1. CASO 001
CAMILA ANDREA GÓMEZ RIVEROS
YESIKA MARCELA IMBACHI GUZMAN
INSTRUCTOR:
CARLOS ALBERTO BRAVO ZUÑIGA
SERVICIO NACIONAL DE APRENDIZAJE -SENA-
CENTRO DE GESTIÓN Y DESARROLLO SOSTENIBLE SURCOLOMBIANO
PITALITO- HUILA
ADSI: 1613696
2018
2. INTRODUCCIÓN
La Informática forense es una nueva disciplina dedicada a la recolección de
pruebas digitales desde una máquina computacional para fines judiciales mediante
la aplicación de técnicas de análisis y de investigación.
En el siguiente informe se va a llevar a cabo una investigación de un caso en el cual
se levantó una denuncia por robo de información. Tema primordial del anterior caso
es la pérdida de información que se llevó a cabo en la empresa Cuatro Ruedas la
cual es muy importante. Con base en lo anterior se pretende realizar una exhaustiva
investigación y poder recuperar la misma, teniendo en cuenta el relato del caso, los
testimonios y las evidencias.
3. CASO 001.
El Sr. Pepito Perez de la empresa CUATRO RUEDAS dedicada a la distribución al
por mayor de repuestos para vehículos, detectó el día 30 de Septiembre del 2014
que un archivo de Excel que se encontraba alojado en el computador PC microtorre
G1 200 HP que sirve como host de almacenamiento central de su oficina ya no
existe. Este archivo contiene información muy delicada de proveedores y clientes de
la empresa.
Comenta el Sr. Pérez, que el día 25 de ese mes despidió a un empleado que laboró
normalmente hasta su salida acordada que fue el 29 de Septiembre del 2014 y al
día siguiente de su salida ya no estaba la información.
Nos comenta que sospecha de esta persona ya que ha visto trabajando al ex
empleado en una empresa similar que ha puesto su hermano. El Sr Pérez levantó
una denuncia de robo de información, llevando el caso a la justicia.
LÍNEA DE INVESTIGACIÓN DEL CASO ANTES DE COMENZAR LA
INVESTIGACIÓN
4. Contextualizar de manera sistemática las fases 1 y 2 de la informática forense.
1- FASE DE IDENTIFICACIÓN
Etapa 1: Levantamiento de información inicial para el Análisis Forense
Descripción Del Delito Informático
● Fecha del incidente : 29 de Septiembre del 2014
● Duración del incidente : Un día
● Detalles del incidente : Robo de archivo excel que contenía información de
proveedores y clientes de la empresa
Información General
● Área : Sistema
● Nombre de la dependencia : centro computo
● Responsable del sistema afectado : Pepito Perez
● Nombres y Apellidos: Pepito Perez
● Cargo : Administrador
● E-mail : pepito10@gmail.com
● Teléfono : 83690
● Extensión : 083
● Celular : 3204852147
Información Sobre El Equipo Afectado
● Dirección IP: No establecido.
● Nombre del equipo: PC microtorre
● Marca y modelo: G1 200 HP
● Capacidad de la RAM : No establecido.
● Capacidad del disco duro: No establecido.
● Modelo del procesador: No establecido.
● Sistema operativo (nombre y versión):
● Función del equipo:host
5. ● Tipo de información procesada por el equipo: Bases de datos sobre
proveedores y clientes.
Etapa 2: asegurar la escena
El equipo de informática forense debe estar en capacidad de desarrollar.
1- Observe y establezca los parámetros de la escena del delito: El primero
en llegar a la escena, debe establecer si el delito está todavía en progreso,
luego tiene que tomar nota de las características físicas del área circundante.
Para el Manual de Manejo de Evidencias Digitales y Entornos Informáticos
Manual de Manejo de Evidencias Digitales y Entornos Informáticos
investigadores forenses esta etapa debe ser extendida a todo sistema de
información y de red que se encuentre dentro de la escena. En estos casos
dicho sistema o red pueden ser blancos de un inminente o actual ataque
como por ejemplo uno de denegación de servicio (DoS).
2- Inicie las medidas de seguridad: El objetivo principal en toda investigación
es la seguridad de los investigadores y de la escena. Si uno observa y
establece en una condición insegura dentro de una escena del delito, debe
tomar las medidas necesarias para mitigar dicha situación. Se deben tomar
las acciones necesarias a fin de evitar riesgos eléctricos, químicos o
biológicos, de igual forma cualquier actividad criminal.
3- Facilite los primeros auxilios: Siempre se deben tomar las medidas
adecuadas para precautelar la vida de las posibles víctimas del delito, el
objetivo es brindar el cuidado médico adecuado por el personal de
emergencias y el preservar las evidencias.
4- Asegure físicamente la escena: Esta etapa es crucial durante una
investigación, se debe retirar de la escena del delito a todas las personas
extrañas a la misma, el objetivo principal es el prevenir el acceso no
autorizado de personal a la escena, evitando así la contaminación de la
evidencia o su posible alteración.
6. 5- Asegure físicamente las evidencias: Este paso es muy importante a fin de
mantener la cadena de custodia de las evidencias, se debe guardar y
etiquetar cada una de ellas. En este caso se aplican los principios y la
metodología correspondiente a la recolección de evidencias de una forma
práctica. Esta recolección debe ser realizada por personal entrenado en
manejar, guardar y etiquetar evidencias.
6- Entregar la escena del delito: Después de que se han cumplido todas las
etapas anteriores, la escena puede ser entregada a las autoridades que se
harán cargo de la misma. Esta situación será diferente en cada caso, ya que
por ejemplo en un caso penal será a la Policía Judicial o al Ministerio Público;
en un caso corporativo a los Administradores del Sistema. Lo esencial de
esta etapa es verificar que todas las evidencias del caso se hayan recogido y
almacenado de forma correcta, y que los sistemas y redes comprometidos
pueden volver a su normal operación.
7- Elaborar la documentación de la explotación de la escena: Es
Indispensable para los investigadores documentar cada una de las etapas de
este proceso, a fin de tener una completa bitácora de los hechos sucedidos
durante la explotación de la escena del delito, las evidencias encontradas y
su posible relación
FASE 2: VALIDACIÓN Y PRESERVACIÓN.
Etapa 1: Copias de la evidencia.
Se deben realizar dos copias de las evidencias obtenidas y comprobarlas, la
información se encontraba almacenada en los discos duros, por este motivo se
procedió a extraerlos del dispositivo PC microtorre G1 200 HP y ser utilizados como
evidencia. Por último podemos Incluimos firmas en las etiquetas de cada copia de la
evidencia y sobre el propio medio de almacenamiento; las cuales contenían fecha y
hora de la extracción del equipo.
Herramientas para el análisis de discos duros
7. AccessData Forensic ToolKit (FTK)
Guidance Software EnCase
Kit Electrónico de Transferencia de datos.
Etapa 2: Cadena de custodia.
Se procederá a garantizar la autenticidad de los elementos materiales de prueba
recolectados y examinados, para el control de la custodia, se llevará una
investigación con un riguroso control a través de un registro documental donde
estarán registradas todas y cada una de las personas que manipulen las evidencias
hasta su almacenamiento se indicará que estos elementos de prueba se
mantendrán en lugar seguro y protegidos, sin que puedan tener acceso a ellos
personas no autorizadas.
SEGÚN LA LEY 1273 DEL 2009, PODEMOS CLASIFICAR DE MANERA
CONCRETA ESTE DELITO DE LA SIGUIENTE MANERA:
Según la Ley 1273 de 2009 Protección de la Información y de los Datos en
Colombia, este delito lo podemos tipificar como lo describe el Artículo 269D el cual
identifica el delito de Daño informático. El cual quiere decir que lo ocurrido es que
la persona borro ilegalmente un archivo de vital importancia para la empresa, debido
a esto el ex empleado podría incurrir en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales
mensuales vigentes, esto dependerá del daño que le produzca a la empresa
CUATRO RUEDAS.
LA LEY 1273 DEL 5 DE ENERO DEL 2009
Si vemos los parámetros que están dentro de la ley 1273 del 2009 Protección de la
información y datos; en nuestro país y sus respectivos artículos contenidos dentro
de esta ley, vemos que se cometió en el caso que estamos investigando las
siguientes faltas:
Utilización indebida de información privilegiada, según artículo 258; Se presentó
filtración por parte de personal interno con el fin de obtener beneficio propio o
remuneración alguna por parte de la competencia con el fin de obtener información
confidencial, la misma se pudo realizar por correo electrónico o medios extraíbles.
Acceso abusivo a un sistema informático, según el artículo 269ª; ya que el
empleado que despidió el señor Pepito Pérez, accedió de manera ilegal al sistema,
ya que no tenía los privilegios para acceder al sistema y hacer operaciones sobre
este.
8. Este empleado el delito cometido la violación de datos personales, artículo 269F
que nos indica que la persona que no está autorizada para vender, intercambiar
ofrecer o divulgar datos personales de otra persona u organización contenidos en
archivos, bases de datos, ficheros o similares para beneficio de este o de terceros,
ya que es de conocimiento de la empresa CUATRO RUEDAS.
9. CONCLUSIONES
● Se obtuvo conocimiento y se aplicaron las normas legales que tipifican el
delito informático mediante el uso adecuado de las técnicas de la informática
forense.
● Con las indicaciones dadas por el señor Pepito Pérez se pude dar una
hipótesis de que el ex empleado es potencialmente el culpable de la pérdida
de este archivo de vital importancia para la empresa.