INFORMATICA FORENSE Administración de Evidencia Digital

John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal

La comunicación !

DEFINICION

Es una rama o una ciencia?

John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal

LA INFORMATICA FORENSE ES:

La IF es la rama de la informática relacionada con la obtención y el análisis de los datos contenidos en medios de almacenamiento tecnológicos (magnéticos, ópticos, en duro entre otros) de tal forma que su información pueda ser utilizada como EVIDENCIA PROBATORIA ante un ente judicial o autoridad respectiva (Jefe, Coordinador, gerencia, entre otros) demostrando la responsabilidad sobre un hecho cuyas sanciones podrían llevar a ser penales y/o administrativas.

Puede ser usada para probar un delito convencional en el que se usó un computador, o un delito informático cometido desde un computador.

John Jairo Echeverry Aristizabal

La IF nos Permite:

• Recolectar la evidencia de forma rápida,

segura, eficiente y precisa.

• Analizar la evidencia para determinar el origen y contenido de la información, y

su valor probatorio.

• Presentar apropiadamente la información ante un ente judicial de tal

modo que se pueda aplicar la ley que

tipifica los delitos (que pueden o no ser

informáticos).

• Recuperar de manera parcial o total datos que han sido:

Borrados

Alterados

Sobrescritos

John Jairo Echeverry Aristizabal

La IF nos Permite:

Encontrar, interpretar y analizar adecuadamente evidencia digital presente en grandes volúmenes de datos.

Proveer mecanismos para preservar la información de tal forma que se mantenga su valor probatorio.

Manipular la información, de tal forma que se preserve la integridad de la evidencia.

John Jairo Echeverry Aristizabal

EVIDENCIA DIGITAL

Es un documento?

John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal

Son Iguales?

John Jairo Echeverry Aristizabal

Son Iguales?

John Jairo Echeverry Aristizabal

Que es esto?

John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal

Que es esto?

LA EVIDENCIA DIGITAL

La evidencia digital es única, cuando se le compara con otras formas de “evidencia documental”. A

comparación de la documentación en papel, la evidencia computacional es frágil y una copia de un documento almacenado en un archivo es idéntica al original.

Se debe tener en cuenta que los datos digitales

adquiridos de copias no se deben alterar de los originales del disco, porque automáticamente se invalidaría la evidencia. Es por esta razón que los investigadores deben revisar constantemente sus copias, y que sean exactamente igual a la original. CHECKSUM ó HASH

John Jairo Echeverry Aristizabal

EL HASH

Huella digital !

John Jairo Echeverry Aristizabal

John Jairo Echeverry Aristizabal

CONCLUSION

Lo que se debe tener en cuenta ….

John Jairo Echeverry Aristizabal

Lo que se debe tener en cuenta:

• Orden de Volatilidad.

• Cosas que se deben evitar.

• Consideraciones relativas a la privacidad de

los datos.

• Consideraciones Legales.

• Procedimiento de recolección.

• Transparencia.

• Pasos de Recolección.

• Cadena de Custodia.

• Como Almacenar las evidencias .

• Herramientas necesarias y medios de

almacenamiento de estas.

John Jairo Echeverry Aristizabal

GRACIAS INFORMATICA FORENSE

John Jairo Echeverry Aristizabal