Informática Forense

Unidad #3

GUÍAS PARA LA INVESTIGACION

FORENSE DIGITAL
 TÚ MISIÓN

Conocer y aplicar las mejores prácticas para

asegurar el proceso de preservación y
análisis forense de la evidencia digital, desde
START GAME el examen de la escena del crimen hasta la
presentación del informe.
CONTENIDOS
01 Modelo SKRAM

02 Guías de buenas prácticas para

analizar evidencias digitales:
RFC 3227; IOCE; DoJ1 y DoJ2; HONG
KONG.

Credenciales para investigadores

03 forenses informáticos:
IACIS; HTCN; LISFA; ISFCE, SANS
Institute

04 Desarrollo de casos de estudio.

¿Qué son las
buenas
prácticas?
Buenas prácticas para analizar
evidencias digitales

Es una serie o conjunto de normas y

estándares que permiten regularizar las
buenas prácticas que se aplican con el
propósito de generar un ecosistema seguro
y confiable de recolección y análisis de las
evidencias digitales.
Algunas buenas prácticas para
análisis forense
Algunas buenas prácticas que se encuentran
reconocidas y validadas dentro del análisis forense
consisten en:

1. RFC 3227
2. IOCE
3. DoJ1
4. DoJ2
5. HONG KONG
6. Basada En Computadores (Guía Reino Unido)
7. Manejo De Evidencia En IT (Guía Australia)
Guía de Buenas Prácticas
RFC 3227

Es un documento que recoge las directrices

para la recopilación de evidencias y su
almacenamiento, y puede llegar a servir
como estándar en la práctica, para la
recopilación de información en incidentes de
seguridad.
Guía de Buenas Prácticas
RFC 3227
Principios durante la recolección de evidencias
Capturar una imagen del sistema tan precisa como sea posible.
Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza horario local o UTC.
Minimizar los cambios en la información que se está recolectando y eliminar los agentes externos
que puedan hacerlo.
En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero recolección y
después análisis.
Recoger la información según el orden de volatilidad (de mayor a menor).
Tener en cuenta que por cada dispositivo la recogida de información puede realizarse de distinta
manera.
Guía de Buenas Prácticas
RFC 3227
Criterios a evaluar:
a. Orden de volatilidad
El orden de volatilidad hace referencia al período de tiempo en el que está accesible cierta información.
Es por ello que se debe recolectar en primer lugar aquella información que vaya a estar disponible
durante el menor período de tiempo, es decir, aquella cuya volatilidad sea mayor.

Registros y contenido de la caché.

Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria.
Información temporal del sistema.
Disco
Logs del sistema.
Configuración física y topología de la red.
Documentos.
Guía de Buenas Prácticas
RFC 3227
Criterios a evaluar:
b. Acciones que deben evitarse
Se deben evitar las siguientes acciones con el fin de no invalidar el proceso de recolección de
información ya que debe preservarse su integridad con el fin de que los resultados obtenidos puedan
ser utilizados en un juicio en el caso de que sea necesario:

No apagar el ordenador hasta que se haya recopilado toda la información.

No confiar en la información proporcionada por los programas del sistema ya que pueden haberse
visto comprometidos. Se debe recopilar la información mediante programas desde un medio
protegido como se explicará más adelante.
No ejecutar programas que modifiquen la fecha y hora de acceso de todos los ficheros del sistema.
Guía de Buenas Prácticas
RFC 3227
Criterios a evaluar:
c. Consideraciones sobre la privacidad

Es habitual solicitar una autorización por escrito de quien corresponda para poder llevar a
cabo la recolección de evidencias. Este aspecto es fundamental porque se trabaja con
información confidencial o vital e incluso se valida el impacto de los servicios afectados.

No se deben recopilar datos de lugares a los que normalmente no hay razón para acceder,
como ficheros personales, a menos que haya suficientes indicios.
 Guía de Buenas Prácticas
RFC 3227
Las evidencias de cara a un juicio o a la resolución de
un caso, son una parte fundamental (sin no la máxima),
desde el punto de vista informático para resolución de
la causa.

Las circunstancias varían en función de algunas

variables, como:

1. Sistemas operativos involucrados

2. Donde se encuentra
3. Consecuencias Legales
4. Herramientas que utilizamos para la toma de
información.
Guía de Buenas Prácticas
RFC 3227
Está compuesto por tres procedimientos:

Procedimiento de recolección
Transparencia
Pasos de recolección
Procedimiento de almacenamiento
Cadena de custodia
Dónde y cómo almacenarlo
Herramientas necesarias
Guía de Buenas
Prácticas
IOCE
Guía de Buenas Prácticas
IOCE

La IOCE [IOCE06], publico “Guía para las mejores

prácticas en el examen forense de tecnología
digital”.

El documento provee una serie de estándares,

principios de calidad y aproximaciones para la
detección, prevención, recuperación, examinación y
uso de la evidencia digital para fines forenses.
Guía de Buenas Prácticas
IOCE
Cubre los sistemas, procedimientos, personal, equipo y
requerimientos de comodidad que se necesitan para todo
el proceso forense de evidencia digital, desde examinar la
escena del crimen hasta la presentación en la corte.
Su estructura es:

a) Garantía de calidad (enunciados generales de roles,

requisitos y pruebas de aptitud del personal,
documentación, herramientas y validación de las mismas y
espacio de trabajo).
b) Determinación de los requisitos de examen del caso. c)
Principios generales que se aplican a la recuperación de la
evidencia digital (recomendaciones generales,
documentación y responsabilidad).
Guía de Buenas Prácticas
IOCE
d) Prácticas aplicables al examen de la evidencia de digital.
e) Localización y recuperación de la evidencia de digital en
la escena: precauciones, búsqueda en la escena,
recolección de la evidencia y empaquetado, etiquetando y
documentación.
f) Priorización de la evidencia.
g)Examinar la evidencia: protocolos de análisis y
expedientes de caso.
h) Evaluación e interpretación de la evidencia
i) Presentación de resultados (informe escrito).
j) Revisión del archivo del caso: Revisión técnica y revisión
administrativa.
k) Presentación oral de la evidencia.
l) Procedimientos de seguridad y quejas.
Guía de Buenas
Prácticas
Guía DoJ 1
Guía de Buenas Prácticas
Investigación en la Escena del Crimen Electrónico
(Guía DoJ 1)

El Departamento de Justicia de los Estados Unidos de

América (DoJ EEUU), publico “Investigación En La Escena
Del Crimen Electrónico” (Electronic Crime Scene
Investigation: A Guide for First Responders). Esta guía se
enfoca más que todo en identificación y recolección de
evidencia. Su estructura es:

a) Dispositivos electrónicos (tipos de dispositivos se

pueden encontrar y cual puede ser la posible evidencia).
b) Herramientas para investigar y equipo.
c) Asegurar y evaluar la escena.
d) Documentar la escena.
e) Recolección de evidencia.
Guía de Buenas Prácticas
Investigación en la Escena del Crimen Electrónico
(Guía DoJ 1)

f) Empaque, transporte y almacenamiento de la

evidencia.
g) Examen forense y clasificación de delitos.
h) Anexos (glosario, listas de recursos legales,
listas de recursos técnicos y
listas de recursos de entrenamiento).
Guía de Buenas
Prácticas
Guía DoJ 2
Guía de Buenas Prácticas
Investigación en la Escena del Crimen Electrónico
(Guía DoJ 2)
Otra guía del DoJ EEUU, es “Examen Forense de Evidencia Digital”
(Forensic Examination of Digital Evidence: A Guide for Law
Enforcement). Esta guía esta pensada para ser usada en el momento
de examinar la evidencia digital. Su estructura es:

a) Desarrollar políticas y procedimientos con el fin de darle un buen

trato a la evidencia.
b) Determinar el curso de la evidencia a partir del alcance del caso.
c) Adquirir la evidencia.
d) Examinar la evidencia.
e) Documentación y reportes.
f) Anexos (casos de estudio, glosario, formatos, listas de recursos
técnicos y listas de recursos
de entrenamiento).
Guía de Buenas
Prácticas
Guía Hong Kong
Guía de Buenas Prácticas
Guía Hong Kong
El ISFS, Information Security and Forensic Society (Sociedad de
Seguridad Informatica y Forense) creada en Hong Kong, publico
“Computación Forense - Parte 2: Mejores Prácticas” (Computer
Forensics – Part 2: Best Practices). Esta guía cubre los
procedimientos y otros requerimientos necesarios involucrados
en el proceso forense de evidencia digital, desde el examen de la
escena del crimen hasta la presentación de los reportes en la
corte. Su estructura es:

a) Introducción a la computación forense.

b) Calidad en la computación forense.
c) Evidencia digital.
d) Recolección de Evidencia.
e) Consideraciones legales (orientado a la legislación de Hong
Kong).
f) Anexos.
 Guía de Buenas
Prácticas
Guía Reino Unido
Guía de Buenas Prácticas
Guía Reino Unido
La ACPO, Association of Chief Police Officers (Asociación de Jefes de
Policía), del Reino Unido mediante su departamento de crimen por
computador, publicó “Guía de Buenas Prácticas para Evidencia
basada en Computadores” (Good Practice Guide For Computer
Based Evidence). La policía creó este documento con el fin de ser
usado por sus miembros como una guía de buenas prácticas para
ocuparse de computadores y de otros dispositivos electrónicos que
puedan ser evidencia. Su estructura es:

a) Los principios de la evidencia basada en computadores.

b) Oficiales atendiendo a la escena.
c) Oficiales investigadores.
d) Personal para la recuperación de evidencia basada en
computadores.
e) Testigos de consulta externos.
f) Anexos (legislación relevante, glosario y formatos)
Guía de Buenas
Prácticas
Guía Australia
Guía de Buenas Prácticas
Guía Australia

Standards Australia (Estándares de Australia) publico

“Guía Para El Manejo De Evidencia En IT” (HB171:2003
Handbook Guidelines for the management of IT
evidence). Esta guía no esta disponible para su libre
distribución, por esto para su investigación se
consultaron los artículos “Buenas Prácticas En La
Administración De La Evidencia Digital” y “New
Guidelines to Combat ECrime”.
Guía de Buenas Prácticas
Guía Australia
Es una guía creada con el fin de asistir a las organizaciones
para combatir el crimen electrónico. Establece puntos de
referencia para la preservación y recolección de la evidencia
digital.

Detalla el ciclo de administración de evidencia de la siguiente

forma:

a) Diseño de la evidencia.
b) Producción de la evidencia.
c) Recolección de la evidencia.
d) Análisis de la evidencia.
e) Reporte y presentación.
f) Determinación de la relevancia de la evidencia.