Contenido

Introducción Objetivos Objetivo Principal Objetivos específicos Desarrollo Generalidades Definición Importancia Usos Aspectos técnicos - Fases de un Análisis Forense Digital Identificación del incidente: búsqueda y recopilación de evidencias Descubrir las señales del ataque Recopilación de evidencias Preservación de la evidencia Análisis de la evidencia Preparación para el análisis: El entorno de trabajo Reconstrucción de la secuencia temporal del ataque Determinación de cómo se realizó el ataque Identificación del autor o autores del incidente Evaluación del impacto causado al sistema Documentación del incidente Utilización de formularios de registro del incidente El Informe Técnico El Informe Ejecutivo Herramientas Tipos de herramientas forenses Recolección de evidencias Monitoreo y/o control de computadoras Marcado de documentos Hardware Herramientas para realizar análisis forense Programas para informática forense Medidas adoptadas por Ecuador, realidad procesal El enfoque preventivo Valoración y gestión del riesgo Planificación Ahorro de costes y rendimientos óptimos en la respuesta forense Futuro Conclusiones y recomendaciones Conclusiones Recomendaciones Diccionario de términos Fuente de consulta Anexos Reforma Reglamento Ley de Comercio Electrónico Herramientas más conocidas para el análisis forense Esquema del proceso de respuesta a incidentes  

Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS 

INTRODUCCIÓN
El uso y evolución de las Tecnologías de Información y la Comunicación (TICs), brinda nuevas oportunidades para que una institución esté innovada y pueda prevalecer frente a la competencia, transformando sustancialmente los procesos de intercambio y producción de información. Pero el uso indebido de las mismas por gente inescrupulosa que realiza ataques en contra de de la integridad de sistemas computacionales o redes ha causado ingentes pérdidas económicas especialmente en el sector comercial y bancario, debido a esto las empresas pierden credibilidad y se debilitan institucionalmente. Por esta razón se desarrollan herramientas que permite descubrir a los autores del delito y asegurar las pruebas del mismo.

En gran parte la tecnología ha facilitado el mal hábito de provocar infracciones informáticas, por lo que se debe contar con el personal capacitado dentro de la justicia ecuatoriana para castigar el mal uso de las TICs en conjunto con los profesionales informáticos lo que permitirá combatir esta clase de transgresiones. Una de las herramientas es la informática forense, ciencia criminalística que sumada al impulso y utilización masiva de nuevas tecnologías en todos los ámbitos, está adquiriendo una gran importancia debido a la globalización de la sociedad de la información. La informática forense no ha sido totalmente conocida, razón por la cual su admisibilidad dentro de un proceso judicial podría ser cuestionada, pero esto no debe ser un obstáculo para dejar de lado esta importante clase de herramienta, debiendo ser manejada en base a rígidos principios científicos, normas legales y procedimientos. La aplicación de esto nos ayudará a resolver grandes crímenes apoyándose en el método científico, aplicado a la recolección, análisis y validación de todo tipo de pruebas digitales. El propósito de este documento es socializar sobre la informática forense, dando pautas para que se pueda manejar delitos informáticos con la debida recuperación de evidencia digital. Además la universidad debe aprovechar las bondades de la informática forense para realizar estudios de seguridad, vigilar la evolución de las amenazas e identificar las tendencias de los ataques informáticos.

Informática Forense – Compilado por Quituisaca Samaniego Lilia  

Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias Seguridad en las TICS 

OBJETIVOS

Objetivo Principal:
Recolectar evidencia digital presente en toda clase de infracciones en los Delitos Informáticos.

Objetivos específicos:

Compensar de los daños causados por los criminales o intrusos. Perseguir y procesar judicialmente a los criminales informáticos. Aplicar medidas como un enfoque preventivo.

Informática Forense – Compilado por Quituisaca Samaniego Lilia  

tráfico y venta de drogas. acoso. divorcio. fraude financiero.” Según el FBI. Los Informáticos forenses tienen la ardua labor de realizar investigaciones en busca de evidencia digital. Litigación Civil: Casos que tratan con fraude. el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley empezaron a desarrollar programas para examinar evidencia computacional. Esta necesidad crea el nacimiento de los llamados detectives digitales o peritos informáticos.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . incluyendo homicidios. evidencia digital. analizar y presentar. preservar. obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. Usos: Prosecución Criminal: Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes. la informática forense es la ciencia de adquirir. preservar.Escuela de Ciencias Seguridad en las TICS  DESARROLLO Generalidades Definición: “La informática forense es la ciencia que nos permite identificar. Informática Forense – Compilado por Quituisaca Samaniego Lilia   4  . Desde 1984. puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones. Investigación de Seguros: La evidencia encontrada en computadores. que pueda ser usada como evidencia dentro de un proceso legal. discriminación. Importancia: La informática forense nace en vista de la necesidad del personal del derecho en poder afrontar nuevas tareas probatorias. evasión de impuestos o pornografía infantil. pueden ser ayudados por la informática forense.

Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales. mal uso o apropiación de información confidencial o propietaria. Investigación científica: Academias y universidades aprovechan las bondades de la informática forense para realizar estudios de seguridad.Escuela de Ciencias Seguridad en las TICS  Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual. Informática Forense – Compilado por Quituisaca Samaniego Lilia   5  . Usuario final: Cada vez es más común que las personas usen herramientas de software para recuperar archivos borrados. vigilar la evolución de las amenazas e identificar las tendencias de los ataques informáticos. o aún de espionaje industrial. así como en la búsqueda de información una vez que se tiene la orden judicial para hacer la búsqueda exhaustiva.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . entre otros. encriptar documentos y rastrear el origen de un correo electrónico. robo.

. e impidiendo incluso llevar a cabo acciones legales posteriores. o provoquen modificaciones en los archivos. eliminando la posibilidad de realizar un análisis forense de lo sucedido que le permita contestar a las preguntas de ¿qué?. o las que se hayan instalado se mantienen intactas deberemos utilizar otras alternativas. Un inciso importante es que si no hay certeza de que las aplicaciones y utilidades de seguridad que incorpora el Sistema Operativo.Fases de un Análisis Forense Digital Identificación del incidente: búsqueda y recopilación de evidencias Una de las primeras fases del análisis forense comprende el proceso de identificación del incidente. En este punto deberá decidir cuál es su prioridad: A. y por supuesto que no borren nada.. Descubrir las señales del ataque Para iniciar una primera inspección del equipo deberá tener en mente la premisa de que debe conservar la evidencia. que lleva aparejado la búsqueda y recopilación de evidencias.Realizar una investigación forense detallada. ¿cómo?. ¿de dónde? y ¿cuándo? se comprometió el sistema. Cuestione siempre la información que le proporcionen las aplicaciones instaladas en un sistema que crea comprometido. Recopilación de evidencias Si está seguro de que sus sistemas informáticos han sido atacados.Escuela de Ciencias Seguridad en las TICS  Aspectos técnicos .Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . Deberá utilizar herramientas que no cambien los sellos de tiempo de acceso (timestamp). Por ejemplo podrán ocultarse procesos o puertos TCP/UDP en uso. Piense que la primera reacción de la mayoría de los administradores será la de intentar devolver el sistema a su estado normal cuanto antes. B. Esto también puede llevarle a trabajar con un sistema vulnerable. ¿quién?. pero esta actitud sólo hará que pierda casi todas las evidencias que los atacantes hayan podido dejar en “la escena del crimen”. actúe de forma metódica y profesional. Antes de comenzar una búsqueda desesperada de señales del incidente que lo único que conlleve sea una eliminación de “huellas”. Informática Forense – Compilado por Quituisaca Samaniego Lilia   6  .Tener nuevamente operativos sus sistemas rápidamente. Piense que en muchos casos los atacantes dispondrán de herramientas capaces de modificar la información que el administrador verá tras la ejecución de ciertos comandos. exponiéndolo nuevamente a otro ataque. no haga nada que pueda modificarla.

Preservación de la evidencia Aunque el primer motivo que le habrá llevado a la recopilación de evidencias sobre el incidente sea la resolución del mismo. Como primer paso deberá realizar dos copias de las evidencias obtenidas. ésta actuaría como testigo de sus acciones. y que está relacionado con el comentario anterior. No escatime en la recopilación de datos incluso haga fotografías de los equipos y del entorno. recuerde los requisitos legales para que una evidencia pase a ser considerada como prueba en un juicio.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . Otro aspecto a tener en cuenta. donde se establecen las responsabilidades y controles de cada una de las personas que manipulen la evidencia. desde que se tomaron hasta su almacenamiento. nombre cada copia. puede que las necesite posteriormente para iniciar un proceso judicial contra sus atacantes y en tal caso deberá documentar de forma clara cómo ha sido preservada la evidencia tras la recopilación. es imprescindible definir métodos adecuados para el almacenamiento y etiquetado de las evidencias. También sería recomendable que le acompañase otra persona durante el proceso de recopilación de evidencias. Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio CD o DVD. Deberá preparar un documento en el que se registren los datos personales de todos los implicados en el proceso de manipulación de las copias. por ejemplo “COPIA A”. es el proceso que se conoce como la cadena de custodia. y si puede permitirse que le acompañe un Notario mejor. así que si es alguien imparcial mejor.Escuela de Ciencias Seguridad en las TICS  Documentar detalladamente todas las operaciones que realice sobre los sistemas atacados. “COPIA B” para distinguirlas claramente del original. incluya también en el etiquetado la fecha y hora de creación de la copia. En este proceso. cualquier evidencia puede ser definitiva. genere una suma de comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como MD5 o SHA1. Informática Forense – Compilado por Quituisaca Samaniego Lilia   7  .

el Análisis Forense reconstruirá con todos los datos disponibles la línea temporal del ataque o timeline. etc. cuál era el objetivo del ataque. o mejor aún con una copia de éstas. determinando la cadena de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque. en una de ellas. Prepare dos estaciones de trabajo. Este análisis se dará por concluido cuando conozcamos cómo se produjo el ataque. hasta el momento de su descubrimiento. Preparación para el análisis: El entorno de trabajo Antes de comenzar el análisis de las evidencias deberá acondicionar un entorno de trabajo adecuado al estudio que desee realizar. En ese mismo ordenador y sobre un segundo disco duro.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . En el otro equipo instale un sistema operativo configurado exactamente igual que el del equipo atacado. que contendrá al menos dos discos duros.Escuela de Ciencias Seguridad en las TICS  Análisis de la evidencia Una vez que disponemos de las evidencias digitales recopiladas y almacenadas de forma adecuada. Informática Forense – Compilado por Quituisaca Samaniego Lilia   8  . Es recomendable no tocar los discos duros originales y trabajar con las imágenes que recopiló como evidencias. que le permitirá crear una plataforma de trabajo con varias máquinas virtuales (varios equipos lógicos independientes funcionando sobre un único equipo físico). qué daños causaron. instale un sistema operativo que actuará de anfitrión y que le servirá para realizar el estudio de las evidencias. bajo qué circunstancias se produjo. vuelque las imágenes manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el equipo atacado. puede utilizar software como VMware. Si no dispone de recursos. además mantenga nuevamente la misma estructura de particiones y ficheros en sus discos duros. quién o quienes lo llevaron a cabo. tenga en cuenta que necesitará montar esas imágenes tal cual estaban en el sistema comprometido.

es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del sistema operativo. • Si fue borrado o no Sin duda esta será la información que más tiempo le llevará recopilar. • Ruta completa.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . modificados o borrados recientemente. inodos y fechas MAC muy distintas a las de los ficheros más antiguos. • Tamaño en bytes y tipo de fichero. por lo que un sistema que se instaló hace meses y que fue comprometido recientemente presentará en los ficheros nuevos. Informática Forense – Compilado por Quituisaca Samaniego Lilia   9  . Piense que la mayoría de los atacantes y sus herramientas crearán directorios y descargarán sus “aplicaciones” en lugares donde no se suele mirar. registro. • Usuarios y grupos a quien pertenece.Escuela de Ciencias Seguridad en las TICS  Reconstrucción de la secuencia temporal del ataque El primer paso que deberá dar es crear una línea temporal de sucesos o timeline. claves. deberá determinar cuál fue la vía de entrada a su sistema. aunque simple. cuentas de usuarios. acceso. Identificación del autor o autores del incidente La identificación de sus atacantes será de especial importancia si tiene pensado llevar a cabo acciones legales posteriores o investigaciones internas a su organización. deberá obtenerlos de forma metódica. pero será el punto de partida para su análisis. La idea es buscar ficheros y directorios que han sido creados. Primero intente averiguar la dirección IP de su atacante. para ello recopile la siguiente información sobre los ficheros: • Inodos asociados. • Permisos de acceso. o instalaciones de programas posteriores a la del sistema operativo y que además se encuentren en rutas poco comunes. esta primera comprobación. Deberá realizar algunas pesquisas como parte del proceso de identificación. creación y borrado). como por ejemplo en los directorios temporales. Estos datos. Para comenzar ordene los archivos por sus fechas MAC. etc. averiguando qué vulnerabilidad o fallo de administración causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal brecha. podría plantearse aquí dedicar un poco de tiempo a preparar un script que automatizase el proceso de creación del timeline. Determinación de cómo se realizó el ataque Una vez que disponga de la cadena de acontecimientos que se han producido. • Marcas de tiempo MACD (fecha y hora de modificación. empleando una combinación de consultas a archivos de logs. para ello revise con detenimiento los registros de conexiones de red y los procesos y servicios que se encontraban a la escucha.

Informática Forense – Compilado por Quituisaca Samaniego Lilia   10  . etc. el análisis forense le ofrece la posibilidad de investigar qué es lo que han hecho los atacantes una vez que accedieron a sus sistemas. Sus ataque suelen tener motivaciones de tipo ideológico (pacifistas. Se trata de jóvenes que con unos conocimientos aceptables en Internet y programación emplean herramientas ya fabricadas por otros para realizar ataques y “ver que pasa”. se posicionará estratégicamente cerca de ellos. tendrán diferente repercusión según el tipo de servicio o negocio que preste su organización y las relaciones de dependencia entre sus usuarios. aunque sin entrar en detalles podrá encontrarse con los siguientes tipos de “tipos”: • Hackers: Son los más populares y tienen hasta su propia película (HACKERS de Iain Softley. 1995). por lo que su forma de trabajar implica una exhaustiva preparación del mismo. tanto inmediato como potencial.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . el servidor Web corporativo. anti-Microsoft. limitándose el atacante a fisgonear por ellos. Otro aspecto que le interesaría averiguar es el perfil de sus atacantes. Por ejemplo ataques al cortafuegos. el router de conexión a Internet o Intranet. etc. Internet y sistemas operativos.). realizará un tanteo con ataques en los que no modificará nada ni dejará huellas. • • Evaluación del impacto causado al sistema Para poder evaluar el impacto causado al sistema. Esto le permitirá evaluar el compromiso de sus equipos y realizar una estimación del impacto causado. tanto la información como la capacidad de operación del sistema. anti-globalización. y en ocasiones seriamente. Suelen realizar los ataques taques bajo encargo. SciptKiddies: Son una nueva especie que ha saltado a la escena de la delincuencia informática recientemente. Ataques activos: en los que se altera. los servidores de bases de datos. etc. ecologistas. recopilando toda la información posible sobre sus objetivos. Profesionales: Son personas con muchísimos conocimientos en lenguajes de programación. redes. firewall. en redes y su equipamiento (routers. como restos de e-mail. Generalmente se pueden dar dos tipos de ataques: Ataques pasivos: en los que no se altera la información ni la operación normal de los sistemas. conexiones fallidas. Se trata de personas con conocimientos en técnicas de programación.Escuela de Ciencias Seguridad en las TICS  También podría encontrar esta información en fragmentos de las evidencias volátiles.) o simplemente lo consideran como un” desafío intelectual”. Internet y sistemas operativos tipo UNIX. la memoria virtual o archivos temporales y borrados. realizando un estudio meticuloso de todo el proceso que llevará a cabo. Además existen otros aspectos del ataque como los efectos negativos de tipo técnico que ha causado el incidente.

necesitará tener preparados una serie de formularios y presentar tras la resolución del incidente al menos dos tipos de informes uno Técnico y otro Ejecutivo. Descripción de los hallazgos. o Huellas de la intrusión. Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finalice el proceso de análisis forense. Por otro lado. Formulario de recogida de evidencias. esto le hará ser más eficiente y efectivo al tiempo que reducirá las posibilidades de error a la hora de gestionar el incidente. Formulario de publicación del incidente. cuando se haya concluido el análisis y durante éste. El Informe Técnico Este informe consiste en una exposición detallada del análisis efectuado. Entorno del análisis. los siguientes puntos: • • • • • Antecedentes del incidente. Formulario de discos duros. por lo que será interesante que disponga de diversos métodos de comunicación. Descripción de la evidencia. es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo. Alguno de los formularios que debería preparar serán: • • • • • • Documento de custodia de la evidencia. técnicas y hallazgos del equipo forense. Éstos deberán ser rellenados por los departamentos afectados por el compromiso o por el propio equipo que gestionará el incidente. Además. Deberá describir en profundidad la metodología. ƒ Metodología. ƒ Aplicaciones. o Información del sistema analizado. ƒ Servicios. Formulario de identificación de equipos y componentes. 11  • Informática Forense – Compilado por Quituisaca Samaniego Lilia   . tendrá que mantener informados a las personas adecuadas de la organización. deberá contener. Formulario de incidencias tipificadas. Utilización de formularios de registro del incidente El empleo de formularios puede ayudarle bastante en este propósito.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . ƒ Vulnerabilidades.Escuela de Ciencias Seguridad en las TICS  Documentación del incidente Tan pronto como el incidente haya sido detectado. A modo de orientación. ƒ Características del SO. Análisis de la evidencia. o Descripción de las herramientas. Recolección de los datos.

Recomendaciones específicas. como pueda ser el departamento de Recursos Humanos. Referencias. y será de especial interés para exponer lo sucedido a personal no especializado en sistemas informáticos. pero empleando una explicación no técnica. Constará de pocas páginas. En este informe deberá constar lo siguiente: • • • • Motivos de la intrusión.Escuela de Ciencias Seguridad en las TICS  o Herramientas usadas por el atacante. con lenguaje común. o El origen del ataque Cronología de la intrusión. Administración. • • • • El Informe Ejecutivo Este informe consiste en un resumen del análisis efectuado. entre tres y cinco. Informática Forense – Compilado por Quituisaca Samaniego Lilia   12  .Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . e incluso algunos directivos. o Alcance de la intrusión. Recomendaciones. en el que se expondrá los hechos más destacables de lo ocurrido en el sistema analizado. Desarrollo de la intrusión Resultados del análisis. Conclusiones.

Esto se debe a la gran cantidad de datos que pueden estar guardados en la computadora. De esta misma forma tenemos los intermedios que guardan screenshots de la pantalla que ve el usuario observado y los de mayor complejidad que nos permiten tomar el control de la computadora en su totalidad además de observar lo que hace el usuario. Es necesario recopilar información que sea correcta y que sea comprobable. Dentro de las herramientas nos encontramos con algunas de mucha simpleza como lo es un key logger. Informática Forense – Compilado por Quituisaca Samaniego Lilia   13  . Hardware Debido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la información se han diseñado varias herramientas como DIBS las cuales son las que nos permiten poder recuperar la información sin alterar los datos. el cual almacena en un archivo de texto todo lo que ingresamos por el teclado. Nos encontramos con algunos sitios los cuales tienen información confidencial o de mucho valor los cuales intentan protegerse a través de mecanismos de validación. la gran cantidad de extensiones y formatos con los que nos podemos encontrar dentro de un mismo sistema operativo. Marcado de documentos Una herramienta interesante es aquella que permite hacerle una marca a un documento importante. esto es de gran utilidad si nos encontramos con un caso en el que se esta sustrayendo información. Pero lo cierto es que nada es seguro en su totalidad siempre hay algo que se nos escapa por lo tanto debemos estar preparados para saber actuar ante algún posible ataque. es decir verificar que no ha sufrido alteraciones o corrupción. Pero seguimos teniendo el inconveniente de que cuando encendemos la computadora se modifican los registros de la misma. La intención principal de la seguridad está centrada en prevenir los ataques. ya que al marcar el documento se lo puede seguir y detectarlo con facilidad. Recolección de evidencias Existen un gran número de herramientas que se pueden utilizar para la recuperación de evidencia. Por otro lado nos encontramos también la simplicidad con la que se pueden borrar los archivos de la computadora como así también las distintas herramientas de encriptación y contraseñas.Escuela de Ciencias Seguridad en las TICS  Herramientas Tipos de herramientas forenses. Monitoreo y/o control de computadoras Hay ocasiones en las que necesitamos saber cual ah sido la utilización que se le ah dado a la computadora antes de que se le realice la pericia por lo tanto tenemos herramientas que controlan que se le da ah la computadora para poder recopilar la información.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . la utilización de herramientas sofisticadas es necesaria. Cabe aclarar que las herramientas sofisticadas nos ayudan a disminuir los tiempos para poder analizar toda la información recopilada.

Lee de un fichero de imagen o una partición de disco y permite extraer ficheros.x. Tiger Whirlpool de un numero arbitrario de ficheros. Linux Swap (versiones 1 y 2). DOS/Windows FAT12. Cygwin.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . Md5deep: Conjunto de programas que permiten calcular resúmenes MD5. WebJob: Permite descargar un programa mediante HTTP/HTTPS y ejecutarlo en una misma operación. *BSD. pasándole un fichero de log de Windows. AIRT (Advanced incident response tool): Conjunto de herramientas para el análisis y respuesta ante incidentes. Linux. Soporta BeFS (BeOS). XFS y SGI’s Journaled File System.x y 1. Evolution). sea incorrecto o haya sido eliminado. Netware NSS. Gpart: Programa que permite recuperar la tabla de particiones de un disco cuyo sector 0 este dañado. Event Log Parser: Script PHP que. CramFS (Sistema de Ficheros Comprimido). OS X. FAT32.Escuela de Ciencias Seguridad en las TICS  Herramientas para realizar análisis forense Herramientas utilizadas en el ámbito de la informática forense para la recuperación de datos borrados o recolección de evidencia digital. LVM2. pudiendo escribir el resultado obtenido a un fichero o dispositivo.evtreader: Permite analizar ficheros de log de eventos de Windows. Solaris y seguro algunos mas. SHA-256. en caso de haberla.6. TestDisk: Programa que permite chequear y recuperar una partición eliminada. ReiserFS 3. UFS. Outport: Programa que permite exportar los datos desde Outlook a otros clientes de correo (p. La salida. puede dirigirse a stdout/stderr o a un recurso web. HFS. Informática Forense – Compilado por Quituisaca Samaniego Lilia   14  . JFS. Utiliza la librería libgsf para obtener los meta datos. FAT16. LVM.5. permite extraer su contenido en un fichero de texto ASCII. GrokEVT: Conjunto de scripts en python que permiten analizar ficheros de registros de eventos de Windows NT. Automated Foresic Análisis: Herramienta para análisis automatizado de volcados vfat o ntfs compuesta por un conjunto de scripts que buscan información interesante para un análisis forense. Funciona sobre Windows. distinguiendo entre ficheros conocidos y no conocidos tras compararlos con una base de datos de referencia. ReiserFS 3. SHA-1. HashDig: Automatiza el proceso de cálculo de los hashes MD5 y comprobación de integridad. NTFS (Windows NT/2K/XP/2003). Ext3. Linux Raid.0. útiles para localizar puertas traseras.2. Probado por con Outlook 2000 y Evolution 1. Foremost: Utilidad para Linux que permite realizar análisis forenses. Dump Event Log: Herramienta de línea de comandos que vuelca el log de eventos de un sistema local o remoto en un fichero de texto separado por tabuladores. BSD disklabel (FreeBSD/OpenBSD/NetBSD). Ext2. Fccu. Fccu-docprop: Utilidad de línea de comandos que muestra las propiedades de ficheros MS OLE como son los DOC o XLS.e.

Rifuiti: Herramienta para el análisis forense de la información almacenada en la Papelera de Reciclaje de un sistema Windows. Los programas son lo siguientes. Web Historian: Asiste en la recuperación de las URLs de los sitios almacenados en los ficheros históricos de los navegadores mas habituales. Desarrollada en python posee una interfaz accesible mediante el navegador web. Pasco: Permite analizar los ficheros de registro de la actividad del Internet Explorer. Reg Viewer: GUI en GTK 2. Este tipo de logs permiten averiguar la fecha de creación y borrado de ficheros que ya no estén presentes en el sistema. Srprint: Herramienta que permite volcar el contenido de los ficheros de log de la utilidad de restauración del sistema de Windows XP. Allimage: Esta herramienta para Windows nos permitirá crear imágenes bit a bit de cualquier tipo de dispositivo de almacenamiento de datos. RegParse: Script de perl que realiza el parseo de los datos de ficheros de registro de Windows en crudo. También existe una versión lite. Netscape. Entre sus características posee la de integrar volatility. facilitando de esta forma el análisis de ficheros de imagen de la memoria física de un sistema Windows.2 para la navegación de ficheros de registro de Windows. Abre el fichero en modo binario y parsea la información registro a registro. iDetect Toolkit: Utilidad que asiste a un investigador forense en el análisis de la memoria de un sistema comprometido. Es independiente de la plataforma en que se ejecute.dat obteniendo como resultado campos separados por tabuladores que pueden importarse fácilmente a una hoja de cálculo. Regutils: Herramientas para la manipulación de ficheros ini y de registro de sistemas Windows 9x desde UNIX. PlainSight: Completo entorno para el análisis forense de sistemas.Escuela de Ciencias Seguridad en las TICS  Programas para informática forense Herramientas que permiten la recuperación de datos como así también el análisis de los navegadores. Informática Forense – Compilado por Quituisaca Samaniego Lilia   15  . Se trata de un sistema Linux que podemos ejecutar desde un CD y que contiene muchas utilidades opensource. Todavía se encuentra en sus inicios por lo que puede resultar un proyecto muy interesante al que seguirle la pista. incluyendo: MS Internet Explorer. PyFlag: Avanzada herramienta para el análisis forense de grandes volúmenes o imágenes de log. Opera y Safari. FTK Imagen: Herramienta que nos permitirá realizar imágenes de un dispositivo comprometido. Herramienta disponible de forma gratuita. ProDiscover Basic Edition: Completo entorno grafico para el análisis forense de sistemas bajo entornos Windows. etc. cuya funcionalidad es más reducida. analizar y realizar informes de los elementos contenidos en el dispositivo sujeto del análisis. Parsea la información de un fichero index. Mozilla Firefox. Entre sus características también esta la conversión entre diferentes formatos de imagen. preservar. Permite realizar imágenes. imagen dd a imagen de Encase.e. p.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática .

se sancionarían de conformidad a lo dispuesto en nuestro Código Penal por lo que no se tomaba en cuenta los adelantos de la informática y la telemática presentando inseguridad en el comercio telemático ante el posible asedio de la criminalidad informática. que con el tiempo se fueron puliendo. De acuerdo a la Constitución Política del Ecuador y la reciente Reforma señala que “El Ministerio Público prevendrá en el conocimiento de las causas. Mensajes de Datos y Firmas Electrónicas. tenía una serie de falencias. Con el avance de la tecnología digital. Es por eso que el Ministerio Público tiene la obligación jurídica en cumplimiento de su mandato constitucional de poseer un cuerpo especializado para combatir esta clase de criminalidad a fin de precautelar los derechos de las víctimas y llevar a los responsables a juicio. como centros de vigilancia computarizada. Pero en el año 2002 se aprobó un texto definitivo de la Ley de Comercio Electrónico. Mensajes de Datos y Firmas Electrónicas. ya que las infracciones a la misma. las modernas herramientas de software y todos los demás implementos tecnológicos necesarios para la persecución de los Delitos Informáticos. esto en razón de la falta por un lado de la infraestructura necesaria. como existe en otro países. terminando así con una cantidad considerable de esta clase de infracciones. de igual manera falta la suficiente formación tanto de los Fiscales que dirigirán la investigación como del cuerpo policial que lo auxiliara en dicha tarea.Escuela de Ciencias Seguridad en las TICS  Medidas adoptadas por Ecuador. la difusión de pornografía infantil e incluso actividades terroristas son algunos ejemplos de los nuevos delitos informáticos y sus fronteras que presentan una realidad difícil de controlar. Debemos exigir entonces contar no solo con leyes e instrumentos eficaces y compatibles que permitan una cooperación idónea entre los estados para luchar contra la Delincuencia Informática. dirigirá y promoverá la investigación pre . y en consecuencia las reformas al Código Penal que emitía frente a los Delitos Informáticos.procesal y procesal penal”. Por tanto es esencial que se formen unidades Investigativas tanto policiales como del Ministerio Público especializadas en abordar cuestiones de la delincuencia informática e informática forense. las empresas y los individuos a estos peligros. dado que no existe hasta ahora en nuestra policía una Unidad Especializada.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . es decir los llamados Delitos Informáticos. Cuando la ley se presentó en un principio. como se les conoce. Estas unidades pueden servir también de base tanto para una cooperación internacional formal o una cooperación informal basada en redes transnacionales de confianza entre agentes de aplicación de la ley. Informática Forense – Compilado por Quituisaca Samaniego Lilia   16  . una de ellas era la parte penal de dicha ley. La masificación de virus informáticos globales. realidad procesal Desde 1999 se puso en el tapete de la discusión el proyecto de Ley de Comercio Electrónico. sino también con la infraestructura tanto técnica como con el recurso humano calificado para hacerle frente a este nuevo tipo de delitos transnacionales. ha surgido una nueva generación de delincuentes que expone a los gobiernos. Se conformaron comisiones para la discusión de la Ley. Ahora el problema que se advierte por parte de las instituciones llamadas a perseguir las llamadas infracciones informáticas es la falta de preparación en el orden técnico tanto del Miniterio Público como de la Policía Judicial.

Las probabilidades de conseguir evidencias de calidad cuando establecemos una relación con el cliente anterior al incidente aumentan de forma exponencial. las plataformas e infraestructuras de una organización se adapten para obtener las mejores evidencias forenses. porque la estructura organizativa. planes de continuidad.Escuela de Ciencias Seguridad en las TICS  El enfoque preventivo Este enfoque nace. precisamente. toda esta información puede obtenerse de la gestión de riesgos. ¿Qué ocurre con la preservación de la evidencia? ¿Y con la protección de los activos frente a futuras amenazas del mismo tipo? Debemos tener presente las consecuencias derivadas de cualquier tipo de incidente relacionado con nuestra organización. Dedicando un esfuerzo dentro de la planificación de la respuesta a incidentes o dentro de la gestión de la continuidad de negocio. cuando podemos planificar con calma y con recursos los pasos que vamos a dar en el tratamiento de cada tipo de incidente.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . podemos incidir en las ventajas de contar con un procedimiento detallado de respuesta a incidentes que nos ayude a coordinar cómo queremos gestionar y responder a las situaciones de crisis que puedan darse en el futuro. Por ejemplo. es extremadamente importante poder documentar y hacer seguimiento de todos los procesos de negocio y de sus infraestructuras asociadas. Cabe mencionar las consecuencias en el ahorro de costos cuando la planificación de la respuesta ha sido preventiva y no responde a necesidades de urgencia en el tratamiento de un incidente que ya ha ocurrido y. ya sea cuantitativa (donde aproximas impactos por costes y pérdidas económicas) o cualitativa (con una aproximación subjetiva y no cuantificable de forma económica). controles de mitigación y riesgos efectivos podemos deducir tecnologías aplicables y una aproximación de costeinversión para una organización en particular. como sistematización del proceso forense antes de que el incidente ocurra. De las matrices de valoración de activos. Por supuesto. por supuesto. Así. Planificación De acuerdo con el mapa de activos y riesgos podemos tomar una serie de decisiones que hagan óptima la distribución de recursos dedicados a la práctica forense. identificar un activo con un gran peso. Lo habitual es plantear procedimientos que garanticen la continuidad de la operación y que ayuden a responder a un incidente desde la perspectiva de la disponibilidad. a priori. amenazas y vulnerabilidades. es decir. podemos determinar recursos que necesitan especial atención desde la perspectiva de seguridad. alto impacto en la organización y escasos controles de mitigación podría llevarnos a valorar la implantación de sistemas avanzados de vigilancia de éste con herramientas de detección de intrusos. Contando con un correcto mapa de activos y riesgos valorados sobre estos. podemos mejorar en muchos niveles nuestra dinámica de Informática Forense – Compilado por Quituisaca Samaniego Lilia   17  . contingencia y gabinetes de crisis son también imprescindibles en tanto que establecen los protocolos y las estrategias de recuperación en caso de fallo. Todos estos proyectos que cubren las necesidades principales planteadas por la organización pueden ser limitados en lo que se refiere a la recuperación de evidencias. Valoración y gestión del riesgo La prevención forense parte de la gestión de riesgos de la organización.

Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . Futuro Los diversos fabricantes e integradores que trabajan en el mercado tecnológico ya incluyen dentro de sus soluciones herramientas y soluciones diversas en materia de protección de evidencias. técnicas de gestión de evidencias y todo tipo de mejoras en infraestructuras que. El auge de las tecnologías de virtualización que permiten. etc. Incluso fabricantes especializados en herramientas forenses han desarrollado soluciones preventivas que permiten la vigilancia ante-mortem. protegido y puesto a disposición de los responsables pertinentes. la orientación ha cambiado y se estima que a lo largo de los años próximos la inversión. tiempos de parada. con un coste de inversión mínimo. a conseguir una respuesta óptima frente a todas las situaciones conocidas o previstas. entre otras cosas. Con todo lo antes mencionado podemos hablar con cifras reales de reducción de casos de fraude o de incidentes en función a prácticas de mejora de la respuesta forense. sistemas de alerta temprana (con notificaciones de incidentes que ocurren en otras zonas geográficas). y a mejorar la respuesta frente a situaciones nuevas.Escuela de Ciencias Seguridad en las TICS  documentación y protección de la evidencia. integración con diferentes soluciones de SIEM. ha llevado a considerar como necesidades particulares. obtener copias “en caliente” del sistema en funcionamiento o interceptar determinadas operaciones a nivel de núcleo abren otra puerta en materia de prevención forense. en este tipo de empresas va a aumentar. Informática Forense – Compilado por Quituisaca Samaniego Lilia   18  . a garantizar la calidad de las evidencias recopiladas. En empresas consideradas de baja inversión como pueden ser las tradicionales PYMES. Si un proceso de negocio es gestionado correctamente desde la prevención en materia forense estamos hablando de la posibilidad de realizar un seguimiento estricto que pueda llevar a la detección de patrones de malas prácticas. Incluso con la emergencia de aplicaciones derivadas de la filosofía del “Trusted Computing” podemos hablar de interceptar problemas detectados por vulneraciones de la política específica de un proceso de negocio determinado o del uso indebido de algún tipo de recurso. problemas que estén en marcha y a la utilización de evidencias de calidad que previamente hemos obtenido. la evolución natural de los mercados. Con una buena política de uso de estas evidencias podemos obtener resultados directos en la prevención de acciones dañinas para la organización (malas prácticas.) e incluso podemos llegar a hablar de prevención de ciertos tipos de fraude detectables mediante estas evidencias. hasta ahora. Ahorro de costes y rendimientos óptimos en la respuesta forense Los presupuestos en materia seguridad cada vez son mayores en todas las organizaciones. Podríamos hablar de sistemas de control que mediante las trazas de auditoria y el conocimiento forense adquirido nos permitieran bloquear intentos de fraude antes o durante de su ejecución. En la mayor parte de los casos dedicar un leve esfuerzo en materia de prevención forense puede reducir la potencialidad del incidente de seguridad de forma drástica. La mejor formación de los equipos de respuesta trabajando antes de una situación de emergencia ayuda. se planteaban como “valor añadido” pero que. a asegurar el correcto tratamiento de un incidente. a evitar situaciones de pánico. Existen soluciones con altas capacidades de correlación de eventos de diferentes fuentes.

llevan a plantear nuevos modelos de gestión de la seguridad. Se debe destacar la necesidad de aplicar metodologías y procedimientos específicos con el fin de asegurar la garantía de calidad de las evidencias durante todo el proceso forense. haciendo hincapié en la recopilación y custodia de las evidencias digitales. vigilancia y las implicaciones legales asociadas. • • • • RECOMENDACIONES • En la era de la información. estos profesionales deben especializarse es este tipo de herramientas que permitirán generar confianza en los juicios por Delitos Informáticos.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . pero no han sido reconocidos en muchos ámbitos de nuestra sociedad y sin embargo son de gran utilidad. Asegurar el menor costo en la gestión anterior a un incidente sin la presión de una situación de emergencia. nos encontramos con profesionales capacitados y de gran utilidad en la resolución de problemas informáticos. pero que adolecen de cierta seguridad en lo que a requisitos forenses se refiere. La Informática forense aporta soluciones. firma digital de estas. tanto a grandes empresas como a PYMES. • • Informática Forense – Compilado por Quituisaca Samaniego Lilia   19  . contingencia y respuesta a incidentes. especialmente en centros de investigación como las Universidades. por lo que éstas deben gestionar para que se realicen estudios científicos. Las herramientas que el mercado maneja ya están muy consolidadas y los procedimientos en uso son aplicados por todas las empresas y expertos de estas.Escuela de Ciencias Seguridad en las TICS  CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES • La informática forense es una herramienta indispensable que toda organización debe contemplar dentro de su política de seguridad y enmarcarla dentro del proceso de respuesta a incidentes en los sistemas informáticos. en la que las tecnologías avanzan a paso agigantado. La protección de las evidencias. En el ámbito preventivo existen acciones dispersas dentro de otros proyectos de mayor entidad como los planes de continuidad. Incidir en el enfoque preventivo de la práctica forense para: • • • Garantizar la calidad de las evidencias. controles de acceso. Dar mejor gestión y control de los procesos de negocios.

o cualquier otro objeto que pueda contener el sistema de ficheros. fechas. Los exploits se pueden caracterizar según las categorías de vulnerabilidades utilizadas para su ataque.. y enlaces simbólicos. Vigilancia ante-mortem.Vigilancia realizada después de que ocurra el incidente. El término "inodo" refiere generalmente a inodos en discos (dispositivos en modo bloque) que almacenan archivos regulares. Un inodo contiene las características (permisos. El concepto es particular-mente importante para la recuperación de los sistemas de archivos dañados. Informática Forense – Compilado por Quituisaca Samaniego Lilia   20  .En informática. o parte del programa.Es el nombre con el que se identifica un programa informático malicioso. Exploit. un inodo o (i-node en inglés) es una estructura de datos propia de los sistemas de archivos tradicionalmente empleados en los sistemas operativos tipo UNIX como es el caso de Linux. directorios.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . Inodo.Permitir solo la ejecución de programas firmados o validados por la organización.Vigilancia realizada antes de que ocurra el incidente. Vigilancia post-mortem. y los directorios recogen una lista de parejas formadas por un número de inodo y nombre identiticativo que permite acceder al archivo en cuestión: cada archivo tiene un único inodo.. aunque normalmente se trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros. que trata de forzar alguna deficiencia o vulnerabilidad de otro programa. directorio. Cada inodo queda identificado por un número entero. pero puede tener más de un nombre en distintos o incluso en el mismo directorio para facilitar su localización. El fin puede ser la destrucción o inhabilitación del sistema atacado.Escuela de Ciencias Seguridad en las TICS  DICCIONARIO DE TÉRMINOS Trusted Computing.. único dentro del sistema de ficheros.. pero NO el nombre) de un archivo regular.. ubicación.

eiidi.e-fense. http://www.com Sitios web: • • • • • • • • • www.R.I. Revista ALI Base informática ALI® ASOCIACION DE INGENIEROS E INGENIEROS TECNICOS EN INFORMATICA • Nº 43 • 2008 Miguel López Delgado.dfrws.com/helix/ F.org www. “Análisis Forense Digital”.opensourceforensics.com   Informática Forense – Compilado por Quituisaca Samaniego Lilia   21  .Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática .codemaster.dmzs.forensics-es.isaca.upm. http://www.com www.e-fense. Linux http://biatchux.org www.com Descarga de programas-herramientas: • • • FTK http://www.es www. “Investigaciones Digitales”.org www.foundstone.org www.com www. “Informática forense: un enfoque preventivo”.criptored.E.es Equipo de Investigación de Incidentes y Delitos Informáticos. (2008).ioce.com HELIX CD http://www.Escuela de Ciencias Seguridad en las TICS  FUENTE DE CONSULTA Pablo Román Ramírez G.org www.securityfocus.auditoresdesistemas.

Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática .Escuela de Ciencias Seguridad en las TICS  ANEXOS A. Informática Forense – Compilado por Quituisaca Samaniego Lilia   22  .3 Esquema del proceso de respuesta a incidentes.1 Reforma Reglamento ley de comercio electrónico A.2 Descripción de algunas herramientas reconocidas para el análisis forense A.

Decreta: Expedir las siguientes REFORMAS AL REGLAMENTO GENERAL A LA LEY DE COMERCIO ELECTRÓNICO. FIRMAS ELECTRONICAS Y MENSAJES DE DATOS. de conformidad con lo dispuesto en el artículo innumerado 4 del artículo 10 de la Ley Especial de Telecomunicaciones reformada. publicada en el Suplementó del Registro Oficial No. Lunes 6 de Octubre del 2008 -. la Secretaría Nacional de Telecomunicaciones "SENATEL". no requerirá de nuevos requisitos o requisitos adicionales a los va establecidos. Que. y. Que.Quito. mediante Decreto No. la Disposición General Séptima de la Ley No. es necesario armonizar el régimen de acreditación de Entidades de Certificación de Información y Servicios Relacionados a fin de que guarden concordancia con lo dispuesto en la Ley No. permitiendo así el ejercicio de las actividades previstas en la Ley No. Que. Firmas Electrónicas y Mensajes de Datos. requerirá de autorización previa y registro: Que. 3496. Firmas Electrónicas y Mensajes de Datos. 67. 67 señala que "El ejercicio de actividades establecidas en esta ley. de conformidad con lo dispuesto en el artículo 37 de la Ley de Comercio Electrónico. registro y regulación de las Entidades de Certificación de Información y Servicios Relacionados Acreditadas. en calidad de Entidades de Certificación de Información y Servicios Relacionados Acreditadas. 67. 577 de 17 de abril del 2002 se expidió la Ley de Comercio Electrónico. N" 1356 Rafael Correa Delgado PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Considerando: Que. mediante Ley No. la Disposición General Octava de la Ley No. el Consejo Nacional de Telecomunicaciones "CONATEL".Escuela de Ciencias Seguridad en las TICS  A. es necesario promover políticas que susciten y fortalezcan el desarrollo y aplicación efectiva del comercio electrónico. En ejercicio de la facultad prevista en el artículo 171 numeral 5 de la Constitución Política de la República.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . Informática Forense – Compilado por Quituisaca Samaniego Lilia   23  . Que. ". señala que: "La prestación de servicios de certificación de información por parte de Entidades de Certificación de Información y Servicios Relacionados Acreditadas. Firmas Electrónicas y Mensajes de Datos. es el organismo de autorización. es el organismo de ejecución del CONATEL. previa acreditación del CONATEL. Firmas Electrónicas y Mensajes de Datos.Nro.1 Reforma Reglamento ley de comercio electrónico REGISTRO OFICIAL Año II -. es prioridad del Estado Ecuatoriano que empresas unipersonales o personas jurídicas de derecho público o privado. 67. para garantizar la eficiencia técnica y seguridad jurídica de los procedimiento e instrumentos empleados. Que. publicado en el Registro Oficial 735 de 31 de julio del 2002 se expidió el Reglamento General a la Ley de Comercio Electrónico. 67. 440 FUNCION EJECUTIVA DECRETO: 1356 Expídase las reformas al Reglamento General a la Ley de Comercio Electrónico. Que. Que. por parte de instituciones públicas o privadas. emitan certificados de firma electrónica y puedan prestar otros servicios relacionados.

Escuela de Ciencias Seguridad en las TICS  Art. así como las que consten en la resolución de acreditación. Art.. El CONATEL emitirá la reglamentación que permita su organización y funcionamiento. detallando nombres y apellidos completos del representante legal. El plazo de duración de la acreditación será de 10 años renovables por igual período.Reemplazar en el segundo inciso del apartado b) del artículo 15 las palabras "o la Entidad de registro" por "o el tercero vinculado".. 3. siempre y cuando la Entidad de Certificación de Información y Servicios Relacionados Acreditada haya cumplido con sus obligaciones legales y reglamentarias.." "Art.. de la escritura de constitución de la empresa unipersonal o compañía y reformas en caso de haber/as (excepto las instituciones públicas). e) Copia certificada debidamente registrada en el Registro Mercantil. Informática Forense – Compilado por Quituisaca Samaniego Lilia   24  . a cargo de la Secretaría Nacional de Telecomunicaciones. 1. indicando las características técnicas de la misma. "Art.. a excepción de las instituciones del Estado.. c) Copia del certificado de votación del último proceso eleccionario (correspondiente al representante legal. previa solicitud escrita presentada a la Secretaria Nacional de Telecomunicaciones con tres meses de anticipación al vencimiento del plazo. g) Diagrama esquemático y descripción técnica detallada de la infraestructura a ser utilizada. modificación ampliación y operación de la infraestructura requerida para tal fin y estará sujeta al pago de valores. d) Copia certificada e inscrita en el Registro Mercantil (excepto las instituciones públicas) del nombramiento del representante legal. Acreditación: La acreditación como Entidad de Certificación de Información y Servicios Relacionados..Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . . los certificados de firma electrónica emitidos en el extranjero tendrán validez legal en el Ecuador una vez obtenida la . 4. dirección domiciliaria de la empresa unipersonal o compañía. . Registro Público Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y terceros vinculados: "Se crea el Registro Público Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y terceros vinculados. los que serán fijados por el CONATEL. los siguientes artículos: Art.Sustituir el inciso segundo del artículo 17 por el siguiente: "Los certificados de firma electrónica emitidos y revalidados por las Entidades de Certificación de Información y Servicios Relacionados Acreditadas por el CONATEL.. excepto cuando se trate de ciudadanos extranjeros). deberá presentar los siguientes documentos: " a) Solicitud dirigida a la Secretaria Nacional de Telecomunicaciones. consistirá en un acto administrativo emitido por el CONATE!. obligaciones emitido por la Superintendencia de Compañías o Bancos y Seguros según corresponda.. revalidación respectiva por una Entidad de Certificación de Información y Servicios Relacionados Acreditada ante el CONATEL. Art.Agregar a continuación del artículo 17. para la aplicación del artículo 28 de la Ley No. b) Copia de la cédula de ciudadanía del representante legal o pasaporte según corresponda. a través de una resolución la que será inscrita en el Registro Público Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y terceros vinculados. 67. 2.Sustituir el artículo 16 por el siguiente: "Sin perjuicio de la reglamentación que emita el CONATEL. Requisitos para la Acreditación: El peticionario de una acreditación como Entidad de Certificación de Información y Servicios Relacionados. tienen carácter probatorio". f) Original del certificado de cumplimiento de . La acreditación como Entidad de Certificación de Información y Servicios Relacionados comprende el derecho para la instalación.. la cual deberá comprobar el grado de fiabilidad de dichos certificados y de quien los emite ". Art..

en cuyo caso se extinguirá la resolución de acreditación. i) Documentos de soporte que confirmen que se disponen de mecanismos de seguridad para evitar la falsificación de certificados. m) En caso de solicitud de renovación de la acreditación y de acuerdo con los procedimientos que señale el CONATEL. legal y económico--financiero en base a la documentación presentada. descripción de sistemas de seguridad. . Operación: Una vez otorgada y registrada la acreditación. . estándares de seguridad. resguardo de documentos. la que dentro del término de tres días procederá a publicar un extracto de la misma en su página WEB institucional. Procedimiento de Acreditación: La solicitud acompañada de todos los requisitos establecidos será presentada ante la Secretaría Nacional de Telecomunicaciones. Firmas Electrónicas y Mensajes de Datos. Dicha ampliación. d) Procedimientos para garantizar la protección de los usuarios aún en caso de extinción de la acreditación.Escuela de Ciencias Seguridad en las TICS  h) Descripción detallada de cada servicio propuesto y de los recursos e infraestructura disponibles para su prestación. en la que constará el detalle de imposición de sanciones.. deberán incluirse los requisitos de carácter técnico." Art. por una sola vez. control de acceso y confidencialidad durante la generación de claves... la certificación de cumplimiento de obligaciones por parte de la Superintendencia de Telecomunicaciones. . sistemas de respaldo. a fin de que ésta dentro del término de cinco días. precautelar la integridad.. e) Causales de extinción de la acreditación". " Art. Vencido dicho plazo la Superintendencia de Telecomunicaciones informará a la Secretaría Nacional de Telecomunicaciones si el titular de la acreditación ha incumplido con esta disposición. b) Características técnicas y legales relativas a la operación de los servicios de certificación de información y servicios relacionados autorizados. c) Obligaciones y responsabilidades de las Entidades de Certificación de Información y Servicios Relacionados de acuerdo a lo establecido en la Ley de Comercio Electrónico... realice la inscripción en el Registro Público Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y terceros vinculados y efectúe la notificación al peticionario. . j) k) Diagrama técnico detallado de cada "Nodo" o "Sitio Seguro" detallando especificaciones técnicas de los equipos. protección contra siniestros. la SENATEL remitirá al CONATEL los informes técnico. "Art. previo el pago por parte del solicitante. l) Información que demuestre la capacidad económica y financiera para la prestación de servicios de certificación de información y servicios relacionados. en caso de haber/as y el informe de cumplimiento de obligaciones por parte de la Secretaria Nacional de Telecomunicaciones" "Art. y. Copia certificada de la resolución de acreditación será remitida a la Secretaría Nacional de Telecomunicaciones dentro del término de dos días.. La Entidad de Certificación de Información y Servicios Relacionados podrá pedir. de concederse. de los valores que el CONATEL haya establecido para el efecto. El CONATEL.. Contenido mínimo de la Acreditación: La resolución de acreditación para la prestación e servicios de certificación de Información contendrá al menos lo siguiente: a) Descripción de los servicios autorizados. Ubicación geográfica inicial.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . En el evento de que el peticionario no cancele los valores correspondientes por la acreditación dentro del término de 15 días. el acto administrativo quedará sin efecto automáticamente y la Secretaría Nacional de Telecomunicaciones procederá al archivo del trámite". Extinción de la acreditación: La acreditación se extinguirá por las siguientes causas: Informática Forense – Compilado por Quituisaca Samaniego Lilia   25  . la Entidad de Certificación de Información y Servicios relacionados dispondrá del plazo de seis (6) meses para iniciar la operación. dentro del término dé 15 días resolverá el otorgamiento de la acreditación. La SENATEL podrá ordenar inspecciones o verificaciones a las instalaciones del peticionario cuando lo considere necesario. la ampliación del plazo para iniciar operaciones mediante solicitud motivada. especificando la dirección de cada nodo o sitio seguro. Dentro del término de 15 días contados desde la fecha de presentación de la solicitud. no podrá exceder de 90 días calendario.

así como la prestación de servicios o realizar actividades distintas a las señaladas en la acreditación. La Secretaria Nacional de Telecomunicaciones analizará que la documentación que presente el peticionario corresponda a la que establece el presente Reglamento y si cumple con todos los requisitos procederá con el registro correspondiente. d) Copia certificada e inscrita en el Registro Mercantil (excepto instituciones públicas) del nombramiento del representante legal. entregará al peticionarlo el certificado de registro dentro del término de 15 días contados desde la fecha de presentación de la solicitud. En todos los casos. c) Por resolución motivada del CONATEL. detallando nombres y apellidos completos del representante legal. d) Cese temporal o definitivo de operaciones de la Entidad Acreditada por cualquier causa.. a excepción de instituciones del Estado. deberán estar acompañadas de los siguientes documentos y requisitos: a) Solicitud dirigida a la Secretaria Nacional de Telecomunicaciones.Escuela de Ciencias Seguridad en las TICS  a) b) Terminación del plazo para la cual fue emitida: Incumplimiento de las obligaciones por parte de la Entidad de Certificación de Información y Servicios Relacionados Acreditada. Descripción de los servicios a prestar en calidad de tercero vinculado. excepto cuando se trate de ciudadanos extranjeros). previo el pago de los valores establecidos por el CONA TEL. Terceros Vinculados: Con sujeción al artículo 33 de la Ley. la Prestación de Servicios ele Certificación de información podrá ser proporcionada por un tercero vinculado contractualmente con una Entidad de Certificación de información v Servicios Relacionados Acreditada ante el CONATEL: para lo cual el tercero vinculado deberá presentar la documentación que justifique la vinculación. Una vez extinguida la acreditación el CONATEL podrá adoptar las medidas administrativas.. En todos los casos." Informática Forense – Compilado por Quituisaca Samaniego Lilia   26  .Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . será de la Entidad de Certificación de Información y Servicios Relacionados Acreditada ante el CONATEL" "Art. No. b) Copia de la cédula de ciudadanía del representante legal o pasaporte según corresponda. judiciales y extrajudiciales que considere necesarias para garantizar la protección de la información de los usuarios y el ejercicio de los derechos adquiridos por estos. 67." "Art . excepto para instituciones públicas. e) Copia certificada debidamente inscrita en el Registro Mercantil. Las solicitudes de registro de terceros vinculados con las Entidades de Certificación de Información y Servicios Relacionados Acreditadas. dirección domiciliaria de la empresa unipersonal o compañía. f) Original del certificado de cumplimiento de obligaciones emitido por la Superintendencia de Compañías o Bancos y Seguros según corresponda. Procedimiento de Registro de los terceros vinculados. el documento de relación contractual deberá establecer claramente las responsabilidades legales de cada una de las partes ante los usuarios y autoridades competentes. El plazo de duración del registro será igual al plazo de duración de la relación contractual del tercero vinculado con la Entidad de Certificación de Información y Servicios Relacionados. incluyendo la presentación de información falsa o alteraciones para aparentar cumplir los requisitos exigidos.El registro de terceros vinculados consiste en una razón o marginación realizada por la Secretaría Nacional de Telecomunicaciones. La Secretaría Nacional de Telecomunicaciones. e) Por las causas previstas en el Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva. por causas técnicas o legales debidamente comprobadas.. c) Copia del certificado de votación del último proceso eleccionario (correspondiente al representante legal. g) h) Documentos que certifiquen la relación contractual con la Entidad de Certificación de Información y Servicios Relacionados Acreditada. la responsabilidad en la prestación de los servicios. de la escritura de constitución de la empresa unipersonal o compañía y reformas en caso de haberlas. y.

. la Entidad de Certificación de Información y Servicios Relacionados Acreditada. b) Para el segundo año de operaciones y hasta la finalización del plazo de la acreditación. Procedimiento de ejecución de la Garantía de Responsabilidad: Cuando el usuario de una Entidad de Certificación de Información y Servicios Relacionados Acreditada considere que ha existido incumplimiento en la prestación del servicio que le haya ocasionado daños y perjuicios. Como parámetros iniciales se establecen: a) Para el primer año de operaciones. las Entidades de Certificación de información y. Garantía de Responsabilidad: De conformidad con lo dispuesto en el apartado h) del artículo 30 de la Ley No.00). tales como: monto asignado a cada usuario. el original de la garantía mencionada en el apartado b) del presente artículo. . 67.. irrevocable y de cobro inmediato y podrá consistir en pólizas de seguro de responsabilidad previstas en el artículo 43 de la Codificación de la Ley General de Seguros u otro tipo de garantías que están autorizadas conforme lo dispuesto en el artículo 51. Modificaciones: Las modificaciones de las características técnicas de operación o prestación de los servicios. están sometidos a las normas. Recursos Administrativos: Los actos administrativos que emitan el CONATEL y la SE. una solicitud motivada a fin de que esta: a) A l amparo de lo dispuesto en el artículo 31 de la Ley No. 67.. el original de la garantía. Acreditación para Entidades del Estado: Las instituciones del Estado señaladas en el artículo 118 de la Constitución Política de la República. "Art..SD $ 400. Las instituciones públicas obtendrán certificados de firma electrónica. una garantía de responsabilidad para asegurar a los usuarios el pago de los daños y perjuicios ocasionados por el posible incumplimiento de las obligaciones. Esta garantía será incondicional.Art." "Art.. la Entidad de Certificación de Información y Servicios Relacionados deberá cancelar el valor establecido para tal efecto. letra c) de la Ley General de Instituciones del Sistema Financiero. observando lo dispuesto en el artículo 31 de la Ley.. la Entidad de Certificación de Información y Servicios Relacionados Acreditada deberá contratar a favor de la Secretaría Nacional de Telecomunicaciones..NATEL. 67. este podrá presentar a la Secretaría Nacional de Telecomunicaciones. podrán prestar servicios como Entidades de Certificación de Información y Servicios Relacionados. No. La Entidad de Certificación de Información y Servicios Relacionados Acreditada. Asimismo. a favor de la Secretaría Nacional de Telecomunicaciones. . " ". En el contrato de prestación de servicios que suscriba la Entidad de Certificación de información con los usuarios. requerirán de notificación escrita a la Secretaría Nacional de Telecomunicaciones y de la aprobación de esta. ponga en conocimiento de la Entidad de Certificación de Información y Servicios Relacionados el reclamo formulado y solicite que Informática Forense – Compilado por Quituisaca Samaniego Lilia   27  .Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . remitirán a la Secretaría Nacional de Telecomunicaciones. una garantía.. de derecho público. .000. durante el plazo de vigencia de la acreditación dichas Entidades remitirán a la Secretaría Nacional de Telecomunicaciones. En la regulación que emita el CONATEL para establecer el valor base de garantía de responsabilidad por certificado. se deberá incluir una cláusula relacionada con los aspectos de esta garantía. a satisfacción de ésta. recursos y reclamaciones del Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva. La Entidad de Certificación de Información y Servicios Relacionados Acreditada quedará exenta de responsabilidad por daños y perjuicios cuando el usuario exceda los límites de uso indicados en el certificado. que no alteren el objeto de la acreditación.Escuela de Ciencias Seguridad en las TICS  "Art. previo al inicio de las operaciones.. hasta el 31 de enero de cada año. cuyo monto será igual o mayor a cuatrocientos mil dólares de los Estados Unidos de América (U. cuyo monto estará en función de un valor base de garantía por certificado y que será determinado por el CONATEL.. así como de la variedad o modalidad de los mismos. de acuerdo a lo señalado en la disposición general Octava de la Ley 67. Cuando la modificación incluya la prestación de servicios adicionales a los autorizados. previa Resolución emitida por el CONATEL. mecanismos de reclamación y restitución de valores". hasta en el término de 15 días contados desde que se produjo el incumplimiento. deberá contratar y mantener.. se considerará la evolución del mercado y la protección de los derechos de los usuarios." "Art.. Servicios Relacionados Acreditadas deberán contar con una garantía de responsabilidad para asegurar a los usuarios el pago de los daños y perjuicios ocasionados por el incumplimiento de las obligaciones. únicamente de las Entidades de Certificación de Información y Servicios Relacionados Acreditadas.

las palabras "o de la Entidad de registro" por "o del tercero vinculado" y "de la Entidad de registro" por "del tercero vinculado" y agregar a continuación del mismo lo siguiente: "La Entidad de Certificación de Información y Servicios Relacionados Acreditada no podrá ceder o transferir total ni parcialmente los derechos o deberes derivados de la acreditación. el usuario podrá considerar el inicio de las acciones que estime pertinentes en contra de la Entidad de Certificación de Información y Servicios Relacionados. para lo cual deberán brindar todas las facilidades y proporcionar la información necesaria para cumplir con tal fin.. El formato de los contratos que las Entidades . por los daños y perjuicios no cubiertos por la garantía de responsabilidad. con el objeto de garantizar el cumplimiento de la normativa vigente y de los términos y condiciones de autorización y registro.Las reformas al presente reglamento entrarán en vigencia a partir de su publicación en el Registro Oficial. en San Francisco de Quito. b) Vencido el término señalado en el numeral anterior. los que no podrán reconocerse por un valor superior al pactado en el contrato del usuario.) Rafael Correa Delgado. el que de ser estimado total o parcialmente dará lugar a que disponga a la compañía aseguradora o institución financiera la ejecución parcial de la garantía de responsabilidad por el monto de los daños y perjuicios causados. deberán ser remitidos a la Secretaría Nacional de Telecomunicaciones. Informática Forense – Compilado por Quituisaca Samaniego Lilia   28  . dentro del término de cinco días. Subsecretario General de la Administración Pública. presente sus descargos o en su defecto reconozca el incumplimiento. Artículo Final. con plena capacidad de obrar.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . Control: La Superintendencia de Telecomunicaciones realizará los controles necesarios a las Entidades de Certificación de Información y Servicios Relacionados así como a los Terceros Vinculados. Es responsabilidad de las Entidades de Certificación de Información y Servicios Relacionados Acreditadas emitir certificados únicos. el día de hoy 29 de septiembre del 2008. Dado en el Palacio Nacional. f. Art.) Abg.Sustituir en el primer y segundo inciso del artículo 18. f. Presidente Constitucional de la República. Disposición Transitoria: Los trámites pendientes relacionados con la acreditación como Entidades de Certificación de Información y Servicios Relacionados deberán adecuarse a lo dispuesto en este decreto.Escuela de Ciencias Seguridad en las TICS  dentro del término perentorio de 5 días.de Certificación de Información y Servicios Relacionados suscriban con los usuarios.. Sin perjuicio de lo anterior. 5. Supervisará e inspeccionará en cualquier momento las instalaciones de los prestadores de dichos servicios. Es fiel copia del original.Lo certifico. previo al inicio de operaciones o cuando dicho formato sea modificado". la Secretaría Nacional de Telecomunicaciones con o sin la presentación de los descargos respectivos por parte de la Entidad de Certificación y Servicios Relacionados Acreditada. Cada certificado deberá contener un identificador exclusivo que lo distinga de forma unívoca ante el resto y solo podrán emitir certificados vinculados a personas naturales mayores de edad. Oscar Pico Solórzano. "Art. . resolverá sobre la procedencia del reclamo formulado por el usuario. de no hacerlo estarán sujetos a las sanciones de ley... Está prohibida la emisión de certificados de prueba o demostración..

El funcionamiento esta basado principalmente en una buena práctica forense basándose en un análisis muerto y uno vivo. logs del sistema. Esta herramienta forense puede brindarnos evidencia a través de: Listado del archivo: Nos ofrece un análisis de los archivos. Por lo tanto los datos que obtendremos serán referidos a la integridad de los archivos.Escuela de Ciencias Seguridad en las TICS  A. En el caso del vivo se analiza el sistema en cuestión cuando éste esta en funcionamiento por lo que se analizan ficheros. La autopsia también puede extraer solamente imágenes gráficas y comparar el tipo de archivo para poder identificar si en los archivos se han modificado las extensiones para ocultarlos. 2 Herramientas más conocidas para el análisis forense Autopsy Forensic Browser Es una herramienta que esta basada en línea de comandos del Sleuth Kit. hex y/o ASCII. Clasificación de tipos de archivo por extensiones: Agrupa los archivos basándose en sus firmas internas para reconocer extensiones conocidas. El contenido de archivos: Nos permite observar el formato raw. UFS1/2 y Ext2/3. FAT. Esta herramienta nos permite tener una visión de los detalles de cualquier estructura Informática Forense – Compilado por Quituisaca Samaniego Lilia   29  . memoria. procesos. Búsqueda de palabra clave: a través de la secuencia de ASCII y expresiones regulares se pueden realizar la búsqueda de palabras que sirvan para encontrar evidencia en la computadora. La unión de estas herramientas las cuales están instaladas en un servidor utilizando un sistema basado en una plataforma Unix los cuales conformar una completa herramienta forense la solamente necesita de un sistema operativo y un browser para poder hacer uso de la misma. se procede a desinfectar la autopsia para evitar que los datos se corrompan. Bases de datos de Hash: Los archivos son catalogados como benignos o malignos para el sistema apoyándose en la biblioteca de referencia del software NIST y las bases de datos que fueron creadas por el usuario. Una vez que se descifran los datos. Esto resulta de gran ayuda cuando se tienen muchos archivos y no se sabe bien que es lo que se esta buscando debido a que si notamos un gran interés por el usuario sobre un archivo es por que algo tiene que tener de importancia y que puede servir de evidencia. Análisis de los meta datos: Los meta datos tienen la información sobre los archivos y directorios. etc luego de que se confirma que hay evidencia se puede adquirir el sistema a través de una imagen por lo que se puede realizar a posteriori un análisis de sistema muerto. Esta búsqueda se puede efectuar sobre una imagen completa del sistema de archivos. En el caso del muerto se hace la investigación desde otro sistema operativo y con el sistema en cuestión a investigar sin cargar. Línea de tiempo de la actividad del archivo: Esto es bastante útil para poder tener en cuenta que es lo que se ah hecho con el archivo es decir cuando ah sido movido. Otro punto destacable es que puede analizarse tanto una computadora con Windows como con Unix ya que soporta sistemas de archivos como NTFS.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . los directorios e incluye los nombres de archivos que se han eliminado. modificado o incluso borrado. la estructura que tienen los ficheros y los elementos que han sido borrados.

y se compone de una serie aplicaciones en línea de comandos que permiten generar diversos informes y estadísticas del sistema de archivos a estudiar. que pueden contener uno o más anfitriones. creado por el equipo de Foundstone. Para poder utilizarlos deberá disponer de un intérprete de comandos como cmd. éstos son distintos de los archivos ocultos y no aparecerán con herramientas normales del sistema operativo. sfind filestat hunt Informática Forense – Compilado por Quituisaca Samaniego Lilia   . Su importancia radica en que pueden usarse para ocultar datos o software dañino. Esto permite hacer notas rápidas sobre archivos y estructuras. Permite obtener información sobre un sistema que utiliza las opciones de sesión NULL. Busca flujos de datos ocultos en el disco duro. Este ToolKit le permitirá recopilar información sobre el ataque. sin modificar la información de acceso al mismo. Lo cual es de suma importancia a la hora de recuperar los datos que fueron eliminados. Informes: La herramienta puede crear los informes para los archivos y otras estructuras del sistema de ficheros. Detalles de la imagen: Con esta opción podemos observar con detenimiento los ficheros llegando al punto de poder conocer cual era la ubicación en el disco y las fechas de actividad. un anfitrión. Ofrece una lista completa de los atributos del archivo que se le pase como argumento (uno cada vez). Esta herramienta califica los ataques para poder identificar de manera más simple como ocurrió la secuencia de los ataques. Integridad de imagen: Es vital corroborar que los datos que estamos analizando no están corruptos ni han sido modificados para que tengan veracidad las evidencias encontradas. Cada anfitrión se configura para tener su propia posición. Secuenciador de acontecimientos: Los ataques se pueden obtener desde el log de un IDS. ajuste de reloj y de zona horaria de modo que los tiempos examinados sean iguales a los del usuario original.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . Comando afind hfind Busca archivos ocultos en el Sistema Operativo. recursos compartidos y servicios. Gerencia del Caso: Las investigaciones son organizadas por casos. 30  Función Realiza búsqueda de archivos por su tiempo de acceso.Escuela de Ciencias Seguridad en las TICS  de los meta datos de los ficheros. Cada anfitrión puede contener unas o más imágenes del sistema de ficheros para analizar.exe. y un nivel del investigador para poder recordar fácilmente las acciones y los comandos ejecutados. Registros: Los registros de la intervención se crean en un caso. The Forensic ToolKit Se trata de una colección de herramientas forenses para plataformas Windows. Notas: Las notas se pueden clasificar en una base de datos organizados por anfitrión y investigador. tal como usuarios.

R. Este CD ofrece dos modos de funcionamiento. F-Prot.dmzs. Las herramientas que posee F. con un núcleo modificado para conseguir una excelente detección de hardware. Perl. entre las que cabe destacar: • • Recolección de datos de un sistema informático comprometido y hacer un análisis forense. Además de los comandos de análisis propios de los entornos UNIX/Linux. Chkrootkit. whisker. ni ninguna otra operación sobre el disco duro del equipo sobre el que se arranque.I. no realiza el montaje de particiones swap.E. fdisk. 31  • Informática Forense – Compilado por Quituisaca Samaniego Lilia   . Recuperación datos de particiones dañadas.Escuela de Ciencias Seguridad en las TICS  HELIX CD Se trata de un Live CD de respuesta ante incidentes. basado en una distribución Linux denominada Knoppix (que a su vez está basada en Debian). Linux Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y análisis forense. dsniff. biew. podrá encontrar las siguientes: • • • • • Nessus. Ethereal. VNC (cliente y servido) Mozilla. En esta distribución podrá disponer de una serie de funcionalidades que le aportará muchas ventajas en su análisis. mc. pgp. Autopsy. sin que se modifiquen las evidencias pues montará los discos que encuentre en el sistema en modo sólo lectura. por lo que puede ser utilizado con seguridad. Snort.com. fragrouter. Chequear la existencia de virus o malware en general desde un entorno fiable. aunque sin entrar en detalles sobre cada una de ellas. Al igual que el kit anterior. compuesto por una distribución Linux a la que se le han añadido una serie de utilidades de seguridad. se han incorporado una lista realmente interesante de herramientas y ToolKits. casi 90 Mb. En el arranque Linux. pudiendo recuperar la información volátil del sistema.E son conocidas y muy recomendables. En el primero de ellos disponemos de un entorno con un conjunto de herramientas. tcpdump. Posibilidad de realización de test de penetración y vulnerabilidad. disponemos de un Sistema Operativo completo. TCT. ircII. por su forma de montar los discos no realiza ninguna modificación sobre los equipos en los que se ejecute. junto con un interfaz gráfico que hace realmente fácil su uso. tras ejecutarlo nos permitirá elegir entre arrancar un entorno MS Windows o uno tipo Linux. que nos permitirá principalmente interactuar con sistemas “vivos”. hping2.I. fenris. Posee la mayoría de las herramientas necesarias para realizar un análisis forense tanto de equipos como de imágenes de discos. SSH (cliente y servidor). Testdisk. nmap. airsnort. ettercap. Es ideal para el análisis de equipos “muertos”. gpart. hunt.R. Este live CD está creado y mantenido por William Salusky y puede descargarse gratuitamente desde la dirección http://biatchux. alguno de ellos comentados anteriormente como el Sleuth Kit y Autopsy. F.Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática .

3 Esquema del proceso de respuesta a incidentes.  Informática Forense – Compilado por Quituisaca Samaniego Lilia   32  .Universidad Central del Ecuador Facultad de Ingeniería Ciencias Físicas y Matemática . Octubre de 2005. Fuente: “Una Propuesta Metodológica y su Aplicación en The Sleuth Kit y EnCase Descargar en  disco”.Escuela de Ciencias Seguridad en las TICS  A.

Sign up to vote on this title
UsefulNot useful