguntas: ¿Cuándo se realiza el cambio de
custodia? y ¿Cómo se realiza la transferencia?
Documentar turno, personal y área jurisdiccional (por ejemplo Delegación ó el nombre del
Ministerio Público).
Para el presente caso motivo de estudio, el uso de esta actividad se muestra en el
desarrollo del documento final (Dictamen Pericial).
Actividad 2.2 Efectuar la evaluación del caso.
Se valoraran (con base al contenido de archivos ubicados), los elementos de mayor
relevancia localizados en el material objeto de estudio y que tengan relación con la de la
investigación y/o hechos que se investigan.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
139 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para el presente caso objeto de estudio, la búsqueda de información se centro en la
búsqueda de archivos de tipo texto, sea este del tipo plano (por ejemplo archivos con
extensión .txt) ó enriquecido (por ejemplo archivos con extensión .doc).
SubActividad 2.2.1 Situar el status del caso, que el perito en informática forense
investigará.
Determinar qué sentido tomará la investigación, definiéndose si es simplemente la violación
de una política, normas, lineamientos o bien se trate de un delito.
Para el presente asunto bajo estudio, la aplicación de esta actividad no aplica, ya que el
Planteamiento del Problema es puntual y objetivo: ―Buscar información Bancaria‖.
SubActividad 2.2.2 Conocer detalles sobre el caso.
Conocer la mayor cantidad de detalles antes de llegar a la escena del delito donde se
presento el incidente, de ser posible realizar una lectura del expediente de la averiguación
previa.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
140 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
En la presente investigación, la utilización de esta actividad no aplica, ya que para darle
respuesta al presente Planteamiento del Problema, no se requiere mayor información (ya
que en algunas ocasiones será necesario leer el expediente de la averiguación previa), que
avocarse a la búsqueda de información requerida por la autoridad competente.
SubActividad 2.2.3 Definir el tipo de evidencia a manejar.
Tener bien claro el tipo de evidencia que se va a manejar, por ejemplo hacer la diferencia
entre un chip y una micro memoria para equipo fotográfico.
En la presente investigación, esta actividad consistió en definir el tipo de evidencia a
localizar y/o a manipular, así como a analizar, siendo que para el presente caso, el estudio
del disco duro, derivo en localizar dos archivos de texto con información bancaria.
SubActividad 2.2.4 Evaluar de manera inicial respecto al caso.
Recabar información con las personas relacionadas con el caso para posteriormente
documentar las respuestas recabadas y relacionarlas con la evidencia obtenida.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
141 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para el presente caso se le solicitó al personal bancario sobre las características de la
información que podría venir almacenada en la computadora objeto de estudio (series de
números con determinadas características: los cuales, probablemente correspondan a
tarjetas bancarias ó cuentas bancarias beneficiarias del fraude), que para el presente caso
se buscaron las palabras claves ―Track1:‖ y ―Track2:‖, así como búsqueda de cadena de
caracteres numéricos de 16 dígitos.
SubActividad 2.2.5 Rastrear fuentes de información en la estructura organizacional.
• Perfiles de usuario.
• Investigación en progreso de un determinado lugar o un análisis nuevo.
Verificar los lineamientos de las políticas de uso de equipos, de igual manera considerar los
manuales operativos institucionales con el fin de obtener mayor información.
Para la presente investigación, la aplicación de esta actividad no aplica, ya que no forma
parte del Planteamiento del Problema.
SubActividad 2.2.6 Ubicar, ¿Cuales son las fuentes de información?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
142 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Localización lógica o física de la evidencia digital, que tenga que ver con los hechos que se
investigan.
En este punto se ha identificado al disco duro asociado a la computadora objeto de estudio
como un elemento imprescindible en el presente análisis.
Razón por la cual se determina realizar una búsqueda de información relacionada con
tarjetas bancarias a través de la siguiente acción:
1) Búsqueda en el disco duro de cualquier información relacionada con tarjetas
bancarias.
Es importante señalar que para realizar el análisis del disco, se utilizó un bloqueador
o protector contra escritura (Figura 4.4), de tal forma que la información del disco
duro no fue alterada durante el análisis, preservándose de esta forma la integridad de
la evidencia.
Figura 4.4 Una vez que se tuvo identificado plenamente al elemento base (fuente de
información), para realizar su análisis correspondiente, se procedió a colocarle un
bloqueador de escritura.
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
143 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
En la figura anterior se observa la conexión del bloqueador de escritura, a efecto de llevar a
cabo su exploración sin alterar la información contenida en este soporte magnético (disco
duro).
SubActividad 2.2.7 Identificar las fuentes de información, tanto de personas, como de
aquellas que se encuentran almacenadas de manera lógica.
Delimitar el área de búsqueda, especificada por el Planteamiento del Problema, planteado
por la autoridad competente.
Se identificó al personal de las instituciones bancarias idóneas, para proveer de información
que pudiera ser útil para la investigación.
SubActividad 2.2.8 Determinar el diseño preliminar o enfoque del caso.
Se prepara un resumen general para hacer la investigación de manera acotada, (en
condiciones de cierta premura podría servir como un avance de Dictamen Pericial (un
Dictamen con muy poco tiempo a disposición del investigador)).
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
144 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para el caso particular bajo estudio, no aplica la presente actividad, por el hecho de no ser
un caso urgente, así como considerar que el volumen de información manejada como
evidencia es poca (dos archivos de texto).
SubActividad 2.2.9 Fijar el lugar de los hechos con tomas fotográficas y grabaciones
de diferentes ángulos en el área del lugar de los hechos antes de la recolección de la
evidencia.
Realizar tomas fotográficas y/o grabaciones del lugar de los hechos ó escena del delito.
Derivado que para el presenta caso motivo de estudio se da por hecho que el material para
análisis es puesto a la vista por la autoridad competente y que esté (material ó equipo
cuestionado), ya fue asegurado (sustraído) de la escena del delito y por ende ya fue fijado el
lugar de los hechos, razón por la cual se aplica la presente actividad de manera parcial, es
decir para el presente proyecto se fijo el material de estudio únicamente.
SubActividad 2.2.10 Fijar fotográficamente los periféricos (teclado, mouse, impresora,
scaner etc.), que se encuentran en el lugar de los hechos.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
145 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Se fijan los periféricos en el lugar de los hechos o lugar de la investigación.
Para el presente caso motivo de estudio, el empleo de esta actividad no aplica, ya que el
material objeto de estudio, fue recibido a través de la autoridad competente y para el
presente caso se consideró que se recibió únicamente el gabinete de la computadora (sin
cables, monitor, teclado etc.).
SubActividad 2.2.11 Fijar fotográficamente las conexiones físicas del equipo motivo
de estudio.
Realizar tomas fotográficas del arreglo de las conexiones del equipo ó equipos
cuestionados.
Para darle respuesta al presente problema planteado, el uso de esta actividad no aplica, ya
que para el caso bajo estudio no se consideró ir al lugar de los hechos ó lugar donde se
aseguro el equipo de cómputo, (el gabinete objeto de estudio, lo presento la autoridad
competente).
SubActividad 2.2.12 Documentar la información observable.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
146 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Debe registrarse toda la información útil observable y que puede en un momento dado ser
necesaria, en el desarrollo de la investigación.
Se procede a documentar datos importantes como la unidad con que fue identificado por el
equipo al que se conecto, etiqueta del volumen, el número de serie lógico del volumen
(disco duro), así como el sistema de archivos en el que se encuentra la información
almacenada en el disco duro objeto de estudio, con el propósito de dejar en claro el escrito
final, resultante del estudio realizado.
Figura 4.5 Salida tipo pantalla en la que se ilustra la Unidad (―F:\‖) con la que fue detectado
el disco duro, asociado al material objeto de estudio.
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
147 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.6 Salida tipo pantalla en la que se ilustra el número de serie lógico del volumen
(―#L##-###L‖).
SubActividad 2.2.13 Identificar si el equipo se encuentra encendido o apagado.
Corroborar el estado de encendido ó apagado de un equipo, (en situaciones en donde se
acude al lugar de los hechos).
En el caso bajo análisis, el empleo de esta actividad no aplica, ya que se consideró que el
equipo se recibió apagado.
SubActividad 2.2.14 Reconocer el sistema operativo (sistema de archivos) del
dispositivo del cual se obtendrá la información.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
148 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Identificar el sistema de archivos en el que se va a trabajar.
Para el presente caso motivo de estudio, esta actividad no aplica, toda vez que no forma parte del
Planteamiento del Problema.
SubActividad 2.2.15 Documentar la fecha y hora del sistema, para demostrar la hora
en la que se dio inicio a la investigación.
Documentar fecha y hora del equipo cuestionado (bajo estudio).
Para el presente caso motivo de estudio, esta actividad no aplica, ya que el equipo se
recibió apagado.
SubActividad 2.2.16 Interrumpir las conexiones de la red de computo.
Desconectar los equipos de la red.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
149 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para el presente caso motivo de estudio, la actividad no se aplica, ya que el equipo de
cómputo, se recibió para su estudio apagado y de manera individual.
SubActividad 2.2.17 Realizar movimientos con el Mouse (ratón) de forma periódica.
Cuando se tiene a la vista, en la escena del delito una computadora (y se va a realizar un
análisis en vivo), es recomendable realizar movimientos con el Mouse para evitar activar el
protector de pantalla el cual en ocasiones viene acompañado de contraseña.
Para el presente caso motivo de estudio, la actividad no se aplica, debido a que el equipo
de cómputo se recibió apagado.
SubActividad 2.2.18 Preparar un diseño detallado.
• Ajuste a nivel detallado de las necesidades actuales.
• Consideración de la preparación del tiempo estimado, y los recursos requeridos
para completar cada caso.
Estimación del tiempo necesario para realizar un análisis completo.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
150 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para el presente caso motivo de estudio, la actividad no se aplica, ya que el volumen de
información que se maneja, en lo que hace al material objeto de estudio (un solo disco
duro), así como evidencia digital localizada, se considera manejable.
SubActividad 2.2.19 Determinación de recursos requeridos para la investigación con
respecto al hardware, software y herramientas de informática forense.
Ver las necesidades que enfrenta el investigador, a efecto de poder desahogar en tiempo y
forma el Problema Planteado.
Para el presente caso motivo de estudio, el empleo de esta actividad no aplica, ya que para
el presente caso motivo de estudio, ya se cuentan con los elementos necesarios para darle
respuesta.
SubActividad 2.2.20 Marco legal relacionado al incidente
• Detalles generales a nivel internacional
• Detalles generales del fuero federal
• Detalles generales del fuero común
Tener presente las implicaciones legales que tiene cualquier tipo de intervención pericial.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
151 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para el presente caso motivo de estudio, esta actividad no se aplica, ya que en la presente
investigación se tiene el supuesto de que la autoridad competente es quien habilita ó hace
legal la presente intervención pericial. La presente actividad será útil, cuando se acude a la
escena del delito como por ejemplo en un cateo, en un lugar donde se falsifiquen
documentos públicos y/o privados.
SubActividad 2.2.21 Enumerar los pasos a ser realizados durante la investigación,
previa información obtenida.
Una vez asegurado el lugar de los hechos y obtenida la información relacionada al
incidente, se prepara el procedimiento a seguir para la obtención de información.
Para el presente caso motivo de estudio, esta actividad no se aplica, ya que por la falta de
complejidad del presente caso, se considero innecesario.
SubActividad 2.2.22 Corroborar diseño de investigación.
Verificar que los pasos decididos son correctos, acordes y justificados con la situación del
incidente.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
152 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
En la presente investigación, esta actividad no se aplica, ya que no se considera necesario
por ser relativamente simple. La presente actividad será útil en asuntos complejos, sea por
el volumen de información y/o por la especialización que requieran tales casos.
SubActividad 2.2.23 Identificar el riesgo implicado.
Documentar los problemas que se espera encontrar o que obliga a que puedan ocurrir, se
podrá incluir en el correspondiente dictamen un apartado de consideraciones técnicas.
Para el presente caso motivo de estudio, esta actividad no se emplea, ya que la presente
intervención pericial se efectuó en estricto apego a la legalidad (recordando que caso bajo
estudio es hipotético), y para el caso no se consideran mayores complicaciones.
Continuando con el presente estudio, se desarrolla la Fase III:
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
153 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
FASE I
FASE II
FASE III
FASE IV
FASE V
4.3 Aplicación de la Fase III. Adquisición de evidencia.
Se obtiene la evidencia sin alterarla o dañarla, se autentica que la información de la
evidencia sea igual a la original.
Para tal, fin se sugiere llevar a cabo las siguientes actividades:
Actividad 3.1 Efectuar consideraciones Previas.
Se tendrá que tener especial cuidado al realizar una intervención pericial y obtener
información de un medio electrónico así como el de no alterar los metadatos de la
información almacenada (conservar intacta la información digital), es de recalcar que
siempre se deberán tener presentes las implicaciones legales al intervenir y obtener
información de un medio electrónico.
De no contar con el equipo necesario informarlo a la autoridad competente y suspender por
el momento el estudio requerido.
¿Qué hacer básico (recordatorio)?
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
154 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Por lo que se refiere al presente caso objeto de estudio, la aplicación de esta actividad se ve
reflejada en el hecho de que para efectos del mismo, se da por hecho que un representante
de la autoridad competente dio fe del análisis efectuado (es decir estuvo presente), de igual
forma se da por hecho que se cuenta con los oficios que habilitan y permiten el presente
estudio.
SubActividad 3.1.1 Estudiar de la mejor manera posible, las condiciones que se
presentan previas a la adquisición de la evidencia.
• Implicaciones legales de la adquisición de datos, (metodología aplicada en la
obtención de información, para su debida legalidad y autenticidad).
• Documentar la cadena de custodia.
Se debe de garantizar la individualización, seguridad y preservación de los elementos
materiales y evidencias (en el caso particular evidencia digital), recolectados de acuerdo a
su naturaleza o incorporados en toda investigación, destinados a garantizar su autenticidad
para los efectos del proceso.
Para el caso particular propuesto, objeto de análisis, la aplicación de esta actividad se ve
reflejada en los puntos en los que se hace referencia a la identificación del material objeto
de estudio, la metodología aplicada, así como las herramientas forenses aplicadas (software
y hardware) con el fin de darle respuesta al Planteamiento del Problema.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
155 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 3.1.2 Requisitar por escrito la autorización para realizar el análisis forense en
informática.
Obtener la autorización por escrito para la intervención pericial, sea ésta por parte de la
autoridad competente (por ejemplo: a través del Agente del Ministerio Público).
A efectos del presente caso motivo de estudio, la aplicación de esta actividad se da por
hecho, esto debido a las consideraciones que se han venido tomando en el presente trabajo
tales como, que el equipo a ser analizado fue asegurado por una autoridad y esta a su vez
la entrego para su análisis al perito en informática forense.
SubActividad 3.1.3 Documentar la configuración y características del hardware del
sistema.
Lograr la plena identificación del material objeto de estudio, evitando con ésto que se dude
de la autenticidad de un equipo.
En el caso particular del presente caso motivo de estudio, la aplicación de esta actividad se
ve implícita en el desarrollo del estudio técnico que se le efectúa al material objeto de
estudio, ya que en el mismo se documento las características técnicas de la unidad de disco
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
156 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
duro cuando este fue montado a otra computadora (en el ―argot‖, esto se refiere a que el
disco se conecto a otra computadora).
SubActividad 3.1.4 Plan de adquisición de la evidencia digital.
Metodología aplicada, con la que se llevará a cabo la adquisición de los datos, identificando
que es lo más conveniente de acuerdo a las características del incidente ó material objeto
de estudio.
La metodología aplicada al presente caso objeto de estudio, fue la siguiente:
1. Observación directa del dispositivo (computadora) e información contenida en el
disco duro asociado a la misma.
2. Descripción detallada del estudio técnico.
3. Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con
base en la lógica formal.
Que para el presente caso la búsqueda se centro en la localización de información bancaria.
Actividad 3.2 Elaborar la guía para la obtención de los datos volátiles.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
157 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Cuando se realiza la recolección de evidencia digital, se debe proceder de lo volátil a lo
menos volátil.
A efectos del presente análisis, esta actividad no se aplica, toda vez que se tuvo acceso al
material objeto de estudio (computadora), cuando esta ya estaba apagada por lo que se
procedió a efectuar su análisis, directamente sobre su disco duro.
Actividad 3.3 Elaborar la guía para la obtención de los datos no volátiles.
Se consideran los elementos asociados a la computadora y que por sus características no
se considera que generen ó proporcionen información volátil.
Para el presente caso se seleccionó como fuente de información principal al disco duro
asociado a la computadora objeto de estudio (ver Figura 4.4).
Actividad 3.4 Elaborar el plan de la investigación para la obtención de datos.
1. Descubrir datos relevantes.
• No obtener información innecesaria.
2. Encontrar la evidencia.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
158 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Descartar la información no relacionada con el incidente para acotar la búsqueda de la
evidencia digital.
En el presente caso motivo de estudio, esta actividad se aplicó, definiendo y centrando la
búsqueda a la localización de información bancaria.
Actividad 3.5 Crear el procedimiento para la adquisición de la imagen.
Se elige el software para adquirir la imagen (copia bit a bit) de la evidencia digital y se
establece la forma (tamaño de archivos generados al obtener la correspondiente imagen,
por ejemplo archivos de 700 MB para guardarlos en CDs), en la que se adquirirá la imagen
forense, copia bit a bit del disco duro, objeto de estudio, así mismo si el caso de estudio así
lo amerita se obtendrá el ―Hash‖ de la imagen adquirida.
A efectos de realizar el presente análisis forense en informática, se eligió: la herramienta de
apoyo de Software Forense FTK Imager de AccessData Corp. [http://www.accessdata.com/]
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
159 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Luego de haber realizado una somera revisión y con el fin de agilizar el análisis así como
ahorrar en espacio de almacenamiento (recalcando en este punto el uso del protector contra
escritura), se opto por obtener la imagen de una parte del disco duro.
Una vez identificado el material objeto de estudio y con el fin de ilustrar el procedimiento de
obtención de la imagen forense del disco duro objeto de estudio, primeramente se
presentan las siguientes pantallas en las que se muestra tal proceso de obtención:
Figura 4.7 Como primer paso se tuvo que montar el Disco Duro al Software.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
160 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
En la figura anterior se observa la adición como evidencia a analizar con la herramienta de
Software Forense AccessData FTK Imager.
Figura 4.8 Salida tipo pantalla en la que se observa el contenido del disco a través del
software forense AccessData FTK Imager.
Así mismo se observa como este programa permite una vista previa de los archivos
almacenados en el disco duro, incluso los eliminados.
Archivo Borrado y
visualizado en FTK
Imager.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
161 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.9 Salida tipo pantalla en la que se ilustra el ingreso de los datos del caso de
estudio.
De la figura anterior, es importante resaltar que con la información proporcionada a este
software, se creará la imagen de todo el disco duro bajo análisis (si se opta por la imagen
del Disco Duro Completo).
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
162 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.10 Salida tipo pantalla en la que se observan los campos en los que se le indican al
software forense, el destino de la imagen.
De la figura anterior, es importante señalar que el destino donde se guardará la imagen
tendrá que ser el suficiente para cumplir tal propósito, también es importante considerar el
nombre de los archivos generados y el tamaño de los fragmentos generados (archivos).
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
163 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.11 Salida tipo pantalla en la que se observa el progreso en la obtención de la
imagen total del disco duro.
Como se hizo referencia en líneas anteriores, para el presente estudio se opto por adquirir
la imagen de una sección de información (carpeta ―Documents and Settings‖), del disco duro
objeto de estudio, por lo que a continuación se presentan las pantallas que ilustran este
procedimiento personalizado:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
164 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Una vez que se montó el disco duro objeto de estudio (se adicionó como evidencia en el
software), se seleccionó la carpeta ―Documents and Settings‖, para lo que posteriormente se
seleccionó la opción ―Export Logical Image (AD1)‖, procedimiento que se muestra en la
siguiente Figura:
Figura 4.12 Salida tipo pantalla en la que se ilustra la obtención de la imagen de la carpeta
―Documents and Settings‖.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
165 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Posteriormente y como resultado de ejecutar la opción ―Export Logical Image (AD1)…‖,
sobre el directorio elegido y antes especificado, se visualizaron tres recuadros con la
información que se muestra a continuación en la figura 4.13.
Figura 4.13 Salida tipo pantalla en que se muestra el termino del proceso para adquirir la
imagen de la carpeta ―Documents and Settings‖.
De la figura anterior, se observa que el software genero tres reportes: Creación de la
imagen al 100 %, Creación del directorio en forma de lista al 100 % y el ―Hash‖ (o firma
digital de la información) de la imagen.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
166 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.14 Vista de los archivos generados al finalizar el procedimiento de obtención de la
Imagen de la información seleccionada (archivos con extensión: .ad1 y .ad2).
SubActividad 3.3.1 Crear una copia física exacta de la evidencia.
Se obtiene la imagen (copia bit a bit) de la evidencia digital.
En el presente caso objeto de estudio, esta actividad se aplicó de manera parcial ya que
como se definió con antelación fue la carpeta ―Documents and Settings‖, de la cual se
obtuvo su imagen forense.
SubActividad 3.3.2 Determinar los tipos específicos y cantidad de medios de los
cuales se obtendrá la imagen.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
167 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Cuando se obtengan las imágenes forenses (copias bit a bit), de diferentes equipos (discos
duros, memorias etc.), se deberán etiquetar de manera adecuada y correctamente a fin de
no cometer errores en el manejo y custodia.
En el presente estudio, el material fue identificado como ―01‖ y siendo un sólo elemento a
analizar, no hubo mayor problema con respecto a la individualización de su imagen forense.
SubActividad 3.3.3 Usar hardware o software para bloqueo de escritura.
Hacer uso de protectores contra escritura (para la exploración de evidencia digital).
Para la realización del presente estudio se contó con un bloqueador de escritura con el fin
de no alterar la evidencia original y mantener su la integridad de la información almacenada
intacta.
SubActividad 3.3.4 Verificar la integridad de nuestra evidencia calculando el “Hash”
por medio de los algoritmos MD5 ó SHA-1.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
168 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
De acuerdo al software forense seleccionado se verifica la integridad de nuestra evidencia
calculando el ―Hash‖.
Derivado del proceso de obtención de imagen forense, se obtuvo el valor ―Hash‖ (guardado
en el archivo: ―Imagen del Disco Duro Objeto de Estudio.ad1.txt‖), que se muestra en la
siguiente figura:
Para el presente caso objeto de estudio se obtuvieron los siguientes valores ―Hash‖:
MD5 checksum: 2262c6f33fe0ed18e328a24e01523bb6
SHA1 checksum: a61e29c88aad2972c95e253451fafbd1aef43b4c
Lo anterior, se puede corroborar observando la figura que se muestra a continuación:
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
169 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.15 Vista del contenido del archivo generados con el valor ―Hash‖ de la imagen del
disco duro.
SubActividad 3.3.5 Custodiar el dispositivo de donde se obtendrá la imagen forense,
hasta su creación, verificación y respaldo, para evitar que esta sea alterada de
manera intencional.
Asegurarse que el material objeto de estudio se encuentre bien protegido.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
170 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Se mantuvo el equipo de cómputo bajo resguardo y protegido de cualquier eventualidad, de
igual manera se almaceno la imagen forense obtenida, bajo un medio ó soporte esterilizado
(para el presente caso motivo de estudio considérese que se uso para el resguardo de la
imagen forense, un disco duro nuevo) así mismo, se obtuvo el ―Hash‖ de la información
adquirida (obtenida).
SubActividad 3.3.6 Esterilizar el medio forense donde se almacenará la imagen.
Antes de que la imagen se deposite en un disco duro es una buena práctica esterilizar o
limpiar esté medio de destino.
Para el presente caso particular bajo estudio, la aplicación de esta actividad no aplica, toda
vez que considerando el tamaño (7.31 GB (7.856.263.168 bytes)) de los dos archivos que
conforman la imagen forense adquirida, no fue necesario utilizar un disco duro para su
almacenamiento, sino que basto el resguardarlos en un Disco Compacto DVD de doble
capa (estos discos tienen una capacidad de 8.5 GB).
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
171 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 3.3.7 Llevar un manejo adecuado en el almacenamiento de múltiples
imágenes.
Organizar adecuadamente el disco destino en el que se guardarán las imágenes forenses.
Para el presente caso motivo de estudio, la imagen forense se resguardo en un disco
compacto DVD de los llamados de doble capa, nuevo.
SubActividad 3.3.8 Asegurar que el medio que almacene la imagen, no sea utilizado
para imágenes posteriores, a menos que se le aplique un procedimiento que
garantice su esterilización.
No reutilizar un disco duro para el resguardo de evidencia, a menos que se realice un
procedimiento que asegure su esterilización.
Para el presente caso motivo de estudio, la aplicación de esta actividad no aplica, ya que
fue utilizado para el resguardo de las imágenes forenses adquiridas un disco compacto DVD
de doble capa.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
172 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 3.3.9 Crear otra imagen de respaldo, y procurar trabajar sobre está.
Trabajar siempre sobre un respaldo y no sobre la evidencia.
En el presente análisis se trabajo sobre la imagen forense adquirida.
SubActividad 3.3.10 Registrar cualquier anomalía o circunstancia inusual encontrada
durante la creación de la imagen por medio de algún formato (capturas de pantalla,
etc.), para estar en posibilidades de hacer alguna aclaración.
Notificar y documentar cualquier desperfecto a la hora de obtener la imagen forense de la
información a analizar.
En el presente caso motivo de estudio, no se presentó ninguna anomalía en la obtención de
la imagen forense.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
173 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 3.3.11 Registrar cualquier acción efectuada, para investigar y rectificar
los errores de la obtención de la imagen, los cuales deberán ser documentados.
Cualquier procedimiento encaminado a la rectificación de un error debe ser documentado.
En lo concerniente al presente caso motivo de estudio, la aplicación de esta actividad no
aplica, ya que no se produjo ningún error durante el estudio técnico desarrollado para dar
respuesta al Planteamiento del Problema.
SubActividad 3.3.12 Establecer que cualquier desviación del procedimiento para la
obtención de la imagen requiere de aprobación del perito en informática forense y ser
documentado, es decir que no se puede manipular la imagen sin autorización del
perito en informática responsable.
Cualquier intervención sobre la evidencia requerirá de la aprobación del perito en
informática forense y a su vez ser documentado.
A efectos del presente caso motivo de estudio, se estableció que la imagen forense se
obtenía de manera parcial y no del total del disco duro, toda vez que de la exploración que
se efectuó del disco duro, bajo estudio se observó que la información de interés se
localizaba en un directorio (se obtuvo la imagen forense de la carpeta: ―Documents and
Settings‖).
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
174 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 3.3.13 Establecer una política del manejo y almacenamiento de la
evidencia para mantener su integridad.
Deben definirse claramente las acciones a seguir con el manejo de la evidencia.
Por lo que respecta al presente caso motivo de estudio, se estableció el ocupar un disco
compacto DVD de doble capa para el resguardo de la imagen forense, derivado del tamaño
de los dos archivos generados.
SubActividad 3.3.14 Establecer, las condiciones posteriores a la adquisición:
• Manejo de imágenes forenses
• Manejo de la evidencia obtenida
• Conservación
• Transporte
Existen varios tipos de mecanismos que son utilizados para asegurar el transporte de la
evidencia, debido a que esta debe hacerse en bolsas antiestáticas, aislantes de
comunicaciones y en un buen contenedor para evitar que esta se dañe.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
175 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
En lo concerniente al presente caso motivo de estudio, se hizo uso de bolsas antiestáticas
para salvaguardar el disco duro bajo estudio y se resguardo en un estuche plástico el disco
compacto DVD en el que se almacenaron las imágenes forenses obtenidas.
A continuación se desarrolla la Fase IV, de la presente Metodología:
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
176 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
4.4 Aplicación de la Fase IV. Análisis de Datos.
Se definen los criterios de búsqueda con objetivos claros, en el proceso de análisis de la
información.
Actividad 4.1 Preparar, el análisis correspondiente al caso de estudio.
Revisión de las imágenes forenses, para efectuar el análisis correspondiente.
Por lo que respecta al presente caso de estudio se procedió a montar los dos archivos
generados de imagen, al Software Forense para su respectivo análisis, como se muestra en
la siguiente figura:
FASE I
FASE II
FASE III
FASE IV
FASE V
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
177 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.16 Vista de los dos archivos de Imagen correspondientes a la evidencia adquirida.
SubActividad 4.1.1 Contar con disponibilidad de datos:
Tener a la mano todas y cada una de las copias forenses correspondientes a la evidencia
adquirida de cada uno de los dispositivos bajo estudio.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
178 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
En lo concerniente al caso objeto de estudio, se tuvo a la mano los archivos de la imagen
adquirida con el Software Forense, la cual se observó en la Figura 4.16.
SubActividad 4.1.2 Determinar el alcance del incidente, la extensión del daño
originado por él así como la naturaleza del mismo.
Contar con una estrategia de respuesta al incidente objeto de estudio; es importante
establecer, junto con las buenas prácticas de seguridad, estrategias para la identificación y
recolección de la evidencia del incidente. Por lo anterior es clave desarrollar y contar con
experiencia y entrenamiento en labores forenses en informática que permitan mayor
confianza en los procesos mencionados.
Considerar que si la evidencia es recogida de una manera adecuada, habrá mayores
posibilidades de establecer una ruta hacia el atacante y contar con mayores elementos
probatorios en el evento de una persecución y juzgamiento del intruso.
Con respecto al presente caso motivo de estudio no aplica esta Actividad ya que no es parte
del problema planteado.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
179 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.1.3 Evitar lo más que se pueda, el uso de la computadora si está se
encuentra encendida y/o evaluar si conviene realizar el análisis de evidencia digital en
vivo y/o post-mortem (apagado).
Evaluar si conviene realizar el análisis en vivo (con la computadora encendida) y/o apagada.
En lo referente al presente caso motivo de estudio, el análisis se realizó sustrayendo el
disco duro de la computadora cuestionada (análisis post-mortem).
SubActividad 4.1.4 Evitar encender la computadora, en la medida de lo posible.
Si el equipo de cómputo se encuentra apagado, sustraerle el disco duro y hacer uso de
algún tipo de herramienta forense; por ningún motivo se deberá encender dicho equipo.
Para la realización del presente análisis la computadora cuestionada nunca fue encendida y
su estudio fue realizado haciendo uso de un protector de escritura.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
180 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.1.5 Fijar fotográficamente la pantalla de la computadora, si ésta se
encuentra encendida, y de preferencia cuando se observe algo de interés para la
investigación.
Fijar fotográficamente cualquier dato de interés.
A efectos del presente caso objeto de estudio, la actividad en comento, no aplica ya que el
equipo se recibió apagado.
SubActividad 4.1.6 Realizar movimientos periódicos del Mouse.
Evitar que aparezca el protector de pantalla.
Por lo que se refiere a la presente investigación, esta actividad no aplica, ya que la
computadora bajo análisis, se recibió apagada.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
181 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.1.7 Apagar la computadora del cable de alimentación (cuando el
investigador se apersone en el lugar de los hechos ó escena del delito y la computadora
este encendida).
Desconectar la computadora del cable de alimentación y/o quitar batería.
Para el presente caso objeto de estudio no aplica, ya que la computadora se recibió
apagada.
SubActividad 4.1.8 Considerar manuales e instructivos, documentos y notas que se
considere aporte datos a la investigación.
De ser necesario considerar cualquier documental que facilite el presente análisis motivo de
estudio.
Por lo que se refiere a la presente investigación, esta actividad no aplica, ya que se trata de
una computadora comercial sin equipo adicional, así como el Planteamiento del Problema
no requiere de un estudio más detallado.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
182 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.1.9 Buscar información relacionada con el criterio de búsqueda
(descrito en el Planteamiento del Problema).
Centralizar la búsqueda de información en estricto apego al Problema Planteado.
Para el presente caso de estudio la búsqueda se centralizó en archivos de texto (plano ó
enriquecido), conteniendo información bancaria.
SubActividad 4.1.10 Determinar si los archivos no tienen algún tipo de cifrado.
Verificar si los archivos contienen algún tipo de cifrado.
En lo que concierne al presente caso objeto de estudio se procedió a abrir los archivos, sin
tener ningún problema.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
183 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.1.11 Preparar el directorio o directorios de trabajo.
Se deberá seleccionar el área de trabajo (Subdirectorio, Carpetas ó Disco Duro), bajo la
cual se iniciará el análisis.
Por lo que refiere al presente caso objeto de estudio se determinó trabajar en la carpeta ó
directorio ―Documents and Settings‖.
SubActividad 4.1.12 Crear una estructura para directorios y archivos recuperados.
Tener un estricto control y orden al momento de recuperar información (archivos).
Derivado del desarrollo de la ―Actividad 3.5 Procedimiento para la adquisición de la imagen‖,
se obtuvo un archivo con extensión ―.csv‖, el cual contiene el directorio del disco duro bajo
análisis, el cual se muestra en la siguiente Figura:
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
184 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.17 Vista del archivo que generó el Software Forense al obtener la imagen del disco
duro motivo de estudio.
Actividad 4.2 Efectuar la extracción de evidencia.
Llevar a cabo la exploración sobre las Imágenes Forenses adquiridas con el fin de localizar
información relacionada con el Planteamiento del Problema.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
185 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Una vez obtenida la imagen (en este caso del directorio de interés y antes citado), se
procedió a trabajar sobre él, llevándose a cabo una exploración exhaustiva sobre las
Imágenes Forenses adquiridas con el Software Forense FTK Imager, con el fin de obtener la
información solicitada.
Figura 4.18 Exploración de la imagen forense obtenida.
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
186 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.19 Salida tipo pantalla en la que se observa la ubicación de dos archivos que dan
respuesta al Planteamiento del Problema.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
187 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Derivado de la aplicación de la presente actividad, se localizaron dos archivos objetivo, que
se pueden visualizar en la Figura 4.19, los cuales corresponden a: ―bins.txt‖ y ―bolsa.doc‖.
SubActividad 4.2.1 Efectuar la extracción física de evidencia.
Se lleva a cabo la sustracción de archivos relacionados con los hechos que se investigan.
Una vez localizada la información requerida se procedió a sustraerla (Exportarla a otro
medio), con el fin de respaldarla y anexarla al documento final:
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
188 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.20 Salida tipo pantalla en la que se observa cómo se realiza el proceso de
exportación de archivos ubicados.
En la figura anterior se muestra la evidencia adquirida, (archivos que se localizaron,
trabajando sobre la imagen forense).
Cabe señalar que para el presente caso y tomando en consideración que la información
recuperada no representa un volumen grande de información, se tomo la decisión de
respaldarla en un disco compacto CD, el cual corresponde a un medio de solo lectura.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
189 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.2.2 Documentar los procedimientos seguidos durante toda la etapa de
análisis.
Escribir a detalle el estudio técnico realizado sobre el material objeto de estudio.
Se procedió a documentar todo el estudio técnico como se observa en las figuras que
ilustran la presente Fase IV: ―Análisis de datos‖.
SubActividad 4.2.3 Identificar y recuperar los datos en los dispositivos físicos.
Obtener características físicas del dispositivo a ser analizado.
En el correspondiente caso objeto de estudio se tomo información recavada de la Actividad
2.1, SubActividad 2.2.12 y la Actividad 3.5. Dicha información consistió en datos como la
capacidad de almacenamiento físico (corroborándolo con el lógico en la Actividad 3.5),
número de serie (documentando el número de serie lógico recavado en la Actividad 3.5),
marca, modelo y algunas observaciones respecto a su estado físico.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
190 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.2.4 Recabar información, nombres de usuario e información del AD
(Directorio Activo).
Recabar información correspondiente a los nombres de usuario y del directorio activo.
La presente actividad, no aplica en la investigación objeto de estudio toda vez que no es
parte del Planteamiento del Problema.
SubActividad 4.2.5 Recuperar archivos y fragmentos de archivos útiles de los
directorios corruptos o perdidos.
Recuperación de archivos y fragmentos de archivos útiles.
No aplica en el presente caso motivo de estudio.
SubActividad 4.2.6 Identificar y recuperar los archivos objetivo (determinados por algunos
criterios, por ejemplo aquellos que han sido afectados por el incidente).
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
191 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Identificar y recuperar los archivos objetivo, comparando sus valores ―Hash‖, (siempre y
cuando sean archivos de sistema).
En lo concerniente al presente caso objeto de estudio, se procedió a darle respuesta a lo
solicitado por la autoridad competente, en estricto apego a su Planteamiento del Problema,
para lo cual se procedió a localizar y extraer los archivos, con las características que
satisfacían su requerimiento.
SubActividad 4.2.7 Llevar a cabo la recuperación de archivos, archivos borrados y la
recuperación de información escondida.
Llevar a cabo la recuperación de archivos.
La presente actividad no aplica para el actual caso objeto de estudio, ya que no forma parte
del Planteamiento del Problema.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
192 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Actividad 4.3 Efectuar la extracción, lógica de evidencia.
Obtener información sobre el sistema de archivos.
No aplica en el presente caso motivo de estudio, ya que no forma parte del Planteamiento
del Problema.
SubActividad 4.3.1 Identificar y recuperar archivos y datos basados en la instalación
del sistema operativo, sistema de archivos y / o aplicaciones.
Identificación de datos basados en la instalación del sistema operativo.
En lo que se refiere al presente caso motivo de estudio, esta actividad no aplica, ya que no
es parte del Planteamiento del Problema.
SubActividad 4.3.3 Utilizar la herramienta adecuada para realizar el análisis.
Definir las herramientas a utilizar, para realizar el análisis.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
193 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para dar cumplimiento a la presente actividad se determino trabajar con el Software
Forense FTK Imager de AccessData.
SubActividad 4.3.4 Extraer la información del sistema de archivos, para revelar las
características de la estructura de directorios, atributos, nombres, estampas de
tiempo, tamaño y localización de archivos.
Extracción de información del sistema de archivos.
Ésta actividad no aplica para el presente análisis, ya que no forma parte del Planteamiento
del Problema.
SubActividad 4.3.5 Extraer los archivos pertinentes para la evaluación, basándose en
nombre y extensión del archivo, cabecera de archivos, contenido y ubicación dentro
del dispositivo de almacenamiento.
Extracción de archivos pertinentes para la evaluación, basándose en nombre y extensión
del archivo.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
194 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Derivado de la exhaustiva exploración sobre el disco duro motivo de estudio, enfocándose
en los datos generados por el usuario y en estricto apego al Planteamiento del Problema se
obtuvieron dos archivos de texto, los cuales al abrirlos y visualizar su contenido
correspondieron a su extensión por lo que no fue necesario visualizar su cabecera
(haciendo uso de un editor hexadecimal).
SubActividad 4.3.6 Recuperar archivos borrados o archivos en espacios sin asignar
(Unallocated File Space).
Recuperación de archivos eliminados.
En lo concerniente al presente caso motivo de estudio, ésta actividad no aplica ya que no
forma parte del Planteamiento del Problema.
SubActividad 4.3.7 Extraer archivos protegidos, con passwords (contraseña),
encriptados y datos comprimidos.
Si se tiene la lista de password de usuarios y la colaboración de los usuarios, la
investigación será más fácil, de no ser así deberá documentarse el empleo de
herramientas que permitieron efectuar la extracción de contraseñas.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
195 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Extracción de archivos protegidos con passwords (contraseña), encriptados y datos
comprimidos.
Ésta actividad no aplica en el presente caso motivo de estudio, ya que los archivos
localizados y considerados como evidencia no poseen estos atributos, es decir no cuentan
con contraseña ó alguna otra característica que impida su apertura.
SubActividad 4.3.8 Utilizar software enfocado al análisis forense informático con el fin
de extraer la información del “file slack”.
Extraer la información del ―file slack‖.
No aplica en el presente caso motivo de estudio, ya que no es parte del Planteamiento del
Problema.
SubActividad 4.3.9 Obtener información del Archivo ―Swap‖ de Windows.
Obtención de información del archivo Swap.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
196 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
En lo concerniente al presente caso motivo de análisis, esta actividad no aplica, ya que no
forma parte del Planteamiento del Problema.
Actividad 4.4 Analizar los datos extraídos.
Llevar a cabo un exhaustivo análisis de los archivos obtenidos.
Una vez extraídos los archivos producto de su búsqueda exhaustiva, se procedió a efectuar
su análisis.
SubActividad 4.4.1 Conceptualizar: agregación, correlación, filtrado y generación de
metadatos.
Se deberá interpretar adecuadamente los metadatos de cada archivo.
Se obtuvo información importante tal como la fecha de modificación, hora, nombre,
extensión y el tamaño de los archivos sustraídos, lo cual se muestra en la siguiente figura:
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
197 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.21 Salida tipo pantalla en la que se observan algunos de los metadatos de los
archivos localizados.
SubActividad 4.4.2 Efectuar un pre análisis de la evidencia.
• Agregación y transformación: Unificación y recuperación de datos.
• Generación de metadatos: categorización e indexación, esto es se registrarán
ordenadamente los datos e información obtenida de la evidencia.
Para el presente caso motivo de estudio, por el hecho de manejar poco volumen de
información localizada (dos archivos encontrados como evidencia), la información recabada
sobre la evidencia se presento directamente tal y como se obtuvieron sus pantallas en el
Software Forense y que se observa en la Figura 4.21.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
198 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.4.3 Efectuar análisis de flujo de datos y procesos.
Determinar si existen procesos ajenos a los propios del sistema operativo o de las
aplicaciones.
No aplica en el presente caso motivo de estudio, ya que para el presente caso por recibirse
el equipo apagado y desconectado de cualquier red de cómputo, no se consideró necesario
e incluso tomando en cuenta que no forma parte de nuestro Planteamiento de Problema.
SubActividad 4.4.4 Relacionar datos y evidencia.
• Diferencia entre datos y evidencia, aislamiento y su contextualización.
• Como relacionar los datos obtenidos con la evidencia.
• Sostenimiento de la evidencia
En lo referente al caso motivo de estudio, la información recabada ó encontrada (dos
archivos), se le presentaron a la autoridad competente y se tomo la decisión de tomarlos
como evidencia.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
199 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Actividad 4.5 Efectuar el análisis de tiempo de los eventos.
Consiste en considerar fechas y tiempos en los archivos analizados.
No aplica en el presente caso motivo de estudio, ya que no forma parte del Planteamiento
del Problema.
SubActividad 4.5.1 Determinar cuando ocurrieron los eventos en un dispositivo de
cómputo.
Obtener datos de fecha y tiempo de la información comprometida y con base a ello concluir
cuando ocurrió determinado evento.
Ésta actividad no aplica para el presente caso motivo de estudio, ya que no forma parte del
Planteamiento del Problema.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
200 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.5.2 Realizar el correspondiente estudio de los metadatos, (en especial
identificar las marcas de tiempo, creación, actualización, acceso, modificación, etc.).
Correlacionar los eventos y demostrar con ello la creación, modificación y último acceso.
Por lo que se refiere a la presente actividad, ésta no aplica para el presente caso motivo de
estudio, ya que no forma parte del Planteamiento del Problema.
SubActividad 4.5.3 Revisar los registros del sistema y aplicaciones.
Localizar posibles indicios de alguna intrusión y/o por el que se halla comprometido el
sistema.
La presente actividad no aplica en el para éste caso motivo de estudio, por no formar parte
del Planteamiento del Problema.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
201 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Actividad 4.6 Analizar los datos ocultos (de sistema).
Si la investigación así lo amerita efectuar un estudio detallado, sobre los archivos de
sistema.
No aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del
Problema.
SubActividad 4.6.1 Detectar y recuperar datos ocultos.
Para llevar a cabo dicha actividad el investigador puede apoyarse en un sin número de
aplicaciones gratuitas (muchas de ellas en ambiente Linux), que permiten realizar análisis
forenses informáticos, incluso existen Live CD (Disco que funciona como disco de ―Booteo‖
(Disco que inicializa un equipo)), tales como Live CD Helix3 de e-fense® , Live CD Forense
Raptor ó el Live CD de Informática Forense DEFT.
En lo referente a la presente actividad ésta no aplica para este caso, por no formar parte del
Planteamiento del Problema.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
202 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.6.2 Correlacionar los encabezados de archivos a su correspondiente
extensión para identificar alguna discrepancia, esto se logra con editores
hexadecimales, como WinHex.
Después de elegir algún editor hexadecimal con el fin de explorar un archivo para corroborar
que corresponde el tipo de archivo con su extensión.
Para el presente caso motivo de estudio, no aplica ésta actividad por no formar parte del
Planteamiento del Problema.
Actividad 4.7 Analizar las aplicaciones instaladas.
Se identifican y analizan aplicaciones (herramientas informáticas, es decir programas de
aplicación).
Ésta actividad no aplica en el presente caso motivo de estudio, por no formar parte del
Planteamiento del Problema.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
203 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.7.1 Obtener información relevante relacionada con la investigación
obtenida de los archivos y aplicaciones.
Obtener información que servirá, para la toma de medidas adicionales que deben de
adoptarse en la extracción y análisis de procesos.
Por lo que se refiere a esta actividad, para el presente caso motivo de estudio, no aplica.
SubActividad 4.7.2 Efectuar una revisión de nombres de archivos para determinar su
relevancia.
Tratar de obtener información adicional, basada en el nombre de los archivos bajo estudio.
Derivado del poco volumen de información que se manejo para el presente análisis, ésta
actividad no aplica.
SubActividad 4.7.3 Explorar el contenido de los archivos.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
204 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Efectuar la exploración de los archivos, considerados evidencia dentro del caso de estudio.
Para el presente caso motivo de estudio se procedió a abrir todos y cada uno de los
archivos obtenidos bajo el análisis y derivado de ello fueron considerados como evidencia.
SubActividad 4.7.4 Determinar el tipo del sistema operativo y/o sistema de archivos.
Efectuar la identificación del Sistema operativo y/o Sistema de archivos, del material objeto
de estudio.
La presente actividad no se aplica, por no formar parte del Planteamiento del Problema.
SubActividad 4.7.5 Obtener información sobre el Software instalado, actualizaciones y
parches.
Documentar la paquetería y actualizaciones con la que cuenta el elemento de estudio.
Ésta no se aplica para el presente caso motivo de estudio, por no ser parte del
Planteamiento del Problema.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
205 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 4.7.6 Correlacionar los archivos de las aplicaciones instaladas.
Encontrar relación entre los archivos encontrados en el material de estudio y las
aplicaciones instaladas en el mismo.
La actividad antes citada no se aplica para el presente caso motivo de estudio, por no
formar parte del Planteamiento del Problema.
SubActividad 4.7.7 Identificar archivos desconocidos (raros dentro de la instalación
del software), para determinar su valor en la información.
Identificar archivos desconocidos y determinar su valor dentro de la investigación.
La actividad antes citada no aplica para el presente caso motivo de estudio, por no formar
parte del Planteamiento del Problema.
SubActividad 4.7.8 Evaluar el lugar de almacenamiento por omisión de los usuarios
con lo que respecta a sus aplicaciones y a la estructura de archivos.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
206 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Determinar si la información se ha almacenado en el lugar por defecto o en otro lugar
(modificación de la configuración).
No aplica en el presente caso motivo de estudio, por no formar parte del Planteamiento del
Problema.
SubActividad 4.7.9 Evaluar las configuraciones del perfil de usuario.
Documentar la configuración del perfil de usuario del material motivo de estudio.
Para el presente caso motivo de estudio no se aplica ésta actividad, por no formar parte del
Planteamiento del Problema.
SubActividad 4.7.10 Buscar patrones de conducta del sospechoso, historial de
Internet, cookies etc.
El principal objetivo de esta actividad es recabar la información generada por el navegador
(motor de búsqueda) y vincularla a los hechos que se investigan.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
207 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
La actividad no se aplica para el presente caso motivo de estudio, por no formar parte del
Planteamiento del Problema.
Actividad 4.8 Analizar datos de la Red de cómputo.
Documentar información relacionada con los dispositivos y/o elementos técnicos que
conforman la red de cómputo.
Ésta actividad no se aplica para el presente caso motivo de estudio, por no formar parte del
Planteamiento del Problema.
SubActividad 4.8.1 Identificar los dispositivos de comunicación y de defensa
perimetral.
Identificar dispositivos tales como: Servidores Web, ―Firewall‖, IDS‘s (Intrusion Detection
System), IPS‘s (Intrusion Prevention Systems), ―Proxys‖, Servidores de ―Logs‖, etc.
En lo que concierne al presente caso motivo de estudio, ésta actividad no aplica por no
formar parte del Planteamiento del Problema.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
208 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Ahora finalmente a continuación, se desarrolla la Fase V de la metodología propuesta, para
lo cual es necesario que se hayan realizado a cabalidad las fases anteriores de la presente
metodología.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
209 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
4.5 Aplicación de la Fase V. Presentación de Resultados Obtenidos.
Se redacta y estructura el documento final que sustentará una prueba en un proceso legal.
Es la Fase que tiene como fin la presentación y entrega de los resultados obtenidos de la
investigación del análisis forense informático
Actividad 5.1 Considerar todas y cada una de las Actividades que conforman la
presente Fase a fin de cumplimentar lo necesario para estar en posibilidad de
redactar el documento final.
Tener presente todas las generalidades, sobre la elaboración del documento final y en el
cual se obtendrán la(s) conclusión (es) del caso bajo estudio.
Para la elaboración del Dictamen en la especialidad de Informática Forense, se
consideraron todas y cada una de las actividades que conforman la presente Fase, en lo
que concierne a la estructura del documento final.
FASE I
FASE II
FASE III
FASE IV
FASE V
¿Qué hacer básico (recordatorio)?
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
210 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 5.1.1 Definir las secciones (estructura) del cuerpo del documento final.
El Dictamen en Informática Forense, podrá estar conformado de acuerdo a la experiencia
personal, por los apartados correspondientes a:
I) Antecedentes.
II) Planteamiento del Problema.
III) Identificación del material objeto de estudio.
IV) Consideraciones Técnicas.
V) Estudio técnico.
VI) Conclusiones ó Conclusión.
Así como secciones complementarias, como un ―Glosario‖, ―Apéndice‖ y/o ―Anexos‖.
Una vez practicadas las fases anteriores, se recabo la información obtenida de las mismas,
por lo que se opto para el presente caso objeto de estudio, incluir los siguientes apartados
dentro del documento final:
I) Antecedentes.
II) Planteamiento del Problema.
III) Identificación del material objeto de estudio.
IV) Consideraciones Técnicas.
V) Estudio técnico.
VI) Conclusiones ó Conclusión.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
211 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Tomando en cuenta, que en lo que respecta al apartado correspondiente a las
―Consideraciones Técnicas‖, esté estará sujeto a la consideración del perito que lleva el
caso (si de acuerdo al estudio realizado, se deriva alguna consideración técnica).
Posteriormente se verán desarrollados cada uno de estos aparatados.
SubActividad 5.1.2 Explicar claramente el objetivo del Dictamen Pericial y motivo por
el cual se realizó este estudio determinado.
Razón en la cual se motiva determinado análisis forense, sobre el material objeto de
estudio.
La presente intervención pericial estuvo motivada en la solicitud expresa de la autoridad
competente.
SubActividad 5.1.3 Incluir en el cuerpo del Dictamen el apartado correspondiente a
los Antecedentes.
El cual consistirá, en una breve narración de los hechos precedentes a la intervención
pericial, tales como la manera en la que se pone del conocimiento los hechos delictivos que
se investigan, quien solicita nuestra intervención pericial, a que lugar se tendrá que trasladar
el perito en informática forense, quien le pone a la vista el equipo objeto de estudio, persona
que lo recibe, hora de inicio del estudio y cualquier otra circunstancia que se relacione con
los hechos que se investigan, tal como si fue necesario consultar el expediente de la
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
212 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
averiguación previa o si se contó con el apoyo de cualquier otra persona a efecto de llevar a
cabo el estudio correspondiente.
Para el presente caso motivo de estudio, se tomó la decisión de incluir el apartado
correspondiente a los ―Antecedentes‖, por creerlo necesario ya que aclara algunos detalles
dentro de la investigación, quedando de la siguiente manera:
I) Antecedentes.
En atención a su oficio de petición de fecha 18 de diciembre de 2009, solicitado por la
C. Autoridad Competente, Lic. X, mediante el cual solicita se designe perito en
materia de informática, a efecto de que se trasladé y presente el día viernes 25 de
abril del año en curso, al domicilio de la Delegación X, la cual se encuentra ubicada
en X.
Una vez enterado de su petición me presente al lugar indicado en su oficio de
petición, lugar en donde fui recibido por el Lic. X, Titular de la Unidad Uno Con
Detenido, quien me informó que sería necesario realizar un análisis a un equipo de
cómputo, de igual manera me informa que previo a mi intervención pericial se
encuentra la de la policía en cómputo.
Una vez constituido en el interior de esta Delegación, el Lic. X, Titular de la Unidad X
Con Detenido, tuvo a bien ponerme a la vista el equipo de cómputo motivo de
estudio.
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
213 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Cabe señalar que al momento de llevar a cabo la presente intervención pericial, el
equipo de computo bajo estudio, esté se encontraba apagado, sin cable alguno, sin
monitor, teclado y Mouse, es decir solo se recibió únicamente el gabinete el cual se
aprecia con marcas propias de uso.
De igual forma le informo, que el suscrito procedió a fijar fotográficamente el equipo
para constatar el estado en que se recibió contando con el apoyo del perito fotógrafo
el C. X.
SubActividad 5.1.4 Estudiar el apartado, correspondiente al “Planteamiento del
Problema”.
Le indica al perito en informática forense, de una manera clara y objetiva el motivo de su
intervención pericial.
Después de efectuar una atenta lectura al ―Planteamiento del Problema‖, se procedió a
realizar el estudio técnico, correspondiente con el fin de darle respuesta a lo requerido por la
autoridad competente.
II) Planteamiento del Problema.
A la letra dice: ―…localizar archivos de texto con Información Bancaria…‖
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
214 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 5.1.5 Incluir un apartado con la “Identificación del material objeto de
estudio”, (descripción a detalle del material objeto de estudio).
Se especifica por ejemplo el tipo de equipo, marca, modelo, numero de serie y/o inventario,
alguna observación tal como si se encuentra en buen estado ó maltratado.
Se llevo a cabo la Identificación plena del material objeto de estudio, quedando de la
siguiente manera:
III) Identificación del material objeto de estudio.
No. Descripción Marca Modelo No. Serie Disco Asociado
01 CPU (gabinete
minitorre), color negro,
con un disco duro.
Marca ####-L# L# ##LLL####LL 1.- Marca de 320 GB
S/N: #LL#L#L#
Observación: El presente material objeto de estudio presenta marcas propias de uso, así
mismo se informa que el equipo es armado (sin marca).
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
215 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
SubActividad 5.1.6 Incluir un apartado para establecer las ―Consideraciones Técnicas‖,
necesarias para llevar a cabo el estudio correspondiente.
Se establecen las razones por las cuales se procederá de tal manera y/o justificaciones del
uso ó no de alguna herramienta informática.
Se establecieron una serie de consideraciones técnicas a tomar en cuenta en el documento
final, a fin de dar respuesta a futuras preguntas y justificar la manera en que se realizo el
estudio técnico, esto se puede observar a continuación:
IV) Consideraciones Técnicas.
El presente análisis se llevo a cabo en presencia del personal ministerial quien da fe
del estudio técnico efectuado.
A efecto de realizar la exploración del disco duro, este se sustrajo del gabinete objeto
de estudio (descrito en el apartado III del cuerpo de este documento), con el fin de
llevar a cabo su análisis en otro equipo de cómputo, haciendo uso de un protector
contra escritura y software de análisis forense. Una vez terminado su respectivo
estudio el disco duro fue ensamblado nuevamente en su ubicación original.
En lo que se refiere al uso del protector contra escritura, este dispositivo permite la
exploración de un disco duro con la propiedad de sólo lectura, con la finalidad de
preservar su contenido intacto.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
216 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
En lo que se refiere al Disco Duro bajo análisis, éste fue reconocido, por el software
forense al que se monto (con el que se examino), como ―PHYSICALDRIVE0‖.
En cuanto a las pantallas presentadas en el presente documento, estas son
presentadas a escala para una mejor apreciación.
SubActividad 5.1.7 Establecer a detalle el desarrollo del estudio técnico.
Se determina la metodología a utilizar para el correspondiente análisis, acorde al problema
planteado.
Se estableció la metodología a implementar dentro del respectivo estudio técnico a seguir
durante el caso de estudio, el cual consistió en:
V) Estudio técnico.
La metodología aplicada al presente caso objeto de estudio, fue la siguiente:
Observación directa aplicada al dispositivo (computadora) e información contenida en
el disco duro asociado a la misma.
Descripción a detalle del estudio técnico.
Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con
base en la lógica formal.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
217 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
El presente estudio se dio inicio en las instalaciones de la Delegación X, Una vez
teniendo identificado el material motivo de estudio y en presencia de la fe ministerial
se procedió de la siguiente manera:
1.- En relación al gabinete descrito en el apartado III e identificado como 01 en el cuerpo de
este documento, se le procedió a sustraer su disco duro (marca: X, de 320 GB, Número de
Serie: ―#LL#L#L#‖), para posteriormente interconectarlo a una computadora que se le facilitó
al suscrito a efecto de llevar a cabo el presente estudio, previo la colocación de un protector
contra escritura marca X, Modelo: X, numero de serie:‖XXXXX‖ con el fin de mantener su
información almacenada intacta, al efectuar el presente estudio (exploración del disco duro).
Seguido y al momento de conectar el disco duro, en un equipo de cómputo auxiliar para
llevar a cabo su análisis se observó que fue identificado como: ―F:\‖, (Letra asignada a la
unidad de disco duro objeto de estudio y la cual se mostró cuando se exploró en Mi PC).
Figura 4.22 Conexión del Disco Duro bajo estudio al protector contra escritura.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
218 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Posteriormente, usando el software forense se procedió a obtener la imagen forense de la
información de interés:
Una vez obtenida la imagen forense, de la cual en el caso bajo estudio resultaron dos
archivos (―Imagen del Disco Duro Objeto de Estudio.ad1‖ y ―Imagen del Disco Duro Objeto
de Estudio.ad2‖), se procedió a montarlos (adicionarlos como evidencia en el software) en el
software forense, con el fin de llevar a cabo una búsqueda exhaustiva, de todo archivo de
texto que pudiera tener relación con el criterio de búsqueda especificada por la C. Autoridad
Competente (Planteamiento del Problema).
Figura 4.23 Salida tipo pantalla en donde se muestra que el proceso de obtención de la Imagen Forense, se efectuó con éxito.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
219 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.24 Salida tipo pantalla en donde se muestran los dos archivos que conforman la
Imagen Forense del presente caso bajo estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
220 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.25 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se
apegan al criterio especificado en el Planteamiento del Problema.
Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el
mismo de la misma manera en que se recibió.
SubActividad 5.1.8 Definir la conclusión ó conclusiones a la que se ha llegado, de una
manera clara y precisa.
La intervención pericial emite una conclusión que viene formulada sobre concretos datos
arrojados por el estudio técnico.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
221 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Con base a la aplicación de la presente metodología se llego a la siguiente:
VI) Conclusión:
Única: En el material objeto de estudio descrito en el apartado correspondiente a la
Identificación del material objeto de estudio e identificado como 01, se localizaron dos
archivos de texto: ―bins.txt‖ y ―bolsa.doc‖, los cuales se apegan al criterio especificado en
el Planteamiento del Problema.
SubActividad 5.1.9 Elaboración de Dictamen Pericial basado en la evidencia final
obtenida, para que esta sea presentada.
Con la información obtenida mediante la aplicación de la presente metodología se redacta el
Dictamen Pericial, que es, el objeto de la aplicación de la metodología que se presenta.
Se redactó, estructuró y elaboró el Dictamen en Informática Forense, incluyendo los
aparatados propuestos en la SubActividad 5.1.1.
Considerando el caso motivo de estudio a continuación se presentan los apartados
sugeridos en esta actividad, de acuerdo a como deberían presentarse en el documento
final:
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
222 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
I) Antecedentes.
En atención a su oficio de petición de fecha 18 de diciembre de 2009, solicitado por el
C. Autoridad Competente, Lic. X, mediante el cual solicita se designe perito en
materia de informática, a efecto de que se trasladé y presente el día viernes 25 de
abril del año en curso, al domicilio de la Delegación X, la cual se encuentra ubicada
en Y.
Una vez designado para atender su requerimiento, me presente al lugar indicado en
su oficio de petición, lugar en donde fui recibido por el Lic. X, Titular de la Unidad Uno
Con Detenido, quien me informó que, sería necesario realizar un análisis a un equipo
de cómputo, de igual manera, me informa que previo a mi intervención pericial se
encuentra la de la policía en cómputo.
Una vez constituido en el interior de esta Delegación, el Lic. X, Titular de la Unidad X
Con Detenido, tuvo a bien ponerme a la vista el equipo de cómputo motivo de
estudio.
Cabe señalar, que al momento de llevar a cabo la presente intervención pericial, el
equipo de cómputo bajo estudio, esté se encontraba apagado, sin cable alguno, sin
monitor, teclado y Mouse, es decir solo se recibió únicamente el gabinete el cual se
aprecia con marcas propias de uso.
De igual forma le informo, que el suscrito procedió a fijar fotográficamente el equipo
para constatar el estado en que se recibió contando con el apoyo del perito fotógrafo
el C. X.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
223 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
II) Planteamiento del Problema.
A la letra dice: ―…localizar archivos de texto con Información Bancaria…‖
III) Identificación del material objeto de estudio.
No. Descripción Marca Modelo No. Serie Disco Asociado
01 CPU (gabinete
minitorre), color
beige, con un disco
duro.
Marca ####-L# L# ##LLL####LL 1.- Marca de 320 GB
S/N: #LL#L#L#
Observación: El presente material objeto de estudio presenta marcas propias de uso, así
mismo se informa que el equipo es armado (sin marca).
IV) Consideraciones Técnicas.
El presente análisis se llevo a cabo en presencia del personal ministerial quien da fe
del estudio técnico efectuado.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
224 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
A efecto de realizar la exploración del disco duro, éste se sustrajo del gabinete objeto
de estudio (descrito en el apartado III del cuerpo de este documento), con el fin de
llevar a cabo su análisis en otro equipo de cómputo, haciendo uso de un protector
contra escritura y software de análisis forense. Una vez terminado su respectivo
estudio el disco duro fue ensamblado nuevamente en su ubicación original.
En lo concerniente al uso del protector contra escritura, cabe señalar que el mismo
permite la exploración de un disco duro con la propiedad de sólo lectura, con la
finalidad de preservar su contenido intacto.
Por lo que se refiere al Disco Duro bajo análisis, éste fue reconocido, por el software
forense al que se monto (con el que se examino), como ―PHYSICALDRIVE0‖.
En cuanto a las pantallas presentadas en el presente documento, estas son
presentadas a escala para una mejor apreciación.
V) Estudio técnico.
La metodología aplicada al presente caso objeto de estudio, fue la siguiente:
Observación directa aplicada al dispositivo (computadora) e información contenida en
el disco duro asociado a la misma.
Descripción a detalle del estudio técnico.
Método inductivo – deductivo, a través del cual se infiere la conclusión correcta con
base en la lógica formal.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
225 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
El presente estudio se dio inicio en las instalaciones de la Delegación X, Una vez
teniendo identificado el material motivo de estudio y en presencia de la fe ministerial
se procedió de la siguiente manera:
1.- En relación al gabinete descrito en el apartado III e identificado como 01 en el cuerpo de
este documento, se le procedió a sustraer su disco duro (marca: X, de 320 GB, Número de
Serie: ―#LL#L#L#‖), para posteriormente interconectarlo a una computadora que se le facilito
al suscrito a efecto de llevar a cabo el presente estudio, previo la colocación de un protector
contra escritura marca X, Modelo: X, numero de serie:‖XXXXX‖ con el fin de mantener su
información almacenada intacta, al efectuar el presente estudio (exploración del disco duro).
Seguido y al momento de conectar el disco duro objeto de estudio al equipo de computo
auxiliar (computadora), con el fin de efectuar su exploración, el mismo fue identificado con la
Unidad: ―F:\‖, lo que se mostró seleccionando Mi PC y observando las unidades de disco
duro identificadas.
Figura 4.26 Conexión del Disco Duro bajo estudio al protector contra escritura.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
226 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Posteriormente usando el software forense se procedió a obtener la imagen forense de la
información de interés, lo cual se muestra a continuación.
Figura 4.27 Salida tipo pantalla en donde se muestra que el proceso de obtención de la
Imagen Forense, se efectuó con éxito.
Una vez obtenida la imagen forense, de la cual en el caso bajo estudio resultaron dos
archivos (―Imagen del Disco Duro Objeto de Estudio.ad1‖ y ―Imagen del Disco Duro Objeto
de Estudio.ad2‖), se procedió a montarlos (adicionarlos como evidencia en el software) en el
software forense, con el fin de llevar a cabo una búsqueda exhaustiva, de todo archivo de
texto que pudiera tener relación con el criterio de búsqueda especificada por la C. Autoridad
Competente (Planteamiento del Problema).
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
227 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.28 Salida tipo pantalla en donde se muestran los dos archivos que conforman la
Imagen Forense del presente caso bajo estudio.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
228 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Figura 4.29 Salida tipo pantalla en donde se muestran los dos archivos, localizados y que se
apegan al criterio especificado en el Planteamiento del Problema.
Una vez concluido el análisis del material proporcionado para su estudio, se devolvió el
mismo de la misma manera en que se recibió.
Con base en lo anterior se determina la siguiente:
VI) Conclusión:
Única: En el material objeto de estudio descrito en el apartado correspondiente a la
Identificación del material objeto de estudio e identificado como 01, se localizaron dos
archivos de texto: ―bins.txt‖ y ―bolsa.doc‖, los cuales se apegan al criterio especificado en
el Planteamiento del Problema.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
229 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Observación: Se adjunta al presente documento, Disco Compacto DVD (con número de
serie: XXXXX), conteniendo los archivos extraídos, mismos que se apegan al requerimiento
especificado en el Planteamiento del Problema.
SubActividad 5.1.10 Plasmar la rúbrica del Autor en el Dictamen Pericial.
Firmar el Dictamen, así mismo no olvidar incluir en el cuerpo del Dictamen a todas las
personas que de alguna manera intervinieron en el caso bajo estudio.
Una vez conformado el presente Dictamen, se procedió a rubricarlo (firmarlo).
SubActividad 5.1.11 Incluir secciones complementarias, tales como la realización de
un glosario, apéndice y anexos.
El perito determinará, la necesidad de acompañar su Dictamen de otras secciones
complementarias que lo ilustren y lo complementen.
Para el presente caso motivo de estudio se acompaña el Dictamen de un disco compacto
DVD conteniendo los dos archivos encontrados y tomados como evidencia.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
230 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Actividad 5.2 Analizar y considerar todas las subactividades, que conforman la
presente actividad, con el fin de elaborar el documento final.
Al momento de realizar el documento final, será recomendable el tomar en consideración
todas y cada una de las subactividades que conforman la presente actividad.
Al momento de elaborar el Documento final motivo de la presente metodología, se
consideraron todas las subactividades que integran la respectiva actividad.
SubActividad 5.2.1 Explicar los resultados del análisis, donde se detallen con claridad
los hallazgos.
Utilizar un lenguaje claro y preciso para explicar los resultados obtenidos.
Como resultado de la aplicación de esta metodología, se redactó la conclusión obtenida de
una manera clara y precisa.
SubActividad 5.2.2 Realizar una bitácora de uso y aplicación de los procedimientos
técnicos utilizados.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
231 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Llevar a cabo una bitácora de los procedimientos a emplear.
Para el presente caso motivo de estudio, la actividad no aplica ya que por haber realizado
un estudio técnico relativamente sencillo en cuanto a procedimientos, en este caso no fue
necesario el realizar una bitácora.
SubActividad 5.2.3 Cumplir con exhaustivo cuidado con los procedimientos previstos
para el mantenimiento de la cadena de custodia.
Realizar un minucioso recuento en cuanto a la cadena de custodia efectuada.
Se redacto en el documento final una observación en la que se especifica la devolución del
material objeto de estudio (en el presente caso, una computadora).
SubActividad 5.2.4 Contar con todos los oficios recibidos y/o utilizados durante toda
la investigación.
Tener a la mano y por duplicado todos los oficios recibidos y/o redactados durante la
investigación.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
232 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Para el presente caso motivo de estudio, se da por hecho el haber llevado a cabalidad la
presente actividad.
SubActividad 5.2.5 Describir las herramientas enfocadas a la informática forense,
utilizadas durante el análisis.
Dar una breve explicación del uso de la aplicación informática ó hardware empleado durante
la investigación.
Se justificó el uso del protector contra escritura, así como su funcionamiento.
SubActividad 5.2.6 Citar a las pruebas, de una manera concreta con el fin de hacer
entendible la conclusión.
Las pruebas que se localicen y/o cualquier hallazgo se hará sin dar excesivos detalles
acerca de cómo se obtuvieron estas. Cualquier descripción a detalle, colocarlo en el
apartado correspondiente al estudio técnico.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
233 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Se redactó el apartado correspondiente a las conclusiones con un lenguaje sencillo y claro,
dejando cualquier detalle para el apartado correspondiente al estudio técnico.
SubActividad 5.2.7 Proporcionar una lista completa de todos los documentos
justificativos o de apoyo.
Tener bien documentado cualquier consulta a: indagatorias (expedientes de averiguaciones
previas), manuales (llámesele manual operativo, respecto a algún procedimiento) y/o
manuales institucionales, reglamentos etc.
En lo concerniente a la actual problemática bajo estudio, la presente actividad no aplica ya
que no se considero ningún manual ó documento de cotejo (comparativo) para realizar la
búsqueda de información bancaria.
SubActividad 5.2.8 Incluir antes de la firma del autor o autores, una nota aclaratoria
en la que se especifique que se entrega el material objeto de estudio de la misma
forma en la que se recibió.
Incluir una nota u observación en la que se especifique la entrega del material motivo de
estudio.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
234 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Se incluyó en el cuerpo del Documento Final, la siguiente leyenda: ―Una vez concluido el
análisis del material proporcionado para su estudio, se devolvió el mismo de la misma
manera en que se recibió.‖; de esta manera, se tendrá un mecanismo más para deslindarse
de cualquier responsabilidad por el daño ó perdida del material motivo de estudio.
SubActividad 5.2.9 Obtener siempre un acuse de recibido del Dictamen Pericial,
producto de la aplicación de la presente metodología.
Una vez terminado el Dictamen Pericial, se deberá tener el cuidado suficiente al momento
de ser entregado, cuidando detalles tales como, que la persona que reciba, escriba: su
nombre, firma, fecha (en ocasiones si se cree conveniente la hora también), y especifique
bien, que lo que está recibiendo es un Dictamen ó bien un informe o se establezca si recibe
anexos y por ultimo precise que recibe el material motivo de estudio.
Para el presente caso motivo de estudio la presente actividad se da por realizada (por
tratarse de un caso supuesto).
SubActividad 5.2.10 Realizar cualquier observación, dentro del documento final antes
de estampar la rúbrica (con el fin, de evitar que se invalide tal observación), se
recomienda firmar al margen todas y cada una de las fojas que constituyan el
Documento Final.
Forma de Aplicación de la Actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
235 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Se recomienda que todo texto vaya antes de firmar el dictamen, se recomienda firmar todas
las fojas que constituyan el mismo, así como no dejar espacios en blanco pronunciados.
Al elaborar el Dictamen, se llevaron a cabo todas las recomendaciones dadas por esta
actividad.
¿Qué hacer básico (recordatorio)?
Forma de Aplicación de la Actividad.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
236 Ing. Arturo Palacios Ugalde.
Capítulo 4: Aplicación de la Metodología Propuesta en un caso de estudio.
Resumen del Capítulo:
En este Capítulo, se desarrollaron las cinco Fases de la Metodología Propuesta, de acuerdo
a cada una de sus Actividades.
Con esto se verifica la funcionalidad y la viabilidad de la Metodología para ser aplicada por
un investigador forense en informática.
Se presentó la forma adecuada de realizar una intervención pericial en Informática Forense
ante la presunción de un delito informático, lo anterior mediante procedimientos para
identificar, asegurar, extraer, analizar y presentar las evidencias encontradas y guardadas
electrónicamente para que puedan ser aceptadas en un proceso legal. Se demostró la
importancia de realizar un claro, objetivo y puntual Planteamiento del Problema, así como, el
que cada fuente de información se catalogue e identifique preparándola para su posterior
análisis y la adecuada documentación de cada prueba aportada.
También se hizo hincapié en que las evidencias digitales, deberán ser obtenidas bajo la
aplicación de un adecuado estudio técnico, que garantice la integridad de ésta, permitiendo
elaborar un dictamen claro, conciso, fundamentado y justificado en las hipótesis que en él
se barajan a partir de las pruebas recogidas.
Ahora, para finalizar el documento de Tesis, en el siguiente Capítulo, se hará la valoración
de Objetivos, Trabajos Futuros y las Conclusiones del trabajo de Tesis.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
237 Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
Capítulo 5.-
Valoración de Objetivos, Trabajos Futuros y
Conclusiones.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
238 Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
Capítulo 5. Valoración de Objetivos, Trabajos Futuros y Conclusiones.
5.0 Presentación.
En el Capítulo anterior, se aplicó la Metodología Propuesta para desarrollar todas y cada
una de sus Fases, compuesta por la: Fase I. Planteamiento del Problema, Fase II.
Identificación Detallada del Material objeto de estudio, Fase III. Adquisición de Evidencia,
Fase IV. Análisis de Datos y la Fase V. Presentación de Resultados Obtenidos.
Ahora en el presente Capítulo, se presenta la valoración de los objetivos, los trabajos a
futuro aplicables a la Metodología Propuesta, las conclusiones de este trabajo y por último
se anexa, la bibliografía utilizada de apoyo para la elaboración del presente proyecto de
Tesis.
5.1 Valoración de Objetivos.
5.1.1 Valoración del Objetivo General.
En el trabajo de Tesis se obtuvo una Metodología para llevar a cabo una intervención
pericial en Informática Forense, la cual puede ser muy útil al intervenir dentro de una
investigación donde se halla suscitado un incidente informático.
Con esto, se infiere que la Metodología Propuesta, puede ser aplicada en cualquier
investigación relacionada con delitos informáticos.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
239 Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
El objetivo general presentado: Proponer una Metodología con un enfoque sistémico para
su aplicación en la Informática Forense, en auxilio de la Justicia Moderna, el cual se cumple
a lo largo del desarrollo de los capítulos anteriores, así, como de los objetivos específicos.
La aplicación de la Metodología Propuesta dejó ver que el vasto mundo de la informática,
requiere de métodos y procedimientos flexibles y adaptables acorde a la vida real,
desarrollándose y aplicándose las cinco Fases que la integran.
Lo anterior, basado en un Enfoque Sistémico para la Realización de peritajes en informática
y bajo el fin mediato de la Criminalística (llegar a la verdad objetiva del hecho).
A continuación, se mostrarán los objetivos particulares alcanzados al finalizar el presente
proyecto de Tesis:
5.1.2 Valoración de Objetivos particulares.
Se considera, que se dio cumplimiento a los objetivos particulares de la tesis, debido a que
se realizó un trabajo para identificar las circunstancias y elementos a considerar al momento
de realizar una intervención pericial en la vida real.
A continuación, se muestra una tabla referente a los objetivos particulares:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
240 Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
Tabla 5.1 Valoración de los Objetivos Particulares. Objetivo a Verificar
¿Qué hacer?
Objetivo Verificado
¿Qué se obtuvo?
Conocer el medio ambiente en cuanto a
los delitos informáticos, para conocer el
mecanismo de cómo se debe responder
ante un eventual ataque informático.
Permitió obtener una visión del medio
ambiente donde se desarrollaron las
fases de la Metodología Propuesta, así
como el tener presentes algunas
consideraciones imprescindibles al
momento de llevar a cabo una
intervención pericial.
Analizar las Metodologías y estándares
en cuanto a evidencia digital se refiere
para efectuar una evaluación y
diagnóstico de la situación actual.
Fue esencial el conocer bajo que Medio
Ambiente se desenvuelve la Informática
Forense, bajo el contexto legal en el
marco de una intervención pericial.
Aplicar la metodología propuesta en un
caso de estudio real para iniciar la
evaluación de su implementación.
Se presentaron las actividades que
integran la Metodología bajo un contexto
técnico – legal, encaminadas a obtener la
verdad histórica de los hechos que se
investigan.
Como se observa, en general se cumplieron los objetivos del proyecto de tesis; sin embargo
se puede considerar que, dentro de la aplicación de la Informática Forense existen otros
factores que son muy importantes, como son: el considerar los aspectos operacionales
como requerimientos técnicos para adquisición de evidencia, colaboración con otros grupos
u organismos de investigación, gestión de casos, la realización de cualquier estudio técnico
bajo el soporte de la Ley, desarrollo de políticas de seguridad para respuesta a incidentes y
plan preventivo y de continuidad. Esto se puede tomar en cuenta para los siguientes:
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
241 Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
5.2 Trabajos Futuros:
En este apartado se engloban una serie de propuestas de continuación al trabajo iniciado
en esta tesis. Estas propuestas, quedan definidas mediante los siguientes puntos:
Evaluación constante: Un aspecto importante que complementará el desarrollo de la
metodología propuesta consistirá en someter la metodología a una evaluación formal
y constante. Esta evaluación deberá ser guiada a través de criterios o mecanismos
establecidos por algún modelo – guía existente o bien, desarrollar la adaptación del
modelo ó guía para que pueda ser aplicado. Los resultados de la evaluación deberán
proporcionar información que permita detectar puntos débiles de la metodología, y de
esta manera, realizar una mejora en los procesos de la propuesta.
Evidencia en la red: El presente trabajo presenta una metodología generalizada
aplicada a la Informática Forense, poniendo especial atención en los equipos de
cómputo (computadoras personales). Una propuesta de trabajo a futuro, puede
consistir en un proyecto que estudie ó proponga el desarrollo de métodos y técnicas
especializadas para efectuar el análisis sobre una red de cómputo, sea Internet,
intranet y sus elementos principales que la integran (por ejemplo los delitos
cometidos sobre el tráfico en la red a través de los llamados ―Sniffers‖).
Tecnologías de comunicación: Adaptar la propuesta para aplicar la metodología a
equipos de telefonía celular, ya que los avances tecnológicos le han permitido a
estos dispositivos, el cumplir con varias de las funciones, que un equipo de cómputo
personal realiza.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
242 Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
Vinculación con Instituciones de Justicia. Realizar los trámites y ajustes necesarios
para que la metodología se adapte al marco jurídico de estas Instituciones y, de esta
manera, pueda ser aceptada como parte de sus mecanismos auxiliares contra
aquellos delitos o incidentes que se requieran atender y resolver.
Crear una empresa que ofrezca servicios de consultoría en Análisis Forense
Informático en Sistemas de Redes y Equipos de Computo Personal, ya que este tipo
de análisis es bien remunerado, siendo que un dictamen pericial sencillo esta valuado
en $ 8000.00 pesos incrementándose según su complejidad y el número de
elementos a estudiar.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
243 Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
5.3 Conclusiones del proyecto de tesis.
5.3.1 Conclusiones Generales.
A lo largo del desarrollo del presente trabajo se pudo llegar a comprender que el análisis
forense informático se traduce como: la ciencia que mediante la aplicación de
procedimientos técnicos permite identificar, adquirir, preservar, analizar, presentar y
sustentar la información que ha sido procesada electrónicamente y almacenada en un
medio computacional.
En el presente proyecto de tesis se expuso la problemática existente por la falta de
métodos, técnicas y procedimientos para la realización de intervenciones periciales, en
informática forense, dentro del marco legal mexicano.
No obstante de que la informática se encuentra inmiscuida en gran parte de nuestra vida
diaria, es perceptible en nuestra sociedad, la falta de difusión de la informática forense a
nivel nacional e institucional, lo que ha contribuido a que la gente pase por alto situaciones
que puedan ser consideradas como delitos o faltas administrativas.
Se propuso y aplicó una Metodología en la que se presentaron los resultados, de un
meticuloso análisis exploratorio, sobre el peritaje informático en México, así como de
algunas de las experiencias profesionales adquiridas en la actividad laboral del que
suscribe.
Estableciendo un marco referencial base, para cualquier investigador forense digital, en
aspectos técnicos, procurando la generación y fortalecimiento de iniciativas
multidisciplinarías, para la modernización y el avance de la administración de justicia, en el
contexto de una sociedad digital y de la información.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
244 Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
Con el empleo de la metodología propuesta, se contará con una herramienta sistemática
que permita realizar un análisis, estudio e inspección, del elemento causa del peritaje
informático, en forma: eficiente, confiable, segura y que le dará mayor veracidad a los
resultados obtenidos.
A pesar de que el desarrollo de la tesis no contempla el marco legal, la metodología
propuesta es capaz de auxiliar a aquellos organismos encargados de administrar justicia,
pues permite: guiar en el proceso de investigación digital, mantener la cadena de custodia y
establecer un dictamen confiable en el que se presentan los resultados de manera clara y
concisa.
Se presentaron y describieron algunas herramientas, que permiten realizar el análisis de la
evidencia digital, sobre el material objeto de estudio. Sin embargo, ninguna de ellas resulta
ser mejor que otra, más bien se complementan. Por lo tanto, es importante utilizar varias de
ellas para mejorar el proceso del análisis forense informático.
5.3.2 Conclusiones personales sobre el desarrollo del Proyecto de Tesis.
El presente proyecto de tesis ha sido posible gracias a que se llevaron a cabo una
integración y aplicación de conocimientos adquiridos en la ―Maestría en Ciencias en
Ingeniería de Sistemas‖. El saber aplicar la visión sistémica u holística, me permitió
obtener una nueva visión del mundo. Mediante el uso de Metodologías se obtienen
resultados concretos en la solución de problemas, ya que de esta manera se tienen
bases sólidas a partir de las cuales se obtienen resultados confiables que permiten
presentar un contenido claro y conciso en fondo y en forma.
Cabe señalar que este proyecto de tesis, representó para el suscrito una inestimable
oportunidad para aumentar y practicar los conocimientos adquiridos durante la
maestría, compaginado con la experiencia profesional.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
245 Ing. Arturo Palacios Ugalde.
Capítulo 5:Valoración de Objetivos, Trabajos Futuros y Conclusiones.
La madurez y experiencias obtenidas, son el mayor de los logros a nivel personal y
profesional que serán aplicadas en el futuro en esos ambientes.
De manera particular y personal pienso que el cursar la ―Maestría en Ciencias en
Ingeniería de Sistemas‖, significó para mí un considerable crecimiento profesional y
el realizar la tesis refrendo el mismo y me permitió tener otra visión del desarrollo de
sistemas.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
246 Ing. Arturo Palacios Ugalde.
Bibliografía.
Bibliografía:
[Buzan, 1996], Buzan T., ―El libro de los mapas mentales‖, Ediciones Urano, España, 1996.
[Cámpoli, 2007], Cámpoli G., ―Delitos informáticos en la legislación mexicana‖, Instituto
Nacional de Ciencias Penales, México, 2007.
[Checkland,1994], Checkland P., ―La metodología de sistemas suaves en acción‖, Noriega
Editores, 1994.
[Galindo, 2005] Galindo L., ―Una Metodología para el Desarrollo y Redacción de un
Proyecto de Maestría‖. Memorias del 1er Congreso Internacional de Metodología de la
Ciencia y de la Investigación para la Educación; Instituto Tecnológico de Sonora y
Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C., 12 de Enero,
Ciudad Obregón, Sonora. Pp. 1505-1522.
[Galindo, 2008] Galindo L., ―Metodología para la creación de la‖Tabla Metodológica‖ o
―Solución Integral‖ como Apoyo al Desarrollo de Sistemas‖, Memorias del 4º Congreso
Internacional de Metodología de la Ciencia y de la Investigación para la Educación.
Asociación Mexicana de Metodología de la Ciencia y de la Investigación, A.C. y CFIE del
IPN, 25 de Junio de 2008, México, D.F.
[Galindo, 2007] Galindo L., ―Una Metodología Básica para el Desarrollo de Sistemas‖,
Memorias del 3er. Congreso Internacional de Metodología de la Ciencia y de la
Investigación para la Educación, Asociación Mexicana de Metodología de la Ciencia y de la
Investigación, A.C. e Instituto Campechano; 23 de Marzo de 2007, Campeche, Camp.
[Hernández,1998] Hernández R., ―Metodología de la Investigación‖, McGraw Hill
Interamericana, México, 1998.
[Locard, 1963] Locard E., ―Manual de Técnica Policiaca‖. Editorial José Montesó, 1963.
[Moreno, 2009] Moreno R., ―Introducción a la Criminalística‖, Editorial Porrúa, México, 2009.
[Orellana, 1975] Orellana J., ―Tratado de Grafoscopía y Grafocrítica‖, Editorial Diana,
México, 1975.
METODOLOGÍA PARA EL ANÁLISIS FORENSE INFORMÁTICO EN SISTEMAS DE REDES Y EQUIPOS DE CÓMPUTO PERSONAL.
247 Ing. Arturo Palacios Ugalde.
Bibliografía.
[Rodao, 2005] Rodao J., ―Piratas Cibernéticos, Cybewars, Seguridad Informática e
Internet‖. Grupo Editorial Alfa Omega, México, Primera Edición, 2005.
[Shinder,2002], Shinder D., ―Prevención y Detección de Delitos Informáticos‖, Editorial
Anaya Multimedia, Primera Edición, México, 2002.
[Van Gigch, 1987] Van Gigch J. P, ―Teoría General de Sistemas‖.
Editorial Trillas, México D. F. MÉXICO, 1987.
Referencias a Internet:
http://archivos.diputados.gob.mx/Comisiones/Especiales/Acceso_Digital/Presentaciones/Pro
curacion_justicia_PGR.pdf
http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
http://biblioteca.dgsca.unam.mx/cu/productos/boletines/msg00007.html
http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
http://www.scm.oas.org/pdfs/2008/CICTE00392E.ppt
http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf
http://www.bibliojuridica.org/
http://web.mit.edu/rhel-doc/3/rhel-ig-s390-multi-es-3/s1-diskpartitioning.html
http://www.sideso.df.gob.mx/documentos/legislacion/codigo_3.pdf
http://www.nist.gov/index.html
http://www.ojp.usdoj.gov/nij/funding/welcome.htm
http://www.fbi.gov/
http://www.caine-live.net/
Recommended