UNIVERSIDAD TECNOLGICA

EQUINOCCIAL

INGENIERA INFORMTICA Y CIENCIAS DE LA COMPUTACIN

AUDITORA DE TECNOLOGAS DE LA INFORMACIN Y LA
COMUNICACIN
VILLACIS LOPEZ ANIBAL MERWIN
CRIMINAL INFORMTICO, EVIDENCIA DIGITAL, ADQUISICIN DE
EVIDENCIA DIGITAL Y MANEJO DE EVIDENCIA DIGITAL
CARLOS SILVA
JAVIER CAZA
15- ABR - 2015

CYBER CRIMINAL HACKER

Unhackeres alguien que descubre las debilidades de una
computadora o de una red informtica, aunque el trmino puede
aplicarse tambin a alguien con un conocimiento avanzado de
computadoras y de redes informticas.
Unhackeres alguien que descubre las debilidades de una
computadora o de una red informtica, aunque el trmino puede
aplicarse tambin a alguien con un conocimiento avanzado de
computadoras y de redes informticas.

HACKERS - CLASIFICACIONES

Varios subgrupos de la comunidad informtica clandestina con

diferentes actitudes y metas usan diferentes trminos para
demarcarse los unos de los otros, o tratan de excluir a algn
grupo especfico con el que no estn de acuerdo.
o
o
o
o
o
o

Sombrero blanco
Sombrero negro
Sombrero gris
Script kiddie
Hacktivista
Pandillas criminales
organizadas

HACKERS - CLASIFICACIONES

Sombrero blanco: Un hacker de sombrero blanco rompe la seguridad

por razones no maliciosas.
Sombrero Negro: es un hacker que viola la seguridad informtica por
razones ms all de la malicia o para beneficio personal.

Sombrero Gris: es una combinacin de hacker de sombrero negro con

el de sombrero blanco.

Script kiddie: es un inexperto en que irrumpe en los sistemas

informticos mediante el uso de herramientas automatizadas.

Hacktivista: Un hacktivista es un hacker que utiliza la tecnologa para

anunciar un mensaje social, ideolgico, religioso o poltico.
Pandillas criminales organizadas: Este es un conjunto de hackers
con el nico objetivo de realizar actividad criminal llevada a cabo con
fines lucrativos.

FBI

http://www.fbi.gov/wanted/cyber

Evidencia Digital
El trmino Evidencia Digital abarca cualquier informacin en
formato digital que pueda establecer una relacin entre un delito y su
autor.

1. Autenticidad: Satisfacer a una corte en que: los contenidos de la

evidencia no han sido modificados; la informacin proviene de la
fuente identificada; la informacin externa es precisa.
2. Precisin: debe ser posible relacionarla positivamente con el
incidente.
3. Suficiencia (completa): debe por s misma y en sus propios trminos
mostrar el escenario completo, y no una perspectiva de un conjunto
particular de circunstancias o eventos.

El manejo de evidencias
incluye
Estar capacitado para determinar que evidencia
proviene de que trozo de HW.
De donde se obtuvo tal pieza de HW.
Proveer almacenamiento seguro de las
evidencias, manteniendo un acceso restringido a
estas.
Documentar cada proceso utilizado para extraer
informacin.
Asegurar que los procesos son reproducibles, y
que producirn los mismos resultados

Opciones de investigacin
ante un incidente
Investigacin Interna: corresponde a conducir
una investigacin al interior de la organizacin,
utilizando al personal de IT interno puede ser la
opcin menos costosa, sin embargo, dependiendo
del tipo de incidente, puede ser la menos
efectiva.
Investigacin Policial: puede no siempre
poseer los recursos para manejar la investigacin,
y es posible necesitar proveer de evidencias a los
investigadores antes de que puedan comenzar
con su investigacin.

Objetivos, Mtodos o Procedimientos

de la gestin de Evidencias
Admisibilidad de evidencias. Existen reglas legales que determinan si
las evidencias potenciales pueden o no ser consideradas por un
tribunal. Las evidencias deben obtenerse de manera que se asegure la
autenticidad y validez y no debe haber alteracin alguna.
Los procedimientos de bsqueda de computador no deben daar,
destruir o comprometer las evidencias. Prevenir que se introduzcan
virus en el computador durante el proceso de anlisis.
Debe protegerse de posibles daos mecnicos o electromagnticos las
evidencias extradas / reveladas y mantener una continua cadena de
custodia. Se debe limitar la cantidad de veces que las operaciones de
negocios se vean afectadas.
No se debe divulgar y se debe respetar cualquier informacin del
cliente (desde el punto de vista tico y legal) que inadvertidamente se
pueda haber adquirido durante una exploracin forense.

CONCLUSIONES

Un criminal informtico es una persona o grupo de personas que buscan

generar un dao o un fin lucrativo, haciendo uso de TICs.

La evidencia cumple un papel muy importante para poder demostrar un

supuesto se debe contar con todos los elementos de prueba que respalden
la forma como se dio el incidente y permitan responder 6 preguntas clave:
Qu, Quin, Cmo, Cundo, Dnde y Por qu.

Es importante que los profesionales en seguridad se preparen y conozcan

acerca de la importancia en la obtencin y manejo de la evidencia ya que
cualquier error u omisin puede entorpecer la validez de la informacin
encontrada.

No existe un estndar para la investigacin de evidencias digitales.

Se debe establecer si el delito est todava en progreso, luego tiene que

tomar nota de las caractersticas fsicas del rea circundante.

RECOMENDACIONES
Disponer de herramientas informticas que nos ayuden a proteger nuestros
sistemas y equipos.
Llevar a cabo procedimientos adecuados en la obtencin y manejo de la
evidencia ya que su confiabilidad representa nuestro nico elemento de prueba
para demostrar algo.
Capacitar a todos los miembros involucrados en el control de la cadena de
custodia.
Usar de firmas digitales para la emisin de ordenes judiciales.
El objetivo principal en toda investigacin es la seguridad de los investigadores
y de la escena. Si uno observa y establece en una condicin insegura dentro de
una escena del delito, debe tomar las medidas necesarias para mitigar dicha
situacin.
Revisar la Norma ISO 27035 (Especfica los lineamientos para la Gestin de
Incidentes de Seguridad de la Informacin. )