SlideShare ist ein Scribd-Unternehmen logo

Recolección evidencia digital

Francisco Medina
Francisco Medina

El documento describe los principios y metodologías para la recolección y tratamiento de evidencia digital. Explica que la evidencia digital incluye cualquier información encontrada en un sistema que pueda aportar datos para un análisis forense posterior. También describe los tipos de investigación forense digital, incluyendo el trabajo de campo y la investigación en un ambiente controlado de laboratorio. Finalmente, detalla los elementos, herramientas y dispositivos necesarios para realizar una investigación forense digital en el lugar de los hechos.

Bildung
1 von 44
Downloaden Sie, um offline zu lesen
Inform´atica Forense Tema 2. Evidencia digital Francisco Medina L´opez — paco.medina@comunidad.unam.mx http://aulavirtual.capacitacionentics.com Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2016-2
1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
¿Qu´e es la evidencia digital? Una de las primeras fases del an´alisis forense comprende el proceso de identificaci´on del incidente, que lleva de la mano la b´usqueda y recopilaci´on de evidencias. Definici´on La evidencia es cualquier informaci´on contrastable encontrada en un sistema. Son los hechos encontrados, por lo tanto la evidencia digital es toda aquella informaci´on electr´onica que pueda aportar alg´un dato para el an´alisis forense digital posterior. La Adquisici´on de la evidencia digital inicia cuando la informaci´on y/o dispositivos relacionados son colectados y almacenados para realizar un an´alisis forense.
Ejemplos de evidencia digital • Fecha de ´ultimo acceso de un archivo o aplicaci´on. • Un registro de acceso de un archivo. • Una cookie de navegaci´on web almacenada en un disco duro. • El uptime o tiempo que lleva sin apagarse un sistema. • Un archivo almacenado en un disco duro. • Un proceso en ejecuci´on. • Archivos temporales. • Restos de la instalaci´on de un programa. • Un disco duro, una unidad USB de almacenamiento u otro dispositivo de almacenamiento.
1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
RFC 3227 I Al momento de recolectar las evidencias digitales hay que seguir ciertos procedimientos para que este proceso sea eficiente y ´util. El documento RFC 32271 recoge las recomendaciones sobre las pautas que un administrador debe seguir a la hora de obtener las evidencias en un sistema. En ´el se tratan los siguientes aspectos: • Principios para la recolecci´on de evidencias. Realizar un an´alisis forense debe ser tomado como un proyecto delicado y como tal deben ser cumplidos ciertos prerequisitos. • Orden de volatilidad. Al momento de recolectar las evidencias de un sistema no toda tienen el mismo orden de volatilidad. El concepto de volatilidad de evidencia est´a marcado por el marco temporal en el que es posible acceder a una evidencia. As´ı, el contenido de un DVD ser´a menos vol´atil que el contenido de la memoria RAM o los datos almacenado en la memoria de una impresora.
RFC 3227 II • Acciones que deben ser evitadas. Hay acciones que invalidan un proceso de an´alisis forense t´ecnicamente hablando o para su utilizaci´on como prueba en una causa legal. Hay que tomar ciertas precauciones para que las evidencias sigan siendo v´alidas. • Consideraciones relativas a la privacidad de los datos. En un proceso de an´alisis forense pueden estar implicados datos sujetos a otras leyes de privacidad que deben ser mantenidas con la seguridad y privacidad que exija el marco lega. • Consideraciones legales. Para que un proceso de an´alisis forense sea ´util en un proceso legal deben tomarse precauciones. Adem´as, la legislaci´on es diferente dependiendo del pa´ıs, as´ı que puede suceder que un proceso de an´alisis forense sea admitido como prueba en un juicio y no en otro.
RFC 3227 III • Procedimientos de recolecci´on. Recolectar la informaci´on lo m´as puramente posible, con la menor perdida de informaci´on. La ejecuci´on de un comando en el sistema puede hacer que se borren p´aginas de memoria que conten´ıan informaci´on de un proceso de inter´es. • Transparencia. Es recomendable utilizar t´ecnicas y herramientas transparentes que permitan conocer exactamente como se est´an tratando las evidencias. Hay que evitar el uso de herramientas y procedimientos de los que no se conozcan completamente qu´e est´an haciendo con la informaci´on. Podr´ıa llevar a conclusiones err´oneas. • Cadena de custodia de la informaci´on. En todo momento se debe poder constatar qui´en entrega la informaci´on y qui´en es el responsable de la custodia de la misma de manera que pueda ser posible conocer el flujo de la misma desde su recolecci´on hasta su utilizaci´on como prueba.
RFC 3227 IV • Metodolog´ıa de almacenamiento de evidencias. Almacenar las evidencias es tambi´en una labor importante. Utilizar almacenamiento que puedan tener un tiempo de vida menor al necesario para que termine el proceso judicial podr´ıa llevar a un problema, pero tambi´en almacenar las evidencias en sistemas de los que no se ha podido probar su seguridad, lo que llevar´ıa a que fueran invalidadas las evidencias encontradas. 1 https://www.ietf.org/rfc/rfc3227.txt
Forensic Examination of Digital Evidence I Con fundamento el documento Forensic Examination of Digital Evidence: A Guide for Law Enforcement 2 se desprenden los principales puntos que hay que observar para la recolecci´on de la posible evidencia que ser´a presentada ante un juez: 1 En la recolecci´on de indicios no se debe alterar bajo ninguna circunstancia la posible evidencia, salvo previa autorizaci´on por parte del agente del Ministerio P´ublico de la Federaci´on, quien deber´a dar fe de todas y cada uno de los procedimientos realizados por el personal pericial. 2 S´olo un profesional forense acreditado tendr´a acceso a indicios digitales originales. 3 Toda la actividad relacionada con la recolecci´on, acceso, almacenamiento y transferencia de la posible evidencia digital deber´a ser documentada, preservada y permanecer disponible para su revisi´on.
Forensic Examination of Digital Evidence II 4 Un individuo es responsable de todas las acciones con respecto al tratamiento de la posible evidencia digital mientras ´esta se encuentra bajo su resguardo. 5 Toda agencia responsable de recolectar posible evidencia digital deber´a cumplir con los principios antes mencionados. 2 https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
Tipos de investigaci´on forense digital Antes de proceder al an´alisis y tratamiento de manera directa con la posible evidencia, es necesario distinguir dos tipos de vertientes en relaci´on a la investigaci´on forense en TIC’s: 1 Trabajo de campo o investigaci´on en el lugar de los hechos. 2 Investigaci´on en ambiente controlado o trabajo de Laboratorio.
Trabajo de campo o investigaci´on en el lugar de los hechos El Perito Criminalista en Tecnolog´ıas de la Informaci´on y Comunicaciones debe tomar en cuenta los siguientes puntos al momento de realizar una investigaci´on en el lugar de los hechos: 1 Antes de llevar a cabo una instrucci´on ministerial en el lugar de los hechos 2 Fijaci´on del lugar de los hechos. 3 Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas 4 Embalaje de probables evidencias. 5 Aplicaci´on del formato de cadena de custodia.
Antes de llevar a cabo una instruccion ministerial • Una vez COMPRENDIDO el planteamiento del problema y ante la posibilidad impl´ıcita de la diversidad de elementos, dispositivos, computadoras y/o sistemas inform´aticos con los que el o los investigadores se pueden enfrentar y con la finalidad de evitar en la medida de lo posible situaciones imprevistas, se deben preparar de manera met´odica todos los elementos necesarios para llevar a cabo la diligencia en el lugar de los hechos.
Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on I Ante la dificultad de lograr una correcta recolecci´on y preservaci´on de indicios en este tipo de investigaciones, es necesario prever cualquier dificultad de control y manejo de incidencias en el ´area f´ısica del lugar de los hechos y en cuanto a los dispositivos inform´aticos y de comunicaci´on. La siguiente lista menciona los elementos m´ınimos necesarios para realizar una investigaci´on: • Computadora personal (Laptop) con la mayor capacidad posible en Disco Duro, procesador de 2 o 4 n´ucleos, memoria RAM de 8 GB, capacidad de comunicaci´on inal´ambrica (WiFi, bluetoot), por lo menos dos sistemas operativos instalados en la m´aquina (Linux, Windows) o en su caso tener instalado un emulador de m´aquinas virtuales (VMWare, Virtual Machine). Cabe mencionar que en caso de necesitar emular sistemas operativos, ser´a necesario conocer previo a la inspecci´on
Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on II ministerial, el tipo y versiones de los sistemas operativos que ser´an utilizados en la diligencia con la finalidad de evitar errores y retrasos propios de la aplicaci´on correcta de ´este procedimiento. Se recomienda verificar el estado de la pila interna de la m´aquina y de preferencia contar con una pila adicional de larga duraci´on. • Disco Compacto y/o Memoria USB con capacidad de booteo. Hay que tomar en cuenta que no siempre el Perito se enfrentar´a a equipos de ´ultima generaci´on, por lo que siempre ser´a preferible prever cualquier eventualidad.
Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on III
Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on IV • C´amara Digital, de la mayor resoluci´on posible con capacidad de realizar acercamientos y con capacidad de recarga sin necesidad de uso de bater´ıas. Se recomienda la utilizaci´on de una memoria de almacenamiento adicional de por lo menos 512 MB la cual tendr´a una capacidad de almacenamiento de im´agenes de buena calidad aproximado de 100. Se recomienda complementar con el tripi´e correspondiente en caso de necesitar precisi´on en alguna fijaci´on y no contar con el Perito en Fotograf´ıa. • Grabadora Digital o Anal´ogica. La tecnolog´ıa nos permite hacer uso de este tipo de dispositivos con la finalidad de grabar en el momento de llevar a cabo la diligencia, conjeturas, comentarios y entrevistas realizadas con el personal responsable del sistema a investigar.
Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on V • Interfaces varias. Esta parte es delicada a consecuencia de los avances tecnol´ogicos y la variedad de dispositivos que pueden ser sujetos a an´alisis forense, sin embargo se sugiere incluir en el malet´ın cables de red con conectores RJ-45, interfaces para conectar Discos Duros (PC’s y Laptops), interfaces de lectura de memorias, interfaces de lectura de Discos Compactos y DVD’s, entre otros. • Estuche de pinzas, desarmadores y mult´ımetro digital. Disco Duro externo con conectores. Se recomienda la mayor capacidad tecnol´ogicamente posible. • Dispositivo bloqueador contra escritura para dispositivos de almacenamiento.
Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VI
Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VII • Software de an´alisis, copiado y recuperaci´on de datos. Elementos necesarios para cumplir de manera estandarizada con las mejores pr´acticas en el tratado de evidencia digital. • Guantes de l´atex. El contacto directo con la piel debe ser evitado con la finalidad de no contaminar las huellas presentes en el lugar de los hechos con las del propio Perito investigador. • Tapabocas. El interior del gabinete de los equipos de c´omputo suele en el mejor de los casos contener cantidades importantes de polvo el cual puede ser da˜nino para la salud del investigador por lo que se recomienda que siempre que se lleven a cabo acciones de desensamblado de equipo de c´omputo se recomienda el uso de tapabocas
Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VIII • Lentes protectores. Con la finalidad de proteger los ojos del investigador contra cualquier eventualidad al momento de llevar a cabo la revisi´on de equipo electr´onico se recomienda el uso de lentes protectores • Pincel o brocha de cerdas finas y/o aire comprimido. El polvo acumulado a consecuencia de la est´atica natural que se forma en el interior de los equipos electr´onicos, puede generar problemas de visi´on y el´ectricos al momento de llevar a cabo la revisi´on y desmontaje de alg´un dispositivo, por lo que se recomienda remover el exceso del mismo con la ayuda de um pincel, brocha o aire comprimido. • Libreta de apuntes, L´apiz y Goma. Cuando no se cuenta con los dispositivos tecnol´ogicos mencionados con anterioridad, siempre ser´a importante tener donde apuntar y aplicar las t´ecnicas antes mencionadas al estilo cl´asico.
Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on IX • Lupa. Herramienta indispensable al momento de obtener datos relacionados con dispositivos electr´onicos como n´umeros de serie, identificador de dispositivo, entre otros. • L´ampara. Herramienta necesaria al momento de buscar indicios en cites y dentro de gabinetes de computadoras, conmutadores, entre otros. • Cinta adhesiva. Aditamento ´util para embalaje e identificaci´on de indicios. • Etiquetas. Aditamento ´util para identificaci´on de indicios al momento de su embalaje. • Pl´astico polietileno con burbujas para embalar. Material necesario para embalaje de indicios. En caso de tratarse de recuperaci´on y traslado de tel´efonos celulares, a˜nadir:
Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on X • Bolsas o contenedores aislantes. Necesarias para embalar tel´efonos celulares y dispositivos electr´onicos varios. • Software de an´alisis forense de PDA’s y Celulares. • Fuente de voltaje ajustable. Necesaria en caso de realizar pruebas a dispositivos electr´onicos y recarga de pilas de celulares. • Interfaces de conexi´on. • Mult´ımetro digital. Herramienta indispensable para pruebas a dispositivos electr´onicos. En caso de tratarse de la identificaci´on de dispositivos electr´onicos y/o sistemas de telecomunicaciones: • Equipos de medici´on propios del caso. • Herramientas necesarias dependiendo el planteamiento del problema.
Fijaci´on del lugar de los hechos I Permite a las personas (que necesitan saberlo): • Entender lo que sucedi´o, • reconstruir el lugar de los hechos, • reconstruir la cadena de sucesos y • saber qui´en proces´o los indicios. La fijaci´on empieza con: • una evaluaci´on visual general, • un recorrido de inspecci´on cuidadoso, • una conversaci´on del investigador con sus colegas. Las preguntas b´asicas que se deben de responder al investigador de manera general antes de proceder a realizar la investigaci´on: 1 Fecha y hora en la que se realiza la intervenci´on o investigaci´on 2 Domicilio del lugar de los hechos.
Fijaci´on del lugar de los hechos II 3 Persona responsable de la administraci´on de los recursos inform´aticos. (nombre y cargo) 4 Recursos en tecnolog´ıas de la informaci´on y comunicaciones con los que cuenta el lugar de los hechos. (numero de computadoras, aplicaciones y configuraciones de seguridad, bases de datos) 5 Accesos f´ısicos a los recursos inform´aticos. 6 Accesos L´ogicos 7 Infraestructura de comunicaciones (telecomunicaciones, redes inform´aticas y su tecnolog´ıa) 8 Verificar si existe control de acceso a los recursos en TIC’s a trav´es del uso de usuario y contrase˜na s´ı como e perfil de los usuarios (Administrador o limitados). 9 Rango de direcciones IP e inventario de las mismas. 10 Bit´acoras activas.
Fijaci´on del lugar de los hechos III 11 Proveedores de Servicios de Comunicaciones. Fijar fotogr´aficamente el estado f´ısico del equipo as´ı como cables y dispositivos conectados a ´el.
B´usqueda de indicios as´ı como generaci´on y registro de conjeturas I Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas: 1 En caso de encontrarse personal laborando y manipulando los equipo que ser´an sujeto a estudio, evitar que dicho personal se levante de su asiento y asegurarse de que ´este retire las manos de los teclados y escritorio, coloc´andolas sobre sus muslos. 2 Localizaci´on e identificaci´on del equipo o equipos sujetos a estudio. 3 Estado del equipo al momento de realizar la diligencia (apagado, encendido). 4 En caso de encontrarse en estado de apagado el o los equipos y/o dispositivos sujetos a estudio, se debe proceder a embalar y etiquetar de forma individual cada elemento con la finalidad de ser trasladado para su an´alisis en el Laboratorio.
B´usqueda de indicios as´ı como generaci´on y registro de conjeturas II 5 En caso de encontrarse encendido el o los equipos y/o dispositivos sujetos a estudio se debe: 1 Identificar la hora del sistema y en su caso, el desfasamiento con el horario oficial. 2 Identificar las caracter´ısticas del sistema (RAM, discos duros, versi´on, etc.) 3 Obtener informaci´on vol´atil (primera muestra). 4 Identificar y fijar escritorio, documentos recientes y aplicaciones. 5 Identificar y fijar procesos. 6 Identificar y fijar informaci´on de conexiones a Internet. 7 Previsualizaci´on de las unidades de almacenamiento. 8 Obtener informaci´on vol´atil (segunda muestra). 6 Si se trata de evidencia digital contenida en tel´efonos celulares:
B´usqueda de indicios as´ı como generaci´on y registro de conjeturas III 7 Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas 1 Aislamiento: En caso de no contar con dispositivos de aislamiento y manejo de tel´efonos celulares los cuales cumplen con la funci´on de evitar que el dispositivo sujeto a estudio reciba o env´ıe llamadas o informaci´on, se deber´a de buscar en la medida de lo posible un lugar aislado entre muros o s´otanos que eviten la recepci´on o env´ıo de se˜nales las cuales pueden provocar la alteraci´on de manera remota de la informaci´on contenida en el o los dispositivos sujetos a estudio. 2 Fijaci´on: En este punto se reconoce el dispositivo en cuanto a marca, modelo, n´umero de serie y caracter´ısticas particulares, as´ı como el estado f´ısico y los dispositivos de almacenamiento que lo componen (memorias). Cabe aclarar en este punto que el investigador deber´a de tomar las mayores precauciones para evitar toda manipulaci´on del dispositivo sometido a estudio sin el uso de guantes de l´atex.
B´usqueda de indicios as´ı como generaci´on y registro de conjeturas IV 8 En caso de ser necesario y con la autorizaci´on del Agente del Ministerio P´ublico o responsable del ´area, recolectar: • Dispositivos de comunicaci´on (tel´efonos celulares, agendas electr´onicas) • Dispositivos de almacenamiento (memorias USB, CD’s, Disquetes, memorias SIMS, entre otros). Dada la complejidad y diversidad de escenarios y variantes relacionadas a conductas delictivas relacionadas con TIC’s en el lugar de los hechos, entre los cuestionamientos b´asicos que el investigador debe de plantearse para la generaci´on de conjeturas sugerimos las siguientes: • Acceso no autorizado. • Fallos a consecuencia de virus maliciosos. • Correos electr´onicos.
B´usqueda de indicios as´ı como generaci´on y registro de conjeturas V • Intervenci´on de sistemas de comunicaci´on. • Negaci´on de servicios. • Fallos a consecuencia de errores humanos. • Sabotaje (interna o externa). • Identificaci´on de dispositivos electr´onicos.
Embalaje de probables evidencias I Cuando el equipo de c´omputo se encuentra apagado y no es posible incautarlo se procede a realizar una imagen forense del disco duro: 1 Preparar medio destino. 2 Identificar tecla de acceso al BIOS.
Embalaje de probables evidencias II 3 Accesar al BIOS. 4 Identificar fecha del sistema. 5 Identificar desfasamiento entre el horario del sistema y el horario oficial. 6 Identificar orden de arranque del sistema. 7 Asegurase que el sistema arranque desde el medio forense (CAINE). 8 En caso de ser necesario previsualizar las unidades de almacenamiento conectadas al equipo de c´omputo (discos duros, memorias) 9 Realizar imagen o im´agenes forenses.
Cadena de custodia Definici´on Procedimiento controlado que se aplica a los indicios relacionados con el delito, desde su localizaci´on hasta su valoraci´on por los encargados de su an´alisis, normalmente peritos, y que tiene fin no viciar el manejo que de ellos se haga y as´ı evitar alteraciones, sustituciones, contaminaciones o destrucciones.
Investigaci´on en ambiente controlado o trabajo de Laboratorio. • Seguir los procedimientos de recepci´on de indicios. • Ejecutar los procedimientos de investigaci´on. • Elaborar el dictamen pericial.
1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
Referencias bibliogr´aficas I ´Oscar. Lira Arteaga. Cibercriminalidad. Fundamentos de investigaci´on en M´exico..

Empfohlen

Material slideshare. interpretacion de la escena del crimen
Material slideshare. interpretacion de la escena del crimenMaterial slideshare. interpretacion de la escena del crimen
Material slideshare. interpretacion de la escena del crimencristhian viscaya
 
Informática forense
Informática forenseInformática forense
Informática forensedeyvidmendozadurand
 
Organigrama pnp
Organigrama pnpOrganigrama pnp
Organigrama pnpJorge Americo Vasquez Tamayo
 
Norma ISO27037.pdf
Norma ISO27037.pdfNorma ISO27037.pdf
Norma ISO27037.pdfFrancisco749115
 
La cadena de custodia
La cadena de custodiaLa cadena de custodia
La cadena de custodiaCarlos Roldán
 
La infografía forense como implemento para mostrar la evidencia
La infografía forense como implemento para mostrar la evidenciaLa infografía forense como implemento para mostrar la evidencia
La infografía forense como implemento para mostrar la evidenciaJose Novas
 
Cadena De Custodia
Cadena De CustodiaCadena De Custodia
Cadena De CustodiaWilliam Ivan Alejandro Llanos Torrico
 
Historia (1)
Historia (1)Historia (1)
Historia (1)belu quispe miranda
 

Empfohlen

Material slideshare. interpretacion de la escena del crimen
Material slideshare. interpretacion de la escena del crimenMaterial slideshare. interpretacion de la escena del crimen
Material slideshare. interpretacion de la escena del crimencristhian viscaya
 
Informática forense
Informática forenseInformática forense
Informática forensedeyvidmendozadurand
 
Organigrama pnp
Organigrama pnpOrganigrama pnp
Organigrama pnpJorge Americo Vasquez Tamayo
 
Norma ISO27037.pdf
Norma ISO27037.pdfNorma ISO27037.pdf
Norma ISO27037.pdfFrancisco749115
 
La cadena de custodia
La cadena de custodiaLa cadena de custodia
La cadena de custodiaCarlos Roldán
 
La infografía forense como implemento para mostrar la evidencia
La infografía forense como implemento para mostrar la evidenciaLa infografía forense como implemento para mostrar la evidencia
La infografía forense como implemento para mostrar la evidenciaJose Novas
 
Cadena De Custodia
Cadena De CustodiaCadena De Custodia
Cadena De CustodiaWilliam Ivan Alejandro Llanos Torrico
 
Historia (1)
Historia (1)Historia (1)
Historia (1)belu quispe miranda
 
Prueba Pericial Informatico Forense
Prueba Pericial Informatico ForensePrueba Pericial Informatico Forense
Prueba Pericial Informatico ForenseØ Miguel Quintabani
 
Cadena de custodia
Cadena de custodiaCadena de custodia
Cadena de custodiaAbgBrimarsy Gordillo
 
Criminalística
CriminalísticaCriminalística
CriminalísticaDave Rebollo
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisicajiplaza
 
Los indicios biologicos del delito wilfredo cordova
Los indicios biologicos del delito wilfredo cordovaLos indicios biologicos del delito wilfredo cordova
Los indicios biologicos del delito wilfredo cordovawillcordova
 
43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos GuanotasigAcademia de Ciencias Forenses del Ecuador
 
INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSELuis Maduro
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalHacking Bolivia
 
Sistema de identificacion de personas vivas y muertas
Sistema de identificacion de personas vivas y muertasSistema de identificacion de personas vivas y muertas
Sistema de identificacion de personas vivas y muertasjulitzabeth
 
Criminalistica
CriminalisticaCriminalistica
Criminalisticamarden maslucan huaman
 
Introducción a la Criminalísticaa
Introducción a la CriminalísticaaIntroducción a la Criminalísticaa
Introducción a la Criminalísticaayixeirisp
 
Presentacion dactiloscopia
Presentacion dactiloscopiaPresentacion dactiloscopia
Presentacion dactiloscopiadanielbravolopez
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseFredy Ricse
 
Unidad 3 Criminalística
Unidad 3 Criminalística Unidad 3 Criminalística
Unidad 3 Criminalística Angel Oswaldo Romero Hinojoza
 
Criminalistica ley906
Criminalistica ley906Criminalistica ley906
Criminalistica ley906samehe
 
Identificacion y levantamiento de cadaver
Identificacion y levantamiento de cadaverIdentificacion y levantamiento de cadaver
Identificacion y levantamiento de cadaverJosé Rafael Peña Orozco
 
Tratamiento criminalístico de la escena del crimen
Tratamiento criminalístico de la escena del crimenTratamiento criminalístico de la escena del crimen
Tratamiento criminalístico de la escena del crimenWILSON EMANUEL FUENTES MOGOLLON
 
CRIMINALISTICA FORENSE DIAPOSITIVAS tres.ppt
CRIMINALISTICA FORENSE DIAPOSITIVAS tres.pptCRIMINALISTICA FORENSE DIAPOSITIVAS tres.ppt
CRIMINALISTICA FORENSE DIAPOSITIVAS tres.pptMayki Fuertes Alizares
 
La fotografia forense
La fotografia forenseLa fotografia forense
La fotografia forenseClaudia Delgado González
 
1. CRIMINALÍSTICA
1. CRIMINALÍSTICA1. CRIMINALÍSTICA
1. CRIMINALÍSTICALuis Oblitas
 
Presentación Materia Informática Forense 2016-2
Presentación Materia Informática Forense 2016-2Presentación Materia Informática Forense 2016-2
Presentación Materia Informática Forense 2016-2Francisco Medina
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseFrancisco Medina
 

Weitere ähnliche Inhalte

Was ist angesagt?

Prueba Pericial Informatico Forense
Prueba Pericial Informatico ForensePrueba Pericial Informatico Forense
Prueba Pericial Informatico ForenseØ Miguel Quintabani
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisicajiplaza
 
Los indicios biologicos del delito wilfredo cordova
Los indicios biologicos del delito wilfredo cordovaLos indicios biologicos del delito wilfredo cordova
Los indicios biologicos del delito wilfredo cordovawillcordova
 
INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSELuis Maduro
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalHacking Bolivia
 
Sistema de identificacion de personas vivas y muertas
Sistema de identificacion de personas vivas y muertasSistema de identificacion de personas vivas y muertas
Sistema de identificacion de personas vivas y muertasjulitzabeth
 
Introducción a la Criminalísticaa
Introducción a la CriminalísticaaIntroducción a la Criminalísticaa
Introducción a la Criminalísticaayixeirisp
 
Presentacion dactiloscopia
Presentacion dactiloscopiaPresentacion dactiloscopia
Presentacion dactiloscopiadanielbravolopez
 
Informatica forense
Informatica forenseInformatica forense
Informatica forenseFredy Ricse
 
Criminalistica ley906
Criminalistica ley906Criminalistica ley906
Criminalistica ley906samehe
 
CRIMINALISTICA FORENSE DIAPOSITIVAS tres.ppt
CRIMINALISTICA FORENSE DIAPOSITIVAS tres.pptCRIMINALISTICA FORENSE DIAPOSITIVAS tres.ppt
CRIMINALISTICA FORENSE DIAPOSITIVAS tres.pptMayki Fuertes Alizares
 
1. CRIMINALÍSTICA
1. CRIMINALÍSTICA1. CRIMINALÍSTICA
1. CRIMINALÍSTICALuis Oblitas
 

Was ist angesagt? (20)

Prueba Pericial Informatico Forense
Prueba Pericial Informatico ForensePrueba Pericial Informatico Forense
Prueba Pericial Informatico Forense
 
Cadena de custodia
Cadena de custodiaCadena de custodia
Cadena de custodia
 
Criminalística
CriminalísticaCriminalística
Criminalística
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisica
 
Los indicios biologicos del delito wilfredo cordova
Los indicios biologicos del delito wilfredo cordovaLos indicios biologicos del delito wilfredo cordova
Los indicios biologicos del delito wilfredo cordova
 
43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig43 Extracción de la información de una laptop, Carlos Guanotasig
43 Extracción de la información de una laptop, Carlos Guanotasig
 
INFORMATICA FORENSE
INFORMATICA FORENSEINFORMATICA FORENSE
INFORMATICA FORENSE
 
La importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digitalLa importancia del manejo de la evidencia digital
La importancia del manejo de la evidencia digital
 
Sistema de identificacion de personas vivas y muertas
Sistema de identificacion de personas vivas y muertasSistema de identificacion de personas vivas y muertas
Sistema de identificacion de personas vivas y muertas
 
Criminalistica
CriminalisticaCriminalistica
Criminalistica
 
Introducción a la Criminalísticaa
Introducción a la CriminalísticaaIntroducción a la Criminalísticaa
Introducción a la Criminalísticaa
 
Presentacion dactiloscopia
Presentacion dactiloscopiaPresentacion dactiloscopia
Presentacion dactiloscopia
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
Unidad 3 Criminalística
Unidad 3 Criminalística Unidad 3 Criminalística
Unidad 3 Criminalística
 
Criminalistica ley906
Criminalistica ley906Criminalistica ley906
Criminalistica ley906
 
Identificacion y levantamiento de cadaver
Identificacion y levantamiento de cadaverIdentificacion y levantamiento de cadaver
Identificacion y levantamiento de cadaver
 
Tratamiento criminalístico de la escena del crimen
Tratamiento criminalístico de la escena del crimenTratamiento criminalístico de la escena del crimen
Tratamiento criminalístico de la escena del crimen
 
CRIMINALISTICA FORENSE DIAPOSITIVAS tres.ppt
CRIMINALISTICA FORENSE DIAPOSITIVAS tres.pptCRIMINALISTICA FORENSE DIAPOSITIVAS tres.ppt
CRIMINALISTICA FORENSE DIAPOSITIVAS tres.ppt
 
La fotografia forense
La fotografia forenseLa fotografia forense
La fotografia forense
 
1. CRIMINALÍSTICA
1. CRIMINALÍSTICA1. CRIMINALÍSTICA
1. CRIMINALÍSTICA
 

Andere mochten auch

Presentación Materia Informática Forense 2016-2
Presentación Materia Informática Forense 2016-2Presentación Materia Informática Forense 2016-2
Presentación Materia Informática Forense 2016-2Francisco Medina
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseFrancisco Medina
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Francisco Medina
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosFrancisco Medina
 
Tema 1. Introducción a TCP/IP
Tema 1. Introducción a TCP/IPTema 1. Introducción a TCP/IP
Tema 1. Introducción a TCP/IPFrancisco Medina
 
2015 2-Módulo 4. Redes Inalámbricas
2015 2-Módulo 4. Redes Inalámbricas2015 2-Módulo 4. Redes Inalámbricas
2015 2-Módulo 4. Redes InalámbricasFrancisco Medina
 
Presentación materia: Informática Forense
Presentación materia: Informática ForensePresentación materia: Informática Forense
Presentación materia: Informática ForenseFrancisco Medina
 
2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad InformáticaFrancisco Medina
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoFrancisco Medina
 
Tema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadTema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadFrancisco Medina
 
Unidad iii arquitectura tcp ip
Unidad iii arquitectura tcp ipUnidad iii arquitectura tcp ip
Unidad iii arquitectura tcp ipDaniel Cerda
 
Arquitectura tcpip
Arquitectura tcpipArquitectura tcpip
Arquitectura tcpiparsepe
 
Diapositivas capitulo 2
Diapositivas capitulo 2Diapositivas capitulo 2
Diapositivas capitulo 2linux035
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Francisco Medina
 

Andere mochten auch (20)

Presentación Materia Informática Forense 2016-2
Presentación Materia Informática Forense 2016-2Presentación Materia Informática Forense 2016-2
Presentación Materia Informática Forense 2016-2
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática Forense
 
CCNA 1 - Itn instructor ppt_chapter5
CCNA 1 - Itn instructor ppt_chapter5CCNA 1 - Itn instructor ppt_chapter5
CCNA 1 - Itn instructor ppt_chapter5
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
 
CCNA 1 V5
CCNA 1 V5CCNA 1 V5
CCNA 1 V5
 
CCNA 1 - Itn instructor ppt_chapter3
CCNA 1 - Itn instructor ppt_chapter3CCNA 1 - Itn instructor ppt_chapter3
CCNA 1 - Itn instructor ppt_chapter3
 
CCNA 1 - Itn instructor ppt_chapter2
CCNA 1 - Itn instructor ppt_chapter2CCNA 1 - Itn instructor ppt_chapter2
CCNA 1 - Itn instructor ppt_chapter2
 
9 modelo tcp-ip
9 modelo tcp-ip9 modelo tcp-ip
9 modelo tcp-ip
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
 
Tema 1. Introducción a TCP/IP
Tema 1. Introducción a TCP/IPTema 1. Introducción a TCP/IP
Tema 1. Introducción a TCP/IP
 
2015 2-Módulo 4. Redes Inalámbricas
2015 2-Módulo 4. Redes Inalámbricas2015 2-Módulo 4. Redes Inalámbricas
2015 2-Módulo 4. Redes Inalámbricas
 
Presentación materia: Informática Forense
Presentación materia: Informática ForensePresentación materia: Informática Forense
Presentación materia: Informática Forense
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
 
2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
 
Tema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridadTema 1. Seguridad física y lineamientos generales de seguridad
Tema 1. Seguridad física y lineamientos generales de seguridad
 
Unidad iii arquitectura tcp ip
Unidad iii arquitectura tcp ipUnidad iii arquitectura tcp ip
Unidad iii arquitectura tcp ip
 
Arquitectura tcpip
Arquitectura tcpipArquitectura tcpip
Arquitectura tcpip
 
Diapositivas capitulo 2
Diapositivas capitulo 2Diapositivas capitulo 2
Diapositivas capitulo 2
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
 

Ähnlich wie Recolección evidencia digital

Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Eventos Creativos
 
Informatica forense
Informatica forenseInformatica forense
Informatica forensemmazonf
 
Manual de manejo de evidencias digitales
Manual de manejo de evidencias digitalesManual de manejo de evidencias digitales
Manual de manejo de evidencias digitalesMAURO666
 
Computo forense presentación power point.
Computo forense presentación power point.Computo forense presentación power point.
Computo forense presentación power point.Scaly08
 
Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012Alejandro BATISTA
 
Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Internet Security Auditors
 
Forensia digital
Forensia digitalForensia digital
Forensia digitalLely53
 
Informatica Forense - Nahuel Sagardoy
Informatica Forense - Nahuel SagardoyInformatica Forense - Nahuel Sagardoy
Informatica Forense - Nahuel SagardoyNahuelLeandroSagardo
 
Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Lorenzo Martínez
 
Informática forense.
Informática forense.Informática forense.
Informática forense.cinthyabb_
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forensedavid475023
 
Examenfinal (3)
Examenfinal (3)Examenfinal (3)
Examenfinal (3)tonys0012
 
Examen final 2
Examen final 2Examen final 2
Examen final 2tonys0012
 

Ähnlich wie Recolección evidencia digital (20)

Informatica Forense
Informatica ForenseInformatica Forense
Informatica Forense
 
Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03Análisis forense de dispositivos android 03
Análisis forense de dispositivos android 03
 
Informatica forense
Informatica forenseInformatica forense
Informatica forense
 
cyb_pan_manual.pdf
cyb_pan_manual.pdfcyb_pan_manual.pdf
cyb_pan_manual.pdf
 
cyb_pan_manual.pdf
cyb_pan_manual.pdfcyb_pan_manual.pdf
cyb_pan_manual.pdf
 
Manual de manejo de evidencias digitales
Manual de manejo de evidencias digitalesManual de manejo de evidencias digitales
Manual de manejo de evidencias digitales
 
Computo forense presentación power point.
Computo forense presentación power point.Computo forense presentación power point.
Computo forense presentación power point.
 
Cyberconference - Evidencia digital
Cyberconference - Evidencia digital Cyberconference - Evidencia digital
Cyberconference - Evidencia digital
 
Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012Percias informaticas D Piccirilli - DTS2012
Percias informaticas D Piccirilli - DTS2012
 
Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.Informatica forense: Teoria y practica. Hackmeeting 2004.
Informatica forense: Teoria y practica. Hackmeeting 2004.
 
Digital Forensics
Digital ForensicsDigital Forensics
Digital Forensics
 
Forensia digital
Forensia digitalForensia digital
Forensia digital
 
Informatica Forense - Nahuel Sagardoy
Informatica Forense - Nahuel SagardoyInformatica Forense - Nahuel Sagardoy
Informatica Forense - Nahuel Sagardoy
 
Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014Memorias peritaje forense_cybercamp_2014
Memorias peritaje forense_cybercamp_2014
 
Informática forense.
Informática forense.Informática forense.
Informática forense.
 
íNformatica forense
íNformatica forenseíNformatica forense
íNformatica forense
 
Examenfinal
ExamenfinalExamenfinal
Examenfinal
 
Examenfinal
ExamenfinalExamenfinal
Examenfinal
 
Examenfinal (3)
Examenfinal (3)Examenfinal (3)
Examenfinal (3)
 
Examen final 2
Examen final 2Examen final 2
Examen final 2
 

Mehr von Francisco Medina

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetFrancisco Medina
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad InformáticaFrancisco Medina
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Francisco Medina
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockFrancisco Medina
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesFrancisco Medina
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Francisco Medina
 
Ejercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali LinuxEjercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali LinuxFrancisco Medina
 
Actividad No 4.2 IPv4 Telnet
Actividad No 4.2 IPv4 TelnetActividad No 4.2 IPv4 Telnet
Actividad No 4.2 IPv4 TelnetFrancisco Medina
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortFrancisco Medina
 
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/LinuxActividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/LinuxFrancisco Medina
 

Mehr von Francisco Medina (20)

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
 
Ejercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali LinuxEjercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali Linux
 
Actividad No 4.3 IPv4 SSH
Actividad No 4.3 IPv4 SSHActividad No 4.3 IPv4 SSH
Actividad No 4.3 IPv4 SSH
 
Actividad No 4.2 IPv4 Telnet
Actividad No 4.2 IPv4 TelnetActividad No 4.2 IPv4 Telnet
Actividad No 4.2 IPv4 Telnet
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con Snort
 
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/LinuxActividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
Actividad No. 11: Reporte forense sobre intrusión a servidor GNU/Linux
 

Kürzlich hochgeladen

Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfMaryRotonda1
 
texto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticostexto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticosisabeltrejoros
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscaeliseo91
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxPryhaSalam
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdfgimenanahuel
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxMaritzaRetamozoVera
 

Kürzlich hochgeladen (20)

Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdf
 
texto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticostexto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticos
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fisca
 
Repaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia GeneralRepaso Pruebas CRECE PR 2024. Ciencia General
Repaso Pruebas CRECE PR 2024. Ciencia General
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptxEXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
EXPANSIÓN ECONÓMICA DE OCCIDENTE LEÓN.pptx
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docx
 

Recolección evidencia digital

  • 1. Inform´atica Forense Tema 2. Evidencia digital Francisco Medina L´opez — paco.medina@comunidad.unam.mx http://aulavirtual.capacitacionentics.com Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2016-2
  • 2. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 3. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 4. ¿Qu´e es la evidencia digital? Una de las primeras fases del an´alisis forense comprende el proceso de identificaci´on del incidente, que lleva de la mano la b´usqueda y recopilaci´on de evidencias. Definici´on La evidencia es cualquier informaci´on contrastable encontrada en un sistema. Son los hechos encontrados, por lo tanto la evidencia digital es toda aquella informaci´on electr´onica que pueda aportar alg´un dato para el an´alisis forense digital posterior. La Adquisici´on de la evidencia digital inicia cuando la informaci´on y/o dispositivos relacionados son colectados y almacenados para realizar un an´alisis forense.
  • 5. Ejemplos de evidencia digital • Fecha de ´ultimo acceso de un archivo o aplicaci´on. • Un registro de acceso de un archivo. • Una cookie de navegaci´on web almacenada en un disco duro. • El uptime o tiempo que lleva sin apagarse un sistema. • Un archivo almacenado en un disco duro. • Un proceso en ejecuci´on. • Archivos temporales. • Restos de la instalaci´on de un programa. • Un disco duro, una unidad USB de almacenamiento u otro dispositivo de almacenamiento.
  • 6. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 7. RFC 3227 I Al momento de recolectar las evidencias digitales hay que seguir ciertos procedimientos para que este proceso sea eficiente y ´util. El documento RFC 32271 recoge las recomendaciones sobre las pautas que un administrador debe seguir a la hora de obtener las evidencias en un sistema. En ´el se tratan los siguientes aspectos: • Principios para la recolecci´on de evidencias. Realizar un an´alisis forense debe ser tomado como un proyecto delicado y como tal deben ser cumplidos ciertos prerequisitos. • Orden de volatilidad. Al momento de recolectar las evidencias de un sistema no toda tienen el mismo orden de volatilidad. El concepto de volatilidad de evidencia est´a marcado por el marco temporal en el que es posible acceder a una evidencia. As´ı, el contenido de un DVD ser´a menos vol´atil que el contenido de la memoria RAM o los datos almacenado en la memoria de una impresora.
  • 8. RFC 3227 II • Acciones que deben ser evitadas. Hay acciones que invalidan un proceso de an´alisis forense t´ecnicamente hablando o para su utilizaci´on como prueba en una causa legal. Hay que tomar ciertas precauciones para que las evidencias sigan siendo v´alidas. • Consideraciones relativas a la privacidad de los datos. En un proceso de an´alisis forense pueden estar implicados datos sujetos a otras leyes de privacidad que deben ser mantenidas con la seguridad y privacidad que exija el marco lega. • Consideraciones legales. Para que un proceso de an´alisis forense sea ´util en un proceso legal deben tomarse precauciones. Adem´as, la legislaci´on es diferente dependiendo del pa´ıs, as´ı que puede suceder que un proceso de an´alisis forense sea admitido como prueba en un juicio y no en otro.
  • 9. RFC 3227 III • Procedimientos de recolecci´on. Recolectar la informaci´on lo m´as puramente posible, con la menor perdida de informaci´on. La ejecuci´on de un comando en el sistema puede hacer que se borren p´aginas de memoria que conten´ıan informaci´on de un proceso de inter´es. • Transparencia. Es recomendable utilizar t´ecnicas y herramientas transparentes que permitan conocer exactamente como se est´an tratando las evidencias. Hay que evitar el uso de herramientas y procedimientos de los que no se conozcan completamente qu´e est´an haciendo con la informaci´on. Podr´ıa llevar a conclusiones err´oneas. • Cadena de custodia de la informaci´on. En todo momento se debe poder constatar qui´en entrega la informaci´on y qui´en es el responsable de la custodia de la misma de manera que pueda ser posible conocer el flujo de la misma desde su recolecci´on hasta su utilizaci´on como prueba.
  • 10. RFC 3227 IV • Metodolog´ıa de almacenamiento de evidencias. Almacenar las evidencias es tambi´en una labor importante. Utilizar almacenamiento que puedan tener un tiempo de vida menor al necesario para que termine el proceso judicial podr´ıa llevar a un problema, pero tambi´en almacenar las evidencias en sistemas de los que no se ha podido probar su seguridad, lo que llevar´ıa a que fueran invalidadas las evidencias encontradas. 1 https://www.ietf.org/rfc/rfc3227.txt
  • 11. Forensic Examination of Digital Evidence I Con fundamento el documento Forensic Examination of Digital Evidence: A Guide for Law Enforcement 2 se desprenden los principales puntos que hay que observar para la recolecci´on de la posible evidencia que ser´a presentada ante un juez: 1 En la recolecci´on de indicios no se debe alterar bajo ninguna circunstancia la posible evidencia, salvo previa autorizaci´on por parte del agente del Ministerio P´ublico de la Federaci´on, quien deber´a dar fe de todas y cada uno de los procedimientos realizados por el personal pericial. 2 S´olo un profesional forense acreditado tendr´a acceso a indicios digitales originales. 3 Toda la actividad relacionada con la recolecci´on, acceso, almacenamiento y transferencia de la posible evidencia digital deber´a ser documentada, preservada y permanecer disponible para su revisi´on.
  • 12. Forensic Examination of Digital Evidence II 4 Un individuo es responsable de todas las acciones con respecto al tratamiento de la posible evidencia digital mientras ´esta se encuentra bajo su resguardo. 5 Toda agencia responsable de recolectar posible evidencia digital deber´a cumplir con los principios antes mencionados. 2 https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
  • 13. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 14. Tipos de investigaci´on forense digital Antes de proceder al an´alisis y tratamiento de manera directa con la posible evidencia, es necesario distinguir dos tipos de vertientes en relaci´on a la investigaci´on forense en TIC’s: 1 Trabajo de campo o investigaci´on en el lugar de los hechos. 2 Investigaci´on en ambiente controlado o trabajo de Laboratorio.
  • 15. Trabajo de campo o investigaci´on en el lugar de los hechos El Perito Criminalista en Tecnolog´ıas de la Informaci´on y Comunicaciones debe tomar en cuenta los siguientes puntos al momento de realizar una investigaci´on en el lugar de los hechos: 1 Antes de llevar a cabo una instrucci´on ministerial en el lugar de los hechos 2 Fijaci´on del lugar de los hechos. 3 Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas 4 Embalaje de probables evidencias. 5 Aplicaci´on del formato de cadena de custodia.
  • 16. Antes de llevar a cabo una instruccion ministerial • Una vez COMPRENDIDO el planteamiento del problema y ante la posibilidad impl´ıcita de la diversidad de elementos, dispositivos, computadoras y/o sistemas inform´aticos con los que el o los investigadores se pueden enfrentar y con la finalidad de evitar en la medida de lo posible situaciones imprevistas, se deben preparar de manera met´odica todos los elementos necesarios para llevar a cabo la diligencia en el lugar de los hechos.
  • 17. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on I Ante la dificultad de lograr una correcta recolecci´on y preservaci´on de indicios en este tipo de investigaciones, es necesario prever cualquier dificultad de control y manejo de incidencias en el ´area f´ısica del lugar de los hechos y en cuanto a los dispositivos inform´aticos y de comunicaci´on. La siguiente lista menciona los elementos m´ınimos necesarios para realizar una investigaci´on: • Computadora personal (Laptop) con la mayor capacidad posible en Disco Duro, procesador de 2 o 4 n´ucleos, memoria RAM de 8 GB, capacidad de comunicaci´on inal´ambrica (WiFi, bluetoot), por lo menos dos sistemas operativos instalados en la m´aquina (Linux, Windows) o en su caso tener instalado un emulador de m´aquinas virtuales (VMWare, Virtual Machine). Cabe mencionar que en caso de necesitar emular sistemas operativos, ser´a necesario conocer previo a la inspecci´on
  • 18. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on II ministerial, el tipo y versiones de los sistemas operativos que ser´an utilizados en la diligencia con la finalidad de evitar errores y retrasos propios de la aplicaci´on correcta de ´este procedimiento. Se recomienda verificar el estado de la pila interna de la m´aquina y de preferencia contar con una pila adicional de larga duraci´on. • Disco Compacto y/o Memoria USB con capacidad de booteo. Hay que tomar en cuenta que no siempre el Perito se enfrentar´a a equipos de ´ultima generaci´on, por lo que siempre ser´a preferible prever cualquier eventualidad.
  • 19. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on III
  • 20. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on IV • C´amara Digital, de la mayor resoluci´on posible con capacidad de realizar acercamientos y con capacidad de recarga sin necesidad de uso de bater´ıas. Se recomienda la utilizaci´on de una memoria de almacenamiento adicional de por lo menos 512 MB la cual tendr´a una capacidad de almacenamiento de im´agenes de buena calidad aproximado de 100. Se recomienda complementar con el tripi´e correspondiente en caso de necesitar precisi´on en alguna fijaci´on y no contar con el Perito en Fotograf´ıa. • Grabadora Digital o Anal´ogica. La tecnolog´ıa nos permite hacer uso de este tipo de dispositivos con la finalidad de grabar en el momento de llevar a cabo la diligencia, conjeturas, comentarios y entrevistas realizadas con el personal responsable del sistema a investigar.
  • 21. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on V • Interfaces varias. Esta parte es delicada a consecuencia de los avances tecnol´ogicos y la variedad de dispositivos que pueden ser sujetos a an´alisis forense, sin embargo se sugiere incluir en el malet´ın cables de red con conectores RJ-45, interfaces para conectar Discos Duros (PC’s y Laptops), interfaces de lectura de memorias, interfaces de lectura de Discos Compactos y DVD’s, entre otros. • Estuche de pinzas, desarmadores y mult´ımetro digital. Disco Duro externo con conectores. Se recomienda la mayor capacidad tecnol´ogicamente posible. • Dispositivo bloqueador contra escritura para dispositivos de almacenamiento.
  • 22. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VI
  • 23. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VII • Software de an´alisis, copiado y recuperaci´on de datos. Elementos necesarios para cumplir de manera estandarizada con las mejores pr´acticas en el tratado de evidencia digital. • Guantes de l´atex. El contacto directo con la piel debe ser evitado con la finalidad de no contaminar las huellas presentes en el lugar de los hechos con las del propio Perito investigador. • Tapabocas. El interior del gabinete de los equipos de c´omputo suele en el mejor de los casos contener cantidades importantes de polvo el cual puede ser da˜nino para la salud del investigador por lo que se recomienda que siempre que se lleven a cabo acciones de desensamblado de equipo de c´omputo se recomienda el uso de tapabocas
  • 24. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on VIII • Lentes protectores. Con la finalidad de proteger los ojos del investigador contra cualquier eventualidad al momento de llevar a cabo la revisi´on de equipo electr´onico se recomienda el uso de lentes protectores • Pincel o brocha de cerdas finas y/o aire comprimido. El polvo acumulado a consecuencia de la est´atica natural que se forma en el interior de los equipos electr´onicos, puede generar problemas de visi´on y el´ectricos al momento de llevar a cabo la revisi´on y desmontaje de alg´un dispositivo, por lo que se recomienda remover el exceso del mismo con la ayuda de um pincel, brocha o aire comprimido. • Libreta de apuntes, L´apiz y Goma. Cuando no se cuenta con los dispositivos tecnol´ogicos mencionados con anterioridad, siempre ser´a importante tener donde apuntar y aplicar las t´ecnicas antes mencionadas al estilo cl´asico.
  • 25. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on IX • Lupa. Herramienta indispensable al momento de obtener datos relacionados con dispositivos electr´onicos como n´umeros de serie, identificador de dispositivo, entre otros. • L´ampara. Herramienta necesaria al momento de buscar indicios en cites y dentro de gabinetes de computadoras, conmutadores, entre otros. • Cinta adhesiva. Aditamento ´util para embalaje e identificaci´on de indicios. • Etiquetas. Aditamento ´util para identificaci´on de indicios al momento de su embalaje. • Pl´astico polietileno con burbujas para embalar. Material necesario para embalaje de indicios. En caso de tratarse de recuperaci´on y traslado de tel´efonos celulares, a˜nadir:
  • 26. Elementos, Herramienta y Dispositivos Necesarios en una Investigaci´on X • Bolsas o contenedores aislantes. Necesarias para embalar tel´efonos celulares y dispositivos electr´onicos varios. • Software de an´alisis forense de PDA’s y Celulares. • Fuente de voltaje ajustable. Necesaria en caso de realizar pruebas a dispositivos electr´onicos y recarga de pilas de celulares. • Interfaces de conexi´on. • Mult´ımetro digital. Herramienta indispensable para pruebas a dispositivos electr´onicos. En caso de tratarse de la identificaci´on de dispositivos electr´onicos y/o sistemas de telecomunicaciones: • Equipos de medici´on propios del caso. • Herramientas necesarias dependiendo el planteamiento del problema.
  • 27. Fijaci´on del lugar de los hechos I Permite a las personas (que necesitan saberlo): • Entender lo que sucedi´o, • reconstruir el lugar de los hechos, • reconstruir la cadena de sucesos y • saber qui´en proces´o los indicios. La fijaci´on empieza con: • una evaluaci´on visual general, • un recorrido de inspecci´on cuidadoso, • una conversaci´on del investigador con sus colegas. Las preguntas b´asicas que se deben de responder al investigador de manera general antes de proceder a realizar la investigaci´on: 1 Fecha y hora en la que se realiza la intervenci´on o investigaci´on 2 Domicilio del lugar de los hechos.
  • 28. Fijaci´on del lugar de los hechos II 3 Persona responsable de la administraci´on de los recursos inform´aticos. (nombre y cargo) 4 Recursos en tecnolog´ıas de la informaci´on y comunicaciones con los que cuenta el lugar de los hechos. (numero de computadoras, aplicaciones y configuraciones de seguridad, bases de datos) 5 Accesos f´ısicos a los recursos inform´aticos. 6 Accesos L´ogicos 7 Infraestructura de comunicaciones (telecomunicaciones, redes inform´aticas y su tecnolog´ıa) 8 Verificar si existe control de acceso a los recursos en TIC’s a trav´es del uso de usuario y contrase˜na s´ı como e perfil de los usuarios (Administrador o limitados). 9 Rango de direcciones IP e inventario de las mismas. 10 Bit´acoras activas.
  • 29. Fijaci´on del lugar de los hechos III 11 Proveedores de Servicios de Comunicaciones. Fijar fotogr´aficamente el estado f´ısico del equipo as´ı como cables y dispositivos conectados a ´el.
  • 30. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas I Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas: 1 En caso de encontrarse personal laborando y manipulando los equipo que ser´an sujeto a estudio, evitar que dicho personal se levante de su asiento y asegurarse de que ´este retire las manos de los teclados y escritorio, coloc´andolas sobre sus muslos. 2 Localizaci´on e identificaci´on del equipo o equipos sujetos a estudio. 3 Estado del equipo al momento de realizar la diligencia (apagado, encendido). 4 En caso de encontrarse en estado de apagado el o los equipos y/o dispositivos sujetos a estudio, se debe proceder a embalar y etiquetar de forma individual cada elemento con la finalidad de ser trasladado para su an´alisis en el Laboratorio.
  • 31. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas II 5 En caso de encontrarse encendido el o los equipos y/o dispositivos sujetos a estudio se debe: 1 Identificar la hora del sistema y en su caso, el desfasamiento con el horario oficial. 2 Identificar las caracter´ısticas del sistema (RAM, discos duros, versi´on, etc.) 3 Obtener informaci´on vol´atil (primera muestra). 4 Identificar y fijar escritorio, documentos recientes y aplicaciones. 5 Identificar y fijar procesos. 6 Identificar y fijar informaci´on de conexiones a Internet. 7 Previsualizaci´on de las unidades de almacenamiento. 8 Obtener informaci´on vol´atil (segunda muestra). 6 Si se trata de evidencia digital contenida en tel´efonos celulares:
  • 32. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas III 7 Durante la b´usqueda de indicios as´ı como generaci´on y registro de conjeturas 1 Aislamiento: En caso de no contar con dispositivos de aislamiento y manejo de tel´efonos celulares los cuales cumplen con la funci´on de evitar que el dispositivo sujeto a estudio reciba o env´ıe llamadas o informaci´on, se deber´a de buscar en la medida de lo posible un lugar aislado entre muros o s´otanos que eviten la recepci´on o env´ıo de se˜nales las cuales pueden provocar la alteraci´on de manera remota de la informaci´on contenida en el o los dispositivos sujetos a estudio. 2 Fijaci´on: En este punto se reconoce el dispositivo en cuanto a marca, modelo, n´umero de serie y caracter´ısticas particulares, as´ı como el estado f´ısico y los dispositivos de almacenamiento que lo componen (memorias). Cabe aclarar en este punto que el investigador deber´a de tomar las mayores precauciones para evitar toda manipulaci´on del dispositivo sometido a estudio sin el uso de guantes de l´atex.
  • 33. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas IV 8 En caso de ser necesario y con la autorizaci´on del Agente del Ministerio P´ublico o responsable del ´area, recolectar: • Dispositivos de comunicaci´on (tel´efonos celulares, agendas electr´onicas) • Dispositivos de almacenamiento (memorias USB, CD’s, Disquetes, memorias SIMS, entre otros). Dada la complejidad y diversidad de escenarios y variantes relacionadas a conductas delictivas relacionadas con TIC’s en el lugar de los hechos, entre los cuestionamientos b´asicos que el investigador debe de plantearse para la generaci´on de conjeturas sugerimos las siguientes: • Acceso no autorizado. • Fallos a consecuencia de virus maliciosos. • Correos electr´onicos.
  • 34. B´usqueda de indicios as´ı como generaci´on y registro de conjeturas V • Intervenci´on de sistemas de comunicaci´on. • Negaci´on de servicios. • Fallos a consecuencia de errores humanos. • Sabotaje (interna o externa). • Identificaci´on de dispositivos electr´onicos.
  • 35. Embalaje de probables evidencias I Cuando el equipo de c´omputo se encuentra apagado y no es posible incautarlo se procede a realizar una imagen forense del disco duro: 1 Preparar medio destino. 2 Identificar tecla de acceso al BIOS.
  • 36. Embalaje de probables evidencias II 3 Accesar al BIOS. 4 Identificar fecha del sistema. 5 Identificar desfasamiento entre el horario del sistema y el horario oficial. 6 Identificar orden de arranque del sistema. 7 Asegurase que el sistema arranque desde el medio forense (CAINE). 8 En caso de ser necesario previsualizar las unidades de almacenamiento conectadas al equipo de c´omputo (discos duros, memorias) 9 Realizar imagen o im´agenes forenses.
  • 37. Cadena de custodia Definici´on Procedimiento controlado que se aplica a los indicios relacionados con el delito, desde su localizaci´on hasta su valoraci´on por los encargados de su an´alisis, normalmente peritos, y que tiene fin no viciar el manejo que de ellos se haga y as´ı evitar alteraciones, sustituciones, contaminaciones o destrucciones.
  • 38. Investigaci´on en ambiente controlado o trabajo de Laboratorio. • Seguir los procedimientos de recepci´on de indicios. • Ejecutar los procedimientos de investigaci´on. • Elaborar el dictamen pericial.
  • 39. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 40. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 41. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 42. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 43. 1 Evidencia Digital Introducci´on Principios de manejo y recolecci´on de evidencia Metodolog´ıa para la adquisici´on y tratamiento de evidencia digital Captura de evidencia vol´atil en red Recolecci´on de evidencia vol´atil (Live Response) Recolecci´on de evidencia no vol´atil Fijaci´on y embalaje de indicios Cadena de custodia
  • 44. Referencias bibliogr´aficas I ´Oscar. Lira Arteaga. Cibercriminalidad. Fundamentos de investigaci´on en M´exico..