Investigación de Delitos Computacionales e Informáticos

Instituto de Criminalística y
Capacitación “HANS GROSS”
Jornadas de
Criminalística
Cibernética
Alonso Eduardo Caballero Quezada
http://alonsocaballero.informatizate.net
ReYDeS@gmail.com
Sábado 17 de Noviembre del 2007
Trujillo - Perú

Alonso Eduardo Caballero Quezada / “HANS GROSS” 2007
Temario
* Indicios binarios y la evidencia digital. Concepto y
características.
* Metodología para identificación, preservación,
análisis y presentación de la evidencia digital en los
procesos judiciales.
* Rastreo de Correos electrónicos & Mensajes de Texto
en la telefonía Celular

Realidad Mundial

Indicios binarios y la
evidencia digital.
Concepto y
características.

Indicios binarios y la evidencia digital.
Concepto y características.
¿Qué es el Sistema Binario?
El sistema binario, en matemáticas, es un sistema de
numeración en el que los números se representan
utilizando solamente las cifras cero y uno (0 y 1).
Los ordenadores trabajan internamente con dos
niveles de voltaje, por lo que su sistema de
numeración natural es el sistema binario (encendido
1, apagado 0).

¿Qué es el Sistema Binario?

¿Qué es una señal digital?
Los sistemas digitales, como por ejemplo el
ordenador, usan lógica de dos estados representados
por dos niveles de tensión eléctrica, uno alto, H y otro
bajo, L (de High y Low, respectivamente, en inglés).
Por abstracción, dichos estados se sustituyen por
ceros y unos, lo que facilita la aplicación de la lógica y
la aritmética binaria.

¿Como esta constituida una computadora
digital?

El almacenamiento en las computadoras

Almacenamiento Primario

Almacenamiento Secundario

¿Qué es la Evidencia Digital?
Información de valor probatorio que es almacenado o
transmitido de manera digital, que una de las partes
en una corte puede utilizar como prueba.

Evidencia Digital
Los criminales están utilizando la tecnología para
facilitar sus accciones y evitar su captura. Esto crea
retos para los abogados, jueces, examinadores
forenses y agentes.
Existe un un aspecto positivo en el uso de tecnología
por los criminales – El involucrar computadoras en los
crímenes da como resultado una abundancia de
evidencia digital que puede ser utilizado para atrapar
o perseguir a los atacantes.

Evidencia Digital
CSI 2007
Computer Crime and
Security Survey
Cantidad de dólares
perdidos por tipo
de ataque.
$ 66 930 950

¿Que se permite utilizar como evidencia digital?
* Correos electrónicos
* Fotografías digitales
* Registro de transacciones en ATM
* Documentos de procesamiento de palabras
* Historial de mensajería instantanea
* Archivos guardados de programas contables
* Hojas de cálculo
* Historial del navegador de internet
* etc.

¿En que tipo de investigaciones puede ser
utilizada la evidencia digital?
*En los detallados anteriormente &
*Homicidios
*Ofensas sexuales
*Personas desaparecidas
*Abuso de menores
*Entrega de drogas
*etc.

Metodología para
identificación,
preservación, análisis y
y presentación de la
evidencia digital.

Metodología para identificación, preservación,
análisis y presentación de la evidencia digital.
¿Informática Forense ó Cómputo Forense?
¿Qué es un Cómputo?
La obtención de una solución o resultado (sentido
matemático), a partir de ciertos datos o entradas
utilizando para ello un proceso o algoritmo.
¿Qué es la informática?
Disciplina que estudia el tratamiento automático de la
información utilizando dispositivos electrónicos y
sistemas computacionales. “Procesamiento de
información en forma automática”.

¿Qué es Cómputo Forense?
(1) Es la investigación y técnicas de análisis de
computadoras que involucran la identificación,
preservación, extracción, documentación, e
interpretación de datos de computadoras para
determinar evidencia legal.
(2) Es la aplicación de las técnicas de la ciencia
forense a material de cómputo. Es el proceso de
indentificar, preservar, analizar y presentar evidencia
digital de una manera que sea aceptable en un
proceso legal.

Metodología
El objetivo del cómputo forense es obtener la verdad.
Tareas básicas presentes en toda investigación
forense.
* Identificación de la evidencia
* Preservación de la evidencia
* Análisis de la evidencia
* Presentación de la evidencia

Identificación de la evidencia
La primera tarea que se necesita realizar es identificar
la evidencia necesaria para el caso.:
Hardware Físico:
Teclado, Mouse (Ratón), Touchpad, CD-ROM DVD
Drive, Case de laptop, Escáners, PDA, Controladores
de Juego, Unidades de almacenamiento (Cds/DVDs,
cintas, floppys).
Verificar conexión a red. (WAP)

Identificación de la evidencia
Medios removibles:
Discos Flexibles, Zip disk, Cintas
magnéticas, Cds y DVDs, USB drives,
Tarjetas de memoria.
Documentos:
Contraseñas, Código de cifrado, URL, Direcciones IP,
direcciones de e-mail, número de teléfono, nombres,
direcciones, nombres de archivos, directorios de
descarga, subidos, de trabajo.

Preservación de la evidencia
El objetivo principal es asegurar que no se ha
realizado ningún cambio desde que la evidencia fué
recolectada.
* ¿Desenchufar o “apagar” el sistema?
* Una Fuente de poder es necesaria (PDAs)
* Proporcionar evidencia en su estado inicial.

¿Qué es un Hash?
Se refiere a una función o método para generar claves
que representen de manera casi unívoca a un
documento, registro, archivo, etc., resumir o
identificar un dato a través de la probabilidad,
utilizando una función hash o algoritmo hash. Un hash
es el resultado de dicha función o algoritmo.

Estado de la preservación de la evidencia
1. Montar el medio sospechoso en modo solo lectura
2. Calcular el hash MD5 para todo el dispositivo.
3. Crear una copia bit – bit del medio.
4. Desmontar el medio y retornarlo al reciento de
evidencias.
Se deben tomar precauciones
extras para proteger el medio y
el hash original.

Análisis de la evidencia
¿El hash de la copia concuerda con el hash original?
Se debe de desarrollar un sentido de donde buscar
primero, y poseer los conocimientos técnicos para
extraer la información.
Saber donde buscar
No toda la evidencia es clara y disponible facilmente.
El tipo de evidencia depende del objetivo de la
investigación.

Algunos tipos de herramientas necesarias en el
proceso del análisis de la evidencia:
* Visores
* Verificadores de extensión
* Herramientas de recuperación
* Herramientas de búsqueda
Nos enfrentamos a un “mar de datos”.

EnCASE - $3600 standar / $2850 Government

The Sleuth Kit / Autopsy - $0 Software Libre

Presentación de la evidencia
* Conocer a la Audiencia
Hacer nuestra tarea
Leer el reciento
Apuntar a los objetivos
* Organización de la presentación
* Mantener simplicidad
Método KISS “keep it simple, stupid”.

Presentación de la evidencia

Arrestado por una Fotografía digital

¿Servicios sexuales de adolescentes en Trujillo?

¿Cómo se puede obtener “demasiada”
información de una imagen?
¿EXIF?
Exchangeable Image File Format, es una
especificación para formatos de archivos de
imagen usados por las cámaras digitales. La
especificación usa los formatos JPEF, TIFF y
RIFF, a los que agrega TAGS específicos de
metadatos.
Fecha Hora
Configuración de la cámara
Información de localización proviene de un GPS
conectado a la cámara
Información del Copyright

¿Cómo se puede obtener “demasiada”
información de una imagen?

Rastreo de correos
electrónicos &
mensajes de texto
en telefonía celular

Rastreo de correos
electrónicos

Rastreo de correos electrónicos & mensajes de
texto en telefonía celular.
¿Como funciona el correo electrónico?
Conceptos Previos
MTA: Mail Transport Agent (Agente de Transporte de
Correo) Programa de cómputo para transferir correo.
MUA: Mail User Agent (Agente de correo del usuario)
Programa de computadora utilizado para manejar
correo.
MDA: Mail delivery Agent (Agente de entrega de
correo) Software que entrega mensajes después de
haber sido aceptados por el servidor.

¿Como funciona el correo electrónico?

¿Cómo se rastrea un correo electrónico?
Conceptos Previos
¿Qué es una Dirección IP?
Una dirección IP es un número que identifica de
manera lógica y jerárquica a una interfaz de un
dispositivo (una computadora) dentro de una red que
utilice el protocolo IP.
A través de internet, las computadoras se conectan
entre sí mediantes sus respectivas direcciones IP.

¿Cómo se rastrea un correo electrónico?

¿Cómo obtengo información de una dirección IP?

¿Cómo dificultar el rastreo de un correo
electrónico?
* Utilizando Servidores de correo que permitan “relay”
* Utilizando un puente de varios servidores para
ocultar la verdadera direccón IP.
* Utilizando aplicaciones con fallas que permitan ser
explotadas para enviar correo.
* Utilizando Cabinas publicas.
* Utilizando proxys, o redes de anonimato.
* Utilizando cuentas de “one way” un solo uso.
* “Imaginación”

Rastreo en
telefonía celular

¿Que puedes hacer con un teléfono celular?
* Guardar información de contáctos
* Mantener apuntes o recordatorios
* Utilizarlo como una simple calculadora matemática
* Enviar y recibir correo electrónico
* Obtener información; clima, noticias, de internet
* Jugar, escuchar música
* Enviar mensajes de texto
* “Y tambíen hacer llamadas”

¿Qué es la telefonía celular?
Está formada basicamente por: Una red de
comunicaciones (red de telefonía móvil) y los
terminales (teléfonos móviles).
La Red de telefonía móvil consiste en un sistema
telefónico en el que la combinación de una red de
estaciones transmisoras/receptoras de radio
(estaciones base) y una serie de centrales telefónicas
de conmutación, se posibilita la comunicación entre
terminales telefónicos móviles (teléfonos móviles).

¿Cómo funciona la red de telefonia móvil?

¿Cómo se realiza la triangulación?

¿Cómo se realiza interceptación de
celulares?
*Interceptación de
comunicaciones GSM.
*Intercepta llamadas de
otro paises.
*Intercepta SMS, Fax y también e-mail
*Versión estándar puede interceptar 4
canales en full duplex, es decir 4
comunicaciones simultaneas.

Cómputo Forense en dispostivos móviles.
¿Qué es tarjeta SIM?
Módulo de Identificación del subscriptor, es una
tarjeta inteligente desmontable usada en teléfonos
celulares.
Tarjeta SIM con aplicaciones adicionales tienen
capacidades de 16KB 32Kb hasta 512KB.

¿Qué es la IMEI?
Indentidad Internacional del equipo celular, en un
código pregrabado en los teléfonos GSM: Esto
identifica al aparato a nivel mundial y es transmitido
al conectarse a la red.
La empresa operadora puede usar el IMEI para
verificar el estado del aparato mediante una base de
datos denominada EIR (Registro de identidad del
equipo).

Ejemplo de la adquisición de un IMEI
Los datos lógicos en bruto adquiridos de un teléfono o
SIM están codificados de manera no convencional
como un texto en alfabeto GSM de 7bit, y difíciles de
interpretar.

¿Qué Software se utiliza? Lector Forense de
Tarjetas

¿Qué se utiliza? Software Integrado

¿Qué se utiliza? Obtención de celulares
Números de serie IME, IMSI, llamadas marcadas,
recibidas, libreta de dirección, (en handset y SIM),
SMS borrados, imagenes, videos, etc etc etc.

Muchas Gracias
por su atención...
Alonso Eduardo Caballero Quezada
http://alonsocaballero.informatizate.net
ReYDeS@gmail.com
Noviembre, 2007
Trujillo - Perú

Investigación de Delitos Computacionales e Informáticos

Recomendados

Recomendados

Más contenido relacionado

Similar a Investigación de Delitos Computacionales e Informáticos

Similar a Investigación de Delitos Computacionales e Informáticos (20)

Más de Alonso Caballero

Más de Alonso Caballero (20)

Último

Último (15)

Investigación de Delitos Computacionales e Informáticos