viernes, 28 de noviembre de 2014

Referencias Consultadas

Roig, T. (3 de noviembre de 2011). EL INVESTIGADOR 2,0. La cadena de custodia informático forense. Recuperado el 21 de noviembre de 2014 de:
http://policiasenlared.blogspot.com.es/2011/11/la-cadena-de-custodia-informatico.html

Meseguer, J. (25 de junio de 2013). EL DERECHO GRUPO FRANCIS LEFEBVRE. Ciberdelitos, La contaminación de la cadena de custodia invalida las pruebas periciales informáticas. Recuperado el 21 de noviembre de 2014 de:
http://www.elderecho.com/www-elderecho-com/contaminacion-custodia-invalida-periciales-informaticas_11_556555001.html

Acurio. S. (08 de diciembre de 2009). SLIDESHARE. Manual de Manejo de Evidencias Digitales y Entornos Informáticos. Fiscalía General del Estado Ecuador. Recuperado el 22 de noviembre de 2014 de:
http://es.slideshare.net/cxocommunity/manual-de

Pagés. J. (19 de febrero de 2013). SLIDESHARE. Las Evidencias Digitales en la Informática Forense. Recuperado el 22 de noviembre de 2014 de:
http://es.slideshare.net/vaceitunofist/j-16621012?related=1

Parra. V. (28 de Agosto de 2012). PREZI. Evidencia digital Manejo de EMP digitales. Recuperado el 22 de noviembre de 2014 de:
https://prezi.com/sgdvein9mwlq/evidencia-digital/

Velarde. J (01 de marzo de 2014). SLIDESHARE. La importancia del manejo de la evidencia digital. Recuperado el 21 de noviembre de 2014 de:
http://es.slideshare.net/boliviahacking/la-importancia-del-manejo-de-la-evidencia-digital?related=2


Publicado por en 1 comentario:

lunes, 24 de noviembre de 2014

Cadena de Custodia


"Es el protocolo de actuación relativo a la seguridad y manipulación que ha de seguirse durante el período de vida de una prueba, desde que ésta se consigue o se genera, hasta que se destruye o deja de ser necesaria”.

La cadena de custodia implica, necesariamente, las siguientes etapas:
  • Extracción o recolección de la prueba.
  • Preservación y embalaje de la prueba.
  • Transporte o traslado de la prueba.
  • Traspaso de la misma, ya sea a los laboratorios para su análisis, o a las diferentes fiscalías para su custodia.
  • Custodia y preservación final hasta que se realice el debate.


    Los elementos básicos que componen una cadena de custodia son:
  • Identificación física y marcado de los materiales certificados.
  • Separación estricta de materiales certificados y no certificados.
  • Sistema de garantía del origen en cada etapa de producción.
  • Documentación y registros de control.
  • Sistema de procesado y mantenimiento de la información.
  • Identificación del producto final certificado.
  • Formación de los trabajadores.
  • Tiempos de clonado
  • Verificación de huellas digitales
  • Como se realiza la cadena de custodia
  • Firmas en el acta de los intervinientes
Como complemento a dicha cadena de custodia, una vez finaliza la copia exacta, o copia espejo, del disco duro en cuestión, el perito ante notario, procede a calcular el “hash criptográfico”, un cálculo matemático cuyo resultado es una combinación de números y letras con la peculiaridad que cualquier cambio en la información, por pequeño que sea, altera totalmente su “hash”, siendo imposible encontrar otra información que tenga como resultado el mismo “hash”. Una vez establecida la cadena de custodia, el perito informático comienza el Análisis Forense.

En consecuencia, la cadena de custodia de los medios de prueba encuentra su fundamento en los siguientes principios probatorios:
- Principio de aseguramiento de la prueba.
- Principio de la licitud de la prueba.
- Principio de la veracidad de la prueba.
- Principio de la necesidad de la prueba.
- Principio de la obtención coactiva de la prueba.
- Principio de la inmediación, publicidad y contradicción de la prueba.
Publicado por en No hay comentarios:

Manejo de Escena

Directrices
  • Mantener adherencia estricta a la política de seguridad.
  • Capturar la escena del incidente lo más preciso posible.
  • Mantener notas detalladas;  se deben incluir fechas y horas exactas
  • Establecer las diferencias entre el reloj del sistema y la hora de referencia internacional (GMT).
  • Minimizar los cambios en los datos que se recolecten; se debe evitar actualizaciones de fechas y horas de archivos y carpetas.
  • Primero recolectar la información y luego analizar los hallazgos.
  • Se debe ser metódico al momento de recolectar la evidencia. 

    Recopilación de Evidencia digital
Desde lo mas volátil hasta lo menos volátil:

  • Memoria RAM.
  • Registros de la Cache.
  • Tablas de enrutamiento.
  • Cache arp.
  • Procesos.
  • Estadísticas del Kernel.
  • Sistemas de archivos temporales.
  • Registros remotos y datos de monitoreo relevantes del sistema de estudio.
  • Configuración física.
  • Topología de red.
  • Medios de almacenamiento. 



Publicado por en 1 comentario:

Evidencia Digital


“Cualquier información, que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático”.

Cuando ha sucedido un incidente, generalmente, las personas involucradas en el crimen intentan manipular y alterar la evidencia digital, tratando de borrar cualquier rastro que pueda dar muestras del daño. Sin embargo, este problema es mitigado con algunas características que posee la evidencia digital.

  • Puede ser duplicada de forma exacta y se puede sacar una copia para ser examinada como si fuera la original.
  • Con las herramientas existentes, es muy fácil comparar la evidencia digital con su original, y determinar si la evidencia digital ha sido alterada.
  • La evidencia de Digital es muy difícil de eliminar, así el registro haya sido borrado del disco duro del computador, y éste haya sido formateado, es posible recuperarlo.
  • Cuando los individuos involucrados en un crimen tratan de destruir la evidencia, existen copias que permanecen en otros sitios.

Clasificación de la evidencia digital

Registros generados por computador: son inalterables por una persona. Estos son llamados registros de eventos de seguridad (logs) y sirven como prueba tras demostrar el correcto y adecuado funcionamiento del sistema que genero el registro.
Registros no generados sino simplemente almacenados por o en computadores: Son aquellos generados por una persona, y que son almacenados en el computador, por ejemplo, un documento generado en un procesador de palabras. En estos registros es importante lograr demostrar la identidad del generador, y probar hechos o afirmaciones contenidas en la evidencia misma.
Registros híbridos que incluyen tanto registros generados por computador como almacenados en los mismos: Los híbridos son aquellos que combinan afirmaciones humanas y logs. Para que estos registros sirvan como prueba deben cumplir los dos requisitos anteriores.


 Manipulación de la evidencia digital

  1. Hacer uso de medios forenses estériles (para copias de información)
  2. Se debe mantener y controlar la integridad del medio original, esto significa que las acciones realizadas no deben cambiar nunca esta evidencia.
  3. Cuando sea necesario que una persona tenga acceso a evidencia digital forense, esa persona debe ser un profesional forense.
  4. Las copias de los datos obtenidas, deben estar correctamente marcadas, controladas y preservadas. Y deben estar disponibles para su revisión. Siempre que la evidencia digital este en poder de algún individuo, éste será responsable de ella, mientras esté en su poder.




Publicado por en No hay comentarios:

Conceptos Básicos

¿Qué es la Informática Forense? Es la rama de la informática relacionada con la obtención y el análisis de los datos contenidos en medios de almacenamiento tecnológicos (magnéticos, ópticos, en duro entre otros) de tal forma que su información pueda ser utilizada como EVIDENCIA PROBATORIA ante un ente judicial o autoridad demostrando la responsabilidad sobre un hecho.
Puede ser usada para probar un delito convencional en el que se usó un computador, o un delito informático cometido desde un computador. 

Objetivos de la Informática Forense 
- La compensación de los daños causados por los criminales o intrusos
- La persecución y procesamiento judicial de los criminales.  
- La creación y aplicación de medidas para prevenir casos similares.

Usos de la Informática Forense 
  • Prosecución Criminal: Evidencia incriminatoria puede ser usada  para procesar una variedad de crímenes, incluyendo homicidios,  fraude financiero, tráfico y venta de drogas, evasión de impuestos o pornografía infantil. 
  • Litigación Civil: Casos que tratan con fraude, discriminación, acoso, divorcio, pueden ser ayudados por la informática forense.  
  • Investigación de Seguros: La evidencia encontrada en computadores, puede ayudar a las compañías de seguros a disminuir los costos de los reclamos por accidentes y compensaciones.
  • Temas corporativos: Puede ser recolectada información en casos que tratan sobre acoso sexual, robo, mal uso o apropiación de información confidencial o propietaria, o aún de espionaje industrial.
  • Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes judiciales, así como en la búsqueda de información una vez se tiene la orden judicial para hacer la búsqueda exhaustiva.



Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)