Informatica Forense

Universidad Central del Ecuador
Facultad de Ingeniería Ciencias Físicas y Matemática - Escuela de Ciencias
Seguridad en las TICS

INTRODUCCIÓN

El uso y evolución de las Tecnologías de Información y la Comunicación (TICs), brinda nuevas
oportunidades para que una institución esté innovada y pueda prevalecer frente a la
competencia, transformando sustancialmente los procesos de intercambio y producción de
información. Pero el uso indebido de las mismas por gente inescrupulosa que realiza ataques en
contra de de la integridad de sistemas computacionales o redes ha causado ingentes pérdidas
económicas especialmente en el sector comercial y bancario, debido a esto las empresas pierden
credibilidad y se debilitan institucionalmente.

Por esta razón se desarrollan herramientas que permite descubrir a los autores del delito y
asegurar las pruebas del mismo.

En gran parte la tecnología ha facilitado el mal hábito de provocar infracciones informáticas,
por lo que se debe contar con el personal capacitado dentro de la justicia ecuatoriana para
castigar el mal uso de las TICs en conjunto con los profesionales informáticos lo que permitirá
combatir esta clase de transgresiones.

Una de las herramientas es la informática forense, ciencia criminalística que sumada al impulso
y utilización masiva de nuevas tecnologías en todos los ámbitos, está adquiriendo una gran
importancia debido a la globalización de la sociedad de la información.

La informática forense no ha sido totalmente conocida, razón por la cual su admisibilidad dentro
de un proceso judicial podría ser cuestionada, pero esto no debe ser un obstáculo para dejar de
lado esta importante clase de herramienta, debiendo ser manejada en base a rígidos principios
científicos, normas legales y procedimientos.

La aplicación de esto nos ayudará a resolver grandes crímenes apoyándose en el método
científico, aplicado a la recolección, análisis y validación de todo tipo de pruebas digitales.

El propósito de este documento es socializar sobre la informática forense, dando pautas para que
se pueda manejar delitos informáticos con la debida recuperación de evidencia digital. Además
la universidad debe aprovechar las bondades de la informática forense para realizar estudios de
seguridad, vigilar la evolución de las amenazas e identificar las tendencias de los ataques
informáticos.

OBJETIVOS

Objetivo Principal:

Recolectar evidencia digital presente en toda clase de infracciones en los Delitos
Informáticos.

Objetivos específicos:

Compensar de los daños causados por los criminales o intrusos.
Perseguir y procesar judicialmente a los criminales informáticos.
Aplicar medidas como un enfoque preventivo.

Informática Forense – Compilado por Quituisaca Samaniego Lilia 1


DESARROLLO

Generalidades

Definición:

“La informática forense es la ciencia que nos permite identificar, preservar, analizar y presentar,
evidencia digital, que pueda ser usada como evidencia dentro de un proceso legal.”

Según el FBI, la informática forense es la ciencia de adquirir, preservar, obtener y presentar
datos que han sido procesados electrónicamente y guardados en un medio computacional.

Desde 1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley
empezaron a desarrollar programas para examinar evidencia computacional.

Importancia:

La informática forense nace en vista de la necesidad del personal del derecho en poder afrontar
nuevas tareas probatorias.

Esta necesidad crea el nacimiento de los llamados detectives digitales o peritos informáticos.

Los Informáticos forenses tienen la ardua labor de realizar investigaciones en busca de
evidencia digital

Usos:

Prosecución Criminal:

Evidencia incriminatoria puede ser usada para procesar una variedad de crímenes, incluyendo
homicidios, fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía
infantil.

Litigación Civil:

Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la
informática forense.

Investigación de Seguros:

La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir
los costos de los reclamos por accidentes y compensaciones.



Temas corporativos:

Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o
apropiación de información confidencial o propietaria, o aún de espionaje industrial.

Mantenimiento de la ley:

La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en
la búsqueda de información una vez que se tiene la orden judicial para hacer la búsqueda
exhaustiva.

Investigación científica:

Academias y universidades aprovechan las bondades de la informática forense para realizar
estudios de seguridad, vigilar la evolución de las amenazas e identificar las tendencias de los
ataques informáticos, entre otros.

Usuario final:

Cada vez es más común que las personas usen herramientas de software para recuperar archivos
borrados, encriptar documentos y rastrear el origen de un correo electrónico.



Aspectos técnicos - Fases de un Análisis Forense Digital

Identificación del incidente: búsqueda y recopilación de evidencias

Una de las primeras fases del análisis forense comprende el proceso de identificación del
incidente, que lleva aparejado la búsqueda y recopilación de evidencias. Antes de comenzar una
búsqueda desesperada de señales del incidente que lo único que conlleve sea una eliminación de
“huellas”, actúe de forma metódica y profesional.

Descubrir las señales del ataque

Para iniciar una primera inspección del equipo deberá tener en mente la premisa de que debe
conservar la evidencia, no haga nada que pueda modificarla. Deberá utilizar herramientas que
no cambien los sellos de tiempo de acceso (timestamp), o provoquen modificaciones en los
archivos, y por supuesto que no borren nada.

Un inciso importante es que si no hay certeza de que las aplicaciones y utilidades de seguridad
que incorpora el Sistema Operativo, o las que se hayan instalado se mantienen intactas
deberemos utilizar otras alternativas. Piense que en muchos casos los atacantes dispondrán de
herramientas capaces de modificar la información que el administrador verá tras la ejecución de
ciertos comandos. Por ejemplo podrán ocultarse procesos o puertos TCP/UDP en uso. Cuestione
siempre la información que le proporcionen las aplicaciones instaladas en un sistema que crea
comprometido.

Recopilación de evidencias

Si está seguro de que sus sistemas informáticos han sido atacados. En este punto deberá decidir
cuál es su prioridad:

A.- Tener nuevamente operativos sus sistemas rápidamente.
B.- Realizar una investigación forense detallada.

Piense que la primera reacción de la mayoría de los administradores será la de intentar devolver
el sistema a su estado normal cuanto antes, pero esta actitud sólo hará que pierda casi todas las
evidencias que los atacantes hayan podido dejar en “la escena del crimen”, eliminando la
posibilidad de realizar un análisis forense de lo sucedido que le permita contestar a las preguntas
de ¿qué?, ¿cómo?, ¿quién?, ¿de dónde? y ¿cuándo? se comprometió el sistema, e impidiendo
incluso llevar a cabo acciones legales posteriores. Esto también puede llevarle a trabajar con un
sistema vulnerable, exponiéndolo nuevamente a otro ataque.

Documentar detalladamente todas las operaciones que realice sobre los sistemas atacados. No
escatime en la recopilación de datos incluso haga fotografías de los equipos y del entorno,
cualquier evidencia puede ser definitiva. También sería recomendable que le acompañase otra
persona durante el proceso de recopilación de evidencias, ésta actuaría como testigo de sus
acciones, así que si es alguien imparcial mejor, y si puede permitirse que le acompañe un
Notario mejor, recuerde los requisitos legales para que una evidencia pase a ser considerada
como prueba en un juicio.

Preservación de la evidencia

Aunque el primer motivo que le habrá llevado a la recopilación de evidencias sobre el incidente
sea la resolución del mismo, puede que las necesite posteriormente para iniciar un proceso



judicial contra sus atacantes y en tal caso deberá documentar de forma clara cómo ha sido
preservada la evidencia tras la recopilación. En este proceso, es imprescindible definir métodos
adecuados para el almacenamiento y etiquetado de las evidencias.

Como primer paso deberá realizar dos copias de las evidencias obtenidas, genere una suma de
comprobación de la integridad de cada copia mediante el empleo de funciones hash tales como
MD5 o SHA1. Incluya estas firmas en la etiqueta de cada copia de la evidencia sobre el propio
CD o DVD, incluya también en el etiquetado la fecha y hora de creación de la copia, nombre
cada copia, por ejemplo “COPIA A”, “COPIA B” para distinguirlas claramente del original.

Otro aspecto a tener en cuenta, y que está relacionado con el comentario anterior, es el proceso
que se conoce como la cadena de custodia, donde se establecen las responsabilidades y
controles de cada una de las personas que manipulen la evidencia. Deberá preparar un
documento en el que se registren los datos personales de todos los implicados en el proceso de
manipulación de las copias, desde que se tomaron hasta su almacenamiento.

Análisis de la evidencia

Una vez que disponemos de las evidencias digitales recopiladas y almacenadas de forma
adecuada, el Análisis Forense reconstruirá con todos los datos disponibles la línea temporal del
ataque o timeline, determinando la cadena de acontecimientos que tuvieron lugar desde el
instante inmediatamente anterior al inicio del ataque, hasta el momento de su descubrimiento.

Este análisis se dará por concluido cuando conozcamos cómo se produjo el ataque, quién o
quienes lo llevaron a cabo, bajo qué circunstancias se produjo, cuál era el objetivo del ataque,
qué daños causaron, etc.

Preparación para el análisis: El entorno de trabajo

Antes de comenzar el análisis de las evidencias deberá acondicionar un entorno de trabajo
adecuado al estudio que desee realizar. Es recomendable no tocar los discos duros originales y
trabajar con las imágenes que recopiló como evidencias, o mejor aún con una copia de éstas,
tenga en cuenta que necesitará montar esas imágenes tal cual estaban en el sistema
comprometido.

Prepare dos estaciones de trabajo, en una de ellas, que contendrá al menos dos discos duros,
instale un sistema operativo que actuará de anfitrión y que le servirá para realizar el estudio de
las evidencias. En ese mismo ordenador y sobre un segundo disco duro, vuelque las imágenes
manteniendo la estructura de particiones y del sistema de archivos tal y como estaban en el
equipo atacado. En el otro equipo instale un sistema operativo configurado exactamente igual
que el del equipo atacado, además mantenga nuevamente la misma estructura de particiones y
ficheros en sus discos duros.

Si no dispone de recursos, puede utilizar software como VMware, que le permitirá crear una
plataforma de trabajo con varias máquinas virtuales (varios equipos lógicos independientes
funcionando sobre un único equipo físico).

Reconstrucción de la secuencia temporal del ataque

El primer paso que deberá dar es crear una línea temporal de sucesos o timeline, para ello
recopile la siguiente información sobre los ficheros:



• Inodos asociados.
• Marcas de tiempo MACD (fecha y hora de modificación, acceso, creación y borrado).
• Ruta completa.
• Tamaño en bytes y tipo de fichero. • Permisos de acceso.
• Usuarios y grupos a quien pertenece. • Si fue borrado o no

Sin duda esta será la información que más tiempo le llevará recopilar, pero será el punto de
partida para su análisis, podría plantearse aquí dedicar un poco de tiempo a preparar un script
que automatizase el proceso de creación del timeline.

Para comenzar ordene los archivos por sus fechas MAC, esta primera comprobación, aunque
simple, es muy interesante pues la mayoría de los archivos tendrán la fecha de instalación del
sistema operativo, por lo que un sistema que se instaló hace meses y que fue comprometido
recientemente presentará en los ficheros nuevos, inodos y fechas MAC muy distintas a las de
los ficheros más antiguos.

La idea es buscar ficheros y directorios que han sido creados, modificados o borrados
recientemente, o instalaciones de programas posteriores a la del sistema operativo y que además
se encuentren en rutas poco comunes. Piense que la mayoría de los atacantes y sus herramientas
crearán directorios y descargarán sus “aplicaciones” en lugares donde no se suele mirar, como
por ejemplo en los directorios temporales.

Determinación de cómo se realizó el ataque

Una vez que disponga de la cadena de acontecimientos que se han producido, deberá determinar
cuál fue la vía de entrada a su sistema, averiguando qué vulnerabilidad o fallo de administración
causó el agujero de seguridad y que herramientas utilizó el atacante para aprovecharse de tal
brecha.
Estos datos, deberá obtenerlos de forma metódica, empleando una combinación de consultas a
archivos de logs, registro, claves, cuentas de usuarios, etc.

Identificación del autor o autores del incidente

La identificación de sus atacantes será de especial importancia si tiene pensado llevar a cabo
acciones legales posteriores o investigaciones internas a su organización.

Deberá realizar algunas pesquisas como parte del proceso de identificación. Primero intente
averiguar la dirección IP de su atacante, para ello revise con detenimiento los registros de
conexiones de red y los procesos y servicios que se encontraban a la escucha. También podría
encontrar esta información en fragmentos de las evidencias volátiles, la memoria virtual o
archivos temporales y borrados, como restos de e-mail, conexiones fallidas, etc.

Otro aspecto que le interesaría averiguar es el perfil de sus atacantes, aunque sin entrar en
detalles podrá encontrarse con los siguientes tipos de “tipos”:

• Hackers: Son los más populares y tienen hasta su propia película (HACKERS de Iain
Softley, 1995). Se trata de personas con conocimientos en técnicas de programación,
redes, Internet y sistemas operativos. Sus ataque suelen tener motivaciones de tipo
ideológico (pacifistas, ecologistas, anti-globalización, anti-Microsoft, etc.) o
simplemente lo consideran como un” desafío intelectual”.

• SciptKiddies: Son una nueva especie que ha saltado a la escena de la delincuencia
informática recientemente. Se trata de jóvenes que con unos conocimientos aceptables



en Internet y programación emplean herramientas ya fabricadas por otros para realizar
ataques y “ver que pasa”.

• Profesionales: Son personas con muchísimos conocimientos en lenguajes de
programación, en redes y su equipamiento (routers, firewall, etc.), Internet y sistemas
operativos tipo UNIX. Suelen realizar los ataques taques bajo encargo, por lo que su
forma de trabajar implica una exhaustiva preparación del mismo, realizando un estudio
meticuloso de todo el proceso que llevará a cabo, recopilando toda la información
posible sobre sus objetivos, se posicionará estratégicamente cerca de ellos, realizará un
tanteo con ataques en los que no modificará nada ni dejará huellas.

Evaluación del impacto causado al sistema

Para poder evaluar el impacto causado al sistema, el análisis forense le ofrece la posibilidad de
investigar qué es lo que han hecho los atacantes una vez que accedieron a sus sistemas. Esto le
permitirá evaluar el compromiso de sus equipos y realizar una estimación del impacto causado.
Generalmente se pueden dar dos tipos de ataques:

Ataques pasivos: en los que no se altera la información ni la operación normal de los sistemas,
limitándose el atacante a fisgonear por ellos.

Ataques activos: en los que se altera, y en ocasiones seriamente, tanto la información como la
capacidad de operación del sistema.

Además existen otros aspectos del ataque como los efectos negativos de tipo técnico que ha
causado el incidente, tanto inmediato como potencial. Por ejemplo ataques al cortafuegos, el
router de conexión a Internet o Intranet, el servidor Web corporativo, los servidores de bases de
datos, tendrán diferente repercusión según el tipo de servicio o negocio que preste su
organización y las relaciones de dependencia entre sus usuarios.

Documentación del incidente

Tan pronto como el incidente haya sido detectado, es muy importante comenzar a tomar notas
sobre todas las actividades que se lleven a cabo. Cada paso dado debe ser documentado y
fechado desde que se descubre el incidente hasta que finalice el proceso de análisis forense, esto
le hará ser más eficiente y efectivo al tiempo que reducirá las posibilidades de error a la hora de
gestionar el incidente. Por otro lado, cuando se haya concluido el análisis y durante éste, tendrá
que mantener informados a las personas adecuadas de la organización, por lo que será
interesante que disponga de diversos métodos de comunicación. Además, necesitará tener
preparados una serie de formularios y presentar tras la resolución del incidente al menos dos
tipos de informes uno Técnico y otro Ejecutivo.

Utilización de formularios de registro del incidente

El empleo de formularios puede ayudarle bastante en este propósito. Éstos deberán ser
rellenados por los departamentos afectados por el compromiso o por el propio equipo que
gestionará el incidente.

Alguno de los formularios que debería preparar serán:

• Documento de custodia de la evidencia.



• Formulario de identificación de equipos y componentes.
• Formulario de incidencias tipificadas.
• Formulario de publicación del incidente.
• Formulario de recogida de evidencias.
• Formulario de discos duros.

El Informe Técnico

Este informe consiste en una exposición detallada del análisis efectuado. Deberá describir en
profundidad la metodología, técnicas y hallazgos del equipo forense.

A modo de orientación, deberá contener, los siguientes puntos:

• Antecedentes del incidente.
• Recolección de los datos.
• Descripción de la evidencia.
• Entorno del análisis.
o Descripción de las herramientas.
• Análisis de la evidencia.
o Información del sistema analizado.
Características del SO.
Aplicaciones.
Servicios.
Vulnerabilidades.
Metodología.
• Descripción de los hallazgos.
o Huellas de la intrusión.
o Herramientas usadas por el atacante.
o Alcance de la intrusión.
o El origen del ataque
• Cronología de la intrusión.
• Conclusiones.
• Recomendaciones específicas.
• Referencias.

El Informe Ejecutivo

Este informe consiste en un resumen del análisis efectuado, pero empleando una explicación no
técnica, con lenguaje común, en el que se expondrá los hechos más destacables de lo ocurrido
en el sistema analizado.

Constará de pocas páginas, entre tres y cinco, y será de especial interés para exponer lo
sucedido a personal no especializado en sistemas informáticos, como pueda ser el departamento
de Recursos Humanos, Administración, e incluso algunos directivos.

En este informe deberá constar lo siguiente:

• Motivos de la intrusión.
• Desarrollo de la intrusión
• Resultados del análisis.
• Recomendaciones.



Herramientas

Tipos de herramientas forenses.

Recolección de evidencias

Existen un gran número de herramientas que se pueden utilizar para la recuperación de
evidencia, la utilización de herramientas sofisticadas es necesaria. Esto se debe a la gran
cantidad de datos que pueden estar guardados en la computadora, la gran cantidad de
extensiones y formatos con los que nos podemos encontrar dentro de un mismo sistema
operativo.

Es necesario recopilar información que sea correcta y que sea comprobable, es decir verificar
que no ha sufrido alteraciones o corrupción. Cabe aclarar que las herramientas sofisticadas nos
ayudan a disminuir los tiempos para poder analizar toda la información recopilada.

Por otro lado nos encontramos también la simplicidad con la que se pueden borrar los archivos
de la computadora como así también las distintas herramientas de encriptación y contraseñas.

Monitoreo y/o control de computadoras

Hay ocasiones en las que necesitamos saber cual ah sido la utilización que se le ah dado a la
computadora antes de que se le realice la pericia por lo tanto tenemos herramientas que
controlan que se le da ah la computadora para poder recopilar la información.

Dentro de las herramientas nos encontramos con algunas de mucha simpleza como lo es un key
logger, el cual almacena en un archivo de texto todo lo que ingresamos por el teclado. De esta
misma forma tenemos los intermedios que guardan screenshots de la pantalla que ve el usuario
observado y los de mayor complejidad que nos permiten tomar el control de la computadora en
su totalidad además de observar lo que hace el usuario.

Marcado de documentos

Una herramienta interesante es aquella que permite hacerle una marca a un documento
importante, esto es de gran utilidad si nos encontramos con un caso en el que se esta
sustrayendo información, ya que al marcar el documento se lo puede seguir y detectarlo con
facilidad.

La intención principal de la seguridad está centrada en prevenir los ataques. Nos encontramos
con algunos sitios los cuales tienen información confidencial o de mucho valor los cuales
intentan protegerse a través de mecanismos de validación. Pero lo cierto es que nada es seguro
en su totalidad siempre hay algo que se nos escapa por lo tanto debemos estar preparados para
saber actuar ante algún posible ataque.

Hardware

Debido a que el proceso de recolección de evidencia debe ser preciso y no debe modificar la
información se han diseñado varias herramientas como DIBS las cuales son las que nos
permiten poder recuperar la información sin alterar los datos. Pero seguimos teniendo el
inconveniente de que cuando encendemos la computadora se modifican los registros de la
misma.



Herramientas para realizar análisis forense

Herramientas utilizadas en el ámbito de la informática forense para la recuperación de datos
borrados o recolección de evidencia digital.

Outport: Programa que permite exportar los datos desde Outlook a otros clientes de correo
(p.e. Evolution). Probado por con Outlook 2000 y Evolution 1.0.x y 1.2.x.

AIRT (Advanced incident response tool): Conjunto de herramientas para el análisis y
respuesta ante incidentes, útiles para localizar puertas traseras.

Foremost: Utilidad para Linux que permite realizar análisis forenses. Lee de un fichero de
imagen o una partición de disco y permite extraer ficheros.

WebJob: Permite descargar un programa mediante HTTP/HTTPS y ejecutarlo en una misma
operación. La salida, en caso de haberla, puede dirigirse a stdout/stderr o a un recurso web.

HashDig: Automatiza el proceso de cálculo de los hashes MD5 y comprobación de integridad,
distinguiendo entre ficheros conocidos y no conocidos tras compararlos con una base de datos
de referencia.

Md5deep: Conjunto de programas que permiten calcular resúmenes MD5, SHA-1, SHA-256,
Tiger Whirlpool de un numero arbitrario de ficheros. Funciona sobre Windows. Linux, Cygwin,
*BSD, OS X, Solaris y seguro algunos mas.

Automated Foresic Análisis: Herramienta para análisis automatizado de volcados vfat o ntfs
compuesta por un conjunto de scripts que buscan información interesante para un análisis
forense.

Gpart: Programa que permite recuperar la tabla de particiones de un disco cuyo sector 0 este
dañado, sea incorrecto o haya sido eliminado, pudiendo escribir el resultado obtenido a un
fichero o dispositivo.

TestDisk: Programa que permite chequear y recuperar una partición eliminada. Soporta BeFS
(BeOS), BSD disklabel (FreeBSD/OpenBSD/NetBSD), CramFS (Sistema de Ficheros
Comprimido), DOS/Windows FAT12, FAT16, FAT32, HFS, JFS, Ext2, Ext3, Linux Raid,
Linux Swap (versiones 1 y 2), LVM, LVM2, Netware NSS, NTFS (Windows NT/2K/XP/2003),
ReiserFS 3.5, ReiserFS 3.6, UFS, XFS y SGI’s Journaled File System.

Dump Event Log: Herramienta de línea de comandos que vuelca el log de eventos de un
sistema local o remoto en un fichero de texto separado por tabuladores.

Fccu-docprop: Utilidad de línea de comandos que muestra las propiedades de ficheros MS
OLE como son los DOC o XLS. Utiliza la librería libgsf para obtener los meta datos.

Fccu.evtreader: Permite analizar ficheros de log de eventos de Windows.

GrokEVT: Conjunto de scripts en python que permiten analizar ficheros de registros de
eventos de Windows NT.

Event Log Parser: Script PHP que, pasándole un fichero de log de Windows, permite extraer
su contenido en un fichero de texto ASCII.



Programas para informática forense

Herramientas que permiten la recuperación de datos como así también el análisis de los
navegadores. Los programas son lo siguientes.

Srprint: Herramienta que permite volcar el contenido de los ficheros de log de la utilidad de
restauración del sistema de Windows XP. Este tipo de logs permiten averiguar la fecha de
creación y borrado de ficheros que ya no estén presentes en el sistema.

iDetect Toolkit: Utilidad que asiste a un investigador forense en el análisis de la memoria de un
sistema comprometido.

Pasco: Permite analizar los ficheros de registro de la actividad del Internet Explorer. Parsea la
información de un fichero index.dat obteniendo como resultado campos separados por
tabuladores que pueden importarse fácilmente a una hoja de cálculo.

Web Historian: Asiste en la recuperación de las URLs de los sitios almacenados en los ficheros
históricos de los navegadores mas habituales, incluyendo: MS Internet Explorer, Mozilla
Firefox, Netscape, Opera y Safari.

Rifuiti: Herramienta para el análisis forense de la información almacenada en la Papelera de
Reciclaje de un sistema Windows.

Reg Viewer: GUI en GTK 2.2 para la navegación de ficheros de registro de Windows. Es
independiente de la plataforma en que se ejecute.

RegParse: Script de perl que realiza el parseo de los datos de ficheros de registro de Windows
en crudo. Abre el fichero en modo binario y parsea la información registro a registro.

Regutils: Herramientas para la manipulación de ficheros ini y de registro de sistemas Windows
9x desde UNIX.

Allimage: Esta herramienta para Windows nos permitirá crear imágenes bit a bit de cualquier
tipo de dispositivo de almacenamiento de datos.

ProDiscover Basic Edition: Completo entorno grafico para el análisis forense de sistemas bajo
entornos Windows. Permite realizar imágenes, preservar, analizar y realizar informes de los
elementos contenidos en el dispositivo sujeto del análisis.

FTK Imagen: Herramienta que nos permitirá realizar imágenes de un dispositivo
comprometido. Entre sus características también esta la conversión entre diferentes formatos de
imagen, p.e. imagen dd a imagen de Encase, etc. Herramienta disponible de forma gratuita.
También existe una versión lite, cuya funcionalidad es más reducida.

PyFlag: Avanzada herramienta para el análisis forense de grandes volúmenes o imágenes de
log. Desarrollada en python posee una interfaz accesible mediante el navegador web. Entre sus
características posee la de integrar volatility, facilitando de esta forma el análisis de ficheros de
imagen de la memoria física de un sistema Windows.

PlainSight: Completo entorno para el análisis forense de sistemas. Se trata de un sistema Linux
que podemos ejecutar desde un CD y que contiene muchas utilidades opensource. Todavía se
encuentra en sus inicios por lo que puede resultar un proyecto muy interesante al que seguirle la
pista.



Medidas adoptadas por Ecuador, realidad procesal

Desde 1999 se puso en el tapete de la discusión el proyecto de Ley de Comercio Electrónico,
Mensajes de Datos y Firmas Electrónicas. Se conformaron comisiones para la discusión de la
Ley.

Cuando la ley se presentó en un principio, tenía una serie de falencias, que con el tiempo se
fueron puliendo, una de ellas era la parte penal de dicha ley, ya que las infracciones a la misma,
es decir los llamados Delitos Informáticos, como se les conoce, se sancionarían de conformidad
a lo dispuesto en nuestro Código Penal por lo que no se tomaba en cuenta los adelantos de la
informática y la telemática presentando inseguridad en el comercio telemático ante el posible
asedio de la criminalidad informática.

Pero en el año 2002 se aprobó un texto definitivo de la Ley de Comercio Electrónico, Mensajes
de Datos y Firmas Electrónicas, y en consecuencia las reformas al Código Penal que emitía
frente a los Delitos Informáticos.

De acuerdo a la Constitución Política del Ecuador y la reciente Reforma señala que “El
Ministerio Público prevendrá en el conocimiento de las causas, dirigirá y promoverá la
investigación pre - procesal y procesal penal”.

Ahora el problema que se advierte por parte de las instituciones llamadas a perseguir las
llamadas infracciones informáticas es la falta de preparación en el orden técnico tanto del
Miniterio Público como de la Policía Judicial, esto en razón de la falta por un lado de la
infraestructura necesaria, como centros de vigilancia computarizada, las modernas herramientas
de software y todos los demás implementos tecnológicos necesarios para la persecución de los
Delitos Informáticos, de igual manera falta la suficiente formación tanto de los Fiscales que
dirigirán la investigación como del cuerpo policial que lo auxiliara en dicha tarea, dado que no
existe hasta ahora en nuestra policía una Unidad Especializada, como existe en otro países.

Por tanto es esencial que se formen unidades Investigativas tanto policiales como del Ministerio
Público especializadas en abordar cuestiones de la delincuencia informática e informática
forense. Estas unidades pueden servir también de base tanto para una cooperación internacional
formal o una cooperación informal basada en redes transnacionales de confianza entre agentes
de aplicación de la ley.

La masificación de virus informáticos globales, la difusión de pornografía infantil e incluso
actividades terroristas son algunos ejemplos de los nuevos delitos informáticos y sus fronteras
que presentan una realidad difícil de controlar.

Con el avance de la tecnología digital, ha surgido una nueva generación de delincuentes que
expone a los gobiernos, las empresas y los individuos a estos peligros.

Debemos exigir entonces contar no solo con leyes e instrumentos eficaces y compatibles que
permitan una cooperación idónea entre los estados para luchar contra la Delincuencia
Informática, sino también con la infraestructura tanto técnica como con el recurso humano
calificado para hacerle frente a este nuevo tipo de delitos transnacionales.

Es por eso que el Ministerio Público tiene la obligación jurídica en cumplimiento de su mandato
constitucional de poseer un cuerpo especializado para combatir esta clase de criminalidad a fin
de precautelar los derechos de las víctimas y llevar a los responsables a juicio, terminando así
con una cantidad considerable de esta clase de infracciones.



El enfoque preventivo

Este enfoque nace, precisamente, como sistematización del proceso forense antes de que el
incidente ocurra, es decir, a priori, cuando podemos planificar con calma y con recursos los
pasos que vamos a dar en el tratamiento de cada tipo de incidente.

Las probabilidades de conseguir evidencias de calidad cuando establecemos una relación con el
cliente anterior al incidente aumentan de forma exponencial; porque la estructura organizativa,
las plataformas e infraestructuras de una organización se adapten para obtener las mejores
evidencias forenses.

Cabe mencionar las consecuencias en el ahorro de costos cuando la planificación de la respuesta
ha sido preventiva y no responde a necesidades de urgencia en el tratamiento de un incidente
que ya ha ocurrido y, por supuesto, es extremadamente importante poder documentar y hacer
seguimiento de todos los procesos de negocio y de sus infraestructuras asociadas.

Valoración y gestión del riesgo

La prevención forense parte de la gestión de riesgos de la organización. Contando con un
correcto mapa de activos y riesgos valorados sobre estos, podemos determinar recursos que
necesitan especial atención desde la perspectiva de seguridad.

De las matrices de valoración de activos, amenazas y vulnerabilidades, controles de mitigación
y riesgos efectivos podemos deducir tecnologías aplicables y una aproximación de coste-
inversión para una organización en particular; toda esta información puede obtenerse de la
gestión de riesgos, ya sea cuantitativa (donde aproximas impactos por costes y pérdidas
económicas) o cualitativa (con una aproximación subjetiva y no cuantificable de forma
económica). Por ejemplo, identificar un activo con un gran peso, alto impacto en la
organización y escasos controles de mitigación podría llevarnos a valorar la implantación de
sistemas avanzados de vigilancia de éste con herramientas de detección de intrusos.

Planificación

De acuerdo con el mapa de activos y riesgos podemos tomar una serie de decisiones que hagan
óptima la distribución de recursos dedicados a la práctica forense.

Así, podemos incidir en las ventajas de contar con un procedimiento detallado de respuesta a
incidentes que nos ayude a coordinar cómo queremos gestionar y responder a las situaciones de
crisis que puedan darse en el futuro.

Por supuesto, planes de continuidad, contingencia y gabinetes de crisis son también
imprescindibles en tanto que establecen los protocolos y las estrategias de recuperación en caso
de fallo. Todos estos proyectos que cubren las necesidades principales planteadas por la
organización pueden ser limitados en lo que se refiere a la recuperación de evidencias. Lo
habitual es plantear procedimientos que garanticen la continuidad de la operación y que ayuden
a responder a un incidente desde la perspectiva de la disponibilidad.

¿Qué ocurre con la preservación de la evidencia? ¿Y con la protección de los activos frente a
futuras amenazas del mismo tipo? Debemos tener presente las consecuencias derivadas de
cualquier tipo de incidente relacionado con nuestra organización.

Dedicando un esfuerzo dentro de la planificación de la respuesta a incidentes o dentro de la
gestión de la continuidad de negocio, podemos mejorar en muchos niveles nuestra dinámica de



documentación y protección de la evidencia.

Con una buena política de uso de estas evidencias podemos obtener resultados directos en la
prevención de acciones dañinas para la organización (malas prácticas, tiempos de parada, etc.) e
incluso podemos llegar a hablar de prevención de ciertos tipos de fraude detectables mediante
estas evidencias.

Ahorro de costes y rendimientos óptimos en la respuesta forense

Los presupuestos en materia seguridad cada vez son mayores en todas las organizaciones. En
empresas consideradas de baja inversión como pueden ser las tradicionales PYMES, la
orientación ha cambiado y se estima que a lo largo de los años próximos la inversión, en este
tipo de empresas va a aumentar.

En la mayor parte de los casos dedicar un leve esfuerzo en materia de prevención forense puede
reducir la potencialidad del incidente de seguridad de forma drástica. La mejor formación de los
equipos de respuesta trabajando antes de una situación de emergencia ayuda, con un coste de
inversión mínimo, a evitar situaciones de pánico, a asegurar el correcto tratamiento de un
incidente, a garantizar la calidad de las evidencias recopiladas, a conseguir una respuesta
óptima frente a todas las situaciones conocidas o previstas, y a mejorar la respuesta frente a
situaciones nuevas.

Con todo lo antes mencionado podemos hablar con cifras reales de reducción de casos de fraude
o de incidentes en función a prácticas de mejora de la respuesta forense. Si un proceso de
negocio es gestionado correctamente desde la prevención en materia forense estamos hablando
de la posibilidad de realizar un seguimiento estricto que pueda llevar a la detección de patrones
de malas prácticas, problemas que estén en marcha y a la utilización de evidencias de calidad
que previamente hemos obtenido, protegido y puesto a disposición de los responsables
pertinentes.

Futuro

Los diversos fabricantes e integradores que trabajan en el mercado tecnológico ya incluyen
dentro de sus soluciones herramientas y soluciones diversas en materia de protección de
evidencias. Incluso fabricantes especializados en herramientas forenses han desarrollado
soluciones preventivas que permiten la vigilancia ante-mortem.

Existen soluciones con altas capacidades de correlación de eventos de diferentes fuentes,
integración con diferentes soluciones de SIEM, sistemas de alerta temprana (con notificaciones
de incidentes que ocurren en otras zonas geográficas), técnicas de gestión de evidencias y todo
tipo de mejoras en infraestructuras que, hasta ahora, se planteaban como “valor añadido” pero
que, la evolución natural de los mercados, ha llevado a considerar como necesidades
particulares.

El auge de las tecnologías de virtualización que permiten, entre otras cosas, obtener copias “en
caliente” del sistema en funcionamiento o interceptar determinadas operaciones a nivel de
núcleo abren otra puerta en materia de prevención forense.

Incluso con la emergencia de aplicaciones derivadas de la filosofía del “Trusted Computing”
podemos hablar de interceptar problemas detectados por vulneraciones de la política específica
de un proceso de negocio determinado o del uso indebido de algún tipo de recurso. Podríamos
hablar de sistemas de control que mediante las trazas de auditoria y el conocimiento forense
adquirido nos permitieran bloquear intentos de fraude antes o durante de su ejecución.



CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

• La informática forense es una herramienta indispensable que toda organización debe
contemplar dentro de su política de seguridad y enmarcarla dentro del proceso de respuesta
a incidentes en los sistemas informáticos.

• Las herramientas que el mercado maneja ya están muy consolidadas y los procedimientos
en uso son aplicados por todas las empresas y expertos de estas.

• En el ámbito preventivo existen acciones dispersas dentro de otros proyectos de mayor
entidad como los planes de continuidad, contingencia y respuesta a incidentes, pero que
adolecen de cierta seguridad en lo que a requisitos forenses se refiere.

• La protección de las evidencias, firma digital de estas, controles de acceso, vigilancia y las
implicaciones legales asociadas; llevan a plantear nuevos modelos de gestión de la
seguridad.

• Incidir en el enfoque preventivo de la práctica forense para:

• Garantizar la calidad de las evidencias.

• Dar mejor gestión y control de los procesos de negocios.

• Asegurar el menor costo en la gestión anterior a un incidente sin la presión de una
situación de emergencia.

RECOMENDACIONES

• En la era de la información, en la que las tecnologías avanzan a paso agigantado, nos
encontramos con profesionales capacitados y de gran utilidad en la resolución de problemas
informáticos, pero no han sido reconocidos en muchos ámbitos de nuestra sociedad y sin
embargo son de gran utilidad, estos profesionales deben especializarse es este tipo de
herramientas que permitirán generar confianza en los juicios por Delitos Informáticos.

• La Informática forense aporta soluciones, tanto a grandes empresas como a PYMES, por lo
que éstas deben gestionar para que se realicen estudios científicos, especialmente en centros
de investigación como las Universidades.

• Se debe destacar la necesidad de aplicar metodologías y procedimientos específicos con el
fin de asegurar la garantía de calidad de las evidencias durante todo el proceso forense,
haciendo hincapié en la recopilación y custodia de las evidencias digitales.



DICCIONARIO DE TÉRMINOS

Trusted Computing.- Permitir solo la ejecución de programas firmados o validados por la
organización.

Inodo.- En informática, un inodo o (i-node en inglés) es una estructura de datos propia de los
sistemas de archivos tradicionalmente empleados en los sistemas operativos tipo UNIX como es
el caso de Linux.

Un inodo contiene las características (permisos, fechas, ubicación, pero NO el nombre) de un
archivo regular, directorio, o cualquier otro objeto que pueda contener el sistema de ficheros.

El término "inodo" refiere generalmente a inodos en discos (dispositivos en modo bloque) que
almacenan archivos regulares, directorios, y enlaces simbólicos. El concepto es particular-mente
importante para la recuperación de los sistemas de archivos dañados.

Cada inodo queda identificado por un número entero, único dentro del sistema de ficheros, y los
directorios recogen una lista de parejas formadas por un número de inodo y nombre
identiticativo que permite acceder al archivo en cuestión: cada archivo tiene un único inodo,
pero puede tener más de un nombre en distintos o incluso en el mismo directorio para facilitar
su localización.

Vigilancia ante-mortem.- Vigilancia realizada antes de que ocurra el incidente.

Vigilancia post-mortem.- Vigilancia realizada después de que ocurra el incidente.

Exploit.- Es el nombre con el que se identifica un programa informático malicioso, o parte del
programa, que trata de forzar alguna deficiencia o vulnerabilidad de otro programa.

El fin puede ser la destrucción o inhabilitación del sistema atacado, aunque normalmente se
trata de violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y
emplearlo en beneficio propio o como origen de otros ataques a terceros.

Los exploits se pueden caracterizar según las categorías de vulnerabilidades utilizadas para su
ataque.



BIBLIOGRAFÍA

FUENTE DE CONSULTA

Pablo Román Ramírez G. (2008). “Informática forense: un enfoque preventivo”. Revista ALI
Base informática ALI® ASOCIACION DE INGENIEROS E INGENIEROS TECNICOS EN
INFORMATICA • Nº 43 • 2008

Miguel López Delgado. “Análisis Forense Digital”. http://www.codemaster.es

Equipo de Investigación de Incidentes y Delitos Informáticos. “Investigaciones Digitales”.
http://www.eiidi.com

Sitios web:

• www.auditoresdesistemas.com

• www.criptored.upm.es

• www.ioce.org

• www.dfrws.org

• www.isaca.org

• www.e-fense.com

• www.opensourceforensics.org

• www.forensics-es.org

• www.securityfocus.com

Descarga de programas-herramientas:

• FTK http://www.foundstone.com

• HELIX CD http://www.e-fense.com/helix/

• F.I.R.E. Linux http://biatchux.dmzs.com



ANEXOS

A.1 Reforma Reglamento ley de comercio electrónico

A.2 Descripción de algunas herramientas reconocidas para el análisis forense

A.3 Esquema del proceso de respuesta a incidentes.



A.1 Reforma Reglamento ley de comercio electrónico

REGISTRO OFICIAL Año II -- Quito, Lunes 6 de Octubre del 2008 -- Nro. 440

FUNCION EJECUTIVA DECRETO:

1356 Expídase las reformas al Reglamento General a la Ley de Comercio Electrónico, Firmas
Electrónicas y Mensajes de Datos.

N" 1356

Rafael Correa Delgado
PRESIDENTE CONSTITUCIONAL
DE LA REPUBLICA

Considerando:

Que, mediante Ley No. 67, publicada en el Suplementó del Registro Oficial No. 577 de 17 de abril del
2002 se expidió la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos;

Que, mediante Decreto No. 3496, publicado en el Registro Oficial 735 de 31 de julio del 2002 se
expidió el Reglamento General a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de
Datos;

Que, de conformidad con lo dispuesto en el artículo 37 de la Ley de Comercio Electrónico, Firmas
Electrónicas y Mensajes de Datos, el Consejo Nacional de Telecomunicaciones "CONATEL", es el
organismo de autorización, registro y regulación de las Entidades de Certificación de Información y
Servicios Relacionados Acreditadas;

Que, de conformidad con lo dispuesto en el artículo innumerado 4 del artículo 10 de la Ley Especial
de Telecomunicaciones reformada, la Secretaría Nacional de Telecomunicaciones "SENATEL", es el
organismo de ejecución del CONATEL;

Que, la Disposición General Séptima de la Ley No. 67, señala que: "La prestación de servicios de
certificación de información por parte de Entidades de Certificación de Información y Servicios
Relacionados Acreditadas, requerirá de autorización previa y registro:

Que, la Disposición General Octava de la Ley No. 67 señala que "El ejercicio de actividades
establecidas en esta ley, por parte de instituciones públicas o privadas, no requerirá de nuevos
requisitos o requisitos adicionales a los va establecidos, para garantizar la eficiencia técnica y
seguridad jurídica de los procedimiento e instrumentos empleados. ";
Que. es necesario armonizar el régimen de acreditación de Entidades de Certificación de Información
y Servicios Relacionados a fin de que guarden concordancia con lo dispuesto en la Ley No. 67;
Que, es prioridad del Estado Ecuatoriano que empresas unipersonales o personas jurídicas de derecho
público o privado, previa acreditación del CONATEL, en calidad de Entidades de Certificación de
Información y Servicios Relacionados Acreditadas, emitan certificados de firma electrónica y puedan
prestar otros servicios relacionados, permitiendo así el ejercicio de las actividades previstas en la Ley
No. 67; y,
Que. es necesario promover políticas que susciten y fortalezcan el desarrollo y aplicación efectiva del
comercio electrónico.

En ejercicio de la facultad prevista en el artículo 171 numeral 5 de la Constitución Política de la
República,

Decreta:

Expedir las siguientes REFORMAS AL REGLAMENTO GENERAL A LA LEY DE COMERCIO ELECTRÓNICO,
FIRMAS ELECTRONICAS Y MENSAJES DE DATOS.



Art. 1.- Reemplazar en el segundo inciso del apartado b) del artículo 15 las palabras "o la Entidad de
registro" por "o el tercero vinculado".

Art. 2.- Sustituir el artículo 16 por el siguiente: "Sin perjuicio de la reglamentación que emita el
CONATEL, para la aplicación del artículo 28 de la Ley No. 67, los certificados de firma electrónica
emitidos en el extranjero tendrán validez legal en el Ecuador una vez obtenida la . revalidación
respectiva por una Entidad de Certificación de Información y Servicios Relacionados Acreditada ante
el CONATEL, la cual deberá comprobar el grado de fiabilidad de dichos certificados y de quien los
emite ".

Art. 3.- Sustituir el inciso segundo del artículo 17 por el siguiente: "Los certificados de firma
electrónica emitidos y revalidados por las Entidades de Certificación de Información y Servicios
Relacionados Acreditadas por el CONATEL, tienen carácter probatorio".

Art. 4.- Agregar a continuación del artículo 17, los siguientes artículos:

"
Art. ... Registro Público Nacional de Entidades de Certificación de Información y
Servicios Relacionados Acreditadas y terceros vinculados: "Se crea el Registro Público
Nacional de Entidades de Certificación de Información y Servicios Relacionados Acreditadas y
terceros vinculados, a cargo de la Secretaría Nacional de Telecomunicaciones. El CONATEL
emitirá la reglamentación que permita su organización y funcionamiento."

"Art.... Acreditación: La acreditación como Entidad de Certificación de Información y Servicios
Relacionados, consistirá en un acto administrativo emitido por el CONATE!. a través de una
resolución la que será inscrita en el Registro Público Nacional de Entidades de Certificación de
Información y Servicios Relacionados Acreditadas y terceros vinculados.

El plazo de duración de la acreditación será de 10 años renovables por igual período, previa
solicitud escrita presentada a la Secretaria Nacional de Telecomunicaciones con tres meses de
anticipación al vencimiento del plazo, siempre y cuando la Entidad de Certificación de
Información y Servicios Relacionados Acreditada haya cumplido con sus obligaciones legales y
reglamentarias, así como las que consten en la resolución de acreditación.

La acreditación como Entidad de Certificación de Información y Servicios Relacionados
comprende el derecho para la instalación, modificación ampliación y operación de la
infraestructura requerida para tal fin y estará sujeta al pago de valores, los que serán fijados
por el CONATEL.

"Art. ... Requisitos para la Acreditación: El peticionario de una acreditación como Entidad
de Certificación de Información y Servicios Relacionados, deberá presentar los siguientes
documentos:

a) Solicitud dirigida a la Secretaria Nacional de Telecomunicaciones, detallando nombres y
apellidos completos del representante legal, dirección domiciliaria de la empresa
unipersonal o compañía;

b) Copia de la cédula de ciudadanía del representante legal o pasaporte según corresponda;

c) Copia del certificado de votación del último proceso eleccionario (correspondiente al
representante legal, excepto cuando se trate de ciudadanos extranjeros);
d) Copia certificada e inscrita en el Registro Mercantil (excepto las instituciones públicas) del
nombramiento del representante legal;
e) Copia certificada debidamente registrada en el Registro Mercantil, de la escritura de constitución de
la empresa unipersonal o compañía y reformas en caso de haber/as (excepto las instituciones
públicas);
f) Original del certificado de cumplimiento de , obligaciones emitido por la Superintendencia de
Compañías o Bancos y Seguros según corresponda, a excepción de las instituciones del Estado;

g) Diagrama esquemático y descripción técnica detallada de la infraestructura a ser utilizada,
indicando las características técnicas de la misma;



h) Descripción detallada de cada servicio propuesto y de los recursos e infraestructura disponibles
para su prestación. La SENATEL podrá ordenar inspecciones o verificaciones a las instalaciones del
peticionario cuando lo considere necesario;

i) Documentos de soporte que confirmen que se disponen de mecanismos de seguridad para evitar la
falsificación de certificados, precautelar la integridad, resguardo de documentos, protección contra
siniestros, control de acceso y confidencialidad durante la generación de claves, descripción de
sistemas de seguridad, estándares de seguridad, sistemas de respaldo;

j) Ubicación geográfica inicial, especificando la dirección de cada nodo o sitio seguro;

k) Diagrama técnico detallado de cada "Nodo" o "Sitio Seguro" detallando especificaciones técnicas de
los equipos;

l) Información que demuestre la capacidad económica y financiera para la prestación de servicios de
certificación de información y servicios relacionados;

m) En caso de solicitud de renovación de la acreditación y de acuerdo con los procedimientos que señale
el CONATEL, deberán incluirse los requisitos de carácter técnico, la certificación de cumplimiento de
obligaciones por parte de la Superintendencia de Telecomunicaciones, en la que constará el detalle
de imposición de sanciones, en caso de haber/as y el informe de cumplimiento de obligaciones por
parte de la Secretaria Nacional de Telecomunicaciones"

"Art. ... Procedimiento de Acreditación: La solicitud acompañada de todos los requisitos
establecidos será presentada ante la Secretaría Nacional de Telecomunicaciones, la que dentro del
término de tres días procederá a publicar un extracto de la misma en su página WEB institucional.

Dentro del término de 15 días contados desde la fecha de presentación de la solicitud, la SENATEL
remitirá al CONATEL los informes técnico, legal y económico--financiero en base a la documentación
presentada.
El CONATEL, dentro del término dé 15 días resolverá el otorgamiento de la acreditación. Copia
certificada de la resolución de acreditación será remitida a la Secretaría Nacional de
Telecomunicaciones dentro del término de dos días, a fin de que ésta dentro del término de cinco días,
previo el pago por parte del solicitante, de los valores que el CONATEL haya establecido para el efecto,
realice la inscripción en el Registro Público Nacional de Entidades de Certificación de Información y
Servicios Relacionados Acreditadas y terceros vinculados y efectúe la notificación al peticionario.

En el evento de que el peticionario no cancele los valores correspondientes por la acreditación dentro del
término de 15 días, el acto administrativo quedará sin efecto automáticamente y la Secretaría Nacional
de Telecomunicaciones procederá al archivo del trámite".

"Art. ... Contenido mínimo de la Acreditación: La resolución de acreditación para la prestación e
servicios de certificación de Información contendrá al menos lo siguiente:

a) Descripción de los servicios autorizados;
b) Características técnicas y legales relativas a la operación de los servicios de certificación de
información y servicios relacionados autorizados;
c) Obligaciones y responsabilidades de las Entidades de Certificación de Información y Servicios
Relacionados de acuerdo a lo establecido en la Ley de Comercio Electrónico, Firmas Electrónicas y
Mensajes de Datos;
d) Procedimientos para garantizar la protección de los usuarios aún en caso de extinción de la
acreditación; y,

e) Causales de extinción de la acreditación".

"
Art. ... Operación: Una vez otorgada y registrada la acreditación, la Entidad de Certificación de
Información y Servicios relacionados dispondrá del plazo de seis (6) meses para iniciar la operación.
Vencido dicho plazo la Superintendencia de Telecomunicaciones informará a la Secretaría Nacional de
Telecomunicaciones si el titular de la acreditación ha incumplido con esta disposición, en cuyo caso se
extinguirá la resolución de acreditación. La Entidad de Certificación de Información y Servicios
Relacionados podrá pedir, por una sola vez, la ampliación del plazo para iniciar operaciones mediante
solicitud motivada. Dicha ampliación, de concederse, no podrá exceder de 90 días calendario."

Art. ... Extinción de la acreditación: La acreditación se extinguirá por las siguientes causas:



a) Terminación del plazo para la cual fue emitida:
b) Incumplimiento de las obligaciones por parte de la Entidad de Certificación de Información y
Servicios Relacionados Acreditada;

c) Por resolución motivada del CONATEL, por causas técnicas o legales debidamente comprobadas,
incluyendo la presentación de información falsa o alteraciones para aparentar cumplir los
requisitos exigidos, así como la prestación de servicios o realizar actividades distintas a las
señaladas en la acreditación;
d) Cese temporal o definitivo de operaciones de la Entidad Acreditada por cualquier causa; y,

e) Por las causas previstas en el Estatuto del Régimen Jurídico Administrativo de la Función
Ejecutiva.

Una vez extinguida la acreditación el CONATEL podrá adoptar las medidas administrativas, judiciales
y extrajudiciales que considere necesarias para garantizar la protección de la información de los
usuarios y el ejercicio de los derechos adquiridos por estos."

"Art ... Terceros Vinculados: Con sujeción al artículo 33 de la Ley. No. 67, la Prestación de
Servicios ele Certificación de información podrá ser proporcionada por un tercero vinculado
contractualmente con una Entidad de Certificación de información v Servicios Relacionados
Acreditada ante el CONATEL: para lo cual el tercero vinculado deberá presentar la documentación
que justifique la vinculación. La Secretaria Nacional de Telecomunicaciones analizará que la
documentación que presente el peticionario corresponda a la que establece el presente Reglamento y
si cumple con todos los requisitos procederá con el registro correspondiente. El plazo de duración del
registro será igual al plazo de duración de la relación contractual del tercero vinculado con la Entidad
de Certificación de Información y Servicios Relacionados. En todos los casos, la responsabilidad en la
prestación de los servicios, será de la Entidad de Certificación de Información y Servicios
Relacionados Acreditada ante el CONATEL"

"Art. Procedimiento de Registro de los terceros vinculados.- El registro de terceros vinculados
consiste en una razón o marginación realizada por la Secretaría Nacional de Telecomunicaciones.

Las solicitudes de registro de terceros vinculados con las Entidades de Certificación de Información y
Servicios Relacionados Acreditadas, deberán estar acompañadas de los siguientes documentos y
requisitos:

a) Solicitud dirigida a la Secretaria Nacional de Telecomunicaciones, detallando nombres y apellidos
completos del representante legal, dirección domiciliaria de la empresa unipersonal o compañía;

b) Copia de la cédula de ciudadanía del representante legal o pasaporte según corresponda;

c) Copia del certificado de votación del último proceso eleccionario (correspondiente al representante
legal, excepto cuando se trate de ciudadanos extranjeros),

d) Copia certificada e inscrita en el Registro Mercantil (excepto instituciones públicas) del
nombramiento del representante legal;
e) Copia certificada debidamente inscrita en el Registro Mercantil, de la escritura de constitución
de la empresa unipersonal o compañía y reformas en caso de haberlas, excepto para instituciones
públicas;
f) Original del certificado de cumplimiento de obligaciones emitido por la Superintendencia de
Compañías o Bancos y Seguros según corresponda, a excepción de instituciones del Estado;

g) Documentos que certifiquen la relación contractual con la Entidad de Certificación de
Información y Servicios Relacionados Acreditada;

h) Descripción de los servicios a prestar en calidad de tercero vinculado.

En todos los casos, el documento de relación contractual deberá establecer claramente las
responsabilidades legales de cada una de las partes ante los usuarios y autoridades competentes.

La Secretaría Nacional de Telecomunicaciones, entregará al peticionarlo el certificado de registro
dentro del término de 15 días contados desde la fecha de presentación de la solicitud, previo el pago
de los valores establecidos por el CONA TEL."



"Art. ... Modificaciones: Las modificaciones de las características técnicas de operación o prestación
de los servicios, así como de la variedad o modalidad de los mismos, que no alteren el objeto de la
acreditación, requerirán de notificación escrita a la Secretaría Nacional de Telecomunicaciones y de la
aprobación de esta.

Cuando la modificación incluya la prestación de servicios adicionales a los autorizados, la Entidad de
Certificación de Información y Servicios Relacionados deberá cancelar el valor establecido para tal
efecto."

"Art. ... Recursos Administrativos: Los actos administrativos que emitan el CONATEL y la SE.NATEL,
están sometidos a las normas, recursos y reclamaciones del Estatuto del Régimen Jurídico
Administrativo de la Función Ejecutiva. "

".Art. ... Acreditación para Entidades del Estado: Las instituciones del Estado señaladas en el
artículo 118 de la Constitución Política de la República, de acuerdo a lo señalado en la disposición
general Octava de la Ley 67, podrán prestar servicios como Entidades de Certificación de Información
y Servicios Relacionados, previa Resolución emitida por el CONATEL.

Las instituciones públicas obtendrán certificados de firma electrónica, únicamente de las Entidades de
Certificación de Información y Servicios Relacionados Acreditadas, de derecho público."

"Art.... Garantía de Responsabilidad: De conformidad con lo dispuesto en el apartado h) del
artículo 30 de la Ley No. 67, las Entidades de Certificación de información y, Servicios Relacionados
Acreditadas deberán contar con una garantía de responsabilidad para asegurar a los usuarios el pago
de los daños y perjuicios ocasionados por el incumplimiento de las obligaciones. Esta garantía será
incondicional, irrevocable y de cobro inmediato y podrá consistir en pólizas de seguro de
responsabilidad previstas en el artículo 43 de la Codificación de la Ley General de Seguros u otro tipo
de garantías que están autorizadas conforme lo dispuesto en el artículo 51, letra c) de la Ley General
de Instituciones del Sistema Financiero.

Como parámetros iniciales se establecen:

a) Para el primer año de operaciones, la Entidad de Certificación de Información y Servicios
Relacionados Acreditada, deberá contratar y mantener, a favor de la Secretaría Nacional de
Telecomunicaciones, una garantía de responsabilidad para asegurar a los usuarios el pago de los
daños y perjuicios ocasionados por el posible incumplimiento de las obligaciones, cuyo monto será
igual o mayor a cuatrocientos mil dólares de los Estados Unidos de América (U.SD $ 400.000,00). En
el contrato de prestación de servicios que suscriba la Entidad de Certificación de información con los
usuarios, se deberá incluir una cláusula relacionada con los aspectos de esta garantía, tales como:
monto asignado a cada usuario, mecanismos de reclamación y restitución de valores".

b) Para el segundo año de operaciones y hasta la finalización del plazo de la acreditación, la Entidad de
Certificación de Información y Servicios Relacionados Acreditada deberá contratar a favor de la
Secretaría Nacional de Telecomunicaciones, una garantía, cuyo monto estará en función de un valor
base de garantía por certificado y que será determinado por el CONATEL.

En la regulación que emita el CONATEL para establecer el valor base de garantía de responsabilidad por
certificado, se considerará la evolución del mercado y la protección de los derechos de los usuarios,
observando lo dispuesto en el artículo 31 de la Ley. No. 67.

La Entidad de Certificación de Información y Servicios Relacionados Acreditada quedará exenta de
responsabilidad por daños y perjuicios cuando el usuario exceda los límites de uso indicados en el
certificado.

La Entidad de Certificación de Información y Servicios Relacionados Acreditada, previo al inicio de las
operaciones, remitirán a la Secretaría Nacional de Telecomunicaciones, a satisfacción de ésta, el original
de la garantía. Asimismo, durante el plazo de vigencia de la acreditación dichas Entidades remitirán a la
Secretaría Nacional de Telecomunicaciones, hasta el 31 de enero de cada año, el original de la garantía
mencionada en el apartado b) del presente artículo.

"Art.... Procedimiento de ejecución de la Garantía de Responsabilidad: Cuando el usuario de una
Entidad de Certificación de Información y Servicios Relacionados Acreditada considere que ha existido
incumplimiento en la prestación del servicio que le haya ocasionado daños y perjuicios, este podrá
presentar a la Secretaría Nacional de Telecomunicaciones, hasta en el término de 15 días contados
desde que se produjo el incumplimiento, una solicitud motivada a fin de que esta:

a) A l amparo de lo dispuesto en el artículo 31 de la Ley No. 67, ponga en conocimiento de la Entidad
de Certificación de Información y Servicios Relacionados el reclamo formulado y solicite que



dentro del término perentorio de 5 días, presente sus descargos o en su defecto reconozca el
incumplimiento.

b) Vencido el término señalado en el numeral anterior, la Secretaría Nacional de
Telecomunicaciones con o sin la presentación de los descargos respectivos por parte de la
Entidad de Certificación y Servicios Relacionados Acreditada, dentro del término de cinco días,
resolverá sobre la procedencia del reclamo formulado por el usuario, el que de ser estimado total
o parcialmente dará lugar a que disponga a la compañía aseguradora o institución financiera la
ejecución parcial de la garantía de responsabilidad por el monto de los daños y perjuicios
causados, los que no podrán reconocerse por un valor superior al pactado en el contrato del
usuario. Sin perjuicio de lo anterior, el usuario podrá considerar el inicio de las acciones que
estime pertinentes en contra de la Entidad de Certificación de Información y Servicios
Relacionados, por los daños y perjuicios no cubiertos por la garantía de responsabilidad.

"Art. ... Control: La Superintendencia de Telecomunicaciones realizará los controles necesarios a las
Entidades de Certificación de Información y Servicios Relacionados así como a los Terceros
Vinculados, con el objeto de garantizar el cumplimiento de la normativa vigente y de los términos y
condiciones de autorización y registro.

Supervisará e inspeccionará en cualquier momento las instalaciones de los prestadores de dichos
servicios, para lo cual deberán brindar todas las facilidades y proporcionar la información necesaria
para cumplir con tal fin; de no hacerlo estarán sujetos a las sanciones de ley.

Art. 5.- Sustituir en el primer y segundo inciso del artículo 18, las palabras "o de la Entidad de
registro" por "o del tercero vinculado" y "de la Entidad de registro" por "del tercero vinculado" y
agregar a continuación del mismo lo siguiente:

"La Entidad de Certificación de Información y Servicios Relacionados Acreditada no podrá ceder o
transferir total ni parcialmente los derechos o deberes derivados de la acreditación.

Es responsabilidad de las Entidades de Certificación de Información y Servicios Relacionados
Acreditadas emitir certificados únicos. Cada certificado deberá contener un identificador exclusivo
que lo distinga de forma unívoca ante el resto y solo podrán emitir certificados vinculados a
personas naturales mayores de edad, con plena capacidad de obrar. Está prohibida la emisión de
certificados de prueba o demostración.

El formato de los contratos que las Entidades .de Certificación de Información y Servicios
Relacionados suscriban con los usuarios, deberán ser remitidos a la Secretaría Nacional de
Telecomunicaciones, previo al inicio de operaciones o cuando dicho formato sea modificado".

Disposición Transitoria: Los trámites pendientes relacionados con la acreditación como Entidades de
Certificación de Información y Servicios Relacionados deberán adecuarse a lo dispuesto en este
decreto.

Artículo Final.- Las reformas al presente reglamento entrarán en vigencia a partir de su publicación en
el Registro Oficial.

Dado en el Palacio Nacional, en San Francisco de Quito, el día de hoy 29 de septiembre del 2008.

f.) Rafael Correa Delgado, Presidente Constitucional de la República.

Es fiel copia del original.- Lo certifico.

f.) Abg. Oscar Pico Solórzano, Subsecretario General de la Administración Pública.



A. 2 Herramientas más conocidas para el análisis forense

Autopsy Forensic Browser

Es una herramienta que esta basada en línea de comandos del Sleuth Kit. La unión de estas
herramientas las cuales están instaladas en un servidor utilizando un sistema basado en una
plataforma Unix los cuales conformar una completa herramienta forense la solamente necesita
de un sistema operativo y un browser para poder hacer uso de la misma. Otro punto destacable
es que puede analizarse tanto una computadora con Windows como con Unix ya que soporta
sistemas de archivos como NTFS, FAT, UFS1/2 y Ext2/3.

El funcionamiento esta basado principalmente en una buena práctica forense basándose en un
análisis muerto y uno vivo. En el caso del muerto se hace la investigación desde otro sistema
operativo y con el sistema en cuestión a investigar sin cargar. Por lo tanto los datos que
obtendremos serán referidos a la integridad de los archivos, logs del sistema, la estructura que
tienen los ficheros y los elementos que han sido borrados.

En el caso del vivo se analiza el sistema en cuestión cuando éste esta en funcionamiento por lo
que se analizan ficheros, procesos, memoria, etc luego de que se confirma que hay evidencia se
puede adquirir el sistema a través de una imagen por lo que se puede realizar a posteriori un
análisis de sistema muerto.

Esta herramienta forense puede brindarnos evidencia a través de:

Listado del archivo: Nos ofrece un análisis de los archivos, los directorios e incluye los nombres
de archivos que se han eliminado.

El contenido de archivos: Nos permite observar el formato raw, hex y/o ASCII. Una vez que se
descifran los datos, se procede a desinfectar la autopsia para evitar que los datos se corrompan.

Bases de datos de Hash: Los archivos son catalogados como benignos o malignos para el
sistema apoyándose en la biblioteca de referencia del software NIST y las bases de datos que
fueron creadas por el usuario.

Clasificación de tipos de archivo por extensiones: Agrupa los archivos basándose en sus firmas
internas para reconocer extensiones conocidas. La autopsia también puede extraer solamente
imágenes gráficas y comparar el tipo de archivo para poder identificar si en los archivos se han
modificado las extensiones para ocultarlos.

Línea de tiempo de la actividad del archivo: Esto es bastante útil para poder tener en cuenta que
es lo que se ah hecho con el archivo es decir cuando ah sido movido, modificado o incluso
borrado. Esto resulta de gran ayuda cuando se tienen muchos archivos y no se sabe bien que es
lo que se esta buscando debido a que si notamos un gran interés por el usuario sobre un archivo
es por que algo tiene que tener de importancia y que puede servir de evidencia.

Búsqueda de palabra clave: a través de la secuencia de ASCII y expresiones regulares se pueden
realizar la búsqueda de palabras que sirvan para encontrar evidencia en la computadora. Esta
búsqueda se puede efectuar sobre una imagen completa del sistema de archivos.

Análisis de los meta datos: Los meta datos tienen la información sobre los archivos y
directorios. Esta herramienta nos permite tener una visión de los detalles de cualquier estructura



de los meta datos de los ficheros. Lo cual es de suma importancia a la hora de recuperar los
datos que fueron eliminados.

Detalles de la imagen: Con esta opción podemos observar con detenimiento los ficheros
llegando al punto de poder conocer cual era la ubicación en el disco y las fechas de actividad.

Gerencia del Caso: Las investigaciones son organizadas por casos, que pueden contener uno o
más anfitriones. Cada anfitrión se configura para tener su propia posición, ajuste de reloj y de
zona horaria de modo que los tiempos examinados sean iguales a los del usuario original. Cada
anfitrión puede contener unas o más imágenes del sistema de ficheros para analizar.

Secuenciador de acontecimientos: Los ataques se pueden obtener desde el log de un IDS. Esta
herramienta califica los ataques para poder identificar de manera más simple como ocurrió la
secuencia de los ataques.

Notas: Las notas se pueden clasificar en una base de datos organizados por anfitrión y
investigador. Esto permite hacer notas rápidas sobre archivos y estructuras.

Integridad de imagen: Es vital corroborar que los datos que estamos analizando no están
corruptos ni han sido modificados para que tengan veracidad las evidencias encontradas.

Informes: La herramienta puede crear los informes para los archivos y otras estructuras del
sistema de ficheros.

Registros: Los registros de la intervención se crean en un caso, un anfitrión, y un nivel del
investigador para poder recordar fácilmente las acciones y los comandos ejecutados.

The Forensic ToolKit

Se trata de una colección de herramientas forenses para plataformas Windows, creado por el
equipo de Foundstone.

Este ToolKit le permitirá recopilar información sobre el ataque, y se compone de una serie
aplicaciones en línea de comandos que permiten generar diversos informes y estadísticas del
sistema de archivos a estudiar. Para poder utilizarlos deberá disponer de un intérprete de
comandos como cmd.exe.

Comando Función

afind Realiza búsqueda de archivos por su tiempo de acceso, sin modificar la
información de acceso al mismo.
hfind
Busca archivos ocultos en el Sistema Operativo.
Busca flujos de datos ocultos en el disco duro, éstos son distintos de los
sfind archivos ocultos y no aparecerán con herramientas normales del sistema
operativo. Su importancia radica en que pueden usarse para ocultar datos o
software dañino.
filestat Ofrece una lista completa de los atributos del archivo que se le pase
como argumento (uno cada vez).
hunt Permite obtener información sobre un sistema que utiliza las opciones de sesión
NULL, tal como usuarios, recursos compartidos y servicios.



HELIX CD

Se trata de un Live CD de respuesta ante incidentes, basado en una distribución Linux
denominada Knoppix (que a su vez está basada en Debian). Posee la mayoría de las
herramientas necesarias para realizar un análisis forense tanto de equipos como de imágenes de
discos.

Este CD ofrece dos modos de funcionamiento, tras ejecutarlo nos permitirá elegir entre arrancar
un entorno MS Windows o uno tipo Linux. En el primero de ellos disponemos de un entorno
con un conjunto de herramientas, casi 90 Mb, que nos permitirá principalmente interactuar con
sistemas “vivos”, pudiendo recuperar la información volátil del sistema.

En el arranque Linux, disponemos de un Sistema Operativo completo, con un núcleo
modificado para conseguir una excelente detección de hardware, no realiza el montaje de
particiones swap, ni ninguna otra operación sobre el disco duro del equipo sobre el que se
arranque. Es ideal para el análisis de equipos “muertos”, sin que se modifiquen las evidencias
pues montará los discos que encuentre en el sistema en modo sólo lectura.

Además de los comandos de análisis propios de los entornos UNIX/Linux, se han incorporado
una lista realmente interesante de herramientas y ToolKits, alguno de ellos comentados
anteriormente como el Sleuth Kit y Autopsy.

F.I.R.E. Linux

Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y análisis
forense, compuesto por una distribución Linux a la que se le han añadido una serie de utilidades
de seguridad, junto con un interfaz gráfico que hace realmente fácil su uso.

Al igual que el kit anterior, por su forma de montar los discos no realiza ninguna modificación
sobre los equipos en los que se ejecute, por lo que puede ser utilizado con seguridad. Este live
CD está creado y mantenido por William Salusky y puede descargarse gratuitamente desde la
dirección http://biatchux.dmzs.com.

En esta distribución podrá disponer de una serie de funcionalidades que le aportará muchas
ventajas en su análisis, entre las que cabe destacar:

• Recolección de datos de un sistema informático comprometido y hacer un análisis forense.

• Chequear la existencia de virus o malware en general desde un entorno fiable. Posibilidad
de realización de test de penetración y vulnerabilidad. Recuperación datos de particiones
dañadas.

• Las herramientas que posee F.I.R.E son conocidas y muy recomendables, aunque sin entrar
en detalles sobre cada una de ellas, podrá encontrar las siguientes:

• Nessus, nmap, whisker, hping2, hunt, fragrouter. Ethereal, Snort, tcpdump, ettercap,
dsniff, airsnort. Chkrootkit, F-Prot.
• TCT, Autopsy.
• Testdisk, fdisk, gpart.
• SSH (cliente y servidor), VNC (cliente y servido)
• Mozilla, ircII, mc, Perl, biew, fenris, pgp.



A.3 Esquema del proceso de respuesta a incidentes.

Fuente: “Una Propuesta Metodológica y su Aplicación en The Sleuth Kit y EnCase Descargar en
disco”. Octubre de 2005.


Informatica Forense

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie Informatica Forense

Ähnlich wie Informatica Forense (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

Informatica Forense