11 Gomez
11 Gomez
11 Gomez
Cundo?
Quin?
Cmo?
Dnde?
Para qu?
Por qu?
Si lo colocramos dentro de una
lnea de tiempo como muestra la
gura N1, la forensia informtica,
segn mi posicin, no solo se en-
marca como una tarea tcnico legal
aislada e individual, sino como una
herramienta ms de la seguridad
informtica que entra en juego ante
un incidente o hecho, que la com-
plementa y aanza a sta para el
logro de sus objetivos.
La forensia
informtica, segn
mi posicin, no solo
se enmarca como
una tarea tcnico
legal aislada e
individual, sino como
una herramienta
ms de la seguridad
informtica que
entra en juego ante
un incidente o hecho,
que la complementa
y aanza a sta
para el logro de sus
objetivos.
IN0I0EN!E
IN|0RM!I0A
|0RENSE
lrcrr
iral
ricial
SE0URI0A0
IN|0RM!I0A
Ntas
r1i1as 1
stri1a1
Luis ngel Gmez
136
Con lo expuesto anteriormente, centralicemos la mirada en la actividad
del equipo de respuesta vital, tomando en cuenta primero algunas conside-
raciones de las cuales partiremos.
Preservar el lugar del hecho y evitar la contaminacin de evidencias
No solo tiene como nalidad la preservacin de la evidencia computacional
por as decir, sino tambin de todo lo que lo rodea en funcin de que pueden
existir evidencias inherentes a otros campos que no podemos desconocer,
y por ende contaminarlas, con lo cual se debe trabajar de manera manco-
munada, ntegra y proactiva, lo que nos lleva a dividir la evidencia dentro
del lugar del hecho en:
Primarias
Inherentes a la actividad pericial especca dentro del campo de la infor-
mtica. A su vez la subdividiremos en:
Secundarias
Todas aquellas que no tengan relacin con el campo de la informtica. De
aqu que el trabajo del equipo de respuesta vital deber tomar conciencia
del resguardo, manejo y preservacin de las evidencias ajenas a l, no pu-
diendo aludir desconocimiento, con el n de evitar la alteracin de stas;
por ende deber interrelacionar con peritos de otras especialidades.
Como se puede observar la tarea del equipo deber ser lo ms meticulosa
posible, ya que la modicacin de la escena podr incurrir en una prdida
total del caso. De aqu nace que el equipo de respuesta vital podr estar
conformado por otras especialidades, pero como mnimo dos, uno con per-
l tecnolgico y otro con perl legal.
Una vez que ya se resguard el lugar del hecho y se determin cul es
el campo de accin y las medidas del caso, se deber tratar a stas de la
siguiente manera:
137
La informtica forense, una herramienta para combatir la ciberdelincuencia
1. Con acciones metdicas
El equipo de respuesta vital debe ser responsa-
ble de sus propios procesos, ya que deber, no solo
documentar cada paso de las actividades realiza-
das, para que cualquiera pueda validar y revisar
cada uno de los procesos con los mismos mtodos
cientcos, reproduciendo sus resultados y obte-
nidos en forma unvoca. No olvidar documentar
todas las actividades que se efecten en presencia
de testigos que avalen las actividades realizadas,
dado que esto podr ser limitante a la hora de su
presentacin ante algn estrado por las activida-
des tcnico legales concretadas y que ser la acti-
vidad del integrante del equipo con perl legal del
cumplimiento de los lineamientos legales.
2. Originar o controlar la cadena de reguardo/custodia
Este documento no es ms que una hoja de ruta donde se documenta
quin, cundo y dnde se manipul la evidencia. Esto permitir saber cmo
se custodi la evidencia y dar cuenta de una administracin adecuada de la
prueba y que detallaremos ms adelante como actividad esencial de equipo.
Fuentes de la evidencia
La evidencia digital es nica, si la comparamos con otras formas de evi-
dencia documental. Recordemos que en un primer momento la evidencia
digital posee las siguientes caractersticas:
Voltil.
Annima.
Duplicable.
Alterable y modicable.
Eliminable.
Como vemos, la evidencia digital es frgil, pero existen mecanismos como
la Certicacin matemtica de la prueba que garantizar su integridad y
Como se puede
observar la tarea del
equipo deber ser
lo ms meticulosa
posible, ya que la
modicacin de la
escena podr incurrir
en una prdida total
del caso.
De aqu nace que el
equipo de respuesta
vital podr estar
conformado por otras
especialidades,
pero como mnimo
dos, uno con perl
tecnolgico y otro
con perl legal.
Luis ngel Gmez
138
autenticidad, hacindola lo sucientemente robusta y con valor legal.
La RFC 3227 establece pautas para la recoleccin de evidencia por su
grado de volatilidad, lo que resulta en una buena prctica metodolgica por
seguir para la preservacin y extraccin de evidencia:
Archivos temporales.
Admisible
Que tenga valor apoyado en el marco tcnico legal, mostrando que la
evidencia ha sido recolectada y registrada en el lugar y las condiciones
descriptas sin modicaciones al original.
Autntica
Debe garantizarse para que sea irrefutable como prueba legal.
Completa
Debe poder reproducir los acontecimientos que ocurrieron previos a los
hechos desde el punto de vista tcnico, sin juicios o perspectivas particu-
lares. Con respecto a este punto, el equipo no deber sealar o indicar a
la persona en s, sino solo los hechos estrictamente tcnicos legales.
Conable
Nada debe dejarse librado al azar ni dentro del marco legal vigente ni el
trato tecnolgico desde el punto de vista metodolgico, ya que otorgara
una autenticidad y veracidad de la prueba recabada, que con posteriori-
dad se analizar y presentar.
139
La informtica forense, una herramienta para combatir la ciberdelincuencia
Creble
Debe ser lo sucientemente interpretada por cualquier persona, sin de-
jar dudas sobre la calidad tcnico legal utilizada. Aqu es donde dividi-
remos el informe del equipo en dos partes, una para lectura de personas
sin relacin con el campo tecnolgico y otra, con todos los datos tcnicos
necesarios para su reproduccin de un tercero.
Dentro de estas fuentes de evidencia y ya como una actividad del equipo
de respuesta vital se deber considerar lo que denominaremos Anlisis no
tcnico que servir para realimentar el Anlisis tcnico y viceversa.
El anlisis no tcnico hace referencia a toda informacin que podr re-
cabarse del entorno del lugar del hecho o de los escritos judiciales, as como
de cualquier otra fuente de informacin para establecer ya sea un perl del
presunto sospechoso, la metodologa, etc., que llev a la necesidad del uso
de la informtica forense como herramienta de esclarecimiento del hecho.
La importancia de esto hace que el tratamiento de la evidencia, la recolec-
cin, las herramientas forenses y la metodologa a utilizar sean totalmente
distintas si se trata de una persona con conocimientos en el campo infor-
mtico o de una que no posea tales conocimientos.
Una actividad pocas veces realizada es la de identicar a los implicados o
funcionarios que tengan relacin con la investigacin y efectuar entrevistas
con usuarios o administradores responsables de los sistemas, documentar
todo y tratar de lograr un conocimiento integral de la situacin nicamente
para explotar esa informacin con nes tcnicos segn sea el caso, recor-
dando que no tiene una nalidad de establecer cul es el responsable sino
la forma en que se desarrollaron los hechos temporalmente.
Flujo de la investigacin
Con lo que se expuso hasta el momento partiremos con el ujo de la investi-
gacin. sta es una metodologa que se inicia una vez conocido el incidente,
que deber ser el disparador para la intervencin de los que venimos deno-
minando equipo de respuesta vital.
Este equipo, como mencionamos anteriormente, deber estar conforma-
do no solo por personal tcnico capaz de realizar una estricta metodologa
tcnica, segn la situacin, con el n de preservar la evidencia, sino que
tambin deber estar integrado por personal con un perl jurdico legal,
que permita otorgar un control bajo este campo.
Luis ngel Gmez
140
Una de las principales actividades de ste es establecer mecanismos en
el menor tiempo posible para la preservacin y contencin del lugar del
hecho, desde el punto tcnico legal y su asesoramiento, en caso de que la
actividad, por distintos motivos, no est a cargo de personal idneo, ya que
la omisin de algunos aspectos tcnicos legales podra llevar a la prdida
de datos probatorios o modicaciones, esenciales para el esclarecimiento
del hecho, y por ende su prdida como evidencia futura, como ya enuncia-
mos anteriormente.
De la actividad y modalidad metodolgica cientca del equipo depende-
r no solo la cantidad de informacin a recolectar, ya sea por sus conoci-
mientos previos del anlisis tcnico y no tcnico, sino tambin la calidad de
la misma sumado al grado de preservacin de la evidencia bajo lineamien-
tos tcnico legales.
Este ujo de investigacin tendr una metodologa pericial asociada,
como se observa en la gura N 3, que estableceremos como buenas prcti-
cas, ya que en la actualidad no existe un mtodo o estndar concreto para
su realizacin, razn por la cual su admisibilidad dentro de un proceso
legal podr ser cuestionado, para lo cual nos deberemos desempear sobre
la base de principios cientcos estrictos, normas legales de procedimientos
judiciales y la correcta documentacin de todas las actividades realizadas,
como elemento fundamental de la reproducibilidad de los hechos y las ac-
tividades realizadas.
||UI0 0E |A
IN\ES!I0A0I0N
|reercicr
Ocrlercicr
l1erliicacicr
1el irci1erle
Aralisis
crerse
Etic 1e
restesla
ilal
Dtlicacicr crerse
141
La informtica forense, una herramienta para combatir la ciberdelincuencia
Identicado el incidente o hecho
Se tomar en cuenta una serie de pautas que se reeren a la recopilacin de
evidencias, donde entra la actividad del equipo de respuesta vital.
Tipo de hecho.
Acuerdo de condencialidad
ste tiene como n, segn el caso, las garantas de la no divulgacin y del
tratamiento de la evidencia desde el equipo hacia terceros. Recurdese
que la actividad solo se limita a lo estipulado en los requerimientos.
Asegurar la evidencia
Tendiente a asegurar los procesos tcnicos legales llevando a cabo la
conduccin de la forensia con una estricta metodologa cientco y legal.
Identicar la evidencia
Modo de almacenamiento:
Del presente anlisis podrn surgir nuevas fuentes de evidencia por ana-
lizar, que no se tuvieron en cuenta en las etapas anteriores, momento en
el cual el equipo deber solicitar su correspondiente autorizacin para
la realizacin de las actividades necesarias para su anlisis.
Un tema que no poda dejar fuera del anlisis de datos es la proteccin de
la intimidad de los datos recabados en esta etapa. Es un aspecto para tener
en cuenta, en todos los casos, por la posibilidad de la existencia de informa-
cin condencial, ajena al caso o no, entre la evidencia recolectada. Es sta
la importancia de la condencialidad anteriormente mencionada.
C|oJu Je iauoctu.
Se uueJe iJertiico|.
oode!
Se u|uJuju el u|ier.
Se ercurt|u u ercuert|o.
Se ercurt|o|o u|icoJu.
lrJicorJu tuJu Jert|u Je ur uloru
iJertiicotu|iu o auJu Je uro utu|o
|ecurst|ucciur.
6uodo!
Se u|iiru.
Inspecciones realizadas.
Conclusiones.
En estas conclusiones se establecern los hechos acontecidos teniendo
en cuenta las evidencias recabadas. Si fuera el caso, como herramien-
ta de la seguridad informtica, se establecer cules son los datos que
se deben eliminar y algunas propuestas bsicas para hacer frente a
futuros incidentes.
Anexos
Donde estar todo lo referente a la faz tcnica, para que un tercero
logre reproducir las actividades realizadas por ste, que van desde
la autenticacin del material informtico, las herramientas forenses
utilizadas, los mtodos de recoleccin de la informacin y pasos reali-
zados durante la recoleccin, todo esto colocado cronolgicamente.