Tesis Roberto Lopez Formato Ver1

7/25/2019 Tesis Roberto Lopez Formato Ver1

1/43

Resumen

El constante incremento en el uso de las nuevas tecnologas de informacin por las

empresas ha ocasionado una gran dependencia de las mismas, a causa de ello, por diversas

razones, principalmente empleados descontentos, datos importantes para las empresas se

pierden, generando prdidas econmicas. Existen diversas tcnicas de informtica forense

que ayudan en la recuperacin de datos perdidos, incluso softare especializado en

informtica forense que puede ayudar a las empresas a evitar prdidas o en la recuperacin

de datos y por lo tanto, evitar prdidas econmicas.


2/43

!a"la de contenidoResumen............................................................................................................. 1

Lista de Figuras...................................................................................................4

Lista de tablas..................................................................................................... 5

Introduccin........................................................................................................ 6

#ostos asociados a la seguridad de la informacin en las empresas...................................$

%&u es la informtica forense'..........................................................................................(

)rincipios del forensics.......................................................................................................*

+erramientas tecnolgicas................................................................................................-

+erramientas de informtica forense de hardare y softare..........................................-

#ausas de daos................................................................................................................/Recuperando informacin de la computadora................................................................../

Justifcacin....................................................................................................... 13

Objetio !eneral............................................................................................... 13

Objetios "s#ec$fcos........................................................................................13

%reguntas de inestigacin............................................................................... 14

&escri#cin del contenido.................................................................................14

0ntroduccin a la informtica forense 12forensics34..........................................................5

'(u) es *+orensics,-...................................................................................15

'u/les son los objetios de *+orensics,-...................................................15

0sos de *+orensics,.....................................................................................16

6istincin entre documentos electrnicos y documentos impresos 154..........................$

!cnicas de 2forensics2.....................................................................................................(

%#mo se puede recuperar evidencia "orrada'.................................................................7

Funcionamiento de los dis#ositios de almacenamiento............................1

"scritura de datos en dis#ositios de almacenamiento..............................1

Lectura de datos en dis#ositios de almacenamiento................................21

)roceso de 2forensics3......................................................................................................//

Identifcacin de la eidencia digital...........................................................23


3/43

"traccin #reseracin del material in+orm/tico....................................24

n/lisis de datos.........................................................................................26

File lac7 819: 21;....................................................................................... 26

rcindo=s 819: 21;.............................................................2?

0nallocated fle s#ace 819: 22;...................................................................29

+erramientas de 2forensics3............................................................................................./7

@erramientas #ara la recoleccin de eidencia..........................................29

@erramientas de monitoreo Ao control de com#utadoras..........................33

Belogger 825;............................................................................................33

@erramientas de marcado de documentos819;..........................................34

@erramientas de


4/43

>ista de ;iguras

;ig. )rincipales ru"ros de costos asociados a la seguridad de la informacin en su

organizacin1>opez, /--$4.....................................................................................................(

;ig. /. Etapas de una investigacin 1#am"r?n, /--*4...........................................................*

;ig. 8 @na ca"eza de escritura1Ascar >opez, /--/4............................................................/-

;ig. 9 Escri"iendo datos en un medio de almacenamiento1Ascar >opez, /--/4................./

;ig. 5 >eyendo datos desde un medio de almacenamiento1Ascar >opez, /--/4.................//

;ig. $ Betodologa de tra"aCo para anlisis de datos1Dcosta onzalo, /--(4...................../8

;ig. ( Elementos para la identificacin de evidencia.1Dcosta onzalo, /--(4.................../9

;ig. 7 Elementos para la preservacin de evidencia1Dcosta onzalo, /--(4....................../5

;ig. * Elementos para el anlisis de evidencia.1Dcosta onzalo, /--(4............................./$

;ig. - #ategoras generales de incidentes1)ino, /--(4......................................................9


5/43

>ista de ta"las

Eabla 1 eguridad en algoritmos de


6/43

0ntroduccin

#on la adopcin cada vez ms frecuente de las tecnologas de informacin por las

empresas, la dependencia de la informacin digital es cada vez mayor y por lo tanto se

tienen que preparar y utilizar recursos para proteger dichos datos e inclusive recuperar

algunos de esos datos que pueden llegar a perderse por distintos motivos principalmentepor la accin de virus informticos1Richardson F 6irector, /--(4. En algunos casos la

perdida de informacin se de"e a empleados descontentos que realizan fraudes y en esos

casos se pueden llegar a acciones penales contra ellos, sin em"argo para o"tener las prue"as

necesarias para proceder legalmente, es necesario el uso de tcnicas y herramientas tanto de

softare como de hardare 16avis, )hilipp, F #oen, /--54 para o"tener dichas prue"as,

aunque dichas tcnicas y herramientas pueden ser usadas con otros propsitos como la

proteccin de los datos para evitar su prdida o recuperar datos que fueron "orrados

accidentalmente y que son crticos para la empresa, ya que sta depende directamente de la

informacin que generan sus sistemas de informacin1>opez, /--$4.

#ostos asociados a la seguridad de la informacin en las empresas.

Es difcil elegir o dar prioridad a solo algunos ru"ros que intervienen en los costos que

implica la seguridad de la informacin. D continuacin se presenta un mapa mental para

tratar de deCar ver un panorama general de la informacin.

;ig. )rincipales ru"ros de costos asociados a la seguridad de la informacin en su

organizacin1>opez, /--$4

#on el grfico anterior se puede decir que si se tiene una especial importancia por las


7/43

!ecnologas de 0nformacin 1!04.

>a prdida de informacin sin una correcta planificacin e implementacin de medias de

seguridad, podra requerir de una alta inversin en tiempo e incluso dinero para su

recuperacin, y eso siempre y cuando sea posi"le ya que no siempre lo es, o por lo menos

no totalmente. En un entorno empresarial esto es aun ms grave ya que la disponi"ilidad de

la informacin es fundamental para el correcto desarrollo de su actividad diaria.1#erpa,

/--*4

%&u es la informtica forense'

Existen m?ltiples definiciones a la fecha so"re el tema forense en informtica. @na primera

revisin nos sugiere diferentes trminos para aproximarnos a este tema, dentro de los cuales

se tienenG computacin forense, digital forensics 1forensia digital4, network forensics1forensia en redes4, entre otros. >a informtica forense se puede definir entonces como la

disciplina cientfica y especializada que entendiendo los elementos propios de las

tecnologas de los equipos de computacin ofrece un anlisis de la informacin residente en

dichos equipos.1#ano, /--$4

>a informtica forense se ocupa de la utilizacin de los mtodos cientficos aplica"les a la

investigacin de los delitos, no solo informticos y donde se utiliza el anlisis forense de las

evidencias digitales, en fin toda informacin o datos que se guardan en una computadora o

sistema informtico. En conclusin diremos que la informtica forense es 2la ciencia

forense que se encarga de la preservacin, identificacin, extraccin, documentacin y

interpretacin de la evidencia digital, para luego sta ser presentada en una corte de

Custicia3.1)ino, /--(4

:i "ien la informtica forense est encaminada a la resolucin de casos de ndole penal, las

tcnicas y herramientas de las que hace uso, se pueden usar con otros fines, como la

proteccin y recuperacin de datos informticos. )ara ello se tienen que tener en claro las

partes que pudieran estar involucradas en la prdida de informacin, para este propsito se

han creado categoras a fin de hacer una necesaria distincin entre el elemento material de

un sistema informtico o hardare 1evidencia electrnica4 y la informacin contenida en

este 1evidencia digital4.1)ino, /--(4


8/43

)rincipios del forensics

Existen un gran n?mero de principios "sicos que son necesarios independientemente de si

ests examinando un ordenador o un cadverG

. Evitar la contaminacin.En televisin salen los examinadores forenses ataviados

con "atas "lancas y guantes, tomando las prue"as con pinzas y ponindolas en

"olsas de plstico selladas. !odo ello es para prevenir la 2contaminacin3.1Hiles,

/--942. Actuar metdicamente. En cualquier cosa que se haga, si se tuviera que ir a un

Cuicio, se necesitara Custificar todas las acciones que se hayan realizado. :i se

actuara de manera cientfica y metdica, tomando cuidadosas notas de todo lo que

se hace y como se hace, esta Custificacin sera mucho ms fcil.1Hiles, /--943. Cadena de evidencias. :ignifica que, en cualquier momento del tiempo, se pueda

Custificar quien ha tenido acceso y donde ha sido, eliminando as la posi"ilidad de

que alguien haya podido sa"otearlo o falsificarlo de alguna manera.1Hiles, /--94

;ig. /. Etapas de una investigacin 1#am"r?n, /--*4


9/43

+erramientas tecnolgicas

6e forma glo"al, las herramientas tecnolgicas que hay son muchas a nivel mundial. :u

funcionalidad como se menciono anteriormente viene a ser la de ayudar al perito que

realiza una investigacin a encontrar meCores prue"as y de una forma ms exacta y precisa,

y que a la postre, sirva como evidencia clara para el de"ido proceso penal.1Drias #haves,

/--$4

Dlgunas de las herramientas que con frecuencia son utilizadas en procesos de informtica

forense sonG

E


10/43

#ausas de daos

>a perdida de informacin ocurre por diversos motivos, de acuerdo a una encuesta

realizada en /--7 a diversas organizaciones, los incidentes por virus ocurren cada vez ms

frecuentemente, teniendo casi la mitad de las respuestas 1un 9*J4, el segundo incidente

ms com?n son los a"usos de redes con un 99J, seguidos por el ro"o de laptops y otros

dispositivos mviles.1Richardson F 6irector, /--(4

Recuperando informacin de la computadora.

)ara entender cmo funciona la recuperacin de datos perdidos, primero hay que entender

que la informacin se guarda en medios fsicos por lo tanto no existe como tal sino mas

"ien se encuentra latente como una forma 2metafsica3 por lo cual puede ser accedida de

alguna manera. >os discos duros guardan la informacin de forma magntica y los datos se

van so"rescri"iendo, utilizando algunas tcnicas especializadas, es posi"le acceder a2historiales magnticos3 de los datos "orrados y recuperarlos.1


11/43

Kustificacin

#on el gran auge de las tecnologas de informacin, cada vez es ms com?n la perdida de

datos por parte de los usuarios, ya sea de una forma accidental o deli"erada, lo cual, para

las empresas, es una perdida principalmente de recursos econmicos, desgraciadamente

esto es muy com?n en las promesa, ya sea por errores de captura, o lo ms frecuente,empleados descontentos.1Lacca, /--54

>a prdida de informacin sin una correcta planificacin e implementacin de medidas de

seguridad, podra requerir de una alta inversin en tiempo e incluso dinero para su

recuperacin, y eso siempre y cuando sea posi"le ya que no siempre lo es, o por lo menos

no totalmente. En un entorno empresarial esto es a?n ms grave ya que la disponi"ilidad de

la informacin es fundamental para el correcto desarrollo de su actividad diaria.1#erpa,

/--*4

Existen diferentes herramientas que ayudan en la recuperacin de datos, el anlisis de

intrusos, proteccin de atacantes, entre otras que, con el conocimiento adecuado permitiran

a las )ymes recuperar informacin perdida o incluso prevenir que suceda dicha perdida.

1#asey, /--/4A"Cetivo eneral

Dnalizar los "eneficios del uso de tcnicas y herramientas de 2forensics3 para apoyar a en

la recuperacin y prevencin de prdida de datos en pequeas y medianas empresas.

A"Cetivos Especficos

6eterminar cules son las diferentes herramientas de 2forensics3 que existen en el

mercado.

Dnalizar las diferencias entre las herramientas de 2forensics3. 6eterminar cul es el giro empresarial ms afectado por la prdida de informacin en

6urango.

)reguntas de investigacin.

%#ul sector de empresas sera el ms "eneficiado al implantar tcnicas y herramientas de

2forensics3'%Es necesario personal especializado para implantar las tcnicas de 2forensics3'

%#on que frecuencia se pierden datos en las empresas'

6e los datos perdidos, %qu cantidad es imprescindi"le para la empresa'%&u consecuencia trae consigo la perdida de informacin digital'

+iptesis


12/43


13/43

0ntroduccin a la informtica forense 12forensics34

>a informtica forense est adquiriendo cada vez ms importancia en el rea de la

informacin electrnica, esto de"ido al aumento del valor de la informacin as como al uso

que se le da a sta, al desarrollo de nuevos lugares donde es usada 1por EC. 0nternet4, y alextenso uso de computadoras por parte de las compaas de negocios tradicionales 1por EC.

"ancos4. Es por esto que cuando se realiza un crimen, muchas veces la informacin queda

almacenada en forma digital. :in em"argo, existe un gran pro"lema, de"ido a que las

computadoras guardan la informacin de informacin forma tal que no puede ser

recolectada o usada como prue"a utilizando medios comunes, se de"en utilizar mecanismos

diferentes a los tradicionales. Es de aqu que surge el estudio de la computacin forense

como una ciencia relativamente nueva.

%&u es 2forensics3'

Existen diversos conceptos acerca de 2forensics3, sin em"argo todos ellos van enfocados

hacia la adquisicin, preservacin, y presentacin de datos que han sido procesados y

guardados en un medio electrnico. Dunque el propsito inicial de 2forensics3 est

orientado hacia aspectos legales las tcnicas y herramientas en las que se "asa 1Moung,

/--54 pueden ser usadas con otros fines y dependiendo de por quin sean usadas, puede

resultar en "eneficio de las empresas yNo particulares.

%#ules son los o"Cetivos de 2forensics3'

>os o"Cetivos de 2forensics3 como tal, son los siguientesG1iovanni Ouccardi, /--$4

. >a compensacin de los daos causados por los criminales o intrusos.

/. >a persecucin y procesamiento Cudicial de los criminales.

8. >a creacin y aplicacin de medidas para prevenir casos similares.

:in em"argo, para los efectos de la presente investigacin se tomara como o"Cetivo

primordial de 2forensics3 el punto n?mero 8 2>a creacin y aplicacin de medidas para


14/43

prevenir casos similares3, ya que lo que se "usca es disminuir al mximo los riesgos de

prdida de informacin en las empresas.

@sos de 2forensics3

2;orensics3 no est ligado ?nicamente hacia aspectos legales sino que puede a"arcar varios

aspectos generales entre ellos se pueden mencionar los siguientesG

)rosecucin #riminal

>itigacin #ivil

0nvestigacin de :eguros

!emas corporativos

Bantenimiento de la ley

#omo se puede o"servar, los diversos usos de 2forensics2 pueden ser desde aspectos

simples como la perdida de informacin empresarial hasta casos graves como estafas

"ancarias, es por ello que se pueden usar las tcnicas y herramientas que usa 2forensics2 en

varios escenarios.

6istincin entre documentos electrnicos y documentos impresos 10. R. >inda Lolonino,

/--4

#uando se piensa en nuevas tecnologas 1tales como documentos electrnicos4 en trminos

de tecnologa 2antigua3 1)apel y tinta4, no se pueden apreciar las caractersticas y

potenciales distintivos. M esto se de"e principalmente a la resistencia que tienen laspersonas al cam"io, por eCemplo, cuando la electricidad se invento y los focos vinieron a

reemplazar a las lmparas de gas, la gente cam"ia"a muy rpido los focos para que la

electricidad no 2goteara3 so"re el soc=et. :e tuvieron que poner anuncios so"re los focos

para que la gente los leyera 2Este cuarto est equipado con la luz elctrica Edison.


15/43

intente encenderla con un cerillo. :implemente encienda el apagador que est en la pared

cerca de la puerta3. !odo esto se de"e a la resistencia que tenan las personas en aquellos

tiempos al cam"io, esta"an tan acostum"rados a utilizar lmparas de gas, cerillos y dems

accesorios que cuando llego aquel descu"rimiento tan innovador, lidiaron contra sus

actividades cotidianas para dar paso a algo nuevo y "enfico. #on los documentos

electrnicos y los documentos 2tradicionales3 pasa lo mismo, la resistencia que tenemos

para utilizar algo 2nuevo3 es muy grande, ya que se pueden pensar cosas comoG

%#mo se compartirn mis documentos'

%#mo van a firmar mis documentos'

%#mo almacenar mis documentos'

:i tengo todos mis documentos en la computadora cualquier persona podr verlos,

es preferi"le mantenerlos "aCo llave en el archivero.

>a principal causa de los puntos antes mencionados es el desconocimiento del potencial de

las nuevas tecnologas las cuales hacen de los documentos electrnicos una herramienta

muy poderosa, y es por ello que las empresas han optado por cam"iar paulatinamente hacia

las nuevas tecnologas y deCar atrs los esquemas tradicionales de tra"aCo.

!cnicas de 2forensics2

>as tcnicas forenses son aquellas que surgen de una investigacin metdica para

reconstruir una secuencia de eventos. >as tcnicas de forense digital son el arte de recrear

que ha pasado en un dispositivo digital. Existen dos aspectos principales so"re los cuales

tra"aCarG1Dcosta onzalo, /--(4

>o que hace un usuario en su equipo, Recuperacin de archivos eliminados

6esencriptacin elemental

H?squeda de cierto tipo de archivos

H?squeda de ciertas frases


16/43

A"servacin de reas interesantes del computador

>o que hace un usuario remoto en otro equipo,

>eer archivos de registro

Reconstruir acciones Rastrear el origen

Dnlisis de conexiones desde o hacia el host

2Forensics hace uso de diversas tcnicas especializadas as como herramientas

sofisticadas para ver informacin que no puede ser accedida por usuarios comunes. Esta

informacin pudo ha"er sido "orrada por el usuario meses o incluso aos antes de que se

sucediera la investigacin o incluso pudo nunca ha"er sido guardada, pero puede aun existiren parte del disco duro.1+assell, /--94

6ependiendo de la naturaleza de la investigacin, puede ser recomenda"le la creacin de

una imagen del disco, para as analizar ?nicamente la imagen y evitar la so"reescritura de

informacin por el sistema operativo ya que en ocasiones el propio sistema operativo

realiza actualizaciones so"re archivos automticamente. )or eCemplo, en un sistema

Pindos, ms de $- alteraciones son realizadas a los archivos cuando la computadora es

encendida. 6ichos cam"ios no son visi"les para el usuario, pero los cam"ios que pueden

ocurrir pueden alterar o incluso "orrar evidencia.1+assell, /--94

%#mo se puede recuperar evidencia "orrada'

El sistema operativo de una computadora utiliza un directorio que contiene el nom"re y

lugar de cada archivo en el disco. #uando un archivo es "orrado, varios eventos toman

lugar en una computadora. @n marcador de estatus de archivo es activado para mostrar que

el archivo ha sido "orrado. @na marca de estatus de disco es colocada para mostrar que el

espacio est disponi"le para otro uso. #on esto el usuario no podr ver el archivo listado en

un directorio, sin em"argo no se ha realizado ning?n cam"io al archivo mismo. Qste

espacio nuevo es llamado li"re o sin asignar y hasta que sea escrito por otro archivo, el

especialista forense puede o"tener dicho archivo sin pro"lema.


17/43

En muchos casos, incluso cuando el usuario ha desfragmentado o reformateado un disco, la

evidencia aun se puede recuperar. Buchos datos no son alterados por desfragmentar un

disco, porque muchos documentos contienen informacin interna que descri"e fechas,

usuarios y otros datos histricos que pueden ser ?tiles. Bientras que formatear un disco

reconstruye el sistema de archivos, no elimina la informacin que previamente exista en el

disco.

;uncionamiento de los dispositivos de almacenamiento

>a mayor parte de los dispositivos de almacenamiento actuales, se "asan en el principio

magntico que se de"e a los siguientes fenmenos fsicosG

@na corriente elctrica produce un campo magntico.

Dlgunos materiales se magnetizan con facilidad cuando son expuestos a un campo

magntico d"il. #uando el campo se apaga, el material se desmagnetiza

rpidamente.

En algunos materiales magnticos suaves, la resistencia elctrica cam"ia cuando elmaterial es magnetizado. >a resistencia regresa a su valor original cuando el campo

magntico es apagado.

Atros materiales se magnetizan con dificultad, pero una vez que se magnetizan,

mantienen su magnetizacin cuando el campo se apaga.

Estos cuatro fenmenos son explotados por los fa"ricantes de ca"ezas gra"adoras

magnticas, que leen y escri"en datos, para almacenar y recuperar datos en unidades dedisco. Dplicndolos en los siguientes puntosG 1Ascar >opez, /--/4

#a"ezas de escrituraG Escri"en "its de informacin en un disco magntico giratorio.

#a"ezas de lecturaG >een "its de informacin.


18/43

Bedios de almacenamientoG son magnetizados de forma permanente en una

direccin determinada por el campo de escritura.

Escritura de datos en dispositivos de almacenamiento

En la siguiente figura se muestra un esquema simplificado de una ca"eza de escritura. >a

vista superior de una ca"eza de escritura 1izquierda4 muestra un rollo espiral, envuelto entre

dos capas de material magntico suaveG a la derecha est un corte transversal de esta ca"eza

vista de lado. En el extremo inferior, hay un espacio entre las capas, y en el extremo

superior, las capas estn unidas. >as capas superior e inferior de material magntico se

magnetizan con facilidad cuando fluye una corriente elctrica en el rollo espiral, de tal

forma que estas capas se vuelven los polos opez, /--/4

>as computadoras almacenan los datos en un disco giratorio en forma de "its transmitidos a

la unidad de disco en una secuencia de tiempo correspondiente a los dgitos "inarios uno ycero. Estos "its son convertidos en una onda de corriente elctrica que es transmitida por

medio de ca"les al rollo de la ca"eza de escritura tal como se muestra en la siguiente figura.

En su forma ms simple, un "it uno, corresponde a un cam"io en la polaridad de la

corriente, mientras que un "it cero corresponde a la ausencia de cam"io en la polaridad de

la corriente de escritura. En otras pala"ras los unos almacenados aparecen en donde ocurre


19/43

una inversin en la direccin magntica en el disco y los ceros residen entre los unos.

;ig. 9 Escri"iendo datos en un medio de almacenamiento

;uenteG1Ascar >opez, /--/4

@n reloC de regulacin esta sincronizado con la rotacin del disco y existen celdas de "it

para cada tic de reloCG algunas de estas celdas de "its representaran un uno y otras

representaran ceros. @na vez escritos, los "its en la superficie del disco quedan

magnetizados permanentemente en una direccin hasta que nuevos patrones sean escritos

so"re los vieCos.1Ascar >opez, /--/4

>ectura de datos en dispositivos de almacenamiento

En la actualidad, las ca"ezas de lectura leen datos magnticos mediante resistores

magnticamente sensitivos llamados Vlvulas Spin que explotan el efecto BR1;isher,

/--$4. Estas ca"ezas BRNLlvula :pin son situadas muy cerca del disco de

almacenamiento magntico rotatorio exponiendo el elemento BR a los campos

magnticos de "it previamente escritos en la superficie del disco. :i la ca"eza BR se aleCa

ligeramente del disco la intensidad del campo cae por fuera de un nivel ?til y los datos

magnticos no pueden ser recuperados fielmente. El proceso de lectura incluyendo el ruido,

presente en cualquier dispositivo elctrico se esquematiza en la siguiente figuraG


20/43

;ig. 5 >eyendo datos desde un medio de almacenamiento1Ascar >opez, /--/4

)roceso de 2forensics3

El xito de 2forensics3 es el anlisis de discos duros, discos extra"les, #6, discos :#:0 y

otros medios de almacenamiento. Este anlisis no solo "usca archivos potencialmenteincriminatorios o perdidos sino tam"in otra informacin valiosa como contraseas, datos

de acceso y rastros de actividad en internet.


21/43

;ig. $ Betodologa de tra"aCo para anlisis de datos1Dcosta onzalo, /--(4

Existen muchas formas de "uscar evidencia en un disco, mas aun cuando los usuarios no

tienen la mas mnima idea de cmo funcionan las computadoras y por lo tanto no hacen un

mayor esfuerzo para "orrar archivos.

0dentificacin de la evidencia digital

0dentificar la evidencia digital representa una tarea caracterizada por distintos aspectos.

Entre ellos podemos mencionar el factor humano, que realiza los secuestros de material

informtico, en muchos casos la identificacin y recoleccin de potencial evidencia digital

es realizada por personal que no cuenta con los conocimientos adecuados para llevar a ca"o

las tareas en cuestin.

>a omisin de algunos aspectos tcnicos puede llevar a la perdida de los datos o a la

imposi"ilidad de analizar cierta informacin digital.


22/43

;ig. ( Elementos para la identificacin de evidencia.1Dcosta onzalo, /--(4

Extraccin y preservacin del material informtico.

Extraer y preservar el material informtico durante los 2secuestros de informacin3 implica

considerar la fragilidad de los medios de almacenamiento de datos y la volatilidad de la

informacin. :o"re este aspecto ca"e destacar que existe una gran falencia en lo que se

conoce como 2cadena de custodia3 cuyo o"Cetivo consiste en mantener el registro de todas

las operaciones que se realizan so"re la evidencia digital en cada uno de los pasos de

investigacin detallados. :i al realizar un anlisis de datos se detecta que la informacin

original ha sido alterada, la evidencia pierde su valor pro"atorio.

En cuestiones del transporte de la informacin digital, es muy com?n que los elementos

informticos lleguen sin los ms mnimos resguardos, lo cual puede ocasionar roturas en el

equipamiento, o que la temperatura am"iente no sea la optima para preservar la

informacin, incluso en algunos casos toparse con campos electromagnticos queimposi"ilitaran el anlisis de informacin.


23/43

;ig. 7 Elementos para la preservacin de evidencia1Dcosta onzalo, /--(4

)or ?ltimo los aspectos tcnicos relativos a la no alteracin de la evidencia original. >a

utilizacin de alg?n softare que genere un valor hash a partir de un conCunto de datos es

de gran ayuda de tal manera que el experto en 2forensics3 puede estar seguro que tra"aCa

con la informacin exacta y no corrupta.

!a"la :eguridad en algoritmos de hash 1>yle, /--4

Al!oritmo de hash "ro#a#ilidad de colisin

#R#$ en 8/($7#R#8/ en /9(978$97B65 1/7 "its4 en (-9789$-9$*/8(8$7(8-8(5779-5(/7:+D en /5*

:+D/5$ en //55


24/43

Dnlisis de datos.

Dnalizar involucra aquellas tareas referidas a extraer evidencia digital de los dispositivos de

almacenamiento, sin em"argo dicha operacin puede ser un tanto tediosa, ya que se tienen

que tomar en cuenta diversos factores, tales como el sistema operativo so"re el que se est

tra"aCando, la estructura del sistema de archivos y la cantidad de documentos con los que

cuenta el sistema. Es por ello que las herramientas de 2forensics3 incorporan un sistema de

"?squeda a travs de pala"ras clave, o a travs de fechas, incluso la aplicacin de filtros

para determinados tipos de archivos.

;ig. * Elementos para el anlisis de evidencia.1Dcosta onzalo, /--(4

Entre los recursos que un experto en 2forensics3 puede hacer uso para recuperar

informacin de un dispositivo de almacenamiento, se encuentran los siguientesG

;ile :lac= 1;olgueras Barcos, Dlva !ello, RuizBezcua, F arcia #respo, /--S Ascar

>opez, /--/4

>os archivos son creados en varios tamaos dependiendo de lo que contengan. Dlgunos

sistemas operativos almacenan los archivos en "loques de tamao fiCo llamados

cl?ster, en los cuales raramente el tamao de los archivos coincide perfectamente

con el tamao de uno o muchos cl?steres.


25/43

El espacio de almacenamiento de datos que existe desde el final del archivo hasta el final

del cl?ster se llama 2file slac=3. >os tamaos de los cl?steres varan en longitud

dependiendo del sistema operativo involucrado y en el caso de Pindos, tam"in del

tamao de la particin lgica implicada.

@n tamao ms grande en los cl?steres significan mas file slac= y tam"in mayor prdida

de espacio de almacenamiento. :in em"argo esta de"ilidad de la seguridad de la

computadora crea ventaCas para el experto en 2forensics3 ya que el file slac= es una fuente

significativa de evidencias y pistas.

!a"la / Drea del file slac= 1Moung, /--54

Drchivo sap de Pindos 1;olgueras Barcos, et al., /--S Ascar >opez, /--/4

>os sistemas operativos Bicrosoft Pindos utilizan un archivo especial como un

2cuaderno de apuntes3 para escri"ir datos cuando se necesita memoria de acceso aleatorio

adicional, a estos archivos se les conoce como archivos :ap o archivos de intercam"io.

>os archivos de intercam"io pueden ser muy grandes y la mayora de los usuarios no sa"en

que existen, su potencial es contener archivos so"rantes del tratamiento de procesadores de

texto, los mensaCes electrnicos, la actividad en internet 1coo=ies, archivos temporales,

entre otros4, log de entradas a "ases de datos y casi cualquier tra"aCo que se haya eCecutado


26/43

en las ?ltimas sesiones. !odo esto genera un pro"lema de seguridad por que al usuario

nunca se le informa que es lo que est pasando ya que el proceso es transparente.

>os archivos sap de Pindos proporcionan a los expertos en 2forensics3 pistas esenciales

con las cuales investigar ya que ?nicamente en este archivo se encuentra la informacin yno se podra conseguir de otra manera.

@nallocated file space 1acenga, #atersteel, !oleman, F !anS Ascar >opez, /--/4

#uando los archivos son "orrados o suprimidos, el contenido de los archivos no es

verdaderamente "orrado, a menos que se utilice alg?n softare especial que ofrezca un alto

grado de seguridad en el proceso de eliminacin, los datos 2"orrados3, permanecen en un

rea llamada espacio de almacenamiento no asignado 1unallocated file space4. 0gual sucedecon el file slac= asociado al archivo antes que este fuera "orrado. #onsecuentemente siguen

existiendo los datos, escondidos, pero presentes y pueden ser detectados mediante

herramientas de softare para el anlisis de 2forensics3.

+erramientas de 2forensics3

Existen una gran cantidad de herramientas so"re las que los expertos en 2forensics3 1alup

F 6attero, /--4 pueden valerse para utilizar las tcnicas antes mencionadas y realizar unproceso forense en una o varias computadoras, dichas herramientas pueden ser clasificadas

en cuatro grupos principales para su meCor comprensinG

+erramientas para la recoleccin de evidencia.

Existen una gran cantidad de herramientas para recuperar evidencia. El uso de herramientas

sofisticadas se hace necesario de"ido aG

. >a gran cantidad de datos que pueden estar almacenados en una computadora.

/. >a variedad de formatos de archivos, los cuales pueden variar enormemente,

aun dentro del contexto de un mismo sistema operativo.


27/43

8. >a necesidad de recopilar la informacin de una manera exacta, y que permita

verificar que la copia es exacta.

9. >imitaciones de tiempo para analizar toda la informacin.

5. ;acilidad para "orrar archivos de computadoras.

$. Becanismos de encriptacin o de contraseas.

Entre las herramientas para la recoleccin de evidencia, se pueden mencionar Iazeon

1.=azeon.com4, 6igital 0ntelligence 1.digitalintelligence.com4, TPays Pin+ex

1.xays.netNinhex4, TPays ;orensics 1.xays.netNforensics4, )ara"en

1.para"en.com4, En#ase 1.guidancesoftare.com4, ;!I 1.accessdata.com4,y opez, /--/S softare4

Copiado comprimido de discos fuente. Emplea un estndar sin prdida para crearcopias comprimidas de los discos origen. >os archivos comprimidos resultantes

pueden ser analizados, "uscados y verificados de manera semeCante a los originales.

Esta caracterstica ahorra cantidades importantes de espacio en el disco de la

computadora donde se realizara el anlisis.

Bsqueda y anlisis de mltiples partes de arcivos adquiridos! )ermite al experto

"uscar y analizar m?ltiples partes de la evidencia. Buchos expertos involucran una

gran cantidad de discos duros, discos extra"les, y otros dispositivos de

almacenamiento. #on Encase se pueden analizar todos los posi"les dispositivos a la

vez, ahorrando tiempo.

"iferente capacidad de almacenamiento! >os datos pueden estar en diferentes

unidades 1discos duros, #6, @:H, etc.4. Encase permite copiar de forma


28/43

comprimida todos esos datos a un solo #6RAB manteniendo la integridad del

equipo original.

Varios campos de ordenamiento# incluyendo estampillas de tiempo! )ermite al

especialista ordenar los archivos de acuerdo a diferentes campos incluyendo cuando

se cre, ultimo acceso, ultima escritura, nom"res de archivos, firma de archivos y

extensiones.

$nlisis compuesto del documento! )ermite la recuperacin de archivos internos y

metadatos con la opcin de montar directorios como un sistema virtual.

Bsqueda automtica y anlisis de arcivos de tipo %ip y attacments de e&mail

Firmas de arcivos# identificaci'n y anlisis! >a mayora de las grficas y de los

archivos de texto comunes contiene una pequea cantidad de "ytes en el comienzo

del sector los cuales constituyen una firma del archivo. Encase verifica dicha firma

para cada archivo contra una lista de firmas conocidas de extensiones de archivos, si

existe alguna discrepancia, como en el caso de que se haya renom"rado un archivo,

se detecta automticamente la identidad del archivo.

$nlisis electr'nico del rastro de intervenci'n! :ellos de fecha, sellos de hora,

registros de accesos y la actividad del comportamiento reciclado son puntos crticos

de una investigacin por computadora. Encase proporciona los ?nicos medios

prcticos de recuperar y documentar dicha informacin de una manera no invasora y

eficiente.

Soporte de mltiples sistemas de arcivo! Encase reconstruye los sistemas de

archivos forense en 6A:, Pindos, Bacintosh, >inux, @


29/43

!am"in muestra el :lac= ;ile con un color roCo despus de terminar el espacio

ocupado por el archivo dentro del clister.

.ntegraci'n de reportes!Encase genera el reporte del proceso de la investigacin

forense como un estimado. En dicho documento se realiza un anlisis y una

"?squeda de resultados, en donde se muestra el caso incluido, la evidencia

relevante, los comentarios del investigacin, favoritos, imgenes recuperadas,

criterios de "?squeda y tiempo en que se realizaron las "?squedas.

Visuali/ador integrado de imgenes con galer0a! Encase ofrece una vista

completamente integrada que localiza automticamente, extrae y despliega muchos

archivos de imgenes como .gif y .Cpg del disco.


30/43

!a"la 8 #aractersticas de los principales softare de UforensicsU

$om#re Descri%cin&%en 'ource

Comercial

'istema

&%erativo

EnhancedVloop"ac=

6uplicado forense y utilizacin comodisco rgido

Apen source >inux

#ononerWs tool=it

inux

!he :leuth Iit Recuperacin de archivos "orrados Apen source >inux Pindos

Encase

#opiado comprimido de discos fuente

H?squeda y anlisis de m?ltiples partes

de archivos adquiridos

6iferente capacidad de almacenamiento

Larios campos de ordenamiento,

incluyendo estampillas de tiempo

Dnlisis compuesto del documento;irmas de archivos, identificacin y

anlisis

Dnlisis electrnico del rastro de

intervencin

:oporte de m?ltiples sistemas de archivo

Lista de archivos y otros datos en el

espacio @nallocated

0ntegracin de reportes

Lisualizador integrado de imgenes con

galera

#omercial Pindos


31/43

$om#re Descri%cin&%en 'ource

Comercial

'istema

&%erativo

;orensic !ool Iit

)ermite principalmente analizar la

informacin relevada de un sistema.

BaneCo de imgenes de ;ile systems

Pindos 1inux 1ext/,

ext84 realizadas con Encase, :mart,

:nap"ac=, :afe"ac= y 664.

Dnlisis de archivos comprimidos

1inzip, p=zip, rar, gzip, tar4.

Dnlisis de correo electrnico,

0dentificacin de archivos tpicos del filesystem y programas, de evidencia,

hashsets, etc.

eneracin de reportes, acceso y

desencriptado de datos protegidos y de

registros.

#omercialPindos

>inux

)uente* 1Dcosta onzalo, /--(4

+erramientas de monitoreo yNo control de computadoras

En algunas ocasiones es necesario o"tener informacin acerca del uso que se ha tenido en

una determinada computadora, existen algunas herramientas que monitorean el uso de las

computadoras para poder o"tener informacin. Existen algunos programas simples como

=ey loggers o recolectores de pulsaciones de teclado, que guardan informacin so"re las

teclas que son presionadas hasta otros que guardan imgenes de la pantalla que ve el

usuario de la computadora, incluso existen algunos casos en los que la computadora se

controla de forma remota. 1Ascar >opez, /--/4

Ieylogger 1rem"ergen et al.4

Ieylogger es un eCemplo de herramientas de monitoreo yNo control de computadoras.Es

una herramienta que puede ser ?til cuando se quiere compro"ar actividad sospechosaG

guarda los eventos generados por el teclado, por eCemplo, cuando el usuario teclea la tecla


32/43

de retroceder, esto es guardado en un archivo o enviado por email. >os datos que se

generan son complementados con informacin relacionada con el programa que tiene el

foco de atencin, con anotaciones so"re las horas y con los mensaCes que generan algunas

aplicaciones.

+erramientas de marcado de documentos

Estas herramientas ayudan en la recuperacin de documentos ro"ados, ya que 2marcan3 los

documentos y realizan una "itcora de accesos a ellos permitiendo sa"er al experto en

2forensics3 que acciones se realizaron so"re los archivos. 1Ascar >opez, /--/4

+erramientas de hardare 1Ascar >opez, /--/4

6e"ido a que el proceso de recoleccin de evidencia de"e ser preciso y no de"e modificar

la informacin, se han diseado varias herramientas como 60H: 2)orta"le Evidence

Recovery @nit3.

6ificultades del experto en 2forensics31Ascar >opez, /--/4

El investigador forense requiere de varias ha"ilidades que no son fciles de adquirir, es por

esto que el usuario normal se encontrar con dificultades como las siguientesG

. #arencia de softare especializado para "uscar la informacin en variascomputadoras.

/. )osi"le dao de los datos visi"les o escondidos, a?n sin darse cuenta.

8. :er difcil encontrar toda la informacin valiosa.

9. Es difcil adquirir la categora de 2experto3 para que el testimonio personal sea

vlido ante una corte.

5. >os errores cometidos pueden costar caro para la persona o la organizacin que

representa.

$. 6ificultad al conseguir el softare y hardare para guardar, preservar y presentar

los datos como evidencia.

(. ;alta de experiencia para mostrar, reportar y documentar un incidente

computacional.

7. 6ificultad para conducir la investigacin de manera o"Cetiva.


33/43

*. 6ificultad para hacer correctamente una entrevista con las personas involucradas.

-. Reglamentacin que puede causar pro"lemas legales a la persona.

Es por esto que, antes de lanzarse a ser un investigador forense, se necesita "astante estudio

y experiencia, entre otras cosas, y si no se cumple con los requisitos, en caso de un

accidente es aconseCa"le llamar a uno o varios expertos.

'e!uridad forense en ne!ocios. (+ertolin, 200

En el m"ito de los negocios es muy frecuente el uso de 2forensics3 para identificar y

seguir la pista deG ro"osNdestruccin de propiedad intelectual, actividad no autorizada,

h"itos de navegacin por internet, reconstruccin de eventos, inferir intenciones, vender

ancho de "anda de una empresa, piratera de softare, acoso sexual, reclamacin de

despido inCustificado.

-uin utili/a la se!uridad forense. (+ertolin, 200

2;orensics3 es utilizada por un colectivo cada vez mayor de personas entre otrosG

>as personas que persiguen delincuentes y criminales. :e "asan en las evidencias

o"tenidas de la computadora y redes que el investigador sospecha y utiliza como

evidencia.

>itigios civiles y administrativos. >os datos de negocios y personas descu"iertos en

una computadora se pueden utilizar en casos de acoso, discriminacin, divorcio,

fraude, etc., o para meCorar la seguridad.

#ompaas de seguros. >as evidencias digitales descu"iertas en computadoras se

pueden utilizar para compensar costos 1fraude, compensacin a tra"aCadores,

incendio provocado, etc.X.

#orporaciones privadas. >as evidencias o"tenidas de las computadoras de los

empleados pueden utilizarse en casos de acosos, fraude y desfalcos.

)olicas que aplican las leyes. :e utilizan para respaldar rdenes de registro y

manipulaciones postincautacin.

#iudadanos privados. A"tienen los servicios de profesionales en 2forensics3 parasoportar denuncias de acosos, a"usos, despidos improcedentes de empleo, o para

meCorar la seguridad.


34/43

)ases de la se!uridad forense1Hertolin, /--4

>as fases de 2forensics3sonG

. Ddquisicin o recogida de datos de evidencias. :e trata de o"tener posesin fsica o

remota de la computadora, todas las correspondencias de red desde el sistema y

dispositivos de almacenamiento fsico externo. :e incluye la autenticacin deevidencias, la cadena de custodia, la documentacin y la preservacin de evidencias.

2. 0dentificacin y anlisis de datos. 0dentificar que datos pueden recuperarse y

recuperarlos electrnicamente eCecutando diversas herramientas de 2forensics3. :e

realiza un anlisis automatizado con herramientas. El anlisis manual se realiza con

experiencia y formacin.

3. Evaluacin. Evaluar la informacin recuperada para determinar si es ?til para los

fines que se requieran.

. )resentacin de los descu"rimientos. )resentacin de evidencias descu"iertas de

manera que sean entendidas por cualquier persona no tcnica. )uede ser una

presentacin oral o escrita.

Dlgunas de las de"ilidades del proceso forense sonG

En el proceso de recogida de datos. :i se identifica una cadena de custodia o

recogida de datos incompleta.

En la fase de anlisis de datos. :i se utiliza una metodologa, formacin o

herramientas inadecuadas

En la fase de presentacin de los descu"rimientos. :i existe facilidad para sem"rar

la duda en los hallazgos presentados.:e trata entonces de actuar y explotar vulnera"ilidades en las tres reas.


35/43

Retos de 2forensics31Hertolin, /--4

>a informacin y datos que se "uscan despus del incidente y se recogen en la

investigacin de"en ser maneCados adecuadamente. Estos pueden serG

. 1nformacin voltil.!antoG

a. 0nformacin de red. #omunicacin entre el sistema y la red.". )rocesos activos. )rogramas actualmente activos en el sistema.

c. @suarios logeados. @suarios y empleados que actualmente utilizan el sistema.

d. Drchivos a"iertos. >i"reras en uso, archivos ocultos, troyanosNroot=it cargados

en el sistema.

/. 1nformacin no voltil. :e incluye informacin, datos de configuracin, archivos del

sistema y datos del registro que son disponi"les despus del rearranque.

0ncidentes de seguridad 1)ino, /--(4

#uando se est a cargo de la administracin de seguridad de un sistema de informacin ouna red, se de"e estar familiarizado con las "ases de 2forensics3, esto en razn de que

cuando ocurre un incidente de seguridad, es necesario que dicho incidente sea reportado y

documentado a fin de sa"er qu es lo que ocurri.


36/43

>a seguridad informtica puede ser dividida en seis componentesG

'e!uridad fsicaG es aquella que tiene relacin con la proteccin de la computadora

en si evitando cualquier tipo de dao fsico.

'e!uridad de datosG Es la que seala los procedimientos necesarios para evitar el

acceso no autorizado, permite controlar el acceso remoto de la informacin.

+ac4 u% recu%eracin de datos* )roporciona los parmetros "sicos para la

utilizacin de sistemas de recuperacin de datos y respaldos de los sistemas

informticos.

'e!uridad normativa* #onCunto de normas y criterios "sicos que determinan lo

relativo al uso de los recursos de una organizacin cualquiera. :e deriva de los

principios de legalidad y seguridad Curdica.

Anlisis forense* :urge como consecuencia de la necesidad de investigar los

incidentes de seguridad informtica que se producen en las entidades. )ersigue la

identificacin del autor y del motivo del ataque, igualmente trata de hallar la manera

de evitar ataques similares en el futuro.

>os incidentes de seguridad en un sistema de informacin pueden caracterizarse modelando

el sistema como un fluCo de mensaCes de datos desde una fuente, como por eCemplo un

archivo o una regin de la memoria principal, a un destino, como por eCemplo otro archivoo un usuario. @n incidente no es ms que la realizacin de una amenaza en contra de los

atri"utos funcionales de un sistema informtico.


37/43

;ig. - #ategoras generales de incidentes1)ino, /--(4

#omo se puede o"servar en la figura anterior, los incidentes pueden ser clasificados en

cuatro categoras.

1nterru%cin. @n recurso del sistema es destruido o se vuelve no disponi"le. :e trata de un

ataque contra la disponi"ilidad.

1nterce%cin. @na entidad no autorizada consigue acceso a un recurso. Este es un ataque

contra la confidencialidad.

6odificacin. @na entidad no autorizada no solo consigue acceder a un recurso, sino que

es capaz de manipularlo. Es un ataque contra la integridad.

)a#ricacin. @na entidad no autorizada inserta o"Cetos falsificados en el sistema. Es un

ataque contra la autenticidad.


38/43

;orensia en redes 1inda Lolonino, /--74

>a forensia en redes es un escenario aun ms compleCo, ya que es necesario comprender la

manera como los protocolos, configuraciones e infraestructuras de comunicaciones se

conCugan para dar como resultado un momento especifico en el tiempo y un

comportamiento particular. Esta conCuncin de pala"ras esta"lece un profesional que

entendiendo las operaciones de las redes de computadoras, es capaz de esta"lecer losrastros, los movimientos y acciones que un intruso ha desarrollado para concluir su accin.

D diferencia de la definicin de 2forensics3, este contexto exige capacidad de correlacin

de evento, muchas veces disyuntos y aleatorios, que en equipos particulares, es poco

frecuente.1#ano, /--$4

>as redes son conexiones de un gran volumen de trfico lo que las hace un verdadero reto

para los especialistas. Encontrar la herramienta adecuada para una situacin en especfico

puede ser difcil, ms no imposi"le. El tra"aCar con herramientas de 2netor= forensics3 es

un proceso compleCo pero hacen el tra"aCo ms fcil al automatizar la mayor parte de las

tareas de adquisicin de datos.


39/43

Dpendice G Encuesta Realizada


40/43

6ecanismos de identificacin autenticacin

/. %Existe un procedimiento de 0dentificacin y Dutenticacin'//. %Est "asado en contraseas'/8. %>as contraseas se asignan de forma automtica por el servidor'/9. %Existe un procedimiento de cam"io de contraseas'

Controles de acceso/5. %Existen controles para el acceso a los recursos'/$. %Existen ficheros de log o similares que registren los accesos autorizados y los

intentos de acceso ilcitos'/(. @na vez pasados los filtros de identificacin, %se han separado los recursos a los

que tiene acceso cada usuario'9irus

/7. %!iene cuentas de correo electrnico de 0nternet'/*. %!iene antivirus corporativo'8-. %)rotege su antivirus los correos electrnicos y la descarga de archivos va

Pe"'8. %Dctualiza regularmente el antivirus'8/. %+a tenido alguna vez pro"lemas con alg?n virus en su sistema'"lanes de se!uridad contin!encias

88. %:e ha ela"orado un plan de seguridad'89. %Existe un responsa"le o responsa"les que coordinen las medidas de seguridad

aplica"les'85. %Existe un plan de contingencias'8$. %Existe un presupuesto asignado para la seguridad en la empresa'8(. %:e ha ela"orado un plan de seguridad'

87. %:e han incluido en el mismo los aspectos relacionados con lascomunicaciones'8*. %Realiza el seguimiento del plan de seguridad personal de la empresa'9-. %Existe un contrato de mantenimiento en el que se priorice la seguridad y el plan

de contingencias'9. %6ispone de personal informtico involucrado directamente con la seguridad

informtica'Acceso a internet

9/. %Existe una poltica definida para los accesos a 0nternet'98. %:e ha explicado claramente a los tra"aCadores de la empresa'99. %Existe un acceso a 0nternet corporativo'95. %Est limitado el acceso por departamento yNo por usuario'9$. %Existen controles so"re las pginas accedidas por cada departamento o

usuario'9(. %Existen controles so"re intrusiones externas en nuestro sistema de

informacin'"rdida de informacin


41/43

97. En el ?ltimo semestre %#untas veces ha sufrido de prdida de informacin'

a4 Benos de 5 veces "4 Entre 5 y - veces c4 Bs de - veces d4 a prdida de informacin fue un desencadenante para la prdida de recursos

monetarios'58. %6e ha"er perdido recurso monetario, aproximadamente cual fu el monto'

a4 menos de Y5--- "4 entre Y5--- y Y---- c4 entre Y---- y Y/---- d4ms de Y/----59. %#mo se llev a ca"o la recuperacin de datos'

a4


42/43

Referencias

Dcosta onzalo, D. D., Rodriguez a"riel, Rossi Eduardo. 1/--(4. 0nformatica forense.

Drias #haves, B. 1/--$4. )anorama general de la informtica forense y de los delitos

informaticos en #osta Rica..nterSedes1 2evista de las Sedes 2egionales# 31/4,

959.Hertolin, K. D. 1/--4. :eguridad forense, tcnicas antiforenses, respuesta a incidentes y

gestin de evidencias digitales.

Hiles, :. 1/--94. 6igital forensics.4acker 4igscool174.

#am"r?n, B. H. 1/--*4.$nlisis Forense .nformtico1 $utomati/aci'n de procesamiento

de -videncia "igital. )aper presented at the Dutomatizacin de procesos en anlisis

forense informtico, Bontevideo.

#ano, K. K. 1/--$4. 0ntroduccin a la informtica forense. S.S,-5$S# 67#$9(8.

#asey, E. 1/--/4.4and8ook of computer crime investigation1 forensic tools and

tecnologyG Dcademic )r.

#erpa, K. K. 1/--*, 7NN/--4. %#omo prevenir la prdida de informacin' ZHlog dedicado

a temas de seguridad de informacion, proteccion de datos, seguridad de informtica,auditorias y peritaCes informaticos e informtica forense[. Retrieved from

httpGNNCcerpa."logspot.comN/--*N-*Ncomoprevenirlaperdidadeinformacion.html6avis, #., )hilipp, D., F #oen, 6. 1/--54.4acking exposed computer forensics1 secrets

9 solutionsG Bcra+ill As"orne Bedia.;isher, #. a. 1/--$4. Banage digital assets ith 0!0>G 0mprove product configurations and

service management.:ournal of "igital $sset 5anagement# ;14, 9-9*. doiG-.-5(Npalgrave.dam.8$9--(

;olgueras Barcos, D., Dlva !ello, K. #., RuizBezcua, H., F arcia #respo, D. 1/--4.6etection of :trategies in 0! Arganizations !hrough an 0ntegrated 0! #ompliance

Bodel..nternational :ournal of .,194, 9-55.

acenga, ;., #atersteel, D., !oleman, B., F !an, P.g. Por=ing )apers on 0nformation

:ystems Beasuring the )erformance of :ervice Arientated 0! Banagement.

>>1/-4.

alup, :. 6., F 6attero, R. 1/--4. D ;ive:tep Bethod to !une Mour 0!:B )rocesses.

.nformation Systems 5anagement# ;31/4, 5$$(. doiG

-.-7-N-57-58--8$75//-iovanni Ouccardi, K. 6. . 1/--$4. 0nformtica ;orense.

rem"ergen, P. L., +aes, :. 6., #atersteel, D., #usac=, H., Oealand, inda Lolonino, 0. R. 1/--4. ediscovery for dummies
http://jcerpa.blogspot.com/2009/09/como-prevenir-la-perdida-de-informacion.htmlhttp://www.expertlaw.com/library/forensic_evidence/computer_forensics_101.htmlhttp://jcerpa.blogspot.com/2009/09/como-prevenir-la-perdida-de-informacion.htmlhttp://www.expertlaw.com/library/forensic_evidence/computer_forensics_101.html


43/43

>inda Lolonino, R. D. 1/--74. Computer forensics for dummies.>opez, K. 1/--$4. %#?ales son los principales ru"ros de costos asociados a la seguridad de la

informacin en su organizacin' S.S,-5$S#85.>yle, K. 1/--4. Lerification of digital forensic tools.

Tesis Roberto Lopez Formato Ver1

Documents

Transcript of Tesis Roberto Lopez Formato Ver1