11 Gomez

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 18

133

La informtica forense, una herramienta


para combatir la ciberdelincuencia
R
Luis ngel Gmez
R
Ingeniero, Segundo Comandante, jefe de Divisin Seguridad Informtica, Gendar-
mera Nacional Argentina
Introduccin
La nalidad del presente trabajo es brindar una mirada introductoria y
metodolgica a la informtica forense como herramienta para combatir la
ciberdelincuencia, lo que la hace importante dentro del marco legal ya que
desde ella se conrma o desvirta una hiptesis precedente y esto conlle-
var al esclarecimiento de un hecho.
El avance tecnolgico y la proliferacin de dispositivos electrnicos, que
van desde telfonos celulares hasta los grandes dispositivos computacio-
nales, van acompaados de una avanzada tendencia en materia de delitos
informticos y muchas veces es innumerable la informacin que queda al-
macenada en estos equipos, no siendo explotada adecuadamente an. He
aqu la necesidad de contar con personal y medios acordes para realizar
un anlisis tcnico legal que preserve la informacin, cualquiera sea la
circunstancia del hecho, ya que sta se podr judicializar o no, algo difcil
de predecir cualquiera sea el escenario.
La nalidad indudable es que la informacin sea presentada ante la Jus-
ticia con un valor probatorio irrefutable y con garanta de xito desde el
punto de vista tcnico legal, y es esto lo que denominar control legal y
calidad de gestin tecnolgica como una modalidad para tener en cuenta.
Si desglosramos esta frase, diramos que:

Control legal. A los nes de contar con asesoramiento y manejo de ter-


minologas, leyes y normas vigentes que el perito no est habitualmente
acostumbrado a utilizar, sumado como benecio que permitira interac-
tuar con los rganos jurdicos intervinientes y lograr un entendimiento
de las partes, perito scal o juez para el logro de los objetivos propuestos
por las partes.

Calidad. Sumado al control legal como la forma de ser orientada a la


mejora continua de las tcnicas, productos, bienes o servicios, sistemas
y procesos del modelo utilizado, con el propsito de crear valor para sus
beneciarios, en este caso la Justicia y la propia actividad realizada.

Gestin. Coordinar todos los recursos disponibles para conseguir deter-


minados objetivos. Implica amplias y fuertes interacciones fundamental-
Luis ngel Gmez
134
mente entre el entorno, las estructuras, el proceso
y los productos que se deseen obtener, en nuestro
caso, la prueba digital.

Tecnologa. El conjunto de teoras y de tcni-


cas que permiten el aprovechamiento prctico del
conocimiento cientco. Esta acepcin asimila la
tecnologa a ciencias aplicadas, tecno-ciencia, lo
que solo es vlido para algunas tecnologas, las
basadas en saberes cientcos. Con ello se permite
la reconstruccin de hechos en el mbito computacional.
sta deber ser la base fundamental para tener en cuenta por lo que
denominaremos equipo de respuesta vital, ya que con ello se lograr es-
tablecer y aanzar la forensia informtica como auxiliar de la Justicia para
el esclarecimiento de hechos.
La denicin de informtica forense
Es la aplicacin de tcnicas cientcas y analticas especializadas a in-
fraestructura tecnolgica que permite identicar, preservar, analizar y pre-
sentar datos que sean vlidos dentro de un proceso legal.
Ampliara diciendo que es:
Una ciencia que busca reproducir cientcamente con una metodologa
estricta de los hechos acontecidos y su correlacin para determinar el grado
de impacto, y posteriormente establecer en coordinacin con otros entes in-
tervinientes, mecanismos tendientes a evitar nuevamente su ocurrencia, que
van desde el marco normativo hasta la utilizacin de mecanismos tcnicos.
Es un mtodo cientco porque supone la adquisicin de nuevos conoci-
mientos, mediante el estudio de la evidencia observable y medible, aplican-
do un razonamiento lgico, elaborando modelos e hiptesis y corrigiendo o
mejorando estas ltimas segn se obtiene ms evidencia.
Adems, los resultados deben ser objetivos e imparciales, lo que implica
un alto grado de profesionalidad para con la tarea por realizar. La metodo-
loga aplicada debe ser conocida, sabida y practicada, de forma que otros
investigadores, utilizando los mismos mtodos, puedan llegar a las mismas
conclusiones. Si esto no se logra, la posibilidad de la prdida de la evidencia
con valor probatorio es inminente y todo lo que con esto conlleva.
Informtica forense
es la aplicacin de
tcnicas cientcas
y analticas
especializadas a
infraestructura
tecnolgica que
permite identicar,
preservar, analizar y
presentar datos que
sean vlidos dentro
de un proceso legal.
135
La informtica forense, una herramienta para combatir la ciberdelincuencia
Los resultados de los expuestos deben explicar
de forma clara las relaciones de causa y efecto,
eliminar en la medida de lo posible alternativas
que sean estimativas y evitar las conclusiones no
falsables. Que una armacin sea falsable signi-
ca que sera posible, al menos de forma terica,
demostrar su falsedad mediante la observacin o
experimento, conllevando de tal forma al descu-
brimiento de nueva evidencia.
Los estrictos requisitos del mtodo cientco no
excluyen elementos de la experiencia humana o
propias del equipo, como son las corazonadas y
la intuicin que podr ser transmitida a las auto-
ridades jurdicas para ampliar o acotar el campo
de bsqueda, cuyas solicitudes debern ser dili-
genciados adecuadamente, tarea fundamental la de asesoramiento tcnico
legal. stas son de gran utilidad a la hora de proponer hiptesis y modelos,
que luego deben ser corroborados por la fra evidencia, de una forma es-
tricta y objetiva.
La forensia informtica deber permitir responder preguntas tales
como:

Cundo?

Quin?

Cmo?

Dnde?

Para qu?

Por qu?
Si lo colocramos dentro de una
lnea de tiempo como muestra la
gura N1, la forensia informtica,
segn mi posicin, no solo se en-
marca como una tarea tcnico legal
aislada e individual, sino como una
herramienta ms de la seguridad
informtica que entra en juego ante
un incidente o hecho, que la com-
plementa y aanza a sta para el
logro de sus objetivos.
La forensia
informtica, segn
mi posicin, no solo
se enmarca como
una tarea tcnico
legal aislada e
individual, sino como
una herramienta
ms de la seguridad
informtica que
entra en juego ante
un incidente o hecho,
que la complementa
y aanza a sta
para el logro de sus
objetivos.
IN0I0EN!E
IN|0RM!I0A
|0RENSE
lrcrr
iral
ricial
SE0URI0A0
IN|0RM!I0A
Ntas
r1i1as 1
stri1a1
Luis ngel Gmez
136
Con lo expuesto anteriormente, centralicemos la mirada en la actividad
del equipo de respuesta vital, tomando en cuenta primero algunas conside-
raciones de las cuales partiremos.
Preservar el lugar del hecho y evitar la contaminacin de evidencias
No solo tiene como nalidad la preservacin de la evidencia computacional
por as decir, sino tambin de todo lo que lo rodea en funcin de que pueden
existir evidencias inherentes a otros campos que no podemos desconocer,
y por ende contaminarlas, con lo cual se debe trabajar de manera manco-
munada, ntegra y proactiva, lo que nos lleva a dividir la evidencia dentro
del lugar del hecho en:

Primarias
Inherentes a la actividad pericial especca dentro del campo de la infor-
mtica. A su vez la subdividiremos en:

Evidencia electrnica: hardware, material del sistema informtico.

Evidencia digital: los datos contenidos dentro de la evidencia electrnica.


Para generalizar, estos dos tipos de evidencias mencionadas aqu sern
llamadas evidencia computacional.

Secundarias
Todas aquellas que no tengan relacin con el campo de la informtica. De
aqu que el trabajo del equipo de respuesta vital deber tomar conciencia
del resguardo, manejo y preservacin de las evidencias ajenas a l, no pu-
diendo aludir desconocimiento, con el n de evitar la alteracin de stas;
por ende deber interrelacionar con peritos de otras especialidades.
Como se puede observar la tarea del equipo deber ser lo ms meticulosa
posible, ya que la modicacin de la escena podr incurrir en una prdida
total del caso. De aqu nace que el equipo de respuesta vital podr estar
conformado por otras especialidades, pero como mnimo dos, uno con per-
l tecnolgico y otro con perl legal.
Una vez que ya se resguard el lugar del hecho y se determin cul es
el campo de accin y las medidas del caso, se deber tratar a stas de la
siguiente manera:
137
La informtica forense, una herramienta para combatir la ciberdelincuencia
1. Con acciones metdicas
El equipo de respuesta vital debe ser responsa-
ble de sus propios procesos, ya que deber, no solo
documentar cada paso de las actividades realiza-
das, para que cualquiera pueda validar y revisar
cada uno de los procesos con los mismos mtodos
cientcos, reproduciendo sus resultados y obte-
nidos en forma unvoca. No olvidar documentar
todas las actividades que se efecten en presencia
de testigos que avalen las actividades realizadas,
dado que esto podr ser limitante a la hora de su
presentacin ante algn estrado por las activida-
des tcnico legales concretadas y que ser la acti-
vidad del integrante del equipo con perl legal del
cumplimiento de los lineamientos legales.
2. Originar o controlar la cadena de reguardo/custodia
Este documento no es ms que una hoja de ruta donde se documenta
quin, cundo y dnde se manipul la evidencia. Esto permitir saber cmo
se custodi la evidencia y dar cuenta de una administracin adecuada de la
prueba y que detallaremos ms adelante como actividad esencial de equipo.
Fuentes de la evidencia
La evidencia digital es nica, si la comparamos con otras formas de evi-
dencia documental. Recordemos que en un primer momento la evidencia
digital posee las siguientes caractersticas:

Voltil.

Annima.

Duplicable.

Alterable y modicable.

Eliminable.
Como vemos, la evidencia digital es frgil, pero existen mecanismos como
la Certicacin matemtica de la prueba que garantizar su integridad y
Como se puede
observar la tarea del
equipo deber ser
lo ms meticulosa
posible, ya que la
modicacin de la
escena podr incurrir
en una prdida total
del caso.
De aqu nace que el
equipo de respuesta
vital podr estar
conformado por otras
especialidades,
pero como mnimo
dos, uno con perl
tecnolgico y otro
con perl legal.
Luis ngel Gmez
138
autenticidad, hacindola lo sucientemente robusta y con valor legal.
La RFC 3227 establece pautas para la recoleccin de evidencia por su
grado de volatilidad, lo que resulta en una buena prctica metodolgica por
seguir para la preservacin y extraccin de evidencia:

Registros y contenidos del cach.

Tabla de enrutamiento, cach ARP, proceso, ncleo memoria.

Archivos temporales.

Estado de los procesos en ejecucin.

Disco rgidos y otros.

Regi st ro y supervi sin remota de datos, de i nters para el si ste-


ma en cuestin.

Conguracin fsica, la topologa de la red.

Los medios de comunicacin.


Esta evidencia debe cumplir con algunos preceptos para poder ser pre-
sentada como prueba en un juicio, ya que sin algunos de estos puntos care-
cer de valor probatorio.

Admisible
Que tenga valor apoyado en el marco tcnico legal, mostrando que la
evidencia ha sido recolectada y registrada en el lugar y las condiciones
descriptas sin modicaciones al original.

Autntica
Debe garantizarse para que sea irrefutable como prueba legal.

Completa
Debe poder reproducir los acontecimientos que ocurrieron previos a los
hechos desde el punto de vista tcnico, sin juicios o perspectivas particu-
lares. Con respecto a este punto, el equipo no deber sealar o indicar a
la persona en s, sino solo los hechos estrictamente tcnicos legales.

Conable
Nada debe dejarse librado al azar ni dentro del marco legal vigente ni el
trato tecnolgico desde el punto de vista metodolgico, ya que otorgara
una autenticidad y veracidad de la prueba recabada, que con posteriori-
dad se analizar y presentar.
139
La informtica forense, una herramienta para combatir la ciberdelincuencia

Creble
Debe ser lo sucientemente interpretada por cualquier persona, sin de-
jar dudas sobre la calidad tcnico legal utilizada. Aqu es donde dividi-
remos el informe del equipo en dos partes, una para lectura de personas
sin relacin con el campo tecnolgico y otra, con todos los datos tcnicos
necesarios para su reproduccin de un tercero.
Dentro de estas fuentes de evidencia y ya como una actividad del equipo
de respuesta vital se deber considerar lo que denominaremos Anlisis no
tcnico que servir para realimentar el Anlisis tcnico y viceversa.
El anlisis no tcnico hace referencia a toda informacin que podr re-
cabarse del entorno del lugar del hecho o de los escritos judiciales, as como
de cualquier otra fuente de informacin para establecer ya sea un perl del
presunto sospechoso, la metodologa, etc., que llev a la necesidad del uso
de la informtica forense como herramienta de esclarecimiento del hecho.
La importancia de esto hace que el tratamiento de la evidencia, la recolec-
cin, las herramientas forenses y la metodologa a utilizar sean totalmente
distintas si se trata de una persona con conocimientos en el campo infor-
mtico o de una que no posea tales conocimientos.
Una actividad pocas veces realizada es la de identicar a los implicados o
funcionarios que tengan relacin con la investigacin y efectuar entrevistas
con usuarios o administradores responsables de los sistemas, documentar
todo y tratar de lograr un conocimiento integral de la situacin nicamente
para explotar esa informacin con nes tcnicos segn sea el caso, recor-
dando que no tiene una nalidad de establecer cul es el responsable sino
la forma en que se desarrollaron los hechos temporalmente.
Flujo de la investigacin
Con lo que se expuso hasta el momento partiremos con el ujo de la investi-
gacin. sta es una metodologa que se inicia una vez conocido el incidente,
que deber ser el disparador para la intervencin de los que venimos deno-
minando equipo de respuesta vital.
Este equipo, como mencionamos anteriormente, deber estar conforma-
do no solo por personal tcnico capaz de realizar una estricta metodologa
tcnica, segn la situacin, con el n de preservar la evidencia, sino que
tambin deber estar integrado por personal con un perl jurdico legal,
que permita otorgar un control bajo este campo.
Luis ngel Gmez
140
Una de las principales actividades de ste es establecer mecanismos en
el menor tiempo posible para la preservacin y contencin del lugar del
hecho, desde el punto tcnico legal y su asesoramiento, en caso de que la
actividad, por distintos motivos, no est a cargo de personal idneo, ya que
la omisin de algunos aspectos tcnicos legales podra llevar a la prdida
de datos probatorios o modicaciones, esenciales para el esclarecimiento
del hecho, y por ende su prdida como evidencia futura, como ya enuncia-
mos anteriormente.
De la actividad y modalidad metodolgica cientca del equipo depende-
r no solo la cantidad de informacin a recolectar, ya sea por sus conoci-
mientos previos del anlisis tcnico y no tcnico, sino tambin la calidad de
la misma sumado al grado de preservacin de la evidencia bajo lineamien-
tos tcnico legales.
Este ujo de investigacin tendr una metodologa pericial asociada,
como se observa en la gura N 3, que estableceremos como buenas prcti-
cas, ya que en la actualidad no existe un mtodo o estndar concreto para
su realizacin, razn por la cual su admisibilidad dentro de un proceso
legal podr ser cuestionado, para lo cual nos deberemos desempear sobre
la base de principios cientcos estrictos, normas legales de procedimientos
judiciales y la correcta documentacin de todas las actividades realizadas,
como elemento fundamental de la reproducibilidad de los hechos y las ac-
tividades realizadas.
||UI0 0E |A
IN\ES!I0A0I0N
|reercicr
Ocrlercicr
l1erliicacicr
1el irci1erle
Aralisis
crerse
Etic 1e
restesla
ilal
Dtlicacicr crerse
141
La informtica forense, una herramienta para combatir la ciberdelincuencia
Identicado el incidente o hecho
Se tomar en cuenta una serie de pautas que se reeren a la recopilacin de
evidencias, donde entra la actividad del equipo de respuesta vital.

Requerimiento para la intervencin del equipo de respuesta vital


Ya sea por orden judicial o interna de una empresa u organismo, este
documento avalar el inicio de las actividades del equipo y contendr los
puntos que originarn el ujo de la investigacin, teniendo en cuenta los
aspectos legales para su realizacin y en lo tcnico solo se limitar a lo
estrictamente solicitado.
Pudiendo contener datos como:

Tipo de hecho.

Fecha y hora del hecho.

Informacin tcnica de los equipos afectados, acompaado, en lo posible,


de especicaciones (capacidad de disco, RAM, sistema operativo, etc.).

Responsable o dueo del equipo.

Y todo otro dato que se considere de inters, recordando que no deber


ser ambiguo sino algo puntual y acotado.

Acuerdo de condencialidad
ste tiene como n, segn el caso, las garantas de la no divulgacin y del
tratamiento de la evidencia desde el equipo hacia terceros. Recurdese
que la actividad solo se limita a lo estipulado en los requerimientos.

Asegurar la evidencia
Tendiente a asegurar los procesos tcnicos legales llevando a cabo la
conduccin de la forensia con una estricta metodologa cientco y legal.

Identicar la evidencia

Por su prioridad: teniendo en cuenta que el equipo podr considerar


elementos ms importantes que otros en su proceso metodolgico de re-
coleccin de evidencias.

Tipo de dispositivos: he aqu el tipo de evidencia electrnica o digital y


su forma de tratamiento.

Modo de almacenamiento:

Voltiles: aquellas que se perdern una vez apagado el equipo.

No voltiles: medios fsicos de almacenamiento, discos duros, pendri-


ves, etc.
Luis ngel Gmez
142
Una buena prctica sera tener una lista de elementos y su tratamiento
para tener una identicacin metodolgica sin dejarla librada al azar.
Metodologa pericial
Esta metodologa que se presenta para el equipo de respuesta vital tiene
como n establecer una serie de pasos mnimos en un ciclo en el que no
puede obviarse ninguno ya que, de realizarlo, no se llegar a la meta es-
perada para presentar la evidencia recabada como prueba irrefutable ante
un juicio.
Preservar y extraer
Una vez recabada la informacin necesaria y analizada la situacin, el
equipo evaluar los aspectos legales a tener en cuenta y la metodologa
cientca por seguir, tomando en cuenta los aspectos tcnico legales. Hay
que considerar:
Aspectos tcnicos

La evidencia electrnica en todas sus formas.

La evidencia digital y el grado de volatilidad de la informacin.

Una metodologa de recoleccin de evidencia podr ser el mtodo de


espiral centrado desde el incidente extendindose hasta los lmites
judiciales establecidos en el punto de la pericia que posteriormente se
volcar en un plano para su presentacin.
ME!000|00A
PERI0IA|
|rtela |ericial
|reserlar
l1erliicacicr
1el irci1erle
Aralisis
1e lcs 1alcs
|reserar
e\lraer
l1erliicacicr
143
La informtica forense, una herramienta para combatir la ciberdelincuencia

La evidencia no solo se limita a lo electrnico o digital, ya que se po-


drn introducir documentos escritos o elementos contenidos en las
traseadoras de papel, etc.

La documentacin de todas las actividades realizadas, ya sea a travs


de escritos, fotografas, videos, etc., cuyo n es la reproducibilidad.

La recoleccin de la informacin on line u off line, segn el escenario


que se plantee en el momento de la actividad.

Podrn surgir nuevas fuentes de evidencia que no se tomaron en cuen-


ta en el origen, lo cual deber ser solicitado adecuadamente para la
realizacin de la presente actividad.

La preservacin implica aspectos tcnicos relativos a la integridad de la


evidencia original. La utilizacin del hash (MD5, SHA-1) es de gran ayuda,
y adems existen mltiples herramientas forenses que permiten la copia
bit a bit y generan automticamente en hash la informacin recolectada.

El soporte donde se preserva la evidencia deber estar libre de toda


informacin que la corrompa o contamine, ya que ello puede hacerle
perder su valor probatorio.

Etiquetar numricamente cada copia de la evidencia sobre el propio


medio de almacenamiento con la fecha y hora. Con posterioridad se
volcar dicha numeracin en la cadena de resguardo.

Una vez extrada, efectuar la vericacin de la copia realizada.


Aspectos legales

Leyes y normas vigentes.

Inicio de la cadena de resguardo, que contendr:

Dnde, cundo y quin recab o examin la evidencia.

Quin estuvo custodiando la evidencia, durante cunto tiempo, dn-


de se almacen y bajo qu condiciones.

Esto otorga a la evidencia una seguridad desde el punto de vista de


que se restrinja la manipulacin de personal no autorizado.

La presencia de los testigos que corroboren las actividades realizadas.

Que el equipo realice, en todos los casos, solo lo especicado estric-


tamente en los puntos de la pericia, teniendo en cuenta que el equipo
puede asesorar a terceros sobre la necesidad de ampliar la bsqueda
y, obtenida la autorizacin por escrito, la realizacin de la recolec-
cin de la informacin solicitada. Recuerde que el Equipo de respues-
ta vital es un elemento de asesoramiento tcnico legal dentro de los
requerimientos solicitados, indistintamente de quin haya originado
los requerimientos.
Luis ngel Gmez
144
llTERCRl0/0 0K
Sl
l0
l0
Sl
0uulico| ] .e|iico| lo irte|iJoJ
Je lus Jotus u|erses |eculectoJus
"Ce|tiicociur aoteaotico'.
|us |e(ue|iaiertus curtierer
suicierte iru|aociur
uo|o iricio| el u|ucesu
|o] aos Jotus
er lo listo
uo|o u|uceso|
Ert|oe| Jotus |e(ue|iJus.
/|eo| Jotus |e(ue|iJus o lo listo
Je Jotus u|euo|oJus ] ert|oiJus.
0|ori/o|l|eu|ori/o| lus |e(ue|iaiertus
cur los |e||oaiertos selecciuroJos.
lllCl0
Esue|orJu lo |esuluciur
Cuaer/o| lo iJertiicociur
Mo|co| lus |e(ue|iaiertus ue|icioles
u|ucesoJus er lo listo Je Jotus.

Curiu|o| ] .oliJo| el |o|Jwo|e ]


sutwo|e u|erse uu| utili/o|.

C|eo| ur sisteao Je curiu|ociur ocu|Je


cur los recesiJoJes.
Reaiti| el aote|iol
ir.estioJu
PPE5EPVAP Y EXTPAEP
Cuu|Jiro| cur
lus |esuurso|les
er lo uo|te
tecricolleol
uo|o Jete|airo|
lus u|uriaus
uosus.
|ollo
irte|iJoJ
145
La informtica forense, una herramienta para combatir la ciberdelincuencia
Identicacin
La colocaremos como una buena prctica que puede estar contenida tanto
en la etapa de anlisis como en la etapa anterior. Aqu, tomada por separa-
do, su implementacin ser segn el criterio y la metodologa a utilizar pero
que no podr obviarse debido a su importancia.
Esta metodologa basada en lista de procedimientos por efectuar es solo
orientativa para la realizacin de las actividades del equipo.
Sl
Sl
lllCl0
!DENT!F!CAC!DN
Si |o] rue.us iteas Je
lo rue.o listo Je
rue.os |us(ueJos er
u|ucesu, cuaierce cur
lo u|euo|ociur ]
ert|occiur.
0e lus iteas rue.us
se uueJer Jetecto|
rue.os |us(ueJos,
Jucuaerto| ]
oJiciuro| o lo listo Je
rue.os |us(ueJos.
Si Je lus iteas se
uueJe ere|o| uro
rue.o uerte Je Jotus,
Jucuaerte lo
iru|aociur o lo rue.o
uerte Je Jotus.
Mo|co| lus Jotus
u|ucesoJus er lo
listo Je Jotus.
|o|o|, rutiico| ol
ue|surol leol
ou|uuioJu ] esue|o|
irst|ucciures.
Si lo iru|aociur
ru esto ircluiJo
Jert|u Je lus Jotus
|e(ue|iJus.
0otus
|ele.ortes
uo|o lus
|e(ue|iaiertus
u|erses.
0ucuaerto| este itea
] tuJus lus aetoJotus
] ot|i|utus er lo listo
Je Jotus |ele.ortes.
CursiJe|o|
irJeecti|leaerte el
osesu|oaiertu
tecriculleol uu| lus
rue.us |ollo/us
iricioles.
Si lo listo Je rue.us
Jotus es ere|oJo,
iricio| cur lo
u|terciur Je lo
iaoer u|erse.
Si |o] Jotus uo|o
oroli/o|, cuaierce
cur ellus.
ue tiuu
Je itea
es
|o] Jotus
sir u|uceso|
er lo listo
Je Jotus
0otus ru
|ele.ortes
uo|o el
|e(ue|iaiertu
u|erse.
l0
Luis ngel Gmez
146
Analizar los datos recabados

Una tarea clave a la hora del anlisis es la localizacin de la informacin


especca vinculada con los requerimientos. Esta actividad, en muchos
casos, requerir de un trabajo multidisciplinario entre el equipo de res-
puesta vital y quien origin la solicitud de la intervencin del equipo. Es
aqu donde el hombre con el perl legal se interrelacionar con ste ya
que podr canalizar mejor los requerimientos tcnicos legales desde el
perito al tercero y viceversa, generando una mejora de los datos recaba-
dos para su presentacin.

Es importante mencionar que el anlisis de la informacin siempre se


realizar sobre copias, nunca sobre originales que se tomaron durante
la recoleccin de la informacin.

En este anlisis no solo se seleccionar la o las herramientas forenses


ms adecuadas sino la metodologa cientca por utilizar, para colocar
los hechos en una lnea temporal y una correcta extraccin de la infor-
macin y posterior anlisis.

Del presente anlisis podrn surgir nuevas fuentes de evidencia por ana-
lizar, que no se tuvieron en cuenta en las etapas anteriores, momento en
el cual el equipo deber solicitar su correspondiente autorizacin para
la realizacin de las actividades necesarias para su anlisis.
Un tema que no poda dejar fuera del anlisis de datos es la proteccin de
la intimidad de los datos recabados en esta etapa. Es un aspecto para tener
en cuenta, en todos los casos, por la posibilidad de la existencia de informa-
cin condencial, ajena al caso o no, entre la evidencia recolectada. Es sta
la importancia de la condencialidad anteriormente mencionada.

Qu medidas se toman para proteger esa informacin?

Quin tiene acceso a ella?

La comisin de una infraccin o delito no implica la suspensin de las


leyes y normas sobre proteccin a la intimidad y la privacidad de datos
de carcter personal.
Esto hace que la actividad no solo se limite a lo solicitado por un tercero
ante la intervencin del equipo, sino tambin a la tica profesional, recor-
dando que, una vez nalizados los anlisis, se debe poner a disposicin
toda la evidencia recolectada, sin excepcin.
147
La informtica forense, una herramienta para combatir la ciberdelincuencia
lllCl0
u!

0esJe el uurtu Je .isto Jel u|ucesu


u oulicociur.

Se auJiicu, eJitu u eliairu.

C|oJu Je iauoctu.

Se uueJe iJertiico|.
oode!

Se u|uJuju el u|ier.

Se ercurt|u u ercuert|o.

||u.ucu el u lus iauoctus.

Se ercurt|o|o u|icoJu.
lrJicorJu tuJu Jert|u Je ur uloru
iJertiicotu|iu o auJu Je uro utu|o
|ecurst|ucciur.
6uodo!

|ue occeJiJu uo|o auJiicociur,


|u||oJu, iaulortoJu u lor/oJu.

VulcorJu er uro lireo Je tieauu lo


secuercio Je lus ocurteciaiertus.

lu sulu er lu Jiitol siru er lu


elect|uricu.

TuJo ut|o iru|aociur (ue curlle.e o


lo |eu|uJuci|iliJoJ Je lus |ec|us.
6oo!

Se u|iiru.

Se u|uuou, auJiicu, eJitu,


iauleaertu, lor/u, |u||u ] usu.

lauoctu er lus sisteaos ] su olcorce.


Fara gu!

0esJe el uurtu Je .isto Je lus


eleaertus usoJus uo|o lo |eoli/ociur
Jel |ec|u, tuaorJu sulu lo o/ tecrico
Jel aisau.
Reco|e tuJo ut|o iru|aociur (ue
cursiJe|e ue|tirerte Jert|u Je lus
ao|cus tecricuslleoles.
Si |o] rue.us
iteas Je lo rue.o
listo Je rue.os
|us(ueJos er
u|ucesu, cuaierce
cur lo u|euo|ociur
] ert|occiur.
CursiJe|o|
irJeecti|leaerte
el osesu|oaiertu
tecriculleol uu|
lus rue.us
|ollo/us iricioles.
Si lo listo Je
rue.us Jotus es
ere|oJo, iricio|
cur lo u|terciur Je
lo iaoer u|erse.
lricie lo
Jucuaertociur
u|erse cuiJorJu
Je |eist|o| tuJus
lus u|uceJiaiertus
|eoli/oJus.
Si ercurt|u rue.us
Jotus Je irte|es ] se
|ollor erao|coJus
Jert|u Je lus
|e(ue|iaiertus,
.uel(uelus o lo listo
Je rue.us Jotus,
Jucuaerte lo
iru|aociur o lo
rue.o uerte Je
Jotus.
Si lo listo Je rue.us
Jotus es ere|oJo,
iricio| cur lo
u|terciur Je lo
iaoer u|erse.
lricie el iru|ae
u|erse cur lus
Jotus |osto o(ui
|eco|oJus.
Mo|(ue lus Jotus
|ele.ortes.
l0
Erister Jotus
uo|o oroli/o|
|us Jotus o oroli/o|
sur receso|ius
ANL!5!5 FDPEN5E
Luis ngel Gmez
148
Presentar
Informe tcnico

En esta etapa se elabora el informe con los resultados obtenidos en


las etapas anteriores. Es aqu donde el perito solo establecer los he-
chos acontecidos desde el punto de vista tcnico sin arrojar ninguna
opinin personal al respecto, solo lo har desde y respaldado por la
metodologa antes descripta. Su presentacin deber contar con una
estructura bsica como:

Antecedentes del hecho.

Documentos recopilados y examinados.

Inspecciones realizadas.

Entornos del anlisis.

Descripcin de la metodologa utilizada para la recoleccin de la


evidencia.

Descripcin de las herramientas utilizadas.

Descripcin de los hallazgos.

Cronologa de los hechos.

Conclusiones.
En estas conclusiones se establecern los hechos acontecidos teniendo
en cuenta las evidencias recabadas. Si fuera el caso, como herramien-
ta de la seguridad informtica, se establecer cules son los datos que
se deben eliminar y algunas propuestas bsicas para hacer frente a
futuros incidentes.

Anexos
Donde estar todo lo referente a la faz tcnica, para que un tercero
logre reproducir las actividades realizadas por ste, que van desde
la autenticacin del material informtico, las herramientas forenses
utilizadas, los mtodos de recoleccin de la informacin y pasos reali-
zados durante la recoleccin, todo esto colocado cronolgicamente.

Una inadecuada presentacin puede conllevar a falsas expectativas o


interpretaciones de los hechos, con lo cual, se lo debe presentar con
un lenguaje entendible sin tecnicismos ya que stos estarn volcados
en los anexos.
Informe ejecutivo
Este informe tiene como nalidad un resumen del anlisis efectuado,
que se realizar junto con el tcnico legal a n de lograr una fcil inter-
pretacin por las autoridades judiciales o personal no tcnico. Debe ser
149
La informtica forense, una herramienta para combatir la ciberdelincuencia
lo mas preciso y escueto posible y tendr que contar con ciertos puntos
mnimos, a saber:

Introduccin: se volcar el objetivo del anlisis y se colocar la infor-


macin de la evidencia proporcionada.

Anlisis: descripcin breve del entorno de trabajo y las herramientas


utilizadas y la cantidad de tiempo empleado.

Sumario del hecho.

Resumen del hecho tras el anlisis de la evidencia.

Principales conclusiones a los que se arrib tras el proceso de anlisis.


Aqu es donde se ve el aporte de la forensia a la actividad de la seguridad
informtica

Descripcin del incidente.

Solucin del incidente.

Recomendaciones nales del hecho:

Aqu se volcar la propuesta de distintas barreras tendientes a evi-


tar nuevos incidentes de seguridad.
Prueba pericial
En esta etapa podremos auditar los procedimientos realizados y estable-
cer ya las pruebas periciales tendientes a la generacin de disparadores
para los distintos campos de inters de la presente prueba.
Sobre la base de lo recolectado, la reconstruccin podr realizarse en
tres formas
Reconstruccin relacional
Muestra la relacin de los objetos con otros objetos y su interaccin.

Reconstruccin funcional. Se hace marcando la funcin de cada objeto


dentro del lugar del hecho mostrando cmo operan u operaron y son
utilizados o fueron utilizados.

Reconstruccin temporal. Ubicar los indicios en una lnea de tiempo


desde el momento de su conocimiento.
Al plasmar esta actividad, deber considerarse la colocacin de las tres
modalidades de reconstruccin, ya que segn sea el caso podr ser dis-
parador para otras actividades que no son inherentes al equipo y que el
tercero visualice ms claramente la actividad desarrollada.
Luis ngel Gmez
150
Conclusiones
El punto ms importante es saber que la informtica forense con un con-
trol legal y una calidad de gestin tecnolgica deber ser abordada ms
seriamente como una disciplina auxiliar de la justicia moderna, para lo
cual la formacin tcnica con un alto grado de tica profesional, y personas
con perl legal especialistas en este campo, es algo que no debemos dejar
librado al azar. Los delitos informticos van en constante avance y de aqu
la necesidad de a contar con leyes, normas y un riguroso mtodo cientco
que permita utilizar la evidencia computacional en un proceso legal.
Presentar hasta aqu lo expuesto solo tiene como nalidad dar a conocer
una de las tantas formas en la que se puede trabajar, ya que la experiencia
de cada uno llevar a adaptar la mejor metodologa segn el entorno donde
se desenvuelva la actividad y con ello lograremos que sta tenga su uso con
el potencial que se posee y se merece para el esclarecimiento de los hechos
y para aanzar la posicin dentro de la justicia.
Fuentes
Scientic Working Group on Imaging Technologies. Denitions and Guideli-
nes for the Use of Imaging Technologies in the Criminal Justice System.
Forensic Science Communications, 1(3), October 1999.
Computer Crime & Intellectual Property Section. United States Department
of Justice.
Digital Forensic.

También podría gustarte