LA IMPORTANCIA DEL MANEJO

DE LA EVIDENCIA DIGITAL

Juan Carlos Velarde-lvarez Mansilla

Diplomado Prevencin de incidentes informticos

INTRODUCCION
La informtica forense est adquiriendo una gran
importancia dentro del rea de la informacin
electrnica, esto debido al aumento del valor de la
informacin y/o al uso que se le da a sta, al
desarrollo de nuevos espacios donde es usada (por
Ej. el Internet), y al extenso uso de computadores
por parte de las compaas de negocios
tradicionales (por Ej. bancos). Es por esto que
cuando se realiza un crimen, muchas veces la
informacin queda almacenada en forma digital.
Sin embargo, existe un gran problema, debido a
que los computadores guardan la informacin de
forma tal que no puede ser recolectada o usada
como prueba utilizando medios
comunes, se
deben utilizar mecanismos diferentes a los

INFORMATICA FORENSE
Segn el FBI, la informtica (o computacin) forense es la ciencia
de adquirir, preservar, obtener y presentar datos que han sido
procesados electrnicamente y guardados en un medio
computacional. 2
La informtica forense, es el conjunto de tcnicas cientficas y
analticas especializadas en infraestructura tecnolgica que
permitan identificar, preservar, analizar y mostrar datos que sean
vlidos dentro de un proceso legal o cuando la situacin lo requiera.
A travs del uso de tecnologa de punta se busca mantener la
integridad y procesamiento de los datos, para lo cual se requiere de
una especializacin y conocimientos avanzados en sistemas
informticos, que le permitan detectar dentro de cualquier
dispositivo electrnico lo que esta sucediendo.

TERMINOLOGIA FORENSE
Informtica forense(3).- Tambin conocida como computacin. la
ciencia de adquirir, preservar, obtener y presentar datos que han sido
procesados electrnicamente y guardados en un medio
computacional.

Forensia en redes(4)

Campo de la informtica forense que se

dedica a capturar, registrar, almacenar y analizar los eventos de la
red.
.-

Forensia digital(5).- Forma de aplicar los conceptos, estrategias y

procedimientos de la
criminalstica tradicional a los medios
informticos especializados, con el fin de apoyar a la administracin de
justicia en su lucha contra los posibles delincuentes o como una
disciplina especializada que procura el esclarecimiento de los
hechos

PARA QUE SIRVE LA INFORMATICA

FORENSE
- La disciplina forense adaptada al mbito de las nuevas
tecnologas, surge como respuesta al auge delincuencial que
utiliza como apoyo o medio cualquier soporte electrnico.
En el momento actual son muchos los casos en los que se
obtienen distintos medios de prueba, vitales para el xito de
una investigacin, de discos duros, telfonos mviles,
PDAs ,sistemas GPS, etc.
- Permite garantizar la efectividad de las polticas de
seguridad y la proteccin de la informacin como de las
tecnologas que facilitan la administracin de la misma.

OBJETIVOS DE LA INFORMATICA
FORENSE
Crear y aplicar polticas para prevenir posibles ataques y de
existir antecedentes evitar casos similares.
Perseguir y procesar judicialmente a los criminales.
Compensar daos causados por los criminales o intrusos

USOS DE LA INFORMATICA FORENSE

Prosecucin Criminal: Evidencia incriminatoria que puede ser usada

para procesar una variedad de crmenes, incluyendo homicidios, fraude
financiero, trfico de drogas, evasin de impuestos o pornografa
infantil.
Litigacin Civil: En los procesos de investigacin por fraude,
discriminacin, acoso, divorcio, etc.
Investigacin de Seguros: La evidencia encontrada en ordenadores
puede ayudar a las compaas de seguros a disminuir los costos de
reclamos por accidentes y compensaciones.
Temas corporativos: En casos que tratan sobre acoso sexual, robo,
mal uso o apropiacin de informacin confidencial o de espionaje
industrial.
Mantenimiento de la ley: Para la consecucin inicial de rdenes
judiciales, y en la bsqueda de informacin una vez que se cuenta con
una orden judicial para hacer la bsqueda exhaustiva.

EVIDENCIA DIGITAL

EVIDENCIA DIGITAL
Es toda informacin que se extrae de un medio
electrnico,
la cual debe cumplir con ciertas
exigencias para su autentificacin, debido a que este
tipo de documentacin digital no deja rastro alguno de
ser copiado y en el intervalo puede modificarse. Por tal
razn los investigadores deben generar varias copias y
verificar durante el proceso de trabajo que no haya
ninguna alteracin.

DEFINICIONES DE EVIDENCIA DIGITAL(6)

Evidencia Digital.- Es cualquier dato almacenado o
transmitido utilizando un computador que soporte o refute
una teoria de como una ofensa ocurri. (Chisum 1999)
Evidencia Digital.- Cualquier dato que puede establecer
que un crimen ha sido cometido o que suministre un
enlace entre el crimen y la vctima o entre el crimen y su
perpetrador. (Casey 2000)

CICLO DE LA EVIDENCIA DIGITAL

Diseo de la evidencia
Produccin de la evidencia
Recoleccin de la evidencia
Anlisis de la evidencia
Reporte y presentacin
Determinacin de la relevancia de la evidencia

Alberto Oscar Uez

REGLAS DE LA EVIDENCIA DIGITAL

Admisible.- Debe ser capaz de ser utilizada en el proceso y aceptado por el
magistrado
Autntica.- Debe ser capaz de demostrarse que la evidencia se relaciona
con el incidente de manera relevante.
Completa.- Las pruebas deben demostrar las acciones del acusado, as
como tambin puedan demostrar su inocencia. Si se pude demostrar que el
acusado fue identificado en el momento del incidente, tambin es necesario
demostrar quin ms estaba conectado.
Segura y confiable.- La recoleccin de evidencia y procedimientos de
anlisis no deben poner en duda la autenticidad de la evidencia y su
veracidad.
Creble.- Debe ser claramente comprensible y creble a un juez. No tiene
sentido presentar un volcado binario de memoria si el juez no tiene idea. Del
mismo modo, si se traduce a algo comprensible, debe ser capaz de
mostrarse la relacin con el binario original, de lo contrario no hay forma de
que el juez sepa que no se fragu.

CLASIFICACIN DE LA
EVIDENCIA DIGITAL
Registros generados por la computadora.- Son aquellos
que resultan del uso de la PC, los cuales son inalterables por
el usuario y pueden ser usados como prueba.
Registros almacenados por o en computadores.- Son
todos aquellos archivos creados por el usuario y almacenado
en la PC. En este tipo de registro, es importante poder
demostrar la identidad del creador, y probar lo afirmado en
dicha evidencia misma es verdico.
Registros hbridos.- Estn formados por los registros
generados y los almacenado por la PC.

DONDE ENCONTRAR EVIDENCIA

DIGITAL

Discos slidos
Discos rgidos
Discos externos
Memorias USB
Palms
Celulares
Camaras digitales
Fax

TIPOS DE EVIDENCIA DIGITAL

Documentos de Office: Word, excel.
Servicios de mensajera : E-mails, SMSs, etc
Imgenes digitales: fotos, videos, etc
Bases de datos
Ficheros de registro de actividad: LOGS
Evidencias de host: memoria, conexiones de red,
procesos, usuarios conectados, configuraciones de
red, discos, etc.

DESAFIOS DE LA EVIDENCIA
DIGITAL

Voltil
Annima
Duplicable
Contaminable
Modificable
Eliminable

MANIPULACIN DE LA
EVIDENCIA DIGITAL
La evidencia digital, al momento de ser recolectada no debe
ser alterada por lo que se debe preservar la integridad del
medio original que la contiene.
Las personas que deben estar a cargo de este tipo de
evidencias debe ser un profesionales especializado en el
manejo de este tipo de informacin.
Todas las actividades de recoleccin, almacenamiento o
traslado de la evidencia digital, debe ser documentada,
preservada y estar disponible para la revisin.
Las personas a cargo de la evidencia digital, son las
responsables de la misma.

CONSIDERACIONES EN EL MANEJO DE
LA EVIDENCIA DIGITAL
No se debe trabajar con datos originales,
evidencias, dispositivos, etc..
Se debe trabajar dentro del marco legal vigente y
las polticas de la Organizacin
Si los resultados
pueden ser verificables y
reproducibles

DIFICULTADES EN LA RECOLECCION DE
EVIDENCIA DIGITAL
Ausencia de software especializado para buscar la
informacin en varios computadores.
Existe un alto ndice de probabilidades de que estas
pruebas puedan ser contaminadas a un sin darnos
cuenta
Dificultad para contar con software y hardware para
almacenar, preservar y presentar los datos como
evidencia.
Falta de pericia para mostrar, reportar y documentar
un incidente informtico.

EVIDENCIA DIGITAL VISIBLE

Documentos
Bases de datos y registros contables
Correos electrnicos
Fotos digitales
Archivos y carpetas eliminadas

EVIDENCIA DIGITAL INVISIBLE

Registro de usuarios del sistema y contraseas
Logs
Actividad realizada en Internet
Ubicacin geogrfica de una computadora
Impresiones realizadas
Archivos eliminados
Remanentes de archivos
Medios removibles conectados
Trafico de red

ADMISIBILIDAD DE LA
EVIDENCIA DIGITAL

(7)

La evidencia digital deben cumplir con algunos requerimientos

para tener validez jurdica
Autenticidad: La evidencia no ha sido modificada
Precisin: Tanto las herramientas, como los procedimientos

no deben presentar dudas, adems debe estar relacionada

con el incidente
Suficiencia: Debe mostrar todo los eventos que relacionan a
un incidente

Listado de
herramientas forenses

ADQUISICIN Y ANLISIS DE LA
MEMORIA

Set de utilidades que permite la adquisicin de la memoria ram para

posteriormente hacer un anlisis con ella.
pd Proccess Dumper - Convierte un proceso de la memoria a fichero.
FTK Imager - Permite entre otras cosas adquirir la memoria.
DumpIt - Realiza volcados de memoria a fichero.
Responder CE - Captura la memoria y permite analizarla.
Volatility - Analiza procesos y extrae informacin util para el analista.
RedLine - Captura la memoria y permite analizarla. Dispone de
entrono grfico.
Memorize - Captura la ram (Windows y OSX).

MONTAJE DE DISCOS
Utilidades para montar imgenes de disco o virtualizar unidades de forma
que se tenga acceso al sistema de ficheros para posteriormente analizarla.
ImDisk - Controlador de disco virtual.
OSFMount - Permite montar imgenes de discos locales en Windows
asignando una letra de unidad.
raw2vmdk - Utilidad en java que permite convertir raw/dd a .vmdk
FTK Imager - Comentada anteriormente, permite realizar montaje de discos.
vhdtool - Convertidor de formato raw/dd a .vhd permitiendo el montaje desde
el administrador de discos de
Windows .
LiveView - Utilidad en java que crea una mquina virtual de VMware
partiendo de una imagen de disco.
MountImagePro - Permite montar imgenes de discos locales en Windows
asignando una letra de unidad

CARVING Y HERRAMIENTAS DE DISCO

Recuperacin de datos perdidos, borrados, bsqueda de patrones y ficheros con
contenido determinado como
por ejemplo imgenes, vdeos. Recuperacin de particiones y tratamiento de
estructuras de discos.
PhotoRec - Muy til, permite la recuperacin de imgenes y vdeo.
Scalpel -Independiente del sistema de archivos. Se puede personalizar los ficheros o
directorios a recuperar.
RecoverRS - Recupera urls de acceso a sitios web y ficheros. Realiza carving
directamente desde una imagen de disco.
NTFS Recovery - Permite recuperar datos y discos an habiendo formateado el disco.
Recuva - Utilidad para la recuperacin de ficheros borrados.
Raid Reconstructor - Recuperar datos de un RAID roto, tanto en raid 5 o raid 0. Incluso
si no conocemos los
parmetros RAID.
CNWrecovery - Recupera sectores corruptos e incorpora utilidades de carving.
Restoration - Utilidad para la recuperacin de ficheros borrados.
Rstudio - Recuperacin de datos de cualquier sistema de disco NTFS, NTFS5, ReFS,
FAT12/16/32, exFAT,
HFS/HFS+ (Macintosh), Little y Big Endian en sus distintas variaciones UFS1/UFS2
(FreeBSD/OpenBSD/NetBSD/Solaris) y particiones Ext2/Ext3/Ext4 FS.
Freerecover - Utilidad para la recuperacin de ficheros borrados.
DMDE - Admite FAT12/16, FAT32, NTFS, y trabaja bajo Windows 98/ME/2K/XP/Vista/7/8
(GUI y consola), DOS
(consola), Linux (Terminal) e incorpora utilidades de carving.

UTILIDADES PARA EL SISTEMA DE FICHEROS

Conjunto de herramientas para el anlisis de datos y ficheros esenciales en la
bsqueda de un incidente.
analyzeMFT - David Kovar's utilidad en python que permite extraer la MFT
MFT Extractor- Otra utilidad para la extraccin de la MFT
INDXParse - Herramienta para los indices y fichero $I30.
MFT Tools (mft2csv, LogFileParser, etc.) Conjunto de utilidades para el acceso
a la MFT
MFT_Parser - Extrae y analiza la MFT
Prefetch Parser - Extrae y analiza el directorio prefetch
Winprefectchview - Extrae y analiza el directorio prefetch
Fileassassin - Desbloquea ficheros bloqueados por los programas

ANLISIS DE MALWARE
PDF Tools de Didier Stevens.
PDFStreamDumper - Esta es una herramienta gratuita para el anlisis PDFs
maliciosos.
SWF Mastah - Programa en Python que extrae stream SWF de ficheros PDF.
Proccess explorer - Muestra informacin de los procesos.
Captura BAT - Permite la monitorizacin de la actividad del sistema o de un
ejecutable.
Regshot - Crea snapshots del registro pudiendo comparar los cambios entre
ellos
Bintext - Extrae el formato ASCII de un ejecutable o fichero.
LordPE - Herramienta para editar ciertas partes de los ejecutables y volcado
de memoria de los procesos
ejecutados.
Firebug - Analisis de aplicaciones web.
IDA Pro - Depurador de aplicaciones.
OllyDbg - Desemsamblador y depurador de aplicaciones o procesos.
Jsunpack-n - Emula la funcionalidad del navegador al visitar una URL. Su
propsito es la deteccin de exploits
OfficeMalScanner - Es una herramienta forense cuyo objeto es buscar
programas o ficheros maliciosos en
Office.
Radare - Framework para el uso de ingeniera inversa.
FileInsight - Framework para el uso de ingeniera inversa.
Volatility Framework con los plugins malfind2 y apihooks.

FRAMEWORKS
Conjunto estandarizado de conceptos, prcticas y criterios en base a el
anlisis forense de un caso.
PTK - Busca ficheros, genera hash, dispone de rainbow tables. Analiza datos
de un disco ya montado.
Log2timeline - Es un marco para la creacin automtica de un super lnea de
tiempo.
Plaso - Evolucin de Log2timeline. Framework para la creacin automtica de
un super lnea de tiempo.
OSForensics - Busca ficheros, genera hash, dispone de rainbow tables.
Analiza datos de un disco ya montado.
DFF - Framework con entorno grfico para el anlisis.
SANS SIFT Workstation - Magnifico Appliance de SANS. Lo utilizo muy a
menudo.
Autopsy - Muy completo. Reescrito en java totalmente para Windows. Muy
til.

ANLISIS DEL REGISTRO DE WINDOWS

Permite obtener datos del registro
como usuarios, permisos, ficheros
ejecutados, informacin del sistema,
direcciones IP, informacin de
aplicaciones.
RegRipper - Es una aplicacin para la
extraccin, la correlacin, y mostrar
la informacin del registro.
WRR - Permite obtener de forma
grfica datos del sistema, usuarios y
aplicaciones partiendo del registro.
Shellbag Forensics Anlisis de los
shellbag de windows.
Registry Decoder - Extrae y realiza
correlacin aun estando encendida la
mquina datos del registro

WireShark - Herramienta para la

captura y anlisis de paquetes de red.
NetworkMiner - Herramienta forense
para el descubrimiento de
informacin de red.
Netwitness Investigator - Herramienta
forense. La versin 'free edition' est
limitado a 1GB de trfico.
Network Appliance Forensic Toolkit Conjunto de utilidades para la
adquisicin y anlisis de la red.
Xplico - Extrae todo el contenido de
datos de red (archivo pcap o
adquisicin en tiempo real). Es capaz
de
extraer todos los correos electrnicos
que llevan los protocolos POP y SMTP,
y todo el contenido realizado por
el protocolo HTTP.
Snort - Detector de intrusos. Permite
la captura de paquetes y su anlisis.
Splunk - Es el motor para los datos y
logs que generan los dispositivos,
puestos y servidores. Indexa y
aprovecha los datos de las generados

RECUPERACIN DE
CONTRASEAS
Todo lo relacionado con la
recuperacin de contraseas en
Windows, por fuerza bruta, en
formularios, en
navegadores.
Ntpwedit - Es un editor de contrasea
para los sistemas basados en
Windows NT (como Windows 2000,
XP,
Vista, 7 y 8), se puede cambiar o
eliminar las contraseas de cuentas
de sistema local. No valido para
Active
Directory.
Ntpasswd - Es un editor de
contrasea para los sistemas basados
en Windows, permite iniciar la utilidad
desde
un CD-LIVE
pwdump7 - Vuelca los hash. Se
ejecuta mediante la extraccin de los

DISPOSITIVOS MVILES
Esta seccin dispone de un set de
utilidades y herramientas para la
recuperacin de datos y anlisis
forense de
dispositivos mviles. He incluido
herramientas comerciales dado que
utilizo algunas de ellas y considero
que
son muy interesantes e importantes.

iPhone
iPhoneBrowser - Accede al sistema de
ficheros del iphone desde entorno
grfico.
iPhone Analyzer - Explora la
estructura de archivos interna del
iphone.
iPhoneBackupExtractor - Extrae
ficheros de una copia de seguridad
realizada anteriormente.
iPhone Backup Browser - Extrae
ficheros de una copia de seguridad
realizada anteriormente.
iPhone-Dataprotection - Contiene
herramientas para crear un disco RAM
forense, realizar fuerza bruta con
contraseas simples (4 dgitos) y
descifrar copias de seguridad.
iPBA2 - Accede al sistema de ficheros
del iphone desde entorno grfico.
sPyphone - Explora la estructura de
archivos interna.

BlackBerry
Blackberry Desktop Manager Software de gestin de datos y
backups.
Phoneminer - Permite extraer,
visualizar y exportar los datos de los
archivos de copia de seguridad.
Blackberry Backup Extractor - Permite
extraer, visualizar y exportar los
datos de los archivos de copia de
que viene, ms concretamente el
martes 24
de Julio a las 16:00, tendr el gusto
de dar
otro Webcast sobre anlisis de
Malware
orien...
Hace 1 ao
Blog Archive
Forensics PowerTools (Listado de
herramientas forenses) ~
ConexionInversa
http://conexioninversa.blogspot.com/
2013/09/forensics-powertools-listado-

Android
android-locdump. - Permite obtener la
geolocalizacin.
androguard - Permite obtener,
modificar y desensamblar formatos
DEX/ODEX/APK/AXML/ARSC
viaforensics - Framework de
utilidades para el anlisis forense.
Osaf - Framework de utilidades para
el anlisis forense.

PRODUCTOS COMERCIALES
No podan faltar. Disponer de estas
herramientas es una maravilla y un
lujo el poder utilizarlas. Rpidas y
concisas. Lo peor en alguna de ellas
es el precio.
UFED Standard
(http://www.cellebrite.com)
XRY (http://www.msab.com)
Mobilyze
(http://www.blackbagtech.com)
SecureView2
(http://mobileforensics.susteen.com)
MobilEdit! (http://www.mobiledit.com)
Oxygen Forensic (http://www.oxygenforensic.com)
CellDEK (http://www.logicube.com)
Mobile Phone Examiner
(http://www.accessdata.com)
Lantern (http://katanaforensics.com)
Device Seizure
(http://www.paraben.com)

REFERENCIAS
1.- scar Lpez, Haver Amaya, Ricardo Len, INFORMTICA FORENSE en:
http://www.urru.org/papers/RRfraude/InformaticaForense_OL_HA_RL.pdf
2.- Juan David Gutierrez Giovanni,Informtica Forense en:
Zuccardihttp://pegasus.javeriana.edu.co/~edigital/Docs/Informatica
%20Forense/Informatica%20Forense%20v0.6.pdf
3.- Jeimy J. Cano, Ph.D, CFE , Introduccion a la Informatica
Forense, en: http://www.acis.org.co/fileadmin/Revista_96/dos.pdf
4.Roberto
Gomez
Cardenas,
Computo
Forense
en
redes,
en:http://www.cryptomex.org/SlidesForensia/ForensiaRedes.pdf
5.-Jose
Galiel
Solano
Torres,
Informtica
Forense,
en
:
http://josemiguelapalucero.files.wordpress.com/2010/10/informatica-forense.pdf.
6 y 7 .- Andrs Almanza, Recoleccin de Evidencia en Ambientes de
Reden:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/V_Jorn
ada_de_Seguridad/AndresAlmanza-VJNSI.ppt.

WEBGRAFIA

http://laconsigna.files.wordpress.com/2008/05/infor
matica-forense.pdf.
http://webcache.googleusercontent.com/search?
q=cache:ZTt_9TMDXUsJ:densiunc.wikispaces.com/file/view/Evidencia%2Bdigital
%2B-%2BAlberto%2BUez.ppt+&cd=1&hl=es419&ct=clnk&gl=pe.
http://www.slideshare.net/vaceitunofist/j-16621012
http://www.masterrecoverylab.co/recoforense.asp
http://www.ecured.cu/index.php/Inform
%C3%A1tica_Forense#Criterios_de_admisibilidad
http://forenseinfor.blogspot.com/2009_06_01_archive.html
http://www.presman.com.ar/admin/archivospublica
ciones/archivos/Curso
%20PGN_20100706100513.pdf