FACULTAD DE INGENIERÍAESCUELA DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN

LA INFORMÁTICA FORENSE, SU APLICACIÓN LEGALY SU RELACIÓN CON LA CRIMINALÍSTICA.

Autor: Miguel Angel Martínez Rivera

Curso: Metodología del Trabajo IntelectualProfesor: Gerardo Raúl Chunga Chinguel

Semestre Lectivo: 2013­0

Chiclayo ­ PerúFebrero, 2013

1

DEDICATORIA

A mis querida madre: Rosa AmeliaA mi hermana: María Noelia Martinez

AGRADECIMIENTO

A Dios por regalarme un dia mas de vida y salud.A mi querida madre que siempre me apoya en las decisiones que tomo en mi vida

A mi enamorada Taggia Kadir que me ayudó a recolectar informaciónA Gerardo Chunga por su paciencia, esmero y profesionalismo que me guío en desarrollar este

trabajo de monografía

2

RESUMEN

Con la masificación de los sistemas informáticos, se ha visto un aumento en el número de delitos informáticos, que han impactado considerablemente a la sociedad, para realizar investigaciones sobre delitos relacionados con las TIC (Tecnologías de la Información y las Comunicaciones) se utilizan las técnicas de informática forense, con el objetivo de preservar y analizar adecuadamente la evidencia digital que está también ligado a los aspectos legales que deben considerarse para presentar adecuadamente los resultados de la investigación de la evidencia digital.

En el primer capítulo muestra una breve introducción de los sistemas informáticos, como esta estructurado y los procesos técnicos que esta usa para obtener pruebas, el segundo capítulo pretende mostrar una panorámica general de la informática forense una breve historia, sus objetivos, las fases para realizar una investigación y algunas herramientas usadas, para finalizar en el capítulo tres muestra sus aplicaciones en procesos litigiosos, que es el perito informático, el espionaje corporativo, el robo de la información a través de suplantaciones electrónicas y el fraude a través del robo de identidad.

En conclusión la Informática forense puede rastrear la destrucción de datos y la manipulación de los mismos también . Los hábitos de los usuarios de los computadores y las actividades realizadas pueden ayudar a la reconstrucción de hechos, siendo posible saber de todas las actividades realizadas en un computador determinado.

Palabras clave:

Informática, computo forense, perito informatico, datos, evidencia digital.

3

TABLA DE CONTENIDOS

*LA INFORMÁTICA FORENSE, SU APLICACIÓN LEGAL Y SU RELACIÓN CON LA CRIMINALÍSTICA.

DEDICATORIAAGRADECIMIENTORESUMENTABLA DE CONTENIDOSINTRODUCCIÓNCAPÍTULO I: INTRODUCCIÓN A LOS SISTEMAS INFORMÁTICOS

1.1. Sistema informático1.2. Componentes de un sistema Informático#1.3. Análisis forense de sistemas Informáticos#

CAPÍTULO II: INFORMÁTICA FORENSE2.1. Breve evolución de la informática forense #:2.2 . ¿Qué es la Informática Forense?2.3. Objetivos de la informática forense#:2.4. Fases de la Investigación Forense#2.5. Herramientas de Investigación Forense#

2.5.1 Herramientas para la Recolección de Evidencia2.5.2. Herramientas para el Monitoreo y/o Control de Computadores2.5.3 Herramientas de Marcado de documentos2.5.4 Herramientas de Hardware

2.6. Usos de la Informática forense#:CAPÍTULO III : APLICACIONES DE LA INFORMÁTICA FORENSE EN LOS PROCESOS LITIGIOSOS

3.1. Perito Informático#.3.1.2. Características específicas del perito informático

3.2. La prueba pericial3.3. El espionaje Industrial#3.4. Robo de la información a través de las suplantaciones electrónicas#

3.4.1. Phishing3.4.2. Spoofing3.4.3. El spam, o correo basura#3.4.4. Vishing.#3.4.5. Smishing.3.4.6. Pharmin

CONCLUSIONESREFERENCIAS BIBLIOGRÁFICAS

4

INTRODUCCIÓN

La informática forense es una rama de la informática que examina la evidencia digital y recolecta pruebas informáticas para ser utilizadas en un procedimiento legal civil o penal. El proceso de investigación de la evidencia digital (peritaje informático forense ) debe llevarse a cabo de manera que sea legalmente aceptable.

Las interrogantes que se desarrollará en esta Monografía es: ¿Para qué sirve? ¿En qué consiste? ¿Cuál es su finalidad? ¿Qué metodologías utiliza la Informática forense?, para lo cual surgen procedimientos que identifican, aseguran, extraen, analizan y presentan pruebas generadas y guardadas electrónicamente para que puedan ser aceptadas en un proceso legal.

Por tanto la monografía está organizada en tres capítulos.

El primero proporciona una visión general de lo que es un sistema informático, componentes de un sistema informático, características , funcionalidades y estándares a considerar.

El segundo capítulo se detalla la informática forense, su historia, ¿Qué es la Informática Forense?, sus objetivos, fases de la investigación forense y algunas herramientas que usa esta ciencia.

Finalmente en el tercer capítulo se proporciona un listado aplicaciones de la informática forense

5

CAPÍTULO I: INTRODUCCIÓN A LOS SISTEMAS INFORMÁTICOS

1.1. Sistema informáticoUn sistema informático como todo sistema, es el conjunto de partes interrelacionadas,

hardware, software y de recurso humano (humanware) que permite almacenar y procesar información. El hardware incluye computadoras o cualquier tipo de dispositivo electrónico inteligente, que consisten en procesadores, memoria, sistemas de almacenamiento externo, etc. El software incluye al sistema operativo, firmware y aplicaciones, siendo especialmente importante los sistemas de gestión de bases de datos. Por último el soporte humano incluye al personal técnico que crean y mantienen el sistema (analistas, programadores, operarios, etc.) y a los usuarios que lo utilizan. Un sistema informático se compone de una unidad central de procesamiento (UCP/CPU), encargada de procesar los datos, uno o varios periféricos de entrada, los que permiten el ingreso de la información y uno o varios periféricos de salida, los que posibilitan dar salida (normalmente en forma visual o auditiva) a los datos procesados.1

También es considerado un sistema compuesto de equipos y de personal que realiza funciones de entrada, proceso, almacenamiento, salida y control con el fin de llevar a cabo una secuencia de operaciones con datos. 2

Se concluye que el sistema informático es un conjunto de elementos interrelacionados entre sí y relacionados a su vez con el sistema global en que se encuentra que pretende conseguir unos fines determinados. Los elementos constitutivos de un sistema informático serán físicos lógicos y humanos.

FUENTE:http://www.um.es/docencia/barzana/IMGTEORIA/sistema_computo.jpg

1 Eliasid Rivero Madera,http://www.slideshare.net/elio456/caracteristicas­de­un­sistema­informtico(Accedido 26 de enero de 2014)2Instituto de Enseñanza Secundaria Jándula,http://www.institutojandula.com/RET/SistemasInformaticos.pdf(Accedido 30 de enero de 2014)

6

1.2. Componentes de un sistema Informático3

a) Componente físico : el hardware del sistema informático lo conforman, básicamente, los ordenadores, los periféricos y el sistema de comunicaciones. Los componentes físicos proporcionan la capacidad y la potencia de cálculo del sistema informático.

b) Componente lógico: que constituye el software del sistema informático y lo conforman, básicamente, los programas, las estructuras de datos y la documentación asociada El software se encuentra distribuido en el hardware y lleva a cabo el proceso lógico que requieren los datos.

c) Componente humano : constituido por todas las personas participantes en todas las fases de la vida de u n sistema informático (diseño, desarrollo, implantación, explotación). Este componente humano es sumamente importante ya que los sistemas informáticos están desarrollados por humanos y para uso de humanos.Veamos, gráficamente. la estructura de un sistema informático genérico:

Fig. 1Fuente:http://www.institutojandula.com/RET/SistemasInformaticos.pdf

3 Instituto de Enseñanza Secundaria Jándula,http://www.institutojandula.com/RET/SistemasInformaticos.pdf(Accedido 30 de enero de 2014)

7

1.3. Análisis forense de sistemas Informáticos4

La informática forense, o análisis forense digital, es la disciplina que se encarga, como parte de la demostración objetiva de la comisión de un delito, de la recopilación, recuperación y análisis de los datos contenidos en todo tipo de dispositivos con capacidad para almacenar datos digitales. Esta labor es importante en los procesos judiciales, pero también puede emplearse en el sector privado (por ejemplo, para las comprobaciones internas de las empresas o las investigaciones en caso de intrusión en la empresa y/o en su infraestructura informática) El desarrollo de la informática forense, o análisis forense digital, está marcado por la aparición en el mercado de cada vez más tipos de dispositivos digitales. Ello exige la creación de nuevas herramientas de análisis de software diferentes. En cuanto a los contenidos de esta disciplina, la informática forense se rige por consideraciones jurídicas, ya que las leyes de cada país establecen en qué medida y hasta qué punto se pueden analizar los datos digitales (protección de datos, etc.).

Procesos técnicos de la informática forenseLa informática forense es una disciplina relativamente joven que empezó a practicarse

en los años 80 con el análisis directo de los medios digitales. Para obtener pruebas, los investigadores examinaban la "vida interior" de los ordenadores con ayuda de las herramientas de administración del sistema (Sysadmin). No obstante, esa forma de proceder podía ocasionar la modificación de los datos, lo que a su vez podía dar lugar a alegaciones de falsificación de las pruebas.

Ello condujo a la adopción de otro enfoque, el análisis forense, que se compone de tres pasos:

Identificación y preservación de los datos con el fin de crear un duplicado forense, es decir, una copia exacta de los datos de un soporte digital, sin modificar los datos originales.Análisis de los datos así protegidos por medio de un software especial y de métodos para la recopilación de pruebas. Medidas típicas son, por ejemplo, la búsqueda de contraseñas, la recuperación de archivos borrados, la obtención de información del registro de Windows (base de datos de registro), etc.Elaboración de un informe por escrito sobre las evidencias descubiertas en el análisis y en el que se incluyan también las conclusiones extraídas del estudio de los datos y de la reconstrucción de los hechos o incidentes.

CAPÍTULO II: INFORMÁTICA FORENSE

4 Seh,http://blog­es.seh­technology.com/entradas/analisis­forense­de­sistemas­informaticos.html(Accedido 27 de enero de 2014)

8

2.1. Breve evolución de la informática forense :5

La Informática Forense Se inició en los EUA, en gran parte, cuando la policía y los investigadores militares comenzaron a ver que los criminales eran cada vez más conocimientos técnicos. Miembros gubernamentales encargados de la protección de secreto información importante y confidencial, las investigaciones forenses realizadas en respuesta a las posibles brechas de seguridad, con el fin de analizar no sólo para las violaciones a medida que aprenden a evitar situaciones similares en el futuro.Por último, iniciar la conexión existente entre los campos de la seguridad de la información, que se centran en la protección de la información y de los activos, y la informática forense, que se centra en hacer frente a situaciones de información sobre la delincuencia.

Las empresas privadas han seguido la estrategia de empleo directo a profesionales de seguridad informática forense o computadora, o bien recurrir a otras empresas especializadas basadas en las necesidades existentes.Más recientemente, el sector privado ha analizado la necesidad de realizar investigaciones forenses en las disputas legales de carácter civil.

El campo de la informática forense continúa creciendo diariamente. Cada vez más investigadores privados en investigación informática forense y privados son cada vez un nivel más amplio de conocimientos en este campo.Las compañías de software continúan produciendo programas forenses nuevos y más robusto de software, y el nivel de las fuerzas de la ley y la policía, existe una búsqueda continua para identificar y capacitar a aumentar su plantilla en respuesta a los delitos relacionados con la tecnología.

2.2 . ¿Qué es la Informática Forense?Según la Oficina Federal de Investigación de Estados Unidos (FBI), la Informática Forense es: "La ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio informático". En cuanto a los incidentes informáticos, éstos pueden ser de distinta naturaleza, como ser el robo de propiedad

5DCR,http://www.datarecovercenter.co/Servicios/Informatica­Forense/Auditoria­e­Investigacion­Forense/Historia­de­la­Informatica­Forense(Accedido 27 de enero de 2014)

9

intelectual, el fraude, la distribución de virus, la denegación de servicio, la extorsión, la estafa, el acceso no autorizado, el robo de servicios o el abuso de privilegios.6

La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas para luego analizarlas. La tecnología, en caso de la identificación, recolección y análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de suma importancia en recaudar la información y los elementos de convicción necesarios. La escena del crimen es el computador y la red a la cual éste está conectado.

En conclusión, la Informática forense implica recolectar registros y mensajes de datos existentes dentro de un equipo informático, de tal manera que toda esa información digital, pueda ser usada como prueba ante un tribunal.

2.3. Objetivos de la informática forense :7

La informática forense tiene 3 objetivos:1. La compensación de los daños causados por los criminales o intrusos.2. La persecución y procesamiento judicial de los criminales.3. La creación y aplicación de medidas para prevenir casos similares.Estos objetivos son logrados de varias formas, entre ellas, la principal es larecolección de evidencia.

2.4. Fases de la Investigación Forense8

El objetivo principal de la Investigación Forense Informática es la recolección, preservación, filtrado y presentación de las evidencias digitales de acuerdo a los procedimientos técnicos y legales preestablecidos, como apoyo de la Administración de Justicia:

Recolección: Este primer paso es fundamental para la investigación, aquí el investigador forense debe identificar a todos los objetos que tengan valor como evidencia para posteriormente recolectarlos. Normalmente estos objetos serán mensajes de datos, información digital contenidos en discos duros, flash memory’s y otros artefactos que almacenan información digital, también pueden incluir los respaldos de emergencia, en fin el investigador debe tener bien en claro cuales son las fuentes de la evidencia a fin de identificar a esta y la mejor manera de recolectarla.

6 Staff, Users. Hacking (Buenos Aires: Fox Andina: USERSHOP, 2011), 37.7 Lopez, Oscar, Haver Amaya, y Ricardo León. «Informatica Forense: Generaidades, aspectos técnicos y herramientas».Accedido 22 de enero de 2014. http://www.urru.org/papers/Rrfraude/InformaticaForense_OL_HA_RL.pdf.8 Acurio Del Pino, Santiago,http://egov.ufsc.br/portal/sites/default/files/9.pdf(Accedido 22 de enero de 2014)

10

Preservación: La preservación es la parte de la investigación digital forense que se enfoca en resguardar los objetos que tengan valor como evidencia de manera que estos permanezcan de forma completa, clara y verificable. Aquí se utiliza técnicas criptográficas como códigos de integridad (función hash, checksums) y la más prolija documentación. La fase de preservación interviene a lo largo de todo el proceso de investigación forense, es una fase que interactúa con las demás fases.

Filtrado: También conocida como la fase de análisis en la investigación forense, es donde el investigador busca filtrar todos los objetos recolectados y preservados de la escena del delito a fin de separar los objetos que no tienen valor como evidencia de los que si. En esta fase el investigador utilizar una serie de instrumentos y técnicas para localizar y extraer la evidencia para luego ponerla en el contexto de la investigación.

Presentación: Esta es la fase final de la investigación forense informática, es cuando se presentan los resultados, los hallazgos del investigador. La presentación debe ser entendible y convincente, es decir aquí se debe reseñar los procedimientos y las técnicas utilizadas para recolectar, preservar y filtrar la evidencia de manera que exista certidumbre en los métodos usados, aumentado así la credibilidad del investigador en un contra examen de los mismos.

2.5. Herramientas de Investigación Forense9

En la actualidad existen cientos de herramientas, las cuales se pueden clasificar en cuatrogrupos principales:

2.5.1 Herramientas para la Recolección de Evidencia

Las herramientas para la recolección de evidencia representan el tipo de herramienta más

9 Lopez, Oscar, Haver Amaya, y Ricardo León. «Informatica Forense: Generaidades, aspectos técnicos y herramientas».Accedido 22 de enero de 2014. http://www.urru.org/papers/Rrfraude/InformaticaForense_OL_HA_RL.pdf.

11

importante en la computación forense, porque su centro de acción está en el que para muchos es el punto central. Su uso es necesario por varias razones:

• Gran volumen de datos que almacenan los computadores actuales.• Variedad de formatos de archivos, los cuales pueden variar enormemente, aún dentro del contexto de un mismo sistema operativo.• Necesidad de recopilar la información de una manera exacta, que permita verificar que la copia es fiel y además mantener inalterada la escena del delito.• Limitaciones de tiempo para analizar toda la información.• Volatilidad de la información almacenada en los computadores, alta vulnerabilidad al borrado, con una sola información se pueden eliminar hasta varios gigabytes.• Empleo de mecanismos de encriptación, o de contraseñas.• Diferentes medios de almacenamiento, como discos duros, CDs y cintas.

Herramienta EnCase:Es una herramienta desarrollada por Guidance Software Inc, permite asistir al especialista forense durante el análisis de un crimen digital. Se escogió mostrar esta herramienta por tratarse del software líder en el mercado, el producto más ampliamente difundido y de mayor uso en el campo del análisis forense. Algunas de las características más importantes de EnCase se relacionan a continuación: Copiado Comprimido de Discos Fuente . Encase emplea un estándar sin pérdida (loss­less) para crear copias comprimidas de los discos origen. Los archivos comprimidos resultantes, pueden ser analizados, buscados y verificados, de manera semejante a los normales (originales).

Esta característica ahorra cantidades importantes de espacio en el disco del computador del laboratorio forense, permitiendo trabajar en una gran diversidad de casos al mismos tiempo, examinando la evidencia y buscando en paralelo. Búsqueda y Análisis de Múltiples partes de archivos adquiridos . EnCase permite al examinador buscar y analizar múltiples partes de la evidencia. Muchos investigadores involucran una gran cantidad de discos duros, discos extraíbles, discos “zip” y otros tipos de dispositivos de almacenamiento de la información. Con Encase, el examinador puede buscar todos los datos involucrados en un caso en un solo paso. La evidencia se clasifica, si esta comprimida o no, y puede ser colocada en un disco duro y ser examinada en paralelo por el especialista.

En varios casos la evidencia puede ser ensamblada en un disco duro grande o un servidor de red y también buscada mediante EnCase en un solo paso. Diferente capacidad de Almacenamiento. Los datos pueden ser colocados en diferentes unidades, como Discos duros IDE o SCSI, drives ZIP, y Jazz. Los archivos pertenecientes a la evidencia pueden ser comprimidos o guardados en CD­ROM manteniendo su integridad forense intacta, estos archivos pueden ser utilizados directamente desde el CD­ROM evitando costos, recursos y tiempo de los especialistas. Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo.

12

EnCase permite al especialista ordenar los archivos de la evidencia de acuerdo a diferentes campos, incluyendo campos como las tres estampillas de tiempo (cuando se creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y extensiones. Análisis Compuesto del Documento. EnCase permite la recuperación de archivos internos y meta­datos con la opción de montar directorios como un sistema virtual para la visualización de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated .

2.5.1.1.Software de Libre Distribución y Open Source

Dejando aparte el software comercial, nos centraremos en herramientas de código abierto (Open Source) que podrá descargar libremente desde la página sus correspondientes autores o miembros del proyecto.

Vamos a comenzar con una recopilación de herramientas que necesitan ser ejecutadas bajo un sistema operativo anfitrión, bien sea MS Windows o UNIX/Linux.

The Forensic ToolKit Se trata de una colección de herramientas forenses para plataformas Windows, creado por el equipo de Foundstone.The Sleuth Kit y AutopsyPuede analizar archivos de datos de evidencias generadas con utilidades de disco como por ejemplo ddHELIX CDPosee la mayoría de las herramientas necesarias para realizar un análisisF.I.R.E. LinuxRecolección de datos de un sistema informático comprometido y hacer un análisis forense.

2.5.2. Herramientas para el Monitoreo y/o Control de ComputadoresAlgunas veces se necesita información sobre el uso de los computadores, por lo tanto existen herramientas que monitorean el uso de los computadores para poder recolectar información. Existen algunos programas simples como key loggers o recolectores de pulsaciones del teclado, que guardan información sobre las teclas que son presionadas, hasta otros que guardan imágenes de la pantalla que ve el usuario del computador, o hasta casos donde la máquina es controlada remotamente.

KeyLogger “KeyLogger”Es un ejemplo de herramientas que caen en esta categoría. Es una herramienta que

13

puede ser útil cuando se quiere comprobar actividad sospechosa; guarda los eventos generados por el teclado, por ejemplo, cuando el usuario teclea la tecla de 'retroceder', esto es guardado en un archivo o enviado por e­mail . Los datos generados son complementados con información relacionada con el programa que tiene el foco de atención, con anotaciones sobre las horas, y con los mensajes que generan algunas aplicaciones. Existen dos versiones: la registrada y la de demostración. La principal diferencia es que en la versión registrada se permite correr el programa en modo escondido. Esto significa que el usuario de la máquina no notará que sus acciones están siendo registradas.

2.5.3 Herramientas de Marcado de documentos10

Básicamente el objetivo de este tipo de herramientas es el de insertar una marca a la información sensible para poder detectar el robo o tráfico con la misma, si bien no equivale al sistema LoJack de rastreo y localización de vehículos hurtados, si podría compararse con las marcas que se hace a los vehículos. A través de estas herramientas es posible marcar no solo documentos, sino también software.

Existen en el mercado programas que permiten marcar el software para que, en caso de robo de información, sea posible detectarlo fácilmente. “Algunos sitios en Internet que manejan información confidencial o sensitiva, tienen mecanismos para validar el ingreso, pero, debido a que no existe nada como un sitio 100% seguro, se debe estar preparado para incidentes”.

Cuando se dice “robo de información” no se refiere solamente al robo de software sino también al robo de imágenes, música, videos y documentos. Desde luego este robo es perpetuado en obras digitales y es por esto que existe este tipo de herramientas de marcado de documentos las cuales utilizan la tecnología llamada comúnmente “Digital Watermarking” o marcas de agua digitales.

a. SandmarkEsta herramienta protege al software de la piratería, la manipulación y la ingeniería inversa. La meta del software es la de desarrollar técnicas que le permitan a los usuarios determinar empíricamente cuales algoritmos para la inserción de marcas de agua digitales tienen el mejor rendimiento y la mayor resistencia a ataques

2.5.4 Herramientas de HardwareDebido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la

10 Repositorio UTN,http://repositorio.utn.edu.ec/bitstream/123456789/539/8/04%20ISC%20157%20CAPITULO%20III.pdf(Accedido17 de febrero de 2014)

14

información se han diseñado varias herramientas como:

a.­ Un equipo portable “F.R.E.D.D.I.E .­ El componente principal del kit portable se denomina “F.R.E.D.D.I.E”, (Forensic Recovery of Evidence Device Diminutive Interrogation Equipment); consiste en un computador portable, diseñado para la recuperación de datos de todo tipo de dispositivos, con posibilidades de bloqueo de discos para evitar modificaciones accidentales del material estudiado y otras características de obtener una línea temporal de eventos, tanto de los actos realizados por el equipo forense como por el autor del crimen.

b. Conjunto portable de duplicación de discos: Elemento sencillo destinado para duplicar discos IDE­IDE e IDE­SCSI, con presentación automática de un informe impreso con datos del disco (número de serie, cilindros, capacidad, fecha y hora de la copia, etc.).

c. Impresora portable, inalámbrica: se adquirió por la importancia del papel y la burocracia en todo proceso judicial, de forma que al disponer de cuadernos electrónicos podríamos llevar ahí los formularios adecuados para cada caso e imprimirlos en la impresora portable (ligera y con batería).

d. Soporte inalámbrico para todos los dispositivos del kit: es un requisito importante, ya que estudia minuciosamente cada componente para comprobar que disponía de soporte inalámbrico, (bluetooth, infrarrojos o WiFi).

2.6. Usos de la Informática forense :11

Existen varios usos de la informática forense, muchos de estos usos provienen de la vida diaria, y no tienen que estar directamente relacionados con la informática forense:

A. Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil.

B. Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense.

C. Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones.

11Giovanni Zuccardi y Juan David Gutiérrez. «Informtica Forense», 2006. http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdf.

15

D. Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial.

E. Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva.

CAPÍTULO III : APLICACIONES DE LA INFORMÁTICA FORENSE EN LOS PROCESOS LITIGIOSOS

16

3.1. Perito Informático .12

La función del perito informático consiste en el análisis de elementos informáticos, en busca de aquellos datos que puedan constituir una prueba o indicio útil para el litigio jurídico al que ha sido asignado. Las tareas a desarrollar por el perito informático no son distintas de la de otros peritos judiciales. Por lo tanto deberá recopilar la información que es puesta a su disposición, analizar la misma en busca de los datos que el juez le ha requerido y emitir un informe o dictamen en donde vuelque las conclusiones de la investigación realizada.I

3.1.2. Características específicas del perito informático

Un perito informático debe ser un profesional del peritaje informático, no un experto en una sola área de la informática. Es decir, un informático preparado, idóneo en varias disciplinas, y sobre todo, eficaz "perito en la materia".

Durante el año 2000, la Corte Suprema de Justicia de la Nación procedió a la creación del grupo de apoyo técnico informático, basándose en "el crecimiento cuantitativo y cualitativo de la litigiosidad en los últimos años por lo que consideró que se debe "contar con funcionarios dotados de la capacidad técnica que permita resolver fundamentalmente los requerimientos que, en esta materia, le efectúen los distintos Tribunales".

Asimismo el perito debe contar con especificidad, ya que como todas las profesiones, es importante la especialización dado que la materia informática es muy basta y cambiante. Por ello resulta indispensable contar con profesionales experimentados y especializados en HARDWARE y SOFTWARE que interactúen para lograr los objetivos.

3.2. La prueba pericialPrincipales aspectosEs la que surge del dictamen de los peritos, que son personas llamadas a informar ante el juez o tribunal, por razón de sus conocimientos especiales y siempre que sea necesario tal dictamen científico, técnico o práctico sobre hechos litigiosos. Los aspectos más importantes de esta prueba son:

12 Andrés Eduardo Basini,http://www.derechopenalonline.com/derecho.php?id=14,812,0,0,1,0(Accedido 1 de febrero de 2014)

17

a.­ La Procedencia: procede cuando para conocer o apreciar algún hecho de influencia en el pleito, sean necesarios o convenientes conocimientos científicos, artísticos o prácticos.

b.­ La Proposición: la parte a quien interesa este medio de pruebas propondrá con claridad y precisión el objeto sobre el cual deba recaer el reconocimiento pericial, y si ha de ser realizado por uno o tres de los peritos. El Juez ya que se trata de asesorarle, resuelve sobre la necesidad, o no, de esta prueba.

c.­ El Nombramiento: los peritos tienen que ser nombrados por el Juez o Tribunal, con conocimiento de las partes, a fin de que puedan ser recusados o tachados por causas anteriores o posteriores al nombramiento. Son causas de tacha a los peritos el parentesco próximo, haber informado anteriormente en contra del recusante el vínculo profesional o de intereses con la otra parte, el interés en el juicio, la enemistad o la amistad manifiesta.

d.­ El Diligenciamiento: las partes y sus defensores pueden concurrir al acto de reconocimiento pericial y dirigir a los peritos las observaciones que estimen oportunas. Deben los peritos, cuando sean tres, practicar conjuntamente la diligencia y luego conferenciar a solas entre sí. Concretan su dictamen según la importancia del caso, en forma de declaración; y en el segundo, por informe, que necesita ratificación jurada ante el Juez. El informe verbal es más frecuente y quedará constancia del mismo en el acta.e.­ El Dictamen Pericial: los peritos realizarán el estudio riguroso del problema encomendado para producir una explicación consistente. Esa actividad cognoscitiva será condensada en un documento que refleje las secuencias fundamentales del estudio efectuado, los métodos y medios importantes empleados, una exposición razonada y coherente, las conclusiones, fecha y firma. A ese documento se le conoce generalmente con el nombre de Dictamen Pericial o Informe Pericial. Si los peritos no concuerdan deberá nombrarse un tercero para dirimir la discordia, quién puede disentir de sus colegas. Todo dictamen pericial debe contener: a) la descripción de la persona, objeto o cosa materia de examen o estudio, así como, el estado y forma en que se encontraba; b) La relación detallada de todas las operaciones practicadas el la pericia y su resultado; c) Los medios científicos o técnicos de que se han valido para emitir su dictamen; d) Las conclusiones a las que llegan los perito

3.3. El espionaje Industrial13

¿Que es el Espionaje Industrial?Cuando una empresa obtiene información referente a la investigación, perfeccionamiento y fabricación de conceptos industriales o prototipos para adelantarse a la competencia al momento de colocar en el mercado un producto innovador, a eso se le denomina

13 Secureshred,http://www.secureshred.mx/como­detectar­el­espionaje­industrial­sigue­estas­2­claves(Accedido 1 de febrero de 2014)

18

espionaje industrial, una actividad ilícita producto de la rápida obsolescencia de las nuevas tecnologías. Esto se puede evitar si es detectado a tiempo.

El Control de los visitantes a la empresaLos visitantes no solo pueden ser personas esperadas o invitadas de la empresa, pero es probable que ciertas compañías que proveen de algún servicio sean utilizadas por otras empresas para infiltrar a la empresa ya sea de forma electrónica o física.

Estos pueden ser herreros, fontaneros, carpinteros, electricistas que a modo de estar realizando un trabajo dentro de la empresa, pueden colocar algún dispositivo electrónico para captar audio o vídeo de tal forma que puedan obtener información. También pueden sustraer documentos importantes. Todo esto lo hacen mientras nadie los esté observando.

Para evitar estas situaciones, hay que realizar a todas las personas que ingresan a las instalaciones de la empresa un registro físico de todas sus pertenencias, como una manera de cerciorarse que entren con lo que realmente necesiten para trabajar.

Asimismo, hay que acompañar a este personal de servicio con agentes de seguridad para que los supervisen en cuanto a las labores que desempeñan.

Resguardar toda información digitalLa información digital siempre tiene que estar a buen resguardo, por lo que la empresa debe disponer de un departamento de informática para que no existan fugas de información y que esto fomente la competencia desleal.

Existen formas con la finalidad de impedir esta clase de cosas. Una de ellas es haciendo una campaña interna de carácter informativo para que los usuarios de cada computadora coloquen claves de acceso al sistema operativo, con la finalidad de asegurarlas ante la posibilidad que algún agente externo pueda sustraer alguna clase de información.

Estas dos claves pueden ser fundamentales para que la empresa pueda desarrollarse de una manera segura y frenar a cualquiera de las técnicas de espionaje de las que otra corporación pueda disponer para hacer trampa a nivel de la competencia comercial.

En este caso, la precaución es el arma más eficaz para evitar situaciones desagradables.

3.4. Robo de la información a través de las suplantaciones electrónicas14

14 Esther Nuñez Vidal, Carlos Villareal Gonzales, y Victoria Cuevas Gil. «Suplantacion de la Identidad». Accedido 31 de enero de

19

3.4.1. PhishingPhishing es un término informático utilizado para denominar el fraude por

suplantación de identidad, una técnica de ingeniería social. El origen de la palabra phishing se dice que proviene de la contracción de “password harvesting fishing” (cosecha y pesca de contraseñas)Las personas que realizan el fraude se denominan phishers. Su objetivo es la obtención de información personal confidencial de las víctimas, ya sean cuentas bancarias, contraseñas, números de tarjetas de crédito, etcétera.El phisher actúa de varias formas distintas para conseguir la información: mediante el envío de mensajes de correo electrónico fraudulentos, mensajería instantánea o mediante la utilización de falsos sitios web. En este último caso podemos enmarcar los casos de suplantación de páginas web de entidades bancarias muy utilizados actualmente:

A.ScamEste tipo de fraude consiste en que empresas ficticias realizan la captación de personas mediante diversas vías como chats, foros, notificaciones vía correo electrónico, anuncios en periódicos e incluso difusión en webs; donde ofrecen puestos de trabajo con excelentes ventajas y cuyas condiciones se resumen en disponer de un ordenador y ser titular de una cuenta bancaria. Las personas que aceptan este tipo de empleos reciben el nombre de “muleros” y desconocen el carácter ilícito de sus acciones que consiste en el blanqueo de dinero obtenido a través del phishing.

B. HoaxEstos mensajes engañosos o bulos, se distribuyen en cadena. Abarcan diferentes temas, como por ejemplo desgracias, cadenas de solidaridad, falsas advertencias de virus informáticos… y todos ellos se caracterizan por atemorizar al destinatario si no continúa con la cadena de mensajes, no están firmados e incluso algunos referencian los nombres de grandes compañías. Los objetivos de este tipo de fraude son conseguir direcciones de correo electrónico, colapsar servidores, colapsar las LAN.

C. AFFEl fraude por adelanto de pago (AFF Advance Fee Fraud) o Fraude 419 es conocido también por el fraude de la lotería y constituye una de las formas de amenaza de delito telemático más peligrosas y con mayor crecimiento. Se trata de un crimen en el que se engaña a la víctima para que pague una cantidad de

2014.http://gpd.sip.ucm.es/sonia/docencia/master/Trabajos%20Alumnos/Suplantacion%20Identidad/Suplantacion_Personalidad.pdf.

20

dinero por adelantado para recibir un regalo a un premio en metálico. Normalmente los delincuentes simulan páginas de compañías de prestigio para dar más credibilidad y autenticidad a sus mensajes de correo electrónico.

3.4.2. SpoofingA diferencia del phishing, el spoofing también se trata de una suplantación de identidad, pero en la cual no se requiere por lo general de un engaño previo a la víctima o a la entidad. Adicionalmente, los motivos del mismo pueden ser muy variados, desde la estafa a la investigación.

A. DNSTambién llamado pharming, se trata del cambio de la relación de un nombre de un dominio por una IP falsa. Este ataque se realiza si el servidor DNS no es muy seguro, o si confía en otros que si son inseguros. Por otro lado, una vez se haya realizado el cambio, otros servidores DNS que se fíen de este, podrán añadir a sus cachés la dirección falsa, denominándose DNS poisoning.

B. WebSuplanta la dirección real a una página falsa que encaminara hacia otras páginas auténticas que recolectarán información de la víctima. Esta página falsa actuará a modo de proxy (intermediario), de forma que recolectará toda la información de la comunicación de la víctima pudiendo modificarla o recolectarla. Esto la hace muy difícil de detectar y de protegerse contra ella.En este caso se requiere de un primer engaño para hacer que la víctima visite la página falsa y no la verdadera. Pero a diferencia del phishing, no suplanta realmente la página original, sino que se coloca en medio de la conversación.

3.4.3. El spam, o correo basura15

son correos electrónicos no deseados, generalmente con fines publicitarios. Los spammers envían sus mensajes a miles, incluso millones de direcciones de correo electrónico a la vez esperando que el mensaje llegue a cuantas más personas mejor para difundir una marca, una información, o cualquier tipo de publicidad. El correo electrónico no es el único medio por el cual se pueden recibir mensajes de spam, pero sí la forma más extendida.

3.4.4. Vishing.16

15 CSIRT­CV Centre Seguretat TIC de la Comunitat Valenciana. «Como identificar phishing». Accedido 1 de febrero de 2014.http://www.csirtcv.gva.es/sites/all/files/downloads/%5BCSIRTcv%5D%20Como%20identificar%20phishing.pdf.

16 «ESET Centro de Amenazas ­ Tipos de malware y otras amenazas informáticas ­ Rogue». ESET Latinoamérica. Accedido 1 de

21

El atacante falsifica el identificador de llamadas utilizando las comunicaciones VoIP del ordenador. En este ataque, la diferencia radica en el medio a través del cual la víctima es contactada. Otra técnica de este mismo ataque, utiliza el mismo medio que el phishing tradicional (correo electrónico) y el usuario es enlazado a un número telefónico donde se falsifica la atención al cliente de cierta organización y se solicita el ingreso de información personal a través del teléfono.

3.4.5. Smishing.Se llama así, al phishing por SMS. El usuario es contactado a través de un

mensaje de texto en su celular y es invitado a contactar telefónicamente a la organización, para verificar sus datos personales.

3.4.6. PharminConsiste en atacar los servidores DNS de un sitio y direccionar el tráfico legítimo

a un sitio web falsificado. En este caso, cualquier usuario que intente ingresar en el sitio web original, a pesar de ingresar correctamente la dirección del sitio web, es direccionado a otro servidor, donde se encuentra alojada la página web del atacante, simulando, como en el phishing, ser la web original.

CONCLUSIONES

La Informática forense permite la solución de conflictos tecnológicos relacionados conseguridad informática y protección de datos.

La Informática Forense en la actualidad ha tomado gran importancia porque permite encontrar las evidencias necesarias y suficientes de un siniestro, evidencia que pueden ser de gran valor en el momento de resolver un caso, en muchos de estos casos puede ser la única evidencia disponible.

La Informática Forense incluso al final de una investigación puede ayudarnos a plantear recomendaciones, ya que permite establecer los principales controles y seguridades que deben implementarse en la empresa u hogar.

febrero de 2014. http://www.eset­la.com/centro­amenazas/amenazas/2144­Phishing.

22

En estos últimos tiempos en nuestro país recién se ha empezado a hablar de Informática Forense, pero todavía falta mucho camino por recorrer, en especial si se compara con otros países del continente en donde ya se habla incluso de la profesionalización de esta rama.

la Informática forense puede rastrear la destrucción de datos y la manipulación de los mismos también . Los hábitos de los usuarios de los computadores y las actividades realizadas pueden ayudar a la reconstrucción de hechos, siendo posible saber de todas las actividades realizadas en un computador determinado.

REFERENCIAS BIBLIOGRÁFICAS

Acurio Del Pino, Santiago. «Introducción a la Informática Forense». Accedido 22 de enero de 2014. http://egov.ufsc.br/portal/sites/default/files/9.pdf.

Basini, Andrés Eduardo. «El perito informático y la prueba pericial». Accedido 1 de febrero de 2014. http://www.derechopenalonline.com/derecho.php?id=14,812,0,0,1,0.

Cano, Diego. Contra el fraude: prevención e investigación en América Latina. Ediciones Granica S.A. Buenos Aires: Ediciones Granica S.A.

CSIRT­CV Centre Seguretat TIC de la Comunitat Valenciana. «Como identificar phishing». Accedido 1 de febrero de 2014. http://www.csirtcv.gva.es/sites/all/files/downloads/%5BCSIRTcv%5D%20Como%20identificar%20phishing.pdf.

Data Recover Center. «Historia de la Informática Forense». Accedido 27 de enero de 2014.http://www.datarecovercenter.co/Servicios/Informatica­Forense/Auditoria­e­Investigacion­Forense/Historia­de­la­Informatica­Forense.

23

Eliasid Rivero Madera. «Características de un sistema informático». 12:57:18 UTC. http://www.slideshare.net/elio456/caracteristicas­de­un­sistema­informtico.

ESET. «ESET Centro de Amenazas ­ Tipos de malware y otras amenazas informáticas ­ Rogue». ESET Latinoamérica. Accedido 1 de febrero de 2014. http://www.eset­la.com/centro­amenazas/amenazas/2144­Phishing.

Instituto de Enseñanza Secundaria Jándula. «Sistemas Informaticos». Accedido 30 de enero de 2014. http://www.institutojandula.com/RET/SistemasInformaticos.pdf.

Lopez Delgado, Miguel. «Análisis Forense Digital». CriptoRed, junio de 2007. http://www.oas.org/juridico/spanish/cyb_analisis_foren.pdf.

Lopez, Oscar, Haver Amaya, y Ricardo León. «Informatica Forense: Generaidades, aspectos técnicos y herramientas». Accedido 22 de enero de 2014. http://www.urru.org/papers/Rrfraude/InformaticaForense_OL_HA_RL.pdf.

Nuñez Vidal, Esther, Carlos Villareal Gonzales, y Victoria Cuevas Gil. «Suplantacion de la Identidad». Www.google.com.pe. Accedido 31 de enero de 2014. http://gpd.sip.ucm.es/sonia/docencia/master/Trabajos%20Alumnos/Suplantacion%20Identidad/Suplantacion_Personalidad.pdf.

Secureshred. «Como detectar el espionaje industrial.» Accedido 1 de febrero de 2014. http://www.secureshred.mx/como­detectar­el­espionaje­industrial­sigue­estas­2­claves/.

SEH Computertechnik GmbH. «Análisis forense de sistemas informáticos». Accedido 27 de enero de 2014. http://blog­es.seh­technology.com/entradas/analisis­forense­de­sistemas­informaticos.html.

Staff, Users. Hacking. Fox Andina S.A. Buenos Aires: Usershop, s. f. UtnRepositorio.http://repositorio.utn.edu.ec/bitstream/123456789/539/8/04%20ISC%20157%

20CAPITULO%20III.pdf.(Accedido 17 de febrero de 2014)

Zuccardi, Giovanni, y Juan David Gutiérrez. «Informtica Forense», 2006. http://pegasus.javeriana.edu.co/~edigital/Docs/Informatica%20Forense/Informatica%20Forense%20v0.6.pdf.

24