Informática Forense

by Ing. Fernando Marroquín

El papel de la tecnología en un delito

Desde el punto de vista de uso:

  • Verse involucrado en un delito
  • Ser el propio canal a travez del cual se comete el delito

Desde el punto de vista de la persona:

  • Puede pertenecer a la víctima 
  • Puede pertener al delincuente

Desde el punto de vista del ámbito:

  • En un entorno empresarial
  • En un entorno personal

Utilidad del análisis forence

  • Puede ser utilizado para, determinar que es lo que ha ocurrido
  • Siendo aplicable para cualquiera de las casuística

¿Cómo surge la informática forense?

En algunos casos nos encontraremos con artefactos presentados como prueba digital, los cuales posteriormente podrían convertirse en evidencia de la cual se nutra el juez para dictar sentencia.

Informática

Tratamiento de la Información de manera automática, mediante unas máquinas llamadas ordenadores o dispositivos electrónicos

¿Qué son las Ciencias Forences?

  • Es la aplicación de prácticas científicas dentro del proceso legal.

Informática Forense

  • Es la aplicación de técnicas científicas y analíticas especializados a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

¿Qué es el análisis forense?

  • Extracción de datos de un dispositivo informático, preservando la veracidad de los datos extraídos
Incidentes de seguridad Delitos
Incidentes relacionados con Hacking:
*Robo de información
*Intrusión de redes empresariales.
*Espionaje industrial
Siempre que sirva como prueba:
*Delitos de sangre
*Secuestros
*Delitos relacionados con menores.

¿Cuál es el objetivo de un análisis informático forense?

  • Contestar una serie de preguntas que aporten información importante ante un juicio, para esclarecer el caso.
  • En el caso de un forense por un incidente de seguridad:
    • ¿Quién realizó el ataque?
    • ¿Cómo y cuando se realizó?
    • ¿Qué vulnerabilidad explotó?
    • ¿Qué hizo el intruso dentro del sistema?
  • En el caso de un forense por un delito:
    • ¿Poseía algún dispositivo electrónico en el momento del delito?
    • ¿Cuáles fueron sus últimas llamadas?
    • ¿Donde estaba en el momento del delito?
    • ¿Posee información relevante en sus dispositivos electrónicos?

¿Quién realiza un análisis informático forense?

  • Analistas forences cualificados
    • En el caso de intervenir en un proceso judicial, debe ser un perito forense certificado.
  • ¿Qué valor tiene el análisis informático forense?
    • Da respuestas ante un suceso en el que se ven involucrados dispositivos informáticos.
    • Si el análisis y la preservación de las evidencias es correcta sirve como prueba digital.

Tipos de análisis informático forense

Análisis forense de Sistemas

Windows

 

 

MacOS

 

 

Unix

Tipos de análisis informático forense

Análisis forense de Redes

Redes Ethernet

 

 

 

 

Redes Wifi

Tipos de análisis informático forense

Análisis forense para dispositivos móviles

Android

 

 

 

 

IOS

Herramientas Informáticas Forenses

Distribuciones LIVE Forenses

  • Helix
  • Caine
  • Kall Linux
  • Deft
  • Matriux

Distribuciones LIVE Forenses

Helix

Distribuciones LIVE Forenses

CAINE

(Italiana)

Distribuciones LIVE Forenses

Kali

Distribuciones LIVE Forenses

Deft

Distribuciones LIVE Forenses

Matriux

Distribuciones LIVE Forenses

Santoku

Objetivo del análisis informático forense

Extraer información de un sistema para que sirva como evidencia digital ante un juez

Fases del análisis informático forense

Valoración:

Ver si hay dispositivos informáticos involucrados en el caso

Adquisición:

Recabación de información sin alterar el original.

  • fotos
  • videos
  • actividad en RS

Análisis:

Analiza la información recibida

Informe:

indicando el resultado del análisis realizado

Tratamiento de la Evidencia

¿Qué es la evidencia digital?

Es cualquier información generada o almacenada en un sistema informático y que pueda ser utilizada en un proceso legal como prueba.

Tres tipos de evidencia digital

  • Información almacenada en el equipo informático
  • Información generada por los equipos informáticos
  • Información que parcialmente ha sido generada y almacenada en los equipos informáticos.

Gestión de las Evidencias

La evidencia digital se debe: obtener, custodiar, revisar, analizar y presentar.

Validez legal: se debe demostrar que la evidencia no ha sido alterada.

Edmon Locard

Criminalista Francés pionero de la ciencia creador del "Principio de Intercambio de Locard".

"Siempre que dos objetos entran en contacto transfieren parte del material que incorporan al otro objeto"

Edmon Locard

Escena del crimen

Sospechoso

Víctima

Entorno del sistema

atacante

Sistema atacado

Tratamiento de la evidencia

Cadena de Custodia:

Es un documento en el que se apunta y sirve como seguimiento y control de las evidencias

Tratamiento de la evidencia

¿Cómo se justifica la no manipulación de una evidencia o una información no ha sido alterada?

FIRMA DIGITAL

Es una cadena alfanumérica que se obtiene tras aplicar un algoritmo a un fichero y que identifica inequívocamente al mismo

Tratamiento de la evidencia

FIRMA DIGITAL

Para crear una firma digital se le aplica un algoritmo llamado función "hash" o función resumen y que a un fichero origen tras pasar por esa función se obtiene una cadena alfanumérica

4efti28fdj247sofjh290dkngvn

Tratamiento de la evidencia

FIRMA DIGITAL

Herramientas para firmar ficheros:

  • Hashmyfiles
  • Hashcalc

Software para clonación:

  • FTK imager
  • DD

las funciones Hash no son reversibles

4efti28fdj247sofjh290dkngvn

fin

Informatica Forense

By Ing. Fernando Marroquín

Informatica Forense

Introducción informática forense, herramientas, conceptos y generalidades.

  • 705