2. De Uso Público
Agenda
●
Evidencia Digital
●
Principios en la Informática Forense
●
Inform tica Forenseá
●
Laboratorio Forense
●
Proyecto CENIF
●
Herramientas
3. De Uso Público
Principio de Intercambio
de Locard
"Siempre que dos objetos
entran en contacto estos
transfieren parte del
material que incorporan al
otro objeto"
4. De Uso Público
Evidencia Digital
Toda información digitalizada susceptible de ser
analizada por un método técnico y de generar
conclusiones irrefutables en lo legal
5. De Uso Público
Característica de la
Evidencia Digital
●
No podemos “verla”
●
No se puede interpretar
sin conocimientos técnicos
●
Es sumamente volátil
●
Puede copiarse sin límites
6. De Uso Público
Característica de la
Evidencia Digital
●
Las copias son indistinguibles del original
●
Bueno para los peritos: ¡Se analiza la copia!
●
Malo para los juristas: el concepto de “original”
carece de sentido
7. De Uso Público
Delito Informático
Son crímenes que se enfocan en hacer uso de
redes de computadoras con el objetivo de
destruir y dañar ordenadores o medios
electrónicos, ocultamiento de información,
esquivar la detección de algún evento.
8. De Uso Público
Ejemplos de un
Delito Informático
●
Fraudes
●
Robo
●
Falsificación
●
Acceso Indebido
●
Sabotaje a Sistemas
●
Delitos Contra la Propiedad
●
Espionaje
●
Pornografía Infantil
●
Oferta Engañosa
9. De Uso Público
Principios Informática Forense
●
Adherirse a estándares legales
●
Formación específica en técnicas forenses
●
Control de la evidencia digital
●
Reducir al mínimo la posibilidad de examinar la
evidencia original
●
Nunca exceder la base de conocimientos
●
Documentar cualquier cambio en la evidencia
10. De Uso Público
Principio Rectores de la IETF
RFC 3227
Principios:
●
Respetar las leyes y aplicar las política de
seguridad.
●
Capturar la imágen de un sistema lo más
exacto posible.
●
Detallar fechas y horas, anotando la diferencia
entre la hora del sistema y la del UTC.
●
Estar preparado para testificar
(quizás años más tarde).
11. De Uso Público
Principio Rectores de la IETF
RFC 3227
●
Minimizar los cambios a los datos que se van a
colectar
●
Entre la colección y el análisis, prevalece
primero la colección
●
Por cada dispositivo se debe adoptar un criterio
que debe ser aprobado
●
Proceder de lo más volátil
a lo menos volátil
12. De Uso Público
Base Legal y Sub-Legal
●
Ley Especial Contra Los Delítos Informáticos
●
Ley Sobre Mensajes de Datos y Firmas
Electrónicas
●
Reforma de la Ley Sobre Mensajes de Datos y
Firmas Electrónicas
●
Código Orgánico Procesal Penal (COPP)
●
Estándares Internacionales: ISO, IETF, IEEE,
entre otros
13. Informática Forense
AnálisisAnálisis
PresentaciónPresentación
Cadena de custodia
Preservación de
evidencia
Documentación
Cadena de custodia
Preservación de
evidencia
Documentación
Reconstrucción
Análisis
Herramientas
Reconstrucción
Análisis
Herramientas
Presentación oral y
escrita
Lenguajes correctos
Soportes adecuados
Presentación oral y
escrita
Lenguajes correctos
Soportes adecuados
ColecciónColección
De Uso Público
14. De Uso Público
Etapas de la
Informática Forense
Cadena de Custodia
PreservaciónPreservaciónPreservaciónPreservación ColecciónColecciónColecciónColección AnálisisAnálisisAnálisisAnálisis PresentaciónPresentaciónPresentaciónPresentación
15. De Uso Público
Etapas de la
Informática Forense
La Evidencia debe ser cuidadosamente
colectada y Documentada
● Debe existir una fuentes de poder
alternas
● Evitar eliminar procesos extraños
● Evitar alterar marcas de tiempo en los
archivos
● Evitar aplicar parches antes de
colectar la información
PreservaciónPreservación
16. De Uso Público
Etapas de la Informática
Forense
Autentique la Evidencia Preservada
●
Cree un Hash Electrónico de la Evidencia
●
Utilice MD5SUM, SHA1SUM o similar
Identifique y Etiquete la Evidencia
●
Número de Caso
●
Detalle la Evidencia
●
Firma del responsable de la Cadena de Custodia
17. De Uso Público
De Logs y registros:
●
Routers, Firewalls, IDS, Impresión
De hipótesis y testimonios
Copias Forenses (Discos)
Almacenamiento
●
Evidencia, equipo forense
●
Sitio aislado con condiciones de
operación estables
●
Accesos registrados
Etapas de la
Informática Forense
ColecciónColección
18. De Uso Público
Lista de control de la evidenciaevidencia en
cualquier punto, desde la coleccióncolección
hasta la presentaciónhasta la presentación o destrucción
que sirve para verificar que nunca fue
alterada o borrada.
Métodos Lógicos (firmas criptográficas
MD5, SHA)
Métodos Físicos (etiquetas, candados,
bóvedas)
Etapas de la
Informática Forense
Cadena de Custodia
19. De Uso Público
Proceso que utiliza el investigador
para descubrir informaci n valiosaódescubrir informaci n valiosaó
para la investigaci n.ó
La b squeda y extracci n deú ó
datos relevantes.
Etapas de la
Informática Forense
AnálisisAnálisis
Análisis
Físico
Análisis
Lógico
20. De Uso Público
Etapas de la
Informática Forense
PresentaciónPresentación
Debe contener:
Contexto del incidente
Listado de evidencias
Hallazgos
Acciones realizadas por el
investigador
Documentación de la cadena de
custodia, conclusión.
21. ¿Qué se necesita para montar un laboratorio forense?
●
Asignación presupuestaria
●
Las estadísticas de años anteriores
●
Tener en cuenta el espacio requerido, el equipamiento
necesario, el personal, la formación, el software y el
hardware.
●
La naturalezanaturaleza de laboratorio forense es un factor
determinante.
Laboratorio Forense
De Uso Público
22. Laboratorio Forense
De Uso Público
Laboratorio Investigación
Portafolio de
Procedimientos
Peticiones
Resultados
Favorables
23. Laboratorio Forense
De Uso Público
Responsable
Portafolio Portafolio
Analista Forense
Nivel I
Analista Forense
Nivel II
Analista Forense
Experto
Crypto
Aplicaciones
Base de datos
Consultores
(Investigadores)
Consultores
(Investigadores)
24. De Uso Público
Es un laboratorio de informática forense para
la colección, análisis, preservación y
presentación de las evidencias relacionadas
con las tecnologías de información, con el
objeto de prestar apoyo a los cuerpos de
investigación judicial órganos y entes del
Estado que así lo requieran.
Objetivo