SEQRITYINFFORENSECURSOVIRTUALNIVELBSICO

Cursodeinformticaforense
Quesycomofunciona?
El propsito de las tcnicas informticas forenses, es buscar, preservar y analizar
informacin en sistemas de ordenadores para buscar evidencias potenciales de un delito.
Muchos de las tcnicas usadas por detectives en escenarios de crimen, tiene su
contrapartida digital en la informtica forense, aunque hay algunos aspectos nicos en la
investigacinbasadaenordenadores.
Por ejemplo, simplemente abrir un archivo, cambia ese archivo el ordenadorrecuerdala
hora y fecha en el que fue accedido. Si un detective coge un ordenadorycomienzaaabrir
archivos y ficheros, no habr manera de poder decir si cambiaron algo. Si un caso de
piratera informtica llegara a juicio, no tendra validez como prueba al haber alterado y
modificadoelestadodelsistemainformtico.
Algunas personas creen que usar informacin digital como una evidencia, es un malaidea.
Si es tan fcil cambiar datos en un ordenador, Cmo puede usarse como una prueba
fiable? Muchos pases permites pruebas informticas en juicio y procesos, peroestopodra
cambiar si se demuestra en futuros casos que no son de confianza. Los ordenadores cada
vez son ms potentes, por lo que los campos dentro de la informtica forense tienen que
evolucionarconstantemente.
En lo tempranosdasdelainformtica,eraposibleparaunsolodetective,navegaratravs
de los ficheros de un equipo ya que la capacidad de almacenamiento era muchomsbaja.
Hoy en da, losdiscosdurosdeunordenadorpuedencontenergigabytesoinclusoterabytes
de informacin, por lo que la tarea de investigacin puede ser compleja. Los expertos en
informtica forense deben encontrar nuevas maneras de buscar evidencias, sin tener que
dedicardemasiadosrecursosenelproceso.

DanielRicardoTorresTorres3112678160seqrityinfforense@hotmail.com
www.seqrityinfforense.es.tl


SEQRITYINFFORENSECURSOVIRTUALNIVELBSICO

Conceptosbsicosdelainformticaforense
El campo de la informtica forense es relativamente joven. Hace muchos aos, las cortes
consideraban las evidencias encontradas en los ordenadores, no muy diferentes a las
evidencias convencionales. Segn los ordenadores fueron avanzando, mejorando y siendo
ms sofisticados, se dieron cuenta que estas evidencias podan ser fciles de corromper,
destruirocambiar.
Los investigadores pensaron que haba una necesidad de desarrollar herramientas
especficas y procesos para buscar evidencias de delito en un ordenador, sin afectar a la
propia informacin que hubieraalmacenada.Losexpertosenestatecnologa,sealiaroncon
cientficos especializados en computadoras para discutir los procedimientos y herramientas
apropiadas que se podran utilizar para esta tarea. Poco a poco, se fueron asentando las
basesparacrearlanuevainformticaforense.
Normalmente, los detectives informticos usan una orden para hacer bsquedas en
ordenadores de gente sospechosa. Esta orden debe incluir donde pueden buscar los
detectives, y que clase de pruebas estn buscando. En otras palabras, no pueden
simplemente dar pedir una orden y buscar todo lo que quieran para cualquier cosa. Esta
orden no puede ser demasiado general. Muchos jueces requieren que se sea lo ms
especficoposiblecuandosepideunadeestasgarantas.
Porestarazn,esimportanteparalosdetectivesinformticossabertodoloposiblesobreel
sospechoso antes de pedir una orden. Considera este ejemplo: Un investigadorinformtico
pide una orden par investigar un ordenador porttil de un sospechoso. Llega a la casa del
sospechoso y le entrega la orden. Mientras est en la casa, se da cuenta que hay un
ordenador de sobremesa. El investigador no puede legalmente hacer una bsqueda en ese
PCporquenoestabaenlaordenoriginal.
Cada lnea de investigacin en un ordenador es de algn modo nica. Algunaspuedellevar
solo una semana, pero otras puede llevar meses. Aqu hay algunos factores que pueden
impactarloextensodelainvestigacin:
Laexperienciadelosinvestigaresinformticos.Elnmerodeordenadoresqueseestn
investigando.Lacantidaddeinformacinquesedebeclasificaratravsdelosdiscosduros,
DVDs,CDs,uotrosmtodosdealmacenamiento.Silossospechososhanintentadoono
ocultaroborrarlainformacin.Lapresenciadearchivosencriptadosoficherosprotegidos
porcontraseas.

DanielRicardoTorresTorres3112678160seqrityinfforense@hotmail.com
www.seqrityinfforense.es.tl


SEQRITYINFFORENSECURSOVIRTUALNIVELBSICO

Fasesenunainvestigacindeinformticaforense
El cientfico en computadoras y experto reconocido en informtica forense, Judd
Robbins, nos da una lista de los pasos que deberan seguir los investigadores para
recuperarevidenciasenunordenadorsospechosodetenerpruebasdelictivas.Porsupuesto,
cada grupo de investigadores, dependiendo del cuerpo y el pas, tendrn variaciones sobre
losmtodosautilizar,peroelmtododeRobbinsestmundialmentereconocido:
Asegurarelsistemainformticoparamantenerelequipoylosdatosasalvo.Estosignifica
quelosinvestigadoresdebenasegurarsedequeindividuosnoautorizadospuedanacceder
alordenador,oalosdispositivosdealmacenamientodentrodelainvestigacin.Siel
sistemainformticoseconectaaInternet,dichaconexindebesercancelada.Sedebe
encontrartodoslosficherosyarchivosdelsistema,incluyendoaquellosqueestn
encriptados,protegidosconcontrasea,escondidosoborrados,peroquenoestntodava
sobrescritos.Losinvestigadoresdebenhacerunacopiadetodoslosarchivosdelsistema.
Conestoqueremosdecir,tantodeldiscodurocomotodoslosdemsdispositivosque
puedanalmacenarinformacin.Alpoderalterarunarchivocuandoaccedemosael,es
importanteparalosinvestigadorestrabajarsolamenteconcopiasmientrassebusca
evidencias.Elsistemaoriginaldebepermanecerintacto.Hayquerecuperartodala
informacinborradaquesepueda,usandoaplicacionesquepuedendetectardicha
informacinyhacerladisponibledenuevoparasuvisionado.Sedeberevelarelcontenido
deficherosyarchivosocultos,conprogramas
espacialmentediseadosparaestafuncin.Desencriptaryaccederainformacin
protegida.Analizarreasespecialesdelosdiscosdelordenador,incluyendolaspartesque
normalmentenoestnaccesibles.Entrminosdeinformtica,elespacionousadoenlos
discosdeunordenador,sellamaespacionolocalizado.Dichoespaciopodracontener
archivosopartesdeficherosquesonrelevantesalcaso.Hayquedocumentarcadapaso
delprocedimiento.Esimportanteparalosinvestigadoresmostrarpruebasdequesus
investigacioneshanpreservadotodalainformacindelsistemainformticosincambiaro
daarnada.Puedepasaraosentreunainvestigacinyeljuicio,ysinladocumentacin
apropiada,puedequelaspruebasnoseanadmisibles.Robbinsdicequeladocumentacin
nosolodeberaincluirlosarchivosylosdatosrecuperadosdelsistema,sinotambinun
informedelacondicinfsicadelsistema,ysialgndatoestabaencriptadouoculto.
Todos estos pasos son importantes, pero el primero es crtico. Si los investigadores no
pueden probar que han asegurado su sistema informtico, las evidencias encontradas
podrannovalerdenada.Esuntrabajocomplejo.Enlosprimerosaosenlahistoria

DanielRicardoTorresTorres3112678160seqrityinfforense@hotmail.com
www.seqrityinfforense.es.tl


SEQRITYINFFORENSECURSOVIRTUALNIVELBSICO

del ordenador, el sistema poda incluir solo un PC y unos cuantos disquetes. Hoy en da,
puede incluir varios ordenadores, discos, dispositivos externos de almacenamiento,
perifricos,yservidoresWeb.
Los que comenten delitos informticos, han encontrado maneras de hacer ms difcil el
seguimiento de los investigadores para que puedanencontrarinformacin.Usanprogramas
y aplicaciones conocidas como antiforenses. Los investigadores deben conocer estas
herramientas de software, y saber como deshabilitarlas sin quieren tener xito accediendo
a la informacin. En la siguiente seccin de este curso rpido sobre informtica forense,
veremosenquconsistenestosprogramasantiforenses.

Herramientasantiforensics
Este tipo de herramientas puede ser la pesadilla de un investigador
de delitos informticos. Los programadores disean las herramientas anti forenses para
hacer difcil o casi imposible recuperar informacin durante una investigacin.
Esencialmente, las tcnicas anti forensics se refieren a cualquier mtodo, artilugio o
softwaredesignadoparafrustrarunainvestigacininformtica.
Hay docenas de maneras para que la gente oculte la informacin. Algunos programas
pueden engaar a los ordenadores cambiando la informacin en las cabeceras de los
archivos. Una cabecera de archivo es normalmente invisible a las personas, pero es
extremadamente importante le dice al ordenador a qu tipo de fichero est asociado el
archivo. Para poner un ejemplo, si renombras un archivo avi con una extensin de fichero
.JPG, el ordenador todava sabr que el archivo es realmente un avi por la informacin en
la cabecera. Como se ha dicho, algunos programas permites cambiar datos en la cabecera
para que el ordenador crea que es otro tipo de fichero. Los investigadores buscando algn
tipo de archivo enparticular,puedensaltarseevidenciasimportantesporqueparecaqueno
erarelevante.
Otros programas puedendividirarchivosenpequeassecciones,yescondercadaseccinal
final de otros archivos. Los archivos suelen tener espacio no usado, y con el software
adecuado se pueden esconder archivos aprovechndose de esteespaciolibre.Esrealmente
complicadorecuperaryvolveraunirtodaestainformacindiseminadaenpartes.
Es tambin posible esconder un archivo enotro.Losficherosejecutablesquesonficheros
que el ordenador reconoce como programas son particularmente problemticos.
Programas llamados empaquetadores pueden insertar estos ejecutables en otros tipos de
archivos, mientras que hay otras aplicaciones que pueden fundir mltiples ejecutables en
unosolo.

DanielRicardoTorresTorres3112678160seqrityinfforense@hotmail.com
www.seqrityinfforense.es.tl


SEQRITYINFFORENSECURSOVIRTUALNIVELBSICO

La encriptacin es otro modo de ocultar los datos. Cuando encriptas datos, se usa un
completo conjunto de reglas llamado algoritmo para hacer los datos incomprensibles. Por
ejemplo, un algoritmo de este tipo puede hacer que un fichero de texto se conviertaenun
cmulo de nmeros y smbolos sin sentido. Una persona que quiera leer los datos,
necesitar una llave o clave para volver a convertir esos nmeros y smbolos en texto
lebledenuevo.Sinlasclavesdedesencriptacin,losinvestigadoresnecesitarnprogramas
especiales designados para romper el algoritmo de encriptacin del archivo. Cuanto ms
sofisticadoseaelalgoritmo,mastiemposetardarenhacerladesencriptacin.
Otras herramientas anti forensics pueden cambiar lasetiquetasanexionadasalosarchivos.
Estas etiquetas o metadata, incluyen informacin como por ejemplo, cuando se creo un
fichero o fue alterado. Normalmente no puedes cambiar esta informacin, pero cierto
software si permite alterar estas etiquetas. Imaginaquesedescubreunficheroydescubrir
que no va a existir hasta los prximos dos aos, y que fue accedido por ltima vez en el
siglo pasado. Si estas etiquetas se ven comprometidas, hace ms difcil que se pueden
utilizarcomopruebas.
Algunas aplicaciones de ordenador borrarn datos su un usuario no autorizado intenta
acceder al sistema. Algunos programadores han examinado como funcionan los programas
de informtica forense, y han intentado crear otras aplicaciones que bloquean o atacan a
esos mismos programas. Por este motivo, los investigadores de evidencias informticas
debenirconcuidadopararecuperardatos.
Haygentequeusaestetipodeherramientasparademostrarlovulnerableypocofiableque
los datos de un ordenador pueden ser. Si no puedes estar seguro de cuando se creo un
archivo, cuando se accedi a el por ltima vez, o incluso si a llegado a existir, como se
puede justificar en un juicio que es una evidencia o prueba? Mientras queestapreguntaes
complicada, muchos pases aceptan evidencias informticas en juicios, aunque los
estndarescambiandeunpasaotro.

Herramientasenlainformticaforense
Los programadores han creado muchas aplicaciones para la informtica forense. En
muchos casos, su uso dependo de los presupuestos que tenga el departamento que est
haciendo la investigacin y la experiencia que se tiene. A continuacin mostraremos unos
cuantos programas ydispositivosquehacenposibleelanlisisdeunsistemainformticoen
casodeunsupuestodelito:
Elsoftwaredeimagendediscograbalaestructuraycontendidodeundiscoduro.Coneste
software,nosoloesposiblecopiarlainformacindeldisco,

DanielRicardoTorresTorres3112678160seqrityinfforense@hotmail.com
www.seqrityinfforense.es.tl


SEQRITYINFFORENSECURSOVIRTUALNIVELBSICO

sinopreservarlamaneraenquelosficherosestnorganizadosysurelacinconlosotros
archivosdelsistema.Elsoftwareohardwaredeescritura,copianyreconstruyenlosdiscos
durosbitabit.Tantolasherramientassoftwarecomohardwareeludencambiarcualquier
informacin.Algunasherramientasrequierenquelosinvestigadoresretirenlosdiscosduros
delordenadordelsospechosoantesdehacerunacopia.Lasherramientasdehashinghacen
comparacionesdelosdiscosdurosoriginalesalascopias.Analizanlosdatosylasasignan
unnmeronico.Silosnmerosencriptadosdeloriginalylacopiacoinciden,lacopiaes
unarplicaperfectadeloriginal.
Losinvestigadoresutilizanprogramasderecuperacindearchivosparabuscaryrestaurar
datosborrados.Estosprogramaslocalizanlosdatosqueelordenadoramarcadocomo
eliminadosperoqueaunnohansidosobrescritos.Algunasvecesestoresultaenunarchivo
incompleto,locualpuedesermuchomsdifcildeanalizar.Hayvariosprogramas
diseadosparapreservarlainformacinenlamemoriaRAMdeunordenador.Deforma
distintaaundiscoduro,losdatosenlaRAMdejandeexistircuandoalguienapagael
ordenador.Sielsoftwareadecuado,estainformacinpuedeperdersefcilmente.El
softwaredeanlisisrevisatodalainformacineneldiscodurobuscadocontenido
especfico.Alpoderlosordenadoresmodernos,tenermuchacapacidaddealmacenamiento,
esdifcilytediosobuscararchivosmanualmente.Porejemplo,algunosprogramasde
anlisisbuscanyevalanlascookiesdeInternet,locualpuedendeciralinvestigadorcosas
sobrelaactividaddelsospechosoenlared.Otrosprogramaspermitenalosinvestigadores
buscaruntipodeterminadodecontenidoquelosinvestigadoresestnbuscando.Elsoftware
decodificadordeinformacinencriptadaylosfamososprogramasparacraquear
contraseassonmuyutilizadosytilesparaaccederalosdatosprotegidos.Los
investigadoresutilizanvariosprogramasdeestetipo,loscualesseactualizancadapoco
tiempo.
Estas herramientas son tiles siempre ycuandolosinvestigadoressiganlosprocedimientos
correctos. De otra manera, un abogado podra sugerir que cualquier evidencia encontrada
en un equipo informtico no es fiable. Por supuesto, hay gente que dice que ninguna de
estaspruebassonfiablesalcienporcien.

DanielRicardoTorresTorres3112678160seqrityinfforense@hotmail.com
www.seqrityinfforense.es.tl


ThisdocumentwascreatedwithWin2PDFavailableathttp://www.win2pdf.com.Theunregisteredversion

ofWin2PDFisforevaluationornoncommercialuseonly.Thispagewillnotbeaddedafterpurchasing
Win2PDF.