Principios de la Informática Forense

8/12/2019 Principios de la Informática Forense

http://slidepdf.com/reader/full/principios-de-la-informatica-forense 1/30

PRINCIPIOS DE LA INFORMATICA

FORENSE

Mg. Hugo Ramiro AmbrosioBejarano



INFORMATICA FORENSE

Es un método probatorio consistente en la revisión científica,tecnológica y técnica, con fines periciales, de una colección de

evidencias digitalizadas para fines de investigación o legales.

Cada caso específico debe ser analizado como si fuera a juicio,

de esta manera cualquier investigación en Informática Forense

puede soportar un escrutinio legal.

Informática Forense al conjunto multidisciplinario de teorías,

técnicas y métodos de análisis que brindan soporteconceptual y procedimental a la investigación de la prueba

indiciaria informática.

2



INFORMATICA FORENSE

El propósito de la Informática Forense consiste en contribuir endeterminar la identificación de los responsables del delito

informático.

También permite esclarecer la causa original de un ilícito o

evento particular para asegurar de que no se vuelva a repetirse.

La Informática Forense es aplicable tanto en los casos llevados

a juicio como en las investigaciones particulares solicitadas

por las empresas u organismos privados con fines deprevención.

3



INFORMATICA FORENSE

Objeto: la prueba indiciaria informática. Método: Desarrollar mecanismos de análisis criminalística,

con soporte científico, tecnológico y técnico, sobre la prueba


Tipicidad: Aunque se trata de una construcción

transdisciplinaria, posee características propias derivadas de

sus diferencias conceptuales con las restantes ciencias

forenses.

Especificidad: Su empleo, desde punto metodológico:

1. Análisis Pericial de la Prueba Indiciaria Informática.2. Gestión Integral de la Prueba Documental Informática.

3. Auditoria Informática Forense.

4



La informática forenses, como instrumento deanálisis de la realidad

Por su propia naturaleza, la Informática Forense tiende a generar

un modelo de comportamiento racional con soporte científico,

tecnológico y técnico respecto de la prueba indiciaria disponible

en un determinado lugar.

Este modelo de comportamiento, incluyendo sus

consideraciones sociales, criminológicas y criminalística,

instrumentado por medios idóneos, como, por ejemplo, la

realidad virtual, se constituye en una autentica reconstrucción

del hecho virtual. De ahí que la utilidad se expanda mas allá del

ámbito jurídico y judicial.

5



EVIDENCIA

Certeza manifiesta y tan perceptible de una cosa que nadiepuede racionalmente dudar de ella. Material sensible

significativo que ha sido objeto de peritación.

EVIDENCIA DIGITAL

Es la certeza clara, manifiesta y tan perceptible que nadie puede

dudar de ella. Asimismo, es cualquier mensaje de datos

almacenados y trasmitidos por medio de un Sistema deInformación que tengan relación con el hecho indebido que

comprometa gravemente el sistema y que posteriormente guie a

los investigadores al descubrimiento de los incriminados.

6



Fuentes de la evidencia digital

1. SISTEMAS DE COMPUTACION ABIERTOS: Son aquellos queestán compuestos de las llamadas computadoras personales

y todos sus periféricos como teclados, ratones y monitores,

las computadoras portátiles y los servidores.

2. SISTEMAS DE COMUNICACIÓN: Están compuestos por la

redes de telecomunicaciones, la comunicación inalámbrica y

el Internet, gran fuentes de información y evidencia digital.

3. SISTEMAS CONVERGENTES DE COMPUTACION: Aquellosformados por los teléfonos celulares llamados inteligentes,

los sistemas inteligentes y de convergencia digital.

7



CLASIFICACION DE LA EVIDENCIA DIGITAL

Registros generador por computador: Generados comoefecto de la programación de un computador, son inalterables

por una persona, llamados registros de eventos de seguridad

y sirven como prueba tras demostrar el correcto y adecuado

funcionamiento del sistema o computador que genero elregistro.

8




Registros no generados sino simplemente almacenados poro en computadores: Generados por una persona, y que son

almacenados en el computador, por ejemplo, un documento

realizado con un procesador de palabras. En estos registros es

importante lograr demostrar la identidad del generador, yprobar hechos o afirmaciones contenidas en la evidencia

misma.

9




Registro híbrido que incluyan tanto registros generados porcomputador como almacenados en los mismos: Los registros

híbridos son aquellos que combinan afirmaciones humanas y

los registros llamados de evento de seguridad.

10



EVIDENCIA DIGITAL Puede ser duplicada de forma exacta y se puede sacar una

copia para ser examinada como si fuera la original.

Mediante herramientas informáticas existentes se puede

comparar la evidencia digital con su original, para determinar

si ha sido alterada.

Es muy fácil de eliminar. Aun cuando un registro es borrado

del disco duro del computador, y éste ha sido formateado, es

posible recuperarlo.

Cuando los individuos involucrados en un crimen tratan de

destruir la evidencia, existen copias que permanecen en otros

sitios.

11



MANIPULACION DE EVIDENCIA DIGITAL

Hacer uso de medios forenses estériles (para copias deinformación)

Mantener y controlar la integridad del medio original. Esto

significa, que a la hora de recolectar la evidencia digital, lasacciones realizadas no deben cambiar nunca esta evidencia.

Cuando se necesario que una persona tenga acceso a

evidencia digital forense, esa persona debe ser un profesional

forense.

12



MANIPULACION DE EVIDENCIA DIGITAL

Las copias de los datos obtenidos, deben estar correctamentemarcadas, controladas y preservadas. Y al igual que los

resultados de la investigación, deben estar disponibles para su

revisión.

Siempre que la evidencia digital este en poder de algún

individuo, este será responsable de todas la acciones tomadas

con respecto a ella, mientras este en su poder.

Las agencias responsables de llevar el proceso de recolección

y análisis de la videncia digital, serán quienes deben

garantizar el cumplimiento de los principios de criminalística.

13



INFORMATICO FORENSE

Objeto: la prueba indiciaria informática. Método: Desarrollar mecanismos de análisis criminalística,

con soporte científico, tecnológico y técnico, sobre la prueba


Tipicidad: Aunque se trata de una construcción

transdisciplinaria, posee características propias derivadas de

sus diferencias conceptuales con las restantes ciencias

forenses.

Especificidad: Su empleo, desde punto metodológico:

1. Análisis Pericial de la Prueba Indiciaria Informática.2. Gestión Integral de la Prueba Documental Informática.

3. Auditoria Informática Forense.

14



LOS ROLES EN LA INVESTIGACION

La investigación científica de una escena del crimen es unproceso formal, donde el investigador forense, documenta y

adquiere toda clase de evidencias, usa su conocimiento

científico y sus técnicas para identificarla y generar indicios

suficientes para resolver un caso.

15



1. TECNICOS EN ESCENA DEL CRIMEN INFORMATICAS: Son los

primeros en llegar a la escena del crimen, son los encargadosde recolectar las evidencias que ahí se encuentran. Tiene

una formación básica en el manejo de evidencia y

documentación, al igual que en reconstrucción del delito, y la

localización de elementos de convicción dentro de la red.

2. EXAMINADORES DE EVIDENCIA DIGITAL O INFORMATICA: Aquellos responsables de procesar toda la evidencia digital o

informática obtenida por los Técnicos en Escenas del Crimen

Informáticos. Para esto dichas personas requieren tener unalto grado de especialización en el área de sistemas e

informática.

16



1. 3. INVESTIGADORES DE DELITOS INFORMATIOS: Son los

responsables de realizar la investigación y la reconstrucciónde los hechos de los Delitos Informáticos de manera general,

son personas que tienen un entrenamiento general en

cuestiones de informática forense, son profesionales en

seguridad informática, Abogados, Policías, y examinadores

forenses.

17



EL PERFIL DEL INVESTIGADOR FORENSE

Debe de regirse bajo los Principios:

1. OBJETIVIDAD: El investigador Forense debe ser objetivo,

debe observar los códigos de ética profesional.

2. AUTENTICIDAD Y CONSERVACION: Durante la investigación,

se debe conservar la autenticidad e integridad de los medios

probatorios.

3. LEGALIDAD: El perito debe ser preciso en sus observaciones,opiniones y resultados, conocer la legislación respecto de sus

actividades periciales y cumplir con los requisitos

establecidos por ella.

18



4. IDONIEDAD: Los medios probatorios debe ser auténticos, ser

relevantes y suficientes para el caso.

5. INALTERABILIDAD: En todos los casos, existirá una cadena de

custodia debidamente asegurada que demuestre que los

medios no han sido modificados durante la pericia.

6. DOCUMENTACION: Deberá establecer por escrito los pasos

dados en el procedimiento pericial

El perfil que debe demostrar es de un profesional híbrido queno le es indiferente su área de formación profesional, con

temas de: Tecnología de la información, ciencias jurídicas,

criminalística y de las ciencias forenses.

19



Principios y relaciones periciales informáticoforenses

Principio de entidad pericial propia.- El empleo de los medios

informáticos como instrumentos de conformación de prueba

indiciaria informático forense. Prueba que si bien constituye una

parte de la Criminalística y en lo formal no difiere de cualquierotra prueba pericial, se integra con metodología propia, que

permite asegurar la detención, identificación, documentación,

preservación y traslado de la evidencia obtenida, con técnicas e

instrumentos propios e inéditos para las ciencias criminalísticas.

En ese sentido, la prueba indiciaria informático forense, requiere

de cuidados específicos que la diferencian de otras pruebas

periciales.

20




Principio de protección y preservación.- Cadena de custodia

estricta y con certificación unívoca comprobable.

21




Principio de identidad impropio (de copias).- Del original, ya

que cuando se duplica un archivo informático la copia no es igual

a la original sino idéntica (un bit no difiere de otro bit y entre sí

son identificables unívocamente).

22




Principio tecnológico transdisciplinario.- Se requiere

conocimientos específicos por parte de todos los involucrados

en la prueba indiciaria informático forense:

• Jueces para evaluar correctamente la prueba.

• Fiscales y abogados para efectuar la presentación de manera

adecuada y oportuna.

• Profesionales de la Criminalística y otros peritos, para no

contaminar dicha prueba durante sus propias tareas pericialesa su preservación.

• Funcionario judiciales y policiales a efectos de proteger y

mantener la cadena de custodia establecida.

23




Principio de oportunidad.- Debido a su finalidad de destrucción

normalmente requiere de tareas complementarias que aseguren

su recolección (medidas preliminares, inspecciones o

reconocimientos judiciales, ordenes de allanamiento o de

intercepción judicial)

24




Principio de compatibilización legislativa internacional.- Gran

parte de los contratos particulares celebrados en el marco del

derecho Internacional Privado se realiza mediante

comunicaciones digitales (instrumentos de correo electrónico en

claro o cifrado y certificadas por medido de claves criptográficas

o firmas digitales). Estas actividades no solo devienen en

demandas civiles, comerciales y laborales internacionales, sino

que en algunas oportunidades constituyen delitos tipificados en

la legislación de casa país.

25




Principio de vinculación estricta.- Gran parte de los contratos

particulares celebrados en el marco del derecho Internacional

Privado se realiza mediante comunicaciones digitales

(instrumentos de correo electrónico en claro o cifrado y

certificadas por medido de claves criptográficas o firmas

digitales). Estas actividades no solo devienen en demandas

civiles, comerciales y laborales internacionales, sino que en

algunas oportunidades constituyen delitos tipificados en la

legislación de casa país.

26



Principio de Criminalística

Principio del intercambio.- Locard, nos dice que cuando dos

objetos entran en contacto siempre existe una transferencia de

material entre el uno y el otro. Es decir que cuando una persona

esta en una escena del crimen esta deja algo de si misma dentro

de la escena, y a su vez cuando sale de ella esta se lleva algo

consigo.

Ej. En el caso de las bitácoras o LOGS del sistema operativo de un

equipo informático utilizado por un Hacker o Cracker para

romper las seguridades de un programa o vulnerar la seguridadde un Sistema Informático remoto. En dicha bitácora el

investigador podre encontrar registrada dicha actividad ilegal.

27



PRINCIPIO FUNDAMENTAL EN LAS CIENCIASFORENSES

ESCENA DEL CRIMEN

INCRIMINADO VICTIMA

EVIDENCIA



PRINCIPIO DE INTERCAMBIO

OBJETO 1

OBJETO 2

LA INTERACCION CAUSA INTERCAMBIO DE DATOS

LA INTERACCION CAUSA INTERCAMBIO DE DATOS



Gracias por su atención

99904327

[email protected]

Principios de la Informática Forense

Documents

Transcript of Principios de la Informática Forense