Investigación de Delitos Computacionales e Informáticos
1. Instituto de Criminalística y
Capacitación “HANS GROSS”
Jornadas de
Criminalística
Cibernética
Alonso Eduardo Caballero Quezada
http://alonsocaballero.informatizate.net
ReYDeS@gmail.com
Sábado 17 de Noviembre del 2007
Trujillo - Perú
2. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Temario
* Indicios binarios y la evidencia digital. Concepto y
características.
* Metodología para identificación, preservación,
análisis y presentación de la evidencia digital en los
procesos judiciales.
* Rastreo de Correos electrónicos & Mensajes de Texto
en la telefonía Celular
10. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la
evidencia digital.
Concepto y
características.
11. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
¿Qué es el Sistema Binario?
El sistema binario, en matemáticas, es un sistema de
numeración en el que los números se representan
utilizando solamente las cifras cero y uno (0 y 1).
Los ordenadores trabajan internamente con dos
niveles de voltaje, por lo que su sistema de
numeración natural es el sistema binario (encendido
1, apagado 0).
12. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
¿Qué es el Sistema Binario?
13. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
¿Qué es una señal digital?
Los sistemas digitales, como por ejemplo el
ordenador, usan lógica de dos estados representados
por dos niveles de tensión eléctrica, uno alto, H y otro
bajo, L (de High y Low, respectivamente, en inglés).
Por abstracción, dichos estados se sustituyen por
ceros y unos, lo que facilita la aplicación de la lógica y
la aritmética binaria.
14. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
¿Como esta constituida una computadora
digital?
15. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
El almacenamiento en las computadoras
16. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
El almacenamiento en las computadoras
17. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
El almacenamiento en las computadoras
Almacenamiento Primario
18. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
El almacenamiento en las computadoras
Almacenamiento Secundario
19. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
¿Qué es la Evidencia Digital?
Información de valor probatorio que es almacenado o
transmitido de manera digital, que una de las partes
en una corte puede utilizar como prueba.
20. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
Evidencia Digital
Los criminales están utilizando la tecnología para
facilitar sus accciones y evitar su captura. Esto crea
retos para los abogados, jueces, examinadores
forenses y agentes.
Existe un un aspecto positivo en el uso de tecnología
por los criminales – El involucrar computadoras en los
crímenes da como resultado una abundancia de
evidencia digital que puede ser utilizado para atrapar
o perseguir a los atacantes.
21. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
Evidencia Digital
CSI 2007
Computer Crime and
Security Survey
Cantidad de dólares
perdidos por tipo
de ataque.
$ 66 930 950
22. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
¿Que se permite utilizar como evidencia digital?
* Correos electrónicos
* Fotografías digitales
* Registro de transacciones en ATM
* Documentos de procesamiento de palabras
* Historial de mensajería instantanea
* Archivos guardados de programas contables
* Hojas de cálculo
* Historial del navegador de internet
* etc.
23. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Indicios binarios y la evidencia digital.
Concepto y características.
¿En que tipo de investigaciones puede ser
utilizada la evidencia digital?
*En los detallados anteriormente &
*Homicidios
*Ofensas sexuales
*Personas desaparecidas
*Abuso de menores
*Entrega de drogas
*etc.
24. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para
identificación,
preservación, análisis y
y presentación de la
evidencia digital.
25. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
¿Informática Forense ó Cómputo Forense?
¿Qué es un Cómputo?
La obtención de una solución o resultado (sentido
matemático), a partir de ciertos datos o entradas
utilizando para ello un proceso o algoritmo.
¿Qué es la informática?
Disciplina que estudia el tratamiento automático de la
información utilizando dispositivos electrónicos y
sistemas computacionales. “Procesamiento de
información en forma automática”.
26. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
¿Qué es Cómputo Forense?
(1) Es la investigación y técnicas de análisis de
computadoras que involucran la identificación,
preservación, extracción, documentación, e
interpretación de datos de computadoras para
determinar evidencia legal.
(2) Es la aplicación de las técnicas de la ciencia
forense a material de cómputo. Es el proceso de
indentificar, preservar, analizar y presentar evidencia
digital de una manera que sea aceptable en un
proceso legal.
27. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Metodología
El objetivo del cómputo forense es obtener la verdad.
Tareas básicas presentes en toda investigación
forense.
* Identificación de la evidencia
* Preservación de la evidencia
* Análisis de la evidencia
* Presentación de la evidencia
28. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Identificación de la evidencia
La primera tarea que se necesita realizar es identificar
la evidencia necesaria para el caso.:
Hardware Físico:
Teclado, Mouse (Ratón), Touchpad, CD-ROM DVD
Drive, Case de laptop, Escáners, PDA, Controladores
de Juego, Unidades de almacenamiento (Cds/DVDs,
cintas, floppys).
Verificar conexión a red. (WAP)
29. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Identificación de la evidencia
Medios removibles:
Discos Flexibles, Zip disk, Cintas
magnéticas, Cds y DVDs, USB drives,
Tarjetas de memoria.
Documentos:
Contraseñas, Código de cifrado, URL, Direcciones IP,
direcciones de e-mail, número de teléfono, nombres,
direcciones, nombres de archivos, directorios de
descarga, subidos, de trabajo.
30. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Preservación de la evidencia
El objetivo principal es asegurar que no se ha
realizado ningún cambio desde que la evidencia fué
recolectada.
* ¿Desenchufar o “apagar” el sistema?
* Una Fuente de poder es necesaria (PDAs)
* Proporcionar evidencia en su estado inicial.
31. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Preservación de la evidencia
¿Qué es un Hash?
Se refiere a una función o método para generar claves
que representen de manera casi unívoca a un
documento, registro, archivo, etc., resumir o
identificar un dato a través de la probabilidad,
utilizando una función hash o algoritmo hash. Un hash
es el resultado de dicha función o algoritmo.
32. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Preservación de la evidencia
Estado de la preservación de la evidencia
1. Montar el medio sospechoso en modo solo lectura
2. Calcular el hash MD5 para todo el dispositivo.
3. Crear una copia bit – bit del medio.
4. Desmontar el medio y retornarlo al reciento de
evidencias.
Se deben tomar precauciones
extras para proteger el medio y
el hash original.
33. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Análisis de la evidencia
¿El hash de la copia concuerda con el hash original?
Se debe de desarrollar un sentido de donde buscar
primero, y poseer los conocimientos técnicos para
extraer la información.
Saber donde buscar
No toda la evidencia es clara y disponible facilmente.
El tipo de evidencia depende del objetivo de la
investigación.
34. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Análisis de la evidencia
Algunos tipos de herramientas necesarias en el
proceso del análisis de la evidencia:
* Visores
* Verificadores de extensión
* Herramientas de recuperación
* Herramientas de búsqueda
Nos enfrentamos a un “mar de datos”.
35. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Análisis de la evidencia
EnCASE - $3600 standar / $2850 Government
36. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Análisis de la evidencia
The Sleuth Kit / Autopsy - $0 Software Libre
37. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Presentación de la evidencia
* Conocer a la Audiencia
Hacer nuestra tarea
Leer el reciento
Apuntar a los objetivos
* Organización de la presentación
* Mantener simplicidad
Método KISS “keep it simple, stupid”.
38. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Presentación de la evidencia
39. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
Presentación de la evidencia
41. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
¿Servicios sexuales de adolescentes en Trujillo?
42. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
¿Cómo se puede obtener “demasiada”
información de una imagen?
¿EXIF?
Exchangeable Image File Format, es una
especificación para formatos de archivos de
imagen usados por las cámaras digitales. La
especificación usa los formatos JPEF, TIFF y
RIFF, a los que agrega TAGS específicos de
metadatos.
Fecha Hora
Configuración de la cámara
Información de localización proviene de un GPS
conectado a la cámara
Información del Copyright
43. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
¿Cómo se puede obtener “demasiada”
información de una imagen?
44. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
¿Cómo se puede obtener “demasiada”
información de una imagen?
45. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos
electrónicos &
mensajes de texto
en telefonía celular
47. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Como funciona el correo electrónico?
Conceptos Previos
MTA: Mail Transport Agent (Agente de Transporte de
Correo) Programa de cómputo para transferir correo.
MUA: Mail User Agent (Agente de correo del usuario)
Programa de computadora utilizado para manejar
correo.
MDA: Mail delivery Agent (Agente de entrega de
correo) Software que entrega mensajes después de
haber sido aceptados por el servidor.
48. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Como funciona el correo electrónico?
49. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Cómo se rastrea un correo electrónico?
Conceptos Previos
¿Qué es una Dirección IP?
Una dirección IP es un número que identifica de
manera lógica y jerárquica a una interfaz de un
dispositivo (una computadora) dentro de una red que
utilice el protocolo IP.
A través de internet, las computadoras se conectan
entre sí mediantes sus respectivas direcciones IP.
50. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Cómo se rastrea un correo electrónico?
51. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Cómo obtengo información de una dirección IP?
52. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Cómo dificultar el rastreo de un correo
electrónico?
* Utilizando Servidores de correo que permitan “relay”
* Utilizando un puente de varios servidores para
ocultar la verdadera direccón IP.
* Utilizando aplicaciones con fallas que permitan ser
explotadas para enviar correo.
* Utilizando Cabinas publicas.
* Utilizando proxys, o redes de anonimato.
* Utilizando cuentas de “one way” un solo uso.
* “Imaginación”
54. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Que puedes hacer con un teléfono celular?
* Guardar información de contáctos
* Mantener apuntes o recordatorios
* Utilizarlo como una simple calculadora matemática
* Enviar y recibir correo electrónico
* Obtener información; clima, noticias, de internet
* Jugar, escuchar música
* Enviar mensajes de texto
* “Y tambíen hacer llamadas”
55. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Qué es la telefonía celular?
Está formada basicamente por: Una red de
comunicaciones (red de telefonía móvil) y los
terminales (teléfonos móviles).
La Red de telefonía móvil consiste en un sistema
telefónico en el que la combinación de una red de
estaciones transmisoras/receptoras de radio
(estaciones base) y una serie de centrales telefónicas
de conmutación, se posibilita la comunicación entre
terminales telefónicos móviles (teléfonos móviles).
56. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Cómo funciona la red de telefonia móvil?
57. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Cómo se realiza la triangulación?
58. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Cómo se realiza interceptación de
celulares?
*Interceptación de
comunicaciones GSM.
*Intercepta llamadas de
otro paises.
*Intercepta SMS, Fax y también e-mail
*Versión estándar puede interceptar 4
canales en full duplex, es decir 4
comunicaciones simultaneas.
59. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
¿Qué es tarjeta SIM?
Módulo de Identificación del subscriptor, es una
tarjeta inteligente desmontable usada en teléfonos
celulares.
Tarjeta SIM con aplicaciones adicionales tienen
capacidades de 16KB 32Kb hasta 512KB.
60. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
¿Qué es la IMEI?
Indentidad Internacional del equipo celular, en un
código pregrabado en los teléfonos GSM: Esto
identifica al aparato a nivel mundial y es transmitido
al conectarse a la red.
La empresa operadora puede usar el IMEI para
verificar el estado del aparato mediante una base de
datos denominada EIR (Registro de identidad del
equipo).
61. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
Ejemplo de la adquisición de un IMEI
Los datos lógicos en bruto adquiridos de un teléfono o
SIM están codificados de manera no convencional
como un texto en alfabeto GSM de 7bit, y difíciles de
interpretar.
62. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
¿Qué Software se utiliza? Lector Forense de
Tarjetas
63. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
¿Qué se utiliza? Software Integrado
64. Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
Cómputo Forense en dispostivos móviles.
¿Qué se utiliza? Obtención de celulares
Números de serie IME, IMSI, llamadas marcadas,
recibidas, libreta de dirección, (en handset y SIM),
SMS borrados, imagenes, videos, etc etc etc.
65. Muchas Gracias
por su atención...
Alonso Eduardo Caballero Quezada
http://alonsocaballero.informatizate.net
ReYDeS@gmail.com
Noviembre, 2007
Trujillo - Perú