PRINCIPIOS DE LA INFORMATICA FORENSE

Mg. Hugo Ramiro Ambrosio Bejarano

INFORMATICA FORENSE
Es un mtodo probatorio consistente en la revisin cientfica, tecnolgica y tcnica, con fines periciales, de una coleccin de evidencias digitalizadas para fines de investigacin o legales. Cada caso especfico debe ser analizado como si fuera a juicio, de esta manera cualquier investigacin en Informtica Forense puede soportar un escrutinio legal. Informtica Forense al conjunto multidisciplinario de teoras, tcnicas y mtodos de anlisis que brindan soporte conceptual y procedimental a la investigacin de la prueba indiciaria informtica.
2

INFORMATICA FORENSE
El propsito de la Informtica Forense consiste en contribuir en determinar la identificacin de los responsables del delito informtico. Tambin permite esclarecer la causa original de un ilcito o evento particular para asegurar de que no se vuelva a repetirse. La Informtica Forense es aplicable tanto en los casos llevados a juicio como en las investigaciones particulares solicitadas por las empresas u organismos privados con fines de prevencin.

INFORMATICA FORENSE
Objeto: la prueba indiciaria informtica. Mtodo: Desarrollar mecanismos de anlisis criminalstica, con soporte cientfico, tecnolgico y tcnico, sobre la prueba indiciaria informtica. Tipicidad: Aunque se trata de una construccin transdisciplinaria, posee caractersticas propias derivadas de sus diferencias conceptuales con las restantes ciencias forenses. Especificidad: Su empleo, desde punto metodolgico: 1. Anlisis Pericial de la Prueba Indiciaria Informtica. 2. Gestin Integral de la Prueba Documental Informtica. 3. Auditoria Informtica Forense.
4

La informtica forenses, como instrumento de anlisis de la realidad

Por su propia naturaleza, la Informtica Forense tiende a generar un modelo de comportamiento racional con soporte cientfico, tecnolgico y tcnico respecto de la prueba indiciaria disponible en un determinado lugar.
Este modelo de comportamiento, incluyendo sus consideraciones sociales, criminolgicas y criminalstica, instrumentado por medios idneos, como, por ejemplo, la realidad virtual, se constituye en una autentica reconstruccin del hecho virtual. De ah que la utilidad se expanda mas all del mbito jurdico y judicial.
5

EVIDENCIA
Certeza manifiesta y tan perceptible de una cosa que nadie puede racionalmente dudar de ella. Material sensible significativo que ha sido objeto de peritacin.

EVIDENCIA DIGITAL
Es la certeza clara, manifiesta y tan perceptible que nadie puede dudar de ella. Asimismo, es cualquier mensaje de datos almacenados y trasmitidos por medio de un Sistema de Informacin que tengan relacin con el hecho indebido que comprometa gravemente el sistema y que posteriormente guie a los investigadores al descubrimiento de los incriminados.
6

Fuentes de la evidencia digital

1. SISTEMAS DE COMPUTACION ABIERTOS: Son aquellos que estn compuestos de las llamadas computadoras personales y todos sus perifricos como teclados, ratones y monitores, las computadoras porttiles y los servidores.

2. SISTEMAS DE COMUNICACIN: Estn compuestos por la redes de telecomunicaciones, la comunicacin inalmbrica y el Internet, gran fuentes de informacin y evidencia digital. 3. SISTEMAS CONVERGENTES DE COMPUTACION: Aquellos formados por los telfonos celulares llamados inteligentes, los sistemas inteligentes y de convergencia digital.
7

CLASIFICACION DE LA EVIDENCIA DIGITAL

Registros generador por computador: Generados como efecto de la programacin de un computador, son inalterables por una persona, llamados registros de eventos de seguridad y sirven como prueba tras demostrar el correcto y adecuado funcionamiento del sistema o computador que genero el registro.

CLASIFICACION DE LA EVIDENCIA DIGITAL

Registros no generados sino simplemente almacenados por o en computadores: Generados por una persona, y que son almacenados en el computador, por ejemplo, un documento realizado con un procesador de palabras. En estos registros es importante lograr demostrar la identidad del generador, y probar hechos o afirmaciones contenidas en la evidencia misma.

CLASIFICACION DE LA EVIDENCIA DIGITAL

Registro hbrido que incluyan tanto registros generados por computador como almacenados en los mismos: Los registros hbridos son aquellos que combinan afirmaciones humanas y los registros llamados de evento de seguridad.

10

EVIDENCIA DIGITAL
Puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original. Mediante herramientas informticas existentes se puede comparar la evidencia digital con su original, para determinar si ha sido alterada. Es muy fcil de eliminar. Aun cuando un registro es borrado del disco duro del computador, y ste ha sido formateado, es posible recuperarlo. Cuando los individuos involucrados en un crimen tratan de destruir la evidencia, existen copias que permanecen en otros sitios.
11

MANIPULACION DE EVIDENCIA DIGITAL

Hacer uso de medios forenses estriles (para copias de informacin) Mantener y controlar la integridad del medio original. Esto significa, que a la hora de recolectar la evidencia digital, las acciones realizadas no deben cambiar nunca esta evidencia. Cuando se necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense.

12

MANIPULACION DE EVIDENCIA DIGITAL

Las copias de los datos obtenidos, deben estar correctamente marcadas, controladas y preservadas. Y al igual que los resultados de la investigacin, deben estar disponibles para su revisin.

Siempre que la evidencia digital este en poder de algn individuo, este ser responsable de todas la acciones tomadas con respecto a ella, mientras este en su poder. Las agencias responsables de llevar el proceso de recoleccin y anlisis de la videncia digital, sern quienes deben garantizar el cumplimiento de los principios de criminalstica.
13

INFORMATICO FORENSE
Objeto: la prueba indiciaria informtica. Mtodo: Desarrollar mecanismos de anlisis criminalstica, con soporte cientfico, tecnolgico y tcnico, sobre la prueba indiciaria informtica. Tipicidad: Aunque se trata de una construccin transdisciplinaria, posee caractersticas propias derivadas de sus diferencias conceptuales con las restantes ciencias forenses. Especificidad: Su empleo, desde punto metodolgico: 1. Anlisis Pericial de la Prueba Indiciaria Informtica. 2. Gestin Integral de la Prueba Documental Informtica. 3. Auditoria Informtica Forense.
14

LOS ROLES EN LA INVESTIGACION

La investigacin cientfica de una escena del crimen es un proceso formal, donde el investigador forense, documenta y adquiere toda clase de evidencias, usa su conocimiento cientfico y sus tcnicas para identificarla y generar indicios suficientes para resolver un caso.

15

1. TECNICOS EN ESCENA DEL CRIMEN INFORMATICAS: Son los primeros en llegar a la escena del crimen, son los encargados de recolectar las evidencias que ah se encuentran. Tiene una formacin bsica en el manejo de evidencia y documentacin, al igual que en reconstruccin del delito, y la localizacin de elementos de conviccin dentro de la red. 2. EXAMINADORES DE EVIDENCIA DIGITAL O INFORMATICA: Aquellos responsables de procesar toda la evidencia digital o informtica obtenida por los Tcnicos en Escenas del Crimen Informticos. Para esto dichas personas requieren tener un alto grado de especializacin en el rea de sistemas e informtica.

16

1. 3. INVESTIGADORES DE DELITOS INFORMATIOS: Son los responsables de realizar la investigacin y la reconstruccin de los hechos de los Delitos Informticos de manera general, son personas que tienen un entrenamiento general en cuestiones de informtica forense, son profesionales en seguridad informtica, Abogados, Policas, y examinadores forenses.

17

EL PERFIL DEL INVESTIGADOR FORENSE

Debe de regirse bajo los Principios: 1. OBJETIVIDAD: El investigador Forense debe ser objetivo, debe observar los cdigos de tica profesional.

2. AUTENTICIDAD Y CONSERVACION: Durante la investigacin, se debe conservar la autenticidad e integridad de los medios probatorios. 3. LEGALIDAD: El perito debe ser preciso en sus observaciones, opiniones y resultados, conocer la legislacin respecto de sus actividades periciales y cumplir con los requisitos establecidos por ella.
18

4. IDONIEDAD: Los medios probatorios debe ser autnticos, ser relevantes y suficientes para el caso. 5. INALTERABILIDAD: En todos los casos, existir una cadena de custodia debidamente asegurada que demuestre que los medios no han sido modificados durante la pericia. 6. DOCUMENTACION: Deber establecer por escrito los pasos dados en el procedimiento pericial El perfil que debe demostrar es de un profesional hbrido que no le es indiferente su rea de formacin profesional, con temas de: Tecnologa de la informacin, ciencias jurdicas, criminalstica y de las ciencias forenses.
19

Principios y relaciones periciales informtico forenses

Principio de entidad pericial propia.- El empleo de los medios informticos como instrumentos de conformacin de prueba indiciaria informtico forense. Prueba que si bien constituye una parte de la Criminalstica y en lo formal no difiere de cualquier otra prueba pericial, se integra con metodologa propia, que permite asegurar la detencin, identificacin, documentacin, preservacin y traslado de la evidencia obtenida, con tcnicas e instrumentos propios e inditos para las ciencias criminalsticas. En ese sentido, la prueba indiciaria informtico forense, requiere de cuidados especficos que la diferencian de otras pruebas periciales.
20

Principios y relaciones periciales informtico forenses

Principio de proteccin y preservacin.- Cadena de custodia estricta y con certificacin unvoca comprobable.

21

Principios y relaciones periciales informtico forenses

Principio de identidad impropio (de copias).- Del original, ya que cuando se duplica un archivo informtico la copia no es igual a la original sino idntica (un bit no difiere de otro bit y entre s son identificables unvocamente).

22

Principios y relaciones periciales informtico forenses

Principio tecnolgico transdisciplinario.- Se requiere conocimientos especficos por parte de todos los involucrados en la prueba indiciaria informtico forense: Jueces para evaluar correctamente la prueba. Fiscales y abogados para efectuar la presentacin de manera adecuada y oportuna. Profesionales de la Criminalstica y otros peritos, para no contaminar dicha prueba durante sus propias tareas periciales a su preservacin. Funcionario judiciales y policiales a efectos de proteger y mantener la cadena de custodia establecida.
23

Principios y relaciones periciales informtico forenses

Principio de oportunidad.- Debido a su finalidad de destruccin normalmente requiere de tareas complementarias que aseguren su recoleccin (medidas preliminares, inspecciones o reconocimientos judiciales, ordenes de allanamiento o de intercepcin judicial)

24

Principios y relaciones periciales informtico forenses

Principio de compatibilizacin legislativa internacional.- Gran parte de los contratos particulares celebrados en el marco del derecho Internacional Privado se realiza mediante comunicaciones digitales (instrumentos de correo electrnico en claro o cifrado y certificadas por medido de claves criptogrficas o firmas digitales). Estas actividades no solo devienen en demandas civiles, comerciales y laborales internacionales, sino que en algunas oportunidades constituyen delitos tipificados en la legislacin de casa pas.

25

Principios y relaciones periciales informtico forenses

Principio de vinculacin estricta.- Gran parte de los contratos particulares celebrados en el marco del derecho Internacional Privado se realiza mediante comunicaciones digitales (instrumentos de correo electrnico en claro o cifrado y certificadas por medido de claves criptogrficas o firmas digitales). Estas actividades no solo devienen en demandas civiles, comerciales y laborales internacionales, sino que en algunas oportunidades constituyen delitos tipificados en la legislacin de casa pas.

26

Principio de Criminalstica
Principio del intercambio.- Locard, nos dice que cuando dos objetos entran en contacto siempre existe una transferencia de material entre el uno y el otro. Es decir que cuando una persona esta en una escena del crimen esta deja algo de si misma dentro de la escena, y a su vez cuando sale de ella esta se lleva algo consigo.
Ej. En el caso de las bitcoras o LOGS del sistema operativo de un equipo informtico utilizado por un Hacker o Cracker para romper las seguridades de un programa o vulnerar la seguridad de un Sistema Informtico remoto. En dicha bitcora el investigador podre encontrar registrada dicha actividad ilegal.

27

PRINCIPIO FUNDAMENTAL EN LAS CIENCIAS FORENSES

ESCENA DEL CRIMEN

EVIDENCIA

INCRIMINADO

VICTIMA

PRINCIPIO DE INTERCAMBIO
LA INTERACCION CAUSA INTERCAMBIO DE DATOS

OBJETO 1

OBJETO 2

LA INTERACCION CAUSA INTERCAMBIO DE DATOS

Gracias por su atencin

hugo_ambrosio2000@hotmail.com 99904327