UNIVERSIDAD AUTÓNOMA

DE BAJA CALIFORNIA.

FACULTAD DE DERECHO, TIJUANA

Equipo: 9. Cómputo Forense.

Grupo: 122. Semestre: 2016-1.

Integrantes:Cruz Díaz Luis Gerardo.Miramontes Enríquez Belén.Valenzuela Soto Scaly.

ÍNDICE 1. ¿QUÉ ES CÓMPUTO FORENSE?1.1 CONCEPTO: 1.2 ORÍGENES; 1,3 OBJETIVOS FUNDAMENTALES DE LA INFORMÁTICA FORENSE2. ¿QUÉ ES EVIDENCIA DIGITAL? 2.1 CARACTERÍSTICAS 2.2 EVIDENCIA DIGITAL PUEDE DIVIDIRSE EN TRES CATEGORÍAS2.3TODA INFORMACIÓN DIGITALIZADA ES SUSCEPTIBLE DE SER ANALIZADA POR UN MÉTODO TÉCNICO 2.4 DE USO PÚBLICO CARACTERÍSTICA DE LA EVIDENCIA DIGITAL3 PROCESO DE ANÁLISIS FORENSE3.1 IDENTIFICACIÓN DEL INCIDENTE:3.2 PRESERVACIÓN DE LA EVIDENCIA3.3 ANÁLISIS DE LA EVIDENCIA 3.4 DOCUMENTACIÓN DEL INCIDENTE4 DISPOSITIVOS A ANALIZAR DENTRO DEL CÓMPUTO FORENSE4.1 DISCO DURO DE UNA COMPUTADORA O SERVIDOR4.2 LOGS DE SEGURIDAD Y TRAZO DE PAQUETES DE RED 5 CRIMINALÍSTICA DIGITAL 5.1 ¿QUÉ ES LA CRIMINALÍSTICA DIGITAL? 5.2 PERITO INFORMÁTICO5.2.2ÁMBITO DE ACTUACIÓN5.2.3PORQUÉ CONTRATAR UN PERITO INFORMÁTICO5.2.4ESTRUCTURA BASE DE UN INFORME PERICIAL 6 ASUNTO RELACIONADO6.1 ANTECEDENTE Y OBJETIVO6.2 ACTUACIÓN PERICIAL

2

Tema 11. Cómputo Forense.(Informática forense, computación forense,

análisis forense digital oexaminación forense digital)

3

1. ¿Qué es Cómputo Forense?

1.1 Concepto: El cómputo forense, también llamado informática forense es la aplicación de técnicas científicas y analíticas especializadas que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

4

1.2 Orígenes; El campo de la informática forense se inició en la década de 1980, poco después de que las computadoras personales se convirtieran en una opción viable para los consumidores.

5

Objetivos fundamentales de la Informática Forense:

• Informática Forense como medio de pruebas

• La cual tiene como objeto el estudio de la Evidencia Digital.

La persecución y procesamiento judicial de los delincuentes.

La compensación de los daños causados por los criminales informáticos.

La creación y aplicación de medidas.

6

2 ¿Qué es Evidencia Digital?

“Evidencia Digital” abarca cualquier información en formato digital que pueda establecer una relación entre un delito y su autor.

Desde el punto de vista del derecho probatorio, puede ser comparable con “un documento” como prueba legal.

7

2.1 CARACTERÍSTICAS

AUTENTICIDAD: Los contenidos de la evidencia no han sido modificados; la información proviene de la fuente identificada.

PRECISIÓN: Debe ser posible relacionarla positivamente con el incidente.

No debe haber ninguna duda sobre los procedimientos seguidos y las herramientas utilizadas para su recolección, manejo, análisis y posterior presentación en una corte.

SUFICIENCIA (COMPLETA): Debe por si misma mostrar el escenario de un conjunto particular de circunstancias o eventos.

8

2.2 Evidencia digital puede dividirse en tres categorías:

Registros almacenados en el equipo de tecnología informática (por ejemplo, correos electrónicos, archivos de aplicaciones de ofimática, imágenes, etc.).

Registros generados por los equipos de tecnología informática (registros de auditoría, registros de transacciones, registros de eventos, etc.).

Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática. (Hojas de cálculo financieras, consultas especializadas en bases de datos vistas parciales de datos, etc.).

9

Toda información digitalizada es susceptible de ser analizada por un

método técnico • No podemos “verla”• No se puede interpretar sin

conocimientos técnicos• Es sumamente volátil• Puede copiarse sin límites

10

De Uso Público Característica de la Evidencia Digital

• Las copias son indistinguibles del original

• Bueno para los peritos: ¡Se analiza la copia!

• Malo para los juristas: el concepto de “original “carece de sentido.

11

Características:

Proceso de análisis forense. 1. Identificación del incidente.2. Preservación de la evidencia. 3. Análisis de la evidencia.4. Documentación del incidente.

NOTA:“No existen investigaciones iguales, no es posible definir un procedimiento único para adelantar un análisis en Informática forense.”

12

PROCESO DE ANÁLISIS FORENSE

13

IDENTIFICACIÓN DEL INCIDENTE:

Una de las primeras fases del análisis forense comprende el proceso de identificación del incidente, que lleva aparejado la búsqueda y recopilación de evidencias.

Antes de comenzar una búsqueda desesperada de señales del incidente que lo único que conlleve sea una eliminación de “huellas”, actúe de forma metódica y profesional. Asegúrese primero que no se trata de un problema de hardware o software de su red o servidor.

14

PRESERVACIÓN DE LA EVIDENCIA

Es imprescindible definir métodos adecuados para el almacenamiento y

etiquetado de las evidencias.• Dónde, cuándo y quién manejó o examinó la evidencia,

incluyendo su nombre, su cargo, un número identificativo, fechas y horas, etc.

• Quién estuvo custodiando la evidencia, durante cuánto tiempo y dónde se almacenó.

• Cuando se cambie la custodia de la evidencia también deberá documentarse cuándo y cómo se produjo la transferencia y quién la transportó.

15

ANÁLISIS DE LA EVIDENCIA

El objetivo es reconstruir con todos los datos disponibles la línea temporal del ataque o timeline, determinando la cadena de acontecimientos que tuvieron lugar desde el instante inmediatamente anterior al inicio del ataque, hasta el momento de su descubrimiento.

16

DOCUMENTACIÓN DEL INCIDENTE

• Es muy importante comenzar a tomar notas sobre todas las actividades que se lleven a cabo.

• Cada paso dado debe ser documentado y fechado desde que se descubre el incidente hasta que finalice el proceso de análisis forense, esto le hará ser más eficiente y efectivo al tiempo que reducirá las posibilidades de error a hora de gestionar el incidente

17

DISPOSITIVOS A ANALIZAR DENTRO DEL CÓMPUTO

FORENSE.

18

Disco duro de una Computadora o Servidor• Es el dispositivo de almacenamiento de

datos que emplea un sistema de grabación magnética para almacenar archivos digitales

19

Logs de seguridad.

• Un log es un registro oficial de eventos durante un rango de tiempo en particular.

Trazo de paquetes de red.

• Paquete de red o paquete de datos es cada uno de los bloques en que se divide la información para enviar, en el nivel de red.

20

CRIMINALÍSTICA DIGITAL

21

¿Qué es la criminalística digital?

• Es una practica emergente que busca articular las practicas generales de la criminalística tradicional para indagar, reconocer y presentar un análisis científico y formal de la evidencia digital disponible en una escena del crimen.

22

Perito informático• El perito es una figura esencial en gran parte de los

procesos Judiciales.

• El perito informático es considerado en todo momento por la Justicia como un experto independiente cuya misión consiste en investigar una serie de dispositivos informáticos con el fin de encontrar evidencias que ayuden a esclarecer los hechos.

• Redactará un informe en el que reflejará los hallazgos fruto de su investigación, y finalmente responderá en el Tribunal a las preguntas de las partes y del Juez relativas a su trabajo.

23

Ámbito de actuación• Cada vez es más habitual encontrar

litigios donde la informática forma parte fundamental del proceso.

• Puede darse en muchos casos: propiedad intelectual, revelación de secretos, fraudes, espionaje, incumplimiento de contratos.

• En todos ellos se precisa un informe pericial emitido por expertos informáticos.

24

PORQUÉ CONTRATAR UN PERITO INFORMÁTICO

• Un Perito Informático Forense que trabaje con la Justicia, tiene muy claro que no sólo el trabajo se compone de un buen informe.

• Puede ayudar a esclarecer muchos temas, incluso si unos archivos han sido borrados, el perito podrá incluso dictaminar el momento exacto en el que se han borrado estos.

• Pueden presentar un informe pericial en un proceso Judicial para que el Juez pueda contemplarlo.

25

ESTRUCTURA BASE DE UN INFORME PERICIAL

• Un informe pericial tiene como objetivo entregar y revelar la opinión de un perito, sobre un tema específico de su especialidad. Esta diligencia de análisis y detalle de los objetos propios del caso puede ser solicitada por la defensa o sugerida por la fiscalía.

26

ASUNTO RELACIONADO

ANÁLISIS DE CPU PARA PROCESO DE DIVORCIO

27

Antecedentes:

• Un particular inmerso en un proceso de divorcio, necesita el análisis de su ordenador personal para buscar pruebas que inculpasen a su cónyuge.

Objetivo:

• Analizar el ordenador y realizar una descripción tanto técnica como de su contenido, incluyendo programas instalados y archivos destacables asociados a cada programa.

28

Actuación Pericial:• Se realizó un análisis del ordenador manteniendo la

integridad de los medios originales y sin alterar ninguna evidencia electrónica.

• Se realizó una descripción detallada a nivel de hardware y software del ordenador.

• Se analizaron las carpetas y archivos que existían.

Se descubrió que existía en dichas carpetas alto contenido de pornografía infantil

Se descubrieron en los archivos conversaciones y cartas que el cónyuge había mantenido con otra mujer.

Se descubrieron numerosos archivos relacionados con su trabajo que vulneraban la protección de datos.

29

30

31

32

Hugo

33

Paco

34

Luis

35

HUELLA DEL ENCUADRAMIENTO

DEL DELITO.

36

37

CONCLUSIÓN

38

El cómputo forense nos permite la solución de conflictos tecnológicos relacionados con seguridad informática y protección de datos.

En ellas se aplican técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Es importante que un experto en la materia como lo son los peritos informáticos, los ingenieros informáticos, etc; sean quienes manipulen esta información.

39