SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO

Curso de informática forense

¿Qué es y como funciona?

El propósito de las técnicas informáticas forenses, es buscar, preservar y analizar

información en sistemas de ordenadores para buscar evidencias potenciales de un
delito. Muchos de las técnicas usadas por detectives en escenarios de crimen, tiene su
contrapartida digital en la informática forense, aunque hay algunos aspectos únicos en
la investigación basada en ordenadores.

Por ejemplo, simplemente abrir un archivo, cambia ese archivo – el ordenador

recuerda la hora y fecha en el que fue accedido. Si un detective coge un ordenador y
comienza a abrir archivos y ficheros, no habrá manera de poder decir si cambiaron
algo. Si un caso de piratería informática llegara a juicio, no tendría validez como
prueba al haber alterado y modificado el estado del sistema informático.

Algunas personas creen que usar información digital como una evidencia, es un mala
idea. Si es tan fácil cambiar datos en un ordenador, ¿Cómo puede usarse como una
prueba fiable? Muchos países permites pruebas informáticas en juicio y procesos, pero
esto podría cambiar si se demuestra en futuros casos que no son de confianza. Los
ordenadores cada vez son más potentes, por lo que los campos dentro de la
informática forense tienen que evolucionar constantemente.

En lo tempranos días de la informática, era posible para un solo detective, navegar a

través de los ficheros de un equipo ya que la capacidad de almacenamiento era mucho
más baja. Hoy en día, los discos duros de un ordenador pueden contener gigabytes o
incluso terabytes de información, por lo que la tarea de investigación puede ser
compleja. Los expertos en informática forense deben encontrar nuevas maneras de
buscar evidencias, sin tener que dedicar demasiados recursos en el proceso.

Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-

www.seqrityinfforense.es.tl
SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO

Conceptos básicos de la informática forense

El campo de la informática forense es relativamente joven. Hace muchos años, las

cortes consideraban las evidencias encontradas en los ordenadores, no muy diferentes
a las evidencias convencionales. Según los ordenadores fueron avanzando, mejorando
y siendo más sofisticados, se dieron cuenta que estas evidencias podían ser fáciles de
corromper, destruir o cambiar.

Los investigadores pensaron que había una necesidad de desarrollar herramientas

específicas y procesos para buscar evidencias de delito en un ordenador, sin afectar a
la propia información que hubiera almacenada. Los expertos en esta tecnología, se
aliaron con científicos especializados en computadoras para discutir los procedimientos
y herramientas apropiadas que se podrían utilizar para esta tarea. Poco a poco, se
fueron asentando las bases para crear la nueva informática forense.

Normalmente, los detectives informáticos usan una orden para hacer búsquedas en
ordenadores de gente sospechosa. Esta orden debe incluir donde pueden buscar los
detectives, y que clase de pruebas están buscando. En otras palabras, no pueden
simplemente dar pedir una orden y buscar todo lo que quieran para cualquier cosa.
Esta orden no puede ser demasiado general. Muchos jueces requieren que se sea lo
más específico posible cuando se pide una de estas garantías.

Por esta razón, es importante para los detectives informáticos saber todo lo posible
sobre el sospechoso antes de pedir una orden. Considera este ejemplo: Un
investigador informático pide una orden par investigar un ordenador portátil de un
sospechoso. Llega a la casa del sospechoso y le entrega la orden. Mientras está en la
casa, se da cuenta que hay un ordenador de sobremesa. El investigador no puede
legalmente hacer una búsqueda en ese PC porque no estaba en la orden original.

Cada línea de investigación en un ordenador es de algún modo única. Algunas puede

llevar solo una semana, pero otras puede llevar meses. Aquí hay algunos factores que
pueden impactar lo extenso de la investigación:

La experiencia de los investigares informáticos.

El número de ordenadores que se están investigando.
La cantidad de información que se debe clasificar a través de los discos duros,
DVDs, CDs, u otros métodos de almacenamiento.
Si los sospechosos han intentado o no ocultar o borrar la información.
La presencia de archivos encriptados o ficheros protegidos por contraseñas.

Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-

www.seqrityinfforense.es.tl
SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO

Fases en una investigación de informática forense

El científico en computadoras y experto reconocido en informática forense, Judd

Robbins, nos da una lista de los pasos que deberían seguir los investigadores para
recuperar evidencias en un ordenador sospechoso de tener pruebas delictivas. Por
supuesto, cada grupo de investigadores, dependiendo del cuerpo y el país, tendrán
variaciones sobre los métodos a utilizar, pero el método de Robbins está mundialmente
reconocido:

Asegurar el sistema informático para mantener el equipo y los datos a salvo.

Esto significa que los investigadores deben asegurarse de que individuos no
autorizados puedan acceder al ordenador, o a los dispositivos de
almacenamiento dentro de la investigación. Si el sistema informático se
conecta a Internet, dicha conexión debe ser cancelada.
Se debe encontrar todos los ficheros y archivos del sistema, incluyendo aquellos
que están encriptados, protegidos con contraseña, escondidos o borrados,
pero que no estén todavía sobrescritos. Los investigadores deben hacer una
copia de todos los archivos del sistema. Con esto queremos decir, tanto del
disco duro como todos los demás dispositivos que puedan almacenar
información. Al poder alterar un archivo cuando accedemos a el, es
importante para los investigadores trabajar solamente con copias mientras se
busca evidencias. El sistema original debe permanecer intacto.
Hay que recuperar toda la información borrada que se pueda, usando
aplicaciones que pueden detectar dicha información y hacerla disponible de
nuevo para su visionado.
Se debe revelar el contenido de ficheros y archivos ocultos, con programas
espacialmente diseñados para esta función.
Desencriptar y acceder a información protegida.
Analizar áreas especiales de los discos del ordenador, incluyendo las partes que
normalmente no están accesibles. En términos de informática, el espacio no
usado en los discos de un ordenador, se llama espacio no localizado. Dicho
espacio podría contener archivos o partes de ficheros que son relevantes al
caso.
Hay que documentar cada paso del procedimiento. Es importante para los
investigadores mostrar pruebas de que sus investigaciones han preservado
toda la información del sistema informático sin cambiar o dañar nada. Puede
pasar años entre una investigación y el juicio, y sin la documentación
apropiada, puede que las pruebas no sean admisibles. Robbins dice que la
documentación no solo debería incluir los archivos y los datos recuperados del
sistema, sino también un informe de la condición física del sistema, y si algún
dato estaba encriptado u oculto.

Todos estos pasos son importantes, pero el primero es crítico. Si los investigadores no
pueden probar que han asegurado su sistema informático, las evidencias encontradas
podrían no valer de nada. Es un trabajo complejo. En los primeros años en la historia

Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-

www.seqrityinfforense.es.tl
SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO

del ordenador, el sistema podía incluir solo un PC y unos cuantos disquetes. Hoy en
día, puede incluir varios ordenadores, discos, dispositivos externos de
almacenamiento, periféricos, y servidores Web.

Los que comenten delitos informáticos, han encontrado maneras de hacer más difícil el
seguimiento de los investigadores para que puedan encontrar información. Usan
programas y aplicaciones conocidas como anti-forenses. Los investigadores deben
conocer estas herramientas de software, y saber como deshabilitarlas sin quieren tener
éxito accediendo a la información. En la siguiente sección de este curso rápido sobre
informática forense, veremos en qué consisten estos programas anti-forenses.

Herramientas anti forensics

Este tipo de herramientas puede ser la pesadilla de un

investigador de delitos informáticos. Los programadores diseñan las herramientas anti
forenses para hacer difícil o casi imposible recuperar información durante una
investigación. Esencialmente, las técnicas anti forensics se refieren a cualquier
método, artilugio o software designado para frustrar una investigación informática.

Hay docenas de maneras para que la gente oculte la información. Algunos programas
pueden engañar a los ordenadores cambiando la información en las cabeceras de los
archivos. Una cabecera de archivo es normalmente invisible a las personas, pero es
extremadamente importante - le dice al ordenador a qué tipo de fichero está asociado
el archivo. Para poner un ejemplo, si renombras un archivo avi con una extensión de
fichero .JPG, el ordenador todavía sabrá que el archivo es realmente un avi por la
información en la cabecera. Como se ha dicho, algunos programas permites cambiar
datos en la cabecera para que el ordenador crea que es otro tipo de fichero. Los
investigadores buscando algún tipo de archivo en particular, pueden saltarse
evidencias importantes porque parecía que no era relevante.

Otros programas pueden dividir archivos en pequeñas secciones, y esconder cada

sección al final de otros archivos. Los archivos suelen tener espacio no usado, y con el
software adecuado se pueden esconder archivos aprovechándose de este espacio libre.
Es realmente complicado recuperar y volver a unir toda esta información diseminada
en partes.

Es también posible esconder un archivo en otro. Los ficheros ejecutables – que son
ficheros que el ordenador reconoce como programas – son particularmente
problemáticos. Programas llamados empaquetadores pueden insertar estos ejecutables
en otros tipos de archivos, mientras que hay otras aplicaciones que pueden fundir
múltiples ejecutables en uno solo.

Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-

www.seqrityinfforense.es.tl
SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO

La encriptación es otro modo de ocultar los datos. Cuando encriptas datos, se usa un
completo conjunto de reglas llamado algoritmo para hacer los datos incomprensibles.
Por ejemplo, un algoritmo de este tipo puede hacer que un fichero de texto se
convierta en un cúmulo de números y símbolos sin sentido. Una persona que quiera
leer los datos, necesitará una “llave” o clave para volver a convertir esos números y
símbolos en texto leíble de nuevo. Sin las claves de desencriptación, los investigadores
necesitarán programas especiales designados para romper el algoritmo de encriptación
del archivo. Cuanto más sofisticado sea el algoritmo, mas tiempo se tardará en hacer
la desencriptación.

Otras herramientas anti forensics pueden cambiar las etiquetas anexionadas a los
archivos. Estas etiquetas o metadata, incluyen información como por ejemplo, cuando
se creo un fichero o fue alterado. Normalmente no puedes cambiar esta información,
pero cierto software si permite alterar estas etiquetas. Imagina que se descubre un
fichero y descubrir que no va a existir hasta los próximos dos años, y que fue accedido
por última vez en el siglo pasado. Si estas etiquetas se ven comprometidas, hace más
difícil que se pueden utilizar como pruebas.

Algunas aplicaciones de ordenador borrarán datos su un usuario no autorizado intenta

acceder al sistema. Algunos programadores han examinado como funcionan los
programas de informática forense, y han intentado crear otras aplicaciones que
bloquean o atacan a esos mismos programas. Por este motivo, los investigadores de
evidencias informáticas deben ir con cuidado para recuperar datos.

Hay gente que usa este tipo de herramientas para demostrar lo vulnerable y poco
fiable que los datos de un ordenador pueden ser. Si no puedes estar seguro de cuando
se creo un archivo, cuando se accedió a el por última vez, o incluso si a llegado a
existir, ¿como se puede justificar en un juicio que es una evidencia o prueba? Mientras
que esta pregunta es complicada, muchos países aceptan evidencias informáticas en
juicios, aunque los estándares cambian de un país a otro.

Herramientas en la informática forense

Los programadores han creado muchas aplicaciones para la informática forense.

En muchos casos, su uso dependo de los presupuestos que tenga el departamento que
esté haciendo la investigación y la experiencia que se tiene. A continuación
mostraremos unos cuantos programas y dispositivos que hacen posible el análisis de
un sistema informático en caso de un supuesto delito:

El software de imagen de disco graba la estructura y contendido de un disco

duro. Con este software, no solo es posible copiar la información del disco,

Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-

www.seqrityinfforense.es.tl
SEQRITYINFFORENSE-CURSO VIRTUAL-NIVEL BÁSICO

sino preservar la manera en que los ficheros están organizados y su relación

con los otros archivos del sistema.
El software o hardware de escritura, copian y reconstruyen los discos duros
bit a bit. Tanto las herramientas software como hardware eluden cambiar
cualquier información. Algunas herramientas requieren que los investigadores
retiren los discos duros del ordenador del sospechoso antes de hacer una
copia.
Las herramientas de hashing hacen comparaciones de los discos duros
originales a las copias. Analizan los datos y las asignan un número único. Si
los números encriptados del original y la copia coinciden, la copia es una
réplica perfecta del original.

Los investigadores utilizan programas de recuperación de archivos para buscar

y restaurar datos borrados. Estos programas localizan los datos que el
ordenador a marcado como eliminados pero que aun no han sido sobrescritos.
Algunas veces esto resulta en un archivo incompleto, lo cual puede ser mucho
más difícil de analizar.
Hay varios programas diseñados para preservar la información en la memoria
RAM de un ordenador. De forma distinta a un disco duro, los datos en la RAM
dejan de existir cuando alguien apaga el ordenador. Si el software adecuado,
esta información puede perderse fácilmente.
El software de análisis revisa toda la información en el disco duro buscado
contenido específico. Al poder los ordenadores modernos, tener mucha
capacidad de almacenamiento, es difícil y tedioso buscar archivos
manualmente. Por ejemplo, algunos programas de análisis buscan y evalúan
las cookies de Internet, lo cual pueden decir al investigador cosas sobre la
actividad del sospechoso en la red. Otros programas permiten a los
investigadores buscar un tipo determinado de contenido que los
investigadores estén buscando.
El software decodificador de información encriptada y los famosos programas
para craquear contraseñas son muy utilizados y útiles para acceder a los
datos protegidos. Los investigadores utilizan varios programas de este tipo,
los cuales se actualizan cada poco tiempo.

Estas herramientas son útiles siempre y cuando los investigadores sigan los
procedimientos correctos. De otra manera, un abogado podría sugerir que cualquier
evidencia encontrada en un equipo informático no es fiable. Por supuesto, hay gente
que dice que ninguna de estas pruebas son fiables al cien por cien.

Daniel Ricardo Torres Torres-3112678160-seqrityinfforense@hotmail.com-

www.seqrityinfforense.es.tl
This document was created with Win2PDF available at http://www.win2pdf.com.
The unregistered version of Win2PDF is for evaluation or non-commercial use only.
This page will not be added after purchasing Win2PDF.